今回のトラブル事例

「間に合わなかったか…!」
金融大手W社で、CSIRT(情報セキュリティーインシデント対策チーム)のリーダーを務める安藤は、情報漏洩が確認されたという最悪の知らせに、思わず床にへたり込んだ。

「自分たちの努力はいったい何だったのか」「何が足りなかったのか」
安藤はパニックになりそうな頭で、この3日間の出来事を思い起こしていた。

 Apacheソフトウェア財団は2021年12月9日、「Apache Log4j」(以下、Log4j)に、第三者が遠隔から任意のコードを実行できる脆弱性があると、オープンソースのコミュニティーで報告した。

 安藤がこれを知ったのは、日本時間2021年12月10日金曜日の夕方、Twitterでセキュリティの最新情報をチェックしていたときのことだ。

「マジか!」
安藤はすぐさまシステム部門に応援を要請、日本本社および海外拠点での「Log4j」利用状況を調べた。すると日本、米国、アジアの全拠点で多数のシステムに使われていることが分かった。

 安藤はすぐ対策チームを設置して対応計画を策定。各国のCSIRTにも現地の状況に合わせ対応するよう指示した。12日には、日本、米国、アジアの各拠点で使われているすべての「Log4j」の緊急バージョンアップを決め、即日着手。その矢先の悲報だった。

※ 実際の事例をもとに、企業プロファイルやエピソードの詳細などを適宜変更しています。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。