すべてのプロダクト
Search
ドキュメントセンター

Security Center:自動アクセスのためのブラックリストとホワイトリスト

最終更新日:Jun 03, 2026

アクセスルールは、自動アクセスモードでアプリケーション保護に接続されるサーバープロセスの範囲を定義します。ブラックリスト、ホワイトリスト、および自動フルアクセスの 3 種類のポリシーを設定できます。このトピックでは、各ルールの設定ロジック、優先順位、および操作手順について説明します。これらのルールは、保護範囲のきめ細かな制御と誤検知の削減を必要とするセキュリティ運用保守のシナリオに適しています。

ブラックリストとホワイトリストのルール

ルールが有効になる仕組み

  • ブラックリストとホワイトリストは、自動アクセスモードにのみ適用され、手動アクセスモードには影響しません。

  • ブラックリストはホワイトリストよりも優先度が高くなります。プロセスがブラックリストとホワイトリストの両方の条件に一致する場合、アプリケーション保護はそのプロセスに接続しません。

  • ブラックリストとホワイトリストは、プロセスが接続される前に設定されていれば、即時に有効になります。プロセスが接続された後に設定された場合、ルールはプロセスの再起動後、または次回の自動アクセス時に有効になります。ブラックリストルールの削除は即時に有効になります。

ユースケース

リストタイプ

説明

ユースケース

プロセスタイプ

ブラックリスト

  • ブラックリストを使用して、特定のプロセスを保護対象から除外します。これにより、安全であることがわかっている、または保護を必要としないプロセスへの干渉を回避し、パフォーマンスオーバーヘッドや誤検知などの問題を防止します。アプリケーション保護は、ブラックリストのルールに一致するプロセスには接続しません。

  • ブラックリストを有効にするには、RASP エージェントをバージョン 1.0.5 以降にアップグレードする必要があります。

  • ほとんどのプロセスは保護が必要ですが、いくつかの例外があります。

  • 包括的な保護よりもアプリケーションのパフォーマンスが優先されます。

  • データベースなどのリソースを大量に消費するプロセス

  • 信頼できるシステムプロセス

  • 互換性の問題があるプロセス

  • テスト環境のプロセス

ホワイトリスト

  • ホワイトリストを使用して、特定のプロセスセットのみを保護します。このアプローチは、重要なアプリケーションを高精度で保護するのに最適です。

    アプリケーション保護は、ホワイトリストのルールに一致するプロセスにのみ接続します。ホワイトリストまたはブラックリストのルールを設定しない場合、アプリケーション保護はアセット上のすべてのプロセスに自動的に接続します。

  • ホワイトリストを有効にするには、RASP エージェントをバージョン 0.9.4 以降にアップグレードする必要があります。

最小権限の原則に従い、重要なプロセスのみを保護します。

  • 機密性の高いビジネスプロセス

    決済やユーザーデータサービスなどのコアビジネスプロセスのセキュリティを強化し、セキュリティの死角をなくします。たとえば、payment_gatewayuser_auth_service のような金融取引プロセスのみに接続することを選択できます。

  • ハイブリッド環境における分離要件

    マルチテナントまたはハイブリッドデプロイメント環境では、保護範囲を制限して責任の境界を定義できます。たとえば、docker-app-xxx のような特定の顧客に属するコンテナプロセスのみを保護し、他のテナントのプロセスには接続しないようにすることができます。

ブラックリストまたはホワイトリストの追加

以下の手順では、ブラックリストの追加方法について説明します。ホワイトリストを追加する手順も同様です。

  1. Security Center コンソールにログインします。

  2. 左側のナビゲーションペインで、保護設定 > アプリケーション保護 を選択します。コンソールの左上隅で、アセットが配置されているリージョン ([Chinese Mainland] または [Outside Chinese Mainland]) を選択します。

  3. [アプリケーションの設定] タブで、右上隅にある [Management Settings] をクリックします。

  4. [Management Settings] パネルの [Manage Access Rule] タブで、[Blacklist] タブをクリックし、[Add Blacklist] をクリックします。

  5. [Add Blacklist] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。

    パラメーター

    説明

    [ルール名]

    ブラックリストルールの名前を入力します。

    [ルールスイッチ]

    ルールはデフォルトで有効になっています。

    [Effective Application Type]

    ブラックリストを適用するアプリケーション言語 ([Java] または [PHP]) を選択します。

    [Match Condition]

    ブラックリストのルールに一致する条件を選択します。有効な値は次のとおりです。

    • [cmdline]:コマンドラインパラメーターに基づいて除外するプロセスを照合します。サポートされている一致演算子は、IncludeDoes Not ContainContains One of Multiple Values、および Does Not Contain Any Value です。

