【Windows】特定のソフトの実行許可一覧を作成してシステムに制限をかける手順

業務で利用するWindows PCにおいて、特定のソフトウェアのみ実行を許可し、それ以外のアプリケーションの起動を厳しく制限したい場面があるかもしれません。意図しないソフトウェアの実行は、セキュリティリスクやシステム不安定化の原因となることがあります。

この記事では、Windows11のAppLockerアプリケーション制御機能を用いて、許可されたアプリケーションのみ実行可能にするための設定手順を解説します。

AppLockerポリシーの作成方法から、システムへの適用、そして運用時の注意点までを詳しく説明しますので、安全なPC環境構築に役立ててください。

AppLockerアプリケーション制御機能の概要

AppLockerは、Windowsのセキュリティ機能の一つで、企業や組織のPCで実行できるアプリケーションを厳密に制御するために利用されます。これは「許可リスト方式」と呼ばれるセキュリティモデルに基づいています。

具体的には、管理者が明示的に許可したアプリケーションだけが実行を許され、それ以外の未許可のアプリケーションはすべてブロックされます。これにより、マルウェアの実行や、業務に不要なソフトウェアのインストール・利用を防ぐことが可能です。

AppLockerは、実行可能ファイル、Windowsインストーラー、スクリプト、DLLファイル、パッケージアプリの5種類の規則コレクションをサポートしています。これらの規則を組み合わせることで、きめ細やかなアプリケーション制御を実現します。

この機能は、Windows11 Pro、Enterprise、Educationエディション、およびWindows10 Pro、Enterprise、Educationエディションで利用できます。HomeエディションではAppLockerは利用できません。

AppLockerポリシーを作成しシステムに制限をかける手順

ここでは、ローカルセキュリティポリシーを使用してAppLockerの規則を作成し、システムに適用する手順を解説します。設定はWindows11を基準にしています。

1. ローカルセキュリティポリシーエディターを開く
   Windowsの検索ボックスに「secpol.msc」と入力し、検索結果に表示される「ローカルセキュリティポリシー」アプリをクリックして開きます。
2. AppLockerサービスを開始する
   左ペインで「アプリケーション制御ポリシー」を展開し、「AppLocker」を選択します。右ペインに表示される「アプリケーション識別サービス」をダブルクリックします。
3. サービスの種類を設定する
   「アプリケーション識別サービスのプロパティ」ウィンドウで、「スタートアップの種類」を「自動」に設定します。「サービスの状態」が「実行中」ではない場合は、「開始」ボタンをクリックしてサービスを開始します。「適用」をクリックし、「OK」で閉じます。
4. 既定の規則を作成する
   AppLockerの左ペインで「実行可能ファイルの規則」を右クリックし、「既定の規則の作成」を選択します。これにより、Windowsのシステムファイルや一般的なプログラムが誤ってブロックされるのを防ぎます。同様に、「Windowsインストーラーの規則」「スクリプトの規則」「DLLの規則」「パッケージアプリの規則」についても「既定の規則の作成」を実行してください。
5. 許可するアプリケーションの規則を作成する
   たとえば、特定の実行可能ファイル(.exe)を許可する場合、「実行可能ファイルの規則」を右クリックし、「新しい規則の作成」を選択します。規則の作成ウィザードが開きますので、「次へ」をクリックします。
6. 操作とユーザーまたはグループを選択する
   「操作」で「許可」を選択し、「次へ」をクリックします。「ユーザーまたはグループ」では、この規則を適用する対象を選択します。通常は「Everyone」を選択し、「次へ」をクリックします。
7. 規則の条件を選択する
   「条件」では、「発行元」「パス」「ファイルハッシュ」のいずれかを選択します。ビジネス環境では「発行元」が最も推奨されます。特定のソフトウェアベンダーのすべての製品を許可できるため、ソフトウェアの更新にも対応しやすい利点があります。選択後、「次へ」をクリックします。
8. 発行元情報を設定する
   「発行元」を選択した場合、「参照」をクリックして許可したいアプリケーションの実行可能ファイルを選択します。発行元、製品名、ファイル名、ファイルバージョンなどの情報が表示されますので、適切な範囲でスライダーを調整し、「作成」をクリックします。これにより、選択した条件に基づいて規則が作成されます。
9. AppLockerポリシーを有効にする
   AppLockerの左ペインで「AppLocker」を選択し、右ペインの「構成」をクリックします。
10. 規則コレクションを有効にする
    「AppLockerのプロパティ」ウィンドウで、設定したい規則コレクション(例:「実行可能ファイルの規則」)の「構成済み」チェックボックスをオンにします。最初に「監査のみ」モードで設定し、問題がないことを確認してから「適用」モードに切り替えることを強く推奨します。「適用」をクリックし、確認メッセージが表示されたら「はい」をクリックします。
11. ポリシーを強制的に適用する
    ローカルセキュリティポリシーエディターを閉じます。管理者権限でコマンドプロンプトまたはPowerShellを開き、「gpupdate /force」と入力してEnterキーを押します。これにより、作成したAppLockerポリシーがシステムに強制的に適用されます。
12. ポリシーの適用状況を確認する
    イベントビューアーを開き、「アプリケーションとサービスログ」→「Microsoft」→「Windows」→「AppLocker」→「EXE and DLL」などのログを確認します。監査モードで設定した場合、ブロックされるべきアプリケーションがブロックされたという監査イベントが記録されているかを確認し、意図しないアプリケーションがブロックされていないかを確認します。

