Log4j/Log4Shell は、業界を破壊するセキュリティー脆弱性の一つの例である

2021年12月、Javaで広く使われているLog4j というオープンソースのロギングライブラリにセキュリティーの致命的な脆弱性が発見されました。
Log4j は、企業のアプリケーションやクラウド・サービスなどで広く使用されていたため、影響が非常に大きく、企業は対応に追われました。

この記事では、これからのセキュリティー対応は、プロアクティブに対応する必要性や、Log4j の脆弱性から学んで、WebSphere をご利用いただいているお客様に、IBM WebSphere Automation を活用したセキュリティー対応の強化についてご紹介します。
記事のソースはこちら↓です。ぜひご覧ください。

Log4j/Log4Shellは、業界を破壊するセキュリティ脆弱性の一つの例である

Log4j/Log4Shell の脆弱性について、当初に投稿された Security Intelligence ブログの記事はこちらです。

• 「How Log4j Vulnerability Could Impact You」

• 「Log4Shell Vulnerability Risks for OT Environments — and How You Can Better Protect Against Them」

リアクティブではなく、プロアクティブに対応

Log4j のような重大度の高い脆弱性から低いものまで、ソフトウェアの脆弱性の発見は加速しています。幸いなことに、これらの脆弱性は、悪用される前にFix が開発・デプロイされるようコード解読に積極的に取り組む個人や集団、いわゆる「ホワイトハッカー」により発見されることがほとんどです。

Java はグローバル規模で広く使用されているため、このような解析は特に Java エコシステムを対象に行います。オープンソースを多用する Java エコシステムは、コラボレーションやイノベーションがしやすいというメリットがある一方で、セキュリティーが軽視されがちです。セキュリティーを最優先に考えるコントリビューターがいたとしても、セキュリティーの脆弱性を攻撃するプログラムが発見されることを想定しておいた方がよいでしょう。例えば、MD5、SHA-1、および SSL-3.0 などのセキュリティー・アルゴリズムは、もはやセキュアであるとは言えません。

Log4j の場合、巧妙に作成されたテキストを使用してリモートからコードを実行し、攻撃者が簡単にマシンを乗っ取ることができます。この性質上、 Log4j がアプリケーションで直接使用されているのか、またはデプロイされているソフトウェアにバンドルされているのかを評価する必要があります。

使用しているツール、データ管理、インベントリーを追跡することによって、この評価はすぐにできるものもあれば、数日間から数週間かかるものもあります。一部のアプリケーション・チームにとっては、危機を優先することになった結果、将来に向けた開発が一時的に後回しにされることにもなりました。これは、ビジネス計画に大きな影響を与える可能性があります。
脆弱性の発見の加速は「ニューノーマル」時代では当たり前になりつつあり、企業は次に発見される脆弱性に備えておく必要があります。

Log4j の脆弱性から学び、セキュリティーを強化

今では、多くのチームが過去に遡ってプロセスやツールを見直して、将来的にアプリケーションがリスクにさらされる可能性があるか評価しています。
これからは、この評価の”確実性”を高めてリスクに迅速に対応して、安心と保証に繋がる監査のトレーサビリティーを確保する必要があります。

WebSphere のお客様にこの確実性をもたらすのが、IBM WebSphere Automationです。
IBM WebSphere Automation は、チームの業務最適化やインシデント対応の効率化、IT 資産のセキュリティー強化を促進するために開発されています。
WebSphere Automation は、さまざまな環境にある、重要なWebSphere 情報やデプロイメント・タイプを単一のダッシュボードに集約します。そして、関連のある CVE (Common Vulnerabilities and Exposures)を自動で検知します。
これにより、手動で行っていた作業を大幅に削減し、WebSphere のセキュリティー体制を理解するための単調な作業を排除して、セキュリティーの脆弱性をより素早く感知して対応できるようになります。
影響を受けるサーバーに効率的にセキュリティーパッチを配信したり、脆弱性をより素早く対応することで、WebSphere アプリケーションの中断を回避することにつなげることが出来ます。

IBM WebSphere Automation のデモ動画

WebSphere Automation は、 Log4j のようなセキュリティーの脆弱性を検知し、修復とトレーサビリティーに役立ちます。WebSphere Automation の管理画面からどのような運用ができるかを動画↓でご紹介しています。ぜひご覧ください。

当記事に少しでもご興味お持ちいただき、さらに詳しい情報をお知りになりたい場合は、ぜひ下記アンケートよりお気軽にお問い合わせください。
ご記入いただいた方には、貴社の今後のDX変革にお役立てできるIBM の最新情報をお届けします！

アンケート_Automation_note

どうぞよろしくお願い申し上げます。フォロー＆記事のシェアをしていただけますと幸いです。