最新情報

Contrast Securityは、Log4j (Log4Shell)の 脆弱性攻撃から、グローバル企業およびFortune 500の顧客企業を保護

ByContrast Security Japan 2021/12/20 21:02:58

Contrastのアプリケーションセキュリティプラットフォームは、パッチを適用しなくとも
グローバル企業のLog4jを使用するアプリケーションを保護すると同時に、
今後生じ得る攻撃からも防御可能

カリフォルニア州ロスアルトス、2021年12月17日
次世代のアプリケーションセキュリティをリードするContrast Securityは本日、グローバル企業がContrast Securityのセキュリティプラットフォームを活用し、Log4jを標的としたアプリケーションへの攻撃をどのように防御しているか、その対処方法に関する情報を発信しました。

CM.comのCISOであるSandor Incze氏は下記のように述べています。「Contrast Securityのアプリケーションセキュリティプラットフォーム を使用して、Log4jへのゼロデイ攻撃に対して自社で構築したソフトウェアに脆弱性が在るかどうか、ライブラリのメニューを分析し、30秒以内に回答を得ることが出来ました。その速さには驚きました。」

Contrast Securityは、独自のアプリ内ランタイム保護機能(RASP)により、 Log4j脆弱性へのゼロデイ攻撃を初日から阻止していることを実証しています。

Contrast アプリケーションセキュリティプラットフォームによって:
• ソフトウェアの更新やパッチを適用することなく、Log4j脆弱性に対する攻撃を即座に阻止
• 開発者は、Log4jの脆弱性の影響を受けるアプリケーションを特定し、脆弱なコードをすばやく更新可能
• カスタム開発されたコードまたはオープンソースコードのいずれかで、将来発生する可能性のあるその他の「インジェクション」の脆弱性を検出して防御

「攻撃者は一般的に使用されているオープンソースコードを標的にし続けるため、Log4jと同様の攻撃が今後さらに増えることが予想されます。多くの企業は、Log4jが実行されている全てのアプリケーションを特定することが難しいため、その対応に苦労しています。また、運用中のアプリケーションを特定し、必要なパッチを適用出来るようになるまで、攻撃される可能性のあるアプリケーションを分離する措置を講じている場合もあります。Contrast Securityは、お客様が即座に攻撃の検知とブロックができ、この種の攻撃に対する保護や、今日の開発スピードに合わせたセキュリティ対応を支援するための重要なツールとなります」と、ESGのシニアアナリストであるメリンダ・マークスは述べています。

Contrast Securityが提供しているように、アプリケーションセキュリティテスト(AST)、ソフトウェアコンポジション解析(SCA)、RASPを統合したセキュリティプラットフォームの利点は、企業がLog4jの様なゼロデイ脆弱性にすぐに対応可能なだけでなく、今後新たに出現する多くの脅威にも対応出来ることです。

Contrast Securityのセキュリティプラットフォームは、3つの防御層を提供します。

  • Contrast Protectは、攻撃そのものから攻撃対象となる運用中のアプリケーションをサンドボックス機能により分離し、潜在的な脆弱性からアプリケーションを保護します。この即時の保護により、攻撃に晒されることなく恒久的な修正を実施することが出来ます。
  • Contrast SCAは、企業内の多くのアプリケーションのうち、どのアプリケーションが攻撃を受けやすい形でLog4jを使用しているかを特定出来るため、チームは最も緊急性の高い問題に対処することが出来ます。
  • Contrast Assessは、アプリケーションの脆弱性の根本原因を検出します。つまり、ContrastはLog4jのような新たな脆弱性を、それがCVEとして公開される前や重大なインシデントになる前に検出するのです。

「今回の様な事態はこれまでにも起こっており、今後もまた起きるでしょう」と、Contrast Securityの最高製品責任者であるスティーブ・ウィルソンは述べています。「2017年にEquifaxが個人情報のデータ漏洩を発表しましたが、多くの点で今回の状況と非常に似ていました。それは、Apache Strutsと呼ばれる一般的に使用されている無料のオープンソースソフトウェアライブラリに対するもので、今回と類似した攻撃手法に基づいていました。しかし、今回のLog4jは、2017年の事件当時のApache Strutsよりも遥かに広範に使用されています。つまり、脅威に晒されている範囲が遥かに大きいことを意味します。多くの企業がこのようなデータに関して効果的なトラッキングを自動で実施出来ないため、Log4jの全てのインスタンスを見つけるのに苦労しています。最善の対処法は、まずはパッチの適用よりもContrast Protect等のランタイム保護機能 (RASP)を使用して、即座に防御することです。」

Contrastを使用してLog4jの悪用からJavaアプリケーションを防御する方法の詳細については、当社のWebサイトをご覧いただくか、12月21日にESGのメリンダ・マークスをゲストスピーカーに迎える下記Log4jウェビナーにご登録ください。
Contrast Security ホームページ:https://www.contrastsecurity.com/ja
Log4jウェビナー(英語):https://www.contrastsecurity.com/log4j-webinar

Contrast Security Japan


TOPICS

    SUBSCRIBE TO THE BLOG

    Learn how to unify security strategy across & development operations. See how to set up a CAS program with only eight activities!

    Download the Handbook

    Subscribe to the Contrast Blog

    By subscribing to our blog you will stay on top of all the latest appsec news and devops best practices. You will also be informed of the latest Contrast product news and exciting application security events.

    Contrast Securityはアプリケーションセキュリティにおけるリーディングカンパニーです。Webアプリケーションの開発段階でアプリケーションに潜む脆弱性を高精度で解析し、本番環境では外部からの攻撃を迅速に検知しブロックすることが出来ます。 
    特許取得済み技術「ディープセキュリティ・インスツルメンテーション」により、企業はソフトウェア開発ライフサイクル(SDLC)への展開を簡単且つ迅速に実現します。従来の非効率的なアプリケーションセキュリティ(SAST、DASTおよびWAF)から完全に置き換えることにより、時間やコストを消費する脆弱性スキャンの排除やインフラ業務、セキュリティエンジニアのリソースを軽減します。Contrastのアプリケーションセキュリティは、SDLCを加速し、未知の脅威からアプリケーションを保護しながらビジネスの成長を促進します。