ホワイトリスト

ホワイトリストについて

ホワイトリスト（英語: whitelist）は、一般的に警戒する必要のない対象のリストを示します。この概念は、特定の相手にサービスを提供することを目的とし、逆に対象外の利用者にはアクセスを拒否する手法として利用されます。ホワイトリストの対義語として、サービスを拒否する対象を記した「ブラックリスト」が存在しますが、この二つの用語は、対象の選定やサービスの提供方法において異なるアプローチを取ります。現代では、ホワイトリストが適切なセーフリスト（英語: safelist）と呼ばれることもあり、これは差別的なニュアンスを避けるための工夫です。

概要

サービスの提供に関して、相手の選定方法は大きく2つに分類されます。ひとつは、Allow-Deny方式で、これは全ての相手にサービスを提供するものの、特定の相手に対してのみサービスを制限または拒否する方法です。この方式では、例えば金融機関の与信事故情報や、警察が保持する犯罪者リストなどが該当します。

一方、ホワイトリストはDeny-Allow方式に基づいており、初めに全ての相手にサービスを拒否し、次に特定の相手にのみサービスを提供する方法です。こちらには、商業における優良顧客リストや、国家間の信頼関係に基づくホワイト国リストが含まれます。この方式は、許可される対象が少数である場合によく使用されます。

危険性

ホワイトリストに登録された対象は、相対的に特権を持ちますが、リストに指定する際には、その根拠が明確でなければなりません。さもないと、意図的にサービスが拒否されるべき相手にまで特権を与えかねず、情報セキュリティや安全保障においてはリスクを伴います。さらに、ホワイトリストに記載された対象は、定期的に再評価される必要があります。もし警戒すべき対象が一つでもホワイトリストに含まれれば、そのリスト全体に対して警戒しなければならないため、元々の目的が失われてしまう可能性があります。

例えば、自動的にアクセスを許可するような情報システムでは、ホワイトリストの存在が脆弱性を改善する一方で、逆に攻撃者に利用される恐れがあるため、注意が必要です。

使用例

インターネットにおける利用

青少年にインターネットを利用させる際には、安全なページのみをホワイトリストに登録し、それ以外のページへのアクセスを制限する方法が効果的です。この場合、青少年が閲覧できる安全なページのリストアップがホワイトリストに該当し、青少年はそのホワイトリストに掲載されたページのみにアクセス可能となります。このような仕組みを「ホワイトリスト方式」と呼び、特に日本の携帯電話業界では、認可された公式サイトに限定してアクセスを制限する形が取られています。

電話や電子メール

電話や電子メールにおいても、着信や受信を許可する特定の対象がホワイトリストに該当します。

貿易管理

貿易管理の観点では、大量破壊兵器に関連する物資取引を監視するために、信頼できる相手国に優遇措置を与えることがあり、日本の貿易管理において「ホワイト国」と呼ばれる制度がその一例です。

参考文献

関連するテーマより情報を得たい場合は、フィルタリングやブラックリストについても調べると良いでしょう。

もう一度検索