PGP PRODUCTS
PGP Endpoint Application Control
ホワイトリストによるアプリケーション制御
製品概要
企業の情報システムのエンドポイントに位置するデスクトップ PC やノート PC などのクライアント PC や、Windows ベースの専用端末/組み込みシステムは、日々様々な脅威に曝されています。ウイルスやマルウェアのような悪意のあるソフトウェアに侵入されて情報漏えいを引き起こしたり、許可されていないソフトウェアをインストールしたために互換性上の問題を起こしてシステムの再インストールが必要になることもあります。このような問題は、様々なソフトウェアをクライアント PC で自由に実行させることを許可していることが原因です。
PGP® Endpoint Application Control は、あらかじめ承認されたソフトウェアの実行のみ許可し、未承認あるいは未知のソフトウェアのインストールや実行を許可しません。これにより、不必要な、あるいは悪意のあるプログラムからシステムを守ることができるのです。
PC 上の全てのプログラムの動作を監視・制御
PGP Endpoint Application Control クライアント ソフトウェアは、デスクトップ PC、ノート PC などのクライアント PC、Windows ベースの組み込みシステム/専用端末上で動作するアプリケーション ソフトウェアを監視・検出し、ホワイトリストやポリシーに従って動作を制御します。
PGP Endpoint Application Control のカーネル レベル ドライバーは、オペレーティング システムのカーネルのレベルで動作し、許可なくアンインストールしたり、ユーザーが自身の PC の設定内容を変更することはできません。
ホワイトリストによる万全のセキュリティ
一般的なセキュリティ ソリューションで採用されているブラックリスト方式によるウイルス対策ソフトのシグネチャは、「認められていないソフトウェアのリスト」なので、新しいマルウェアやウイルス、未知のソフトウェアに対しては「リストに載っていないので実行を許可する」ということになります。
「誰かが被害にあって、有害であることが判明してから」でないと、ブラックリストはアップデートされないのです。このように、ブラックリスト方式は、既知の脅威に対しては有効ですが、未知の脅威への対応は必ず遅れるという構造的な問題があります。ブラックリストでは、日々続々と生み出される新規のソフトウェアを効率的に制御することは不可能なのです。また、アンチウイルスのマルウェアやウイルスの亜種などへの対応も、とても追いつきません。
これに対して、ホワイトリストは、「リストに載っていないソフトウェアの実行を認めない」方式です。ホワイトリストに記載されているもの以外は、一切のソフトウェアの実行を拒否します。システム管理部門が認めたソフトウェアだけをリストに追加していくことにより、承認されたソフトウェアの承認されたバージョンの利用が、認められたユーザーにのみ許されることになります。リストのアップデートは必要な時に行えばよく、シグネチャ ファイルのアップデートやセキュリティ パッチの適用に追われることもありません。また、承認されているものからリストに登録していけば良いため、迅速に運用を開始することができます。
専用端末/組み込みシステムのセキュリティ強化に最適
PGP Endpoint Application Control は、Windows Embedded ベースの POS 端末のような専用端末や、組み込みシステムのセキュリティ強化に最適です。Windows ベースの組み込みシステムは、開発の容易さから利用が広がっていますが、セキュリティ上のリスクもまた、Windows と同等にあることが問題でした。あらかじめ登録されたソフトウェア以外の動作を許さないホワイトリスト方式は、ウイルスやマルウェアなどに侵入されたとしても、それらを起動させることはできませんから、被害を最小限にできます。また、所定目的以外のソフトウェアのインストールを制限することでシステムの安定稼働を実現します。
技術仕様
サポートされているオペレーティング システム
PGP Endpoint Client
- Microsoft Windows 7 (32 ビット版および 64 ビット版)
- Microsoft Windows XP Professional SP2 以上 (32 ビット版および 64 ビット版)
- Microsoft Windows Vista SP1 以上 (32 ビット版および 64 ビット版)
- Microsoft Windows XP Embedded (XPe) (32 ビット版)
- Microsoft Windows Embedded Point of Service (WEPOS) (32 ビット版)
- Microsoft Windows XP Tablet PC Edition (32 ビット版)
- Citrix Access Gateway™ 4.5
- Citrix Presentation Server™ 4.0 for Windows Server 2003 SP1/SR2+ (32 ビット版)
- Citrix Presentation Server 4.5 for Windows Server 2003 SP1/SR2+ (32 ビット版および 64 ビット版)
- Microsoft Windows® Server 2000 SP4 以上 (32 ビット版)
- Microsoft Windows 2000 Professional SP4 以上 (32 ビット版)
- Microsoft Windows Server 2003 SP1 および SR2 以上 (32 ビット版および 64 ビット版)
PGP Endpoint Administration Server
- VMware および Microsoft Windows Server 2008 Hyper-V 仮想プラットフォーム
