Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

Log4Shell: OT コミュニティが今すぐ取るべき 5 つのステップ

OT 環境も、ApacheLog4j の欠陥によるリスクにさらされています。ここでは、今すぐ実行できることを紹介しま​す。

12/17 更新情報: Apache は、CVE-2021-45046 で報告されている 2 つ目の Log4j 脆弱点の 深刻度を「低」から「重大」(9.0 CVSSv3) に変更しました。一定の設定においてリモートコード実行の可能性があることが発覚したためです。詳細は、Tenable コミュニティの 投稿 をご覧ください。

すでにご承知のとおり、log4j の脆弱性により今インターネットは火の海です。CVE-2021-44228: Log4j のリモートコード実行の脆弱性 (Log4Shell) は、歴史上最も蔓延し、広範囲に及ぶ恐れがある脆弱性の 1 つとして分類されています。Log4j は、開発者が広く使用している Java 用ロギングライブラリです。コア機能にサードパーティのライブラリを使用することは、IT に限った問題ではありません。Log4j は、運用・制御技術 (OT) 環境に組み込まれています。実際、OT ベンダーは、製品がどのように影響を受けるかについてのアドバイザリをすでにリリースしています。 

OT インフラにおけるこの特定の脆弱性の広汎性と程度 への理解は今後数週間から数か月でより深まるでしょうが、Log4j は重要な OT ロギング機能の実行にほぼ確実に使用され、そのシステムを些細なリモートコード実行に対して脆弱にすることはすでに明らかになっています。ただし、Log4j を OT インフラで使用しない場合でも、リスクにさらされる可能性があります。

企業は IT と OT 運用環境を統合しているため、攻撃が IT から OT へと移動するケースはこれが初めてではありません。工場が完全にエアギャップされている場合でも、「偶発的なコンバージェンス」が存在する可能性が比較的高いのです。OT インフラを保護するための決定的な手順を実行しないと、事業が危険にさらされる可能性があります。

FAQ はこちらから: CVE-2021-45046、CVE-2021-4104: Log4Shell に関連した脆弱性についてよくあるご質問

OT 環境を Log4j から保護するための 5 つの手順は次のとおりです。

  1. 公式ガイダンスに従う。 米国サイバーセキュリティインフラストラクチャセキュリティ庁 (CISA) などの組織は、具体的なガイドラインを発行しています。このガイドラインに精通し、継続的に従うことが重要です。MITRE、米国国立標準技術研究所 (NIST)、英国のネットワークと情報セキュリティ (NIS)、北米電力信頼度協議会 (NERC) のフレームワークへの準拠と信頼は、動的な脅威の状況に警戒を怠らず、組織がベストプラクティスを確立するのに役立ちます。
  2. 何を所有しているかを把握する。 資産インベントリは、セキュリティ問題解決の基本であり、深い状況認識を提供します。このためには、環境内のすべてのメーカーとモデルを把握するだけではなく、ファームウェアバージョン、パッチレベル、通信経路、アクセス情報などの最新のインベントリが不可欠です。ネットワーク監視だけでは、詳細情報の一部しか提供されません。固有の詳細情報を取得するには、アクティブでデバイス固有のクエリも必要です。
  3. IT 資産のターゲット型スキャンを実行する。 優れた資産インベントリがあれば、脆弱性スキャンを実行して、影響を受ける可能性の​ある他の場所を確認できます。Tenable Research は、Log4J や Log4Shell の脆弱性攻撃を検出するシグネチャを特定し、公開しました。プラグインの継続的なリリースについてはこちらをご覧ください。 リスクにさらされている要素を特定するためには、新しく発行されたプラグインを使用してターゲット型スキャンを実行することをお勧めします。
  4. 幅広い OT エクスポージャーを理解する。 ベストプラクティスは、Nessus のような優れたスキャンオプションを使用して IT 資産の脆弱性スキャンを実行し、Tenable.ot のような OT に特化したオプションを使用して OT 資産を具体的に処理することです。実際、Tenable.ot には Nessus が含まれており、IT 資産と OT 資産の両方に対して脆弱性チェックを実行します。Tenable.ot が OT 資産に対応している間、Nessus が IT 資産のみのスキャンを保証するよう、特定の予防措置が採用されています。
  5. リスク軽減を積極的に行う。 侵入検出アラートのみに依存して、不正アクセスやシステムの悪用を警告しているようでは、すでに手遅れです。進行中の脅威の評価には、最新のインテリジェンスとソースが含まれている必要があります。IT ネットワークと OT ネットワークは多くの環境ですでに相互接続されており、脅威アクターはこのコンバージェンスを利用しています。Log4j がすでに環境内で利用されている可能性を懸念している場合は、Tenable がお手伝いします。

長期的には、製造業と重要インフラコミュニティ全体が、実際に発生した新たな脅威への対処に必要な深い状況認識を身につけ、システム内で何が使用されているかについての理解を深める必要があります。ソフトウェア部品表 (SBOM) の取り組みは、2021 年 5 月の大統領令によって定められました。SBOM は、製品が脆弱なソフトウェアライブラリに依存しているかどうかを知るために必要な透明性をエンドユーザーに提供できます。

Log4j の脆弱性に今後数年間対処を余儀なくされるのは間違いありませんが、残念ながら、将来的に他の脆弱性が発生することも疑いようがありません。適切な人材、プロセス、技術が整っていれば、世界中の組織はリスクベースの意思決定を迅速に共同で使用することで、Log4Shell などの脆弱性の影響を最小限に抑え、世界の重要インフラを保護できます。

Tenable の OT ソリューション担当シニアディレクターである Michael Rothschild も、このブログ投稿に貢献しました。

もっと詳しく

関連記事

最新のサイバー攻撃に対して脆弱ではありませんか?

下にメールアドレスをご記入ください。最新の情報が確認できる Cyber Exposure アラートがインボックスに送信されます。

tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

tenable.io 購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Nessus Professional を無料で試す

7 日間無料

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

Nessus Professionalを購入する

Nessus® は、最も包括的な脆弱性スキャナーです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルを短縮し、お客様の IT チームが専念して活動できるようにします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

Tenable.io

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable.io を購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

65 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable.io Web Application Scanningを試す

Tenable.ioプラットフォームの一部として最新のアプリケーション用に設計された、最新のウエブアプリケーションのスキャンサービスの全機能にアクセス可能です。手作業による労力や重大なウエブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable.io Container Securityを試す

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品の全機能にアクセス可能です。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視継続的インテグレーション/継続的デリバリー(CI / CD)システムと統合し、DevOps プラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポートします。

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスと統合することにより、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Tenable Lumin を試用する

Tenable Lumin を使用して、Cyber Exposure を可視化および調査し、リスクの軽減を追跡し、競合他社に対してベンチマークしましょう。

Tenable Lumin を購入する

Tenableの担当者にお問い合わせいただき、企業全体に対するインサイトを得て、サイバーリスクを管理する上で Lumin がいかに役立つかについて、Tenable の営業担当者までお問い合わせください。

Tenable.cs を試してみる

製品のすべての機能にアクセスして、クラウドインフラの設定ミスを検出、修正して、実行段階の脆弱性を表示できます。今すぐ無料トライアルにご登録ください。

営業担当者に問い合わせて Tenable.cs

Tenable.cs Cloud Security について詳しくは営業担当者にお問い合わせください。クラウドアカウントのオンボーディングは簡単で、数分でクラウドの設定ミスと脆弱性が把握できます。

Nessus Expert を無料で試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Nessus Professional をご使用ですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Nessus Expert を購入する

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

7 つの追加サポート