>
>
公開日
ホワイトリストとは、あらかじめ安全と認めた対象だけを許可し、それ以外を拒否する方式です。英語ではwhitelistまたはwhite listと表記され、現在はアローリストという呼称も広がっています。
本記事は、用語の意味を知りたい非エンジニア、IPアドレス制限やIPSのホワイトリストを設定する担当者、SaaSや端末管理を担う情シス向けです。50名未満なら手動管理でも始められますが、50〜300名では申請フロー、300名超では自動更新とEDR連携を前提に設計する必要があります。

ホワイトリスト(アローリスト)とは
事前承認された安全な対象のみに実行を許可するのがアローリスト方式の基本原則である。
本記事のポイント
ホワイトリストとは、許可済みのIPアドレス、ドメイン、アプリ、ファイルだけを通す制御である。
未知のマルウェアやゼロデイ攻撃に強い一方、更新管理を誤ると業務アプリが止まる。
ホワイトリストとブラックリストの違いは、デフォルト許可かデフォルト拒否かに集約される。
2026年時点では、静的なリスト管理からデジタル署名やコンテキスト制御へ移行している。
英語のwhitelist(ホワイトリスト)も、アローリストと同じ概念を指します。whitelistedは、対象が許可リストに登録済みでアクセスや実行を認められている状態を意味します。
NIST SP 800-167が示す5つの判別属性
NIST SP 800-167 Guide to Application Whitelistingでは、アプリケーションを安全と判定する属性を複数示しています。実務ではセキュリティ強度だけでなく、更新頻度と管理工数のバランスを含めて評価します。
判別属性 | 強度 | 運用負荷 | 実務上の注意点 |
|---|---|---|---|
ファイルパス | 低 | 低 | 同じ場所に不正ファイルを置かれると突破されるため単独利用は避ける。 |
ファイル名 | 低 | 低 | excel.exeのような名前の偽装に弱く、補助条件として使う。 |
ファイルサイズ | 中 | 中 | 改ざん検知に使えるが、正規アップデートでも値が変わる。 |
暗号ハッシュ値 | 高 | 高 | 改ざん検知に強いが、更新のたびに登録変更が必要になる。 |
デジタル署名・発行元 | 高 | 中 | MicrosoftやAdobeなど信頼済み発行元を許可でき、現在の主流である。 |
IPSやファイアウォールでの仕組み
ファイアウォールでは、送信元IPアドレスや宛先ポートを許可リスト化し、登録外の通信を遮断します。IPS ホワイトリストは、信頼済み通信を検知・遮断対象から除外する例外設定として使われますが、広く許可しすぎると攻撃通信まで通すため、送信元、宛先、時間帯を絞る設計が必要です。
アローリストへの言い換えが進む理由
近年は、ホワイトリストとブラックリストという表現を避け、アローリスト、ブロックリスト、デナイリストへ置き換える動きが進んでいます。英国NCSCもTerminology, it is not black and white(NCSC公式ブログ)で用語見直しを説明しており、Inclusive Naming Initiative(公式サイト)も包摂的な技術用語への移行を後押ししています。
ブラックリストとホワイトリストの違いと比較
既知の脅威を防ぐブラックリストに対し、ホワイトリストは未知の脅威を事前遮断することに特化している。
ブラックリストとホワイトリストの違いは、初期状態の扱いにあります。ブラックリスト方式は原則許可し、危険と判明した対象だけを拒否します。ホワイトリスト方式は原則拒否し、許可済みの対象だけを通します。
比較項目 | ホワイトリスト方式 | ブラックリスト方式 |
|---|---|---|
基本方針 | デフォルト拒否 | デフォルト許可 |
未知の脅威 | 未許可なら実行前に遮断 | 定義前の脅威は通過し得る |
業務影響 | 設定漏れで正規アプリも止まる | 日常業務への影響は小さい |
適した領域 | 基幹システム、OT、POS、管理者端末 | メール、Web閲覧、一般端末のURL制御 |
管理対象 | 許可すべき通信・アプリ | 拒否すべき脅威情報 |
