2024/2/19 - 読み終える時間: ~1 分

Mobile Application Security Testing Continues Upward Trajectory の翻訳版です。

モバイルアプリのセキュリティテストは上昇の一途をたどる

2024/02/12

著者: Nabeel Jaitapker / Product Marketing Lead, HCLSoftware

モバイル・デバイスの存在感の増大とサイバー脅威の複雑化により、モバイル・アプリケーション・セキュリティ・テスティング・ソリューションに特化した成長が促進されている。

最近のレポートによると、モバイルアプリケーションの使用量の増加、安全なアプリケーションを義務付ける規制遵守、迅速な開発サイクルにより、世界のモバイルアプリケーションセキュリティテスト市場は2028年までに32億ドルに達すると推定されている。

MarketsandMarketsが発行したこのレポートは、セキュリティテストソリューションに対する需要の背景には、サイバー脅威と攻撃手法の絶え間ない進化があるとしている。また、技術の進歩に伴い、採用される悪意のある手口も高度化しており、モバイル・アプリケーションや機密データへのアクセスを危険にさらしている。

このような状況に対処するため、本レポートでは、脆弱性が悪用される前に脆弱性を特定し対処することで、新たな脅威の一歩先を行く定期的なセキュリティテストを推奨しています。このアプローチは、（マルウェア、フィッシング、コードインジェクションなどの攻撃がますます巧妙化する中で）ダイナミックに変化し続けるサイバーセキュリティの状況において、組織を支援します。

モバイルアプのセキュリティテスト

モバイルアプリケーションのセキュリティテストは、アプリケーションのセキュリティコントロールが期待通りに機能することを確実にするための、本番前のチェックと考えることができ、同時に、実装上のエラーから保護します。このテストは、開発チームが予期していなかったエッジケース（セキュリティバグになる）を発見するのに役立ちます。

このプロセスは、市場に導入する前にアプリケーションの堅牢性を確保することを目的とする企業にとって不可欠です。

効果的なセキュリティテストは、アプリの意図された目的と扱うデータの性質を包括的に理解することから始まります。静的解析（SAST）、動的解析（DAST）、対話型解析（IAST）の組み合わせを採用することで、組織は、単独のテスト手法では容易に特定できない脆弱性を明らかにする全体的な評価を得ることができます。

HCL AppScanは、ソフトウェア開発ライフサイクルの各段階において、アプリケーションの脆弱性をピンポイントで特定し、迅速な修復を可能にする一連の技術により、開発者、DevOps、セキュリティチームを支援します。さらに、クラス最高のテストツール、一元化された可視性と監視機能、オンプレミス、オンクラウド、クラウドネイティブを含む複数の導入オプションによりアプリケーションを保護することで、企業と顧客の保護を支援します。

HCL AppScan のアプリケーション・セキュリティ・テスト・ソリューション・ポートフォリオは、SAST分野のトップベンダーの中で、強力なパフォーマーとして評価されています。この評価は、今日の速いペースのデジタル+エコノミーにおいて、開発者に力を与え、コードセキュリティを強化するトップレベルのソリューションを提供することへの揺るぎないコミットメントを強調するものです。

HCLSoftwareの強力なパフォーマーとしてのランキングの詳細については、最近発表された Static Applications Security Testing (SAST) の Forrester Wave をご覧ください。

2024/2/19 - 読み終える時間: 2 分

Secure Application Code Against Vulnerabilities Faster with HCL AppScan Fix Groups の翻訳版です。

HCL AppScan Fix Groups でアプリケーションコードをより早く脆弱性から守る

2023/12/20

著者: Itay Levin / Design Lead for HCL AppScan

静的アプリケーション・セキュリティ・テスト（SAST）は、ウェブ・アプリケーションとAPIのソースコードをスキャンし、セキュリティ・リスクになり得る脆弱性を探します。この種のコードスキャンに関する根強い課題の1つは、これらのツールが膨大な数の発見をもたらす可能性があることです。これらの発見のうち、どれが修正が必要な重大な脆弱性であるかを見極めるのは、困難で時間のかかる作業になりかねません。

HCL AppScanには、スキャン結果の数を劇的に減らし（数千件から数百件に）、誤検出を実質的に排除する内蔵AIをはじめ、こうした課題を解決するためのソリューションが多数用意されています。

HCLSoftwareのクラウドおよびクラウドネイティブプラットフォーム（HCL AppScan on CloudおよびHCL AppScan 360°）の両方にFix Groupsが追加されたことで、トリアージと修復の時間が大幅に改善されました。

