[市場動向]

2021年12月20日(月)日川 佳三（IT Leaders編集部）

リスト

　セキュリティベンダーのラックは、Javaのログ出力ライブラリ「Apache Log4j」の脆弱性を無料で診断するサービスを開始した（図1）。12月20日から12月28日の期間限定で提供する。同期間中に、ユーザーのWebアプリケーションにリモートからアクセスして診断する。脆弱性のあるライブラリを使っているかどうかが分かる。あわせて、自社の対策状況を把握するための「緊急対策チェックシート」も提供する。

図1：Javaのログ出力ライブラリ「Apache Log4j」の脆弱性を無料で診断するサービスを開始した。あわせて、自社の対策状況を把握するための「緊急対策チェックシート」も提供する（出典：ラック）
拡大画像表示

　リモート診断では、あらかじめ用意してあるシナリオを使って、実際にユーザーのWebアプリケーションにHTTPでリモートアクセスする。ラックによると「リモート越しに攻撃者が脆弱性を突いて攻撃する場合に想定されるシナリオ」を使う。診断サービスを申し込んだすべてのユーザーに対して同じシナリオを使う。シナリオに基づいて実際に攻撃が成功するか（Webアプリケーション越しにlog4jの脆弱性が検出されるか）を診断する。

　あわせて提供する緊急対策チェックシートは、Log4jの脆弱性に対して「自社の組織において現在どのような対策ができているのか」を把握するために作成した。公的機関（IPA、JPCERT/CCなど）やラックの知見に基づいたアドバイスを記載している。ラックによれば「セキュリティ診断だけでは対策や備えは不十分」であり、対策の現状を把握した上で対策を講じることが必要である。

　無料診断サービスは、申し込みフォームから申し込む。1社につき1つのFQDN（Webアプリケーションのホスト名）まで診断する。診断対象は、サービスを申し込んだユーザーが保有しているWebアプリケーションで、社内で診断の許可を得ているものに限る。提供期間内（12月20日～28日）のいずれかの、ラックの営業日に診断を実施する。申込受付期間は、12月24日18:00まで。

　なお、ラックのセキュリティ監視センター「JSOC」もLog4jに関する注意喚起を公開している。