2024/4/30 - 読み終える時間: ~1 分

Safeguarding the Digital Realm: The Rising Importance of Application Security Testing の翻訳版です。

デジタル領域を守る： 高まるアプリケーション・セキュリティ・テストの重要性

2024年4月23日

著者: Nabeel Jaitapker / Product Marketing Lead, HCLSoftware

前例のないデジタルの進歩が著しい時代において、機密データやデジタル資産の保護は最重要課題となっています。

世界的なセキュリティ侵害の急増は、堅牢なアプリケーション・セキュリティ・テストの重要な必要性を強調しています。DataHorizzon Research社の最新レポートでは、急成長するアプリケーションセキュリティテスト市場に光を当て、現在の状況と将来の軌道に関する洞察を提供しています。

市場ダイナミクス

アプリケーションセキュリティテスト市場は大幅な成長を遂げており、2022年の評価額は87億ドルに達します。予測では、2032年までに406億米ドルに達し、年平均成長率（CAGR）16.7％を示すなど、著しい急成長を示しています。この急成長は、様々な分野の機密情報を標的とした無数のサイバー攻撃によって特徴づけられる、脅威状況の激化によって促進されています。

推進力

この市場拡大を後押しする主な要因の1つは、セキュリティ侵害の頻度と巧妙さが増していることです。組織が増大するサイバー脅威に対処する中で、アプリケーション・セキュリティ・ソフトウェアの採用が重要な防御メカニズムとして浮上しています。さらに、人工知能（AI）と機械学習（ML）の統合がセキュリティ対策の有効性を高め、市場の成長を後押ししています。

手法と展開

アプリケーション・セキュリティ・テストは、静的、動的、対話的、モバイル・アプリケーション・セキュリティ・テストを含む多様な方法論を包含しています。各手法は、ソースコードの脆弱性の分析から、脅威に対するリアルタイムのアプリケーション応答の評価まで、明確な目的を果たします。さらに、一元化されたデータストレージと強化されたセキュリティプロトコルを提供するクラウドベースの展開が、好ましい選択肢として浮上しています。

セグメンテーションの洞察

市場細分化により、2022年にはウェブ・セキュリティがアプリケーションの展望を支配するという興味深い傾向が明らかになった。デジタル・トランザクションの普及とウェブ・アプリケーションのユビキタス化が、このセグメントの成長に拍車をかけています。地域別では、技術力、デジタル・セキュリティへの多額の投資、急成長する市場環境に支えられ、北米がトップランナーとして浮上しています。しかし、アジア太平洋地域は、デジタル・セキュリティへの出費と技術導入の増加に後押しされ、急成長を示しています。

業界情勢と主要企業

アプリケーション・セキュリティ・テスト市場を形成しているのは、HCL AppScan を提供する HCLSoftware を含めた有力企業です。注目すべき動きとしては、クラウドネイティブなアプリケーションセキュリティのビジネスリーダーとしての認知度や、セキュリティの脆弱性を効果的に特定して緩和するように設計された革新的なアプリケーションセキュリティテストツールなどが挙げられます。

アプリケーション・セキュリティの強化

結論として、アプリケーション・セキュリティ・テスト市場は、深刻化するサイバー脅威に対する重要な砦として浮上し、デジタル資産と機密情報を保護している。

企業は、デジタル化が進む複雑な状況を乗り切るため、アプリケーション・セキュリティの強化は譲れない課題となっている。技術の進歩と戦略的投資により、市場は飛躍的な成長を遂げ、悪意ある勢力からデジタル領域を強化する上で不可欠な役割を担っています。

HCL AppScan のような包括的なセキュリティ・プロバイダと提携し、リスク管理への統一的なアプローチを採用することで、企業はリソースの割り当てを最適化し、運用を合理化し、全体的なセキュリティ体制を強化できます。