HCL AppScan がサポートする 3 種類の修正グループ

• 共通修正ポイント - この修正グループは、.NetやJavaのようなコンパイル済みの言語で、静的スキャナがデータ・フロー解析を実行してトレース結果を生成する場合に適用されます。この修正グループは、トレースが共通のノードを介して流れる同じ脆弱性タイプのすべての発見を組み合わせます。その共通ノードの問題を修正することで、この修正グループ内のすべての発見が解決される。

• 共通 API - 共通APIグループは、プロジェクト全体で使用されている特定のAPIに関連するすべての発見を集める。これらの問題は、別のAPIを使用するか、元のAPIの使用方法を変更することで、グループとしてまとめて解決できます。

• 共通オープンソース - オープンソースグループは、脆弱性のあるライブラリに関連するすべての問題を表示します。ライブラリの脆弱性が特定されると、関連するすべての問題は、ライブラリを更新するか変更することで、グループとして修正できます。

異なる修正グループの使用方法

修正グループのメインビュー

新しい「修正グループ」ビューには、優先順位付けプロセスにおいて修正グループの作業がどの程度効率的になるかを理解するための 2 つの KPI があります。実行される修復タスクの総数、およびそれらのタスクに関連するグループで見つかった問題の総数です。

新しい修正グループのデザインでは、UIが改善され、グリッドが表示されるようになりました。列は、修正グループのタイプ、重大度、ポリシーなどで並べ替えられます。

このレビューで行を選択すると、修正グループの詳細ドロワーが開き、複数のコメントを追加したり、各修正グループの監査を表示したりできます。

修正グループの課題

修正グループの課題ビューが更新され、各グループに関連する課題を確認できるようになりました。詳細は画面上部に表示され、コメントを表示または追加できます。修正グループのissueの表は、各修正グループのタイプに関連する列で再編成されました。例えば、共通修正ポイントではソース、シンク、ファイル名が、共通APIではコンテキストとファイル名が、オープンソースCVEでは場所が表示されます。

すでにHCL AppScan on CloudまたはHCL AppScan 360°を静的解析に使用している場合は、Fix Groupsを試してみてください。

HCL AppScan SASTをまだご利用でない場合は、無料トライアルをご利用いただき、この強力なテクノロジーがお客様のアプリケーション・セキュリティをどのように変革できるかをご確認ください。

• HCL AppScan on Cloud の詳細
• HCL AppScan 360°の詳細

2024/2/19 - 読み終える時間: 8 分

新しい試みのトライアルとして、1週間分のサポート技術情報更新のインデックスを作成してみました。しばらく継続してみます。新規追加と内容更新したものが含まれています。システム上、軽微な修正であってもリストに含まれてしまいます。予めご了解ください。

