HCL AppScan Standard 10.0.4 がリリースされました

2021/2/23 - 読み終える時間: 2 分

HCL AppScan Standard 10.0.4 がリリースされました。詳細はサポート技術情報を参照してください。新機能は以下のとおりです。HCL AppScan Enterprise 10.0.4 Enterprise もあわせてリリースされています。こちらば障害修正のみです。

参考: Fix List for HCL AppScan Standard releases


  • Web サービスのスキャン設定ウィザード
    • ワークフローを刷新し、改善しました (Postman と SoapUI を自動的に開いて設定することを含む)。詳細はこちら
    • 外部クライアントウィザードがこのウィザードにマージされました。
  • HTTP/2 がサポートされるようになりました。詳細はこちら
  • インクリメンタルスキャンがコマンドラインから実行できるようになりました。詳細はこちら
  • 非標準のヘッダ: [アプリケーションデータ] > [結果リスト] に新しいヘッダータブが追加され、AppScanによって検出された、スキャン中にテストされる非標準のヘッダーが表示されます。
  • Angularのサポート: Angular WebサイトのExploreステージのカバレッジが改善されました。
  • AWS Cognito に対応しました。詳細はこちら
  • AppScan Connect: AppScan Standardは、米国のデータセンターに加えて、AppScan on Cloudの新しいEUデータセンターにもシームレスに接続できるようになりました。
  • HTTP と TLS: バージョン設定が詳細設定に移動し、スキャンごとに保存されるようになりました。詳細はこちら
  • ライセンス: クラウドライセンスとローカルライセンスサーバーのライセンスにパスワードが不要になりました。

HCL AppScan 10 のご紹介

2021/2/9 - 読み終える時間: ~1 分

HCL AppScan はソースコードおよびアプリケーションの脆弱性検査ツールです。インテリジェントな診断エンジンを備え、小規模から大規模まで、ソフトウェア開発および運用に欠かせないソフトウェアです。HCL AppScan の概要とバージョン 10 の特長についての資料を公開しました。


2021年にアプリケーションセキュリティの知識を広げる 10 の方法

2021/1/26 - 読み終える時間: 4 分

10 Ways to Expand Your Application Security Knowledge in 2021 の翻訳版です。


2021年にアプリケーションセキュリティの知識を広げる 10 の方法

2021年1月12日

著者: Neil Jones / Senior Product Marketing Manager for HCL Software’s AppScan solution

画像の説明

新しい年は、知識を広げ、前年の成功を振り返るための自然な時間です。2020年、AppScan チームの重要な目標の1つは、当社のソートリーダーシップコンテンツの量と質を拡大することでした。その目標を達成できたことを嬉しく思います。

このブログの計画を立てる際には、あなたのような読者が 2021年に追求しそうな活動に焦点を当て、その活動のそれぞれに沿ったコンテンツを盛り込むのが最善のアプローチだと判断しました。私の全体的な目標は、この記事をできるだけ実用的で簡潔なものにすることでした。もしよろしければ、このブログのコメント欄に追加のリソースを入れることをお勧めします。

この記事を読んでいるのが1月であろうと、公開から数ヶ月後であろうと、以下のリソースから恩恵を受けることができるので、安心してください。

2021年に私の会社が必要としていること

...AppSecへの投資の妥当性を証明する

最近では、アプリケーション・セキュリティに投資しないわけにはいきません。私の古典的なブログでは、組織が AppSec への投資を再考する必要がある5つの実用的な理由を紹介しています。また、最近のブログでは、Ponemon Institute との「DevOps環境におけるアプリケーションセキュリティ」調査から得られた主要な財務上の調査結果を紹介しています。Ponemon のブログを読むと、Ponemon の調査に参加した組織が、脆弱性のあるアプリケーションへの攻撃の結果、平均 1200万ドルのコストが発生した理由を知ることができます。