国内ではサプライチェーン全体の防御水準が問われています。経済産業省が公表したサプライチェーンセキュリティ評価制度に関するプレスリリース(経済産業省)では、取引先を含むセキュリティ評価の重要性が示されています。セキュリティ専門人材が少ない企業にとって、未知の実行ファイルを起動前に止めるアローリストは有効な対策の一つです。
▲ ホワイトリスト方式(原則拒否)とブラックリスト方式(原則許可)のアクセス制御フローの比較
ホワイトリスト方式のメリットと高まる重要性
未知の攻撃を入口で100%防ぐアローリスト方式は、巨額化するインシデント被害を未然に防ぐ最善手となる。
インシデント損失の高額化に先回りできる
KPMGジャパンのサイバーセキュリティサーベイ2026(KPMGジャパン公式)では、過去1年間のサイバーインシデント被害額が10億円以上に達した国内企業が初めて確認され、1億円以上の被害が発生した企業も10.1%に上りました。未許可プログラムの実行自体を遮断するアローリストは、復旧費、停止損失、顧客対応費が発生する前に被害を抑えます。
PCI DSS v4.0と必要最小限の通信制御
クレジットカード業界では、2025年3月以降にPCI DSS v4.0の将来日付要件が本格適用されています。PCI Security Standards Council 公式PCI DSSページが示す通り、カード会員データ環境ではネットワークセキュリティコントロールにより必要な通信だけを許可する設計が求められます。POSや決済端末では、アプリ実行制御と通信許可リストを組み合わせることが実務上の基本です。
ゼロトラストでは静的リストから動的制御へ進む
2025年6月改定の政府統一基準群(内閣サイバーセキュリティセンター)や重要インフラ向けガイドラインでも、認証、端末状態、アクセス元、業務時間といった文脈情報を踏まえた制御が重視されています。現代のアローリストは一度登録して終わりではなく、ユーザー権限、端末の健全性、場所、時間帯を組み合わせて許可可否を変えるコンテキスト制御へ進化しています。
OTやIoTでは軽量性が強みになる
工場設備、ビル管理、医療機器、POS端末では、頻繁な定義ファイル更新やフルスキャンが性能低下を招きます。アローリスト方式は許可済みのものだけを確認するため、リソースの限られた端末でも運用しやすく、24時間365日の連続稼働が必要な環境に適しています。
ホワイトリスト(アローリスト)のデメリットと実務での課題
業務アプリの自動アップデートに伴うリスト手動更新の負荷が、ホワイトリスト運用の最大のボトルネックである。
OktaのBusinesses at Work 2025(Okta公式レポート)によると、日本企業の平均業務アプリ数は46個で、前年比31%増です。SaaS、デスクトップアプリ、ブラウザ拡張、生成AIツールが増えるほど、許可リストの更新遅れが業務停止に直結します。
デメリット | 起きる問題 | 実務上の対策 |
|---|---|---|
更新負荷 | Chromeや業務アプリの更新後に起動できない | ハッシュ値単独ではなくデジタル署名を使う |
初期棚卸しの手間 | 必要アプリと不要アプリの区別に時間がかかる | 学習モードで30から60日ログを取る |
例外申請の遅延 | 現場が無断ツール利用に流れる | 申請から承認までの目標時間を決める |
シャドーAI | 未承認AIへの情報入力を見逃す | 許可済みAI、禁止AI、要申請AIに分類する |
制限を強くするだけでは、現場が回避策を探します。ホワイトリスト方式のメリットとデメリットを比較する際は、防御力だけでなく更新頻度や申請処理、ヘルプデスクの負荷を含めて総合的に評価します。
アローリスト運用のよくある失敗パターンと失敗しないための対策
ハッシュ値のみに依存した静的な運用から脱却し、信頼されたデジタル署名や動的な差分更新を活用することが成功の鍵を握る。
やってはいけないことは初日から全遮断する運用
導入初日にブロックモードへ切り替えると、正規のマクロ、開発ツール、業務プラグインまで止まります。問い合わせが集中し、情シスが例外登録に追われ、最終的に機能を無効化する失敗が起こります。最初の30から60日は学習・シミュレーションモードで稼働実態を集める設計が必要です。
ハッシュ値登録によるアップデート地獄
