英国家サイバーセキュリティセンター(National Cyber Security Centre:NCSC)は、「Apache Log4j」に存在する重大な脆弱性「Log4Shell」が広範囲に悪用されている状況を緩和し、対応するための準備体制を見直す上で問うべき重要な検討事項を洗い出した。企業の幹部に対し、これらの項目について検討するよう促している。
NCSCはLog4Shellについて、「ここ数年の間に発生したコンピューターの脆弱性のうち、最も重大なものになる可能性がある」としており、企業の幹部に対して緊急に対応するよう呼びかけた。NCSCは、Log4jの脆弱性(Log4Shell)が、単一のソフトウェアではなく、オンラインサービスを運用する世界中の数多くのコンピューターで利用されているソフトウェアのコンポーネントであると強調した。つまりパッチの適用がより一層複雑になるということだ。
Apache Software Foundation(ASF)はLog4jのパッチをリリースしており、IBM、Cisco、Oracle、VMWareなどをはじめとする企業は、Log4jの脆弱性のあるバージョンを利用している製品へのパッチ対応を急いだ。米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、米連邦政府機関に対し、ネットワークに接続されているアセットに存在するLog4jの脆弱性をただちに修正することを命じる緊急指令を発表している。
緊急性の高さが明確になっている。MicrosoftやGoogleによると、世界の政府系ハッキンググループが、今後の攻撃に向け、この脆弱性を悪用しようと模索している。ベルギー国防省は、同省のネットワークが Log4jの脆弱性を利用したサイバー攻撃を受けたことを認めた。
NCSCが組織にとって主要な課題として挙げているのは、Log4jコンポーネントを使用しているサービスの洗い出し、それらのサービスで自らの組織が使用しているサービスの特定、それらのサービスが脆弱であるかどうかの見極めだ。
これらの課題を「企業の幹部は、どの程度懸念するべきなのか?」とNCSCは問いかけている。
真剣に考えるべきだというのが答えだ。ランサムウェアで業務に混乱が生じても問題ないと断言できるほど堅牢な内部ネットワークのサイバーレジリエンス(回復力)を持つ企業でなければ、影響は大きく拡大する恐れがある。
NCSCは、専任のITチームを擁する中規模、大規模の組織が考慮するべき10の質問を挙げている。
- 誰が対応を主導するのか?
- 対応計画はどのようなものか?
- 攻撃を受けたことをどのようにして把握し、対応できるのか?
- 自社が有しているソフトウェア/サーバーのうち、把握できている割合はどの程度か?
- シャドーIT/シャドーアプライアンスに対してどのように取り組むか?
- 主要プロバイダーが対応してくれていることを確認できているか?
- 組織内にJavaのコードを開発している人員はいるか?
- 問題発生時にどのように幹部に報告するか?
- 事業継続計画と危機対応について最後に確認したのはいつか?
- いかにチームの燃え尽き症候群を防ぐか?
