Cyber NINJA、只今参上

デジタル社会の世相をNINJAの視点で紐解きます。

「Apache Log4j」騒ぎの教訓

 昨年末から、サイバーセキュリティ業界で新しい脅威として「Apache Log4j」の脆弱性が取りざたされるようになった。実際どの程度の被害があったのかもよく分からないのだが、関係者が対策に追われている状況になっていた。ベルギー国防省への侵入があったのは事実で、一般企業に対しても暗号資産採掘用のソフトウェアをインストールされたり、ボットネットとして悪用されたことはあるようだ。

 

 そもそも「Log4j」というソフトウェアの名前を知らない人も多いと思う。使っていますかと聞かれても、答えようがないだろう。企業の情報システムを管掌している人でも、自社で「Log4j」を使っているかを把握していないことも多い。それはこのソフトウェアが、完全に「黒子」だからだ。多くのソフトウェア

 

・Webアプリサーバー

・データベース

CRM

・ネットワークインフラ管理

・セキュリティ製品

 

 などで共通に使われているロギングユーティリティが「Log4j」である。ソースコードが公開されている「オープンソースソフト」であって、どのソフトウェア・システム・企業が使っているかが管理されていない。

 

    f:id:nicky-akira:20220112110233j:plain

 

 だから企業のシステム担当者としては、

 

・自社で使っているかどうか確認するのにも時間がかかる。

・(クラウドなどの)委託先が使っていないかも確認しづらい。

・テレワークで見えないデバイスもあり、そこで使われていないか保証できない。

 

 と悩みが深まる。

 

 ソフトウェアが「自家薬籠中」のものであった時代、管理者ははっきりしていた。しかしそれでは効率が悪い。同じような機能のソフトウェアをいろいろな部署が開発し、管理することになる。そこで、

 

シェアウェア 複数機関で共有できるよ

・ビールウェア 代金としてビール券1枚くれれば使っていいよ

 

 のようなものが出て来て、公開するから誰でも使ってねというオープソースソフトウェアが登場した。これはすごく便利なことで、デジタル社会の進展に大きく寄与した。しかしインターネット同様、タダ同然で使えるものの問題点が顕在化してきたような気もする。

 

 ただシステムがこれほど複雑な(水平分業)スキームになってしまった現状では、オープソース全廃とかすべてのシステムの完全管理も難しい。「SurfaceWeb対TrustedWeb」のような根本対策議論と並行して、対症療法を続けるしかなさそうです。