2021/7/29 - 読み終える時間: ~1 分

HCL Software Named a Leader in the 2021 Gartner Magic Quadrant for Application Security Testing の翻訳版です。

HCL AppScan: 2021年ガートナー マジック・クアドラントのアプリケーション・セキュリティ・テスティング部門でリーダーに選出される

2021年7月28日

著者: Eitan Worcel / Product Lead, AppScan 共著: Orlando Villanueva / Product Marketing Manager, AppScan

HCL AppScan: 2021年ガートナー マジック・クアドラントのアプリケーション・セキュリティ・テスティング部門でリーダーに選出される

今年のアプリケーション・セキュリティ・テスト・レポートにおいて、HCL Software が初めてリーダーに選ばれたことをお知らせします。このレポートはこちらからダウンロード できます。

2020年から、ガートナー社は、組織が Secure DevOps に向かうことを支援するために HCL Software が行っている活動を認識し、検証しました。HCL Softwareは、テストの品質、深さ、カバレッジを犠牲にすることなく、セキュリティテストを開発や運用のプラクティスに簡単に組み込めます。このような AppScan の改善により、HCL Software は Gartner 社のMagic Quadrant の Visionaries (概念先行型) セクションに入りました。

2021年の今、AppScan は HCL Software のソフトウェアとして リーダーセクションに入りました。ガートナーでは、リーダーとは、市場において「AST 製品とサービスの幅と深さ」を示すとともに、「現代の開発者の高まるニーズをサポートするための明確で明確な道筋によるビジョン」を示すものと定義している。 つまり、AppScan は、アプリケーション・セキュリティ・テストのニーズがあり、Secure DevOps を導入している組織をサポートできることが明らかです。

HCL AppScan は、スタティック (SAST)、ダイナミック (DAST)、インタラクティブ (IAST) の各テストに加え、ソフトウェア・コンポジション・アナリシス (SCA) も提供しています。これらは、オンプレミスとSaaSの両方のモデルで提供され、さまざまな規模や予算の要件に合わせた柔軟なライセンスモデルが用意されています。また、HCL AppScan は、SAST 機能を提供する CodeSweep と呼ばれる Visual Studio と GitHub 用の無料の拡張機能を持っています。

HCL AppScan の詳細については、リソースページをご覧ください。

また、無料でお試しになりたい方は、セルフサービスのフリートライアルをご覧ください。

2021/7/29 - 読み終える時間: 3 分

AppScan V.10.0.5 Impactful Updates Enabling Fast, Accurate, Agile Security Testing の翻訳版です。

AppScan V.10.0.5: インパクトのあるアップデートにより、迅速、正確、俊敏なセキュリティテストを実現

2021年7月29日

著者: Eitan Worcel / Product Lead, AppScan

HCL AppScan V.10.0.5 による信頼性の高いアプリケーション・セキュリティ・テスト

継続的なアプリケーション・セキュリティを促進するツールを持つことは、企業の成功に不可欠です。そのため、AppScan は安全な技術革新を継続的に提供することを約束しており、最新のバージョン10.0.5 はその約束を証明するものです。

このブログでは、AppScan V.10.0.5 の新機能と改善された機能のいくつかを製品ライン別に紹介します。また、スペシャルイベントである AppScan Tuesdays では、以下に紹介する多くの新機能の詳細をご紹介していますので、こちらもぜひご覧ください。

HCL AppScan Enterprise V10.0.5 の機能強化点

• Interactive Application Security Testing (IAST) が正式にリリースされました。IASTは、Javaに加えて、.NETとNode.jsをサポートするようになりました。
• 新しく改良された「修正方法」情報（勧告、修正の推奨などを含む）が利用できるようになり、複数のコード言語の潜在的な脆弱性に対するコード別の詳細な解決策を提供します。
• ASE Admin ユーティリティーを強化し、パスワードの自動変更を可能にしました。
• ブラウザベースの検証による XSS 解析の向上。
• 最新の DISA STIG V5R1 をサポートする新しいコンプライアンスレポート。
• 新しいアプリケーションテストにより、以下のことが可能になります。新しいアプリケーションテストにより、次のことが可能になりました。誤設定または安全でないリファラーポリシーの検出、アプリケーションでホストヘッダーが動的に解析されているかどうかのテスト、CORS ポリシーが任意のオリジンヘッダー値に由来するかどうかの確認。

