Japan WebSphere User Group (日本WebSphereユーザーグループ)

 View Only

Log4j/Log4Shellは、業界を破壊するセキュリティ脆弱性の一つの例である

By KAORI ASADA posted Thu March 31, 2022 02:17 AM

  
(こちらのブログはLog4j/Log4Shell Is Another Instance of an Industry-Disrupting Security Vulnerabilityの記事の翻訳です)

2021年 12月、企業はまたしても深刻なセキュリティー脆弱性の対応に追われるという困難に見舞われました

今回は、ホリデー・シーズン直前に表面化した Log4j/Log4Shell のエクスポージャーでした。Log4j/Log4Shell の脆弱性について詳しくは、初めて報告された当時に投稿された Security Intelligence ブログの記事をご覧ください。

Log4j は広く使用されていること、および企業のアプリケーションとクラウド・サービスの両方での使用頻度が高いことから、総動員での最優先の対応を余儀なくされました。また、企業の運用およびアプリケーション開発チームは、アプリケーションへの影響があるかどうか、影響があった場合には、即時必要となる修復にどのように取り組むかについて評価することに集中する必要がありました。

リアクティブではなく、プロアクティブに対応

Log4j のような重大度の高いものから、多くのそこまで重大度の高くないものまで、ソフトウェアの脆弱性の発見は加速化しています。幸いなことに、これらの脆弱性は、悪用される前にフィックスが開発・デプロイされるようコード解読に積極的に取り組む個人または集団、いわゆる「ホワイトハッカー」により発見されることがほとんどです。 

Java はグローバル規模で広く使用されているため、このような発見は特に Java エコシステムを対象に行います。オープンソースを多用する Java エコシステムは、コラボレーションやイノベーションがしやすいというメリットがある一方で、セキュリティーが軽視されがちです。セキュリティーを最優先に考えるコントリビューターがいたとしても、エクスプロイトが発見され、セキュリティーが侵害されることを想定したほうがよいでしょう。例えば、MD5、SHA-1、および SSL-3.0 などのセキュリティー・アルゴリズムは、もはやセキュアであるとは言えません。

Log4j の場合、巧妙に作成されたテキストを使用してリモートからコードを実行し、攻撃者が簡単にマシンを乗っ取ることができます。この性質上、エンタープライズ・スタック全体にわたって Log4j がアプリケーションで直接使用されているのか、またはデプロイされているソフトウェアにバンドルされているのかを迅速に評価する必要があります。
使用しているツール、データ管理、およびインベントリー追跡によっては、この評価はほぼ即時に実行できるものもあれば、数日間から数週間かかるものもあります。一部のアプリケーション・チームにとって、目下の危機を優先することになった結果、将来に向けた開発が一時的に後回しにされることとなりました。これは、ビジネス計画に多大な影響を与える可能性があります。脆弱性の発見の加速化は「ニューノーマル」時代では当たり前になりつつあり、企業は次に発見される脆弱性に備える必要があります。

脆弱性から学び、セキュリティーを強化

今では、多くのチームが遡及的なアクティビティーに取り組んでいます。つまり、プロセスやツールを見直して、将来的にアプリケーションにエクスポージャーが存在する可能性の評価の確実性を高め、エクスポージャーに迅速に対応し、安心と保証をもたらす監査のためのトレーサビリティーを確保する必要があります。
WebSphere のお客様にこの確実性をもたらすのが、IBM WebSphere Automationです。IBM WebSphere Automation は、チームが業務を最適化し、インシデントに効率的に対応し、IT 資産のセキュリティー強化を促進するために開発されています。WebSphere Automation は、さまざまな環境にある重要な WebSphere 情報およびデプロイメント・タイプを単一のダッシュボードに集約します。そして、関連のある CVE を自動で検知します。これにより、手作業を大幅に削減し、WebSphere のセキュリティー体制を理解するための単調な作業を排除して、セキュリティーの脆弱性により迅速に対応できるようになります。

IBM WebSphere Automation の動作デモ

WebSphere Automation が Log4j のようなセキュリティーの脆弱性を検知し、修復とトレーサビリティーに役立つことを示す簡単なデモをご覧ください。




お試し版の提供

7 日間のホスト型トライアル

  • IBM Cloud にホストされた WebSphere Automation のブラザー内トライアルです。セットアップは一切必要ありません。
  • WebSphere Automation の機能について、ユーザーをガイドする手順を提供します。技術的なスキルは必要ありません

60 日間のオンプレミス評価

  • お客様の環境で WebSphere Automation を無料で 60 日間お試しいただけます。
  • WebSphere Automation には、Red Hat OpenShift とその他すべての依存関係のエンタイトルメントが含まれています。


Shane O'Rourke

Program Director - Websphere Portfolio

Permalink