Dark background with blue code overlay
ブログ

Log4j 特集パート 4:Log4j に関する 5 つの教訓

Charlie Gero

Written by

Charlie Gero

January 13, 2022

Charlie Gero は、Akamai Enterprise 部門の VP 兼 CTO であり、Advanced Projects Group を指揮しています。現在は、セキュリティ、応用数学、暗号化、分散アルゴリズムの分野での最先端の研究に力を入れ、拡大していく Akamai の顧客ベースを保護する次世代のテクノロジーの確立を目指しています。物理学とコンピューターサイエンスの両方で学位を得ており、Akamai での研究を通じて、暗号化、圧縮、パフォーマンスの高いネットワークシステム、リアルタイムのメディア配信など、30 件近くの特許を取得してきました。Akamai に入社して 15 年近くになりますが、それ以前には、スタートアップ企業を創設したこともあり、また製薬業界やネットワーキング業界でコンピューターサイエンスの重要な職位を経験してきました。

lessons.png

今回は Log4j 特集のパート 4 として、重要ポイントをまとめます。この脆弱性を根絶する取り組みが進むにつれて、さらに多くの教訓が明らかになると思われますが、すでにわかっている重要事項を 5 つご紹介します。

1.新たな標準

ソフトウェアの複雑化も、新しい機能を求めるエンドユーザーの要求も、とどまることなく急速に拡大しています。必要な期間にエンドユーザーのニーズを満たすため、開発者は、利用可能なライブラリや言語エコシステム、サードパーティのインフラやサービスに依存せざるを得ません。その結果、ソフトウェア内には、開発者自身がまったく触れたことがない部分や完全には理解していない部分が存在し、その範囲はますます拡大しています。

ソフトウェア依存関係のグラフを見れば、リーフノードつまり共有されるコードとサービスから、ルートノードつまりプログラムされるプロダクトへと、脆弱性が継承されることがわかります。前述のとおり、プロジェクトに必要になって追加されるリーフノードの数は増えつつあり、それに伴って脆弱性のリスクも増大します。

こうした要因による不可避の結果として、この種の脆弱性は、今存在しているだけでなく、今後その頻度も影響も拡大し続けます。

この状況を新たな標準とみなすべきです。

2.リスクは再帰的

直接制御できるシステム、ソフトウェア、機能についてはリスクを誤解しやすいものです。先進的な組織は、開発者に所定のライブラリの信頼性を調べるよう求めるなど、一段階上のリスク評価を始めています。

しかし、サードパーティのコードが積み重ねられて構成されるシステムやソフトウェアが増えていけば、特定のライブラリやパートナーのリスクを評価するだけでなく、開発コミュニティやベンダーの手法を調べて依存関係を調査する必要性も増します。

あなたやパートナーまたは該当する開発コミュニティが依存関係ツリーとサプライチェーン内のすべてのノードを評価し、許容可能なリスクレベルが満たされているかどうかを判断する必要があります。

3.可視化による迅速化

上記のリスク評価を実施していても、脆弱性は発生します。私たちはこの事実を受け入れる必要があります。問題は、どうすれば完全に防止できるかではなく、発生した場合その状況にどれだけ効果的に対処できるかなのです。

そのために 最も重要なのは可視性です。そもそも影響を受けるマシンさえ把握できていない組織が多く、これがパッチの適用を難しくしています。ですからエンタープライズにはデータセンターとクラウドで稼働しているものを可視化するシステムが必要です。

より包括的かつ正確に可視化できれば、必要な資産への対処やパッチを迅速に進めることができます。

4.明らかなものを除外

脆弱性の多くは、一連のエクスプロイトチェーンを使わないと攻撃できません。そのため、このチェーンの一部を切断するだけで悪用を防げることが多いのです。つまり、以前の攻撃と、明らかになっている攻撃を、両方除外するシステムが重要となります。

優先すべきシステムは次のとおりです。

  • エンドポイント防御プラットフォーム(EPP)
既知の悪性ソフトウェアからエンドポイントを保護します
  • Web アプリケーションファイアウォール(WAF)

既知の悪性ペイロードや脅威アクターから Web アプリケーションを保護します。クラス最高水準の Akamai Kona による防御をご検討ください
  • DNS ファイアウォール

悪性ドメインへのアクセスからエンドポイントを保護し、悪性 DNS ペイロードを除外します。Akamai Enterprise Threat Protection ソリューションをご検討ください
  • セキュア Web ゲートウェイ(SWG)

マルウェアのダウンロードやインターネット上の悪性サイトへのアクセスからエンドポイントを保護します。Akamai Enterprise Threat Protection ソリューションをご検討ください
  • 多要素認証(MFA)

盗まれた認証情報でエンタープライズにアクセスされ、エクスプロイトチェーンが持ち込まれるリスクを低減します。Akamai MFA をご検討ください
  • アイデンティティベースのセグメンテーション

ソフトウェアとシステムがタスクを完了するために必要なマシンとのみ通信できるように制限します。Akamai Guardicore Segmentation をご検討ください
  • ゼロトラスト・ネットワーク・アクセス(ZTNA)

ネットワークにやってきた感染したエンドユーザーがもたらす影響を制限します。Akamai Enterprise Application Access をご検討ください

5.最小権限が最高

最後に、組織は最小権限の原則を全面的に受け入れる必要があります。サーバー、マシン、ソフトウェアをロックダウンして、タスクの実行に必要なシステムだけにアクセスできるようにします。

たとえば、Log4j エクスプロイトの一部としてアウトバウンド LDAP コールを実行しているシステムの多くは、LDAP を使用する必要がありませんでした。このようなシステムは、ファイアウォールを通じて LDAP にアクセスする必要があります。 その他の例:サービスがインバウンドリクエストのみに応答すれば、アウトバウンド接続はブロックされます。

制御対象のすべてのシステムとソフトウェアに最小権限の原則を適用することで、脆弱性が生じた場合の脅威サーフェスを大幅に減らすことができます。また、多くの場合、影響を受ける前に攻撃チェーンを止めることができます。

詳細はこちら

このシリーズに最後までお付き合いいただきありがとうございました。このブログシリーズはこれで終了しますが、当社はこれからも脆弱性の調査とお客様の保護を継続します。Log4j やその他の脅威に対する Akamai の推奨緩和策 について詳しくお知りになりたい場合は、Akamai の担当営業までご連絡ください。

 



Charlie Gero

Written by

Charlie Gero

January 13, 2022

Charlie Gero は、Akamai Enterprise 部門の VP 兼 CTO であり、Advanced Projects Group を指揮しています。現在は、セキュリティ、応用数学、暗号化、分散アルゴリズムの分野での最先端の研究に力を入れ、拡大していく Akamai の顧客ベースを保護する次世代のテクノロジーの確立を目指しています。物理学とコンピューターサイエンスの両方で学位を得ており、Akamai での研究を通じて、暗号化、圧縮、パフォーマンスの高いネットワークシステム、リアルタイムのメディア配信など、30 件近くの特許を取得してきました。Akamai に入社して 15 年近くになりますが、それ以前には、スタートアップ企業を創設したこともあり、また製薬業界やネットワーキング業界でコンピューターサイエンスの重要な職位を経験してきました。