ソフトウェア制限ポリシーとは

ソフトウェア制限ポリシー(SRP: Software Restriction Policies)とは、マイクロソフトのWindows XP以降のOS(ホームエディションを除く)に標準で搭載されている、ソフトウェアの実行を制限する機能のこと。

この機能は、システム管理者が許可したソフトウェア以外は起動することを制限できるようにするもので、Active Directoryディレクトリ サービスやグループ ポリシーに従ってドメインメンバーに設定することができるほか、スタンドアロンの端末にローカルセキュリティポリシーとして設定することも可能だ。

USBなどの外部メディアを介したマルウェア拡散事例が増えている。これは、パソコンに外部メディアが接続された際に、自動的にファイルを開こうとする自動実行機能(オートラン機能)を悪用したもので、オートラン機能を悪用したものには、USBの他にも、Web閲覧やOffice文書ファイルをはじめとするメールの添付ファイルなどが感染経路となる場合がある。

ソフトウェア制限ポリシーにより、管理者が許可したプログラムファイル以外は実行できないように設定することで、上述したようなマルウェアに感染することを未然に防ぐ効果が期待される。

ソフトウェア制限ポリシーでは、以下の4種類の方法で制限をかけることが可能だ。制限の方法には、動作を許可するソフトウェアを指定する方法(ホワイトリスト方式)と、動作を許可しないソフトウェアを指定する方法(ブラックリスト方式)があるが、安全性を重視する場合は、前者を選択することが推奨される。

(1)ハッシュの規則
ファイルのハッシュ値とファイルサイズ、ハッシュアルゴリズムIDを指定。システムは実行の可否をハッシュ値に基づいて判定する。

(2)証明書の規則
コード署名したソフトウェア発行元の証明書を指定。正しく署名されたプログラムファイルのみ実行を許可することが可能。

(3)パスの規則
フォルダやプログラムファイルのパスを指定。

(4)(ネットワーク)ゾーンの規則
Windowsインストーラパッケージの実行について、Internet Explorerのセキュリティゾーンごとに許可あるいは制限を設定。

企業や組織でソフトウェア制限ポリシーを利用する際は、ユーザーに対しどのようなソフトウェアの実行を許可するかについて、あらかじめ運用ポリシーを策定する必要がある。昨今、ますます増加する標的型攻撃などへの多層防御の一つとして、利用を推奨する専門家も多い。

第 6 章 :Windows XP クライアントのソフトウェア制限ポリシー(Microsoft TechNet)
第3回 ソフトウェア制限ポリシーによるマルウェア対策(Windowsセキュリティ・ワンポイントレッスン)

セキュリティ用語辞典一覧ページへ

関連キーワード:

Internet Explorer

Office

セキュリティポリシー

  • SPF(Sender Policy Framework)とは
  • カテゴリートップへ
  • モジラがFirefoxへの「サイレントアップデート」導入を発表