ページの本文へ

Hitachi

日立ソリューションズ オープンソース管理ソリューション

OSS管理ブログ

Apache Log4jの脆弱性(Log4Shell)の対策に有効な「OSS管理ツール」とは

Apache Log4jの脆弱性(Log4Shell)の対策に有効な「OSS管理ツール」とは

Apache Log4jの脆弱性「Log4Shell」とは

2021年12月、OSS(オープンソースソフトウェア)であるJavaのログ出力フレームワーク「Apache Log4j」でゼロデイ脆弱性(Log4Shell、CVE-2021-44228)が報告されました。

本脆弱性は影響範囲が広く攻撃も容易なため、2014年に大きな話題となった「Heartbleed」などと同等レベルの脆弱性と言われています。

影響と政府の動き

本脆弱性の公開以降、実際に当該脆弱性を標的とした攻撃が観測されていました。

米国では、本件を契機に米連邦政府とGAFAなどIT大手によるセキュリティ会議が開催されています。また米連邦取引委員会(FTC)は、本脆弱性の対策を怠った企業の責任を追及すると表明しています。

このようなOSSに関するリスクは世界的に意識が高まっており、近年では、OSSマネジメントに関する国際標準の制定、経済産業省からの事例集の公開、米国大統領令でのソフトウェア構成表(SBOM)に関する言及などが行われています。

OSS由来の脆弱性は「OSS管理ツール」で対策を

OSS由来の脆弱性を早期に発見・修復するためには専用のツールを用いることが不可欠です。これらのツールは「OSS管理ツール」とも呼ばれており、具体的には「Black Duck」「WhiteSource」「FOSSA」といった製品が存在します。

OSS管理ツールでは、OSSとその脆弱性情報をデータベース化しており、リアルタイムに更新される情報に基づいてOSS由来の脆弱性情報とその回避策・修正方法などを把握することができます。

OSSの脆弱性は複雑かつ多岐に渡っており、通常の脆弱性スキャンでは把握できません。またWAFなどであらゆる脆弱性からシステムを守ることも困難です。根本的には、①OSSとその脆弱性をいち早く把握することと、②その脆弱性の対策をいち早く実施することが必要になります。

Log4jの件を含め、OSSの脆弱性対策にはOSS管理ツールの利用が最も有効な手段であり、デジタル時代に必須のツールになると言っても過言ではありません。

関連製品(OSS管理ツール)

オープンソース管理ソリューション
タグ一覧
新着記事