エージェントバージョン10.0以降を実行しているコンピュータでアプリケーションコントロールを有効にすることができます。アプリケーションコントロールがサポートされているオペレーティングシステムの一覧については、プラットフォーム別のサポート機能を参照してください。
アプリケーションコントロールは、保護対象サーバのソフトウェアの変更を継続的に監視し、ソフトウェアのルールセット、グローバルルールセット、および信頼エンティティのコンピュータとポリシーの設定に基づいて、施行設定に基づいてそれらのサーバを許可またはブロックします。
- アプリケーションコントロールの施行設定 (ポリシーまたはコンピュータの[アプリケーションコントロール]タブ) で、[認識されないソフトウェアを明示的に許可するまでブロックする] または [認識されないソフトウェアを明示的にブロックするまで許可する] のいずれかに設定できます。どのオプションを選択するかは、環境に対して必要な制御レベルによって異なります。
- ソフトウェアルールセット のルールでは、ソフトウェアの実行を許可またはブロックします。 Workload Security[処理] ページまたは アプリケーションコントロールイベント () からソフトウェアの変更が明示的に許可またはブロックされると、割り当てられたソフトウェアルールセットでアップデートされます。
- APIを使用すると、グローバルルールにより、保護されているすべてのコンピュータに適用できるブロックルールを強制および追跡できます。
- 信頼するエンティティ を使用すると、事前定義されたプロパティに基づいて特定のソフトウェア変更を自動承認するように信頼ルールを設定できます。 [Workload Security] の [処理] 画面またはアプリケーションコントロールの [セキュリティイベント] ページ ()。
ソフトウェアが新しいか、または変更されているかを判断するために、エージェントはファイルのSHA-256ハッシュおよびファイルサイズを、最初にインストールされたSHA-256ハッシュおよびファイルサイズと比較します。
APIを使用してアプリケーションコントロールの作成と構成を自動化できます。詳細については、アプリケーションコントロールの構成を参照してください。
ソフトウェアルールセットの主要概念 
ソフトウェアルールセットの主な概念は次のとおりです。
対象となる保護の状態: アプリケーションコントロールの設定時に必要な主な決定事項の1つに、対象となる保護の状態の決定があります。新規または変更されたすべてのソフトウェアについて、許可するように手動で指定するまで実行されないようにしますか。または、明示的にブロックするまで初期設定で実行しますか。はじめてアプリケーションコントロールを有効にしたときに、承認されていないソフトウェアが大量にある場合、承認されていないソフトウェアを最初に許可する方法があります。アプリケーションコントロールルールを追加して、承認されていないソフトウェアの量を減らすと、ブロックモードに切り替えることができます。
ソフトウェアルールセットルール: ルールは、特定のコンピュータでソフトウェアを許可するかブロックするかを指定します。
インベントリ: コンピュータにインストールされているソフトウェアの初期リスト。許可するソフトウェアのみをコンピュータにインストールするようにしてください。アプリケーションコントロールを有効にすると、現在インストールされているすべてのソフトウェアがコンピュータのインベントリに追加され、実行が許可されます。コンピュータがメンテナンスモードの場合、コンピュータに加えられたソフトウェアの変更はコンピュータのインベントリに追加され、実行が許可されます。コンピュータのソフトウェアインベントリリストはエージェントに保存され、Workload
Security コンソールには表示されません。
認識されないソフトウェア: コンピュータのインベントリに存在せず、アプリケーション制御ルールの対象になっていないソフトウェア。 Application Control はソフトウェアの変更として何を検出しますか?を参照してください
メンテナンスモード: ソフトウェアのインストールまたはアップデートを計画している場合は、メンテナンスモードをオンにする必要があります。メンテナンスモードでは、アプリケーションコントロールルールによって具体的にブロックされているソフトウェアは引き続きブロックされますが、新規またはアップデートされたソフトウェアの実行は許可され、コンピュータのインベントリリストに追加されます。
計画的な変更を行うときにメンテナンスモードを有効にする を参照してください。
ソフトウェアのルールセットを使用して手動で許可またはブロックする数を減らすために、ソフトウェアの変更を自動承認する方法については、信頼エンティティを参照してください。
アプリケーションコントロールソフトウェアルールセットの仕組み
手順
- ポリシーでアプリケーションコントロールを有効にし、エージェントによって保護されているコンピュータにポリシーを割り当てます (アプリケーションコントロールをオンにするを参照)。
- エージェントはポリシーを受信すると、コンピュータにインストールされているすべてのソフトウェアのインベントリを作成します。インベントリに記載されているすべてのソフトウェアは安全であるとみなされ、そのコンピュータで実行できるようになります。このインベントリリストは、 Workload Security コンソールからは表示されません。したがって、アプリケーション制御を有効にするコンピュータに適切なソフトウェアのみがインストールされていることを確認する必要があります。
- インベントリの作成後、アプリケーションコントロールでコンピュータのあらゆるソフトウェア変更が認識されます。ソフトウェア変更により、新しいソフトウェアがコンピュータに表示されたり、既存のソフトウェアに変更が加えられたりします。
- コンピュータがメンテナンスモードの場合、エージェントはソフトウェアをインベントリに追加し、実行が許可されます。この変更はWorkload Securityコンソールには表示されません。計画的な変更を行う際は、メンテナンスモードをオンにするを参照してください。
- 信頼できるインストーラーによって変更が行われた場合、エージェントはソフトウェアをインベントリに追加し、実行を許可します。例えば、Microsoft Windowsがコンポーネントの更新を自動的に開始すると、数百の新しい実行ファイルがインストールされることがあります。アプリケーションコントロールは、よく知られたWindowsプロセスによって作成された多くのファイル変更を自動的に承認し、これらの変更をWorkload
