Blue Planet-works|Blog

AppGuard Soloで信頼された発行元のデジタル署名を追加登録する方法

Tech Note

本ブログでは、AppGuardの「スペースルール」機能によって、正規のアプリケーションの起動が制御されてしまう場合にそれを解除するための方法を解説します。まずはAppGuardが提供する制御機能の1つである「スペースルール」機能について説明します。

スペースルール機能とは?

スペースルール機能は主にマルウェア等の不正なソフトウェアの生成や発症を制御することを目的に「起動制御」を行うものです。AppGuardはインストールされるとハードディスク内にあるフォルダを2つの領域に区分けして認識します。

1つ目の領域は上図の左側に位置する「システムスペース」です。この領域はAppGuardによって信頼された領域として扱われます。主にWindowsの管理者権限がなければ変更処理をかけることができないフォルダがこちらの領域に区分されます。例えば、Cドライブ直下にあるProgram FilesフォルダやWindowsフォルダが該当します。こちらに区分されたフォルダ内から起動するアプリケーションファイルは管理者ないしはマイクロソフト社によって配備されたものとなるため、起動制御は適用されません。

2つ目の領域は上図の右側に位置する「ユーザースペース」です。この領域はAppGuardによって信頼されていない領域として扱われます。ログインしたユーザーの権限の範疇で変更処理をかけることができるフォルダがこちらの領域に区分されます。例えば、ユーザープロファイルの配下にあるデスクトップ、マイドキュメントやダウンロードフォルダ、Cドライブ以外のドライブ、外付けのデバイスやネットワークフォルダが該当します。これらのフォルダはユーザーが自由にファイルの設置や変更が可能となるためシステムスペースに比べるとリスクが高いことから起動制御が適用されます。

起動制御はユーザースペースに区分されたフォルダ上から起動される「実行ファイル」に対して適用されます。この時、起動の可否を判断するために「デジタル署名の検証」をAppGuardが行います。デジタル署名は一般的に当該実行ファイルを作成した主体者が提供したものであることを証明するための情報です。AppGuardは起動されようとする実行ファイルがデジタル署名を保持していない場合は信用できないものとして起動を制御します。

では、デジタル署名が保持されたファイルであれば起動できるのかと言えばそうではありません。AppGuardはポリシー内に組織の管理者が信頼できる発行元が提供するデジタル署名をリストとして保持することができます。このリスト内に登録があるデジタル署名を保持した実行ファイルであればユーザースペース上から起動が許可されます。つまり、デジタル署名を保持しているだけでは起動はできません。

通常、攻撃者が送り込んでくる不正なソフトウェアやそれに準じる危険性の高いファイルにデジタル署名を保持させません。稀にどこからか盗んできたデジタル署名を用いることもありますが、AppGuardからすればいずれの場合においてもユーザースペース上からの起動を認めません。

攻撃者がユーザースペースでの起動を諦めてシステムスペースでの起動を試みた場合ですが、システムスペースに区分されたフォルダはAppGuardのもう1つの機能でもある「改竄処理の防止」機能によって、攻撃の経路となり得るリスクのあるアプリケーション、例えば、ブラウザ、MS Officeやコマンドライン系ツールを介して変更処理が認められません。つまり、攻撃者がシステムスペースに外部から不正なソフトウェアやそれに準じる危険性の高いファイルを設置することができません。

「スペースルール」機能を利用することで、システムスペースにはファイルを設置することができず、ユーザースペースには設置はできるものの起動させることができないという状況を作り出すことができます。これによって不正なソフトウェアの生成や発症を阻止します。

ユーザースペースからデジタル署名を持たない実行ファイルを起動させる

前述のとおり、ユーザースペースに区分されたフォルダからはAppGuardのポリシーに登録されたデジタル署名と同じ署名を持つ実行ファイルしか起動させることができません。実行ファイルを作成する上でデジタル署名を付与することは必須条件ではないため、ユーザーが利用するアプリケーションファイルの中にはデジタル署名を持たないものもあります。

デジタル署名を持つアプリケーションファイルは下図の様にプロパティ情報にデジタル署名の項目が表示されます。もし、AppGuardに未登録のデジタル署名を持つアプリケーションファイルをユーザースペース上から起動させたい場合には新たにデジタル署名の登録が必要となります。

デジタル署名はどのように確認できるのか、また実際のAppGuardの設定画面から署名を登録方法につきましては、こちらの動画で解説していますので、動画を視聴しながらの設定が可能です。

↓YouTubeサイトに移動↓
https://www.youtube.com/watch?v=xdrEQE7Rj5I

ぜひご活用ください。

(注)デジタル署名の個別設定はAppGuard Soloのみでの提供となります。

デジタル署名に関するFAQコーナー

Q.デジタル署名はいくつまで登録できますか?
A.256個までの登録が可能となっております

Q.起動したいアプリケーションファイルすべての署名登録が必要なのですか?
A.AppGuardの初期設定として、皆様がご利用されることの多いアプリケーションファイルのデジタル署名を約220種程度登録しています。こちらに登録のないものは、お客様自身での設定が必要となります。ただし、Program Filesといったシステムスペースに区分される領域から起動しているアプリケーションファイルのデジタル署名を登録する必要はありません。

Q.デジタル署名を追加するときの注意事項
A.登録は256個までとなりますので不要なデジタル署名は削除いただくか、システムスペース上へ移動できるかご検討ください。

システムスペースの移動場所例
EX)C:\Program Files (x86)又はC:Program Files
EX)C:\の直下

Q.デジタル署名がなくユーザースペース上から起動したい場合はどうしたら良いでしょうか?
A.後日配信いたします「ユーザースペースから署名のない実行ファイルを起動する方法」の動画をご参考ください


2021年8月24日
株式会社Blue Planet-works
マーケティング
坂井清美

監修:
株式会社Blue Planet-works
セキュリティアドバイザー
鴫原祐輔

AppGuardで感染対策を!



ページトップに戻る