公式ブログ
Conoris VRM Labo

取引先リスク管理観点でlog4j問題をとらえてみた

Posted on:
January 12, 2023

※本記事は2021年12月17日にnoteにて掲載を行ったものを移管した内容になります。予めご了承ください。

こんにちは、Conoris VRM Laboです。

世の中をだいぶ騒がせているlog4j問題ですが、まずはご対応されているエンジニアや情シスの皆さん、本当にお疲れ様です、、、

詳細は各種情報発信をご覧いただければと思いますが、IPAの対策情報ページのリンクだけ貼っておきます

タイトルには、「取引先リスク管理」と書いていますが、英語ではベンダーリスクマネジメント(略してVRM)と呼ばれる領域でして、弊社ではVRM領域のツールを開発中ということもあり、今回の問題をVRM観点で紐解いていきたいと思います。

VRMとはなんぞや?という方はこちらをご覧ください。

----------------------------------------------

本題です。

今回くらい大きな問題の場合、企業としては大きく2つの対応をしないといけないと思われます。

1. 社内向け
自社で開発・提供しているサービス(クラウドサービスやパッケージシステムなど)やスクラッチの自社開発システムのおける対処

2. 社外(取引先)向け
自社利用している外部サービス(クラウドサービスやパッケージシステム)の対応の必要有無および対応が実施されたことの確認

まずは1から取り組まれることが多いと思いますが、2をどのように対応するかはかなり頭をひねられるポイントなのではないでしょうか?

実際私がみかけたものだけでも2に関連するツイートが沢山ありました。

サービス提供者としても一社ずつ問い合わせに答えるのは大変ですが、確認しないといけない企業側(この場合はユーザ)も大変です。

会社にもよりますが、数百種類の外部サービスを利用していることもありますので、影響範囲の確認を行うだけでも骨が折れます。

そもそもほとんどの大企業が自社で今現在利用しているクラウドサービスやパッケージシステムを把握できていないので、どのサービスにlog4j問題を確認すべきかのリストを作るところからはじめないといけません。

結果として、インシデントが発生してから実際にサービス提供者に問い合わせるまでに数日はざらにかかり、スピーディに対応することはおろか、対応する担当(情報システム部門のセキュリティ担当の方が多い)に多大な負荷がかかることになります。

VRMツールはこういった問題を素早く対処することができます。

VRMツールとは?

欧米を中心に成長をしている、取引先のリスク管理を複合的に行うシステムです。
取引先の基本情報、セキュリティチェックシートなどのアセスメントの依頼・回答結果の保存、外部データを活用した取引先のリスクのスコアリングといった機能があります。

VRMがなぜ伸びているかはこちらをご覧ください。

アメリカの大手VRMツールベンダーであるPrevalentはインシデント発生後、8問でlog4jの脆弱性対応について取引先に確認できる質問表を公開しています。
見たい方はこちらからダウンロード可能です(英語のみ)

今回Prevalentは一般向けにダウンロードできるように公開をしていますが、一般的にVRMを活用すると日頃管理を行っている取引先の一覧からある程度まとめてシステムを通して、回答依頼を投げられるようになっていますので、企業のリスク管理をスムーズに行える利点があります。

問い合わせを受け付けるベンダー側は1社回答すると他の会社からの問い合わせもまとめて回答されるといった機能性がPrevalentにあるかは不明ですが、ことインシデントに関する確認についてはConorisでも1社ずつ回答せずとも一括でインシデントに対する回答できるようにする予定です。

毎回のことですが、大きなインシデントが発生すると、一般的に用いられるエクセルなど用いたアナログな取引先のリスク管理の限界を感じます。

残念ながら今の時代、また次が発生してしまうかと思いますので、この機会に今のままで本当にリスク管理ができるのか、VRMの考え方を参考にご検討ください。

日本の商習慣に合う形でVRM(ベンダーリスクマネジメント)領域のサービスを提供し、日本のクラウドサービスセキュリティチェック業務を改善しようとしています。
ご興味のある方は、ぜひお問い合わせください。
お問い合わせはこちら