2024/4/30 - 読み終える時間: ~1 分

Simplifying Application Security: The Imperative of Consolidation の翻訳版です。

アプリケーション・セキュリティの簡素化： 統合の必要性

2024年4月23日

著者: Nabeel Jaitapker / Product Marketing Lead, HCLSoftware

サイバー攻撃の脅威がかつてないほど大きくなっている今日のデジタル環境では、企業はアプリケーションのセキュリティ確保の複雑さに頭を悩ませています。

最近の調査によると、実に70％の組織が、バラバラのセキュリティ・テスト・ソリューションの網の目のように絡まっていることが明らかになりました。このような断片化は、リソースを浪費するだけでなく、非効率を生み、リスクレベルを高めます。

これに対し、賢明なビジネスリーダーは、アプリケーションセキュリティ戦略を合理化し、防御を強化するための戦略的必須事項として、ますます統合に目を向けるようになっています。

このような統合へのシフトを促す緊急性は、サイバー脅威の絶え間ない進化に起因しています。脅威の状況が変化し続ける中、企業はセキュリティ対策を最適化する必要に迫られています。しかし、異種のアプリケーション・セキュリティ・テスト（AST）ソリューションの急増は、この目標に対する大きな障害となっています。

複数のASTツールを維持することの影響は3つあります。

AppSec ROI の低下： 多数のセキュリティ・ツールの取得と保守は、運用コストを膨張させ、リソースを枯渇させます。さらに、これらのツールが冗長で重複しているため、重要な発見が抜け落ちる可能性が高くなり、セキュリティテストと是正の取り組みの有効性が損なわれます。

複雑性の増大： 複数のツールを導入すると開発サイクルに摩擦が生じ、進捗が妨げられ、チーム間でセキュリティ対策に一貫性がなくなります。努力の重複やポリシーのばらつきが複雑さをさらに悪化させ、リスクを効果的に評価し緩和する組織の能力を阻害します。

リスクの断片的な把握：多数のツールによって雪崩のように生成されるテスト結果は、リスクの断片的な把握を生み、セキュリティ脆弱性に優先順位を付けて効率的に対処することを困難にします。開発者は、冗長な調査結果や曖昧な改善ガイダンスと格闘することになり、時間とリソースの浪費につながります。

このような課題を踏まえ、アプリケーションセキュリティの取り組みを合理化し、リスク管理を強化するための説得力のあるソリューションとして、統合が浮上してきました。

ガートナー社の調査によると、サイバーセキュリティ環境の複雑化に対応するため、75％の組織がベンダーの統合を積極的に進めており、統合イニシアチブの機運が高まっていることが明らかになっています。これは、最近の「2023年アプリケーション・セキュリティ・テスト動向レポート」でまとめられた調査データとよく一致しています。調査対象者のうち、回答者の70％が統合の取り組みを進行中または計画中であると回答し、さらに15％がプロセスの完了時点に達していると回答しています。

しかし、一体何がこのような統合の動きを後押ししているのでしょうか。

第一に、企業はアプリケーション・セキュリティへの投資を最適化し、ROI を最大化する必要性を認識しています。セキュリティ・ツールを統合し、包括的なアプリケーション・セキュリティ・プロバイダーと提携することで、企業は冗長性を排除し、運用を合理化し、コスト効率を高めることができます。

第二に、統合によって、企業は複数のセキュリティ・ソリューションの管理に内在する複雑さを緩和することができます。ポリシー管理を一元化し、すべてのアプリケーションとチームでセキュリティ対策を標準化することで、一貫性、効率性、自動化が促進され、開発チームとセキュリティチームの負担が軽減されます。

最後に、統合によって、企業はリスク状況を一元的に把握できるようになり、十分な情報に基づく意思決定と優先順位付けされた改善努力が可能になります。多様なソースからのテスト結果を集約することで、企業はソフトウェアリスクを統一的に理解し、セキュリティ態勢を強化することができます。

このようなことを念頭に置きながら、企業はどのようにすれば統合への道を効果的に進むことができるでしょうか。

何よりもまず、企業は重要なセキュリティテストのニーズを特定し、これらの領域にわたって堅牢なソリューションを提供するベンダーを探さなければならなりません。さらに、選択したベンダーは、継続的なイノベーションへのコミットメントを示し、新たな脅威への対応力と新たなテクノロジーとの整合性を確保する必要があります。

