HCL AppScan V10.0.1 でクロスサイトスクリプティングの脆弱性を特定し、修正する

2020/6/28 - 読み終える時間: ~1 分

クロスサイトスクリプティング (XSS) の脆弱性は今もなお Web アプリケーションにおけて多発しています。AppScan は XSS 検出機能を古くから備え、最新版の 10.0.1 でも精度と検出能力向上を図っています。英語版ブログ [Identify and Remediate Cross-Site Scripting Vulnerabilities with HCL AppScan V10.0.1]() の翻訳版を掲載します。


HCL AppScan V10.0.1 でクロスサイトスクリプティングの脆弱性を特定し、修正する

2020年6月22日

Eitan Worcel / Product Lead, AppScan

画像の説明

古いことわざにもあるように、「古いものはすべてまた新しい」という言葉があります。残念ながら、広まっているクロスサイトスクリプティング (XSS) 脆弱性は、最も一般的なアプリケーション脆弱性の種類のひとつであり続けています。10年以上もこの脆弱性と戦ってきたとは信じがたいことですが、それでもクロスサイトスクリプティングは OWASP のトップ 10 の中で最も一般的な脆弱性タイプのひとつです。2018年の報告書によると、XSS の脆弱性は、最新のアプリケーションの最大 82% に見られる可能性があります。

XSS とは何か?

OWASP は、クロスサイトスクリプティングを次のように定義しています。「XSS 攻撃は、攻撃者が Web アプリケーションを利用して、悪意のあるコード (一般的にはブラウザー側のスクリプトの形で) を別のエンドユーザーに送信することで発生する」。

これだけの年月を経ても、XSS が現在も広く普及している脆弱性であり続けているという事実を反省しながら、2012 年に当社が XSS Analyzer と名付けた画期的な AppScan 技術を導入したことを思い出しました。2020 年の現在も AppScan V10.0.1 で利用可能であり、ほとんどのアプリケーションセキュリティテストソリューションが提供できるものよりも技術的に先を行っています。本質的には、クロスサイトスクリプティングの自動検出のための速度と精度が向上します。

XSS Analyzer でクロスサイトスクリプティング脆弱性の特定

XSS Analyzer を使ったクロスサイトスクリプティングの脆弱性の特定は簡単です。エンティティ (パラメータなど) の値に JavaScript コード (例: <script>alert ('XSS') </script>) (意図的に全角にしています) を入力し、レスポンスがレンダリングされたときに JavaScript コードが実行されたかどうかをチェックするだけです (例: アラートが表示される) 。XSS の脆弱性を悪用する方法はたくさんあります。ひとつが失敗した場合、Analyzer は次の方法を試します。このような潜在的なペイロードの以前のリスト (通常は「チートシート」と呼ばれています) には、数十から数百の潜在的なペイロードが含まれていました。当社の継続的な調査により、7 億以上のペイロードが XSS Analyzer で使用されていることが明らかになりました!

XSS の自動識別

クロスサイトスクリプティングの自動識別は、成功したペイロードが見つかるまで潜在的なペイロードを送信することによって実行されます。従来のダイナミック アプリケーション スキャナは、時間が限られているため、各エンティティに対して数十回以上のリクエストを送信することができません。そのため、DAST スキャナは膨大なペイロード空間の中から小さなサブセットを選択し、そのサブセットに対してのみテストを行います。サブセットの選択は、成功確率、反射コンテクスト、その他の特性に基づいた賢い選択ですが、テスト空間全体をカバーすることは決してありません。サブセットはテスト空間の2分の1もカバーしません。

XSS Analyzer の学習機能

これが XSS Analyzer の特長です。これは、スキャンのタイムパフォーマンスに影響を与えることなく、より多くのXSS脆弱性をより高い精度で、より少ない時間で発見します。

さらに、XSS Analyzer は人間の攻撃者になりすますように訓練されています。単にランダムなリクエストを送信するのではなく、サーバー側のロジックを学習し、テストに適したペイロードを選択します。 これが XSS Analyzer のパフォーマンスと精度の鍵となります。 この「学習システム」により、XSS Analyzer は各テストペイロードから学習することができます。

テスト結果に基づいて、XSS Analyzer は「チートシート」にある7億個のペイロードの中から潜在的なペイロードを排除し、他のペイロードに集中することができます。 テストごとに、XSS Analyzer は機能する範囲を絞り込み、通常は 20 回以下のテストで問題を発見し、平均 20 回のテストで 7 億項目のチートシートのリストから脅威が存在しないかどうかを判断することができます。これは、スピードと正確さの点で、XSS の識別において本当に大きな成果です。

AppScan Enterprise のデモ

今すぐ登録して、HCL AppScan Enterprise の包括的なデモをご覧になり、当社の XSS Analyzer 機能の詳細をご確認ください (日本のお問い合わせ窓口はこちらです)。


企業のアプリケーションセキュリティをより効果的に管理する 4 つの重要なポイント

2020/6/27 - 読み終える時間: 3 分

セキュリティー対策の重要性は WHF が実施されてから、さらに高まってきています。HCL AppScan の主な機能はアプリケーションの脆弱性検査ですが、脆弱性検査を大幅に効率化することで、間接的に WFH のよるさまざまな負荷を軽減する効果もあります。このことを解説した英語版ブログ 4 Key Take-Aways: Manage Application Security More Effectively in Your Enterprise の翻訳版を掲載します。


企業のアプリケーションセキュリティをより効果的に管理する 4 つの重要なポイント

2020年6月24日

著者: Neil Jones / Senior Product Marketing Manager for HCL Software’s AppScan solution

