IBM TechXchange Japan WebSphere User Group (日本WebSphereユーザーグループ)

2021年 12月、企業はまたしても深刻なセキュリティー脆弱性の対応に追われるという困難に見舞われました

今回は、ホリデー・シーズン直前に表面化した Log4j/Log4Shell のエクスポージャーでした。Log4j/Log4Shell の脆弱性について詳しくは、初めて報告された当時に投稿された Security Intelligence ブログの記事をご覧ください。

• 「How Log4j Vulnerability Could Impact You」
• 「Log4Shell Vulnerability Risks for OT Environments — and How You Can Better Protect Against Them」

Log4j は広く使用されていること、および企業のアプリケーションとクラウド・サービスの両方での使用頻度が高いことから、総動員での最優先の対応を余儀なくされました。また、企業の運用およびアプリケーション開発チームは、アプリケーションへの影響があるかどうか、影響があった場合には、即時必要となる修復にどのように取り組むかについて評価することに集中する必要がありました。

リアクティブではなく、プロアクティブに対応

Log4j のような重大度の高いものから、多くのそこまで重大度の高くないものまで、ソフトウェアの脆弱性の発見は加速化しています。幸いなことに、これらの脆弱性は、悪用される前にフィックスが開発・デプロイされるようコード解読に積極的に取り組む個人または集団、いわゆる「ホワイトハッカー」により発見されることがほとんどです。 

Java はグローバル規模で広く使用されているため、このような発見は特に Java エコシステムを対象に行います。オープンソースを多用する Java エコシステムは、コラボレーションやイノベーションがしやすいというメリットがある一方で、セキュリティーが軽視されがちです。セキュリティーを最優先に考えるコントリビューターがいたとしても、エクスプロイトが発見され、セキュリティーが侵害されることを想定したほうがよいでしょう。例えば、MD5、SHA-1、および SSL-3.0 などのセキュリティー・アルゴリズムは、もはやセキュアであるとは言えません。

WebSphere のお客様にこの確実性をもたらすのが、IBM WebSphere Automationです。IBM WebSphere Automation は、チームが業務を最適化し、インシデントに効率的に対応し、IT 資産のセキュリティー強化を促進するために開発されています。WebSphere Automation は、さまざまな環境にある重要な WebSphere 情報およびデプロイメント・タイプを単一のダッシュボードに集約します。そして、関連のある CVE を自動で検知します。これにより、手作業を大幅に削減し、WebSphere のセキュリティー体制を理解するための単調な作業を排除して、セキュリティーの脆弱性により迅速に対応できるようになります。

IBM WebSphere Automation の動作デモ

WebSphere Automation が Log4j のようなセキュリティーの脆弱性を検知し、修復とトレーサビリティーに役立つことを示す簡単なデモをご覧ください。

お試し版の提供

7 日間のホスト型トライアル

• IBM Cloud にホストされた WebSphere Automation のブラザー内トライアルです。セットアップは一切必要ありません。
• WebSphere Automation の機能について、ユーザーをガイドする手順を提供します。技術的なスキルは必要ありません

60 日間のオンプレミス評価

• お客様の環境で WebSphere Automation を無料で 60 日間お試しいただけます。
• WebSphere Automation には、Red Hat OpenShift とその他すべての依存関係のエンタイトルメントが含まれています。

Shane O'Rourke

Program Director - Websphere Portfolio