「ホワイトリスト」とは？ブラックリストとの違いやセキュリティの仕組みを解説します

ビジネスやプライベートを問わず、私達の生活に欠かせないものとなっているウェブテクノロジーは、近年ますますの発展を見せています。

スマホやPCを含む「モバイル端末の普及率」は96％を超えており、もはやウェブなしでの生活は考えられない方も多いことでしょう。

参考記事：総務省「情報通信機器の保有状況」

しかし、誰でも利用できるウェブの発達は、プライバシー情報に対するセキュリティの低下を招いてしまったことも否定できません。

誰にでも利用できるウェブを安全に使いこなすには、ユーザーのセキュリティへの意識が不可欠です。

特に、顧客情報を扱っている企業では個人情報の流出は、企業の信用問題に関わる問題として世間からの非難を受ける可能性もあります。

この記事では、ウェブ上のセキュリティに関わる仕組みとして活用されている「ホワイトリスト」について解説しています。

自他のプライバシーを遵守し、安全にウェブを活用するためにもぜひご覧ください。

ホワイトリストとは

「ホワイトリスト」は広義には、使用時にリスクが発生しないアプリケーション・ウェブサイト・プログラムなどをまとめたリストを指す用語です。

ウェブを使う上で脅威となるのは「マルウェア」と呼ばれる、悪意を持ったソフトウェアです。

代表的なものには「トロイの木馬」や「emotet」などがあり、いずれも個人情報の流出や端末・ネットワークの乗っ取りに使われます。

これらのマルウェアは外部からの攻撃や、マルウェアに感染したネットワークに接触することによって侵入します。

ホワイトリストの活用は、後者のユーザーがマルウェアにアクセスすることによって発生するリスクに対して効果を発揮します。

つまり、ホワイトリストは記載されたウェブサイトやアプリ以外は展開しない役割を担うことになります。

類似した言葉として「ブラックリスト」がありますが、こちらは展開させないウェブサイトやアプリをまとめたリストです。

2つの違いについては後半で詳しく解説しましょう。

また「ホワイトリスト」には、メールの送受信で使われる狭義のニュアンスも含まれています。

ここからは、セキュリティ全般に使われる「ホワイトリスト」と、メール業務で使われる「ホワイトリスト」を分類して解説します。

セキュリティ全般としての「ホワイトリスト」

冒頭でも解説したように、ホワイトリストを設定することでホワイトリストに挙げられているウェブサイト以外は展開できなくなります。

例えば、会社で「経理事務にのみ使用する端末」を用意したとしましょう。

ホワイトリストを設定しない場合、ウェブの使用はオープンになっているため、経理専用の端末とは言え危険なウェブサイトにアクセスが可能です。

しかし、入力に使うエクセルや自社の基幹システムをホワイトリストに設定すると、それ以外のウェブサイトやアプリは使用できません。

ホワイトリストを設定することでウェブを使う際の自由度は下がりますが、強固なセキュリティ環境を構築することができます。

メールにおける「ホワイトリスト」

メールでは「ホワイトリスト」というと、受信者が信頼できる送信元の情報を記載したリスト、を指します。

「送信元の情報」には、以下のようなものが含まれます。

ホワイトリストに登録された送信者は、受信者側から迷惑メールやスパムメールとして判断されづらくなります。

メールマーケティングを行っている企業でメールの到達率に課題がある場合は、ユーザーにホワイトリストへの登録を促すことで改善するケースもあります。

メールの受信におけるホワイトリストへの登録方法は、提供元のメールクライアントによって異なりますが、GmailではPCから以下の手順で設定できます。

上記の方法でホワイトリストへの登録が完了します。

この方法では登録したアドレスからのメールは迷惑メールに振り分けられないように設定されますが、他の迷惑メールを受信する可能性は残ります。

各メールクライアントが提供する迷惑メールフィルタの設定に従い、安全と判断されるメールはホワイトリストに記載されていなくても受信するためです。

そのため、先述したホワイトリストの定義と比較すると簡易的な設定と言えるかもしれません。