Securityコンソールに表示しません。予期されるソフトウェア変更に関連する「ノイズ」を取り除くことで、注意が必要な変更をより明確に把握することができます。信頼済みインストーラ機能は、エージェントバージョン10.2以降で使用できます。
- コンピュータのソフトウェアルールセットにこのソフトウェアに対するルールが含まれている場合、そのルールに従ってソフトウェアが許可またはブロックされます。アプリケーションコントロールはソフトウェアの変更をどのように検出しますか?をご覧ください
- ソフトウェアがコンピュータのインベントリにない場合に、既存のルールで保護されていないソフトウェアは、認識されないソフトウェアとみなされます。コンピュータに割り当てられたポリシーでは、承認されていないソフトウェアの処理方法を指定します。ポリシー設定に応じて、実行が許可またはブロックされます。ソフトウェアがブロックされ、OSにエラーメッセージを表示できる場合、そのソフトウェアの実行が許可されない、またはアクセスが拒否されたことを示すエラーメッセージが保護対象のコンピュータに表示されます。認識されないソフトウェアは、 Workload Security コンソールの [アプリケーションコントロール - ソフトウェアの変更] ページに表示されます。そのページで、管理者は[Allow]または[Block]をクリックして、特定のコンピュータ上のそのソフトウェアに対する許可ルールまたはブロックルールを作成できます。許可ルールまたはブロックルールは、ポリシーで指定された初期設定アクションよりも優先されます。新規および変更済みソフトウェアを監視するを参照してください。
アプリケーションコントロールインタフェース
Workload Security コンソールには、アプリケーションコントロールに関連する変更が表示される場所がいくつかあります。
アプリケーションコントロール: ソフトウェア変更 ([処理])
アプリケーションコントロール: ソフトウェアの変更]ページは、Workload Securityコンソールで[アクション]をクリックすると表示されます。これは、すべての認識されていないソフトウェア (コンピュータのインベントリにない、または対応するアプリケーションコントロールのルールがないソフトウェア)
を表示します。ソフトウェアの変更はコンピュータレベルで許可またはブロックされるため、特定のソフトウェアが50台のコンピュータにインストールされている場合、そのページに50回表示されます。ただし、特定のソフトウェアをどこでも許可またはブロックする必要があることがわかっている場合は、[アクション]ページをフィルタリングして変更をファイルハッシュでソートし、[すべて許可]をクリックしてそのソフトウェアがインストールされているすべてのコンピュータで許可できます。
コンピュータに適用されるポリシーでは、すべての認識されないソフトウェアの実行を初期設定で許可するか、すべての認識されないソフトウェアをブロックするかを指定します。ただし、[許可] または [ブロック] を [処理] 画面でクリックするまで、明示的なアプリケーションコントロールルールは作成されません。 [許可] または [ブロック] をクリックすると、対応するルールがコンピュータのソフトウェアルールセットの に表示されます。
アプリケーションコントロールソフトウェアルールセット
コンピュータのソフトウェアルールセットを表示するには、 の順に選択します。ルールセットに含まれるルールを確認するには、ルールセットをダブルクリックして [ルール] タブに移動します。[ルール] タブには、ルールが関連付けられているソフトウェアが表示され、許可ルールをブロックするように変更したり、ブロックルールを許可するように変更したりできます。
セキュリティイベント
には、コンピュータ上で実行されたか、ブロックルールによって実行が禁止されている、認識されていない
ソフトウェアがすべて表示されます。このリストは、期間やその他の条件でフィルタできます。イベントごとに (集約イベントを除く)、[ルールの表示] をクリックしてルールを許可からブロックに、またはその逆に変更できます。バージョン10.2以降のエージェントには、同じイベントが繰り返し発生する場合にログの量を減らすためのイベント集約ロジックが組み込まれています。
アプリケーションコントロール信頼エンティティ
は、ソフトウェアの変更を自動承認するために構成できる信頼ルールセットと信頼ルールを表示します。詳細については、アプリケーションコントロール信頼エンティティを参照してください。
アプリケーションコントロールで検出されるソフトウェア変更
すべてのファイルを監視する変更監視とは異なり、アプリケーションコントロールで初期インストールの調査時と変更の監視時に確認されるのはソフトウェアファイルのみです。
ソフトウェアには次のものも含まれます。
- Windowsアプリケーション (
.exe、.com、.dll、.sys)、Linuxライブラリ (.so) およびその他のコンパイル済みバイナリとライブラリ。 - Java
.jarファイルと.classファイル、およびその他のコンパイルされたバイトコード。 - PHP、Python、シェルスクリプト、および実行時に解釈またはコンパイルされるその他のWebアプリやスクリプト。
- Windows PowerShellスクリプト、バッチファイル (
.bat)、およびその他のWindows固有のスクリプト (.wsf、.vbs、.js)。
たとえば、WordPressとそのプラグイン、Apache、IIS、nginx、Adobe Acrobat、
app.war、/usr/bin/sshは、いずれもソフトウェアとして検出されます。アプリケーションコントロールは、ファイルの拡張子を確認してスクリプトかどうかを判定します。またLinuxでは、実行権限のあるファイルはスクリプトとみなされます。
Windowsコンピュータでは、ローカルのファイルシステム上の変更はアプリケーション制御によって追跡されますが、ネットワーク上の場所、CDまたはDVDドライブ、またはUSBデバイス上では変更されません。
アプリケーションコントロールはカーネル (Linuxコンピュータ) およびファイルシステムに統合されているため、ルートまたは管理者アカウントでインストールされたソフトウェアを含め、コンピュータ全体を監視する権限があります。監視対象は、ソフトウェアファイルに対するディスク上の書き込みアクティビティとソフトウェアの実行です。