東京・大手町の高層ビル群(出典:写真AC)

前回の内容で説明しきれなかった、制御システムインフラ(=ネットワーク)のホワイトリスト制御について説明します。

■ホワイト、ブラック?!

最初にネットワークの観点からホワイト・ブラックリストについて説明します。

・ホワイトリスト:ネットワークを使っていいもの
・ブラックリスト:ネットワークを使ってはいけないもの

非常に簡単です。でも実際に制御するに当たってはいくつかポイントがあります。サスペンスドラマに例えると、犯人がブラック、犯人が分かるまでに怪しい動きをする人物がグレー、そして明らかに疑うに値しない人物がホワイトです。つまりホワイトリスト制御は、疑うに値しないもの:ホワイトのみをシステムに参加させる方法です。

■ホワイトリストの対象

では実際の制御システムにおいてどんなものを対象としてホワイトと定義するのか、ここがポイントになります。対象を大別すると以下の3つです。

1)ネットワークにつなげる“デバイス“
2)ネットワークに流れる“通信“
3)デバイス、サーバーなどで動作する“アプリケーション”

ネットワークにつなげるデバイス
ネットワーク機器に接続するデバイスのIPアドレス、もしくはMACアドレスを対象に判別します。通常、IT(一般の企業ネットワーク)ではPC、スマートフォンなどがネットワークにログインする際、ユーザーIDとパスワードなどでネットワークに入ることができますが、制御デバイスの多くはそのような機能を持っていないため、ネットワーク機器にあらかじめ許可した端末(ホワイト端末)のアドレスを設定し、設定された端末のみアクセスを許可します。ネットワーク側でサポートする機能です。

ネットワークに流れる通信
こちらもネットワーク機器で制御する機能になりますが、アクセスする端末のアドレスだけでなく、その端末が使用する通信プロトコルを制限します。これはネットワーク機器の性能によって制限する機能が異なりますが、UDP/TCPの使用ポート番号でアクセスする通信を決定する機能が一般的です。最近のゲートウェイタイプの製品では、さらに上位のアプリケーションで利用するメッセージなどで判断することが可能です。

デバイス、サーバーなどで動作するアプリケーション
こちらは主にOSを持つものに対して、Agentと呼ばれるソフトをインストールして制御するものになります。アンチウイルスなどのソフトはブラックリスト制御で、悪い動きを封じ込めることになりますが、ホワイトリストの場合は認められたもののみプロセスやレジスタ、そして通信プロトコルのみを許可し、それ以外の動作は実行させない仕組みになります。