• KB0110731 (BigFix Compliance) openssl s_client が証明書チェーン全体を返さない
• KB0110782 (BigFix Inventory) 「ソフトウェアスキャンの開始」が終了コード1で失敗する
• KB0110786 (BigFix Inventory) データのインポートがDB RuntimeErrorの 「expected epoch」エラーで失敗しました。
• KB0110784 (BigFix IVR) WebUI IVRページで脆弱性の説明が空になっている
• KB0076383 (BigFix Platform) データ収集: BigFix FillDB
• KB0110735 (BigFix Platform) エラー「HTTP Error 60: SSL peer certificate」でダウンロードが失敗する
• KB0110787 (BigFix Platform) WebUIの自己署名証明書の使用
• KB0110812 (BigFix Platform) クライアントが指定したリレーに接続しない
• KB0110705 (Test Performance) Windows マシン上の HCL DevOps Performance による Citrix テストの記録が失敗
• KB0110572 (Test Server) HCL DevOps Test Hubの問題を解決するために収集が必要な情報について
• KB0110693 (Test UI) Functional Test で Apache POI jar ファイルを利用して外部 Excel ファイルからデータを読み取る方法
• KB0110463 (Test UI) トラブルシューティングための情報収集: HCL DevOps Test UI
• KB0110379 (Test UI) テスト UI でJavaコードを使用してランタイムの環境変数を設定する方法について
• KB0110699 (Test UI) Cucumber と HCL OneTest UI の統合でステップ定義ファイルでデータのパラメーター化を実行する方法
• KB0110733 (Test UI) HCL DevOps Test UIがLoggerとfeignクライアントに関連つけられたFTスクリプトの実行中にjava.lang.UnsupportedClassVersionErrorが発生する問題について
• KB0108481 (Volt MX) HCL Volt MX を使用したネイティブデスクトップアプリケーションの開発
• KB0108527 (Volt MX) iOS アプリのライブプレビュー画面に表示される青いバナーについて
• KB0110667 (Volt MX) Volt Iris のアップグレード後に RichText ウィジェットのテキストが正しく表示されない
• KB0110165 (Volt MX) オフラインオブジェクトの [Enable Upload Cache] 設定時のエラー
• KB0110781 (Volt MX) Volt Iris 9.2 で Android 用公開形式の AAB ファイルを生成する方法
• KB0110807 (Volt MX) URL に "#" が含まれていると iOS で openURL API が失敗する
• KB0104173 (Domino) HCL Notes 12.0.2 のメールテンプレートの修正について
• KB0110492 (Domino) コンソールログに表示された"Amgr: Error Adjusting Number of Executives. Executive 'X' Still Stopping...'Y' Still Starting." のエラーの意味について
• KB0105492 (Domino) 接続文書がない Domino サーバーへ移行後、データベースユーザーをリダイレクトする方法
• KB0107225 (Domino) 「信頼できるサーバー」にサーバー名を登録していない場合でも、スケジュールエージェントでリモートアクセスできてしまう
• KB0098877 (Domino) HCL Digital Solutions Academy ホワイトペーパー: Okta を使用した SAML 認証の HCL Domino の構成
• KB0110433 (Domino) パスワードポリシーの設定がNotesクライアントに適用されない
• KB0109522 (Domino) ユーザーに対して複数のインターネットメールアドレスを有効にするための設定手順について
• KB0110696 (Domino) Domino 14.0 : JSON ファイルでの入力パラメータの準備 (ID ボールト設定用の JSON パラメータ)
• KB0090631 (Domino) 高速レプリカで一部の複製の設定が複製されない
• KB0110738 (Domino) Domino Administrator の「ファイル」タブの「使用領域」列について
• KB0110747 (Domino) UNIX で Domino サーバーをクリーン再インストールする方法
• KB0095198 (Domino) 「Notes ID ファイルのパスワードをチェック」とパスワード有効期限ポリシー設定がユーザーに与える影響
• KB0093235 (Domino) 「文書が無効またはありません」エラーでID ボールトの整合性チェックが失敗する
• KB0102556 (Domino Designer) XPages: 複数列カテゴリでフィルタして次の列がカテゴリ列の場合に文書が取得されない
• KB0110444 (Domino Designer) XPages の SessionID cookie に Secure 属性を設定する
• KB0101596 (Domino Leap) HCL Domino Leap 1.1.x リリース情報
• KB0110750 (Domino Leap) app.openForm 使用時に「ReferenceError: pUrl is not defined」エラーが発生する
• KB0099100 (End of Support Products) HCL Notes/Domino v9.0.x および v10.0.x の営業活動終了 (2022年12月1日) とサポート終了 (2024年6月1日) について
• KB0110529 (iNotes) Domino 12.0.2 FP2 において iNotes のプリファレンスからインターネットパスワード変更を行うと失敗する
• KB0090643 (iNotes) iNotes で検索条件に一致するメールが表示されない場合がある
• KB0110448 (Nomad) 自己署名証明書を使用した HCL Nomad サーバーへの HCL Nomad Android からのアクセスについて
• KB0109988 (Nomad) HCL Nomad Web (HCL Nomad for web browsers) のサポートブラウザについて
• KB0096394 (Notes) mac 版 HCL Notes 12.x が VPN 経由で Domino サーバーに接続できない
• KB0110666 (Notes) Domino Restyle でナビゲーターをスタイル変更の対象にするとエラーが発生する
• KB0110488 (Notes) eml ファイルを開こうとすると、「コマンドライン引数の処理エラー。」が表示される
• KB0110698 (Notes) Notes 外部からテキストをリッチテキストフィールドにコピーペーストすると応答なしの状態になる
• KB0110785 (Notes) メールデータベースで「コピー元」を誤設定して作成したフォルダの設計変更について
• KB0102493 (Notes) バッチファイルを利用し Notes クライアントと Fix Pack をサイレントモードで一度にインストールする方法

2024/2/14 - 読み終える時間: ~1 分

サービスプロバイダーとして HCL Domino を、ID プロバイダ (IdP) として OKTA を使用して、SAML 連携ログインを設定する方法についての資料を公開しました。

