ブラックリスト(コンピューティング)
ブラックリストに登録された正規表現の用語に一致するコンテンツの作成をブロックするウェブサイトのスクリーンショット

コンピューティングにおいて、ブラックリスト不許可リストブロックリスト、または拒否リストは、明示的に指定されたものを除くすべての要素(電子メールアドレス、ユーザー、パスワード、URLIPアドレスドメイン名、ファイルハッシュなど)の通過を許可する基本的なアクセス制御メカニズムです。リストに記載されている項目はアクセスを拒否されます。反対に、ホワイトリスト許可リスト、またはパスリストは、使用されているゲートに関係なく、リストに記載されている項目のみが通過を許可されます。グレーリストには、追加の手順が実行されるまで一時的にブロック(または一時的に許可)される項目が含まれます。

ブラックリストは、ホストウェブプロキシDNSサーバー、メールサーバー、ファイアウォールディレクトリサーバー、アプリケーション認証ゲートウェイなど、セキュリティアーキテクチャの様々なポイントに適用できます。ブロックされる要素の種類は、アクセス制御の場所によって影響を受けます。[ 1 ] DNSサーバーは、例えばドメイン名のブロックには適していますが、URLのブロックには適していません。ファイアウォールはIPアドレスのブロックには適していますが、悪意のあるファイルやパスワードのブロックには適していません。

使用例としては、企業が自社のネットワーク上で特定のソフトウェアの実行を禁止する場合、学校が自社のコンピュータから特定の Web サイトへのアクセスを禁止する場合、企業がコンピュータ ユーザーが簡単に推測できる脆弱なパスワードを選択しないようにする場合などが挙げられます。

保護されているシステムの例

ブラックリストは、コンピューティングにおける様々なシステムを保護するために使用されます。ブラックリストの内容は、防御対象となるシステムの種類に応じて調整する必要があると考えられます。[ 2 ]

情報システム

情報システムには、ユーザーマシンやサーバーなどのエンドポイントホストが含まれます。この場所のブラックリストには、企業環境での実行が許可されていない特定の種類のソフトウェアが含まれる場合があります。たとえば、企業は自社システム上のピアツーピアファイル共有をブラックリストに登録する場合があります。ソフトウェアに加えて、人、デバイス、ウェブサイトもブラックリストに登録できます。[ 3 ]

メール

ほとんどのメールプロバイダーには、迷惑メールとみなされた特定のメールアドレスをブラックリストに登録するスパム対策機能が備わっています。例えば、特定のアドレスからのメールが止まらなくなることにうんざりしているユーザーは、そのアドレスをブラックリストに登録することができます。すると、メールクライアントは自動的にそのアドレスからのすべてのメッセージを迷惑メールフォルダに振り分けるか、ユーザーに通知することなく削除します。

電子メールスパムフィルターは、メールアドレスのブラックリストを作成し、そのアドレスからのメールが宛先に届かなくなるようにすることがあります。また、送信元ドメイン名やIPアドレスを用いて、より包括的なブロックを行う場合もあります。

プライベートな電子メールのブラックリストに加えて、次のような公開用に保持されるリストもあります。

ウェブブラウジング

ウェブブラウザのブラックリストの目的は、ローカルフィルタリングによって、ユーザーが悪意のあるウェブページや詐欺的なウェブページにアクセスするのを防ぐことです。一般的なウェブブラウジングのブラックリストは、Firefox、Safari、Chromeにデフォルトでインストールされている Googleのセーフブラウジングです

ユーザー名とパスワード

ブラックリストはユーザー認証情報にも適用できます。システムやウェブサイトでは、特定の予約済みユーザー名をブラックリストに登録し、システムやウェブサイトのユーザーが選択できないようにするのが一般的です。これらの予約済みユーザー名は、通常、組み込みのシステム管理機能に関連付けられています。また、通常、デフォルトでブロックされるのは、冒とく的な言葉や人種差別的な中傷です

パスワードブラックリストはユーザー名ブラックリストと非常に似ていますが、通常、ユーザー名ブラックリストよりもはるかに多くのエントリが含まれます。パスワードブラックリストは、ユーザーが簡単に推測できるパスワードやよく知られたパスワードを選択し、悪意のある第三者による不正アクセスにつながるのを防ぐために適用されます。パスワードブラックリストは、通常、パスワードの長さや文字の複雑さの要件を設定するパスワードポリシーに加えて、追加のセキュリティレイヤーとして導入されます。これは、多くのパスワードポリシーを満たしながらも、簡単に推測されてしまうパスワードの組み合わせ(例:Password123、Qwerty123)が多数存在するためです。

配布方法

ブラックリストは様々な方法で配布されます。シンプルなメーリングリストを使用するものもあります。DNSBLDNS自体を活用する一般的な配布方法です。大量のデータ交換のためにrsyncを使用するリストもあります。 [ 6 ] Webサーバー機能を使用することもできます。シンプルなGETリクエストを使用することも、 RESTful API などのより複雑なインターフェースを使用することもできます