画像の説明

7 月 14 日、HCL AppScan チームは Managing Application Security in a Global Enterprise と題したウェビナーを開催します (イベントへの登録はこちら から) 。

このセッションでは、HCL Software の CISO である Joe Rubino と HCL AppScan の VP である Dave Munson が、以下のトピックについて議論します。

  • グローバル組織におけるセキュリティの変化のペースに対応し続けること。
  • 大量のセキュリティ環境における「アナリストの疲労」に対処するためのベストプラクティス。
  • 今日の「在宅勤務」環境におけるセキュリティ管理の維持。
  • 人工知能技術がアプリケーション・セキュリティ・テストに与える影響

私のブログの目的は、ウェビナーで発表されるそれぞれのトピックに関連した 4 つの重要な「取り除くべきこと」 (Take-Out) を提供することです。ぜひ、より多くのことを学んでいただきたいと思います。

セキュリティの変化のペースに追いつく

私が出会ったアプリケーションのセキュリティ統計の中で、これほど説得力のあるものはありません。TechBeacon が最近まとめたレポートによると、ウェブアプリケーションの 92%が、潜在的に悪用される可能性のあるセキュリティ脆弱性を含んでいることがわかりました。

また、報告書によると、脆弱性の 86%が公開から 24 時間以内にパッチが利用可能な脆弱性であったにもかかわらず、ウェブアプリケーションの脆弱性にパッチを当てるのに平均 38 日かかっていることがわかりました。これらの調査結果から、セキュリティチームが急速な変化のペースに追いつくのに困難な時間を費やしていることが推察できます。

排除すべきこと #1.

変化のペースは速くなる一方です。組織は、セキュリティの急速な変化のペースに適応するためのベストプラクティスを実施する必要があります。

アナリストの疲労に対処する

アナリストの疲労は、正式に「もの」になっています。Healthcare IT News 誌に掲載された最近の調査によると、80% 以上のセキュリティアナリストが、セキュリティ・オペレーション・センター (SOC) では、前年にアナリストの離職率が 10% から 50% の間であったと報告しています。

さらに、回答者の 70%が、1 日に 10 件以上のアラートを調査する必要があると報告しており、前年の 45% から増加しています。また、回答者のうち、主な担当業務はセキュリティ脅威の分析と修正であると答えたのは、前年の 70% から 41% にとどまりました。

排除すべきこと2.

アナリストの疲労に対処するための戦略を採用して、アナリストを維持し、能力を高める必要があります。

在宅勤務環境への適応

MIT の Erik Brynjolfsson 教授が率いる学術チームは、2020年 4月のワーキングペーパーの中で、COVID-19 のパンデミックの結果、調査回答者の約半数が在宅勤務をしていることを明らかにした。特に、オフィスに通勤する代わりに在宅勤務に切り替えた人の割合は、当時の回答者の約 34% を占めていた。また、COVID-19 流行前に在宅勤務をしていたと回答した人の割合は約15%で、現在も継続している。この変化は、ニューヨークタイムズ紙が 2020 年 6 月に "What if Working from Home Goes on...Forever?" と題した記事を掲載したほどで、注目すべきものなのです。

排除すべきこと #3.

ソフトウェア開発プロセスでは、当面の間、リモートワークを行う可能性が高いため、新しい環境でも生産性とセキュリティを維持できるようにする必要があります。

AI技術でアプリケーションのセキュリティを強化する

上記のセクション 1 で紹介した Healthcare IT News の調査では、回答者の半数以上が、総所見の 50% 以上を占める偽陽性所見を調べなければならなかったと報告しています。想像してみてください-真陽性のアラート数が増加しているだけでなく、偽陽性のアラート数も増加しているのです。

HCL AppScan の Intelligent Finding Analytics (IFA) 機能のような人工知能/機械学習技術は、偽陽性所見とノイズを 90% 以上削減するのに役立ちます。IFA については、YouTube の簡単なビデオをご覧ください。

排除すべきこと #4.

機械学習の分野は常に進化しており、お客様の専門的なニーズに最も適した技術を導入する必要があります。人工知能/機械学習技術は、SOC チームの生産性を向上させながら、組織が最も重要な脆弱性に焦点を当てるのに役立ちます。

7月14日に参加してみませんか?

2020年7月15日 午前零時-01:00 (日本時間) に開催されるライブ・ウェビナーに参加することで、上記の各排除すべきことについてより詳しく知ることができます。このセッションはライブイベントの後にリプレイでもご覧いただけます。皆様にお会いできることを楽しみにしています。


AppScan V10.0.1: 迅速、正確、アジャイルなセキュリティテストへのHCLの継続的な取り組み

2020/6/19 - 読み終える時間: 3 分

AppScan V10.0.1 が 2020年6月18 日にリリースされましたが、その機能拡張についての解説 (AppScan V10.0.1: HCL’s Ongoing Commitment to Fast, Accurate, Agile Security Testing) が英語版ブログに ポストされました。その翻訳版を掲載します。


AppScan V10.0.1: 迅速、正確、アジャイルなセキュリティテストへのHCLの継続的な取り組み

Eitan Worcel / Product Manager AppScan

AppScan V10.0.1 でアプリケーションのセキュリティテストを強化する

AppScan V10が発表されたのが3ヶ月以上も前のことだとは信じられません。3月17日の私のブログでは、V10の強化点をすべてまとめていましたが、ご記憶にあるかもしれません。この3ヶ月間に多くの変化があったことには同意できますが、技術革新に対するHCL AppScanのコミットメントは極めて一貫しています。そして、AppScanチームが在宅勤務という新たな通常の仕事にもスムーズに適応したことを誇りに思っています。

