Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > サイバーセキュリティー・リスク管理 > Log4Shellを克服する: Kiteworksの強化されたアプライアンスがその名に恥じない理由
Blog Banner - Beating Log4Shell How the Kiteworks Hardened Appliance Lived Up to Its Name

Log4Shellを克服する: Kiteworksの強化されたアプライアンスがその名に恥じない理由

by Yul Bahat updated 1月 14, 2025 サイバーセキュリティー・リスク管理
Reading Time: < 1 minutes

ランダムなセキュリティ専門家やCISOに、2021年12月9日に何をしていたか覚えているか尋ねると、ほとんどの人が「はい」と答えるでしょう。この日は、Log4Shell脆弱性の公開により、世界中の組織が緊急に重要なシステムやインフラをほぼすべてアップグレードおよび更新する必要に迫られた日です。これは、人気のあるLog4jライブラリにおける重大な脆弱性で、インターネット接続があれば誰でも脆弱な製品のオペレーティングシステム上で任意のコマンドをリモートで実行できるというものです。

Kiteworksはその日に緊急のパッチを必要としませんでした。実際にLog4jを利用しているにもかかわらず、Kiteworksの多層的なセキュリティアプローチにより、脆弱性のCVSSスコア10.0は自動的に4.0(最大)に低減されました。これにより、Kiteworksの顧客は、最も重要で機密性の高い情報が安全に保護されていることを知り、安心することができました。

内側からの保護

イギリスの詩人ジョン・ダンを引用すると、「どのシステムもそれ自体で完結した島ではない」と言えますが、Kiteworksも例外ではありません。Kiteworksはその性質上、ユーザーが安全でセキュアかつコンプライアンスを遵守した方法で内部および外部の同僚と協力できるようにする接続されたシステムです。これは、Kiteworksが他のシステムと接続し、他のシステムやユーザーがKiteworksに接続できるようにする必要があることを意味します。課題は、ゼロトラストの方法で完全にそれを行い、許可なしに、または気づかれずに何も出入りしないようにすることです。

そのために、Kiteworksの強化されたアプライアンスを作成しました。

ミニマリストオペレーティングシステム

Kiteworksの強化されたアプライアンスは、Linuxオペレーティングシステムの最小限のインストールから始まります。運用に必要なライブラリとシステムアプリケーションの絶対最小数のみが含まれています。KiteworksのDevOpsチームは、その後、Kiteworksの運用に絶対に必要であり、セキュリティチームによって承認されたサードパーティライブラリの厳選されたセットをインストールします。

使用されるライブラリのリストは、既知の脆弱性のデータベースに対して継続的にスキャンされ、Kiteworksの強化されたアプライアンスが常に必要なセキュリティパッチとアップグレードで最新であることを保証します。

最終的に、Kiteworksの強化されたアプライアンスには不要なアクティブなポートやサービスは一切ありません。

オペレーティングシステムの強化

オペレーティングシステムの強化は、脆弱性を減らし、脅威を軽減し、攻撃面を最小限に抑えることでオペレーティングシステムを保護する実践です。オペレーティングシステムを強化する目的は、サイバー攻撃に対してより安全で信頼性が高く、回復力のあるものにすることです。以下は、オペレーティングシステムの強化の一般的な実践です:

システム強化はどのように攻撃面を減らすのか?

システム強化は、攻撃面を減らすことでコンピュータシステムを保護するプロセスです。攻撃面とは、ハッカーが不正アクセスを得たり機密情報を盗んだりするために利用できる総面積を指します。システム強化が攻撃面を減らす方法にはいくつかあります:

  1. 不要なサービスとプロトコルの無効化:不要なサービスとプロトコルを無効にすることで、ハッカーが不正アクセスを得るために利用できるエントリーポイントの数を減らします。システム上で動作している各サービスやプロトコルは潜在的に脆弱性を引き起こす可能性があるため、業務運営に必要ないものを削除することで攻撃面を減らすことができます。
  2. ソフトウェアとファームウェアの更新:ソフトウェアとファームウェアを最新の状態に保つことで、攻撃者が悪用する可能性のある既知の脆弱性や弱点を修正します。これにより、攻撃者が古いソフトウェアの既知の脆弱性を悪用する可能性が減少します。
  3. アクセス制御の設定:適切にアクセス制御を設定することで、機密データにアクセスできるユーザーの数を制限し、攻撃者の潜在的なターゲットの数を減らすことで攻撃面を減らします。
  4. 強力な認証の実施:多要素認証などの強力な認証メカニズムを実施することで、攻撃者が不正アクセスを得ることをより困難にし、攻撃面をさらに減らします。
  5. パスワードポリシーの強制:複雑なパスワードや定期的なパスワード変更を要求する強力なパスワードポリシーを実施することで、総当たり攻撃を通じて攻撃者がアクセスを得る可能性を減らします。
  6. 不要なユーザーアカウントの削除:不要になったユーザーアカウントを削除することで、攻撃者が不正アクセスを得るための潜在的なターゲットの数を減らします。

