ブログ

Log4j から学んだこと: 修復を急がないでください

ロリ・マクヴィッティ サムネイル
ロリ・マクヴィッティ
2022年2月8日公開


私たちのほとんどは、人間という特性を共有しているため、一般的に「闘争・逃走反応」と呼ばれるものを経験したことがあります。これは、心臓の鼓動が速くなり、筋肉が緊張し、手のひらに汗をかくなど、激しい自律神経系の身体反応として現れることが多いものです。 この反応にはパニック感覚が伴う可能性があり、また、意思決定が麻痺して論理的に考える能力が事実上なくなることもあります。

企業には、脅威となるデジタル状況への対応で長年にわたり開発され、磨かれてきた独自の対応策があります。

ビジネスにとってのリスクは、人間にとってのリスクと似ています。 人間の場合、闘争・逃走反応の過剰頻繁、激しさ、または不適切な活性化は、さまざまな臨床症状に関係しています。 つまり、実際に物理的な損傷を引き起こす可能性があるということです。 ビジネス面では、デジタルの闘争・逃走反応を頻繁かつ激しく、あるいは不適切に活性化することは、特にセキュリティの分野では、ビジネスの健全性に悪影響を及ぼす可能性があります。

よく知られている「悲しみの段階」と同様に、applicationやインフラストラクチャ関連の脅威を軽減するための数十年にわたる取り組みの中で、私たちは「セキュリティ対応の段階」の出現に気付いています。  

セキュリティ反応の段階

正しい対応を選択することの重要性

修復を急ぐことは、長い目で見れば最善の対応とは言えない反応の 1 つとなる可能性があります。 Apache から最初にリリースされた Log4j のパッチも脆弱だったため、修復を急いだ組織は基本的に最初からやり直して、すべてのシステムに再度パッチを適用しなければならなかったことを考慮してください。

ここで私は立ち止まり、修復を急がないということは、リスクを無視したり、何もしないという過ちを犯すことを意味するものではないと強く主張します。

これは特に覚えておくべき重要なことです。なぜなら、デジタル ビジネスを推進するデータを責任を持って管理しないと、現実世界に影響が出るからです。 Log4j の流行を受けて、米国連邦取引委員会 (FTC) は「Log4j の結果として消費者データを保護できなかった民間企業を追及すると警告した」( ZDNet )

なぜ緩和が最優先なのか

緩和が修復よりも優先されるのには理由があり、その理由の 1 つは、「何かをしたい」という人間の本能に応えて修復を急ぐことです。 迅速な緩和は、適切な修復アクション プランを策定しながら、顧客データを流出から保護することで、顧客データの責任ある管理者としての必要性にも対応します。  

特に、ソフトウェア サプライ チェーンの徹底的な調査が必要となるような広範囲にわたる脆弱性に対処する場合は、緩和策を最初に講じる必要があります。 脆弱なパッケージやコンポーネントがどこに隠れているかを発見することが至る所にあり、その難しさが、1 月 4 日に「 #log4shellの脆弱なダウンロードが依然として全体の 46% に達した」という調査結果の背景にあると考えられます。 (ソナタイプ)

デジタルがデフォルトの世界の現実は、新たな重大なセキュリティ脆弱性が引き続きビジネスを混乱させ、すでに圧倒されているリソースに負担をかけることになるということです。 エンタープライズapplicationポートフォリオは堅牢な性質を持ち、コア、クラウド、エッジにまたがる 5 世代のapplicationアーキテクチャにまたがることが多いため、修復には多くの時間と労力がかかると想定する必要があります。 だからこそ、迅速な緩和が重要なのです。 これにより、プレッシャーが軽減され、より慎重かつ包括的な修復アプローチが可能になります。このアプローチには、リリースされたパッチが安全であることを確認し、開発者が既存のリリース サイクルに沿って更新、パッチ適用、テストを実行できるようにするアプローチが含まれます。

組織は、すべての環境にわたって軽減をサポートする制御ポイントを確保する必要があります。 戦略的な制御ポイントでの Web および API 保護、コンテンツ検査、ブロック機能は、このような広範囲に及ぶ脆弱性に対処するための一種の「プラットフォーム」を提供します。 これらの同じ制御ポイントは、そのような脆弱性を悪用する試みを明らかにする形で貴重な情報を提供することもできます。  

結論

私たちのほとんどは、子供の頃に火災が発生したときに学校から安全に脱出する方法について練習した避難訓練を覚えているでしょう。 私も竜巻の訓練をしましたが、おそらく世界中で地震や津波に備える訓練をした子どもたちがいるのではないかと思います。 計画を立て、それをどのように実行するかを知っておくことは、重大な脆弱性のニュースが届いたときにパニック状態に陥る時間を減らす上で非常に重要です。

だから慌てないでください。 戦略的な制御ポイントを活用し、迅速な軽減に重点を置くことで、意図的な修復を実行できます。

そして、練習をすればパニックは軽減されるということを覚えておいてください。 独自の「セキュリティ火災訓練」を計画して実行することは、決して悪い考えではありません。