AppLocker運用時の注意点とよくある誤操作

AppLockerは強力なセキュリティツールですが、設定を誤ると必要なアプリケーションが起動できなくなる可能性があります。以下の注意点を理解し、慎重に運用してください。

AppLockerが機能しない場合

AppLockerが期待通りに機能しない場合、いくつかの原因が考えられます。まず、「アプリケーション識別サービス」が実行されているか確認してください。このサービスが停止しているとAppLockerは動作しません。また、ポリシーが正しく適用されていない可能性もあります。コマンドプロンプトで「gpupdate /force」を実行し、再度ポリシーを適用してみてください。規則の競合や、より広範な許可規則が優先されている可能性も考慮し、規則の順序や適用範囲を確認しましょう。

必要なアプリケーションがブロックされてしまう

AppLockerの設定で最も多いトラブルは、必要なアプリケーションが誤ってブロックされてしまうことです。これを防ぐため、ポリシーを「監査のみ」モードで運用し、イベントログでどのアプリケーションがブロックされるかを確認する期間を設けることが非常に重要です。監査ログで確認後、問題がなければ「適用」モードに切り替えてください。既定の規則を最初に作成しておくことで、Windowsの基本システムがブロックされるリスクを大幅に低減できます。

Windows10での操作の違い

AppLockerの基本的な設定手順は、Windows11とWindows10で大きな違いはありません。ローカルセキュリティポリシーエディターの見た目やメニュー構成もほぼ同じです。ただし、Windows UpdateによってUIの細部がわずかに異なる場合があるため、手順中に表示される画面と完全に一致しない可能性もあります。その際は、表示されている項目名やアイコンを参考に、対応する設定を探して進めてください。

AppLockerの規則の種類とその特徴

AppLockerでは、アプリケーションの実行を制御するために主に三つの種類の規則を利用します。それぞれの規則には特徴とメリット・デメリットがありますので、状況に応じて使い分けることが重要です。

まとめ

この記事では、Windows11のAppLocker機能を使用して、特定のソフトウェアのみ実行を許可し、システムに制限をかける手順を詳しく解説しました。

AppLockerを適切に設定することで、業務PCのセキュリティを大幅に強化し、不要なアプリケーションの実行やマルウェア感染のリスクを低減できます。

特に、監査モードでのテスト運用は不可欠であり、本番環境への適用前に十分な検証を行ってください。今回ご紹介した手順と注意点を参考に、安全で効率的なPC環境を構築するためにAppLockerポリシーの運用を始めてみましょう。