...より効果的な従業員を雇用する

2020年9月に公開された挑発的なブログの中で、著者のロブ・カディ氏は、「新ハイブリッドセキュリティ社員」の特徴を再掲しています。新ハイブリッド社員の能力は、技術的な領域をはるかに超えて、共感性、好奇心、問題解決、チームワークなどの「ソフトな」スキルを持ち合わせています。

記事の中でロブは、セキュリティチームが組織のゲートキーパーとしてではなく、イネーブラーとして機能するように促すための実践的なアドバイスを提供しています。また、セキュリティチームが「いいえ」から「はい」へと変化させる方法についても説明しています。

...アプリケーションセキュリティをより効果的に管理する

2020年7月のウェビナーでは、HCL Software の CISO である Joe Rubino が、グローバル組織におけるアプリケーションセキュリティの効果的な管理に関する重要な洞察を共有しました。セッションの中で、ジョーはモデレーターの Dave Munson 氏に以下のような重要なテーマを伝えました。

  • 在宅勤務プログラムをより効果的に管理する方法。
  • 開発担当者との信頼関係を維持するためのベストプラクティス。
  • 人工知能 (AI) の力を活用する方法。

このイベントのために、セッションのリプレイへのリンクを含む、便利なリスナーズガイドを作成しました。

...実際の AppSec の実践者の視点を聞くことができます。

共同ホストの Colin Bell、Rob Cuddy、Kris Duer との楽しいポッドキャストシリーズ Application Paranoia では、以下のような実在の AppSec 実践者の視点を聞くことができます。

  • Dragan Pleskonjic 氏は、ゲーム業界のシニアセキュリティディレクターで、エピソード #9でポッドキャストチームに実生活の視点を提供しています。
  • エピソード #10 では、オンライン学習アカデミー@WeHackPurple の創設者である Tanya Janca 氏。
  • HCL Software のデジタルソリューション CTO である Jason Gary 氏は、エピソード #4 で、HCL のような大規模で多様性のあるエンジニアリングチームにセキュリティプラクティスを組み込むことについて議論しています。

**...私たちのチームのアプリケーション・セキュリティの知識を広げる

最近の YouTube ビデオでは、Eitan Worcel と私が新しい AppScan リソースライブラリをレビューしています。

...AppSec テストオプションの多様化

AppScan のチーフアーキテクト Shahar Sperling は、説得力のある記事の中で、「?AST」という概念を提示しています。これは、異なるタイプのアプリケーションセキュリティテスト技術には、異なる対象者が存在し、異なる結果をもたらし、異なるテスト条件の下での成功を認めています。ブログでは、Shahar氏は、特定のテスト技術(DAST、SAST、IASTなど)が、開発者、QAエンジニア、セキュリティ専門家/ペンテスターのユースケースに応じて、より適している理由を説明しています。

...開発者が安全にコーディングできるようにする

2020年5月のブログで、AppScan プロダクトマネージャーのFlorin Coada氏は、HCL AppScan CodeSweepの目的について説明しています。それは、開発者がアプリケーションの問題を発見するのを助け、それらの問題を修正する方法を開発者に教育し、コードを書いている間に正しい質問で、将来的にセキュリティ問題を回避できるようにすることです。わかりやすく言えば、CodeSweep は開発者が次のような質問に答えることができるようにします。"私のコードは本当に危険なのか?CodeSweep コミュニティ版の何千人ものユーザーに参加できます。

...OWASP のトップ 10 の脆弱性に取り組む

この記事を読んでいる誰もがそうであるように、多くの OWASP 脆弱性トップ 10 は、新年を越して存在しています。OWASP の脆弱性は明らかにいつでもすぐには消えないので、最良のアプローチは、今すぐに組織を保護することです。

