Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

Apache Log4j の脆弱点でサードパーティのソフトウェアが焦点に

Apache Log4j の脆弱点でサードパーティのソフトウェアが焦点に

Log4Shell として知られている重大な Log4j の脆弱性の緊急対応に急ぐ世界中の企業のセキュリティ責任者が最も早く知りたいのは「どうしたらこの脆弱性があるかないかが確認できるだろうか」という質問の答えではないでしょうか。

12/17 更新情報: Apache は、CVE-2021-45046 で報告されている 2 つ目の Log4j 脆弱点の 深刻度を「低」から「重大」(9.0 CVSSv3) に変更しました。一定の設定においてリモートコード実行の可能性があることが発覚したためです。詳細は、Tenable コミュニティの 投稿 をご覧ください。

Apache Log4j はどこにでもある、非常に広範囲に使用されているオープンソースのロギングのフレームワークなので、簡単には答えられません。

Log4j は企業のソースコード内で使用されている場合も多いばかりでなく、企業が購入するサードパーティ製品にもよく使われています。 すでに「シフトレフト」のアプローチを採用してソフトウェア開発ライフサイクルのセキュリティ(SSDL) を確保している企業は、社内でソースコードを分析してシステム内の脆弱点を検出して修正することができます。

SSDL には、静的アプリケーションセキュリティテスト (SAST) と動的アプリケーションセキュリティテスト (DAST)、サードパーティ依存度チェック、コンテナセキュリティ スキャン、脆弱性管理とインフラのコード化 (IaC) が必要になります。しかし、これらをすべて実施している企業でも、「左側にあるもの」すべてを捉えることは難しいでしょう。脆弱性管理とウェブアプリのスキャンも、特にサードパーティのソフトウェアに関しては極めて重要になります。 単に脆弱点の有り無しを検知するだけでは不十分で、企業のアプリ、資産、ビジネスプロセスなどが集合したコンテキストから、実際のリスク度を把握する必要があります。

最近の大統領指令は企業にソフトウェアの物品表 (SBOM) を作成するよう呼びかけていますが、SBOM を提供しているソフトウェアベンダーは稀です。例え SBOM を提供していたとしても、それを有効活用できるようなプロセスや機能を企業が持ち合わせているかというと、何光年も出遅れているとしか言いようがありません。ですから、log4j のような問題が発生すると、サイバーセキュリティの責任者に残されている選択肢はたった1つ、サードパーティベンダーに直接問い合わせることです。これには多大な労力が必要で、冗長で時間も多くかかる作業になり、ハッカーたちが脆弱点の搾取を目指して群がってくれば、企業は対応が苦しい状況に置かれます。

FAQ はこちらから: CVE-2021-45046、CVE-2021-4104: Log4Shell に関連した脆弱性についてよくあるご質問

SSDL を活用し、 SBOM がプロセスに組み込まれている最も成熟した企業であっても、ギャップがあり、 Apache log4j に関して次のような最も重要な 5 つの質問に即答するのは難しいでしょう。

  1. 自社環境で使っているか?
  2. 自社インフラ内で使っているか?
  3. ビルドのパイプラインの中ではどうだろうか?
  4. インフラの提供者はどうだろうか ? (クラウドサービスプロバイダのサービスを導入している場合に特に関連性が高い )
  5. ソフトウェアの構成分析 (SCA) では Log4J のインスタンスをすべて発見できない事実を踏まえて、インフラのコード化 (IaC) 、脆弱性管理、ウェブアプリのスキャンなどのその他のコントロール手段を自社コード内のすべてのコンポーネントに対して適用しているか?

ボトムラインは次のようになります。Log4j に簡単な修正策はありません。自明のオプションと考えられやすいウェブアプリのファイヤーウォールの実装も、比較的簡単に回避されてしまうことが実証されています。責任のある企業は、コアソフトウェアを更新する作業を実行することと、この脆弱点が企業全体のリスクプロフィールをどのように影響するかを理解することが必要です。現在、対策を講じている企業は、緊急対応モードで意思決定しています。初期の危機が過ぎ去ったら、それで「使命達成」と宣言して手を引きたくなる誘惑にかられるでしょう。それでは大間違いというのが私共の見解です。セキュリティ第一のアプローチを基盤に自社のインフラの修正とシステムの管理に企業が労力をかける時代は、とうの昔に過ぎ去っています。

SSDL 推進に徹する Tenable では、Log4j 対策として以下を実行しています。

  • ブロックゲートの設置による、Log4j その他の脆弱なソフトウェアインスタンスの使用禁止
  • 脆弱性管理スキャンとウェブアプリスキャンの積極的かつ継続的な実行。お客様に出荷するリリース前の製品コードを含む、自社インフラ全体にあるすべての資産が対象
  • すべての侵害の兆候と攻撃インジケーターに対応。ネットワークとホストレベルの両方でのコントロールの実施

さらに、脅威インテリジェンスを継続して監視して脅威環境を追跡し、必要に応じて対応を調整していきます。最終的に、自社環境内に何があるか把握し、サードパーティも含んだアタックサーフェスを熟知し、そしてリスクを積極的かつ迅速に軽減すること、これらが達成できなければ、どのようなインシデントにも対応することはできません。時間との勝負です。サイバー犯罪の強敵は、最新の脆弱性が発覚するやいなや攻撃できるように準備を整えており、脆弱性をそれぞれのユースケースの用途に合わせて悪用しています。 Lof4j は、今後エンタープライズソフトウェアを何十年にも渡って苦しめる連鎖反応を引き起こす出来事です。企業は、今すぐ、全力を投じて現行の体制を見直す必要があります。

IT/OT環境の産業セキュリティについてもっと詳しく

関連記事

最新のサイバー攻撃に対する不安はないですか?

下にメールアドレスをご記入ください。最新の情報が確認できる Cyber Exposure アラートがインボックスに送信されます。

tenable.io

30 日間無料


最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

tenable.io 購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入

Nessus Professional を無料で試す

7 日間無料

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

Nessus Professionalを購入する

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

Tenable.io を 30 日間無料でお試しください

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.io を購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入

Tenable.io Web Application Scanningを試す

30 日間無料

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のウエブアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なウエブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスし、これまでにない精度で全ての資産を確認し、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入

Tenable.io Container Securityを試す

30 日間無料

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOps プラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポートします。

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Tenable Lumin を試用する

30 日間無料

Tenable Lumin を使用して、Cyber Exposure を可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable Lumin を購入する

Tenableの担当者にお問い合わせいただき、組織全体に対するインサイトを得て、サイバーリスクを管理する上で Lumin がいかに役立つかについて、Tenable の営業担当者までお問い合わせください。

Tenable.cs を試してみる

30 日間無料で Tenable.cs にフルアクセス。クラウドインフラの設定ミスを、ソフトウェア開発ライフサイクルの設計、構築、実行時を通じて検出して修正できます。

Tenable.cs を購入する

クラウドセキュリティについてもっと詳しく、コードからクラウドまでの各段階でセキュリティを確保できるか、営業担当にお問い合わせください。