さらに、組織の成長軌道と予算の制約に対応するためには、価格設定とライセンシングのオプションに柔軟性があることが不可欠です。さらに、ベンダーは、オープン性と相互運用性を示し、既存のセキュリティインフラストラクチャとのシームレスな統合を可能にし、包括的なリスク評価のためのテスト結果の集約を容易にする必要があります。

結論として、アプリケーションセキュリティの取り組みを簡素化し、進化するサイバー脅威に対する防御を強化しようとする組織にとって、統合は戦略的な必須事項です。

HCL AppScan のような包括的なセキュリティ・プロバイダと提携し、リスク管理に対する統一的なアプローチを採用することで、企業はリソースの割り当てを最適化し、業務を合理化し、全体的なセキュリティ体制を強化できます。

ますます複雑化し、危険にさらされるデジタル環境の中で、統合は効率性と回復力の光明となり、組織をより安全な未来へと導きます。

2024/3/29 - 読み終える時間: 3 分

HCL AppScan 10.5.0 Drives Customer Success の翻訳版です。

HCL AppScan 10.5.0 がお客様の成功を促進

2024年3月28日

Adam Cave / Product Marketing Manager, HCL AppScan

お客様が Digital+ エコノミーで成功するために、HCLSoftware はアプリケーションセキュリティテスティングソフトウェアを常に新しい能力と機能でアップデートしています。

最新のリリースは、オンプレミスの3つのアプリケーション・セキュリティ・テスト・ソリューションである HCL AppScan Standard、Enterprise、Source のバージョン10.5.0 です。この新バージョンのアップデートの決定には、お客様からのフィードバックやご要望が大きな役割を果たしました。革新的な機能の多くは、ユーザーエクスペリエンスを向上させ、修復までの時間を短縮するように設計されています。

新しいテストポリシーとエクスポート機能

HCL AppScan Standard と HCL AppScan Enterprise は、OWASP Top 10 for API Security Risks（2023年）と OWASP Top 10（2021年）の両方の最新バージョンに対応する新しいテストポリシーを追加しました。これまでは、より大きなテストセットから OWASP ポリシーの結果をフィルタリングすることができました。バージョン 10.5.0 では、組織はこれらのポリシーに限定してテスト・パラメータを設定することができ、これらの結果のみが必要な場合は、総テスト時間を短縮できます。

OWASP リストはテスト基準として広く使用されており、この新機能は顧客からのフィードバックを直接反映したものです。

また、お客様のご要望に基づき、HCL AppScan Standardは、テストが有効かどうかに関係なく、テストポリシーからテストの完全なリストをCSVファイルに簡単にエクスポートする機能を追加しました。このレポート機能により、チームがプラットフォーム間で簡単に情報を共有できるようになり、監視と説明責任のレイヤーがさらに増えます。

リクエスト/レスポンスの詳細をスキャンすることで、より迅速な修復をサポート

HCL AppScan Standardのダッシュボードで問題を表示する際、高度な検索機能があり、問題のタイプ、重大度、ステータス、URL、修正推奨度などの要素をキーワードで検索することで、データを簡単にナビゲートできます。

バージョン10.5.0では、Request/Response内の特定の文字列を検索して、issueがどのようにトリガーされたかをさらに詳しく調べることができるようになりました。このきめ細かなレベルの分析により、開発者はトリアージ時の結果の優先順位付けや、修正が必要な最も重大な問題の把握に役立つ情報を得られます。

業界/規制標準のコンプライアンスレポートの更新

• OWASP API Security Top 10, 2023
• [US] DISA's Application Security and Development STIG. V5R3
• CWE Top 25 Most Dangerous Software Weaknesses 2023
• The Payment Card Industry Data Security Standard (PCI DSS) - V4

読み取り専用権限による制御の強化

HCL AppScan Enterpriseバージョン10.5.0では、第一レベルのサポートユーザーに読み取り専用権限が追加されました。この権限により、ユーザーは以下のことが可能になります：

