継続的な情報収集により脆弱性を正しく理解し、適時判断するのが危機対応のポイント――Armoris 取締役専務 CTO 鎌田敬介氏ITmedia エグゼクティブセミナーリポート(2/2 ページ)

» 2022年03月14日 07時05分 公開
[山下竜大ITmedia]
前のページへ 1|2       

(1)WAFで文字列を止める

(2)Log4jをアップデートする

(3)JNDI Lookupを無効にする

(4)Log4jを無効にする

(5)遠隔コード参照を無効にする

 国内外でさまざまな報道がなされたLog4jの脆弱性だが、この脆弱性は本当に深刻なものだったのだろうか。

 鎌田氏は、「遠隔でコード実行が簡単にできるので、脆弱性単体でみれば非常に深刻です。しかし、アプリケーションログの保存の仕様により、攻撃が成立するか、しないかが変わります。ただし別の問題として、既存製品でLog4jの脆弱性で攻撃されることがありますので、Log4jを利用している製品で脆弱性の被害を受けるものについては注意が必要です」と話す。

情報収集と分析により脆弱性を正しく理解することが重要

 Log4shellは、非常に危険な脆弱性として、メディアや公的機関からセンセーショナルに発表されたが、現状では大規模かつ深刻な攻撃活動にはつながっていない。一般的な企業の対応としては、脆弱性自体の評価、情報資産の洗い出し、自社独自システムへの影響、自社利用製品への影響、対応策の検討、対応の実行などが必要。ISO22320における、観察、情報収集、評価、計画、意思決定、実行、フィードバックのループを繰り返すことが重要になる。

ISO22320に照らして考える

 脆弱性に迅速かつ的確に対応するためには、情報収集と分析により脆弱性を正しく理解することが重要になる。情報収集と分析では、世の中の状況が変化することを前提に、継続的に情報収集を行うことが必要。メディアで大きく報道されると経営層への対応も必要になることから、自社にどのような被害がありえるのか、自社としてどうするのかを明確にしておくことも重要になる。経営層への対応については、日常的に経営層と密なコミュニケーションができているかどうかによって、こういった大きな話題についての対応の円滑さが変わってくる。

 鎌田氏は、「今回のような場合脆弱性を正しく理解するには、試験環境の構築と攻撃コードの実証実験を実施してみることが有効になります。しかし、自分で環境を作ったことが無い人には理解が困難です。そこで、Webアプリの開発者の知見とサーバ構築などのインフラよりの知見の両方が必要になります。自社で手が出せる範囲と、製品などの手が出せない範囲があることを理解しておくことも重要です」と締めくくった。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia エグゼクティブのご案内

「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上

アドバイザリーボード

根来龍之

早稲田大学商学学術院教授

根来龍之

小尾敏夫

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

郡山史郎

株式会社CEAFOM 代表取締役社長

郡山史郎

西野弘

株式会社プロシード 代表取締役

西野弘

森田正隆

明治学院大学 経済学部准教授

森田正隆