Apache Log4jのリスクを軽減する
Apache Log4j(Log4Shell)は、ITチームに深刻な課題をもたらしています。この記事では、現在の状況に対処するための様々な戦術的対策と、この危機が収まった後、組織は何をすべきか戦略的なガイダンスを示します。
Apache Log4jの脆弱性(Log4Shell)は、ITチームに深刻な課題をもたらしています。
この記事では、現在の状況に対処するための様々な戦術的対策と、この差し迫った危機が収まった後、組織は何をすべきかについての戦略的なガイダンスを示します。
問題は何かLog4jは、多くのJavaコード・アプリケーションに組み込まれている非常に便利なツールです。
Log4jを利用することで、プログラマはあるデータを取得し、ログやその他のレポジトリに出力させることができます。つまり、文字列を取得して1つの場所(例えば、ログイン画面のユーザIDのフィールドなど)からコピーし、他の場所(例えば、認証プロセスのエリアなど)へ配置することができるのです。
Log4jは、単純なコピー&ペーストだけではなく、文字列を調べて解釈するのです。
コードの解釈は一般的に危険です。というのも、プログラムがコードをサニタイジング(無害化)しない限り、かなり間違った方向に進んでしまう可能性があるからです。
Log4jはインプットをサニタイジングしないため、サーバをRCE(Remote Code Execution;リモートコード実行)に対して脆弱なままにしてあると、それが即座に、企業の金銭的価値の高いデータが抜き取られたり、身代金要求されたりすることにつながることになり得るのです。
リスクを軽減する方法は差し迫った危機を食い止めるには、外部公開しているシステムを評価し、適切なセキュリティツールを実装して、どのコードとアプリケーションに脆弱性があるかを発見することが重要です。
効果的な脆弱性評価ツールを特定するには、Cybersecurity and Infrastructure Security Agency(CISA;米国サイバーセキュリティ・インフラストラクチャセキュリティ庁)などの信頼できるリソースを参照してください。
コードレベルでは、コードを呼び出すソースコードライブラリに文字列「log4j」が存在するかどうかをスキャンするツールがあります。次に、影響を受けるライブラリを更新してパッチを適用してください。Log4jの最新の修正バージョンは2.17.0です。
最新の修正レベルについては、ApacheFoundationを定期的に確認してください。状況が変化し続ける中で、手動でのパッチ適用とアップデートが複雑になる可能性があります。仮想パッチ機能を備えたセキュリティツールや、効果的な侵入防御システム(IPS)を活用して、悪意あるアクティビティがないかネットワークを継続的に監視してください。
最後に、セキュリティチームは、アプリケーション構築に使用されているすべてのコンポーネントをリストアップしたソフトウェア部品表(SBOM)の作成を開始するべきです。
SBOMは、今日のソフトウェア資産管理データベース(SAMDB)から得られる情報以上に、脆弱なソフトウェアを診断するのに役立つでしょう。明らかに、今日時点で、多くの組織は包括的なSAMDBを持っていません。現在の問題を考えると、それを修正することがより優先されるべきです。
長期的なセキュリティ戦略の開発差し迫ったリスクを防ぐ対策を実施した後、将来同様のことが発生した場合に備えて、長期計画を策定することを検討してください。以下のような項目を検討する必要があります。
- 誰が対応を主導するのか
- 外部公開しているシステムをどのように評価するか
- ソフトウェア、サーバ、シャドーIT(一元管理されていない資産)に渡る全体の可視性の向上
- リスク軽減に向け、主要プロバイダーとのタイムリーなコミュニケーション
- 見落としが出ないよう、問題を報告するためのコミュニケーションチャネルの確立
- 組織への影響を最小化するための事業継続プラン(BCP)のアップデート
- チームの燃え尽き症候群を防ぐ。ITチームはすでに燃え尽き症候群を経験していると広く報告されています。Log4jのようなイベントはさらなるストレスを加えるだけです。組織の規模に応じて、修復には数週間または数か月かかる可能性があるため、セキュリティチームが適切にサポートされていると感じられるようにしてください
次のステップLog4jに関する情報は氾濫しており、絶え間のない更新情報に圧倒される方も多くいらっしゃるでしょう。センセーショナルな情報に惑わされることなく、サイバーセキュリティに関する深い知識を持った信頼できるアドバイザーと共に、事実を見極めていくことが求められます。
log4jの脆弱性に対応して24時間体制で作業しているセキュリティチームのために、ぜひ無料の評価ツールをご利用いただければ幸いです。
関連リンク
更新日:2022年5月9日
Security GO新着記事
国内でも活発化するDDoS攻撃の事例を解説~攻撃者の目的や対策は?~
(2024年12月20日)
AIガバナンスの動向は?各国のAI法規制を概観
(2024年12月20日)
サイバー攻撃でよく悪用される正規ツールとは?
(2024年12月19日)