2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」に深刻な脆弱性(Log4Shell、CVE-2021-44228)があることが公表されました。「Apache Log4j」が広く利用されているライブラリであるうえに、攻撃が非常に容易であるという理由から、深刻な脆弱性と言われています。
JVM系言語(Java、Scala、Kotlinなど)でソフトウェアを開発・運用をしている場合は、脆弱性の対象となっている「log4j-core」に依存している可能性があるため、依存関係の確認とアップデートなどの対策が必要とのことです。
そこでこのたび、ビジョナル・インキュベーション株式会社は、この脆弱性の対策に便利な機能を備えた脆弱性管理クラウド「yamory(ヤモリー)」の無償提供に踏み切りました。
システムの脆弱性などを一元管理「yamory」とは、ITシステムにひそむ脆弱性を自動検知し、シンプルな対応フローを構築するクラウドサービス。脆弱性の危険度のレベルを独自の脆弱性データベースで算出し、対応の優先度を自動で判断するオートトリアージ機能(特許取得済み)を搭載しています。
ライブラリ・フレームワーク、ミドルウェア・OSを数分でスキャンし、これらにひそむ脆弱性とオープンソースのライセンス違反を一元管理可能。脆弱性の発生状況および対応状況を可視化したり、Slackで通知したりすることができます。また、コマンドラインを用いることでCI・CD などの開発フローに組み込むことが可能で、脆弱性管理の効率化が見込めるようです。
「yamory」のLog4j対応機能そんな「yamory」が無償提供を開始。2021年12月20日~2022年1月31日の期間に申し込みをした場合、利用開始日から30日間は無料で利用することができます。
「log4j-core」は、直接依存ではなく間接的に依存しているケースも多いため、この脆弱性の対策を進める際は間接依存も正確にスキャンできるツールが必要なようです。「yamory」のアプリライブラリスキャン機能は、ソフトウェアの依存関係を正確にスキャンし、依存のツリー構造ごとデータベース化し可視化するため、対象のソフトウェアが依存関係上どこにあるのかを正確に把握可能。つまり、間接依存の脆弱性検知も検知できるということです。
また、脆弱性が発見された際には、対象のソフトウェアを利用している部署やチームの確認と対応進捗状況の確認が必須に。この場合は、セキュリティチーム機能を使って、チームをまたいだ組織全体でのソフトウェアの横断検索や脆弱性の横断検索をすることができます。
さらに「yamory」では、セキュリティアナリストが脆弱性データベースを日々更新しているため、0-day攻撃の早期検知も可能とのこと。万が一、データベースの更新にタイムラグが生じても、ソフトウェアの横断検索機能を通じ、0-day攻撃を検知し、対策を講じることができるといいます。
PR TIMES
「yamory」サービスサイト
(文・Higuchi)