今月に入り、サイバーセキュリティ業界を震撼させる、巨大台風ならぬ、巨大脆弱性(Apache Log4jに存在する重大なゼロデイ脆弱性(通称 Log4Shell CVE-2021-44228)が発表されました。この脆弱性を悪用されると、任意のコードが実行される可能性もあり非常に危険です。
弊社でも提供している各種ソリューションについて、この脆弱性への影響有無や対処法などの問い合わせが相次いでいます。(弊社ではHPにて状況や対応など公開しておりますので、適宜ご参照ください)
まず確認すべきは、この脆弱性が発見されたLog4jの利用状況。当然、該当する場合には、迅速にベンダーのパッチ(Log4j2)を充て、また、対策が出来ていないサービスやツールの利用を見合わせる、といったことも必要です。
このような状況で、クリスマスイブに掲載された記事(ZDNet: https://japan.zdnet.com/article/35181307/)には、攻撃者によるネットワーク診断が増加している、とのことで、欧米でのクリスマス休暇前に、より迅速なチェックと対応を促す狙いがあると思われます。
このLog4jの脆弱性対策をきっかけとして、より包括的な脆弱性診断の実施をお勧めします。特に最近、日本でも被害が顕著なランサムウェア感染による暗号化やデータ漏洩などですが、その起点の一つとして、自社の取引先や業務委託先など、サプライチェーンのリスクが高まっています。これまでも、取引要件としてのサイバーセキュリティ関連のコンプライアス確認や書面での確認など、なされているかと思いますが、診断サービスやツールの利用など、より能動的な確認も求められています。
年明けから多くの企業が年度末を迎えます。良い年度末の締めくくりに、Log4jを含む、
包括的なセキュリティ診断を実施してはいかがでしょうか?
『SCT SECUREセキュリティ診断』
https://www.sct.co.jp/business/product/001559.shtml
『SCT SECURE クラウドスキャン』
https://www.sct.co.jp/business/product/000668.shtml
お問合せについては、以下フォームよりお願いいたします
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として10年間勤務の後、2001年三和コムテックに入社。
新規事業(WEBセキュリティ ビジネス)のきっかけとなる、自動脆弱性診断サービスを立ち上げ(2004年)から一環して、営業・企画面にて参画。 2009年に他の3社と中心になり、たち上げたJCDSC(日本カードセキュリティ協議会 / 会員企業422社)にて運営委員(現在,運営委員長)として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌(月刊消費者信用)にてコラム「セキュリティ考現学」を寄稿中。
- トピックス:
- セキュリティ
- 関連トピックス:
- セキュリティ運用・管理
