2021年にアプリケーションセキュリティの知識を広げる 10 の方法

2021/1/26 - 読み終える時間: 4 分

10 Ways to Expand Your Application Security Knowledge in 2021 の翻訳版です。


2021年にアプリケーションセキュリティの知識を広げる 10 の方法

2021年1月12日

著者: Neil Jones / Senior Product Marketing Manager for HCL Software’s AppScan solution

画像の説明

新しい年は、知識を広げ、前年の成功を振り返るための自然な時間です。2020年、AppScan チームの重要な目標の1つは、当社のソートリーダーシップコンテンツの量と質を拡大することでした。その目標を達成できたことを嬉しく思います。

このブログの計画を立てる際には、あなたのような読者が 2021年に追求しそうな活動に焦点を当て、その活動のそれぞれに沿ったコンテンツを盛り込むのが最善のアプローチだと判断しました。私の全体的な目標は、この記事をできるだけ実用的で簡潔なものにすることでした。もしよろしければ、このブログのコメント欄に追加のリソースを入れることをお勧めします。

この記事を読んでいるのが1月であろうと、公開から数ヶ月後であろうと、以下のリソースから恩恵を受けることができるので、安心してください。

2021年に私の会社が必要としていること

...AppSecへの投資の妥当性を証明する

最近では、アプリケーション・セキュリティに投資しないわけにはいきません。私の古典的なブログでは、組織が AppSec への投資を再考する必要がある5つの実用的な理由を紹介しています。また、最近のブログでは、Ponemon Institute との「DevOps環境におけるアプリケーションセキュリティ」調査から得られた主要な財務上の調査結果を紹介しています。Ponemon のブログを読むと、Ponemon の調査に参加した組織が、脆弱性のあるアプリケーションへの攻撃の結果、平均 1200万ドルのコストが発生した理由を知ることができます。

...より効果的な従業員を雇用する

2020年9月に公開された挑発的なブログの中で、著者のロブ・カディ氏は、「新ハイブリッドセキュリティ社員」の特徴を再掲しています。新ハイブリッド社員の能力は、技術的な領域をはるかに超えて、共感性、好奇心、問題解決、チームワークなどの「ソフトな」スキルを持ち合わせています。

記事の中でロブは、セキュリティチームが組織のゲートキーパーとしてではなく、イネーブラーとして機能するように促すための実践的なアドバイスを提供しています。また、セキュリティチームが「いいえ」から「はい」へと変化させる方法についても説明しています。

...アプリケーションセキュリティをより効果的に管理する

2020年7月のウェビナーでは、HCL Software の CISO である Joe Rubino が、グローバル組織におけるアプリケーションセキュリティの効果的な管理に関する重要な洞察を共有しました。セッションの中で、ジョーはモデレーターの Dave Munson 氏に以下のような重要なテーマを伝えました。

  • 在宅勤務プログラムをより効果的に管理する方法。
  • 開発担当者との信頼関係を維持するためのベストプラクティス。
  • 人工知能 (AI) の力を活用する方法。

このイベントのために、セッションのリプレイへのリンクを含む、便利なリスナーズガイドを作成しました。

...実際の AppSec の実践者の視点を聞くことができます。

共同ホストの Colin Bell、Rob Cuddy、Kris Duer との楽しいポッドキャストシリーズ Application Paranoia では、以下のような実在の AppSec 実践者の視点を聞くことができます。

  • Dragan Pleskonjic 氏は、ゲーム業界のシニアセキュリティディレクターで、エピソード #9でポッドキャストチームに実生活の視点を提供しています。
  • エピソード #10 では、オンライン学習アカデミー@WeHackPurple の創設者である Tanya Janca 氏。
  • HCL Software のデジタルソリューション CTO である Jason Gary 氏は、エピソード #4 で、HCL のような大規模で多様性のあるエンジニアリングチームにセキュリティプラクティスを組み込むことについて議論しています。

**...私たちのチームのアプリケーション・セキュリティの知識を広げる

最近の YouTube ビデオでは、Eitan Worcel と私が新しい AppScan リソースライブラリをレビューしています。

...AppSec テストオプションの多様化

AppScan のチーフアーキテクト Shahar Sperling は、説得力のある記事の中で、「?AST」という概念を提示しています。これは、異なるタイプのアプリケーションセキュリティテスト技術には、異なる対象者が存在し、異なる結果をもたらし、異なるテスト条件の下での成功を認めています。ブログでは、Shahar氏は、特定のテスト技術(DAST、SAST、IASTなど)が、開発者、QAエンジニア、セキュリティ専門家/ペンテスターのユースケースに応じて、より適している理由を説明しています。