ホワイトリストに登録されたメールアドレス以外は受信したくない、という場合は以下の記事を参考にセキュリティ変更を行いましょう。

参考記事：メールの送受信を制限する

ホワイトリストの活用事例

ホワイトリストの活用方法について具体的な事例を紹介します。

セキュリティ全般

端末や使用するネットワークに施すホワイトリストは、先述したような「経理事務にのみ使用する端末」をイメージすると分かりやすいでしょう。

ユーザーが端末で使用できるウェブサイトやアプリケーションを限定することで、マルウェアなどの外部攻撃を遮断します。

ホワイトリストに記載するウェブサイトやアプリは社内協議を行い、一定の基準を満たしたもののみに限定される場合がほとんどです。

自社の個人情報取扱に関するポリシーを基盤に、ホワイトリストを作成しましょう。

また、IPアドレスをホワイトリストの項目にすることで、社外から機密情報にアクセスできないようにすることも可能です。

IPアドレスの制限は外部からの攻撃だけでなく、社員がオフィス外で機密情報にログインするなどのリスクを回避できます。

メール

メールの送受信ではフィルタリング機能の中の1つに「ホワイトリスト方式」があり、認証していない送信者からのメールを迷惑メールやゴミ箱に分類できます。

マルウェアの主な感染経路には、メールに添付されたリンクが挙げられます。

使用しているメーラー（ウェブメール）にホワイトリストを設定することで、承認したユーザーからのメールしか届かなくなります。

ただし、悪質な電子メールの中にはメールアドレスやIPアドレスを改ざんした上で送信されてくるものもあります。

上記のような行為は「なりすまし」や「改ざん」と呼ばれ、ホワイトリストを突破してマルウェアを侵入させてしまう可能性もあります。

そのため、多くのメールクライアントではSPFと呼ばれる暗号化技術や、DKIMと呼ばれるドメイン認証技術を使い、上記のような行為を防止しています。

関連記事：メール配信におけるTLSの役割。Gmailに正確にメールを配信する方法を解説します

しかし、それでも迷惑メール被害の報告は後をたたず、メールクライアントは厳しいガイドラインを設定し安全なメールの送受信環境を整備しています。

2024年2月にはGmailが「メール送信者のガイドライン」として、セキュリティ要件の高いガイドラインを実施しています。

関連記事：【解決策】2024年2月よりGmailガイドラインが変更！1日5000件以上の配信は対応必須！

個人情報のセキュリティに対するリテラシーは年々高まりつつあり、今後は多くのメールクライアントが同様のガイドラインを発表するものと思われます。

自他のプライバシーを守るためにも、ホワイトリストの活用だけでなく、メールの送受信におけるセキュリティは常に最新の環境を整えておきましょう。

ホワイトリスト活用時の注意点

ホワイトリストを活用することで、意図しないウェブサイトやアプリの使用を避けた高いセキュリティ環境が実現できます。

しかし、ホワイトリストを活用した場合、以下のような問題が発生することも覚えておきましょう。

つまりホワイトリストの運用には、作成や更新の手間がかかる上に、全ての悪意ある行動をブロックできるわけではない、という課題があることがわかります。

メールの送受信においては、なりすましのようなメールアドレス・IPアドレスを詐称した送信元からの送信には対応しきれないケースがあります。

とは言え、ホワイトリストを使わない状態よりはセキュリティが強固になることは間違いありません。

取り扱う情報の機密度に応じて、端末ごとにホワイトリストを設定しても良いかもしれません。

ホワイトリストの反対はブラックリスト

ホワイトリストと逆に「展開できないウェブサイトやアプリケーションを指定する」リストはブラックリストと呼ばれます。

メールでは、受信したくないアドレスを指定することでブラックリストを作成します。

ウェブサイトや受信したメールアドレスの中で、危険だとわかっているものをブロックするのがブラックリストの特徴です。

ホワイトリストと比較すると、以下のような特徴が挙げられます。

危険と認識したシステムのみをブロックするブラックリストは、逆に言えば「危険と認識していなければブロックすることはできない」のです。

