[調査・レポート]

2022年12月2日(金)日川 佳三（IT Leaders編集部）

リスト

　米Tenable日本法人のTenable Network Security Japanは、Javaログ出力ライブラリ「Apache Log4j」の脆弱性（通称：Log4Shell）に関する2022年10月時点での調査結果を発表した。テレメトリー（遠隔測定）によって収集したデータによると、2022年10月時点でも、72％の企業がLog4Shellに対して脆弱な状態にあるという。なお、2022年5月時点の86%よりは改善されている。

　「2021年12月に脆弱性が発覚したLog4jの特徴は、知らないうちに使っている可能性が高いこと。Javaのログ出力ライブラリとして一般的であり、多くのJavaソフトウェアやアプライアンス機器が利用している」（Tenable）。同社は、いったん脆弱性に対処しても、後から新たなソフトウェアを導入することで脆弱性が再発することもあると指摘する（関連記事：Javaログ出力ライブラリ「Log4j」の脆弱性、修正した最新版2.17.0をリリース）。

　Tenableのテレメトリーデータによると、脆弱性が発覚した2021年12月時点で企業が保有するIT資産の1割にLog4Shellの脆弱性が存在していた。2022年10月のデータでは状況はいくらか改善し、脆弱性を抱えたIT資産は2.5%にまで下がったという。

　しかし、2022年10月時点で脆弱性が存在しているIT資産（IT資産全体の2.5%）のうちの3分の1（29%）は、いったん脆弱性の修復が完了した後にLog4Shellが再発したIT資産だという。「ある時点で脆弱性の修復が完了しても、その後で新しいIT資産を導入すればLog4Shellに何度も遭遇することはありえる」（Tenable）。

　なお、2022年10月1日時点で完全にLog4Shellの脆弱性を修復した企業は、調査対象である世界中の企業の28%で、2022年5月時点よりも14ポイント改善している。

　Tenableは、業界・地域による対処の違いを示している。脆弱性を完全に修復済みの会社が多い業界は、上から技術系（45%）、法務サービス（38%）、金融サービス（35%）、非営利（33%）、政府機関（30%）である。CISA（米サイバーセキュリティ・インフラセキュリティ庁）によって基幹インフラと認識されている企業の28%はLog4Shellを修復しているという。

　地域別で見ると、北米では、企業のほぼ3分の1（28%）がLog4jの脆弱性を完全に修復済みである。続いて欧州・中東・アフリカ（27%）、アジア太平洋（25%）、南米（21%）となる。北米は、部分的に修復した企業の割合でも世界1位（90%）であり、欧州・中東・アフリカ（85%）、アジア太平洋（85%）、南米（81%）と続く。