AppScan Enterprise の機能強化の詳細については、Recent Updates のページをご覧ください。

HCL AppScan Source V10.0.5 の機能強化点

AppScan Source V10.0.5 では、以下の点が強化されています。

• 改良された新しい「修正方法」情報（勧告、修正の推奨などを含む）が利用できるようになり、複数のコード言語の潜在的な脆弱性に対するコード別の詳細な解決策を提供します。
• データ移行ユーティリティーが強化され、Solid DB/Oracle から ASE へ共有データを移行するスタンドアロン・ユーティリティーが可能になりました。
• HCL Common Local License Server 2.0 のサポートが可能になりました。
• 最新の DISA STIG V5R1 をサポートする新しいコンプライアンスレポート。
• 細かい新機能は以下の通りです。IFA の除外された所見を含むかどうかの設定可能なオプション、大きな PDF レポートを生成するためのパフォーマンスの向上、システムリソースの可用性をログに印刷できます。

AppScan Source の機能強化の詳細については、Recent Updates のページをご覧ください。

HCL AppScan Standard V10.0.5 の強化点

AppScan StandardのV10.0.5 の機能強化点は以下の通りです。

• 改良された新しい「修正方法」情報（勧告、修正の推奨などを含む）が利用可能になり、複数のコード言語の潜在的な脆弱性に対するコード別の詳細な解決策を提供します。
• ブラウザベースの検証による XSS 解析が改善されました。
• パラメータや Cookie のような非標準的なヘッダーをテスト対象から除外できるようになりました。
• 新しいアプリケーションテスト。新しいアプリケーションテスト：誤って設定された、または安全でないリファラーポリシーの検出、アプリケーションでホストヘッダーが動的に解析されるかどうかのテスト、CORS ポリシーが任意のオリジンヘッダー値に由来するかどうかの確認が可能です。
• 最新の DISA STIG V5R1 に対応した新しいコンプライアンスレポートを提供します。

AppScan Standardの機能強化の詳細については、Recent Updates のページをご覧ください。

スペシャルイベント AppScan Tuesdays のご案内と詳細

上記の機能強化の詳細については、AppScan Tuesdays スペシャルイベント をご覧ください。

AppScan の最新の開発状況については、YouTube の This is AppScan チャンネル をご覧ください。

2021/4/20 - 読み終える時間: 2 分

Intelligent Code Analytics: Increasing Application Security Testing Coverage With Cognitive Computing の翻訳版です。

HCL AppScan インテリジェント・コード・アナリティクス: コグニティブ・コンピューティングによるアプリケーション・セキュリティ・テストのカバレッジの向上

2021年4月20日

著者: HCL Software / A division of HCL Technologies (HCL)

前回の記事 では、コグニティブ・コンピューティングによって、静的アプリケーション・セキュリティ・テスト (SAST) につきものの誤検出やノイズを大幅に削減できることを紹介しました。また、ほとんどのアプリケーション・セキュリティ製品のアプローチである、言語カバレッジに影響を与えることなく (すなわち、ルール・セットを減らすことなく) 、誤検出を減らすことができることを示しました。

IFA (Intelligent findings analytics) は、アプリケーション・セキュリティ・テストにおける重要なブレークスルーとなりますが、静的解析言語プロセッサが生成したカバレッジの幅を維持するに過ぎません。

