Endpoint Central Cloud ナレッジベース

アプリケーション制御機能


この記事では、Endpoint Central Cloud Security Editionが提供するアプリケーション制御機能について説明します。
アプリケーション制御機能は「アプリケーションコントロール」タブから利用可能な一連の機能で、従来「インベントリ」タブで提供されていた禁止ソフトウェア機能や、実行ファイルのブロック機能を拡張したものです。
これにより組織はアプリケーションの使用をアクセス権と実行権限をもとに制御し、ゼロトラストにおける最小権限の原則と効率的なアプリケーション運用を両立することができます。

アプリケーション制御機能について

アプリケーション制御機能を利用可能なライセンス
  • Security Edition
  • 評価版

各ライセンスの比較はこちらをご確認ください。

管理対象の要件
アプリケーション制御機能の主な機能
アクセス権の制御

ユーザーがアクセス可能なアプリケーションを「許可リスト」と「禁止リスト」をもとに定義します。
「ジャストインタイムアクセス」を設定することで、アクセス権のないユーザーに一時的にアクセスを許可することも可能です。

  • 許可リスト/禁止リスト
  • アプリケーションを指定するリストです。各リストを使用し、以下のいずれかをデバイスに適用します。

    • 監査モード
    • ユーザーは禁止リストに登録されたアプリケーション以外にアクセス可能です。

    • 制限モード
    • ユーザーは許可リストに登録されたアプリケーションにのみアクセス可能です。

    許可リストまたは禁止リストのいずれにも該当しないアプリケーションを、「グレーリスト」と呼びます。
    許可リスト、禁止リスト、およびグレーリストを使用すると、例えば以下のように組織のポリシーを作成することができます。
    はじめに監査モードに設定して、ユーザーがどのようなアプリケーションを使用するのか現状を把握します。使用状況に基づき、業務上必要なアプリケーションをグレーリストから許可リストに移動します。許可リストが完成したら、最後に制限モードに変更して、グレーリストのアプリケーションも使用禁止します。
  • ジャストインタイムアクセス
  • アプリケーションにアクセス権がないユーザーに対し、一時的にアクセスを許可することができます。対象のアプリケーションはグレーリストまたは禁止リストから選択します。アクセス期間は1分単位で指定することができます。

権限管理

すべてのデバイスに管理者権限を付与した状態でアプリケーションを運用すると、権限が不正に利用され、システム操作やデータ改ざんなどのリスクが生じる可能性があります。一方で一部のアプリケーションでは、実行に管理者権限が必要です。
権限管理では「管理者権限の停止」によって、各デバイスの管理者権限をもつアカウントを一覧化し、必要に応じて削除することができます。
デバイスの管理者権限を停止したうえで、「自己昇格」または「管理者権限の付与」を各アプリケーションに設定することで、ユーザーがアプリケーションを実行する際の管理者権限の取得を、Endpoint Central Cloudで制御できます。

  • 管理者権限の停止
  • 組織のデバイスに存在する管理者権限を持つアカウントを一覧化します。必要に応じてアカウントを削除することができます。

  • 自己昇格
  • ユーザーはアプリケーションを管理者権限で実行することを選択できます。

  • 管理者権限の付与
  • 管理者が選択したアプリケーションは自動的に管理者権限で実行されます。

機能概要については、アプリケーション制御機能とほぼ同一機能を持った単独製品である ManageEngine Application Control Plus の解説動画(英語)も合わせてご覧ください。