アプリケーション制御アドオンについて
このナレッジでは、アプリケーション制御アドオン(Application Control アドオン)およびその機能について説明しています。
アプリケーション制御アドオンを利用すると、Endpoint Centralのもつ禁止ソフトウェア機能、実行ファイルのブロック機能を拡張し、アプリケーションのホワイトリスト/ブラックリストに基づくアプリケーション実行の制御を集中管理します。
アプリケーション制御アドオンについて
日本法人によるサポートについて
Endpoint Centralオンプレミス版とクラウド版でサポート範囲が異なります。
Endpoint Centralオンプレミス版とクラウド版でサポート範囲が異なります。
- クラウド版: 2024年9月24日より、クラウド版Security Editionの機能として日本語サポートを開始いたしました。
- オンプレミス版: Endpoint Central オンプレミス版のアプリケーション制御(Application Control)アドオンおよびSecurity Edition、単体製品の Application Control Plus は、日本語表示および日本語によるサポートに対応しておりません(ライセンスをご購入いただいた場合、米国法人によるサポートとなります)。
詳細については営業窓口までお問い合わせください。
アプリケーション制御アドオンの主な機能
管理対象にインストールされたアプリケーションや保存された実行ファイルを検出し、必要に応じて管理者がアプリケーションをホワイトリスト(許可リスト)/ブラックリスト(禁止リスト)に登録します。ホワイトリスト/ブラックリストのどちらにも登録されていないが、管理対象で実行されているアプリケーションは「グレーリスト」に自動的に分類されます。実行を許可/禁止するアプリケーションの内容をポリシーとして管理対象に配布することで、実行されるアプリケーションを管理します。
ホワイトリストとグレーリストに登録されたアプリケーションの実行を許可する「監査モード」とホワイトリストに登録されたアプリケーションのみを許可する「制限モード」があります。
アプリケーション制御を導入する際は、まずはじめに監査モードに設定して、ユーザーがどういったアプリケーションを実行するのか現状を把握し、業務上必要なアプリケーションをホワイトリストに分類します。グレーリストのアプリケーションについても必要なものをホワイトリストに移動させます。必要なポリシーを作成できたら制限モードに変更して、グレーリストのアプリケーション使用を禁止するといった運用が可能です。
アプリケーション制御を導入する際は、まずはじめに監査モードに設定して、ユーザーがどういったアプリケーションを実行するのか現状を把握し、業務上必要なアプリケーションをホワイトリストに分類します。グレーリストのアプリケーションについても必要なものをホワイトリストに移動させます。必要なポリシーを作成できたら制限モードに変更して、グレーリストのアプリケーション使用を禁止するといった運用が可能です。
- アプリケーションのホワイトリスト
エージェントのスキャンによって、管理対象にインストールされたアプリケーションおよび実行可能ファイルの一覧が確認できます。ベンダー、製品名、デジタル証明書の有無、ファイルのハッシュ値、フォルダーパス、Microsoft Storeアプリなどの条件を設定し、実行を許可するアプリケーションをグループ化します。グループ化したアプリケーションをホワイトリストに登録することで、アプリケーション実行が許可されます。
- アプリケーションのブラックリスト
アプリケーションの所有ユーザー、ベンダー、製品名、フォルダーパス、Microsoft Storeアプリなどの条件や、実行可能ファイルの検証済み署名の有無、ファイルのハッシュ値などの条件をもとに、信頼できないアプリケーション・不要なアプリケーションを特定しブラックリストに追加します。ブラックリストに追加されたアプリケーションは、実行しようとすると即座にブロックされます。また、未知のアプリケーションや実行可能ファイルについても、CSVファイルのアップロードでブラックリストへの登録が可能です。
ブラックリストに登録されたアプリケーションを実行しようとすると、アラートが表示されブロックされます。
- アプリケーションのグレーリスト
ホワイトリスト/ブラックリストのどちらにも登録されていないが、管理対象で検出されたアプリケーションです。監査モードではアプリケーションをホワイトリストまたはグレーリストに登録できます。登録されたアプリケーションは実行回数が記録収集され、グレーリストからホワイトリストに移動すべきか検討することができます。モードを制限モードに切り替えることで、グレーリストのアプリケーション実行はブロックされます。
- 権限管理
ホワイトリストに登録されたアプリケーションは、特権アプリケーションリストに追加することが可能です。特権アプリケーションリストに登録されたアプリケーションを実行する場合、ユーザーは管理者権限を持たなくとも、管理者権限でそのアプリケーションを実行できます。
機能概要については、アプリケーション制御アドオンとほぼ同一機能を持った単独製品である ManageEngine Application Control Plus の解説動画(英語)も合わせてご覧ください。なお、一時利用の許可(Temporary Access)、子プロセスの管理(Child Process Management)、管理者権限のはく奪(Remove Admin Rights)機能はアプリケーション制御アドオンには未実装です。