• 組織全体のスキャンとログの表示
• 読み取り専用ユーザーが新しいスキャンの詳細にアクセス可能

典型的な DevOps 環境では、パイプライン全体で実行されるすべてのセキュリティテストの初期デバッグを担当するチームがある。多くの場合、これらのユーザーは、合格／不合格のスキャンのみを調べ、その結果を各チームに報告することを任務とする。読み取り専用パーミッションは、ユーザーがスキャンを追加、削除、変更することを防止するため、発見とオーケストレーションの間の作業を明確に分割することによって、組織により多くの制御を与える。

IASTトータルによるコールスタック

IAST（Interactive Application Security Testing）サブスクリプションにより、HCL AppScan Enterpriseバージョン10.5.0はIAST Totalを活用して検出された脆弱性のコールスタックを提供できるようになりました。この情報により、アプリケーション・コンポーネント、パラメータ、エンドポイントなどに対する深い洞察が可能になり、正確な脆弱性の場所を検出することで、より迅速なトリアージと修復に役立ちます。

改善された履歴データ管理

HCL AppScan Enterpriseは、HCL AppScan Sourceからインポートしたスキャンの履歴データも保存できるようになりました。この機能により、AppScan Sourceのユーザーは、HCL AppScan Sourceから問題をインポートした後、HCL AppScan Enterprise内で再スキャンの履歴を見つけられます。履歴データを取得するために、10.5.0では2つの新しい API が導入されました。

• historicdata/issues
• historicdata/metadata

注：この技術革新以前は、再スキャンシナリオ/再インポートで新しいデータがインポートされると、古いデータは上書きされていました。この新機能はデフォルトでは有効になっておらず、サポート・チームが設定する必要があります。

フォルダスキャン、Visual Studio 2022 のサポート

分析クライアント用 HCL AppScan Source の最新バージョンは、ユーザーインターフェイスを通して直接フォルダのスキャンをサポートし（以前はCLIでのみ利用可能）、.PAF/.PPF設定ファイルを作成する必要なく実行できるようになりました。フォルダーのスキャンでは、HCL AppScan Sourceがサポートするすべての言語が考慮され、フォルダー内の関連するすべてのサブフォルダーとファイルがスキャンされます。この新しいスキャンオプションは、ダッシュボードのエクスプローラビューのノードからアクセスできます。

HCL AppScan Sourceのバージョン10.5.Oには、Visual Studio 2022用のプラグインも更新されています。Visual Studioは、ウェブサイト、ウェブアプリ、ウェブサービス、モバイルアプリの開発に使用されるMicrosoftの一般的な統合開発環境（IDE）です。

HCL AppScan Sourceはまた、カスケーディング・スタイル・シート（CSS）をスキャンするための言語サポート、OWASP Top 10 for API Security Risks（APIセキュリティ・リスクに関するOWASPトップ10）のポリシー・サポート（2023年）、および以下を含む多数のファイル拡張子の拡張サポートを追加しました：

• IaC：.conf、.curl、.ini、.properties、tf.json
• RPG: .rpgl、.sqlrpgle
• VB.NET: .vbs

バージョン10.5.0のすべてのアップデートは、継続的な技術革新の推進と、当社製品の有意義な改善によってすべてのお客様からのフィードバックに応えるというパートナーシップ精神の両方の結果です。その結果、ユーザーエクスペリエンスが向上し、セキュリティ範囲が広がり、修復時間が短縮されました。

オンプレミスのアプリケーション・セキュリティ・ソリューションや、HCLSoftwareの主力クラウド製品であるHCL AppScan on Cloud（無料トライアルあり）、クラウドネイティブ製品であるHCL AppScan 360の詳細については、HCL AppScan のオンラインサイトをご覧ください。

2024/3/28 - 読み終える時間: 2 分

New Pay-Per-Scan Model Launched for AppSec Testing の翻訳版です。

アプリケーション・セキュリティ・テストに新しい従量課金モデルが登場

2024年3月27日

Cristina Suchland / Integrated Marketing Manager, Secure DevOps

ソフトウェア開発のクラウド化が進む中、企業は開発パイプラインに簡単に統合できるクラウドベースのアプリケーション・セキュリティ・テストを求めています。HCL AppScan on Cloudは、この種のセキュリティ・テストに最適なSaaSソリューションです。しかし今回、新しいオンライン購入オプションの開始により、このオンライン体験をさらに拡張したことを発表できることを嬉しく思います。