使用上の考慮事項

インターネットセキュリティに使用されるドメイン名とIPアドレスのブラックリストに焦点を当てた最近の会議論文で述べられているように、「これらのリストは一般的には重複しません。したがって、これらのリストは悪意のある指標の1つのセットに収束しないようです。」[ 8 ] [ 9 ]この懸念と経済モデル[ 10 ]を組み合わせると、ブラックリストはネットワーク防御の不可欠な部分である一方で、ホワイトリストやグレーリストと連携して使用する必要があることがわかります。

用語をめぐる論争

一部の大手テクノロジー企業や機関は、人種差別との関連性を認識したため、 「ブラックリスト」という用語の使用を公に避け、 「ブラックリスト」または「ブロックリスト」という用語の使用を推奨しています。[ 11 ] [ 12 ] [ 13 ] [ 14 ] [ 15 ] [ 16 ]この用語と人種差別との関連性、およびその使用を避けることの価値については議論があります。[ 15 ] [ 17 ]

この用語の使用をめぐる論争

2018年には、略奪的出版に関する報告書[ 18 ]に関するジャーナル解説が発表され、「白人」と「黒人」は人種差別的な意味合いを持つ言葉であり、「ホワイトリスト」や「ブラックリスト」といった文脈では避けるべきであり、「ブラックリスト」の最初の使用記録は「アメリカ大陸のヨーロッパ支配下の植民地でアフリカ人が大量奴隷化され、強制的に強制移送されて労働させられていた時代」であると主張した。この記事は、2020年夏にアメリカでジョージ・フロイド抗議運動が起こった後、主流メディアで取り上げられた。 [ 19 ]

多くのテクノロジー企業が「ホワイトリスト」と「ブラックリスト」を「許可リスト」や「拒否リスト」などの新しい用語に置き換え、「マスター」と「スレーブ」という用語についても同様の用語変更を行った。[ 20 ]例えば、2018年8月、Ruby on Railsは「ブラックリスト」と「ホワイトリスト」のすべての出現を「制限リスト」と「許可リスト」に変更した。[ 21 ]他の企業は2020年6月と7月にこの論争に反応した。

  • GitHubは、「黒人コミュニティの開発者にとって不快な可能性のある」多くの用語を置き換えると発表した。[ 22 ]
  • アップル社は開発者会議で、より包括的な技術用語を採用し、「ブラックリスト」という用語を「拒否リスト」に、「ホワイトリスト」という用語を「許可リスト」に置き換えると発表した。[ 23 ]
  • Linux Foundationは、今後はカーネルコードとドキュメントで中立的な言語を使用し、「ブラックリスト」や「スレーブ」などの用語を避けると述べた。[ 24 ]
  • Twitterエンジニアリングチームは「ブラックリスト」や「ホワイトリスト」を含むいくつかの用語を廃止する意向を表明した。[ 25 ]
  • レッドハットはオープンソースをより包括的なものにし、これらの用語やその他の用語を避けると発表した。[ 26 ]

ZDNetは、このような決定を下したテクノロジー企業のリストには「Twitter、GitHub、Microsoft、LinkedIn、Ansible、Red Hat、Splunk、Android、Go、MySQL、PHPUnit、Curl、OpenZFS、Rust、JP Morganなどが含まれている」と報告しています。[ 27 ]

この問題とその後の変更は、「ホワイトリスト」と「ブラックリスト」という言葉が広く使われているコンピュータ業界で論争を引き起こした(例えば、IPホワイトリスト[ 28 ])。これらの変更に反対する人々は、「ブラックリスト」という言葉が人種に由来するのではないかと疑問を呈し、「ブラックリスト」という言葉は中世イングランドで黒人名簿(ブラックブック)が使われていた慣習に由来していると主張している[ 20 ] 。