システム強化は、組織のサイバーセキュリティ戦略の重要な部分です。攻撃面を減らすことで、攻撃者が機密データやシステムにアクセスすることをより困難にし、組織を潜在的な脅威から保護します。

デバイスの強化と強化されたセキュリティアプライアンスの違い

デバイスの強化は、不要なサービスの削除や無効化、セキュリティパッチの適用、ファイアウォール、暗号化、アクセス制御などのセキュリティコントロールの実施によって個々のデバイスを保護するプロセスを指します。一方、強化されたセキュリティアプライアンスは、ファイアウォール、侵入検知・防止、コンテンツフィルタリングなどの特定のセキュリティタスクを実行するために設計および最適化された専門的なデバイスです。

これらのデバイスは、組み込みのセキュリティ機能を備えており、さまざまな脅威に対して最大限の保護を提供するように事前に設定されています。要するに、デバイスの強化は個々のデバイスを保護することを含みますが、強化されたセキュリティアプライアンスは、ネットワーク環境内で専門的なセキュリティ機能を提供することで追加の保護層を提供します。

ゼロトラスト(双方向)

最小限のアクセスの概念を続けると、Kiteworksの強化されたアプライアンスの内部には、正確に1つのシステムアカウントのみがアクセスできます。他のシステムアカウントは非常に少数存在しますが、「最小特権の原則」に基づいてその権限セットは非常に制限されており、アプライアンスへのインタラクティブアクセスは許可されていません。

Kiteworksの強化されたアプライアンスの整合性を確保するために、サポートアカウントは認定されたKiteworksサポートエンジニアのみが使用できます。顧客には、そのアカウントのパスワードは一切提供されません。たとえオンプレミスのデータセンターにインストールされたアプライアンスであってもです。

しかし、Kiteworksはこの接続が顧客の明示的かつ積極的な承認によってのみ達成されることも保証しています。通常の操作中は、顧客の管理者のみがアカウントにアクセスでき、Kiteworksはアカウントのパスワードを知ることもアクセスすることもできません。サポートセッションが必要な場合、システム管理者はその場で新しい暗号化されたアクセスパスワードを生成し、サポートエンジニアに渡すことができます。サポートエンジニアはそれを復号して接続に使用することができます。

結果として、完全な双方向のゼロトラストが実現されます。

内部監視

すべてのKiteworks強化アプライアンスは、オペレーティングシステムとファイルシステムの期待される動作に関する非常に厳しいポリシーを監視し、強制する内部メカニズムを備えています。何らかの理由でKiteworks強化アプライアンスが元の状態から逸脱した場合(例:ファイルが予期せず変更されたり、作成されたり、サービスが予期しないポートでリスニングを開始した場合)、管理者に自動的にアラートが送信されます。

強化されたアプライアンスは、すべての重要なサービス活動の詳細なログも保持しており、システム管理者が自分のセキュリティ情報とイベント管理(SIEM)やその他のセキュリティオーケストレーション、自動化、対応(SOAR)ツールを使用してKiteworksの内部動作をリアルタイムで監視することができます。

内部サンドボックス化

前述のように、Kiteworksの運用は、時にはオープンソースまたは商業のサードパーティによって提供されるライブラリに依存しています。可能な限り、Kiteworksはこれらのライブラリをオペレーティングシステムレベルのサンドボックス内で利用します。つまり、問題のサードパーティライブラリはインストールされているものの、オペレーティングシステムやファイルシステムの他の部分へのアクセスは大幅に制限されています。これにより、これらのライブラリのいずれかに脆弱性が見つかった場合でも、Kiteworks強化アプライアンスへの潜在的な脅威は大幅に減少します。

ネットワークポリシーの強制

オペレーティングシステムの元の状態がネットワーク側でも強制されることを保証するために、すべてのKiteworks強化アプライアンスには非常に厳しい内部ファイアウォール構成があり、必要かつ期待されるチャネルとポートを通じてのみネットワークトラフィックを受け入れます。

追加のネットワーク保護

すべてのKiteworks強化アプライアンスには、悪意のある接続やウェブリクエストを監視しブロックするメカニズムが装備されています。予期しないポートでのネットワーク接続をブロックする静的ファイアウォール構成に加えて、悪意のあるリクエストの動的ブロックも利用しています。さらに、繰り返しの違反者は自動的かつ完全にブロックされ、アプライアンスとKiteworksソリューションの円滑で安全な運用を確保します。

ネットワークセキュリティのためのネットワークアプライアンス

ネットワークセキュリティのためのネットワークアプライアンスは、コンピュータネットワークを不正アクセス、ウイルス、マルウェア、その他の脅威から保護するために設計されたハードウェアデバイスです。これは基本的にセキュリティ目的で最適化された専門的なコンピュータであり、ネットワーク上に配置されて、流れるすべてのトラフィックを監視します。