このブログでは、製品ライン別にAppScan V.10.0.1の主な機能強化にスポットを当てています。また、6月30日に開催される特別イベント「AppScan Tuesdays」にもぜひご参加ください。

HCL AppScan Enterprise V10.0.1の拡張機能

AppScan Enterprise の V10.0.1 の強化点は以下の通りです。

  • 自動アクションベースの探索の精度とカバレッジを向上させる新機能。
  • 以下を含む一連の新しいテスト機能。一連の新しいテスト機能には、より正確なテスト結果を得るためのエラーページ検出の改善、対象範囲を拡大するためのディレクトリ推測オプションの数の増加、新しいセキュリティルールが含まれます。
  • 頻繁に発生するissueを統合するissue統合機能により、よりコンパクトな結果が得られ、レビューと管理が容易になります。さらに重要なことは、統合することで、必要な重要な詳細情報を失うことなく、全体の課題数を減らすことができます。
  • 最新のDISA Standard Report V4R10をサポートする新しいコンプライアンスレポート。

AppScan Enterprise の拡張機能の詳細については、「最近のアップデート」ページをご覧ください。

HCL AppScan Standard V10.0.1 の拡張機能

AppScan Standard の V10.0.1 の強化点は以下の通りです。

  • AppScan Connectのアップデートにより、スキャンファイルに加えて、AppScan Enterpriseからテンプレート (SCANT) ファイルをダウンロードできるようになりました。AppScan on CloudおよびAppScan Enterpriseからのファイルダウンロードに関連したAppScan Connectの検索機能も強化されました。
  • 自動アクションベースの探索機能のカバレッジが向上し、より正確になりました。
  • より正確なテスト結果を得るためのエラーページ検出の改善、カバレッジを高めるためのディレクトリ推測オプションの数の増加、マルチステップテストのための検証の強化、新しいセキュリティルールなど、一連の新しいテスト機能が含まれます。
  • 頻繁に発生するissueを統合するissue統合機能により、よりコンパクトな結果が得られ、レビューと管理が容易になります。さらに重要なことは、統合することで、必要な重要な詳細を失うことなく、全体の課題数を減らすことができます。
  • 最新のDISA Standard Report V4R10をサポートする新しいコンプライアンスレポート。

AppScan Standardの機能強化の詳細については、「最近のアップデート」ページをご覧ください。

HCL AppScan Source V10.0.1 の機能強化

V10.0.1 AppScan Source の強化点は以下の通りです。

  • 4つの新しい言語のサポート。Scala、React.JS、Kotlin、Swift。
  • コマンドラインインターフェースレベルのデルタ機能により、スキャンの間に何が修正されたか、何が新しく導入されたかを簡単に確認できます。
  • 最新のDISA標準レポートV4R10をサポートする新しいコンプライアンスレポート。
  • クラウドライセンスサーバーで作業する際のプロキシのサポートを強化し、オンプレミスのライセンスサーバーで自己署名証明書を使用できるようにしたユーザーの生活の質の向上。

AppScan Sourceの機能強化の詳細については、「最近のアップデート」ページを参照してください。

2020年6月 HCL AppScan on Cloud の機能強化

AppScan on Cloud (ASoC) のカレンダー第 2 四半期の機能強化には以下のようなものがあります。

  • 4つの新しいSAST言語のサポート。Scala、React.JS、Kotlin、Swiftの4つの新しいSAST言語のサポート。
  • 上記の「AppScan Enterprise」のセクションで言及されているすべてのDASTの機能強化。
  • セキュリティ、安定性、パフォーマンスを向上させる強化された IAST Java エージェント。
  • Visual Studio 2017およびVisual Studio 2019 C++プロジェクトのサポート。
  • AppScan on CloudのAPIにWebhooks機能が追加され、ASoCで発生したイベントに関する通知を受信できるようになりました。
  • 多数のユーザー・エクスペリエンスの強化。

AppScan on Cloudの機能強化の詳細については、「最近のアップデート」ページをご覧ください。

AppScan Tuesdays」特別イベントに参加して詳細を知る

上記の機能強化の詳細については、6月30日に開催される「AppScan Tuesdays」のスペシャルイベントにご参加ください。直接参加できない場合は、同じリンクから再生が可能になります。 https://youtu.be/taNz-jqkLcA AppScanの最新の開発情報をキャッチアップするには、YouTube Liveチャンネル「This is AppScan」をチェックアウトしてブックマークしてください。


AppScan Enterprise 10.0.1 がリリースされました

2020/6/18 - 読み終える時間: ~1 分

障害修正リストを含む、リリース情報は以下をご覧ください。


アプリケーション・セキュリティー・テストに投資する5つの主な理由

2020/6/12 - 読み終える時間: 3 分

HCL はアプリケーションのセキュリティー確認を行うためのツールである AppScan などを開発・販売しています。アプリケーションのセキュリティーの重要性は改めて説明するまでもありませんが、だからこそ HCL Software はこの分野に (も) 重点的な投資を行っています。そのあたりを説明した英語版ブログの 5 Key Reasons to Invest in Application Security Testing の翻訳を掲載します。


アプリケーション・セキュリティー・テストに投資する5つの主な理由

著者: Neil Jones / Senior Product Marketing Manager for HCL Software’s AppScan solution

先日開催された「IT Spending Forecast, 1Q20 Update- View from the Peak」と題したウェビナーでは、アナリスト企業であるガートナー社は、2020年のIT支出全体が2019年と比較して8%減少すると予測しています。つまり、ガートナーは今年、3.4兆ドル(そう、1兆ドル!)以上が情報技術に費やされると予測しています。

