Log4jの脆弱性がDevSecOpsの重要性を浮き彫りにする理由

2021年12月、世界中のITセキュリティチームと開発組織が失礼な警告を受けました。研究者たちは、無数の Java アプリケーションやサービスに組み込まれている人気のロギングコンポーネントである Apache Log4j ユーティリティに、重大なセキュリティ脆弱性を発見しました。この脆弱性のニュースを受けて、IT セキュリティチームと開発組織は、自社のネットワーク上にある脆弱なバージョンの Log4j のインスタンスをすべて見つけようと奮闘しました。

また、Log4jの脆弱性により、DevSecOpsチームは、今では理論的ではなくなった質問への回答を余儀なくされています。Log4j やその他の脆弱性が社内で開発したアプリケーションを危険にさらした場合、セキュリティチームは攻撃を切り分けて被害を軽減できるでしょうか?現在の DevOps プラクティスは、組織が独自のコードを使って迅速かつ効果的に脅威ハンティングを行うための準備を整えていますか?

Log4jの脆弱性、それがDevSecOpsチームにとって何を意味するのか、そしてIllumioのゼロトラストセグメンテーションが、脆弱なソフトウェアが攻撃された場合に、修正前にDevSecOpsチームが脅威を軽減するのにどのように役立つかを簡単に見てみましょう。

Log4jの脆弱性とそれが重要な理由

この脆弱性が注目を集めているのは Log4j による Java ネーミングおよびディレクトリインターフェースの使用 (JNDI) は、Java アプリケーション用の一般的なネーミングおよび検索 API です。Log4j の初期バージョンでは、JNDI のメッセージ検索置換機能がデフォルトで有効になっていました。この機能を使用すると、攻撃者は慎重に構成されたメッセージをアプリケーションに送信し、攻撃者の制御下にあるLDAPサーバーやその他のエンドポイントからロードされたコードをアプリケーションに強制的に実行させることができます。このコードは、アプリケーションのネットワーク上でマルウェアをインストールしたり、データを盗み出したり、その他の悪意のあるアクションを実行したりする可能性があります。

Log4j は広く使用されています。グーグルはそれが入っていると推定している Java パッケージの 4% 最も重要なJavaパッケージリポジトリとして広く認識されているMavenセントラルリポジトリにあります。Log4j は、Web アプリケーションから IoT デバイス用のバックエンドサービスやカスタムアプリに至るまで、あらゆる種類のソフトウェアで使用されています。

この脆弱性が発表されるとすぐに、ITセキュリティチームはネットワークを精査し、環境内の任意のディレクトリにLog4jが存在することを示すファイル名やその他の兆候を探し始めました。DevOps チームも忙しくなり、自社のアプリケーションでの Log4j の用途を探して、自社のアーカイブを検索していました。

賭け金は高いです。サイバー犯罪者はすでにこの脆弱性を利用してランサムウェア攻撃を仕掛け、企業ネットワークにコインマイニングソフトウェアをインストールし、ベルギー国防省に侵入しています。攻撃者は、この脆弱性を狙った新しい形式のマルウェアを開発しています。たとえば、新しいNight Skyランサムウェアのターゲットは ヴイエムウェアホライズンソフトウェアにおけるLog4jの脆弱性。

全体像:ソースコードの脆弱性とそれがもたらすリスク

Log4jの脆弱性は、内部開発組織が抱える2つの大きな問題を浮き彫りにしています。まず、DevOps ツールやプロセスがどれほどよく整理されていても、ほとんどの組織はアプリケーションで使用されるすべてのコンポーネントを特定するのが困難です。特に、それらのコンポーネントがライブラリとして埋め込まれている場合や、他のサービスとの依存関係を通じてアクセスされている場合はなおさらです。

たとえば、Log4j の場合、Log4j JAR ファイルをリポジトリに残さなくても、ユーティリティをアプリケーションに組み込むことができます。オープンソースであろうとなかろうと、すべてのソフトウェア・コンポーネントのすべてのバージョンをアプリケーションから探すのは困難で時間のかかる作業です。

次に、アプリケーションが脆弱性のために攻撃を受けていることが判明した場合、セキュリティチームは、攻撃がネットワーク上の他のシステムに広がる直前に攻撃を切り分ける方法を必要とします。