通常、ネットワークセキュリティアプライアンスには、ファイアウォール、侵入検知/防止システム、アンチウイルス/マルウェアソフトウェア、仮想プライベートネットワーク(VPN)サポート、コンテンツフィルタリングなどのセキュリティ機能が含まれています。これらの機能は協力して悪意のあるトラフィックを識別しブロックし、攻撃を防ぎ、ネットワークを安全に保ちます。

ネットワークセキュリティアプライアンスは、小規模なスタートアップから大企業まで、あらゆる規模の企業や組織によって使用されています。特に、金融機関、医療施設、政府機関など、機密または機密データを扱う企業にとって重要です。ネットワークセキュリティアプライアンスを使用することで、組織はネットワークが保護され、データが安全であることを保証できます。

ネットワーク強化のベストプラクティス

最大限の保護を確保するために、ネットワーク管理者は強力なパスワードの実施、ファイアウォールのインストール、暗号化プロトコルの使用、ソフトウェアの定期的な更新、ネットワークトラフィックの監視、定期的なセキュリティ監査の実施などのベストプラクティスを採用するべきです。また、必要に応じて機密データへのアクセスを制限し、従業員にサイバーセキュリティ意識を定期的に訓練することも重要です。これらのベストプラクティスに従うことで、企業はネットワークが安全であり、潜在的な脅威から保護されていることを保証できます。

Log4jの登場

Log4jは、Apache財団によって提供される無料で使用できるオープンソースのイベントロギングライブラリです。財団自体は、Google、Microsoft、Amazon、Appleなど、世界の主要ブランドによって支援されています。その信頼性の高い提供者、多くの強み、そして簡単な使用法のおかげで、Log4jは世界で最も人気のあるライブラリの1つとなり、ほとんどの主要ベンダーがさまざまなソリューションに組み込んでいます。Kiteworksもそのベンダーの1つです。

2021年12月に、Log4jに深刻なセキュリティ脆弱性があることが発見されました。調査の結果、国家標準技術研究所(NIST)が運営する国家脆弱性データベース(NVD)は、この脆弱性に最高のCVSSスコアである10.0を与えました。

このスコアリングシステムは、悪用のしやすさや潜在的な被害の範囲など、多くの要因を考慮に入れています。Log4jの脆弱性は、Log4Shellと呼ばれ、世界中の認証されていない人物が、世界中の脆弱なシステムに悪意のあるコードを実行させることを実質的に可能にしました。

Log4jの極端な人気を考えると、これが一夜にして世界的な事件になった理由は明らかです。

Kiteworks強化アプライアンスの救援

世界中の多くのベンダーが緊急パッチを発行し、顧客にそれをインストールする緊急の必要性を警告するのに苦労している中、Kiteworksはそうではありませんでした。

徹底的な調査の結果、Kiteworksのセキュリティチームは、強化されたアプライアンスの文脈では、脆弱性のCVSSスコアは最大で4であると結論付けました。実際、今日まで、Kiteworksで脆弱性を悪用する方法が存在するという証拠はありません。以下は、いくつかの重要なポイントです:

  • 最小特権の原則に従い、脆弱なライブラリは非常に制限された構成で実装および利用されました。これにより、脆弱なAPIは無効化され、したがって悪用されることはありませんでした。
  • 脆弱なライブラリは独自のサンドボックス内で実行されており、外部コードを実行することは不可能であり、ましてや悪意のあるコードを実行することはできませんでした。したがって、たとえ悪用されたとしても、潜在的な脅威は大幅に減少しました。
  • 脆弱なライブラリは高度に監視されており、期待される動作からの逸脱があれば通知されるようになっていました。しかし、これまでにそのようなことはありませんでした。

上記の点を考慮しても、私たちはリスクを冒したくありませんでした。Kiteworksの次のリリースには、脆弱性の悪用の可能性を防ぐためのパッチと複数のメカニズムが組み込まれました。リスクが最小限から存在しない場合でもです。

これには以下が含まれます:

  • 脆弱でないバージョンのライブラリへのアップグレード。
  • 脆弱な設定を特に無効にするためのライブラリ構成の修正。将来的に脆弱なAPIが有効化されても、セキュリティは依然として維持されます。
  • 内部ネットワーク保護メカニズムにおける特別なルールで、直接的なLog4jウェブリクエストをブロックします。

Kiteworks強化アプライアンスについてもっと知る

Kiteworksの顧客は、内部および外部のコラボレーションを促進し、最も機密性の高い重要なコンテンツを私たちに信頼しています。その責任を果たすために、Kiteworksの強化アプライアンスは、既知の攻撃だけでなく、これまで完全に未知の攻撃にも耐えられるように、層を重ねたセキュリティメカニズムで綿密に設計されています。

Kiteworks強化アプライアンスについてもっと知るために、Kiteworksプライベートコンテンツネットワークのカスタムデモを今すぐスケジュールしてください。

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks