Log4j 問題に関する CISO の実践的なアドバイス:対処法の繰り返しで良いのか?

Log4j: A CISO’s Practical Advice

2021/12/24 DarkReading — あなたは、おそらく、Log4j の脆弱性について、信頼できる技術的分析をたくさん読んでいることだろう。しかし、そのような分析は、この記事にはない。その代わりに、CISO の役割に費やしてきた私の数十年からの視点と、CISO/CIO 仲間との会話から得られた視点を提供したい。

それは、Log4j や SolarWinds のようなセキュリティ・インシデントなどの、何かが発生するたびに繰り返される会話であり、影響のおよぶ範囲や、長期的な懸念を伴う内容となる。

Log4Shell と呼ばれる Log4j の脆弱性は、今年に発生した最大級のセキュリティ問題であり、発見されてから2週間が経過したあたりで、ようやく理解が進んだところだ。しかし、誇大広告/マーケティング/憶測などに振り回されてしまうと、次の Log4j に備えて対策/チームの強化といった、直ちに行うべき重要なことを忘れがちになる。

ここでは、ある CISO からのアドバイスを紹介していく。

  1. 共感を持ってリードしセキュリティ・サークルに働きかける

    以前にも話したことがあると思うが、セキュリティの専門家たちはは、CISO であろうとなかろうと、お互いに助け合う傾向がある。それを利用して前進しよう。お互いに、そして自分のチームに共感を持とう。ホリデー・シーズンであり、まだパンデミックが続いているが、私たちは皆、自分たちの組織が開発/運用する製品からの暴発を抑えるために懸命に努力している。

この問題が発生して以来、私は CISO 関係者に連絡を取ることに、多くの時間を費やしてきました。私たちがすでに、この問題に一緒に取り組み、成功/失敗の機会を共有していることを知り、心強く思ったが、驚きではなかった。覚えておいてほしいのは、複雑なセキュリティ問題に対する解決策はないが、あなたのシンプルな緩和策が、他の人の生命線になるかもしれないことだ。

  1. あなたの環境で何が起こっているのか、可能な限り明確に理解する

    Log4j に関して言うなら、それにより実現できること、そして、今回の問題を解決するために、私たち技術リーダーがすべきことの両面において、基本的にはサイバー・ハイジーンと可視化と制御の問題である。クラウド上で実行されているアプリケーションについて、すべてを明らかにする技術があっても、それを活用するための最も効果的な方法で、セキュリティ・インフラが構築されているとは限らない。

Netskope Threat Labs の研究員である Gustavo Palazolo は、先週の Dark Reading で、「組織が直面する主な課題の1つは、侵害された資産をすべて特定することだ。Apache Java ベースのロギング・ライブラリ Log4j は非常に人気があり、多くのアプリケーションで利用できるほか、IoT デバイスでも利用され、バックワード互換性を維持するレガシー・システムでも利用される。アプリケーションに脆弱性があることが判明しても、組織にダウンタイムの余裕がない場合や、適切なパッチ管理の管理ができていなない場合において、アプリケーションの更新が困難になるだろう。したがって、すべての侵害されたシステムを特定してから、問題を解決するまでのタイムラグは、シナリオに応じて長期化する可能性がある」と述べている。

しかし、目の当たりにしているものに対して、アクションを実行するための、詳細な可視性/コンテキスト・許容範囲を提供する、適切なインフラストラクチャがあれば解決できる。

  1. 真のパートナーを特定し取引先を変更する

    私たちの日常において、素晴らしいアイデア/洞察力/戦略的意思決定に役立つ情報を、記録できないことが頻繁に生じる。それは当然のことである。忙しい毎日の中で、静かな時間を求めても無理がある。しかし、以前に私が採用し、それ以来、私と私のチームに役立っているアドバイスがある。

あなたにとって、真のパートナーは誰なのかを考えよう。そして、どこ (情報源/人/チーム) から良質で有益な情報や、迅速で十分な情報に基づく対応、信頼できる保証が得られたのかを記録してほしい。真のパートナーとは、時間をかけてあなたのために尽力する取引関係ではなく、あなたの利益を考えた価値ベースの関係であることを、証明してくれた人々のことである。セキュリティ・インシデントは、そのような価値ある真のパートナーを浮き彫りにする。

その情報を記録し、どのようなパートナーが価値を付加しているか、その価値は何か、どのように評価するかなど、パートナーシップを再評価するために使用する。この点については、私を信じてほしい。

パンデミックにより、すべての CISO が、より創造的で柔軟な対応を迫られたことはよく知られている。また、パンデミック前と同じような、セキュリティ・スタックのベンダー/パートナーの組み合わせに戻るだけでは、戦略を進化させる大きなチャンスを逃してしまう。私は、次のような質問を、あなら自身に投げかけることを推奨する。

あなたと、あなたのチームに、本当に価値を与えているのは、どのパートナーなのか?その価値を、どのように提供しているのか? その関係を知らない人に、どのように説明するのか? Log4j に似たことが起こり続け、私たちは、可能な限り十分な準備をする必要があることを知っている。しかし、パートナーについて書き留めて、関係の継続/中止を考えないのは何故か?

このアドバイスは、あなたのチームやスタッフにも当てはまる。チームや必要な役割のために誰を調達するか、積極的かつ慎重に考えてほしい。以前にも話したが、本当の意味でサイバー・スキル・ギャップがあると、私は思っていない。私たちは、サイバー人材を見つけられる、すべての場所を探していないだけだ。

  1. マーケティングを意識せずに脅威情報データを共有する

    私たちの誰もが、私たち全員ほどは賢くない。脅威の情報源は数多くあるが、その中でも優れたものは、私たち全員を強化するために、コミュニティに情報が提供される。

あなたの意見を聞かせてほしい。私たちは、一緒に仕事をしている。 みんなで協力して、みんなのためにセキュリティを強化しよう。

Log4j に関して、目の前の問題に対処することも重要ですが、この記事にかかれているように、「なぜ こうなった?」を考えることも大切です。文中にもあるように、基本的にはサイバー・ハイジーンと可視化と制御の問題なのでしょう。SolaWinds と対処法、Log4j と対処法、、、を繰り返すだけでは、また、同じような問題に直面することになりますよね。

%d bloggers like this: