2021年12月15日: HCL ソフトウェア、Log4j 脆弱性対策の最前線へ

原文: HCL Software on the Frontlines to Combat the Log4j Vulnerability

先週末に Log4j の脆弱性がトップニュースになって以来、HCL Software のサポートチームは、最新のセキュリティ侵害によるリスクを懸念する顧客から数百件の問い合わせを受けています。アプリケーション・ソフトウェアのセキュリティ・スキャン、脆弱性の検出、企業全体の修復の両方を提供する HCL Software は、Log4j ベースの脅威と戦う最前線に立たされました。

HCL BigFix の副社長兼ゼネラル・マネージャーであるKristin Hazelwood は、「Log4j は悪いものです。ここでのリスクのレベルは極端です。これがすぐになくなると思わないでください。私たちは、実際に何が試みられているのかを垣間見ることができ始めたばかりです。HCL AppScanやHCL BigFixのような製品は、この危機に対処するために不可欠なツールです」と述べています。

HCL BigFix と HCL AppScan は共に、デスクトップ、ラップトップ・サーバー、仮想マシン、クラウドエンドポイントなど、あらゆるデバイス上のソースコードや顧客環境で実行中の製品から Log4j の脆弱性を発見し修正するために働きます。HCL AppScan は、クラウドベースのアプリケーションセキュリティテストソリューションのオープンソース分析 (OSA) 機能を使用して、開発者が log4j をスキャンするのを支援することができます。AppScan on Cloud (ASoC) は、SAST、DAST、IAST、OSAを含む、クラウド上で利用可能な包括的セキュリティテストツールの比類ないスイートを提供します。HCL BigFix は、企業が脆弱なシステムを自動的に発見し、攻撃から保護し、攻撃された場合にはシステムを本番環境に復帰させるために重要な役割を果たします。

脆弱性管理やアプリケーション・セキュリティのソリューションを持っていない企業や開発者は、これから多くの仕事をしなければなりません。Log4j を防御するための最初のステップは、Log4j が存在する場所を見つけることです。

「皆様が所有または使用しているインターネットに面したすべてのアプリケーション、ウェブサイト、およびシステムを調査してください。これには、ベンダー製品のセルフホスティングインストールやクラウドベースのサービスも含まれます。インターネットに接続されるシステムのうち、機密性の高いデータが含まれるものに重点を置いてください。ホストアプリケーションとベンダーシステムの評価が終わったら、次はエンドポイントアプリケーションを評価します。WebEx、CitrixなどのJavaベースのアプリや、その他何百ものアプリが確認されています」(Hazelwood)。

次のステップは、パッチの適用です。パッチは、上記のHazelwoodが言及したインストール、製品、サービスと同じ順序で行う必要があります。パッチがまだ提供されていない場合は、緩和策を探します。それが存在しない場合は、脆弱性のあるアプリケーションをアンインストールする必要があります。

パンデミックにより、多くのエンドポイントが在宅勤務環境に追いやられているため、すべてのエンドポイントにパッチを適用し、コンプライアンスを維持することは、さらに困難な課題となっています。運用チームは、たとえ明確な指示があったとしても、在宅勤務の従業員が自分でシステムにパッチを適用することを当てにすることはできません。そこで、Log4j ベースの攻撃に対抗するために、IT オペレーションが不可欠となります。

「シニア・リーダーが知る必要のない脆弱性は数多くありますが、Log4j はその一つではありません」と、Hazelwood は述べています。シニア・リーダーは、IT 運用チームを最も重要な従業員の中に位置づけ、継続的なコンプライアンスを実施するシステムを採用する必要があります」 (Hazelwood)。

HCL AppScanのオープンソース分析ツールや、ウェブやオープンソースアプリケーション向けのSAST、DAST、IASTなどのセキュリティテストツール群の無料デモについては、こちらまでお問い合わせください。HCL BigFixの詳細については、こちらのページをご覧ください。