• HCL Digital Solutions Academy ホワイトペーパー: Okta を使用した SAML 認証の HCL Domino の構成

HCL Notes/Domino アップグレードサイトでは他にもホワイトペーパーを公開しています。

2024/2/13 - 読み終える時間: ~1 分

HCL Volt MX Go は Domino アプリを HCL Volt MX プラットフォームと連携させる製品です。開発者向けチュートリアルを公開しました。

サンプルの Domino アプリを Volt MX 環境にインポートし、モバイルアプリ向けに最適化する基本を学べます。

無償で利用可能な HCL のクラウド環境 (HCL SoFy) を使用できますので、費用と手間がかかりません (開発環境をダウンロードしてお手元のPC/Macにインストールが必要)。ゼロからのセットアップを含めて 3-4時間程度で完了できます。是非お試しください。

• HCL Volt MX Go: HCL Volt MX Go を使用した Domino アプリのモダナイズ (開発者向け、VMXGo–Dev-100、無償)

2024/2/11 - 読み終える時間: 6 分

新しい試みのトライアルとして、1週間分のサポート技術情報更新のインデックスを作成してみました。しばらく継続してみます。新規追加と内容更新したものが含まれています。システム上、軽微な修正であってもリストに含まれてしまいます。予めご了解ください。

• KB0110447 (BigFix Platform) アクションが「サイト・コンテキストが無効です。この Fixlet サイトはもう存在していない可能性があります。」エラーで失敗します。
• KB0107543 (Model RealTime) コンパイラのバージョンが異なる場合、「setup.pl 」は応答しません。
• KB0107540 (Model RealTime) Eclipseのログにてライセンスのデバッグ ログを有効にする方法
• KB0110451 (Model RealTime) インストール時に「一部の依存関係でエラーが発生しました」というエラーが表示される
• KB0110455 (Model RealTime) Rational Rose RealTime パス マップのインポートについて
• KB0110453 (Model RealTime) Makefile の「ユーザーライブラリ」項目に余分な引用の引用符号が含まれています。
• KB0110456 (Model RealTime) 生成されたメイクファイルへ許可されないユーザー定義パスについて
• KB0102528 (Volt MX) iOS/Android デバイスで保護ビルドアプリがクラッシュする
• KB0110435 (Volt MX) 「Invalid license token has been sent in request」エラーで Volt Foundry のアクティベーションに失敗する
• KB0110339 (Domino) Domino 14.0 : JSON ファイルでの入力パラメータの準備 (ワンタッチセットアップ設定用 JSON パラメータ)
• KB0110381 (Domino) AdminCentral から登録したユーザーに明示的ポリシーが適用されない
• KB0104821 (Domino) LargeSummary が有効化されたデータベースでも「フィールドが大きすぎる(32K)」エラーが発生する
• KB0100424 (Domino) Domino 12.0.1 環境においても Microsoft Outlook より送信された Teams 会議招集メールの「説明」に記載されたダブルバイト文字が文字化けする
• KB0110419 (Domino) Windows OS の停止時に OS のシャットダウン前に Domino サーバーを停止する方法
• KB0100572 (Domino) Notes/Domino の日本語版ヘルプ
• KB0076065 (Domino) Web サーバーのセキュリティ監査で脆弱性が指摘された場合の対応について
• KB0109522 (Domino) ユーザーに対して複数のインターネットメールアドレスを有効にするための設定手順について
• KB0095568 (Domino) Domino 12.0.1 新機能: 迷惑メール対策に有効なインターネットメールの DKIM 署名
• KB0110481 (Domino) HCL Notes 及び HCL Domino の FixPack がエラーでインストールできない
• KB0110498 (Domino) 「スタイルの変更」機能を使って見た目を変更したデータベースの設計をコピーすると、コピー元のビューが参照される
• KB0110308 (Domino) Domino License Analysis Utility Tool (DLAU) の利用方法
• KB0110530 (Domino) Domino 14.0 : JSON ファイルでの入力パラメータの準備 (サーバーセットアップ用のJSONパラメータ)
• KB0110444 (Domino Designer) XPages の SessionID cookie に Secure 属性を設定する
• KB0093883 (Domino Designer) registerNewUser でメールファイルのレプリカ作成に失敗しても true が返る
• KB0102556 (Domino Designer) XPages: 複数列カテゴリでフィルタして次の列がカテゴリ列の場合に文書が取得されない
• KB0104039 (Domino Leap) Domino Leap: JavaScript 構文の検査で有効時の日本語メッセージが正しくない
• KB0107756 (Domino Leap) 管理者権限のないユーザーがサービスを呼び出すと java.lang.NullPointerException エラーが発生する
• KB0110529 (iNotes) Domino 12.0.2 FP2 において iNotes のプリファレンスからインターネットパスワード変更を行うと失敗する
• KB0110377 (Nomad) Domino で certstore データベースを使用せずに、Nomad サーバーで TLS 認証情報を使用する方法
• KB0110448 (Nomad) 自己署名証明書を使用した HCL Nomad サーバーへの HCL Nomad Android からのアクセスについて
• KB0102227 (Notes) Windows 11 更新プログラムによる Notes および iNotes への影響
• KB0105207 (Notes) 右ダブルクリックで HTML メッセージを閉じることができない
• KB0101837 (Notes) Windows 上でエクスプローラーからドラッグアンドドロップでメール本文に添付できない場合がある
• KB0106907 (Notes) 宛先にインターネットアドレスを含むメッセージを送信することができない
• KB0109962 (Notes) 宛先の選択ダイアログでウィンドウサイズによってエラーが発生する
• KB0026976 (Notes) プログラムを使用して notes.ini ファイルにパラメータを追加する方法
• KB0102551 (Notes) Notes をマルチユーザーインストールすると ProgramData ディレクトリに HCL フォルダと IBM フォルダが作成される
• KB0025834 (Sametime) Sametime サーバーに接続しているクライアントの種類を特定する方法
• KB0110482 (Sametime) Notes 同梱 Sametime クライアントでチャットウィンドウに複数の絵文字を入力することができない

