BLOG

Log4jの教訓:修復を急がないこと

Lori MacVittie サムネール
Lori MacVittie
Published February 08, 2022


人間である以上、ほとんどの人が心臓の鼓動が速くなる、筋肉が緊張する、手のひらに汗をかくなど、自律神経系の身体反応が激しくなる、いわゆる「闘争・逃走反応」を経験しているはずです。この反応にはパニック感が伴うことがあり、論理的に考えることがほとんどできなくなる意思決定の麻痺が生じます。

ビジネスの現場には、長年にわたって危険なデジタル状況に対応してきたことで培われた独自の対応策があります。

ビジネスにおけるリスクは、人間に対するリスクと似ています。人間の場合、闘争・逃走反応が過度に頻繁に、激しく、または不適切に活性化されると、さまざまな臨床症状が現れ、身体的なダメージを与える可能性があります。ビジネス面では、デジタルの闘争・逃走反応が頻繁に、激しく、または不適切に起こると、特にセキュリティの領域において、ビジネスの健全性に悪影響を及ぼす可能性があります。

数十年にわたってアプリケーションやインフラストラクチャ関連の脅威の軽減に取り組んできた結果、よく知られている「悲しみの段階」のように「セキュリティ反応の段階」があることがわかりました。

セキュリティ反応の段階

適切な対応を選択することの重要性

修復を急ぐことは、長い目で見ると最善の対応ではないことがあります。Apache社が最初にリリースしたLog4jのパッチにも脆弱性があったことを考えると、修復を急いだ組織は基本的にすべてのシステムにパッチを再適用しなければなりませんでした。

ここで私は、「修復を急がないことは、リスクを無視することでも、何もせずに失敗することでもない」と強く主張したいと思います。

デジタル ビジネスを動かしているデータを責任を持って管理できないと現実世界に影響が及ぶため、このことは特に重要になります。Log4jの件を受けて、米国連邦取引委員会(FTC)は「Log4jにより漏洩した消費者データの保護を怠った民間企業を追及すると警告しました」ZDNet)。

軽減が最優先である理由

修復の前に軽減を行うのには理由がありますが、特に重要なのは「何かをしたい」、「修復を急ぎたい」という人間の本能に対応することです。また、迅速に軽減すれば、適切な修復アクション プランを策定できるだけでなく、顧客データを漏洩から保護することによって責任を持って顧客データを管理するニーズにも対応できます。

特に、ソフトウェアのサプライ チェーンを徹底的に調査しなければならないような広範な脆弱性に対処する場合は、軽減策を最初に講じる必要があります。1月4日に「# Log4 shellに対する脆弱性のダウンロード数が未だに全体の46%に達している」と発表された背景には、脆弱性のあるパッケージやコンポーネントが隠れている場所を明らかにすることの難しさが表れていると思われます(Sonatype)。

デジタル アズ デフォルトの世界では、痛手となる新たなセキュリティの脆弱性によって引き続きビジネスは混乱し、すでに対応に追われているリソースに負担がかかるという現実があります。企業のアプリケーション ポートフォリオは堅牢で、コア、クラウド、エッジにまたがる5世代のアプリケーション アーキテクチャを持つことが多いため、修復に多くの時間とエネルギーが費やされることを想定しておく必要があります。だからこそ、迅速な軽減がとても重要なのです。迅速に軽減することで、負荷が軽減され、より計画的かつ包括的な修復アプローチが可能になります。このアプローチには、リリースされたパッチが安全であることを確認することや、開発者が既存のリリース サイクルに合わせてアップデート、パッチ適用、テストを行うことなどが含まれます。

企業は、軽減をサポートするコントロール ポイントをすべての環境で確保する必要があります。戦略的なコントロール ポイントにおけるWebやAPIの保護、コンテンツの検査、およびブロック機能は、このような種類の広範な脆弱性に直面した際に軽減を図るための「プラットフォーム」となります。また、これらのコントロール ポイントは、このような脆弱性を悪用しようとする試みを公開する形で、重要な情報を提供することもできます。

まとめ

子供の頃の避難訓練を覚えているでしょうか。火災発生時、安全に学校から移動する方法の訓練です。私も竜巻を想定した避難訓練をしましたし、世界中の子どもたちが地震や津波に備えた訓練を行っているのではないでしょうか。計画を立て、それを実行する方法を知っておくことは、重大な脆弱性に関するニュースが流れたときに、パニック状態に陥る時間を減らす上で非常に重要です。

慌てる必要はありません。戦略的なコントロールポイントを活用し、迅速なミティゲーションに注力することで、目的に応じた、是正措置を実行することができます。

そして忘れてはならないのは、訓練により、パニックは軽減するということです。「セキュリティの防犯訓練」を計画、実践訓練することも良いアイデアです。