そのため、ホワイトリストと比較すると自由度が高い一方で、十分なセキュリティを維持するには、こまめな更新が必要になります。

また、メールの受信においては、ブラックリストに記載するまではマルウェアに感染したメールも受信する可能性があります。

両者の特徴を把握した上で、適切なセキュリティ環境を整えましょう。

メールの送受信におけるホワイトリストの運用は基本的には簡易的な設定

先述したように、メールの送受信におけるホワイトリストの活用には、設定したメールアドレス（IPアドレス）以外は受信しない設定と、安全と判断されたメールを判別し受信する簡易的な設定の2つがあります。

より強固なセキュリティ環境を整備するには前者の設定が必要ですが、あまりに自由度が低くなってしまうため、後者の設定とブラックリストを活用するユーザーがほとんどでしょう。

そのため、自分が送信するメールを確実に相手のメールボックスに届けたいのであれば、迷惑メールフィルタに引っかからないための施策が求められます。

受信側のメールクライアントが迷惑メールを判別する際にチェックする項目には、以下のようなものがあります。

連絡ツールとしてメールを活用するのであれば、上記のような項目でフィルタに弾かれることはまれですが、メールマーケティングのような大量配信を行う場合は注意が必要です。

URLや画像を含むコンテンツを一斉送信でユーザーの元に送信すると、配信数や迷惑メールの報告率が増加するため、迷惑メールフィルタに引っかかる可能性もアップします。

メールマーケティングに注力している企業では、受信者の迷惑メールフィルタに引っかからずにコンテンツを配信する工夫として、メール配信システムを活用しています。

メール配信システムは、SPF・DKIMなどの送信元に求められるセキュリティ技術や、IPアドレスの分散といった迷惑メール対策を提供しています。

メール配信システムの中には、Gmailが発表した「メール送信者のガイドライン」にも対応しているサービスもあります。

後述する、メール配信システムのランキング記事を参考に、自社の配信規模にマッチしたメール配信システムを探してみてはいかがでしょう。

まとめ

主にマルウェアなどの外部攻撃に対するセキュリティの1つである「ホワイトリスト」は、端末で使用できるウェブサイトやアプリケーションをまとめたものです。

ホワイトリストを活用することで、安全性が確認できたシステムしか展開できなくなるため、高いセキュリティ要件を実現できるでしょう。

また「ホワイトリスト」は、メールの送受信で使われる言葉でもあります。

こちらの場合は、受信しても良いメールアドレスやドメインを記載したリストを指します。

ただし、メールの送受信においては、ホワイトリストに記載されたメールアドレスからのメールのみを受信する設定にしているユーザーは多くはありません。

上記のような設定ではあまりに自由度が低く、メールを使ったコミュニケーションの障害になりかねないためです。

そのため、大半のユーザーは「迷惑メールフィルタ」と「ブラックリスト」を活用して、悪意のあるメールを選別しています。

ホワイトリストだけでなく、迷惑メールフィルタやブラックリストなども活用して、悪質な外部攻撃から自他のプライバシーを守りましょう。

近年はGmailが「メール送信者のガイドライン」として、迷惑メールフィルタの強化を行ったことからも、メールの送信者にも高いセキュリティ意識が求められていることがわかります。

特に、顧客の個人情報を扱いメールマーケティングを行っている企業では、メール送受信時のセキュリティの整備は必須の項目と言っても良いでしょう。

上記のような企業では、セキュリティ対策を行いつつ確実に相手のメールボックスにコンテンツを届けるための施策として「メール配信システム」を活用しています。

以下の記事では、メール配信システムの仕組みや機能、料金などを比較してまとめてあります。

関連記事：おすすめメール配信システム比較20選！図解とランキング形式で解説

ぜひご活用ください。

また、以下のURLからは、メール配信システムの1つである「ブラストメール」の無料トライアルにお申し込みいただけます。

＞＞ブラストメールの無料トライアル

無料期間後に自動で有料に切り替わることはありませんので、安心してご活用ください。