暗号ハッシュ値は改ざん検知に強い反面、アプリが1回更新されるだけで値が変わります。毎週更新されるブラウザやSaaS連携ツールをハッシュ値だけで管理すると、リスト更新が業務より先に追いつかなくなります。
信頼されたインストーラーと動的アローリスティング
実務上の対策としては、信頼されたインストーラーやベンダーのデジタル署名、クラウドの安全評価データを組み合わせます。安全な更新経路から配布されたファイルは自動的に許可し、不審な変更だけを保留するダイナミック・アローリスティングを使えば、セキュリティを落とさず運用工数を減らせます。
学習モードで通常業務の実行ログを取得する。
業務必須アプリをデジタル署名単位で登録する。
開発ツールやマクロは部門別の例外ルールに分ける。
新規アプリ申請の承認目標を24から48時間に設定する。
月次で未承認アプリとシャドーAIのログを確認する。
環境寄生型攻撃に備えるハイブリッド多層防御
アローリスト単体では正規ツールを悪用する攻撃を完全に見抜けないため、EDRやMDRとの役割分担が必須である。
LotL攻撃は許可済みツールを悪用する
Living Off The Land攻撃は、PowerShell、WMI、cmd.exeなど、OSに標準搭載された正規ツールを使って攻撃を進めます。これらは運用上必要なため許可リストに入っていることが多く、アローリストだけでは悪用の意図を判別できません。
前段で止め、後段で監視する
対策 | 主な役割 | 防げる対象 |
|---|---|---|
アローリスト | 未許可プログラムの実行前遮断 | 未知マルウェア、無断ツール、不要な実行ファイル |
EDR | 許可済みプロセスの不審挙動を検知 | PowerShell悪用、横展開、認証情報探索 |
MDR | 検知後の調査と封じ込めを外部専門家が支援 | 夜間や休日の侵害対応、継続監視 |
アローリストは入口の制御、EDRは実行後の監視です。未知マルウェアを入口で減らし、正規ツール悪用を振る舞いで検知する構成が、2026年時点の実務的な多層防御です。
▲ アローリスト・EDR・MDRによるセキュリティ多層防御の構成と役割分担
規模別の導入判断と運用チェックリスト
企業規模によって、ホワイトリストの管理対象と自動化の優先度は明確に変わる。
企業規模別の現実的な始め方
規模 | 推奨範囲 | 管理方法 | 避けるべき運用 |
|---|---|---|---|
50名未満 | 管理者PC、会計端末、VPN接続元IP | 表計算ソフトと月次棚卸しでも開始可能 | 全端末一斉ブロック |
50から300名 | 基幹システム、SaaS管理画面、開発端末 | 申請ワークフローと学習モードを併用 | 担当者の手作業だけに依存 |
300名超 | 全社端末、サーバー、OT、特権ID端末 | デジタル署名、自動同期、EDR連携が必須 | ハッシュ値中心の静的管理 |
導入フェーズ表
時期 | やること | 成果物 |
|---|---|---|
導入前 | 稼働中プログラム、通信先IP、SaaSを棚卸しする | アプリ台帳、通信先一覧 |
1から2カ月目 | 学習モードでログを収集し、不要アプリを分類する | 許可候補リスト、禁止候補リスト |
3カ月目 | 部門単位でブロックモードを開始する | 例外申請フロー、運用手順書 |
運用後 | 月次で未承認アプリ、シャドーAI、EDR検知を確認する | 監査レポート、改善リスト |
業務停止時の緊急解除ルールを事前に決める。
例外登録の責任者と承認期限を明文化する。
開発部門、経理部門、工場端末は同じルールにしない。
EDRの検知ログとアローリストの遮断ログを同じ会議で確認する。
▲ 業務停止の混乱を防ぐアローリスト(ホワイトリスト)段階的導入の4ステップ
企業におけるホワイトリストのセキュリティ活用例と国内導入事例
アローリスト方式は、リソースの限られたOT環境や厳格なシャドーIT統制を求める企業のセキュリティ強化で豊富な実績がある。
IPアドレス制限、SaaS管理画面のログイン制御、POS端末の実行制御、工場OTのロックダウンなど、用途は広範です。国内事例を見ると、単なるウイルス対策ではなく、業務停止を避けながら統制を強める目的で採用されています。
