10 Ways to Expand Your Application Security Knowledge in 2021 の翻訳版です。
2021年にアプリケーションセキュリティの知識を広げる 10 の方法
2021年1月12日
著者: Neil Jones / Senior Product Marketing Manager for HCL Software’s AppScan solution
新しい年は、知識を広げ、前年の成功を振り返るための自然な時間です。2020年、AppScan チームの重要な目標の1つは、当社のソートリーダーシップコンテンツの量と質を拡大することでした。その目標を達成できたことを嬉しく思います。
このブログの計画を立てる際には、あなたのような読者が 2021年に追求しそうな活動に焦点を当て、その活動のそれぞれに沿ったコンテンツを盛り込むのが最善のアプローチだと判断しました。私の全体的な目標は、この記事をできるだけ実用的で簡潔なものにすることでした。もしよろしければ、このブログのコメント欄に追加のリソースを入れることをお勧めします。
この記事を読んでいるのが1月であろうと、公開から数ヶ月後であろうと、以下のリソースから恩恵を受けることができるので、安心してください。
2021年に私の会社が必要としていること
...AppSecへの投資の妥当性を証明する
最近では、アプリケーション・セキュリティに投資しないわけにはいきません。私の古典的なブログでは、組織が AppSec への投資を再考する必要がある5つの実用的な理由を紹介しています。また、最近のブログでは、Ponemon Institute との「DevOps環境におけるアプリケーションセキュリティ」調査から得られた主要な財務上の調査結果を紹介しています。Ponemon のブログを読むと、Ponemon の調査に参加した組織が、脆弱性のあるアプリケーションへの攻撃の結果、平均 1200万ドルのコストが発生した理由を知ることができます。
...より効果的な従業員を雇用する
2020年9月に公開された挑発的なブログの中で、著者のロブ・カディ氏は、「新ハイブリッドセキュリティ社員」の特徴を再掲しています。新ハイブリッド社員の能力は、技術的な領域をはるかに超えて、共感性、好奇心、問題解決、チームワークなどの「ソフトな」スキルを持ち合わせています。
記事の中でロブは、セキュリティチームが組織のゲートキーパーとしてではなく、イネーブラーとして機能するように促すための実践的なアドバイスを提供しています。また、セキュリティチームが「いいえ」から「はい」へと変化させる方法についても説明しています。
...アプリケーションセキュリティをより効果的に管理する
2020年7月のウェビナーでは、HCL Software の CISO である Joe Rubino が、グローバル組織におけるアプリケーションセキュリティの効果的な管理に関する重要な洞察を共有しました。セッションの中で、ジョーはモデレーターの Dave Munson 氏に以下のような重要なテーマを伝えました。
このイベントのために、セッションのリプレイへのリンクを含む、便利なリスナーズガイドを作成しました。
...実際の AppSec の実践者の視点を聞くことができます。
共同ホストの Colin Bell、Rob Cuddy、Kris Duer との楽しいポッドキャストシリーズ Application Paranoia では、以下のような実在の AppSec 実践者の視点を聞くことができます。
**...私たちのチームのアプリケーション・セキュリティの知識を広げる
最近の YouTube ビデオでは、Eitan Worcel と私が新しい AppScan リソースライブラリをレビューしています。
...AppSec テストオプションの多様化
AppScan のチーフアーキテクト Shahar Sperling は、説得力のある記事の中で、「?AST」という概念を提示しています。これは、異なるタイプのアプリケーションセキュリティテスト技術には、異なる対象者が存在し、異なる結果をもたらし、異なるテスト条件の下での成功を認めています。ブログでは、Shahar氏は、特定のテスト技術(DAST、SAST、IASTなど)が、開発者、QAエンジニア、セキュリティ専門家/ペンテスターのユースケースに応じて、より適している理由を説明しています。
...開発者が安全にコーディングできるようにする
2020年5月のブログで、AppScan プロダクトマネージャーのFlorin Coada氏は、HCL AppScan CodeSweepの目的について説明しています。それは、開発者がアプリケーションの問題を発見するのを助け、それらの問題を修正する方法を開発者に教育し、コードを書いている間に正しい質問で、将来的にセキュリティ問題を回避できるようにすることです。わかりやすく言えば、CodeSweep は開発者が次のような質問に答えることができるようにします。"私のコードは本当に危険なのか?CodeSweep コミュニティ版の何千人ものユーザーに参加できます。
...OWASP のトップ 10 の脆弱性に取り組む
この記事を読んでいる誰もがそうであるように、多くの OWASP 脆弱性トップ 10 は、新年を越して存在しています。OWASP の脆弱性は明らかにいつでもすぐには消えないので、最良のアプローチは、今すぐに組織を保護することです。
2020年6月、Eitan Worcelは、クロスサイトスクリプティング(XSS)脆弱性を特定し、修正するための実用的なヒントを提供しました。その後、Rob Cuddy と私は、SQL インジェクションの脆弱性への対処とセンシティブデータの暴露への取り組みに焦点を当てた同様のブログを書きました。OWASP トップ 10 は、私たちのチームにとって継続的に焦点を当てている分野なので、最新の Appscan ブログの更新情報を得るために、私たちの週刊 AppScan ダイジェストを購読できます。
...AppScan V10へのアップグレード
AppScan のクライアントで、V10 へのアップグレードをお考えですか?その場合は、Eitan Worcel 氏の簡単な YouTube ビデオをご覧ください。その後、HCL Software の専門 Web サイトにアクセスして詳細を確認し、ご自身で V10 の使用を開始できます。
...自分自身でアプリケーション・セキュリティ・テストをテストしてみましょう
ご自身でアプリケーション・セキュリティ・テスト技術をテストしていない場合は、今すぐ AppScan の30日間無料トライアルにお申し込みください。
詳細
他にも有益と思われるリソースがあれば、下のコメント欄で共有してください。2021年には、さらに魅力的なコンテンツを発表できることを楽しみにしています。