    • [Environment Variables ]:アクセスする環境変数に基づいて除外するプロセスを照合します。サポートされている一致演算子は equals のみです。

    • [-D parameter ]:Java プログラムの起動時に設定されるシステムプロパティに基づいて除外するプロセスを照合します。サポートされている一致演算子は equals のみです。

      説明

      このオプションは、[Effective Application Type] が [Java] に設定されている場合にのみ使用できます。

    • [Container Name]:属しているコンテナの名前に基づいて除外するプロセスを照合します。サポートされている一致演算子は、IncludeDoes Not ContainContains One of Multiple Values、および Does Not Contain Any Value です。

      説明

      このオプションは、[Effective Application Type] が [PHP] に設定されている場合にのみ使用できます。

    [Add Condition] をクリックして、複数の一致条件を追加します。条件間の論理関係は AND であり、プロセスがルールに一致するにはすべての条件を満たす必要があります。

    例:

    • 起動パラメーターに文字列 tomcat が含まれるプロセスを除外するには、次のように設定します。

      • [条件] で、[cmdline] を選択します。

      • [Match Mode] で、[Include] を選択します。

      • [Content to Match] に、「tomcat」と入力します。

    • 起動パラメーターに文字列 apache または test が含まれないプロセスを除外するには、次のように設定します。

      • [条件] で、[cmdline] を選択します。

      • [Match Mode] で、[Does Not Contain Any Value] を選択します。

      • [Content to Match] に、「apache,test」と入力します。

    [Match Mode]

    ルールの一致演算子を選択します。

    [一致するフィールド]

    一致させるフィールドを入力します。

    説明

    このパラメーターは、[Match Condition] が [Environment Variables ] または [-D parameter ] に設定されている場合にのみ必要です。

    [Content to Match]

    一致させるコンテンツを入力します。

    [アプリケーショングループの有効化]

    このブラックリストルールを適用するアプリケーション グループを選択します。選択したグループのアプリケーションタイプは、[Effective Application Type] で指定されたタイプと一致する必要があります。

ブラックリストまたはホワイトリストの編集または削除

  1. Security Center コンソールにログインします。

  2. 左側のナビゲーションペインで、保護設定 > アプリケーション保護 を選択します。コンソールの左上隅で、アセットが配置されているリージョン ([Chinese Mainland] または [Outside Chinese Mainland]) を選択します。

  3. [アプリケーションの設定] タブで、右上隅にある [Management Settings] をクリックします。

  4. [Management Settings] パネルの [Manage Access Rule] タブで、[Blacklist] または [Application Access Whitelist] サブタブに移動します。管理するルールを見つけ、[Actions] 列の [編集] または [削除] をクリックします。

    ルールを削除できるのは、そのルールを使用しているアプリケーション グループがない場合のみです。ルールを削除する前に、まず関連するすべてのアプリケーション グループからルールを削除する必要があります。

自動フルアクセス (Java プロセスのみ)

サポートされているシナリオ

アプリケーション保護の従量課金を有効にすると、カスタムのオンデマンドバインディングを設定しない場合、システムはデフォルトですべてのアセットの Java プロセスを管理のためにアプリケーション保護に追加し、低速アクセス方式を使用します。

アプリケーション保護を有効にしてもプロセスが接続されていない場合、ダイアログボックスに 2 つのオプション ([Automatic Full Access] と [Custom Access]) が表示されます。[Automatic Full Access] を選択すると、システムはデフォルトで[Slow Access]方式を使用します。[Configure Now] をクリックして、アクセス方式を[Fast Access]、[Regular Access]、または[Slow Access]に変更できます。

アクセス方式

アクセス方式

説明

[Fast Access]

プロセス数が少なく、アプリケーションの安定性に対する要件が低い環境に適しています。インストール時間は短いです。

[Regular Access]

プロセス数が中程度で、アプリケーションの安定性に対する要件が低い環境に適しています。インストール時間は平均的です。

[Slow Access]

プロセス数が多く、アプリケーションの安定性に対する要件が高い環境に適しています。インストール時間は長いです。

自動フルアクセスの停止

[Automatic Full Access] を有効にした後、いつでもプロセスを停止できます。保護設定 の下にある [アプリケーション分析] タブに移動します。次に、アクセスステータスのプロンプトで [Stop Accessing] をクリックします。

重要

プロセスを停止すると、自動フルアクセスを再度開始することはできません。アプリケーション保護は、アクセスステータスが [Queuing] のサーバーには接続しません。アクセスステータスが [In Progress] のサーバーは、インストールを続行します。

プロセスを停止した後、プロンプトで [View Details] をクリックして、アセット上の Java プロセスの接続ステータスを確認できます。