企業セキュリティの歩き方

継続する「Log4Shell」脆弱性の被害が証明したSBOMの価値

武田一城

2022-10-11 06:00

 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

 これまで、以下の記事でソフトウェアの脆弱性の対応およびその解決策としての「ソフトウェア部品表」(SBOM:Software Bill Of Materials)の有効性などについて述べてきた。

 今回は、2021年12月に公開された脆弱性「Log4Shell」が2022年秋現在に至ってもなお攻撃が継続している事実と、この状況にSBOMによるシステムと脆弱性の管理がどのように関連していくかについて述べる。

Apache Log4jとは?

 「Apache」をウェブサーバーの代名詞として認識している人は、今でも多いだろう。インターネットの草創期にApacheは、インターネットそのものの普及と同じ曲線を描いて急激に利用され、圧倒的なシェアを持つウェブサーバーの定番ソフトウェアとなった。そのApacheが今ではウェブサーバーにとどまらず、ウェブ周辺のさまざまな機能を持つソフトウェアの集合体となった。また、そうしたソフトウェアの開発プロジェクトは「Apache Software Foundation」という組織によって運営されている。

 そして、「Apache Log4j」は、そのApacheのソフトウェア群の1つである。Log4jは、プログラミング言語の一種である「Java」で使用されているライブラリーで、主にJava言語で開発されたソフトウェアにおいてログ出力機能を提供するものだ。ちなみに、Log4jの末尾の「j」はJavaの頭文字である。

 Log4jはオープンソースソフトウェア(OSS)のため無償で使え、さらに柔軟な機能がそろっていたこともあって、非常に使い勝手が良かった。そのため、Javaシステムにおけるログ出力の定番モジュールとなった。その用途は多岐にわたるが、その利用方法の例を以下に示す。

 例えば、チャットアプリでは、メッセージの履歴を記録するために、ユーザーからアクセスされたURLの履歴を記録するために使われる。また、アプリケーションエラーの詳細などの履歴を管理するためにもしばしば使われる。結局、システム管理をする上で、ログ出力は非常に重要な意味を持つため、自然とLog4jはさまざまな場所で利用されるようになったのだろう。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  2. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  3. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    VPNの欠点を理解し、ハイブリッドインフラを支えるゼロトラストの有効性を確認する

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]