昨年末から、サイバーセキュリティ業界で新しい脅威として「Apache Log4j」の脆弱性が取りざたされるようになった。実際どの程度の被害があったのかもよく分からないのだが、関係者が対策に追われている状況になっていた。ベルギー国防省への侵入があったのは事実で、一般企業に対しても暗号資産採掘用のソフトウェアをインストールされたり、ボットネットとして悪用されたことはあるようだ。
そもそも「Log4j」というソフトウェアの名前を知らない人も多いと思う。使っていますかと聞かれても、答えようがないだろう。企業の情報システムを管掌している人でも、自社で「Log4j」を使っているかを把握していないことも多い。それはこのソフトウェアが、完全に「黒子」だからだ。多くのソフトウェア
・Webアプリサーバー
・データベース
・CRM
・ネットワークインフラ管理
・セキュリティ製品
などで共通に使われているロギングユーティリティが「Log4j」である。ソースコードが公開されている「オープンソースソフト」であって、どのソフトウェア・システム・企業が使っているかが管理されていない。
だから企業のシステム担当者としては、
・自社で使っているかどうか確認するのにも時間がかかる。
・(クラウドなどの)委託先が使っていないかも確認しづらい。
・テレワークで見えないデバイスもあり、そこで使われていないか保証できない。
と悩みが深まる。
ソフトウェアが「自家薬籠中」のものであった時代、管理者ははっきりしていた。しかしそれでは効率が悪い。同じような機能のソフトウェアをいろいろな部署が開発し、管理することになる。そこで、
・シェアウェア 複数機関で共有できるよ
・ビールウェア 代金としてビール券1枚くれれば使っていいよ
のようなものが出て来て、公開するから誰でも使ってねというオープソースソフトウェアが登場した。これはすごく便利なことで、デジタル社会の進展に大きく寄与した。しかしインターネット同様、タダ同然で使えるものの問題点が顕在化してきたような気もする。
ただシステムがこれほど複雑な(水平分業)スキームになってしまった現状では、オープソース全廃とかすべてのシステムの完全管理も難しい。「SurfaceWeb対TrustedWeb」のような根本対策議論と並行して、対症療法を続けるしかなさそうです。