Log4j 脅威:問題の本質はセキュリティではなくガバナンスにある

Log4j Isn’t Just a Cybersecurity Threat—It Reveals Blind Spots in Our Cyber Governance

2022/02/14 SecurityBoulevard — すでに CISO たちは、膨大な脆弱性に悩まされており、12月に Log4j の脆弱性が発表されたときにも、すでに長くなってしまったリストの上に、さらに1つの危機が加わることに、どれほどの意味があるのだろうかと思っていたはずだ。

しかし、それは間違いである。Log4j は、サイバー・セキュリティ上の単なる緊急の脅威というだけではない。Log4j は、今日の企業が直面している、IT における膨大なセキュリティとコンプライアンスの課題を的確に捉えるものである。そのため、CISO たちは、IT エコシステム内から Log4j の脅威を取り除くにしても、なぜ Log4j が、差し迫った問題なのかを考える必要がある。

それは、Log4j が技術的な課題だからというわけではない。それに対処するために実装すべきパッチは、比較的に簡単なものである。むしろ、Log4j が差し迫った問題なのは、データセンターや、クラウド・サービス、従業員の個人的なデバイス、そして、IT インフラ内のサードパーティ製品などにより拡大した、全体的なエンタープライズ・システム内で脆弱なインスタンスを見つけるための、統制のとれたアプローチを必要とするからである。

ここに問題の本質がある。企業において、セキュリティ・リスクを抑制し、コンプライアンスを維持するための、より適切なサードパーティ・ガバナンスのアプローチが必要なことを、Log4j は再び思い出させてくれた。なぜなら、IT コミュニティが Log4j 問題を打ち負かしたとしても、他の脆弱性が後から付いてくるからである。つまり、それら全てに対処するための、持続可能で効果的な方法が必要とされている。

パッチ適用からサイバー・ガバナンスへ

企業にとっては、Log4j に関する当面の危機に対処する必要があり、それはパッチのインストールを意味する。良いニュースは、Log4j などのオープンソース・ソフトウェアを管理している Apache Foundation が、誰もが自由に利用できるパッチを用意していることだ。

しかし、企業が必要とするのは、パッチそのものだけではない。そのパッチが的確に実装されていることを、確認する必要がある。Covid-19 パンデミックにより、多くの従業員がリモート環境にあり、自身のデバイスを用いて企業データを処理している場合だと、話は複雑になる。さらに、企業内のサードパーティに対しても、Log4j パッチが適用されていることを確認するという、より大きな頭痛の種もある。

これは技術的な問題ではなく、ガバナンスの問題である。したがって、成功するためには、Apache Foundation から最新のパッチをダウンロードすることよりも、適切なガバナンス構造を採用することが重要となる。たとえば、あなたの組織には、以下のものが必要となる。

  • 従業員のデバイス使用に関するポリシー:実際に、従業員が自分の携帯電話/タブレット/ラップトップなどを使って、企業データにアクセスすることを許可するのか? また、VPN を介してデータセンターに接続することを要求するのか? これらの問いに対する答えを、企業ポリシーとして明記する必要がある。そして、従業員はポリシーについてトレーニングを受け、受け入れることを証明する必要がある。
  • パッチマネジメントの方針と手順:企業は、IT 部門がパッチを実施することを明確にするためのポリシーや、従業員が独自に行うパッチ適用について規定する必要がある。また、これらのポリシーを実施するための手順や、技術的な専門知識も必要となる。具体的には、リモートでのパッチの実施や、パッチ未適用デバイスから重要システムへのアクセスの遮断などがある。
  • パッチの導入/試験が完了したことを示す文書:HIPAA や PCI-DSS などのコンプライアンスに必要な監査を、最小限のストレスで通過するためにも、また、見込み客が抱えるサイバー・セキュリティ上の懸念に、営業チームが迅速に対応するためにも、文書化が必要不可欠となる。

    上記の例は、個々の組織におけるソフトウェア脆弱性の、リスクに対応するためのものである。また、上記の例は、あくまでも社内ソフトウェアの脆弱性のリスクに対応したものだが、自社内で働くサードパーティの間でも、同じリスクに対応する必要がある。

