カテゴリ: 今月のヒヤリ
2021年の年末にやってきた
log4jの世界的な脆弱性の問題は大きな話題になりました。
アプリケーションで、
log4jを利用しているかしていないかは
すぐに判別ができて影響の有無はわかりやすいです。
ただ、
こちら(https://github.com/NCSC-NL/log4shell/tree/main/software)のサイトに整理されているように、
今回はブラックボックスで普段意識しないところにも、
サービスとして利用しているもの、
例えば、AWSのサービスなどにも広く利用されているサービスなど、
影響範囲が大きな脆弱性でした。
脆弱性の影響は現時点では経験できていないのですが、
これだけ大きな脆弱性だと、
知らぬところで利用していて影響があったということがあり得ます。
アプリケーションの観点でいけば、
EOLを意識して、なるべく最新の安定版を利用するようにしたり、
インフラの観点でいけば、
脆弱性の検知と早期適用を実現するような仕組みと運用フローを検討していく必要があります。
特に、脆弱性にはレベルがあり、
CriticalやImportantといった重大なリスクのある脆弱性をそのまま放置することは、
セキュリティリスクが上がってしまいますので、
定期的な脆弱性のパッチを当てる必要があります。
最新を当てたから安全というわけではないのですが、
パッチを当てることは、
みなさんが利用しているPCのOSアップデートもパッチを当てる意味合いも含まれているので、
OSのバックアップとともに、
定期的なパッチを当てていくことは必要になります。
バランスが難しいところですが、
身近なPCやスマホのOSのバージョンと、
それぞれのOSの脆弱性に少しでも目を向ける、気にかけていただければ、
セキュリティリスクは少なくなるかと思います。