Log4jの脆弱性をITが苦手な人にわかりやすく解説

ハゲタカ

Log4jの問題を雑談したり、仕事として扱う人のために、書きました。

ITの専門用語が登場しても、ちょっと知識を持っていれば楽しく会話できます。

これさえ知っていれば、これ以上はLog4jについて調べなくてもOK!

そもそもなぜLog4jが話題になるのかという部分も含めてわかりやすく解説しています。

さくっと確認するだけで頭が整理されます。

 

スポンサードリンク

 

一体Log4jって何?

文字と数字が並んでいて、何を意味するか分からない「Log4j」という文字列ですが。

「Log」と書かれているようにログのことを指します。すなわち記録です。

コンピューターは、ログ(記録)を常に取っています。人間でいえば脳みその記憶として保存される情報のようなものです。それをコンピュータ目線でいうとログ情報となります。

「Log4j」は、コンピュータの記憶部分に関する処理のことをいいます。

 

 

Log4jの脆弱性が話題になる4つの理由

1.どのシステムでも使われていること

ログということで、どのシステムでも記録ってとりますよね。つまり、どのシステムでのこの「Log4j」というものを使っているのです。

だからこそ、やばい!って話題になっています。本当に特定の人しか使っていないものだったらここまで話題にはならないのですが該当箇所が多いと話題にしかならないですよね。

しかも、脆弱性があるということなので、多くの人が対策をするために動いたので、多くの人が話に取り上げ話題になったということです。

 

2.記録部分という大切な情報に接するこ

ログ情報というのはめちゃくちゃ大切な情報です。会社にとっても個人にとっても。当然価値もあります。価値ある情報は欲しいですよね。

もし「Log4j」の脆弱性を突くことで情報漏洩したらどうでしょうか?情報が欲しくて仕方ない人はこの脆弱性を利用して欲しい情報を得ようとするでしょう。だからこそ、やばい!ということで話題になるのです。(脆弱性を突くってのはダメな行為ではありますが・・・)

 

3.オープンソースソフトウェアであること

ん?何のこと?と思われた人もいるかもしれません。

「Log4j」が何者であるかということが全世界に公開されています。というとわかりやすいでしょうか。

Log4jの全ては公開されているので、脆弱性が見つかれば誰でも悪いことができちゃうということです。
個別の対策が取れないということです。

(逆に言えば、脆弱性の対応内容が決まれば多くの人が一気に救われるというメリットもあります)

 

4.責任の所在があいまいであること

スポンサードリンク

オープンソースソフトウェアでの開発のため、SIerと呼ばれるようなシステム構築者も自由に利用していました。

今回の脆弱性はそのソフトウェアを使ったシステム構築者に責任がある!?のか、それともそもそもLog4jを開発した人達に責任があるのか?誰もはっきりとは言えないんですね。

たしかに、システムに組み込んだ構築者にも責任はあるかもしれませんが、そこまでの内容を保証するとは言っていないので必ずしも対応しないといけない訳じゃないし。

正直、知ったこっちゃないって思った人も多いはずです。。

だからこそ、多くの人を巻き込んだ話題になってしまいました。

 

 

「Log4j」の脆弱性で困る人は3タイプ

開発者

なんとかしてくれ!と理由もわからず問い合わせてくる人への対応が増えます 汗

さらに、何でこんな脆弱性があるんだ?という意見を聞くのはキツイので困りますよね。

 

世界中の人たち

大袈裟ですが、この問題を深堀していくと、世界中の人たちが困る可能性があります。

じゃあこのLog4jを使わないようにしよう!なんていうのはシステムを構築する一部となっているので非常に厳しい問題になります。

そもそもこの脆弱性が発生してしまうような状況が日常のシステム運用で起こりうるのか?というと起こりえないことがほとんどなんですね。

ということは、想定範囲外であり、構築者も想定範囲外のテストまではしていないので、システムに問題があるなんて思ってもみないわけです。

脆弱性なのか、潜在バグなのか、、、人間に完璧な人がいないのと同じようにシステムにも完璧というものが存在しないということです。

 

Log4j が含まれるシステムを扱う人

多くの人がここに分類されると思います。

なんとなくその問題を聞いただけ。情報収集をする必要があっただけ。

という様な人もいると思います。

 

ただ、SIerの様なシステム構築会社であれば、他人事にできませんよね。自分の構築したシステムに脆弱性が含まれていたら困るので何とかしてくれ!なんて言う問い合わせが増える一方で困りますよね。

 

スポンサードリンク

Log4j の問題が話題に来た時の返答方法

社内や周りで「Log4j」っていうワードを聞いた時、この人わかってる!っていう風な印象を持たれるようにするためにも、最低限の知識を持っておくと良いですよね。

えっ、な、何?なんて聞き返すのも恥ずかしいですし……

簡単に返答方法を身に付けておきましょう。

 

「今話題になっていますよね。問題は、収束しつつあるみたいですが…Twitter で話題になって一気に問題が認知されたみたいです」

とか

「ログ処理の問題ですよね、影響度合いが広いみたいです、、詳しくはないのですがルックアップ機能というのが影響しているみたいです」

というところを返答できると、話がわかるなと思ってもらえます。

 

(ところで……Log4j の処理の中で、ルックアップ機能というものが脆弱性となっていました。この機能の詳細までは難しいので調べなくても良いと思いますが、周りの人達がIT関係に詳しい場合は、”自分はITに疎いけどここまで調べました!”というアピールにもなるので、「ルックアップ機能」という単語は覚えておいて損はありません。ちなみに内容としては、ログの情報を書き換えられるものです…!)

 

脆弱性が発生している詳しい状況を理解できるのは開発者と一部のコーディングやコンピュータの仕組みについて詳しい人くらいなので、あなたの立場がそうではない場合は「詳しくはないですけど〇〇らしいですね。。」くらいが言えると充分なのではないかと思います。

この脆弱性について完璧に理解することがあなたの仕事ではないはずなので。

スポンサードリンク

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です