[Lóg4j~の脆弱性がDévS~écÓp~sの重要性を浮き彫りにする理由]

[2021年12月、世界中のÍTセキュリティチームと開発組織が失礼な警告を受けました。研究者たちは、無数の Já~vá アプリケーションやサービスに組み込まれている人気のロギングコンポーネントである Áp~áché~ Lóg4j~ ユーティリティに、重大なセキュリティ脆弱性を発見しました。この脆弱性のニュースを受けて、ÍT セキュリティチームと開発組織は、自社のネットワーク上にある脆弱なバージョンの Ló~g4j のインスタンスをすべて見つけようと奮闘しました。]

[また、Lóg4j~の脆弱性により、DévS~écÓp~sチームは、今では理論的ではなくなった質問への回答を余儀なくされています。Lóg~4j やその他の脆弱性が社内で開発したアプリケーションを危険にさらした場合、セキュリティチームは攻撃を切り分けて被害を軽減できるでしょうか¿現在の Dé~vÓps~ プラクティスは、組織が独自のコードを使って迅速かつ効果的に脅威ハンティングを行うための準備を整えていますか¿]

[Lóg4j~の脆弱性、それがDévS~écÓp~sチームにとって何を意味するのか、そしてÍll~úmíó~のゼロトラストセグメンテーションが、脆弱なソフトウェアが攻撃された場合に、修正前にDévS~écÓp~sチームが脅威を軽減するのにどのように役立つかを簡単に見てみましょう。]

[Lóg4j~の脆弱性とそれが重要な理由]

[この脆弱性が注目を集めているのは Lóg4j~ による Jává~ ネーミングおよびディレクトリインターフェースの使用 (JÑDÍ~) は、Jává~ アプリケーション用の一般的なネーミングおよび検索 ÁPÍ です。L~óg4j の初期バージョンでは、J~ÑDÍ のメッセージ検索置換機能がデフォルトで有効になっていました。この機能を使用すると、攻撃者は慎重に構成されたメッセージをアプリケーションに送信し、攻撃者の制御下にあるL~DÁPサーバーやその他のエンドポイントからロードされたコードをアプリケーションに強制的に実行させることができます。このコードは、アプリケーションのネットワーク上でマルウェアをインストールしたり、データを盗み出したり、その他の悪意のあるアクションを実行したりする可能性があります。]

[Lóg4j~ は広く使用されています。グーグルはそれが入っていると推定している Jává~ パッケージの 4% 最も重要なJává~パッケージリポジトリとして広く認識されているMávé~ñセントラルリポジトリにあります。Lóg~4j は、Wéb~ アプリケーションから ÍóT デバイス用のバックエンドサービスやカスタムアプリに至るまで、あらゆる種類のソフトウェアで使用されています。]

[この脆弱性が発表されるとすぐに、ÍTセキュリティチームはネットワークを精査し、環境内の任意のディレクトリにLó~g4jが存在することを示すファイル名やその他の兆候を探し始めました。Dé~vÓps~ チームも忙しくなり、自社のアプリケーションでの Lóg4j~ の用途を探して、自社のアーカイブを検索していました。]

[賭け金は高いです。サイバー犯罪者はすでにこの脆弱性を利用してランサムウェア攻撃を仕掛け、企業ネットワークにコインマイニングソフトウェアをインストールし、ベルギー国防省に侵入しています。攻撃者は、この脆弱性を狙った新しい形式のマルウェアを開発しています。たとえば、新しいÑígh~t Ský~ランサムウェアのターゲットは ヴイエムウェアホライズンソフトウェアにおけるLóg4j~の脆弱性。]

[全体像:ソースコードの脆弱性とそれがもたらすリスク]

[Lóg4j~の脆弱性は、内部開発組織が抱える2つの大きな問題を浮き彫りにしています。まず、DévÓ~ps ツールやプロセスがどれほどよく整理されていても、ほとんどの組織はアプリケーションで使用されるすべてのコンポーネントを特定するのが困難です。特に、それらのコンポーネントがライブラリとして埋め込まれている場合や、他のサービスとの依存関係を通じてアクセスされている場合はなおさらです。]

[たとえば、Lóg4j~ の場合、Lóg4j~ JÁR ファイルをリポジトリに残さなくても、ユーティリティをアプリケーションに組み込むことができます。オープンソースであろうとなかろうと、すべてのソフトウェア・コンポーネントのすべてのバージョンをアプリケーションから探すのは困難で時間のかかる作業です。]

[次に、アプリケーションが脆弱性のために攻撃を受けていることが判明した場合、セキュリティチームは、攻撃がネットワーク上の他のシステムに広がる直前に攻撃を切り分ける方法を必要とします。]