    例えば、クラウドベースのサービス・プロバイダーや契約労働者が、自分のデバイスでデータにアクセスする場合には、企業ネットワークに関わるサードパーティを追跡できるようにする必要がある。また、ミッションクリティカルなサードパーティに対しては、さらに確実性を高めるために、彼らのサイバー・セキュリティへの取り組みを監査する必要があるかもしれない。さらに、すべての証拠を保管するためのリポジトリと、すべてのサードパーティが提供する証拠を追跡するためのシステムが必要になる。

なにから始めるべきなのか

効果的なサイバー。ガバナンスを構築するための最初のステップは、それが何を必要とし、社内の誰が責任を負うのかを正確に理解することだ。いつものように、最初のステップは、役割と責任を明確にすることである。

たとえば、CISO はサイバー・ガバナンスに責任を持つことが可能だが、前述のとおり、パッチ管理やセキュリティ監査などの技術的なタスクを、はるかに超える仕事となる。サイバー・ガバナンスとは、たとえばクラウドベースのテクノロジー・プロバイダーが、どのように自社のビジネス・プロセスをサポートするかを決定し、従業員や第三者に対するポリシーを実施し、自社の法規制遵守とリスク姿勢を示すレポートを作成することでもある。

これらの業務を、複数の担当者に任せて、CISO や Chief Risk Officer に報告させるにしても、それぞれの責任を定義し、割り当てる必要が生じる。そして、CEO と取締役会は、これらの幹部に責任を負わせ、効果的なガバナンス・プログラムを実行する必要がある。

また、効果的なサイバー・ガバナンス・プログラムが必要とする能力についても、考慮する必要がある。たとえば、最新のガバナンス・プログラムには以下のような能力が必要となる。

  • サードパーティの識別:多数のサードパーティが、企業ネットワークに出入りしているはずだ。これらの第三者は誰なのか?なぜ彼らは存在するのか?どのようなデータに彼らはアクセスするのか?
  • セキュリティ・リスク・アセスメント:Log4j のような新たな脅威をマッピングし、重要なデータをマッピングするために、永続的かつ体系的な弱点を把握する。
  • ポリシー管理とセキュリティ教育:リモートワーク中の従業員が要求される行動を理解でき、また、サードパーティが期待されている事を理解できるようにする。
  • 文書化:経営陣や社外の関係者への報告書で必要となる、証明書や監査証拠を記録する。
  • 報告書の作成:取締役会にリスクを簡単に説明し、また、コンプライアンス遵守の義務を果たし、有望な顧客に信頼されるための、説得力が必要となる。

    正直に言うと、これは大変な作業である。監視すべきタスクや責任は多岐にわたり、それぞれの大きなカテゴリーの中には、追跡すべき多くの細かい情報が含まれている。コンプライアンスのリーダーは、このような複雑な取り組みをサポートする、適切なテクノロジーを持っているかどうかを検討する必要がある。

    このテクノロジーは、すべてのサードパーティを追跡し、セキュリティ評価のワークフローを管理し、すべての収集した証拠を保存できるものである必要がある。これらの作業を、スプレッドシートや、電子メールアーカイブ、共有ドライブなどを使って行っても、取締役会の信頼を得ることはできない。

    Log4j は、究極の教訓かもしれない。つまり、特定の脅威が後退したとしても、次から次へと緊急パッチを当てることに時間を費やしたくなければ、これらの問題にもっと戦略的に取り組む必要があるだろう。

    その戦略的な方法とは、サイバー・ガバナンス・プログラムである。それは透明性に基づいたプログラムであり、企業は IT ネットワーク上で活動する全ての関係者を明確に理解し、それらの関係者がもたらす望ましくないリスクの有無を把握するものだ。また、懸念されるリスクを軽減するために、どのようなコントロールを行っているかを把握し、それらのコントロールに責任を持つ、すべての関係者が個々の役割を果たしていることを確認しなければならない。

    そして、ガバナンス・プログラムを導入することで、企業は真の目的であるビジネス目標の達成に向けて前進することが可能となる。企業内における、すべての人々、そして、すべてのものが、信頼できることを知ることが重要である。

2月11日に「Log4j 悪用のリスクは予測値ほど高くない:保険会社 MGA の視点とは?」という記事をポストし、保険業界が見る確率というものを知りましたが、今日の記事は、ソフトウェア業界の在るべき姿を指摘しています。まだ、翻訳の途中でありドラフトの段階ですが、イランのハッカーたちが VMware Horizon の Log4j を狙っているという情報もあります。どのように Log4Shell を見るべきなのかは、まだ定まっていないように思えます。 → Log4j まとめページ

%d bloggers like this: