編集部からのお知らせ
CNET_ID限定PDF「システム監視の新ワード」
注目の記事まとめ「Emotet」動向

「Apache Log4j」の脆弱性への対応、考慮するべき10の問い--英政府機関NCSC

Liam Tung (ZDNet.com) 翻訳校正: 編集部

2021-12-22 13:36

 英国家サイバーセキュリティセンター(National Cyber Security Centre:NCSC)は、「Apache Log4j」に存在する重大な脆弱性「Log4Shell」が広範囲に悪用されている状況を緩和し、対応するための準備体制を見直す上で問うべき重要な検討事項を洗い出した。企業の幹部に対し、これらの項目について検討するよう促している。

 NCSCはLog4Shellについて、「ここ数年の間に発生したコンピューターの脆弱性のうち、最も重大なものになる可能性がある」としており、企業の幹部に対して緊急に対応するよう呼びかけた。NCSCは、Log4jの脆弱性(Log4Shell)が、単一のソフトウェアではなく、オンラインサービスを運用する世界中の数多くのコンピューターで利用されているソフトウェアのコンポーネントであると強調した。つまりパッチの適用がより一層複雑になるということだ。

 Apache Software Foundation(ASF)はLog4jのパッチをリリースしており、IBM、Cisco、Oracle、VMWareなどをはじめとする企業は、Log4jの脆弱性のあるバージョンを利用している製品へのパッチ対応を急いだ。米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、米連邦政府機関に対し、ネットワークに接続されているアセットに存在するLog4jの脆弱性をただちに修正することを命じる緊急指令を発表している。

 緊急性の高さが明確になっている。MicrosoftやGoogleによると、世界の政府系ハッキンググループが、今後の攻撃に向け、この脆弱性を悪用しようと模索している。ベルギー国防省は、同省のネットワークが Log4jの脆弱性を利用したサイバー攻撃を受けたことを認めた

 NCSCが組織にとって主要な課題として挙げているのは、Log4jコンポーネントを使用しているサービスの洗い出し、それらのサービスで自らの組織が使用しているサービスの特定、それらのサービスが脆弱であるかどうかの見極めだ。

 これらの課題を「企業の幹部は、どの程度懸念するべきなのか?」とNCSCは問いかけている。

 真剣に考えるべきだというのが答えだ。ランサムウェアで業務に混乱が生じても問題ないと断言できるほど堅牢な内部ネットワークのサイバーレジリエンス(回復力)を持つ企業でなければ、影響は大きく拡大する恐れがある。

 NCSCは、専任のITチームを擁する中規模、大規模の組織が考慮するべき10の質問を挙げている。

  • 誰が対応を主導するのか?
  • 対応計画はどのようなものか?
  • 攻撃を受けたことをどのようにして把握し、対応できるのか?
  • 自社が有しているソフトウェア/サーバーのうち、把握できている割合はどの程度か?
  • シャドーIT/シャドーアプライアンスに対してどのように取り組むか?
  • 主要プロバイダーが対応してくれていることを確認できているか?
  • 組織内にJavaのコードを開発している人員はいるか?
  • 問題発生時にどのように幹部に報告するか?
  • 事業継続計画と危機対応について最後に確認したのはいつか?
  • いかにチームの燃え尽き症候群を防ぐか?

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]