マクロなIT購買動向にもかかわらず、ガートナーは今年はITセキュリティーソフトウェアの支出が約10%増加すると予測しています。私のブログの目的は、なぜアプリケーション・セキュリティーがミッション・クリティカルな投資とみなされるべきなのかを、あなたとあなたの経営陣が理解できるようにすることです。

アプリケーションセキュリティー:5つの重要な理由

今日のダイナミックなビジネス環境では、どのようにして経営陣にアプリケーションセキュリティーへの投資を促すことができるでしょうか?少なくとも 5 つの重要な理由があります。

理由 1: アプリケーションは、これまで以上に顧客のビジネスへのライフラインであること

Mobile App Daily の最近の調査によると、企業は主に顧客サービスの向上(回答者の38%)、Web体験の拡大(26%)、収益の増加(24%)のためにモバイルアプリケーションの存在を活用していることが明らかになりました。残りの12%の組織は、主に顧客ロイヤルティを促進するためにモバイルアプリケーションを利用していました。これらがすべて重要なビジネスモチベーターであることに同意するでしょう。

そして、その特定の調査は、ちょうどCOVID-19の経済的影響が世界経済に影響を与え始めた2020年3月に更新されました。顧客がモバイルやWebアプリケーションを介して顧客とのやり取りのほとんどすべてを行うようになったときに、ミッションクリティカルなアプリケーションがセキュリティーの脆弱性によってダウンしていたとしたら、あなたの組織に与える影響を想像してみてください。

理由2:2020年には、貴社のブランドこそが最も重要であること

あなたの個人的なビジネスの大半を今年行った企業を考えてみてください。その企業は、あなたが最も信頼している企業である可能性が高いでしょう。ブランドエージェンシー Underscore のニール・スタンホープ氏は、「ブランドはこれまで以上に重要に (Brand Matters…more than ever,)」と題した記事の中で、「ブランドの評判とは、既存の顧客からだけでなく、市場全体から見て、あなたの会社がどのように認識されているかということです」と説明しています。危機の時には、人々はすぐに自分が知っていることや信頼できること、あるいは市場の権威や口コミにどのように働きかけるかに目を向けます。"

さて、あなたが好んで利用している他社サービスのひとつで、このような前例のない時代ですが、重大なセキュリティー侵害を受ける事象が発生したらどうなるか想像してみてください。そのビジネスに対するあなたの印象はどのように変わるでしょうか?あなたのお気に入りのビジネスは、平均 392 万ドル(Ponemon Instituteの調査に基づく)の推定データ侵害コストに直面しただけでなく、その風評被害も甚大なものになったでしょう。これらはすべて、顧客が一般的にそのサービスと直接対話することができないタイミングに発生していたことでしょう。

理由3:脅威となる行為者は休暇を取らないということ

2020年には、世界の多くが限られた営業時間とワーク・フロム・ホーム環境に適応していますが、サイバー脅威のアクターは、これまでと同様に生産性の高い活動を行っています。TechBeacon がまとめたITセキュリティーの調査では、Web アプリケーションの最大 92% に悪用される可能性のあるセキュリティー上の欠陥や弱点が含まれており、企業が Web アプリケーションの脆弱性にパッチを当てるのには、深刻度に関わらず平均 38 日かかっていると報告しています。米国国土安全保障省 (DHS) のサイバーセキュリティー・インフラセキュリティー庁 (CISA) と英国の国立サイバーセキュリティーセンター(NCSC)の共同アラートでは、今年 4 月に相次いだ重大なサイバー攻撃が詳細に報告されています。

そして、悪意のある行為者が悪用するアプリケーションには事欠かない。Webサイト「アプリのビジネス」では、2019年第1四半期の時点で、ユーザーは260万個のAndroidアプリと220万個のiOSアプリの中から選択できるアプリを持っていると推定しています。そして、それらのアプリはすべて、悪意のあるアクターから保護される必要がありました さらに、2018年だけで1940億のアプリダウンロードが行われたと推定されています。

最初からより安全なコーディングを奨励するために、私が勤務している会社では、コーディング中にセキュリティーの脆弱性を検出する無料のコードエディタ拡張機能「HCL AppScan CodeSweep」を提供しています。上のリンクをクリックすると、対応しているCodeSweep言語のリストを見ることができます。また、CodeSweepについて詳しく知るために、YouTubeの簡単なビデオを見ることもできます。

理由4:影響力の高い脆弱性に焦点を当てるのは簡単ではないこと

アプリケーション・セキュリティー・テスト技術の最も強力な利点の一つは、最も重要な脆弱性、特に組織のインフラに影響を与える可能性が最も高い脆弱性に焦点を当てることができることです。最初のアプリケーション・セキュリティー・スキャンのセットアップがいかに容易かについては、HCL AppScan Standardのビデオをご覧ください。

理由5: データ・プライバシーに関する規制が次々と導入されること

カリフォルニア州消費者プライバシー法(CCPA)

米国では、National Conference of State Legislatures (NCSL) が州別の民間企業のデータセキュリティーに関する法律のリストを管理しています。

その中でも最も顕著なものの一つが CCPA で、「合理的なセキュリティー手順と実践を実施し維持する義務に違反した」ことが原因で発生した違反行為に対して、対象となる企業に罰則を科すことができます。同法は、どのようなセキュリティー手順と実践が「合理的」とみなされるべきかを定義するまでには至っていませんが、カリフォルニア州は以前に、合理的なセキュリティー実践を構成するとみなすセーフガードの概要を説明しています。

これらのセキュリティー対策は Center for Internet Security が公表している20のデータセキュリティー対策に基づいています。 #CISリストの第4位は、継続的な脆弱性評価と修復であり、リストの第18位は、アプリケーション・ソフトウェア・セキュリティーである。これらの対策は、どちらもアプリケーション・セキュリティーに直接関連しています。(CISのリンク先では、アクセスするためにログインが必要な場合があることに注意)。

NYDFS サイバースセキュリティー規則(23 NYCRR 500)

ニューヨークの NYDFS の Cybersecurity Regulation 500 は、特に金融機関に焦点を当てています。NYDFSは、対象となる金融機関に対し、詳細なサイバーセキュリティー計画の導入、最高情報セキュリティー責任者(CISO)の指定、包括的なサイバーセキュリティーポリシーの制定、サイバーセキュリティー事象に関する継続的な報告システムの開始と維持を求めている。この規則はまた、Section 500.08 に、内部および外部アプリケーションに関する具体的な文言を含んでいる。

NYDFS の Section 500.08 には、以下に要約される特定のアプリケーション・セキュリティー要件も含まれている。

"(a) 各対象事業体のサイバーセキュリティープログラムには、対象事業体が利用する社内開発アプリケーションの安全な 開発手法の使用を確実にするために設計された文書化された手順、ガイドライン、および基準が含まれ、また、対象事業 体の技術環境のコンテクスト内で、対象事業体が利用する外部開発アプリケーションのセキュリティーを評価、評価、 またはテストするための手順が含まれているものとする。

(b) このような手順、ガイドライン、および基準はすべて、対象事業体の CISO (または適格な指名者) が定期的に見直し、評価し、必要に応じて更新するものとします。

PIPEDA と GDPR

米国以外の国では、カナダの個人情報保護・電子文書法 (PIPEDA, The Personal Information Protection and Electronic Documents Act) や欧州の一般データ保護規則 (GDPR、General Data Protection Regulation) などの規制が増えています。カリフォルニア州のアプローチと同様に、カナダでも遵守すべき特定のセーフガードは規定されていませんが、詳細についてはこちらをご覧ください。また、GDPRがアプリケーション・セキュリティー・テストに与える影響について説明している最近のビデオもご覧ください。

アプリケーション・セキュリティーはコンプライアンスへの取り組みの一つの要素に過ぎず、組織は常に包括的な計画を策定する必要があることを常に念頭に置いておく必要があります。

アプリケーション・セキュリティー・テストを実施する準備はできていますか?

アプリケーション・セキュリティー・テストの効果をよりよく理解できましたか?HCL AppScan on Cloud の30日間の無料トライアルに今すぐ登録して、アプリケーション・セキュリティー・テクノロジーをご自身で試すことができます。また、当社のアプリケーション・セキュリティー・ソリューションの詳細なデモについては、当社までお問い合わせください。皆様とお会いできることを楽しみにしています。


SAST 満足 (SAST-isfaction) を得られないとお考えですか

2020/5月/13 - 読み終える時間: 3 分

2020年4月14日、英語版ブログに "Think You Can’t Get No SAST -isfaction? Think Again" がポストされました。その翻訳版を掲載します。


SAST満足(SAST-isfaction) を得られないとお考えですか

Rob Cuddy

HCL

アプリケーションのセキュリティーに精通しているならば、静的分析セキュリティーテスト (SAST) という用語を聞いたことがあるでしょう。しかし、どれだけ役立っていますでしょうか。あなたやチームに付加価値を与えていますでしょうか。より高品質のソフトウェアをより素早く提供するのに役立っていますか。それとも、開発過程における必要悪だと見なされていますか。脆弱性の可視性は得られているでしょうか。実際の問題を見つけるのに、ノイズをふるいにかけるために多くの時間を費やしていませんか。HCL では、静的解析を最大限に活用し、探している SAST 応答を取得するときがきたと考えています。

SAST -isfactionを見つけるのが難しいのはなぜでしょうか

共有する情報がある限り、それを保護する必要がありました。歴史を通じて、メソッドを使用してデータを非表示または難読化する多くの例があります。たとえば、中世の時代には暗号文の記録があります。その前は、エジプト人には象形文字があり、楔形文字はすべてメソポタミア全体にありました。

第二次世界大戦前後から、情報はデジタル形式で共有され、情報セキュリティーが生まれました。今回の最も注目すべき例は、エニグマボンバのマシンです。それ以来、コンピュータはあらゆる業界に導入され、何十億行ものコードが書かれてきました。また、コードセキュリティーの必要性も高まっています。Lint 呼ばれる最初の実際の静的分析セキュリティーテスト (SAST) ツールは1978年に登場しました。これは、一般的なコードエラーとコード構成の問題を検出するために作成され、コンパイラによってこれらのフラグが立てられています。

今日のペースの速い開発の世界に早送りし、エラーや脆弱性を見つける必要性がかつてないほど広まっています。しかし、最新のセキュリティーチームは、スキャンを適切に構成することに関してプレッシャーを感じています。潜在的なソース、シンク、字句解析、汚染、呼び出し (または制御フロー) グラフのめまいがする配列を考えると、不思議ではありません。これらすべてのオプションは、対処する2つの大きなハードルを意味します。