- Windows Server 2008 (32 ビット版および 64 ビット版)
- Windows Server 2008 R2 (64 ビット版)
- Windows Server 2003 SP1 および SR2
- Windows 2000 Server SP4
PGP Endpoint Administration Server Console (PGP Endpoint Administration Server 用の GUI Client)
- Microsoft Windows 7 (32 ビット版および 64 ビット版)
- Windows Server 2008 (32 ビット版および 64 ビット版)
- Windows Server 2008 R2 (64 ビット版)
- Microsoft Windows XP Professional SP2 以上 (32 ビット版)
- Microsoft Windows Server 2003 SP1 および SR2 以上 (32 ビット版)
- Microsoft Windows Vista SP1 以上 (32 ビット版および 64 ビット版)
データベース
- SQL Server 2008
- SQL Server 2008 Express Edition
- SQL Server 2005 SP2 (32 ビット版および 64 ビット版)
- SQL 2005 Express SP2 (無償版)
- SQL Server 2000 SP4
サポート言語
PGP Endpoint のクライアント マシン上でのステータス、アクセス権設定および通知でサポートされる言語
- イタリア語
- オランダ語
- スウェーデン語
- スペイン語
- ドイツ語
- フランス語
- ポルトガル語
- ロシア語
- 英語
- 中国語 (簡体字)
- 中国語 (繁体字)
- 日本語
FAQ
- PGP Endpoint Application Control とは何ですか、なぜ重要なのですか?
- PGP Endpoint Application Control は、どのようにしてアプリケーションの実行を制御するのですか?
- ホワイトリストとは何ですか、なぜ重要なのですか?
- Winny や Share の対策にも有効ですか?
- 新種のウイルス対策としても有効ですか?
- 許可済みのアプリケーションと同一のファイル名で、内容の違うソフトウェアは実行できますか?
- Windows のアップデートをするたびに、ホワイトリストを更新する必要がありますか?
- 一般ユーザーが PGP Endpoint Application Control のアンインストールやサービスの停止をすることはできますか?
- クライアント OS で管理者権限のあるユーザーは PGP Endpoint Application Control のアンインストールやサービスの停止をすることはできますか?
- Windows のセーフ モードでの起動時も制御は有効ですか?
- PGP Endpoint Administration Server ではなにができるのですか?
- PGP Endpoint Client と管理サーバーである PGP Endpoint Administration Server とはネットワーク接続が必須ですか?
- PGP Endpoint Client のリモート インストールは可能ですか?
- PGP Endpoint Client の設定が変更された場合、その内容をユーザーはどのようにして知ることができますか?
- PGP Endpoint Application Control によりデバイスの使用を拒否された際、どのようなメッセージが表示されますか?
- PGP Endpoint Client の設定が変更された場合、その設定を有効とするにはクライアントの再起動が必要ですか?
- 制御の設定はクライアント端末毎に設定するのですか?
- PGP Endpoint Application Control ではどのようなログを保存することができますか?
- ログはどのような形式で出力することが可能ですか?
PGP Endpoint Application Control とは何ですか、なぜ重要なのですか?
PGP Endpoint Application Control では、あらかじめ利用を許可するアプリケーションを登録しておき、それ以外のアプリケーションの実行を禁止することで、未承認あるいは悪意のあるソフトウェアの実行を防ぎ、システム侵害や情報漏えいのリスクから企業や組織を守ります。
PGP Endpoint Application Control は、どのようにしてアプリケーションの実行を制御するのですか?
ホワイトリスト方式により、アプリケーションの実行を制御します。通常業務等で利用が必要なアプリケーションをデータベースに登録し、アプリケーション毎にユーザーやグループに対して実行許可を割り当てます。ユーザーがアプリケーションを実行する際は、そのアプリケーションに対する実行許可を判定し、許可されていないアプリケーションであればその実行を防ぎます。各アプリケーションからはハッシュ値を取得しておき、登録時から内容の変更がある場合は許可されていないものとして、その実行を防ぎます。ユーザの意図しない変更があったなされていた場合でも見逃すことなく制御します。
ホワイトリストとは何ですか、なぜ重要なのですか?
「利用を許可するもの」を明示的に設定したものがホワイトリストで、ホワイトリストにあるもののみ利用を許可し、その他全てを利用禁止とする方式がホワイトリスト方式です。「利用を禁止するもの」を明示的に設定するブラックリスト方式では、急増する新たな脅威への追随が必要で、いわゆるゼロデイ攻撃等のリスクを抑えることは困難です。ホワイトリスト方式では、原則全て禁止で、許可するもののみ新たに設定を加えることとなり、セキュリティのリスクを抑えつつ運用負荷を低減させることができます。
Winny や Share の対策にも有効ですか?
