アプリケーション制御でセキュリティを強化

アプリケーション制御とは、組織内で利用できるアプリケーションを管理者が許可あるいはブロックすることでセキュリティを強化するための機能です。業務効率を維持しながら設定できる方法があります。

アプリケーションの許可リストと禁止リスト

Endpoint Centralの アプリケーション制御は、組織内で使用するソフトウェアアプリケーションの実行をきめ細かに管理および規制し、不正なソフトウェアの使用を防止する機能を持っています。それぞれの企業のニーズに基づいた柔軟かつ強固なアクセス制御が可能で、セキュリティを維持しつつ、業務効率を高めることができるサイバーセキュリティ対策を実現できます。その対策の一つが許可リストおよび禁止リストの設定です。

許可リストおよび禁止リストとは、企業がアプリケーションを制御するための2つのアプローチです。Endpoint Centralでは、①許可リスト/禁止リストの作成→②制限モード・監査モードのデバイスへの適用の順で設定することで、アプリケーション制御を実現できます。

【ステップ①】 許可リスト・禁止リストの作成

  • 許可リスト…管理者が許可リスト方式を選択した場合、管理者はリストを作成し、このリストに登録されたアプリケーションのみ利用できます。
  • 禁止リスト…禁止リストを選択した場合、管理者が作成するリストはブロックしたいアプリケーションで構成されます。

【ステップ②】制限モード・監査モードの適用

Endpoint Centralのアプリケーション制御機能では、許可リスト/禁止リストを作成し、次にデバイスに以下のモードのいずれかを適用させます。

  • 制限モード:許可リストに登録されたアプリケーションのみ許可
  • 監査モード:禁止リスト以外を許可

許可リストでアプリケーションをチェックするアプローチはセキュリティ強化の側面が強く、禁止リストは企業の生産性を維持するためのテクニックといえます。

Endpoint Centralで許可リスト・禁止リストを設定するメリット

  • セキュリティ強化

    強固なセキュリティ対策として機能し、信頼できるアプリケーションのみの実行を許可することで、攻撃対象の領域を縮小させ、サイバー脅威のリスクを大幅に低減します。

  • 効率的なリソース管理

    ユーザーの役割と職務要件に基づいてアプリケーションを許可することで、未使用のアプリケーションによるストレージの消費を防ぎ、ライセンスやパッチの管理を簡素化できます。

  • アクセスをカスタマイズ

    アプリケーション許可リストを使用すると、組織はユーザーの役割に応じてアプリケーションへのアクセスをカスタマイズできます。そのため安全で効率的なデジタル環境を確保できます。

    未承認のアプリケーションの禁止:
    未承認で潜在的に危険、あるいは悪意のあるアプリケーションが、ネットワークまたは管理対象デバイス上で実行されるのを防ぎます。

  • セキュリティリスクの軽減

    潜在的な脆弱性のあるアプリケーションを禁止することで、既知のセキュリティ脅威に対する保護手段として機能します。

  • コンプライアンスの維持

    禁止リストによって、管理者がどのアプリケーションを許可するかを制御できるため、組織はセキュリティポリシーへのコンプライアンスを維持しやすくなります。

  • 攻撃対象領域の縮小

    禁止リストによって、既知の問題のあるアプリケーションの実行を阻止することで、サイバーセキュリティインシデントやデータ侵害のリスクを最小限に抑えます。

Endpoint Centralのアプリケーション権限管理

  • 管理者権限の制限

    不要な管理者権限を削減することで、潜在的な攻撃対象領域を制限し、権限昇格や資格情報の侵害攻撃を防止します。

  • 最小権限モデル

    生産性を低下させることなく最小権限モデルを維持し、ユーザーがそれぞれの役割を効果的に遂行するために必要なアクセス権のみを持つようにします。

  • アプリケーション実行権限の付与

    アプリケーションの権限を制御し、重要度の高いアプリケーションでは、必要な場合にのみユーザーに実行権限を付与し、アクセスできるようにします。業務効率を損なうことなくセキュリティを強化できます。

  • ジャストインタイムアクセス

    アプリケーションへの一時的な特権アクセスを許可することで、ユーザーの暫定的なニーズに対応し、あらかじめ定義された期間後に自動的に失効する仕組みを採用し、権限の拡大に伴うセキュリティリスクを最小限に抑えます。

  • 柔軟なアダプティブコントロール

    条件付きアクセスポリシーは、リアルタイムの状況に基づいてアクセスを動的に許可または拒否し、ユーザーエクスペリエンスを維持しながらセキュリティを強化します。

  • Microsoft 365のセキュリティ強化

    Microsoft 365(旧称Office 365)アプリケーションにアクセスするデバイスを可視化し、承認されたデバイスからのアクセスのみ許可します。