ろくでもない偽陽性

Lintの背後にある基本的なアイデアは素晴らしかったが、フラグが立てられたすべてのものが実際のエラーとして簡単に検証できるわけではないため、誤検知の可能性が高かった。誤検知は、テストで脆弱性が宣言されたときに発生しますが、実際にはそうではありません。テスト診断は、ある種のルール違反が発生したと判断し、問題です。これはさまざまな理由で発生する可能性がありますが、一般的な理由は、使用されるツールがアプリケーションコードを通過するデータを完全に追跡できないことです。ほとんどの SAST ツールは、注意を怠ってエラーが発生し、不明確な場合はエラーとしてフラグを立てます。

誤検知の主な問題は、対処すべきノイズが多いことです。これは、チームが問題を調査し、何かが本当の問題であるかどうかを特定するためにより多くの時間を費やす必要があることを意味します。また、チェック対象の量が多いため、チームが実際の問題を見逃しやすくなります。

そして、偽陰性

そして、何かを逃すことは潜在的にはるかに大きな問題です。コードに簡単に公開される可能性のある実際の脆弱性があり、使用されたツールがそれらを評価しなかった、またはそれらを検出するための適切なルールがあった場合はどうなりますか?私たちのチームがシステムをテストするための最良の方法を見つけるために多くの時間を費やしている場合、これらの種類の問題は長期間検出されなくなります。

私たちが持っているようにすべてをテストしたかどうかわからない場合はどうなりますか?特にそれがAPPLに来るときの ICA ション・プログラミング・インターフェース (API)。たとえば、開発チームが最新バージョンのSpringの利用を開始することを決定したとします。現在のバージョン (この記事の執筆時の5.2.5)、400以上のパッケージが含まれています。平均して、セキュリティー専門家は API のセキュリティーへの影響を1?10分で評価できます。これらのパッケージを使用して開発された API について、それぞれに保証が必要だと想像してください。つまり、1人の専任担当者がすべてを手動で評価するには、最大2か月かかる可能性があります。他に何もしない小さな専任チームであっても、完了するまでに1週間以上かかる可能性があります。考慮すべき他の API とフレームワークがある場合、問題はさらに悪化します。

朗報: 救いはここにあります

現在、InfoSecチームの88%は、平均して週に25時間を超える脆弱性の調査と検出を行っています。つまり、実際の問題ではないものを追跡するのに費やされる時間はコストがかかります。そして、潜在的な問題を見逃すことは破滅的となる可能性があります。HCL AppScan には、これらの問題の両方に対処するために特別に設計された独自の機能があることをすでにご存じかもしれません。現在バージョン10では、 HCL は一般的な SAST エンジンを利用して、クラウド製品の分析力をオンプレミスにもたらします。これにより、 AppScan はハイブリッド環境での静的テストに最適です。

https://ponemonsullivanreport.com/2018/08/the-value-of-artificial-intelligence-in-cybersecurity/ https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0077301

ノイズを制限する

HCL AppScanには、誤検知によるノイズに対処するように設計された拡張機能を備えています。これを Intelligent Finding Analytics (IFA) と呼びます。簡単に言うと、 IFA は機械学習機能を使用して誤検知を除外するため、不要です。IFA は数秒で結果をトリアージし、数万のリストをはるかに管理しやすい意味のあるものに変えることができます。実際に HCL は、 IFA が誤検知を最大98%削減することを確認しています。その時間の節約だけでも IFA に価値があります。しかし、IFA はそこで止まりません。

https://www.brighttalk.com/webcast/17840/372461/what-can-a-i-do-for-your-devsecops-program

ノイズを除去することに加えて、 IFA はさらに一歩進んで、残りの結果に優先順位を付け、関連するグループに整理します。これにより、対象を絞った改善策の提案を提供することにより、結果をすぐに実行可能にすることができます。問題の修正に関しては、どこから始めればよいかを推測する必要がありません。IFA を使用すると、開発者は自分の努力がどこに最も影響を与えるかについて、より良い感覚を持つことができます。

誤った安心感の回避

マイクロサービスを作成している場合や API を利用している場合は、変更を考慮することが重要です。そのため、 HCL にはIntelligent Code Analytics (ICA) があります。ICA の自動機械 ICA ll yの発見とは、新しい API を検出し、それらを適切に評価しています。そのため、セキュリティーチームが数週間かけて独自のマークアップを作成する必要がなく、 ICA の機械学習機能を、自信を持って活用できます。そして、あなたは数秒でそれを行うことができます。

ICA は、サードパーティの API とフレームワークのレビューを確実にし、それぞれに適切なセキュリティーの影響を割り当てます。これにより、より完全なスキャン結果、より正確な発見、およびより高い信頼が可能になります。

そして今、それはDevOpsにとってさらに良い

静的テストにはコードベースの深い知識が含まれるため、他のタイプのセキュリティーテストでは不可能な脆弱性が見つかります。ただし、これはより複雑になることも意味します。これは、開発パイプラインに統合するのが難しい場合があります。HCL は、優れた SAST をより簡単かつ効率的に行うためのいくつかの優れた新機能を導入しています。

Project Pizza

スキャンを小さなスライスに分割して、マルチスレッドを利用し、並列で実行します。速度をさらに向上させるために、これらも最初のスキャンでキャッシュし、後続のスキャンで新しいコードを含むもののみをスキャンします。

暗黙的なセキュリティー

新しいユーティリティを活用してリアルタイムで分析することで、開発者を置き去りにする必要がありません。CodesweepはVSCode IDEチェッカーで、最新のコード変更を自動的に分析して、開発者に調査結果をリアルタイムで通知します。 https://marketplace.visualstudio.com/items?itemName=HCLTechnologies.hclappscancodesweep

Bring Your Own Language (BYOL) カスタムスキャナーの開発を可能にし、ソースコードに対して直接脆弱性分析を迅速に実行するための新しいフレームワーク。これらは、 AppScan デプロイメントに簡単に組み込むことができます。ベンダーが新しい言語のサポートを構築するまで数ヶ月待つ必要はもうありません。

