(本記事は Our Response to Log4j Vulnerability & Recommended Next Steps の参考訳です)
2021年12月15日
お客様各位
Log4jの脆弱性に対するDataRobotの対応について、最新情報をお伝えします。
2021年12月10日、DataRobotは、Javaベースのアプリケーションで広く使われているロギングライブラリ「Log4j」に脆弱性(CVE-2021-44228)があり、世界中のエンタープライズアプリケーションやクラウドサービスに影響を与えていることを確認しました。その後、(CVE-2021-45046)が発行され、状況は引き続き変化しています。
これまでに確認された複数の脆弱性に対応するため、DataRobotは直ちに部門横断的なチームを編成して、脆弱性の範囲を調査し、修復のための措置を開始しました。
セキュリティは、エンタープライズAIプラットフォームの基礎となる要素です。新しい7.3リリースではこの脆弱性に対処済みであり、今後のリリースでも同様です。より詳細なガイダンスについては、以下をご確認ください。
- 現在、DataRobotのスコアリングコード、MLOps監視エージェント、MLOpsによる監視を有効にしたポータブル予測サーバー(PPS)をご利用でない場合、お客様側での追加の措置は必要ありません。
- 上記のいずれかの機能をご利用の場合、以前に作成された成果物にLog4jの脆弱性が引き続き存在する可能性があります。一般的なガイダンスとして、Log4jを対象としたApache Security Advisoryに従って必要な措置を講じてください。Apacheは、状況の変化に応じて、新たな措置を含む最新情報をこのリンク先で公開する予定です。さらに詳細な情報が必要な場合は、添付資料をご覧ください。DataRobotでの成果物に対するリスクへの対処を目的とした、具体的な措置をご確認できます。
- DataRobot Data Prep CDH 6コネクターには、優先的にパッチを適用しています。この機能を利用するお客様は、パッチが適用されるまでの間は、セキュリティで保護された環境でのみご利用ください。
- なお、ZeplやAlgorithmiaなど、その他のDataRobot製品には影響はありません。
また、現在の環境でDataRobot 7.3へのアップグレード計画を早急に立てていただくようお願い申し上げます。このアップグレードに関してお客様と協力し、アップグレードによってご利用になれる最新の機能をすべてご提供したいと考えています。
お役に立てることがございましたら、担当のアカウントチームにご連絡いただくか、support@datarobot.comまでメールをお送りください。貴社のAI変革の礎としてDataRobotをご利用いただき、厚く御礼申し上げます。今後、Log4jについてお客様に関連した最新情報を入手した場合は、DataRobotコミュニティにてご提供いたします。来年も変わらぬご愛顧を賜りますよう、よろしくお願い申し上げます。
Nenshad Bardoliwalla
チーフプロダクトオフィサー
添付資料:DataRobotカスタマーマネージドリリース
この脆弱性は、どの機能が有効で、どのように利用されているかによって異なります。
1.DataRobotスコアリングコード (旧「CodeGen」)
DataRobotは、他のプラットフォームで予測を実行する目的で、「コード」と実行可能なJarファイルをエクスポートする機能を提供しています。
必要な措置:
トレーニングしたモデルから生成されたスコアリングコードJarには脆弱性がある可能性があります。ランタイム環境がまだ保護されていない場合は、Apache Security Advisoryに記載されている最新のガイダンスに従ってください。
2.MLOps監視エージェント
DataRobotは、MLOps監視エージェントを介して、DataRobotのプラットフォームの外で動作している機械学習モデルを監視・管理する機能を提供しています。
必要な措置:
MLOps監視エージェントを実行していて、ランタイム環境がまだ保護されていない場合は、Apache Security Advisoryのガイダンスに従ってください。
3.MLOpsによる監視を有効にしたポータブル予測サーバー(PPS)
DataRobotは、DataRobotのプラットフォームの外にあるDockerコンテナに機械学習モデルをエクスポートして実行し、DataRobotのMLOps監視エージェント(上記2を参照)によってその実行を監視する機能を提供しています。脆弱性のあるライブラリが含まれているのは、JavaベースのMLOps監視エージェントのみです。
必要な措置:
ランタイム環境がまだ保護されていない場合は、Apache Security Advisoryに記載されている最新のガイダンスに従ってください。
4. JDBCドライバーのサポート
DataRobotでは、外部のJDBCデータソースに接続することができます。JDBCドライバーをApache Security Advisoryの要件を満たすリリースにアップグレードすることを推奨します。