昨年末、Apache Log4j で任意のコード実行ができる脆弱性 (CVE-2021-44228) に関する注意喚起が出され、対策に関する情報も各社から出されており、対応に追われている方もおられるかと思います。
最も多くのお問い合わせをいただいたのは
「対策方法は?」
使用しているソフトウェアや機器などのメーカー、ベンダーから修正プログラムなどの対応方法が公開されていないか確認、問い合わせをして対応を行ってください。
ただし、修正プログラムを複数回公開しているメーカー、ベンダーもあり、しばらくの間は注視する必要があります。
次に多かったのは
「対象のバージョンか否か自動で調査する方法はないか?」
ネットに様々な方法が公開されており、セキュリティベンダーで無償で調査ができるサービスを提供しているところもあります。
主にWebアプリケーションが対象になりますが、複数のシステムを利用している場合は手作業で調査するには時間がかかるので、活用した方が良いでしょう。
少数ではありますが
「今後もこのような事象が起きたときに対象の選定と対策を迅速に行う方法はないか」
以前から相談は寄せられていましたが、ハードウェア、OSだけでなくアプリケーションレベルのソフトウェアバージョン情報までを管理するのは情報量が莫大になるため管理が難しく、管理と対応の工数やコストを試算して対応策を考えようという議論をするのですが、対応が完了したら棚上げになってしまうことが多いのが現実です。
対策を始めてからは
「修正プログラムを適用するために開発ベンダーとの調整や事前検証が必要ですぐに対策ができない」
環境に依存するため、詳細な情報をヒアリングし代替対策の提案を行います。
最も多いのがIPSやWAFなどのセキュリティデバイスで「バーチャルパッチ」と呼ばれる脆弱性を突いた攻撃(通信)を遮断する対策を行います。
稼働しているセキュリティデバイスで「バーチャルパッチ」に相当する対策ができるか調査し「カスタムシグネチャ」などの設定を行います。
また、昨今ではクラウド型のIPSやWAFサービスが増えてきており、対策完了まで一時的に利用するという方法も有効でしょう。
当社では、脆弱性の対策に
・対応策の策定や緊急性のある対策の支援を行う「セキュリティコンサルティングサービス」を
・バーチャルパッチに相当するセキュリティデバイス、サービスの「CloudCoffer」を
提供しております。
具体的な内容や金額などはお問い合わせください。