したがって、今日静的テストを実行していて、 SAST 化されていない場合は、 HCL AppScan バージョン10 を再検討するか、 HCL AppScan on Cloudの30日間の無料試用にサインアップすることをお勧めします、探していた SAST -isfactionを見つけられることでしょう。


AppScan: 開発者がアプリケーションセキュリティーの脆弱性を自分で管理できるようにする

2020/5月/12 - 読み終える時間: 2 分

2020年5月7日、英語版ブログに "Empower Your Developers to Manage Application Security Vulnerabilities on their Own" が掲載されました。その翻訳版を掲載します。


開発者がアプリケーションセキュリティーの脆弱性を自分で管理できるようにする

Florin Coada

HCL

過去数年間、誰もがセキュリティーをより真剣に受け止めていることは心強いことです。個人レベルと企業レベルの両方 (およびその間のすべて) で、ユーザーがセキュリティー侵害の潜在的な被害者にならないようにと、関心がさらに高まっています

私は「セキュリティー違反 (cyber-attack)」ではなく「サイバー攻撃 (security breach)」と言いたくなりましたが、実際には、多くの場合、これらは複雑な攻撃ではなく、まったく攻撃ではありません。誰かが基本的なことをカバーするのを忘れており、攻撃者や好奇心の強い個人がシステムの弱点を悪用している。デフォルトの資格情報の変更を忘れ、管理ポータルへの匿名アクセスを許可し、外部からのデータを消去しない例がいくつかあり、この手のことが多数あります。

アプリケーションセキュリティーの台頭

企業がこれらのミスを回避し、頭痛の種になる前にそれらを見つけることができるツールの大きな市場があります。最近多くの注目が集まっている分野の1つは、アプリケーションセキュリティーです。BA や Equifax などで発生した最近の高レベルの違反により、このセキュリティーセグメントが拡大し、注目が集まっています。

ただし、アプリケーションセキュリティーは興味深い課題です。私たちのゴールは、開発者がより良いコードを記述し、コードのバグのリリースを回避し、潜在的なセキュリティー違反を防ぐことを支援することです。

これにはいくつかのアプローチがあり、それらにはすべてメリットがあります。昔ながらのアプローチでは、セキュリティーチームが脆弱性を発見するために活用したツールを利用し、その後、脆弱性のリストを開発者に送信して修正してもらいました。

開発者に脆弱性を修正する力を与える

最近、状況は少し変化しました。より最近のアプローチは、自動化ツールがセキュリティーに代わってこの分析を実行し、開発者が結果を受け取って、問題を自分で修正できるようにすることです。これは簡単に聞こえますが、このプロセスをセットアップし、開発者に、ツールが生成する何百もの問題のどれを優先すべきかを教育することは、非常に困難な場合があります。

アプリケーションセキュリティープログラムを開発チームに展開した人なら誰でも、簡単に受け入れられる話ではないことに同意するでしょう。その結果として、一部の組織では対局にある別のアプローチを試すことにしました。そもそも問題がなければツールを使用する必要はありません。ツールを使用するにしても修正すべき発見事項が少なくなるはずです。

入力を無害化し、信頼できるコンポーネントを使用する

そもそもセキュリティーの問題が発生しないようにするには、ベストプラクティスについて人々を教育する必要があります。アプリケーションのセキュリティーに関して、私はこのアドバイスを次のように要約します。「入力をサニタイズする」と「信頼できるコンポーネントを使用する」です。アプリケーションのセキュリティー教育は素晴らしいように聞こえますが難しい問題です。これらのトレーニングはすべて、仮想の (場合によっては実際の) 教室で行われます。もしあなたが私のような人なら、仮想学習は魅力的な教育アプローチかもしれません。しかし、日々取得する知識を使用しない限り、次のステップに進むと簡単に忘れてしまいがちです。

どちらのアプローチにもメリットがあり、さまざまな課題が伴いますが、私の個人的なお気に入りは、物事を学ぶことです。ここで、私たちは何年にもわたって消費者ベースのテクノロジーで使用されてきたコンセプトを使用することに決めました。誰もがスペルチェッカーとその機能に精通しており、書かれたテキストを作成するときに、誰もがその赤い下線を避けたいと思っています。そのアプローチと同様に、 AppScan CodeSweepを作成しました。CodeSweepはVS Codeで動作する AppScan (完全無料) の最初のコミュニティエディションです。

「自分のコードは本当に危険か?」

CodeSweepの目的は単純です。コードを記述しているときに開発者が問題を見つけやすくし、問題を修正する方法がわかり、適切な質問を行い、最初の段階でセキュリティーの問題を回避できるようにすることです。私たちの目標は、新しいセキュリティー・スペシャリスト・ツールを作成することではありません。目標は、コードが本当に危険であるかどうかを直感的に訓練し、コードのどの要素がそうすることができるかを説明するツールを作成することでした。この質問に答えれば答えるほど、ツールに促されることなく、将来的に分析を実行できる可能性が高くなります。ここに短いデモがあります。

YouTube: HCL AppScan - Introducing HCL AppScan CodeSweep

この最終結果、優れたセキュリティープラクティスを学ぶことができます。長時間のクラスルームスタイルのレッスンを受講することや、コードで何かを見つけたときにセキュリティーによって指摘されるのを待つこともありません。

開発者としてあなたは何もこれまでと異なることを行う必要はありません。セキュリティーからの長いレポートも、仕事の流れを壊すトレーニングもありません。コードを記述して、自分の質問に答えるだけです。適切な質問をするタイミングを示すべく私たちは待機しています。