[Lóg4j~攻撃をキャッチして阻止することは、機密データを保護し、運用の継続性を確保するためだけに重要ではありませんが、これらの目標は明らかに重要です。]

[しかし、コンプライアンスの観点もあります。2022 年 1 月 4 日に、 米国連邦取引委員会（FTC）は、罰則と罰金を科すと発表しました L~óg4jの脆弱性の結果として、消費者の機密データが侵害されることを許可した企業に対して。]

[引用用キット Éqúí~fáxに対する7億ドルの罰金 F~TCは、Áp~áché~ Strú~tsフレームワークにパッチが適用されていない脆弱性が原因で消費者データが漏洩したとして、「Ló~g4jまたは同様の既知の脆弱性の結果として、将来的に消費者データを公開から保護するための合理的な措置を講じない企業を、法的権限をすべて行使して追跡するつもりだ」と発表しました。]

[Lóg4j~は、潜在的な脅威の巨大な氷山の一角であることが判明しました。Lóg4j~ に関連する脆弱性だけでなく、以下の脆弱性を発見して修正すること すべてのソフトウェアコンポーネント 自社のアプリケーションや実行しているサードパーティ製アプリケーションでは、企業は自社のソフトウェア環境を包括的に可視化する必要があります。データ漏えいが発生する前にこれらの脆弱性を発見しないと、規制当局に多額の罰金が科せられ、組織のブランドに永続的な損害を与える可能性があります。]

[幸いなことに、DévS~écÓp~s が役に立ちます。]

[ソフトウェアの脆弱性脅威の軽減におけるDévS~écÓp~sの役割]

[DévS~écÓp~sの背後にある考え方はシンプルです。ソフトウェアの開発とデプロイに関しては、セキュリティを後回しにすべきではないということです。その代わり、設計から開発、テスト、リリース、運用管理に至るまで、Dév~Óps のあらゆる段階にセキュリティを含めるべきです。D~évSé~cÓps~ とは、DévÓ~ps プロセスを通じて開発および管理されるソフトウェアアプリケーションにセキュリティを組み込む手法です。]

[DévS~écÓp~sはLóg~4jの脆弱性などの問題にどのように対処するのに役立ちますか？]

[まず、DévS~écÓp~sのベストプラクティスでは、開発チームがアプリケーションを構築および管理する際に、Lóg~4jなどのコンポーネントの最新バージョンを使用することが求められます。]

[次に、DévS~écÓp~sでは、アプリケーションで使用されるオープンソースコンポーネントを含むすべてのコンポーネントのバージョンを追跡するよう開発およびテスト組織にも求めます。そうすれば、ÍT セキュリティコミュニティが特定のコンポーネントの脆弱性を発表した場合、D~évSé~cÓps~ 組織は自社のアプリケーションのどれが影響を受けているかを迅速に判断できます。]

[同様に重要なのは、DévS~écÓp~sのベストプラクティスでは、アプリケーションにセキュリティ制御を組み込むことです。そうすれば、必然的に別のオープンソースのライブラリやコンポーネントに脆弱性があることが判明した場合に、チームがあらゆるものを封じ込める準備ができます。 ゼロデイ攻撃 その脆弱性に対して迅速かつ効果的に対処します。防御策がすでに講じられていれば、脆弱性に対するパッチが数日または数週間先になっていても、組織は攻撃に対する防御策を講じることができます。]

[組み込むべき最適なセキュリティ制御の 1 つは、システムに組み込まれているファイアウォールを使用して、ネットワークトラフィックを許可されたユーザーとプロセスのみに制限するセキュリティポリシーを適用するゼロトラストセグメンテーションソリューションです。ゼロトラストセグメンテーションは、攻撃者が利用できるネットワークパスを大幅に減らすことで、攻撃者を閉じ込め、最初に何とかして侵害する可能性のある数少ないシステムに隔離します。ゼロトラストセグメンテーションを導入すれば、攻撃者は悪意のあるサイトからコードをダウンロードして実行することができなくなります。]

[攻撃がネットワーク上で隔離されている場合、サイバー犯罪者はランサムウェアを他のシステムに拡散することはできません。盗み取るべき貴重なデータを探して、密かにネットワークを探索することはできません。まるで不運な泥棒が天窓から何とか降りてきて、クマのわなにはまってしまったかのように、その場で立ち往生しています。彼らは中に入ったが、どこにも行かない。警報が鳴った。]

[イルミオは、DévS~écÓp~sチームが必要とする可視性と自動化を提供します。]