2024/2/11 - 読み終える時間: ~1 分

HCL Volt MX はモバイル、Web、OS のネイティブアプリをすべて一つのコードから作成できる極めて合理的で生産性が高い開発ツールです。その特長をコンパクトにまとめたブローシャを公開しました。

• Building Innnovative Apps (革新的なアプリの作成) のブローシャ - HCL Volt MX - HCLSoftware

2024/2/8 - 読み終える時間: ~1 分

HCL BigFix Verified by Oracle GLAS for Software Asset Management の翻訳版です。

Oracle GLAS によるソフトウェア資産管理のための HCL BigFix の検証

2024年2月7日

著者: Aleksander Garstka / Product Manager 共著: Cyril Englert / Solution Architect

ソフトウェア資産管理(SAM)は、常に変化しています。このような環境において、HCL BigFix Inventoryは、ソフトウェアコンプライアンスのリーディングソリューションとしての地位を確立し、企業がソフトウェア資産を管理し、最適化できるよう支援しています。最近、HCL BigFix Inventoryは、Oracle Java SEの検証済みサードパーティ製ソフトウェア資産管理ツールとなり、SAM領域における信頼できる製品としてのHCL BigFix Inventoryが、オラクルの標準および要件との互換性とコンプライアンスが実証されました。詳細については、こちらをご覧ください。

オラクルの検証： 揺るぎないコミットメントの証

Oracle Java SEの重要性が高まっているため、HCL BigFix Inventoryは、オラクルのライセンシングフレームワークとの統合を保証するために、検証の旅に乗り出しました。この取り組みは、HCL BigFix Inventoryの10.0.15.0リリースという重要なマイルストーンに結実し、Oracle Global License Advisory Services（GLAS）からOracle Java SEの使用データ収集に関する検証を受けました。

これは、HCL BigFix Inventoryの使用状況データがオラクルに正式に認められ、オラクルの監査人が必要とする情報の収集や、正確なJava使用状況データが必要とされる場合に使用できることを意味します。この新たな認定は、包括的なSAMソリューションを組織に提供するというHCL BigFix Inventoryのコミットメントを反映しています。

HCL BigFix は強力な機能で組織を強化します

オラクルの認証取得は、HCL BigFix Inventoryの進化における重要なマイルストーンです。これは、ライセンスコンプライアンスの確保、ソフトウェア使用状況の分析によるコストの最適化、使用率の低いライセンスの特定による再生利用や再割り当てなど、HCL BigFixの機能を強調するものです。さらに、HCL BigFix Inventoryは、IT部門が「危険」と判断したソフトウェアを特定し、オプションでアンインストールすることで、組織のセキュリティを強化します。

オラクルとIBM ソフトウェア・コンプライアンスの道標

HCL BigFix Inventoryは現在、オラクルによって検証され、IBMによって認定されています。この開発により、HCL BigFix Inventoryはソフトウェアコンプライアンスのためのソリューションとなり、企業はITコストを削減しながら、ソフトウェアライセンシングの複雑さをナビゲートできるようになります。HCL BigFix Inventoryの包括的なソフトウェア使用データを提供する機能により、企業はライセンス契約のコンプライアンスを維持することができます。

HCL BigFix Inventoryの詳細についてはこちらをご覧ください。ソフトウェア資産管理担当者の方は、HCL BigFix for Software Asset Managementソリューションページで、HCL BigFix Inventory for SAMの使用に関する詳細をご覧ください。