もっと詳しく知る

以上のことはしっかりしたアプローチのように聞こえましたでしょうか。実際に動かして学びたい、そして開発者としてのセキュリティーについてもっと学びたい場合は CodeSweep のページに行ってみてください。

Visual Studio Marketplace: HCL AppScan CodeSweep

私たちはユーザーやこのトピックに関心のある人と話すのが大好きです。コミュニケーションを取りたい場合はコミュニティーに参加することをお勧めします。

Slack: CodeSweep Community


AppScan: アプリケーションセキュリティーの先見者

2020/5月/11 - 読み終える時間: ~1 分

2020年5月8日に英語版ブログに "AppScan, an Application Security Visionary" がポストされました。その翻訳版を掲載します。AppScan の製品管理責任者の AppScan に対する思いが綴られています。


AppScan 、アプリケーションセキュリティーの先見者

Eitan Worcel

Product Manager AppScan

Gartnerは最近、アプリケーションセキュリティーに関する2019年のMagic Quadrantレポートをリリースしました。皆様が HCL AppScan に対して信頼していられると、私が信じる理由について、いくつかの背景と解説をしたいと思います。私は AppScan チームの一員として働いて15年になります。私はもともと2007年1月にWatchfireに入社し、その年の後半に AppScan の買収により IBM に移籍しました。その15年間に、AppScan が顧客やアナリスト企業から業界のリーダーであると繰り返し見られていた栄光の時代があり、一部のお客様からビジネスへのコミットメントに対する疑問符がついた、あまり栄光とは言えない数年間も体験してきました。

正直なところ、2017年1月に HCL とのパートナーシップが発表された後、 AppScan には不確実性がありました。その時点では、多くのお客様と同様に、このパートナーシップの意味がわかりませんでした。HCL は製品に投資するのだろうか。それとも単にその大規模な既存顧客をサポートする別のビジネスを形成するために買収するのだろうか。その不確実性と、競合他社からのさまざまなささやきが相まって、 AppScan の将来と、そのビジョンを実行する当社の能力についての懸念を聞くに至っても大きな驚きではありませんでした。

しかし、不確実性 (uncertainty) が疑い (doubt) につながる可能性があるのと同様に、それは大きな約束にもつながる可能性があります。HCL との最初のパートナーシップから3年以上が経過しました。2017年のその日以来、多くの約束が実現したことを誇りに思います。HCL は AppScan ビジネスに多大なコミットメントを示し、疑念を取り除きました。ほんの一例として、2017年3月以降、 HCL は開発チームの規模を2.5倍以上、セキュリティー調査チームを4倍に拡大し、製品管理チームを2倍に増やしました。このハードワークと製品への投資はすべて、今年の初めに、高速で正確なアジャイルセキュリティーテストを備えた HCL ブランドの最初のメジャーバージョンである AppScan V10のリリースに結実し最高潮に達しました。

AppScan V10は、新しいパッシブ IAST 製品、テストの最適化、インクリメンタル DAST スキャンAIを利用した SAST、 AppScan CodeSweepなどの機能強化を備え、 HCL への正式な移行からわずか9か月後にリリースされました。それ自体が印象的なリリースですが、さらに驚くべきことは、チームがお客様を混乱させることなく新会社に移行したことです。実際、NPSで測定したお客様の満足度は80%向上しました。先週、大手保険会社のサイバーセキュリティー担当シニアディレクターから次のメモが届きました。

「私たちは何年にもわたって AppScan の顧客でしたが、最近の HCL による買収にされた以降は、(AppScan に関して) テクノロジーへの協調投資が実際に行われていることを認識できるようになりました。過去1年ほどの間、機能強化の数は非常に多く、 HCL によって提供されるロードマップは、アプリケーションのセキュリティー戦略に直接対応しています。HCL との継続的なパートナーシップを楽しみにしています。」

このすばらしいニュースをすべて聞いて、「なぜ Gartner のアナリストは AppScan をリーダーの象限に含めないことにしたのか」と皆様は思うことでしょう。そうなる理由が2つあると考えています。まず、ブランドが認知されていない新しいプレーヤーにとって、新しい顧客を獲得するのが非常に難しいことを認めざるを得ません。2つ目は、 AppScan V10のリリース、新しいIASTテクノロジーの開始、そして新しいビジネスの成功における成功を完全に実証できる前に、分析が行われたことです。

HCL を応援してくださったのは既存顧客の皆様方だけではなかったことを大変嬉しく思います。7月1日に HCL に移行以来、最初の9ヶ月間で 70 もの新規のお客様にご購入いただけました。この中には、これまで私たちが小さな市場だったと考えていた地域も含まれます。これらのお客様は、HCL による投資を認識してくださいました。顧客の成功への取り組みとAppScanの幅広いテクノロジーとイノベーションがビジネスにもたらす可能性のあるユニークな価値を認めてくださり、AppScan の購入を決めてくださいました。

V10製品の改善は、2019年の Gartner の評価に貢献できませんでした。そのため、 AppScan は、ポイントリリースが強化された6年前の製品のメジャーバージョンで測定されました。この事実にもかかわらず、 HCL AppScan は、最も一般的な2つのスキャン技術であるDASTとSASTの両方で高く評価されています。

AppScan はビジョナリーの象限に位置づけられましたが、イノベーションへの取り組みとテクノロジーへの投資を裏付けるものだと感じています。V10と新しい AppScan について詳しく知りたい場合は遠慮なくご連絡ください。


About

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。