ブラックリストとホワイトリストの違いは許可・拒否の基準設定です。この記事では運用上の役割、誤設定リスク、使い分け、SG試験で混同しやすいひっかけポイントを整理します。

sg security_measures unauthorized_access network sg-security-measures

まず結論

ブラックリストとホワイトリストは「通信を許可・拒否するルールの考え方」であり、SG試験では「何を基準に許可・拒否しているか」を見抜く問題として出題される

直感的な説明

イメージで考えるとシンプルです。

  • ブラックリスト
    ダメな人だけ入れない(基本OK)

  • ホワイトリスト
    許可された人だけ入れる(基本NG)

例えば会社の入館管理で考えると、

  • ブラックリスト:問題を起こした人だけ入館禁止
  • ホワイトリスト:社員証を持っている人だけ入館OK

この「どちらを基準にするか」がポイントです。

定義・仕組み

ブラックリストとホワイトリストは、ファイアウォールやWAFなどで使われるアクセス制御の方式です。

ブラックリスト方式

  • 初期状態:すべて許可
  • 「禁止したい対象」を登録
  • 該当するものを遮断

👉 例:

  • 特定のIPアドレス
  • 攻撃パターン(WAFの場合)

ホワイトリスト方式

  • 初期状態:すべて拒否
  • 「許可する対象」を登録
  • 登録されたものだけ通す

👉 例:

  • 特定のIPアドレスのみ許可
  • 特定のURLのみアクセス可能

SG試験ではここが重要です👇

👉 ブラックリスト=禁止ベース
👉 ホワイトリスト=許可ベース

どんな場面で使う?

ブラックリストが使われる場面

  • 既知の攻撃を防ぐ(WAF)
  • スパムメール対策
  • 不正IPの遮断

👉 「とりあえず全部通すが、危険なものだけ止める」

ホワイトリストが使われる場面

  • 社内システムへのアクセス制限
  • 重要システムの通信制御
  • 委託先アクセスの限定

👉 「安全が確認できたものだけ通す」

業務での判断ポイント

  • セキュリティ重視 → ホワイトリスト
  • 利便性重視 → ブラックリスト

よくある誤解・混同

❌ 「ブラックリスト=URLやIPのリスト」

→ ⭕ 状況によって対象は変わる

  • ファイアウォール → IPアドレス
  • WAF → 通信データ(攻撃パターン)

❌ 「WAFはURLをブロックするもの」

→ ⭕ 通信の中身を見て判断する

SG試験では、

👉 「IPやURLの話になっている選択肢」はミスリードの可能性あり

❌ 「ブラックリストとホワイトリストは同じようなもの」

→ ⭕ 初期状態が逆

  • ブラックリスト:基本OK → 一部NG
  • ホワイトリスト:基本NG → 一部OK

確認問題(SG試験対策)

次のうち、ホワイトリスト方式の説明として最も適切なものはどれか。

A. 原則としてすべて許可し、危険と分かった通信だけを遮断する方式
B. 原則としてすべて拒否し、許可した対象だけを通す方式
C. 攻撃パターンを登録し、既知の攻撃だけを検知する方式
D. 通信量が多い送信元を自動的に遮断し、負荷を下げる方式

▶ クリックして答えと解説を見る(ここを開く)

正解:B

解説

  • A:ブラックリスト方式の説明です。基本は許可で、禁止対象だけ止めます。
  • B:正解です。ホワイトリスト方式は、許可したものだけを通します。
  • C:WAFやIDSで使われる既知パターン検知の説明に近く、ホワイトリストそのものではありません。
  • D:DoS対策やアクセス制御の一部としてあり得ますが、ホワイトリスト方式の本質ではありません。

👉 判断ポイント
「基本拒否で、登録済みだけ許可」ならホワイトリストです。

まとめ(試験直前用)

  • ブラックリスト=禁止対象を登録して遮断(基本OK)
  • ホワイトリスト=許可対象のみ通す(基本NG)
  • 何を登録するかは機器によって異なる(IP・URL・パターンなど)
  • SG試験では「何を基準に制御しているか」を見抜くのが重要

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る