情報セキュリティマネジメント試験 用語辞典

ホワイトリスト
シラバス外
【Whitelist】
パケットをすべて「拒否」する初期状態に、通信を「許可」するルールを記述したリスト。安全であり、通過させてもよい通信パターンを記述する。
↓ 用語データを見る
分野:
情報セキュリティ対策
技術的セキュリティ対策
出題歴:
H29年春期問29 
重要度:
(Wikipedia ホワイトリストより)

ホワイトリスト(Whitelist)とは、警戒する必要のない対象の一覧表のこと。対義語はブラックリスト。

概要

インターネット

例えば、青少年にインターネットを扱わせる場合、青少年に見せても安全なページだけを登録しておき、それ以外のページにはアクセスできないようにすると安全である。このとき、青少年に見せても安全なページのリストアップが「ホワイトリスト」にあたり、青少年に見せても安全なページ(ホワイトリスト)にしかアクセスできないようにする方法は「ホワイトリスト方式」と呼ばれる。

日本の携帯電話においては、電気通信事業者が認めた公式ウェブサイトであり、かつ限定したカテゴリーに属するウェブサイトのみアクセスできる方式を「ホワイトリスト方式」としている。したがって、非公式サイトはホワイトリストからは排除されている。なお、総務省の「インターネット上の違法・有害情報への対応に関する検討会」中間とりまとめでは「13 歳未満の小学生が利用する携帯電話のフィルタリングサービスとして推奨することは可能だが、18歳未満の青少年一般に推奨するには不適当であろう。」と結論付けており、その性格を明らかにするため「携帯事業者提供リスト方式」と呼ぶことがふさわしいとしている。

メール・電話

電話や電子メールにおいては、着信・受信を許可する対象が「ホワイトリスト」と呼ばれる。

特徴

利点

従来のブラックリスト方式の場合、アドレス詐称が行われた場合にリストが無意味なものになってしまい、効果の面で疑問があった。また、ブラックリスト自体が巨大なデータベース化されてしまうことによりコンピュータ資源が浪費してしまうという問題もあったが、ホワイトリスト方式はそのような懸念が払拭されることになる。

欠点

ホワイトリストに指定できるのは、膨大な数が存在するウェブサイトや電話番号からすれば極々一部である。よって安全性はブラックリスト方式より高くなる反面、利便性は損なわれてしまう。

なお、日本の携帯電話におけるホワイトリスト方式の問題点としては以下の点が指摘されている。

  • 携帯電話事業者により公式サイトとして認められる必要があり、公的機関を含む大多数の有害でないサイトが排除されてしまうこととなる。
  • ホワイトリストの基準となる、公式サイトに当たるかどうかの最終的な決定は、携帯電話事業者の裁量に委ねられており、その恣意性が指摘されている。

出題例

WAF(Web Application Firewall)におけるブラックリスト又はホワイトリストの説明のうち,適切なものはどれか。

[出典]情報セキュリティマネジメント 平成29年春期 問29

  • ブラックリストは,脆(ぜい)弱性のあるWebサイトのIPアドレスを登録するものであり,該当する通信を遮断する。
  • ブラックリストは,問題のある通信データパターンを定義したものであり,該当する通信を遮断又は無害化する。
  • ホワイトリストは,暗号化された受信データをどのように復号するかを定義したものであり,復号鍵が登録されていないデータを遮断する。
  • ホワイトリストは,脆弱性がないWebサイトのFQDNを登録したものであり,登録がないWebサイトへの通信を遮断する。
正解 

「技術的セキュリティ対策」の用語

「情報セキュリティ対策」の他の分野

「セキュリティ」の他のカテゴリ

このページのWikipediaよりの記事は、ウィキペディアの「ホワイトリスト」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。


Pagetop