HCL AppScan Marketplaceは、顧客がアプリケーション・セキュリティ・テストのスキャンをオンラインで簡単に購入できる、新しいデジタル従量課金プラットフォームです。購入が完了すると、HCL AppScan の動的解析（DAST）、静的解析（SAST）、ソフトウェア構成解析（SCA）ツールのいずれかを使用して、修正する必要がある重大な脆弱性について、アプリケーションのスキャンを迅速に開始できます。

必要な理由

アジャイルソフトウェア開発は、その定義上、データセキュリティ、顧客の習慣、従業員の作業形態、コンプライアンス規制など、刻々と変化するニーズに迅速に対応しなければならない。これは、企業がどのようなレベルのアプリケーション・セキュリティ・テストを導入していても、さまざまな開発チーム、DevOps、セキュリティ・チームが、新しいコードを保護したり、迅速なリリースの前にコンプライアンスを取得したりするために、すぐに追加のテストを行う必要があることを意味します。HCL AppScan Marketplaceは、購入プロセスを自動化することでこれを可能にし、できるだけ早くスキャンを実行できるようにします。

仕組み

わずか3つの簡単なステップで、調達のスピードと開発の俊敏性を一致させることができます。ご確認ください！

• 最低5回のスキャンを購入し、HCL AppScan on Cloudの1年間サブスクリプションを受け取ります。
• SaaSサブスクリプションを有効にして、HCLSoftwareの高速で正確なDAST、SAST、SCAテクノロジーによるアプリケーションのスキャンを開始してください。
• プラットフォーム、調査結果、レポートへのアクセスは、サブスクリプション終了後60日間継続されます。さらにスキャンを購入すれば、いつでもサブスクリプションを延長できます。

利点

HCL AppScan Marketplaceでは、利用した分だけお支払いいただくため、必要なスキャンに見合った支出を行うことができます。DAST、SAST、およびSCAのスキャン・オプションが提供され、一元化されたダッシュボードでスキャン機能を提供し、実用的なレポートと豊富なAPIセットへのアクセスを提供し、オープンソースのAppScan自動化フレームワークでIDEまたはCI/CDパイプラインへの統合をカスタマイズできます。

お試しください！

HCL AppScan Marketplace で利用可能な製品を活用することで、ユーザーはセキュリティ態勢を強化し、リスクを低減し、ソフトウェア・アプリケーションの完全性と回復力を確保することができます。詳細とスキャンの購入については、HCLSoftware の Web サイトをご覧ください！

サイドバー - テクノロジー

• DAST（ダイナミック・アプリケーション・セキュリティ・テスト） ウェブアプリケーションをクロールして潜在的な悪用の経路をマッピングし、ウェブアプリケーションでそれらの経路に対するテストを実行することによって、セキュリティの脆弱性を特定します。

• SAST（静的アプリケーション・セキュリティ・テスト） アプリケーションのソースコードとデータフローを分析し、セキュリティ脆弱性を示すコーディングと設計の欠陥について調べます。

• SCA（ソフトウェア構成分析） ファイル・ハッシュやバイナリなど、複数のソースからの情報を分析することで、コードで使用されているオープンソースのライブラリやコンポーネントを見つけます。

2024/3/27 - 読み終える時間: 3 分

Migrate to HCL AppScan 10! Enhanced Security for You の翻訳版です。

HCL AppScan 10 への移行！強化されたセキュリティ

2024年3月26日

Ayan Som / Senior Product Manager, HCL AppScan

今日の企業は、常に新しく進化する脅威の嵐に直面しており、最新のアプリケーション・セキュリティの実践の必要性がこれまで以上に重要になっています。サイバーセキュリティのダイナミックな状況において、自己満足は本当に危険です。コンプライアンス義務を果たすために定期的なスキャンを実施するだけでは、悪意のある行為者の常に変化する手口から身を守るにはもはや十分ではありません。

