(イメージ:写真AC)

2021年暮れ、一つの深刻な脆弱性が発見された。

Apache Log4j という名前のロギングライブラリ(編注:ログの記録を行うライブラリ)で、脆弱性が発見されたのだ*1

その用語や詳細な技術解説は多くのウェブ媒体などでも行われているため本稿では割愛するが、この脆弱性を悪用すればランサムウェアに感染させることなどが可能となると見られている。

そして、Apache Log4j は企業で使用されているサーバにおいて広く利用されていることから、その影響が懸念されている。

この脆弱性の発見を受けNCSC(英国国家サイバーセキュリティセンター)は、経営層がIT部門に尋ねるべき10の質問を公開した*2

この質問項目は今回発見された Apache Log4j の脆弱性に限らず、広く活用できる設問であるため今回はその10の質問について紹介したい。

1. 誰が対応を主導しているのか?
2. この問題にどのような計画で対処していくのか?
3. 自社が攻撃されているかどうかを、どのようにして知るのか?
4. 自社にあるソフトウェア/サーバなどのIT資産をどの程度認識しているか?
5. シャドーIT/アプライアンスをどのように見つけていくのか?
6. 外部委託している場合、それらの事業者とオープンに対話し、問題の重要度共通認識となっているか?
7. 影響を受けるコードやソフトウェアが用いられていることを確認できるか?
8. 自社の脆弱性などの問題を、外部の専門家が発見した際に簡単に連絡を受けことができるようになっているか?
9. BCP(事業継続計画)と危機対応について、最後に確認したのはいつか?
10.チームが燃え尽きるのを、どのように防いでいるか?

(※質問項目を一般化するために、多少の意訳をさせていただきました。)