参考文献

  1. ^ティモシー・シミール、ジョナサン・スプリング(2013年11月12日)『情報セキュリティ入門:戦略に基づくアプローチ』ニューネス出版、ISBN 9781597499729
  2. ^ 「ドメインブラックリストエコシステム - ケーススタディ」 insights.sei.cmu.edu . 2015年6月17日. 2016年2月4日閲覧
  3. ^ Rainer, Watson (2012).情報システム入門. Wiley Custom Learning Solutions. ISBN 978-1-118-45213-4
  4. ^ 「反垃圾邮件联盟」。2015年8月11日時点のオリジナルよりアーカイブ20158月10日閲覧
  5. ^ 「Fabelsources – ブラックリスト」
  6. ^ 「ガイドライン」 . www.surbl.org . 2016年2月4日閲覧。
  7. ^ 「BISSフォーラム – FAQ – ブロックリストに関する質問」Bluetackインターネットセキュリティソリューション2008年10月20日時点のオリジナルよりアーカイブ。 2015年8月1日閲覧
  8. ^メトカーフ、リー、スプリング、ジョナサン・M. (2015年1月1日). 「ブラックリスト・エコシステム分析」.第2回ACM情報共有と協調セキュリティワークショップ議事録. pp.  13– 22. doi : 10.1145/2808128.2808129 . ISBN 9781450338226. S2CID  4720116 .
  9. ^ Kührer, Marc; Rossow, Christian; Holz, Thorsten (2014-09-17). 「Paint It Black: Evaluating the Effectiveness of Malware Blacklists.」 Stavrou, Angelos; Bos, Herbert; Portokalidis, Georgios (eds.). Research in Attacks, Intrusions and Defenses . Lecture Notes in Computer Science. Vol. 8688. Springer International Publishing. pp.  1– 21. doi : 10.1007/978-3-319-11379-1_1 . ISBN 9783319113784. S2CID  12276874 .
  10. ^ Spring, Jonathan M. (2013-09-17).悪意のあるドメイン名の削除ダイナミクスのモデル化:eCrimeが利益をもたらす理由. 2013 ECrime Researchers Summit (eCRS 2013) . IEEE. pp.  1– 9. CiteSeerX 10.1.1.645.3543 . doi : 10.1109/eCRS.2013.6805779 . ISBN  978-1-4799-1158-5. S2CID  8812531 .
  11. ^ Cimpanu, Catalin (2020-06-14). 「GitHub、奴隷制への言及を避けるため「マスター」を別の用語に置き換える」 . ZDNET . 2025年1月2日閲覧
  12. ^ 「ジョージ・フロイド:ツイッターが「主人」「奴隷」「ブラックリスト」を削除 . BBCニュース. 2020年7月3日. 2025年1月2日閲覧
  13. ^ Cimpanu, Catalin (2020-07-11). 「Linuxチームが新しい用語を承認、『ブラックリスト』や『スレーブ』などの用語を禁止」 . ZDNET . 2025年1月2日閲覧。
  14. ^ Kan, Michael (2020年7月17日). 「Apple、コーディングプラットフォームから「マスター/スレーブ」および「ブラックリスト」用語を削除へ」 . PCMag . 2025年1月2日閲覧
  15. ^ a bコンガー、ケイト (2021-04-13). "「『マスター』『スレーブ』とコンピューター業界における侮辱的用語をめぐる争い」ニューヨーク・タイムズ。 2025年1月2日閲覧
  16. ^ミラネージ、カロライナ (2021年6月29日). 「テクノロジーにおけるインクルーシブな言語とデザインの重要性」 . Forbes . 2025年1月2日閲覧
  17. ^ Jocom, Juan Miguel (2022年3月24日). 「論説 | 「ブラックリスト」と「ホワイトリスト」は人種差別主義者ではない、あなたこそが人種差別主義者だ」 . The Seattle Collegian . 2025年1月2日閲覧
  18. ^ Houghton, F., & Houghton, S. (2018).「「ブラックリスト」と「ホワイトリスト」:略奪的出版に関する議論における人種差別的言語の蔓延に関する有益な警告」
  19. ^ Taylor, Derrick Bryson (2020年7月10日). 「ジョージ・フロイド抗議活動:タイムライン」 .ニューヨーク・タイムズ. ISSN 0362-4331 . 2020年10月14日閲覧 
  20. ^ a b Cimpanu, Catalin. 「GitHub、奴隷制への言及を避けるため「マスター」を別の用語に置き換える」 ZDNet . 2020年10月14日閲覧
  21. ^ 「merge pull request #33681 from minaslater/replace-white-and-blacklist · rails/rails@de6a200 · GitHub」 . Github.com . 2022年3月3日閲覧
  22. ^ 「GitHub、奴隷制への言及を避けるため「マスター」を別の用語に置き換える」 ZDNet 2020年8月14日閲覧
  23. ^ 「Apple、包括的な言語を推進するため『ブラックリスト』と『マスターブランチ』を廃止」 msn.com 2020年7月20日閲覧
  24. ^ 「inclusive-terminologyのプルリクエスト」 . git.kernel.org . 2020年8月14日閲覧
  25. ^ 「私たちは、より包括的な言葉遣いを優先するために、使用をやめたい言葉のセットから始めています」。twitter.com 2020年8月14日閲覧
  26. ^ 「問題のある言語を排除することでオープンソースをより包括的にする」 redhat.com 2020年8月14日閲覧
  27. ^ 「Linuxチームが新しい用語を承認、『ブラックリスト』や『スレーブ』などの用語を禁止」 . ZDNet . 2020年8月14日閲覧。
  28. ^ 「IPホワイトリスト - ドキュメント」 . help.gooddata.com . 2023年7月10日閲覧
「 https://en.wikipedia.org/w/index.php?title=Blacklist_(computing)&oldid=1334991450」より取得