Log4j攻撃をキャッチして阻止することは、機密データを保護し、運用の継続性を確保するためだけに重要ではありませんが、これらの目標は明らかに重要です。

しかし、コンプライアンスの観点もあります。2022 年 1 月 4 日に、 米国連邦取引委員会（FTC）は、罰則と罰金を科すと発表しました Log4jの脆弱性の結果として、消費者の機密データが侵害されることを許可した企業に対して。

引用用キット Equifaxに対する7億ドルの罰金 FTCは、Apache Strutsフレームワークにパッチが適用されていない脆弱性が原因で消費者データが漏洩したとして、「Log4jまたは同様の既知の脆弱性の結果として、将来的に消費者データを公開から保護するための合理的な措置を講じない企業を、法的権限をすべて行使して追跡するつもりだ」と発表しました。

Log4jは、潜在的な脅威の巨大な氷山の一角であることが判明しました。Log4j に関連する脆弱性だけでなく、以下の脆弱性を発見して修正すること すべてのソフトウェアコンポーネント 自社のアプリケーションや実行しているサードパーティ製アプリケーションでは、企業は自社のソフトウェア環境を包括的に可視化する必要があります。データ漏えいが発生する前にこれらの脆弱性を発見しないと、規制当局に多額の罰金が科せられ、組織のブランドに永続的な損害を与える可能性があります。

幸いなことに、DevSecOps が役に立ちます。

ソフトウェアの脆弱性脅威の軽減におけるDevSecOpsの役割

DevSecOpsの背後にある考え方はシンプルです。ソフトウェアの開発とデプロイに関しては、セキュリティを後回しにすべきではないということです。その代わり、設計から開発、テスト、リリース、運用管理に至るまで、DevOps のあらゆる段階にセキュリティを含めるべきです。DevSecOps とは、DevOps プロセスを通じて開発および管理されるソフトウェアアプリケーションにセキュリティを組み込む手法です。

DevSecOpsはLog4jの脆弱性などの問題にどのように対処するのに役立ちますか？

まず、DevSecOpsのベストプラクティスでは、開発チームがアプリケーションを構築および管理する際に、Log4jなどのコンポーネントの最新バージョンを使用することが求められます。

次に、DevSecOpsでは、アプリケーションで使用されるオープンソースコンポーネントを含むすべてのコンポーネントのバージョンを追跡するよう開発およびテスト組織にも求めます。そうすれば、IT セキュリティコミュニティが特定のコンポーネントの脆弱性を発表した場合、DevSecOps 組織は自社のアプリケーションのどれが影響を受けているかを迅速に判断できます。

同様に重要なのは、DevSecOpsのベストプラクティスでは、アプリケーションにセキュリティ制御を組み込むことです。そうすれば、必然的に別のオープンソースのライブラリやコンポーネントに脆弱性があることが判明した場合に、チームがあらゆるものを封じ込める準備ができます。 ゼロデイ攻撃 その脆弱性に対して迅速かつ効果的に対処します。防御策がすでに講じられていれば、脆弱性に対するパッチが数日または数週間先になっていても、組織は攻撃に対する防御策を講じることができます。

組み込むべき最適なセキュリティ制御の 1 つは、システムに組み込まれているファイアウォールを使用して、ネットワークトラフィックを許可されたユーザーとプロセスのみに制限するセキュリティポリシーを適用するゼロトラストセグメンテーションソリューションです。ゼロトラストセグメンテーションは、攻撃者が利用できるネットワークパスを大幅に減らすことで、攻撃者を閉じ込め、最初に何とかして侵害する可能性のある数少ないシステムに隔離します。ゼロトラストセグメンテーションを導入すれば、攻撃者は悪意のあるサイトからコードをダウンロードして実行することができなくなります。

攻撃がネットワーク上で隔離されている場合、サイバー犯罪者はランサムウェアを他のシステムに拡散することはできません。盗み取るべき貴重なデータを探して、密かにネットワークを探索することはできません。まるで不運な泥棒が天窓から何とか降りてきて、クマのわなにはまってしまったかのように、その場で立ち往生しています。彼らは中に入ったが、どこにも行かない。警報が鳴った。