2020年6月、Eitan Worcelは、クロスサイトスクリプティング(XSS)脆弱性を特定し、修正するための実用的なヒントを提供しました。その後、Rob Cuddy と私は、SQL インジェクションの脆弱性への対処センシティブデータの暴露への取り組みに焦点を当てた同様のブログを書きました。OWASP トップ 10 は、私たちのチームにとって継続的に焦点を当てている分野なので、最新の Appscan ブログの更新情報を得るために、私たちの週刊 AppScan ダイジェストを購読できます。

...AppScan V10へのアップグレード

AppScan のクライアントで、V10 へのアップグレードをお考えですか?その場合は、Eitan Worcel 氏の簡単な YouTube ビデオをご覧ください。その後、HCL Software の専門 Web サイトにアクセスして詳細を確認し、ご自身で V10 の使用を開始できます。

...自分自身でアプリケーション・セキュリティ・テストをテストしてみましょう

ご自身でアプリケーション・セキュリティ・テスト技術をテストしていない場合は、今すぐ AppScan の30日間無料トライアルにお申し込みください。

詳細

他にも有益と思われるリソースがあれば、下のコメント欄で共有してください。2021年には、さらに魅力的なコンテンツを発表できることを楽しみにしています。


2021 アプリケーションセキュリティに関する 2021年の自分なりの展望

2021/1/13 - 読み終える時間: 3 分

2021 Robservations for Application Security の翻訳版です。

2021 アプリケーションセキュリティに関する 2021年の自分なりの展望

2021年1月7日

著者: Rob Cuddy / Global Application Security Evangelist

画像の説明

1 年前、アプリケーションセキュリティのホットな話題のほとんどは DevSecOps に関連していました。継続的なデリバリパイプラインでのセキュリティテストの自動化、開発者をセキュリティテストにもっと参加させるための最良の方法を見つけ出すこと、またはセキュリティ運用センター (SOC) のセキュリティ専門家が開発チームとより良いパートナーになるための方法を見つけることなど、DevSecOps を現実のものにすることが話題になっていました。

そして、パンデミックが発生しました。

パンデミックの流行に伴い、特にランサムウェアを介したサイバー攻撃が驚くほど増加しました。これにより、DevSecOps は「必要なものを持っているイニシアチブ」から「必要不可欠なプログラム」へと移行する必要性が強調されました。さて、予想以上に困難な一年に「さようなら」と言ったところで、アプリケーション・セキュリティに関連して 2021 年に注目すべき重要なことは何でしょうか?という質問をいただきました。

QAがセキュリティパーティに参加する(ありがとう、IAST!)

多くの組織では、DevOps パイプラインに何らかの形で自動化されたセキュリティテストを組み込み、通常は継続的な統合ビルドの一部として実施しています。これにより、SDLC の早い段階で開発チームにより良いフィードバックが得られます。しかし、DevSecOps が DevOps のスピードで高品質のセキュアなソフトウェアをリリースするレベルに到達するためには、セキュリティは全体的な品質を構成する不可欠な要素と見なされなければなりません。機能性とパフォーマンスが品質とユーザーエクスペリエンスを牽引するのと同じように、今ではセキュリティも同様に重要な要素となっています。

2020年には、QA の専門家が他の種類のテストと並行して何らかの形のセキュリティテストを実施することを求められるようになっています。DevOps 環境におけるアプリケーションセキュリティ」と題した Ponemon Institute の調査では、620人以上の回答者のうち11%が、自分の役割に品質保証が含まれていると報告しています。

また、セキュリティテストに QA をより良く関与させる方法を探している組織には、インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)を利用することをお勧めします。インタラクティブなテストでは、アプリケーションの動作に合わせてセキュリティ脆弱性を発見することができます。これは、QA チームが機能テストを実施している間に、同時にセキュリティ問題を発見することができることを意味します。そして、これらの脆弱性がアプリケーションの使用中に発見されるという事実は、誤検出率がゼロに近いことを意味します。