企業 | 業種・規模 | 導入時期 | 課題→施策→成果 |
|---|---|---|---|
JFEスチール株式会社 | 製造業、製鉄所OT | 公開事例で詳細非公開 | 24時間365日停止できない制御端末の保護が課題。AppGuard WorkstationなどのOS保護型アローリストで未許可プロセスを抑止。定義ファイル更新に依存しないOT防御を実現。 |
富士通株式会社 | IT・流通向けPOS | 公開事例で詳細非公開 | 次世代POSシステムTeamStore/DXで決済処理の低遅延とカード情報保護が課題。Trellix Embedded Controlの実行許可リスト型制御を採用。未知マルウェア感染リスクを抑え、POSの安定稼働を支援。 |
NCS&A株式会社 | システム開発・導入 | 公開事例で詳細非公開、全社導入は約1カ月 | 従業員が自己判断で使うフリーツールやシャドーITが課題。AppGuardで信頼条件を満たさないアプリ起動を遮断。社内利用アプリの可視化とIT統制を同時に進めた。 |
東洋テック株式会社 | 警備サービス | 公開事例で詳細非公開 | より高度なマルウェアへの対応と全社的なIT統制の強化が課題。AppGuardで未承認プログラムの起動をシステムレベルで制御。マルウェア防御の強化とIT統制の効果を同時に実現。 |
株式会社市進ホールディングス | 教育サービス、全国約200拠点 | 2017から2018年頃の公開事例 | 拠点ごとの許可サイト登録が手作業で、運用遅延が課題。InterSafe GatewayConnection導入事例ではクラウド一元管理に移行。運用コストを約半分に削減したとされています。現在は環境が変化している可能性があるため、最新条件は提供元で確認が必要です。 |
よくある質問
Q:ホワイトリストとは何ですか?
A:ホワイトリストとは、事前に安全と認めたIPアドレス、アプリ、ドメイン、ファイルだけを許可する仕組みです。登録外の対象は、悪意が確認されていなくても拒否されます。
Q:アローリストとホワイトリストに違いはありますか?
A:機能上の違いはありません。アローリストは、ホワイトリストをより中立的な表現へ置き換えた呼称です。
Q:whitelist、white list、whitelistedの意味は何ですか?
A:whitelistとwhite listは許可リストを意味します。whitelistedは、対象が許可リストに登録済みでアクセスや実行を認められている状態を指します。
Q:ホワイトリスト方式とブラックリスト方式はどちらが安全ですか?
A:未知の脅威を防ぐ力はホワイトリスト方式の方が高いです。ただし業務停止リスクがあるため、一般端末ではブラックリスト方式やEDRと組み合わせる運用が現実的です。
Q:IPSのホワイトリストとは何ですか?
A:IPSのホワイトリストとは、信頼済みの通信をIPSの検知・遮断対象から除外する設定です。誤検知を減らせますが、許可範囲を広げすぎると攻撃通信も通すため、送信元や宛先を絞る必要があります。
まとめ
監修・執筆について:本記事は、情報セキュリティ管理(ISMS)および企業のエンドポイント・ネットワークセキュリティ設計に関する実務経験を持つセキュリティ担当者の知見をもとに執筆・監修しています。記載内容は公開情報および各ベンダー・政府機関の公式資料に基づいています。
セキュリティの境界防御を超えてアローリストを実装する
ホワイトリストは、未知の脅威を入口で止める強力な方式ですが、手動更新に依存すると業務停止を招きます。まず明日から取り組むべき一歩は、自社で稼働中のプログラム、通信先IP、SaaS、生成AI利用状況の棚卸しと可視化です。そのうえで、デジタル署名、学習モード、EDR連携を組み合わせ、止めないアローリスト運用へ移行しましょう。
✅ 稼働中のプログラム・通信先IP・SaaS・生成AIツールを棚卸しし、アプリ台帳を作成する
✅ 学習モードで30〜60日間ログを収集し、許可候補と禁止候補を分類する
✅ デジタル署名ベースの登録・EDR連携・例外申請フローを整備してブロックモードへ移行する
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。