イルミオは、DevSecOpsチームが必要とする可視性と自動化を提供します。

イルミオゼロトラストセグメンテーション は、開発チームが複雑なネットワークやセキュリティプラクティスを学ばなくてもアプリケーションに厳格なセキュリティコントロールを簡単に組み込むことができるため、あらゆるDevSecOps組織にとって価値のあるセキュリティソリューションです。

Illumioは、開発者やセキュリティチームがゼロトラストセグメンテーションポリシーを簡単に定義できるようにすることで、アプリケーションを保護します。いったん作成されると、組織はIllumioのポリシーを使用してそれらのポリシーを簡単に適用できます。 バーチャルエンフォースメントノード （VEN）に加えて、組織のアプリケーションが実行されているシステムにすでに組み込まれているホストベースのファイアウォール。Illumio VEN は軽量でフェイルセーフなクライアントで、ソフトウェアのビルドに簡単に組み込むことができます。設計を大幅に変更する必要はありません。

Illumioのソリューションはファイアウォールを使用していますが、開発者は複雑なファイアウォールルールをプログラムする手間を省くことができます。その代わり、開発者とセキュリティチームは、適用したいポリシーを定義して、必要なトラフィックのみがアプリケーションを通過できるようにし、それらのポリシーをアプリケーションに組み込まれているVENにプッシュして適用させることができます。

DevSecOps組織は、さまざまなアプリケーションや環境に合わせてポリシーを微調整できます。具体的には、以下に基づいてポリシーを定義できます。

• アプリケーション内の役割
• アプリケーション自体
• 開発環境、テスト環境、本番環境など、アプリケーションを実行する環境
• 環境の場所:たとえば、米国西海岸のデータセンターの本番環境

その後、DevSecOpsチームは単にIllumio VENをソフトウェアビルドに追加するだけです。いったんアプリケーション環境で実行されると、VEN が適用します。 ゼロトラストポリシーは、疑わしいラテラルムーブメントを検出するとアラートを発し、アクティブな攻撃に対応してトラフィックを削減し、感染したエンドポイントをネットワークの他の部分から隔離します。

イルミオも提供しています C-VEN クライアントと Kubelink サービス マイクロサービスアーキテクチャで一般的なコンテナ環境での使用に適しています。C-VEN は軽量な Illumio エージェントで、Kubernetes クラスター内の各ノードでポッドとして動作し、ノードとそこで稼働しているすべてのポッドを保護します。DaemonSet として提供される C-VEN は、クラスターの進化に合わせてスケールアップおよびスケールダウンします。Kubelink は Kubernetes API サーバーを監視してクラスター内のリソースについて学習し、Kubernetes コンテキストを PCE に提供する Illumio サービスです。パッケージとして提供され、必要なレプリカはクラスターごとに 1 つだけなので、Illumio コンテナーソリューションの拡張性が高まります。

DevSecOpsチームがIllumio PCEとやり取りする方法は2つあります。PCEのユーザーインターフェイスを使用する方法と、十分に文書化されたREST APIを使用する方法です。DevSecOps チームは API を使用して Illumio を CI/CD パイプラインに統合できるため、ゼロトラストセグメンテーションが DevSecOps ワークフローの標準の一部となります。API により、セキュリティチームは Illumio を他のセキュリティツールやワークフローと統合することもできます。

Illumio製品スイートは、以下のエンドポイントを含め、アプリケーションやサービスが展開されている場所ならどこでもゼロトラストセグメンテーションを提供します。

• データセンター: イルミオコア
• パブリック、プライベート、またはハイブリッドクラウド: イルミオクラウドセキュア
• エンドポイントデバイス: イルミオエッジ

Log4jは、危険な脆弱性を含むことが確認された最後のソフトウェアコンポーネントではありません。DevSecOps プラクティスを採用し、Illumio を使用してあらゆるアプリケーションにゼロトラストセグメンテーションを実施することで、組織はネットワークスキャンと脅威ハンティングという時間のかかる作業を続けながら、データ、アプリケーション、および人々を保護する準備を整えることができます。

さらに詳しく知るには:

• ソリューション概要をご覧ください。 Illumio for DevSecOps。
• お問い合わせ デモ用。