grasys blog

Apach Log4j脆弱性のGoogle Cloudに対する影響と現在の対応状況について

こんにちは。grasys大川です。
昨年末より今年初めにわたりJavaのログ出力ライブラリ「log4j」の脆弱性が話題になったことは記憶に新しいかと思います。
半年経ったいま、Google Cloud (GCP)がどのように対応や情報発信を行なっていったかを簡単に振り返ってみます。

Apache Log4j脆弱性について

既に各種報道でご存知の方も多いかと思いますので、簡単な概要だけ。
2021年12月10日にNISTより公開された、Javaのログ出力ライブラリ「log4j」に関する脆弱性(CVE-2021-44228)です。
特定のバージョンを使用した際に任意のリモートコードが実行されしまう極めて深刻度が高い問題のため、最も高いレベル “10.0 CRITICAL”に指定されました。
その影響範囲の大きさから、サービスに該当ライブラリを使用されている方は色々対応が大変だったかと思います。

NVD – CVE-2021-44228 | NIST
https://nvd.nist.gov/vuln/detail/CVE-2021-44228

Google Cloud (GCP)の影響範囲

脆弱性の影響はライブラリだけではなく、基盤となるGoogle Cloud (GCP)にも及びます。 Google Cloud (GCP)上で実行されているサービス個別の影響及び対応状況は、下記ページでまとめられています。

Apache Log4j 2 Vulnerability Security Advisory | Google Cloud (GCP)
https://cloud.google.com/log4j2-security-advisory

サービス個別の確認方法

Google Cloud (GCP)では数多くのサービスが提供されているため、実際に自分が使っているサービスに影響があるかを調べるだけでも一苦労かと思います。
そこで、先のページにある Google Cloud (GCP) product and service-specific information から、対応状況(ステータス)をピックアップして確認していきましょう。

選択できるステータスは下記の通りです。

  • Mitigated, Customer Action Needed (処理済み・各ユーザー単位での対応が必要)
  • Mitigated, No Action Needed (処理済み、対応の必要なし)
  • Not Impacted (影響なし)
  • In Progress (処理中)

このうち、現在の時点で特に気にすべきは下記2項目です。

処理済み・各ユーザー単位での対応が必要

既にGoogle Cloud (GCP)では処理済みではありますが、各ユーザー単位での対応が必要になるサービスです。
主要なサービスとしてDataproc, Deep Learningが挙げられます。
これらのサービスで対応が必要な方はGoogle Cloud (GCP)よりアカウント管理者にメールで対応をお願いするメールが届いているかと思います。もし万が一対応されていない場合は、早急に対応いただけますと幸いです。

処理中

現在もGoogle Cloud (GCP)で処理中のため注意が必要なサービスです。
Compute Engine / Google Cloud (GCP) VMware Engine でVMware関連の対応が継続されています。

個別のアプリケーションの脆弱性に対する推奨事項

Google Cloud (GCP)が提供するマネージドサービス以外の部分に関する推奨事項は下記の記事でまとめられています。

Google Cloud (GCP) の推奨する Apache「Log4j 2」の脆弱性の調査と対応 | Google Cloud (GCP)
https://cloud.google.com/blog/ja/products/identity-security/recommendations-for-apache-log4j2-vulnerability

以下は記事の中から重要な部分をピックアップします。

Cloud Armor WAF Log4j 2 検出およびブロックルール

アプリケーションへのアクセス経路に外部HTTP(S)ロードバランサーが構成されている場合は、Cloud ArmorのWAFルールを構成することで問題のあるリクエストの検知・対応が可能です。
先の記事のほかに、個別のブログ記事としてまとめられています。
よろしければ、こちらもご参照ください。

Apache Log4j の脆弱性による影響の低減を支援する Google Cloud (GCP) Armor WAF ルール | Google Cloud (GCP)
https://cloud.google.com/blog/ja/products/identity-security/cloud-armor-waf-rule-to-help-address-apache-log4j-vulnerability

コンテナに対するオンデマンドスキャン

Google Cloud (GCP)ではコンテナOSやJavaパッケージに対し脆弱性のスキャンを行うことができます。
可能であれば定期的にスキャンを実行し、CVE-2021-44228だけにとどまらず新たに発見されるさまざまな脆弱性に対しいち早く検知・対応を行うことで、サービス品質の向上に役立てましょう。

Container scanning | Google Cloud (GCP)
https://cloud.google.com/container-analysis/docs/container-scanning-overview

Dataflowで実行されるジョブ

Google Cloud (GCP)のBlogではNot Impactedに分類されていますが、Dataflowでtemplateの動作や依存関係を変更されている場合は、依存関係に問題のあるバージョンのLog4j2が含まれていないか注意が必要です。

まとめ

以上駆け足ではありますが、Log4j 脆弱性の現状を振り返ってみました。
健全なサービスの提供のためにも脆弱性への対応は切り離せない課題となりますので、継続的な脆弱性の取り組みの助けになりますと幸いです。


株式会社grasys(グラシス)は、技術が好きで一緒に夢中になれる仲間を募集しています。

grasysは、大規模・高負荷・高集積・高密度なシステムを多く扱っているITインフラの会社です。Google Cloud (GCP)、Amazon Web Services (AWS)、Microsoft Azureの最先端技術を活用してクラウドインフラやデータ分析基盤など、ITシステムの重要な基盤を設計・構築し、改善を続けながら運用しています。

お客様の課題解決をしながら技術を広げたい方、攻めのインフラ技術を習得したい方、とことん技術を追求したい方にとって素晴らしい環境が、grasysにはあります。
お気軽にご連絡ください。


採用情報
お問い合わせ