開発者に優しい脅威のモデリング

脅威のモデリングは、2020年の DevOps 関連イベントで頻繁に登場したトピックでした。 DevOps Enterprise SummitSAYA 10x イベントでのセッションは、ほんの一例でした。そして、これは私の同僚である Colin Bell 氏と私が個人的に All Day DevOpsAgile Techwell DevSecOps Summit で議論したトピックである。これらはすべて、セキュリティの可視性を高め、開発者とセキュリティ専門家の連携をより良くするための方法として、脅威モデルの演習に開発者をより多く関与させるという考え方を肯定しています。

そして2020年後半には、脅威モデリングをより効果的なものにするための中核的な価値観と原則を提供する、協調的な脅威モデリングのマニフェストが発表されました。その中で言及されているコア・プリンシプルの1つを紹介しよう。

"脅威のモデリングは、組織の開発プラクティスと整合性をとり、システムの管理可能な部分を対象とした反復的な設計変更に従わなければならない。

ここで強調されているのは、開発プラクティスとの整合性です。これを実現する最善の方法は、開発者を脅威モデルの演習に参加させることです。これにより、少なくとも 2 つの明確な利点が得られる。

  • 開発者は、コードが侵害される可能性のある無数の方法についての洞察を得ることができ、これが直接、より良いコーディングの実践につながるはずである。
  • セキュリティの専門家は、開発者にかかる圧力と実務についての洞察を得ることができ、脆弱性の優先順位付けと管理の改善、特にバックログの管理につながるはずです。

開発者を脅威モデルに組み込む方法を探している場合は、カードゲームElevation of Privilege(Githubにもあります)や Backdoors & Breaches のようなリソースは、楽しくて罪のない環境で議論や教育を促進するのに最適な方法です。

新たなベストプラクティス - 特にオープンソースのために

セキュリティは常に重要視されてきましたが、多くのビジネス専門家がリモートワークに移行し、サイバー犯罪の増加がすでに指摘されていることもあり、セキュリティは CISO だけが中心となって取り組むべきテーマから、すべての人が最優先で取り組むべきテーマへと変化しています。組織がリスクを低減するためには、費用対効果の高い効率的な方法でリスクを低減することが最重要課題となっています。

そのため、より多くのベストプラクティスが必要とされています。

公平に見ても、今日では、機械学習を活用して開発チームに結果を提示する前に誤検出を識別するなど、優れたアプリケーション・セキュリティのベストプラクティスが数多く存在しますが、これまでのところ、そのほとんどは社内コードに焦点を当てています。

オープンソースの利用が急増しているこの時代には、定義されたベストプラクティス、テクニック、リファレンスアーキテクチャ、オープンフレームワークやコード共有に関する教育やトレーニングが必要とされています。私は 2021年にはこのニーズが大きく高まると予想していますが、実際、現在、OSSF(Open Source Security Foundation)と呼ばれるグループがまさにその取り組みを行っています。議論に貢献することに興味があるなら、Github のワークグループをチェックしてみてください。

アプリケーションセキュリティのベストプラクティスのためのもう一つの素晴らしいリソースをお探しなら、友人のTanya Janca (@shehackspurple)さんの新刊 Alice & Bob Learn Application Security をぜひチェックしてください。

実際のエントリーレベルと明確なキャリアパス

2021年にもっと多くの議論が行われると予想されるもう一つの分野は、セキュリティ関連のキャリア、特にエントリーレベルのポジションに関連したものです。

サイバーセキュリティのスキルギャップが深刻化しているという統計を聞いたことがあります。問題の真の部分は、スキルを学び成長させることができる現実的なエントリーレベルの職務を持つことであり、それに加えて、セキュリティの専門知識のキャリアパスが明確に定義されていないという追加の課題があります。私の友人の CISO の一人が、David Spark 氏のポッドキャストにゲストとして出演した際に、次のように語っていました。

「私たちのような立場の人間にとって、エントリーレベルの役割とは何かを定義するのは非常に難しいことです。私たちは誰一人としてセキュリティの初級職に就いたことがありませんでした。私たちは最初のセキュリティ担当者で、自分たちで作り上げていったのです」

