Apache Log4jの脆弱性（Log4Shell）の対策に有効な「OSS管理ツール」とは

Apache Log4jの脆弱性「Log4Shell」とは

2021年12月、OSS（オープンソースソフトウェア）であるJavaのログ出力フレームワーク「Apache Log4j」でゼロデイ脆弱性（Log4Shell、CVE-2021-44228）が報告されました。

本脆弱性は影響範囲が広く攻撃も容易なため、2014年に大きな話題となった「Heartbleed」などと同等レベルの脆弱性と言われています。

• Apache Log4j Security Vulnerabilities（logging.apache.org）
• CVE-2021-44228 Detail（National Vulnerability Database）
• Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起（JPCERT）
• Apache Log4j の脆弱性対策について（CVE-2021-44228）（IPA）

影響と政府の動き

本脆弱性の公開以降、実際に当該脆弱性を標的とした攻撃が観測されていました。

• Javaライブラリ「Apache Log4j」の脆弱性（CVE-2021-44228）を標的とした攻撃の観測について（警察庁）

米国では、本件を契機に米連邦政府とGAFAなどIT大手によるセキュリティ会議が開催されています。また米連邦取引委員会（FTC）は、本脆弱性の対策を怠った企業の責任を追及すると表明しています。

• 米バイデン政権、「Log4j」問題などを受けGAFAやOpenSSFなどを招いたOSSセキュリティ会議開催（ITmedia）
• 米国では「Log4j」脆弱性の放置に法的措置も　攻撃に引き続き警戒を呼び掛け（ITmedia）

このようなOSSに関するリスクは世界的に意識が高まっており、近年では、OSSマネジメントに関する国際標準の制定、経済産業省からの事例集の公開、米国大統領令でのソフトウェア構成表（SBOM）に関する言及などが行われています。

• オープンソースライセンスコンプライアンスのためのプロセスマネジメント標準「OpenChain」が国際規格として承認（ThinkIT）
• オープンソースソフトウェアの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集を取りまとめました（経済産業省）
• 米国のバイデン大統領が署名したことで話題となった「国家のサイバーセキュリティ改善に関する大統領令」とは（ThinkIT）

OSS由来の脆弱性は「OSS管理ツール」で対策を

OSS由来の脆弱性を早期に発見・修復するためには専用のツールを用いることが不可欠です。これらのツールは「OSS管理ツール」とも呼ばれており、具体的には「Black Duck」「WhiteSource」「FOSSA」といった製品が存在します。

OSS管理ツールでは、OSSとその脆弱性情報をデータベース化しており、リアルタイムに更新される情報に基づいてOSS由来の脆弱性情報とその回避策・修正方法などを把握することができます。

OSSの脆弱性は複雑かつ多岐に渡っており、通常の脆弱性スキャンでは把握できません。またWAFなどであらゆる脆弱性からシステムを守ることも困難です。根本的には、①OSSとその脆弱性をいち早く把握することと、②その脆弱性の対策をいち早く実施することが必要になります。

Log4jの件を含め、OSSの脆弱性対策にはOSS管理ツールの利用が最も有効な手段であり、デジタル時代に必須のツールになると言っても過言ではありません。

関連製品（OSS管理＆SBOM管理ツール）

• Black Duck
• Mend社のソフトウェアコンポジション解析ツール
• FOSSA
• Insignary Clarity