はい、有効です。
ホワイトリスト方式で、ウイルスやスパイウェア等の動作を防止するので、実行を許可されていない Winny や Share は、たとえそれが、PC 上に存在したとしても、その動作は、完全にブロックされます。また、新種のウイルスやスパイウェアが出現した場合でも、システムやパターン ファイルのアップデート等、一切必要とせずに、その動作を、完全ブロックし、セキュアな環境を維持します。
新種のウイルス対策としても有効ですか?
はい、有効です。
ホワイトリスト方式で、ウイルスやスパイウェア等の動作を防止するので、ブラックリスト方式の場合に必要な、システムやパターンファイル等のアップデートを必要とせずに、新種のウイルスに対してもセキュリティを守ることが出来ます。
許可済みのアプリケーションと同一のファイル名で、内容の違うソフトウェアは実行できますか?
実行を許可するアプリケーションをホワイトリストとして登録する際、そのアプリケーションのファイル名だけではなく、そのハッシュ値にて判断します。ファイル名に変更が無くても、ファイルの内容に少しでも違いがあれば、別のファイルと判定しその実行をブロックします。
Windows のアップデートをするたびに、ホワイトリストを更新する必要がありますか?
いいえ、必要ありません。
Windows OS のアップデートに対しては、自動的に更新を行うツールを提供しております。都度手作業での更新を行うことなく、アップデートを登録・許可し、運用環境を維持することが出来ます。
一般ユーザーが PGP Endpoint Application Control のアンインストールやサービスの停止をすることはできますか?
いいえ。
一般ユーザーによって PGP Endpoint Application Control の停止やアンインストールされることはありません。
クライアント OS で管理者権限のあるユーザーは PGP Endpoint Application Control のアンインストールやサービスの停止をすることはできますか?
いいえ。
PGP Endpoint Application Control は管理者権限のあるユーザーでも停止やアンインストールすることはできません。
Windows のセーフ モードでの起動時も制御は有効ですか?
はい、有効です。
セーフ モード起動時も、通常起動時と同様の制御を行います。
PGP Endpoint Administration Server ではなにができるのですか?
ユーザーが利用するクライアント端末にインストールされる PGP Endpoint Client を集中管理し、デバイス利用ポリシーの設定や、クライアントのデバイス利用状況のログ取得/保存、レポーティングを行うことができます。
PGP Endpoint Client と管理サーバーである PGP Endpoint Administration Server とはネットワーク接続が必須ですか?
いいえ。
ポリシー ファイルのエクスポート/インポート機能により、オフラインのクライアントでもデバイス制御の機能を利用することができます。
PGP Endpoint Client のリモート インストールは可能ですか?
はい、可能です。
PGP Endpoint Application Control にはリモート インストール ツールも含まれておりますので、他のツールを必要とせず、各クライアントに PGP Endpoint Client を展開することが可能です。MSI インストール ツールにも対応しおり、その使用によるリモート インストールも可能です。リモート インストール以外では、ディスク イメージによる配布、AD のグループ ポリシーによる自動インストール、CD からのインストールが可能です。
PGP Endpoint Client の設定が変更された場合、その内容をユーザーはどのようにして知ることができますか?
管理者がクライアント端末の制御設定を変更した際、その内容を利用ユーザーに通知するためにクライアント端末にメッセージを表示させることが可能です。メッセージは、ユーザーやデバイス別にカスタマイズが可能です。
PGP Endpoint Application Control によりアプリケーションの利用が禁止された際、どのようなメッセージが表示されますか?
禁止されているアプリケーションの利用を試みた際に、そのアプリケーションの利用が禁止されていることをメッセージにて表示し、ユーザーの混乱を防ぐことができます。メッセージは、ユーザー別にカスタマイズが可能です。
PGP Endpoint Client の設定が変更された場合、その設定を有効とするにはクライアントの再起動が必要ですか??
いいえ、再起動は必要ありません。
制御設定の変更は管理コンソールからプッシュされて再起動することなく即時に反映されます。
制御の設定はクライアント端末毎に設定するのですか?
いいえ。
アプリケーション毎にユーザーまたはユーザー グループに対して利用制御の設定を行いますので、どのクライアント端末を使用しても設定された制御が適用されます。また、クライアント端末を限定した制御設定も可能で、共有端末等にのみ個別の制限をかけることもできます。
PGP Endpoint Application Control ではどのようなログを保存することができますか?
ユーザーのアプリケーションの使用に関するログと、管理者による PGP Endpoint Device Control に対する操作ログを取ることができます。
ログはどのような形式で出力することが可能ですか?
csv でのエクスポート、および HTML 形式でのメール配信、syslog をサポートしています。