今日では、学んだスキルを証明するためのさまざまな資格が存在しますが、その多くは取得するのに相当な時間とエネルギー、労力を必要とします。中には現場での経験を必要とするものもあり、「鶏と卵」の問題が発生します。

簡単に言えば、私たちはもっと良い方法を採る必要があるということです。学界と協力して、正しい基礎スキルを教え、卒業生がサイバー活動に参加して意味のあるエントリーレベルの役割を果たすために必要な能力を身につけられるようにしなければなりません。そして、成功に向けてのプロセスの一部として、リスク、失敗、学習、成長といった個々のニーズを、組織が許容するリスク許容度とのバランスをとることができるようにしなければなりません。メンターシップや見習いは、それを可能にするための長い道のりを歩むことができます。

詳細はこちら

アプリケーションセキュリティは重要であり、2021年には、継続的なメトリクスに基づいた改善が、アプリケーションセキュリティテストプログラムに与える影響を最大化するための努力を続けていきます。これが何を意味するのかについて詳しく知りたい方は、Application Paranoia ポッドキャストを聴いて、IAST のエピソードをご覧ください。 このポッドキャストは、Apple Podcasts、Spotify、Google Podcasts、Buzzsprout で視聴できます。 また、ポッドキャストの同僚である Colin Bell 氏とKris Duer 氏との Continuous Security ウェビナーもご覧いただけます。


HCL AppScan: 開発者による新機能解説

2020/12/22 - 読み終える時間: ~1 分

HCL AppScan の新たなリリースが出る度に、開発者による新機能や変更点についての解説 (英語) が YouTube にアップロードされています。直近では 10.0.3 のものが上がっています。

Special Event - What's new in AppScan 10.0.3 - YouTube


AppScan と OWASP トップ 10。なぜそんなに慎重に扱うべきなのか?

2020/12/19 - 読み終える時間: 3 分

AppScan and the OWASP Top 10: Why So Sensitive? の翻訳版です。

2020年12月19日

著者: Neil Jones / Senior Product Marketing Manager for HCL Software’s AppScan solution 共著: Rob Cuddy / Global Application Security Evangelist

AppScan と OWASP トップ 10。なぜそんなに慎重に扱うべきなのか?

画像の説明

OWASP トップ 10 に関するブログシリーズの第2部へようこそ。パート1では、最も一般的なタイプの脆弱性である SQL インジェクションを調べ、効果的なアプリケーション・セキュリティ・プログラムがどのようにしてこの脅威に対処するかをレビューしました。この記事では、もう一つのホットな話題を取り上げます。機密データの暴露です。

機密データの暴露の定義

機密データの暴露とは、まさにそのように聞こえます。これは、保護されているはずのデータが、あるべきではない時に、あるべきではない場所で利用可能になってしまうことを言います。センシティブデータには多くの種類がありますが、最も一般的な種類は、固有の個人情報、財務記録、健康情報、法的文書に関連するものです。

機密データには、個人のアイデンティティにとって重要であり、個人を一意に識別するために使用できる情報が含まれています。これには、完全な名前、電子メールアドレス、自宅の住所、電話番号、さらにはIPアドレス情報などの識別情報が含まれます。技術の進歩に伴い、バイオメトリクス・データや遺伝情報が、人種、宗教、信条とともにセンシティブ・データとして扱われるようになってきています。

機密データの暴露があなたに与える影響

私たちが日常的に共有している自分自身についての情報の量が多い中で、どのようにして機密データを悪意を持って利用して私たちに危害を加えることができるのでしょうか?その答えは非常に簡単です。機密データの漏洩は、アプリケーションやAPIが機密データを適切に保護していない場合に発生します。例えば、入力を適切に検証しなかったり、現在利用可能な無数のトランザクションを適切に処理しなかったりする安全でないアプリケーションを考えてみましょう。

