HCL AppScan、アクティブ・アプリケーションセキュリティ態勢管理でソフトウェアサプライチェーンセキュリティ能力を拡充

2024/5月/22 - 読み終える時間: ~1 分

HCL AppScan、アクティブ・アプリケーション・セキュリティ・ポスチャー・マネジメントでソフトウェアサプライチェーンセキュリティ機能を拡張 の翻訳版です。

HCL AppScan、アクティブ・アプリケーションセキュリティ態勢管理でソフトウェアサプライチェーンセキュリティ能力を拡充

カリフォルニア州マウンテンビューおよびインド、ノイダ - (2024年5月7日) - エンタープライズソフトウェアソリューションの世界的リーダーである HCLSoftware は本日、サンフランシスコで開催されたRSA Conference (RSAC) 2024 において、組織のソフトウェアサプライチェーンのセキュリティ向上を支援するアクティブアプリケーションセキュリティポスチャ管理プラットフォームである HCL AppScan Supply Chain Security (OX Securityとの提携) を発表しました。RSAC は、何千人ものサイバーセキュリティ業界の専門家が一堂に会する世界最大級のイベントです。

イノベーションと俊敏性が成功の鍵を握る今日の Digital+ Economy では、ソフトウェア・サプライチェーン全体のセキュリティを確保することが、これまで以上に重要になっています。開発者がオープンソースやサードパーティのアプリケーションをますます広く使用するようになり、サプライチェーンへの攻撃は指数関数的に増加しています。

このようなオープンソースやサードパーティのソリューションの使用は、ソフトウェア開発の速いペースを維持するための鍵です。チームがコードの一部やソフトウェア・コンポーネントをゼロから開発する必要がなければ、開発時間は大幅に短縮されます。

「HCLSoftwareのエグゼクティブ・ヴァイス・プレジデントである Rajesh Iyer は、「我々が世界的に見ているのは、オープンソースのコンポーネントやライブラリの使用は、プロプライエタリなコードを書くときに適用されるのと同じレベルのセキュリティ精査を受けていないということです。組織が直面しているリスクには、まったく新しいレベルの監視と可視性が必要です」と述べています。

ロシアのハッカーによって行われた2020年のソーラーウィンズ攻撃のような有名な事件は、ソフトウェアのサプライチェーンセキュリティの分水嶺となりました。それ以降も、2021年の人気オープンソースソフトウェア Log4j の脆弱性発見から、2024年の xz ソフトウェアライブラリの悪質なバックドアまで、さまざまな攻撃を目撃してきました。

2023年の最も重要な攻撃のいくつかは、電気通信と IT を狙ったもので、VoIP とファイル転送ソフトウェアが標的となり、数千の企業と数百万人の個人に 100億ドル近い損害を与えた。ヘルスケア・グループと金融部門は注目すべき標的であり、社会保障番号を盗まれた数百万人の患者と、財務情報を流出させられた数百万人に影響を与えた。残念ながら、このような攻撃はあまりにも一般的になっている。

高価なソフトウェア・サプライ・チェーンに対する攻撃の件数と深刻度が増すにつれて、世界中で政府のコンプライアンス基準が着実に増加している。最近の米国大統領令 14028 はその好例で、どのソフトウェア・コンポーネントが重要で、その使用に必要なセキュリティ対策を定義している。

こうしたことから、企業はリスク管理に対するアプローチ全体を再考し、ソフトウェア開発のあらゆる側面をエンド・ツー・エンドで完全に可視化し、監視する必要性に迫られている。この圧倒的なニーズに応えるため、HCLSoftware は OX Security との提携により HCL AppScan Supply Chain Security を発表し、顧客により大きなメリットを提供します。

HCL AppScan Supply Chain Security は、Active Application Security Posture Management (Active ASPM) の利点を高めるもので、ソフトウェア全体にわたってプロアクティブなセキュリティ体制を維持するための先駆的なアプローチです。Active ASPM は、クラス最高のアプリケーション・セキュリティ・テストと堅牢な姿勢管理およびソフトウェア・サプライチェーン・セキュリティを統合します。この完全なパッケージは、すべてのリスク要因を完全に可視化し、詳細な評価ツールによって脆弱性のトリアージと修復を記録的な速さで行えます。

主な機能は以下のとおりです。

• パイプライン部品表（PBOM）は、ソフトウェアの一部が通過したすべての動的なリストであり、コードからクラウドまでの比類のない可視性と、クラウドからコードまでのトレーサビリティを提供します。
• 環境、攻撃ベクトル、ビジネスの重要性に基づいてすべてのアプリケーション・コンポーネントを分類するアクティブ・コンテキストにより、リスクの優先順位を決定します。
• すべてのデータを収集し、DevSecOps 活動をオーケストレーションできる単一の場所から、ソフトウェア・パイプラインの整合性を維持します。
• SAST、DAST、および SCA のテスト結果を一元化されたダッシュボードにシームレスに統合し、迅速なトリアージを実現します。
• No-code ワークフローを自動化し、アクションアイテムを適切な担当者に迅速にプッシュすることで、修復時間を短縮します。

IDC の DevSecOps およびソフトウェア・サプライチェーン・セキュリティのリサーチ・マネージャーであるケイティ・ノートンは、次のように述べています。「その多くは、開発パイプライン内のセキュリティの盲点を特定するのに苦労しています。こうした攻撃をより効果的に先回りするために、組織は HCL AppScan Supply Chain Security のような、悪用可能性の洞察に基づいて発見、優先順位付け、修復作業を自動化するソリューションを検討すべきです」。

HCL AppScan Supply Chain Security リリースの詳細については https://www.hcl-software.com/appscan を参照してください。