継続する「Log4Shell」脆弱性の被害が証明したSBOMの価値

今回は「継続する「Log4Shell」脆弱性の被害が証明したSBOMの価値」についてご紹介します。

関連ワード (セキュリティ、企業セキュリティの歩き方等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

 これまで、以下の記事でソフトウェアの脆弱性の対応およびその解決策としての「ソフトウェア部品表」(SBOM:Software Bill Of Materials)の有効性などについて述べてきた。

 今回は、2021年12月に公開された脆弱性「Log4Shell」が2022年秋現在に至ってもなお攻撃が継続している事実と、この状況にSBOMによるシステムと脆弱性の管理がどのように関連していくかについて述べる。

 「Apache」をウェブサーバーの代名詞として認識している人は、今でも多いだろう。インターネットの草創期にApacheは、インターネットそのものの普及と同じ曲線を描いて急激に利用され、圧倒的なシェアを持つウェブサーバーの定番ソフトウェアとなった。そのApacheが今ではウェブサーバーにとどまらず、ウェブ周辺のさまざまな機能を持つソフトウェアの集合体となった。また、そうしたソフトウェアの開発プロジェクトは「Apache Software Foundation」という組織によって運営されている。

 そして、「Apache Log4j」は、そのApacheのソフトウェア群の1つである。Log4jは、プログラミング言語の一種である「Java」で使用されているライブラリーで、主にJava言語で開発されたソフトウェアにおいてログ出力機能を提供するものだ。ちなみに、Log4jの末尾の「j」はJavaの頭文字である。

 Log4jはオープンソースソフトウェア(OSS)のため無償で使え、さらに柔軟な機能がそろっていたこともあって、非常に使い勝手が良かった。そのため、Javaシステムにおけるログ出力の定番モジュールとなった。その用途は多岐にわたるが、その利用方法の例を以下に示す。

 例えば、チャットアプリでは、メッセージの履歴を記録するために、ユーザーからアクセスされたURLの履歴を記録するために使われる。また、アプリケーションエラーの詳細などの履歴を管理するためにもしばしば使われる。結局、システム管理をする上で、ログ出力は非常に重要な意味を持つため、自然とLog4jはさまざまな場所で利用されるようになったのだろう。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
日立製作所、ESGデータの収集・可視化・分析を効率化する新サービス
IT関連
2022-09-08 11:32
富士通がインドに新研究拠点、現地教育機関とAIなどを共同研究
IT関連
2022-04-22 09:39
DX推進時代にこそ考えるべき「バイモーダル」–人材や組織、文化の多様性
IT関連
2021-05-22 22:41
スキルシェアのビザスクがSMBCヒューマン・キャリアと社外取締役や業務委託などの人材マッチング領域で提携
シェアリングエコノミー
2021-06-25 22:47
Datumix、AI開発を支援する「OptAce」を提供開始–開発費用と工数を削減
IT関連
2022-08-14 09:05
マクニカ、エッジ・クラウドAI連携のデータプラットフォームをリリース
IT関連
2021-01-20 00:41
カプコン、クラウド型決算基盤を導入–月次決算業務を15営業日から7営業日に短縮
IT関連
2022-03-24 19:21
Fanicon、ファンサービスとITを結びつける新サービス・動きをまとめた「エンタメ ファンテック カオスマップ 2022」公開
IT関連
2022-01-26 20:38
トランプ大統領がオンライン決済のStripeからも追い出され寄付金受け取り不可に
ネットサービス
2021-01-12 07:55
第39回:「ひとり情シス列伝」の10人
IT関連
2022-08-17 12:07
Appleフェローのフィル・シラー氏「最も誇りに思うのはiPod」
IT関連
2021-07-30 05:34
HyperCardの思い出 ゲームスタック作家だったあの頃 (1/3 ページ)
アプリ・Web
2021-03-20 21:36
クラウド契約サービス「クラウドサイン」、リコーのクラウドアプリケーションと連携
IT関連
2022-04-24 16:12
Ubuntuが.NET 6/ASP.NETをネイティブサポートすると発表。最適化されたコンテナイメージをCanonicalが配布開始
.NET
2022-08-17 21:45