TSFのアプリケーション制御には管理が容易でシンプルなルールが備わっており、エンドポイントのセキュリティを維持するための負荷を管理者にかけることなくサポートしています。ブラックリストとホワイトリストの技術を同時にサポートしていますが、ブラックリストは「ブロックリスト」とも呼ばれ、TSFシステムがブラックリストにあるプログラムを検出するとすぐに実行をブロックします。ブラックリストの欠点は、すべての悪意のあるプログラムを完全にリストアップするのが難しいことです。一方でホワイトリストは「許可リスト」とも呼ばれ、未知の脅威(ランサムウェア・ゼロデイ攻撃など)を防ぐのに役立ちます。
TSFではホワイトリストにあるプログラムのみ実行が許可され、リスト外のプログラムはデフォルトでは実行が禁止されます。ホワイトリストルールはブラックリストよりも厳格で、包括的なセキュリティ保護を提供することができます。
アプリケーションをロックしてリスクを最小限に抑える
TSFアプリケーション制御を使用して、エンドポイントの保護を強化します。エンドポイントのデバイスごとに指定されたプログラムのみ実行を許可します。これにより、未知のアプリケーションが実行されて他のエンドポイントに侵入して拡散することが防止されます。アプリケーションの実行を許可する根拠は、TSFシステムがプログラムの特徴(プログラムのハッシュ値や証明書など)を複数比較することで行われます。特徴は偽造が困難であり、最も厳格な方法はファイルのハッシュ値を利用することです。ハッシュは不可逆で、ファイルが改竄される心配もありません。設定した規則値と完全に一致した場合にのみ実行が許可されます。
※複数のファイル形式に対応しています(.exe、.msi、.bat、.com、.psm1、.cmd、.vbs)
親プログラムを限定して悪用を防ぐ
オペレーティングシステムは多くのプログラムで構成されており、システムの正常動作を確保するために、TSFアプリケーション制御はデフォルトではシステムディレクトリを信頼しています。しかし、最近はハッカーがWindowsの組み込みツールを悪用して、悪意のあるプログラム攻撃を行っていることが頻繁に報告されています。不適切な手法で企業データを盗み出し、外部に流出させたり、データを暗号化して高額な身代金を要求することがあります。Windowsの組み込みツールを犯罪ツールとして利用されないようにするため、親プログラムを信頼する仕組みを使用してアプリケーションの親プログラムを比較し、ルールに合致する組み合わせのみ実行を許可してルールにない組み合わせ(悪意のあるプログラムによって起動されたプログラムなど)をブロックします。
例えば、Windows PowerShellの親プログラムをエクスプローラーに指定すれば、ハッカーが悪意のあるプログラムやマクロでPowerShellを呼び出してもブロックされます。
子プログラム信頼で更新に影響しない
オペレーティングシステムまたはアプリケーションが更新されると、プログラムは他の子プログラムを呼び出しますが、呼び出された子プログラムは信頼リストに含まれていない場合があり、結果としてプログラムを更新できなくなることがあります。TSFでは、更新プログラムに対しては信頼継承の仕組みで対応できます。メインプログラムが子プログラムを呼び出すとき、子プログラムもそのまま信頼します。
例えば、Chromeインストーラーに対して信頼継承の仕組みを有効にすると、インストーラーが解凍されて起動させた子プログラムやインストール時に呼び出された他のプログラムがそのまま信頼され、TSFアプリケーション制御の保護下でインストールが完了します。
ユーザによる判断で管理者の負担を軽減
未登録のアプリケーションに対して多様な方法でサポートし、ユーザが新しいアプリケーションを実行できるように便宜を図ります。例えば、管理者の承認なしでダイアログを表示して実行するかどうかをユーザ自身に決定させるか、ローカルアプリケーションのスキャンをユーザ自身で発動してルールを再構築して許可することもできます。また、ユーザ自身でアプリケーションの制御を一時停止させることもできます。ホワイトリストの厳格な制限を緩和してユーザに一部の権限を与えることで、新しいアプリケーションに対しても柔軟に制御できます。
ユーザの業務に影響を与えないように、導入初期は「監視モード」の適用を推奨します。このモードでは、リストにないアプリケーションの実行を禁止しません。代わりにブロックやユーザの判断による許可など、アプリケーションの全ログを記録します。管理者は記録したログから許可するアプリケーションをそのままホワイトリストに追加できます。
※上記内容は開発中の機能が含まれています