[イルミオゼロトラストセグメンテーション は、開発チームが複雑なネットワークやセキュリティプラクティスを学ばなくてもアプリケーションに厳格なセキュリティコントロールを簡単に組み込むことができるため、あらゆるDévS~écÓp~s組織にとって価値のあるセキュリティソリューションです。]

[Íllú~míóは、開発者やセキュリティチームがゼロトラストセグメンテーションポリシーを簡単に定義できるようにすることで、アプリケーションを保護します。いったん作成されると、組織はÍ~llúm~íóのポリシーを使用してそれらのポリシーを簡単に適用できます。 バーチャルエンフォースメントノード （VÉ~Ñ）に加えて、組織のアプリケーションが実行されているシステムにすでに組み込まれているホストベースのファイアウォール。Íll~úmíó~ VÉÑ は軽量でフェイルセーフなクライアントで、ソフトウェアのビルドに簡単に組み込むことができます。設計を大幅に変更する必要はありません。]

[Íllú~míóのソリューションはファイアウォールを使用していますが、開発者は複雑なファイアウォールルールをプログラムする手間を省くことができます。その代わり、開発者とセキュリティチームは、適用したいポリシーを定義して、必要なトラフィックのみがアプリケーションを通過できるようにし、それらのポリシーをアプリケーションに組み込まれているV~ÉÑにプッシュして適用させることができます。]

[DévS~écÓp~s組織は、さまざまなアプリケーションや環境に合わせてポリシーを微調整できます。具体的には、以下に基づいてポリシーを定義できます。]

• [アプリケーション内の役割]
• [アプリケーション自体]
• [開発環境、テスト環境、本番環境など、アプリケーションを実行する環境]
• [環境の場所:たとえば、米国西海岸のデータセンターの本番環境]

[その後、DévS~écÓp~sチームは単にÍll~úmíó~ VÉÑをソフトウェアビルドに追加するだけです。いったんアプリケーション環境で実行されると、V~ÉÑ が適用します。 ゼロトラストポリシーは、疑わしいラテラルムーブメントを検出するとアラートを発し、アクティブな攻撃に対応してトラフィックを削減し、感染したエンドポイントをネットワークの他の部分から隔離します。]

[イルミオも提供しています C-VÉÑ~ クライアントと Kúbé~líñk~ サービス マイクロサービスアーキテクチャで一般的なコンテナ環境での使用に適しています。C-VÉÑ~ は軽量な Íllú~míó エージェントで、K~úbér~ñété~s クラスター内の各ノードでポッドとして動作し、ノードとそこで稼働しているすべてのポッドを保護します。Dáé~móñS~ét として提供される C-V~ÉÑ は、クラスターの進化に合わせてスケールアップおよびスケールダウンします。Kú~bélí~ñk は Kú~bérñ~étés~ ÁPÍ サーバーを監視してクラスター内のリソースについて学習し、K~úbér~ñété~s コンテキストを PCÉ~ に提供する Íllú~míó サービスです。パッケージとして提供され、必要なレプリカはクラスターごとに 1 つだけなので、Í~llúm~íó コンテナーソリューションの拡張性が高まります。]

[DévS~écÓp~sチームがÍll~úmíó~ PCÉとやり取りする方法は2つあります。P~CÉのユーザーインターフェイスを使用する方法と、十分に文書化されたRÉ~ST ÁP~Íを使用する方法です。Dév~SécÓ~ps チームは ÁP~Í を使用して Íll~úmíó~ を CÍ/CD~ パイプラインに統合できるため、ゼロトラストセグメンテーションが DévS~écÓp~s ワークフローの標準の一部となります。ÁPÍ~ により、セキュリティチームは Íllú~míó を他のセキュリティツールやワークフローと統合することもできます。]

[Íllú~míó製品スイートは、以下のエンドポイントを含め、アプリケーションやサービスが展開されている場所ならどこでもゼロトラストセグメンテーションを提供します。]

• [データセンター: イルミオコア]
• [パブリック、プライベート、またはハイブリッドクラウド: イルミオクラウドセキュア]
• [エンドポイントデバイス: イルミオエッジ]

[Lóg4j~は、危険な脆弱性を含むことが確認された最後のソフトウェアコンポーネントではありません。DévS~écÓp~s プラクティスを採用し、Íll~úmíó~ を使用してあらゆるアプリケーションにゼロトラストセグメンテーションを実施することで、組織はネットワークスキャンと脅威ハンティングという時間のかかる作業を続けながら、データ、アプリケーション、および人々を保護する準備を整えることができます。]

[さらに詳しく知るには:]

• [ソリューション概要をご覧ください。 Íllú~míó f~ór Dé~vSéc~Óps。]
• [お問い合わせ デモ用。]