2015年2月27日 08:00
なぜ、ブラックリスト型は限界なのか? いま「ホワイトリスト型」が必要なワケ (1) 定義ファイルベースのウイルス対策がなぜ“限界”に来ているのか?
セキュリティベンダーがゼロデイ攻撃を認識し、その内容が定義ファイルに反映されるまでの期間も、感染リスクが非常に高まっていることを十分認識していただきたい」(加藤氏)
○「ホワイトリスト」+「API監視」という最適解
定義ファイルをベースにその都度照合するという従来のセキュリティソフトの手法は「ブラックリスト型」と呼ぶことができるだろう。これに対して、先述したようなブラックリスト型の欠点をすべて克服し、既知はもちろんのこと未知のウイルス/マルウェアであっても100%検知してブロックできる手法となるのが、「ホワイトリスト型」なのである。
ホワイトリストとはどのようなものか、加藤氏は次のように説明する。「会社の受付をイメージしていただくとわかりやすいでしょう。多くの会社では、あらかじめその日の来訪者が決まっていて、来訪予定者が記載されたリストを受付に渡し、リストに名前があれば『どうぞ』と通すのではないでしょうか。そしてもしリストにない来訪者であれば、訪問先に確認しますよね。この来訪者リストこそが、ホワイトリストなんです。対してブラックリストは、過去の犯罪者リストと言っていいでしょう。
来訪者が来る度にいちいちそのようなものと照らしあわせていたのでは、とても仕事はまわりませんよね。