これが、HCL AppScanが2020年に10.0.xをリリースした理由です。リリース以来、10.0.xは複数のバージョンリリースを経て進化を遂げてきましたが、その都度、アプリケーションセキュリティへのアプローチにおいて用心深く積極的であり続けようとするお客様のニーズを反映してきました。

HCLSoftwareの大切なお客様や将来のお客様が、法規制の枠をはるかに超えた堅牢なアプリケーション・セキュリティへの道を歩むことを確実にするため、HCLSoftwareはHCL AppScanオンプレミス製品（HCL AppScan Enterprise、HCL AppScan Source、HCL AppScan Standard）の9.0.xの市場終了／サポート終了を2025年2月28日にお知らせします。AppScan 9.0.xは2013年から市場に投入されており、最新のアップデートは2019年に導入されました。その他のリリース情報については、HCLSoftware製品ライフサイクルの Web サイトをご覧ください。

AppScan V10.xへの移行のメリット

4年の経験を持つHCL AppScan 10.0.xは、100以上のセキュリティアップデートを備えており、組織のセキュリティ体制を強化します。いくつかの機能は以下の通りです。

HCL AppScan Standard/ HCL AppScan Enterprise

• 機械学習によるカバー率の向上
• サードパーティの脆弱性コンポーネントの検出
• アクションベースのWebクローラーにより、メモリ消費量が改善され、カバレッジが向上
• マルチステップ操作の改善
• IAST Totalの導入。IAST サブスクリプションにより、DAST スキャンの精度と効率が向上
• 100以上のセキュリティルールの更新

HCL AppScan Srouce

• 10以上の言語とフレームワークをサポート
• 秘密スキャン

すべて

• CVSS 3.1スコアリング
• CVSS 2.0 - CVSS 3.1移行

このリリースの最新の製品機能と機能強化をご確認ください：

• HCL AppScan Enterprise
• HCL AppScan Standard
• HCL AppScan Souce

10.0.x移行で提供される HCL AppScan の利点の詳細をご覧ください。

次に取るべきステップ

HCL AppScan 9.0.xをお使いのすべてのお客様には、2025年2月28日までにHCL AppScan 10.0.xに移行することをお勧めします。この期日を過ぎると、サポートは提供されません。

移行はお客様ご自身で開始できます。各HCL AppScan製品の以下のリンクが参考になります。

• HCL AppScan Enterprise https://help.hcltechsw.com/appscan/Enterprise/10.4.0/topics/c_node_installing.html
• HCL AppScan Source https://help.hcltechsw.com/appscan/Source/10.4.0/topics/c_node_installing.html
• HCL AppScan Standard https://help.hcltechsw.com/appscan/Standard/10.4.0/t_InstallingAppScan001.html

ヘルプが必要な場合は、HCL AppScanサポートがスムーズな移行プロセスを促進する準備ができています。ServiceNowでケースを提起していただければ、サポートがご連絡いたします。

2024/3/26 - 読み終える時間: 3 分

An Enhanced Experience Is the Cornerstone of the New HCL AppScan Go! の翻訳版です。

強化されたエクスペリエンスが新しい HCL AppScan Go の中核です

2024年3月19日

著者: Shuning Wang / User Experience Designer (at HCL AppScan)

セキュアなアプリケーション開発に関して、HCLSoftwareはユーザーエクスペリエンスを最優先する実績のあるリーダーであり続けています。HCL AppScan Go！のバージョン2.0では、新しいユーザーフロー、更新されたユーザーインターフェース、追加された機能が特徴で、この新しいリリースは、ユーザーがソフトウェアを安全にするために必要なアプリケーションセキュリティスキャンを簡単に設定できるようにします。

HCL AppScan Go！はクロスプラットフォーム（Windows、macOS、Linux）をサポートし、最新バージョンではスキャンの作成とHCL AppScan on Cloudへのアップロードの両方にスムーズで便利なプロセスを提供します。