これらの脆弱性により、データが盗まれたり、様々な形で悪用されたりする可能性があります。これらの悪用には、盗まれたクレジットカード情報、口座開設、融資の申請、医療や政府からの支払いなどの給付金を得るための個人情報の不正使用などがあります。極端な例では、法の執行から逃れるために使用されることもあります。最後に、データの悪用は、盗まれた政治家や組織の所属情報にまで及ぶ可能性があります。

そして、この暴露のためのコストは、個人的に高額になる可能性があります。米国司法統計局からのこれらの改訂された統計を考慮してください。

  • ID 窃盗被害者の大多数(86%)は、クレジットカードや銀行口座情報などの既存の口座情報の不正使用を経験しています。
  • 既存のアカウントやその他の詐欺で複数のタイプの ID 窃盗を経験した被害者の中で、約 3 分の 1 (32%) が問題の解決に 1 ヶ月以上を費やした。
  • ID 窃盗被害者の推定 36%が、事件の結果として中等度または重度の感情的苦痛を報告しています。

そして、Javelin Strategyが発表した2020年のアイデンティティ詐欺報告書から、これらの統計を考えてみてください。

  • 2019年、詐欺被害は15%増え、169億ドル。
  • 詐欺被害は、消費者が35億ドルの費用負担外費用に直面する結果となりました。
  • 犯罪者は、クレジットカード詐欺から、口座の開設と徴用に焦点を移しました。

機密データの暴露による組織への影響

そして今、組織の視点に移ります。GDPRのようなデータプライバシー規制が導入され、組織が日常的に収集する情報量が一般的になったことで、センシティブなデータに関連した企業への潜在的な被害について疑問に思うことがあるかもしれません。答えは比較的簡単です。効果的でないアプリケーション・セキュリティ・テスト技術や安全でない DevSecOps の実践は、機能的なアプリケーションを生み出しますが、ユーザーの個人情報が潜在的な攻撃にさらされたままになる可能性があります。実際、Ponemon Instituteの最近のレポート「DevOps環境におけるアプリケーションセキュリティ」では、回答者の71%が、DevOpsセキュリティプラクティスの可視性と一貫性の欠如が、最終的に顧客と従業員のデータを危険にさらすと回答しています。

そして、顧客データを無責任に扱うことは、高い代償を伴うことになります。同じPonemon Instituteのレポートによると、組織の脆弱なアプリケーションに対する攻撃によって生じた経済的損失の平均総額は、過去12ヶ月間で1,200万ドルに達しています。

同じくPonemon Instituteの「2020 Cost of a Data Breach Report」には、次のような悲惨な統計が掲載されています。

  • データ侵害の世界平均コストは386万ドル。
  • 顧客の個人情報が関与していた場合のレコードあたりのコストは146ドルでした。
  • 悪意のある攻撃が原因で発生した場合、そのコストは1億7500万ドルまで上昇しました。
  • メガ・ブリーチの被害者(100万件以上の記録を超えるブリーチと定義)の場合、ブリーチの平均コストは5,000万ドル以上でした。
  • また、5,000万件を超える記録の侵害では、3億9,200万ドルの費用が発生しました。

機密性の高いデータへの対処

これを回避するために、センシティブデータは絶対に、安静時や転送中の暗号化などの追加の保護を受けて扱われるべきであり、ブラウザとのやりとりの際には特別な予防措置が必要です。また、可能な限り、ユーザーとのやりとりが発生する前に、センシティブな情報で発生する可能性のある潜在的な問題を特定し、修正することができるようにしたいと考えています。

HCL AppScanは、機密情報への対処とテストを支援するいくつかの異なる方法を提供しています。以下の図1、図2、および図3は、利用可能なオプションのいくつかを示しています。

最初に、図1は、スキャン構成中に使用できる設定を示しており、低/中/高の設定を使用して、アプリケーション環境自体を機密として宣言することができます。AppScanは、この設定に関連して報告される脆弱性の深刻度を調整します。