...開発者が安全にコーディングできるようにする

2020年5月のブログで、AppScan プロダクトマネージャーのFlorin Coada氏は、HCL AppScan CodeSweepの目的について説明しています。それは、開発者がアプリケーションの問題を発見するのを助け、それらの問題を修正する方法を開発者に教育し、コードを書いている間に正しい質問で、将来的にセキュリティ問題を回避できるようにすることです。わかりやすく言えば、CodeSweep は開発者が次のような質問に答えることができるようにします。"私のコードは本当に危険なのか?CodeSweep コミュニティ版の何千人ものユーザーに参加できます。

...OWASP のトップ 10 の脆弱性に取り組む

この記事を読んでいる誰もがそうであるように、多くの OWASP 脆弱性トップ 10 は、新年を越して存在しています。OWASP の脆弱性は明らかにいつでもすぐには消えないので、最良のアプローチは、今すぐに組織を保護することです。

2020年6月、Eitan Worcelは、クロスサイトスクリプティング(XSS)脆弱性を特定し、修正するための実用的なヒントを提供しました。その後、Rob Cuddy と私は、SQL インジェクションの脆弱性への対処センシティブデータの暴露への取り組みに焦点を当てた同様のブログを書きました。OWASP トップ 10 は、私たちのチームにとって継続的に焦点を当てている分野なので、最新の Appscan ブログの更新情報を得るために、私たちの週刊 AppScan ダイジェストを購読できます。

...AppScan V10へのアップグレード

AppScan のクライアントで、V10 へのアップグレードをお考えですか?その場合は、Eitan Worcel 氏の簡単な YouTube ビデオをご覧ください。その後、HCL Software の専門 Web サイトにアクセスして詳細を確認し、ご自身で V10 の使用を開始できます。

...自分自身でアプリケーション・セキュリティ・テストをテストしてみましょう

ご自身でアプリケーション・セキュリティ・テスト技術をテストしていない場合は、今すぐ AppScan の30日間無料トライアルにお申し込みください。

詳細

他にも有益と思われるリソースがあれば、下のコメント欄で共有してください。2021年には、さらに魅力的なコンテンツを発表できることを楽しみにしています。

このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。

Tags

Academy Accelerate Accelerator Ambassador AoC AppDev Pack AppScan ASoC beta BigFix BigFix 9.5 BigFix_Wiki BigFix Workspace branding CAA Client Applicatin Access cloud Cloud Apps Cloud Native Commerce Common Local License Server community companion Compass compliance Connections Connections 6.5 ConnectionsDocs Connnections CVE-2021-44228 developerWorks DevOpes Velocity DevOps DevOps Code ClearCase DevOps Deploy DevOps.Launch.AppScan DevOps Model RealTim DevOps Test DevOps Velocity Digital Experience document Doino Volt Domino Domino AppDev Pacl Domino Leap Domino Volt Domino管理者アップデート認定試験対策 DQL DRYiCE dW dx Enterprise Integrator event fix fix_list fixlist forum General guide HCAA HCL Ambassador HCL Ambassadors HCL Domino REST API HCL OneTest Embedded HCL Z and I Emulator HCL Z and I Emulator for Transformation HCLSoftware U hints_and_tips history HTMO IBM_i ID_Vault iNotes ios ios13 ipad iPhone IZSAM KEEP Launch Launch.DevOps Leap Link logo MarvelClient mobile mui nds2019 ndv12beta News Noets/Domino Nomad Nomad Mobile Nomad Web Notes Notes/Domino Notes/Domino 10 Notes/Domino 11 notes-domino-9-10-limited-supportability-as-of-202204 Notes/Domino V12 Notes/Domion Notes/Domno notescons Now on_premises OneDB OneTest OnTime osaka press_release relay REST RTist SafeLinx Sametime Sametime 11 SoFy support survey system_requirement techtek Traveler Traveler 10 Traveler for Microsoft Outlook traveler.zip Unica Unica Discover Unica Interact UrbanCode Deploy UrbanCode Velocity v11 V12 Verse Verse Mobile Verse On-Premises VersionVault Volt Volt MX Volt MX Go Volt MX サンプルアプリ Webinar win7 Wordload Automation Workload Automation youtube Z Z Abend Investigator Z and I Emulator Z and I Emulator for Transformation Z and I Emulator for Web Z and I Emulator for Web Client Z Asset Optimizer Z Data Tools Z Software Asset Manager ZAI ZAO ZIE ZIE for Transformation ZIE for Web ZIE for Windows ZIET ZIETrans ZIEWeb うるう年 イベント ウェビナー ガイド クラウド クラウド終了 サイジング サポート サポート技術情報 サポート期間 サポート終了 セキュリティ セキュリティー セキュリティー脆弱性 セミナー ダイバーシティー ダウンロード テクてく テクてく Lotus 技術者夜会 ニュース ノーツコンソーシアム バージョンアップ パフォーマンス パートナー ベータ ポートフォリオ ライセンス 九州地区 Notes パートナー会 互換性 出荷日 各種ご案内資料 研修