HCL AppScan Go！は、CLI（コマンドラインインターフェイス）を使用する場合と比較して、対象プロジェクトを視覚的に整理されたプレゼンテーションで表示するテーブル内にファイルを簡単に含めたり除外したりすることができます。ユーザーは簡単にIRXファイル、設定ファイルを生成し、SAST（静的アプリケーション・セキュリティ・テスト）スキャンを作成し、AppScan on Cloud でSAST分析を行うことができます。

HCL AppScan Go! v2.0の新機能の概要

• レスポンシブで洗練されたユーザーインターフェースと更新されたユーザーフロー
• スキャン対象の選択を合理化
• SAST問題のみやシークレットスキャンなど、複数のスキャンタイプをサポート

それでは、HCL AppScan Go! v2.0の新機能の詳細に飛び込んでみましょう。

レスポンシブで洗練されたユーザーインターフェースと新しいユーザーフロー

スタート画面では、今すぐスキャンを実行、アーカイブの作成（IRX形式）、スキャン自動化のための設定ファイルの作成の3つのオプションがあります。

• スキャンの実行では、ファイルを選択し、スキャンを設定し、SAST分析のためにHCL AppScan on Cloudに直接送信できるようになりました。

• アーカイブの作成（IRX形式）により、オフラインまたはセキュアな環境で作業するユーザーは、フォルダとファイルを選択してIRXファイルを生成できます。IRX ファイルは、フォルダ、ファイル、コードなど、ユーザーが選択したプロジェクト情報を保護する暗号化されたファイルです。IRXファイルを生成した後、ユーザーはIRXファイルをHCL AppScan on Cloudにアップロードして、自分の都合に合わせてSASTスキャンを行うことができます。

• スキャン自動化のための設定ファイル作成は、ユーザーが設定ファイルを生成し、スキャンを自動化するためのプラグインと関連付けるためのものです。構成ファイルには、ユーザーのニーズに合わせてスキャンを調整するための設定や構成が含まれています。設定ファイルに特定のファイルやパスを含めたり除外したりすることで、スキャンをさらに細かく設定できる。

スキャン対象の選択を合理化

HCL AppScan Go！2.0では、テーブルインターフェースのデザインが一新され、ユーザーが必要なフォルダやファイルを簡単に見つけられるように、ディレクトリ構造でデータが表示されます。この新しい形式により、ユーザーはファイルやフォルダーに何を含め、何を除外するかを簡単に表示できます。

包含と除外の範囲を絞り込むために、言語のフィルタを追加しました。

複数のスキャンタイプのサポート

ユーザーは、SAST問題、SCA*（オープンソース/サードパーティ）問題、およびパスワード、クレジットカード番号、社会保障番号（SSN）などのハードコードされた秘密のスキャンを選択できます。

*SCAはSASTとは別ライセンス

今すぐ始めてみる

HCL AppScan on Cloud のプラグインページで HCL AppScan Go! をダウンロードしてください。構成に関する詳細は製品ドキュメントを参照してください。

まだHCL AppScan on Cloudのユーザーではありませんか？無料トライアルに登録して、業界をリードするアプリケーション・セキュリティ・テスト・プラットフォームを実際に体験してください。

2024/3/4 - 読み終える時間: ~1 分

HCL AppScan はアプリケーションの脆弱性をソースコードからビルドしたアプリまで包括的に検出できる製品で、目的や実行場所に応じて複数のエディションがリリースされています。お客様のニーズに応じた製品が一目でわかる一覧を HCL AppScan の製品ページに掲載しました。

https://www.hcljapan.co.jp/software/products/appscan/

2024/2/27 - 読み終える時間: ~1 分

From Risks to Remediation: Building Secure Apps with API Security の翻訳版です。

リスクから修復へ： API セキュリティで安全なアプリを構築する

2024年2月26日

著者: Cristina Suchland / Integrated Marketing Manager, Secure DevOps

デジタルトランスフォーメーションの時代には、世界中の人々や組織が、クリックやスワイプでほとんど瞬時に、膨大な量の情報を手に入れることができます。このような状況を可能にしている、増え続けるウェブアプリケーションの背後にあるセキュリティ機能について、立ち止まって考えてみる価値があります。個人情報が漏れたり、金銭が盗まれたり、サイバーウイルスの攻撃を受けてすべての情報が失われたりしたらどうなるでしょうか。

