本記事は2022年1月7日に公開した英語ブログFTC highlights the importance of securing Log4j and software supply chainを日本語化した内容です。
今週初め、米国連邦取引委員会(FTC)がLog4jの脆弱性に関して企業に警告を発しました。FTCがこのような警告を発するのは珍しいですが、このオープンソースのロギングパッケージの脆弱性を悪用する動きが活発化していることを考えると、FTCがソフトウェアのサプライチェーンのセキュリティについて確固たる姿勢を示し始めたことは頼もしいことです。
FTCの監視が強化されることは、一見、やっかいに思えますが、違反行為を正しい方法で是正することを可能にするものです。
#米国連邦取引委員会(FTC)による警告の背景:Log4Shellについて
2021年12月10日、大手企業のテクノロジーに組み込まれていることが多いソフトウェア開発言語Java用の人気ロギングライブラリ「Log4j」にゼロデイ脆弱性が存在することが発表されました。このライブラリは世界中の企業で幅広く利用されています。オープンソースの特性上、悪意のある攻撃者はこの脆弱性を悪用する方法を発見することができたのです。CVE-2021-44228は、修正用プログラムがリリースされる前に見つかったため、これは「ゼロデイ脆弱性」です。
あらゆる業界の企業が、長年にわたってこのパッケージを利用してきました。Log4jの管理者は、これらの攻撃が検出されると、すぐに行動を開始し、パッチをリリースしました。コミュニティがLog4jパッケージに注目するにつれ、その後数週間にわたり、さらに多くの脆弱性が表面化しました。ソフトウェア・チームは、このリスクのために警戒態勢に入ったかもしれませんが、これはオープン・ソース・モデルのまれな副産物なのです。しかし、適切なツールがあれば、これは管理可能なリスクであり、オープンソース・ソフトウェアを利用することの大きな利点を上回るものではありません。例えば、Log4Shell は数時間でパッチが適用されました。開発者コミュニティの力強さを反映していると言えます。
#慌てずに対応する
アメリカ政府の最大の責務はアメリカ国民を守ることですから、この12月に経験したLog4Shell問題のようなソフトウェアの脆弱性に対して強硬な姿勢を示すのは理解できます。FTCは、「Log4jの結果、または将来的に同様の既知の脆弱性の暴露から消費者データを保護するための合理的な措置を講じない企業を追求するために、(その)法的権限をフル活用する」と述べています。
この警告は、脆弱性修正の重要性を明確に示しています。FTCはまた、2019年にEquifaxに課された約7億ドルの罰金について思い出させることで、威嚇的な意味合いを持たせています。FTCは、Equifaxがネットワークの安全確保において「合理的な措置を講じる」ことを怠り、2017年に防ぐことが可能だったにも関わらずデータ漏洩を引き起こし、約1億4700万人に影響を与えたことを指摘しました。今後も監視を続ける予定のようです。
この「合理的な措置」とは何でしょうか?FTC曰く、米国でビジネスを行う、あらゆる種類の消費者データを保有する企業は、堅牢かつ機能的で、成熟した、監査可能な脆弱性管理プログラムを導入しなければならないとのことです。昨年2月の大統領令に続き、市民を保護するための現行の規制がデジタル領域に拡大する中、政府はソフトウェア・セキュリティについて声高に注意を促しています。ソフトウェア・サプライチェーンのセキュリティは、もはやオプションではありません。
好ましい側面としては、適切なソフトウェアセキュリティツールとソフトウェア開発プロセスがあれば、自信を持って対応できることです。実際、弊社Snykのお客様は、初期およびその後のLog4jオープンソースの脆弱性を特定し、発見から数日以内にパッチを適用しています。場合によっては、単にボタンをクリックしただけでした。
#Snykが支援できること
優れた脆弱性管理プログラムは、プロセスを含めた包括的なポリシーから始まります。このプロセスは、システムやアプリケーションの脆弱性を発見し、優先順位をつけ、修正し、監視するために必要な「合理的な手順」を指示するものでなければなりません。
Snykは、開発チームがソフトウェアのサプライチェーンをセキュアなものとし、コード内のLog4jの脆弱性を発見するために、多くの方法を提供しています。Snykでは、開発者がソフトウェアの完全なスキャンを行い、Log4jを含むオープンソースコードのすべてのインスタンスをレポートすることが可能です。
開発ツール、ワークフロー、自動化パイプラインに直接統合することで、Snykは、コード、オープンソースの依存関係、コンテナ、Infrastructure as Codeにおけるセキュリティ脆弱性の発見、優先順位付け、修正を簡単に行うことができます。また今回の脆弱性対策をより支援するために、開発チームがさらに簡単に利用できるように、コード内のLog4jインスタンスを検出して修正できるように、フリープランのスキャン回数を増やしました。
このゼロデイイベントが始まったときから、Snykチーム全体は、経験豊富なセキュリティ研究者から最前線の開発者対応チーム、そして関係するすべての人に、役に立つコンテンツを提供しています。 ブログ、ビデオ、ライブオーディオ、ウェビナー、チートシートなどを公開し、皆様に必要な情報をお伝えしてきました。最新情報が出る度に、私たちはお客様と開発者コミュニティが常に対応できるよう、全力でサポートします。
#ご参考情報
#最後に
Snykでは最新の脆弱性情報について、SNSで発信しています。ぜひフォローをお願いします。