図1:アプリケーション環境の機密性設定 画像の説明

次に、図2は、ログや結果ファイルに表示される可能性のある機密情報をどのように扱うことができるかを示しています。この種の情報をユーザーが選択したパターンに置き換えるようにスキャンを設定することができます。これにより、わかりやすさを維持しながら、実際のデータを難読化することができます。

図2: 機密情報をユーザ定義のパターンに置き換える 画像の説明

最後に、図 3 は、正しい権限を持つユーザが CVSS 形式の設定を使用して、特定の脆弱性の深刻度を手動で更新することができることを示しています。この例では、報告された URL リダイレクション経由のフィッシングに関連する脆弱性が表示され、手動更新ウィンドウが表示され、ユーザが機密性の影響評価を行うことができる場所が強調表示されています。これにより、脆弱性管理のためのより高度な管理と評価が可能になります。

図3: CVSS-Style設定を使用した脆弱性の手動更新 画像の説明

詳細はこちら

センシティブ・データ暴露の可能性のある攻撃に対抗する最善の方法は、効果的なアプリケーション・セキュリティ・テスト・プログラムを利用することです。アプリケーション・セキュリティ・テクノロジーをご自身でテストしてみたい方は、今すぐHCL AppScanの30日間の無料トライアルに登録してください。また、Ponemon Instituteの「DevOps環境におけるアプリケーション・セキュリティ」レポートはこちらからダウンロードできます。



AppScan: データセンターを EU に開設

2020/11/21 - 読み終える時間: ~1 分

HCL AppScan on Cloud est arrivé en Europe! の翻訳版です。


AppScan: データセンターを EU に開設

2020年11月21日

著者: Julie Reed / Senior Product Manager

画像の説明

正直に言うと、私は今年何度もヨーロッパに行こうとしてきましたが、他の多くの人と同じように、国境閉鎖や旅行制限によって計画が中断されてきました。一度ではなく、二度ではなく、三度も。今日、ヨーロッパで AppScan on Cloud サービスが開始されたことで、やっとの思いでヨーロッパに行くことができました。

AppScan チームは、市場をリードする当社のアプリケーション・セキュリティ・スイートを、欧州地域にデータを常駐させたクラウド・サービスの利用を希望する欧州の組織に提供できることに興奮しています。

AppScan on Cloudは完全に管理されたソリューションで、迅速に立ち上げて運用することができるため、ソフトウェアの導入に集中するのではなく、セキュリティリスクと脆弱性に集中することができます。このスイートには、静的解析 (SAST)、動的解析 (DAST)、インタラクティブ解析 (IAST)、ソフトウェア構成解析 (SCA) が含まれており、脆弱性を検出し、アプリケーションの安全性を確保するために、指先ですべてのツールを使用することができます。

すべてのスキャンの結果は、アプリケーションの下に集約され、アプリケーションの状態を一目で評価することができます。 ダッシュボードでは、ビジネスユニットまたは関連するアプリケーションのグループのレベルで、リスクと AppSec プログラムを表示できます。

主要な開発者 IDE や CI/CD ツールとの統合により、AppScan を使用したアプリケーションセキュリティテストを開発プロセスやパイプラインに簡単に追加することができます。

AppScan on Cloud は ISO 27001 認証を取得しており、SOC 2 認証を取得したドイツの Microsoft Azure でホストされています。

当社の新しい EU データセンター http://cloud.appscan.com/eu をご覧ください。ページの左上隅にある AppScan のロゴに続く EU の略語を探してください。

画像の説明

AppScan on Cloud の詳細や Proof of Concept の開始にご興味のある方は、こちらからお問い合わせください。

悲しいことに、私はスウェーデンの家族を訪問するために来年まで待たなければならないかもしれませんが、素晴らしいニュースは、HCL AppScan on Cloud を開始するために全く待つ必要がないということです。


Tags

このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。