「Apache Log4j」の脆弱性、適切な対策怠った企業にFTCが法的措置の可能性

Chris Duckett (ZDNET.com) 翻訳校正: 緒方亮 吉武稔夫 (ガリレオ)

2022-01-06 16:09

 米連邦取引委員会(FTC)は企業に対し、「Apache Log4j」の脆弱性に対処するよう促している。適切な対策をとらない企業の責任を追及すると警告している。

FTC to pursue companies that expose customer data due to not patching Log4j
提供:perinjo/ GETTY

 FTCは米国時間1月4日、「Log4jや同様の既知の脆弱性による消費者データの漏えいを防ぐための妥当な措置を怠る企業について、FTCは法が定める権限を駆使して追及する考えだ」と述べた

 また、「このソフトウェアのインスタンスの特定とパッチを怠った場合、FTC法に抵触する可能性がある」としている。

 FTCは、顧客データが漏えいした場合に起こる可能性のある事例として、米信用情報大手Equifaxの情報流出事件について触れている。Equifaxは2019年、約7億ドル(当時のレートで約750億円)を支払うことで合意した。

 FTCは、「Log4jの脆弱性はより広範な構造的問題の一部だ。数え切れないほど多様なインターネット企業で使われている、無名かもしれないが極めて重要な数あるオープンソースサービスの1つだ」と指摘する。

 「このようなプロジェクトは、ボランティアによって開発、保守されていることが多く、インターネットエコノミーに不可欠なプロジェクトであっても、インシデント対応と予防的な保守管理のためのリソースと人員が常に十分確保されているわけではない」

 「FTCは、ユーザーのセキュリティを危険にさらす根本的な問題に取り組むにあたり、こうした力学全般を考慮に入れる」

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]