競争経済の中で優位性を維持するために必要なアプリケーションを開発する際、主要な組織はこのような疑問を抱いています。これらのアプリケーションの潜在的なリスクや脆弱性にはどのようなものがあるのでしょうか。また、システムが侵害されたときに、よりコストのかかる修正の必要性を最小限に抑えるために、開発チームはリリース前にそれらを早期に発見し、対処するにはどうすればよいのでしょうか。

APIセキュリティは、アプリケーション全体のセキュリティにおいて、急速に重要なツールになりつつあります。というのも、サイバー攻撃のますます多くの割合が、このインターフェースがオープンソースやサードパーティの幅広い統合とどのように相互作用するかに関連する脆弱性に焦点を当てているからです。

Forrester社の調査によると、外部からの攻撃による侵害の53%は、アプリケーションとアプリケーションレイヤーに起因しています (注1)。顧客向けアプリケーションにどのようなセキュリティ対策を取り入れているかを尋ねたところ、ほとんどの組織が、ソフトウェアに使用されているオープンソースのコンポーネントを特定し、それらのコンポーネントの既知の脆弱性を開発者に警告するソフトウェア構成分析（SCA）を挙げています。

SCAは、SAST（静的アプリケーション・セキュリティ・テスト）と並んで、既存の開発ライフサイクルに統合されつつあります。HCLSoftwareのHCL AppScan CTOであるColin Bell氏によると、APIセキュリティはソフトウェアサプライチェーンセキュリティの一部でもあり、IASTはSCAの一部も包含しながら、その役割を拡大しているといいます。サプライチェーンは、必ずしも製品の機能である必要はなく、むしろプロセスが必要です。

これらのツールを併用することで、開発者はより良いフィードバックを得ることができ、プロセスのさらに早い段階でコードベースの脆弱性をより多く発見することができます。これらのツールは、開発者により良いフィードバックを提供し、コードベースの脆弱性をより早期に発見することを可能にします。

開発ライフサイクルにおける効果的なトリアージと修復は、業界で話題となっています。自動修復は、ソフトウェア・エンジニアが脆弱性を発見するだけでなく、自動的に修正するための手作業を減らすための次の大きなステップとして、ますます注目されています。

これらはすべて、オープンソースやサードパーティのコンポーネントに関するAPIセキュリティと関連するセキュリティテストが、今やセキュリティ開発者にとっての優先事項であるという点を指摘するためです。開発者は、リリースに先立ち、自社のプラットフォーム内にどのAPIが存在するかをより慎重に検討するようになっています。APIと関連するオープンソースコンポーネントのすべての側面が開発プロセスの早い段階でテストされていることを確実にするために、よりDevSecOps的なアプローチを採用しています。また、自動修復への関心は、人工知能（AI）と機械学習、そして、これらの強力なツールが、より優れたクラウドセキュリティ、ガバナンス、および全体的なリスク管理を可能にするプログラム提供をどのように改善できるかについての議論にますますつながっています。

このような取り組みを行っている組織は、かなり強力なアプリケーション・セキュリティ・プラットフォームを誇っています。

HCLSoftware の Customer Experience Executive の Robert Cuddy は「5年か10年先には、与えられたデータ入力とプロンプトに従ってアプリケーションを生成するようAIに依頼するようになるだろうと予測しています。 そしてAIはコードを書くだろうが、それは最も効率的で、人間が理解できないかもしれないマシン・ツー・マシンのコードになるでしょう」と述べています。

SDTimesは、API、セキュリティテスト、そしてアプリケーションセキュリティソフトウェアの過去が、よりリスク回避的でテクノロジーに前向きな業界となるために、どのように未来を形成しているかを網羅した最新の特集 The Importance of Security Testing でより詳細な説明を紹介しています。

注1: The Importance of Security Testing からの引用