ICA：アプリケーション・セキュリティ・テストを一歩前進させる

インテリジェント・コード・アナリティクス (ICA) は、コグニティブ・コンピューティングを使用して言語のカバレッジを拡張することにより、IFA を大きく前進させます。コーディング言語は、毎日のように新しいフレームワークが登場し、急速に進化しているため、これは非常に重要です。Java 8 のような新しい言語のバージョンでは、何万もの新しいアプリケーション・プログラム・インターフェース ( API ) が導入されます。

従来、訓練を受けたセキュリティ専門家は、これらの API の一つ一つを検証し、それが入力 (ソース) か出力 (シンク) かを確認し、コードに脆弱性 (テイント) が含まれているかどうかを判断していました。新しいフレームワークは、このプロセスをさらに複雑にしています。開発者にとってはコーディングが簡単になることで、テストシステムにとってはレビューが不透明になります。これらの API を特定し、マークアップと呼ばれるルールを作成するには、数週間以上かかることもあり、テストシステムのカバレッジにギャップが生じてしまいます。

ICA は、機械学習を API の識別とマークアップに適用することで、この問題に対処し、事実上排除します。驚くべきことに、ICA はこの作業をオンザフライで行います。ICA は新しい API やフレームワークに出会うたびに、それが汚染可能かどうかを瞬時に判断し、ルールを作成します。このルールは解析エンジンで使用され、アプリケーションのデータフローに実際の脆弱性が含まれているかどうかを判断します。

ICA は「Just Works」

これらの結果がどのようにして得られたかを説明する言葉があります。"It just works!" この言葉の裏には確かに詳細がありますが、コグニティブ技術をアプリケーション・セキュリティ・テストに適用することの素晴らしさは、詳細をすべて知る必要がなく、結果を見るだけでよいということです。

IFAでは、訓練を受けた専門家が同じ分析を行った結果と同等以上の精度を機械が実現しました。同様に、ICA の結果も同様に、人間が行った分析結果と同等かそれ以上の素晴らしいものでした。これは、IFAと同様に、複雑な問題に何時間も取り組んでいると、人間は自然と疲れてミスをしがちになりますが、機械は同じ作業を数秒で完了し、疲れないということに起因していると考えられます。

IFA と ICA でスピードとカバレッジを高める

IFA と ICA は、コグニティブ・コンピューティングを活用して、アプリケーション・セキュリティの主要分野であるスピードとカバレッジに対応します。この2つは、DevOps アプリケーション・セキュリティ・プログラムを成功させるために不可欠です。しかし、これは始まりに過ぎません。アプリケーション・セキュリティ・プログラムをより効果的にするために、コグニティブ・コンピューティングは次に何をもたらしてくれるのでしょうか？その答えは、このページをご覧ください。

AppScan のコグニティブ・アプリケーション・セキュリティ・テスト機能の詳細については、この短いアニメーション・ビデオをご覧ください。

2021/4/20 - 読み終える時間: 2 分

Intelligent Finding Analytics: Your Cognitive Computing Application Security Expert の翻訳版です。

AppScan Intelligent Finding Analytics: コグニティブコンピューティングによるアプリケーションセキュリティのエキスパート

2021年4月19日

著者: HCL Software / A division of HCL Technologies (HCL)

数年前、AppScan チームは、アプリケーション・セキュリティ・リスクを理解し低減しようとする企業が直面する困難な問題に対処するために、コグニティブ・コンピューティングがどのようにインテリジェントな発見分析を生み出すことができるかについて調査を開始しました。つまり、開発者に脆弱性を報告するスピードを重視すべきか、それとも結果を分析して問題を特定し、優先順位をつけて対処する精度を重視すべきか、という難問に直面しています。一般的に、後者の目標である「正確さ」には、専門家を活用してリスクの高い脆弱性を検証し、前者の目標である「速さ」の達成を妨げる可能性のある偽陽性を排除することが含まれます。簡単に言えば、両方を手に入れることはできないということです。これまでは、そうでした。

干し草の山から針を探す

干し草の山を例にとってみましょう。SAST への最適なアプローチは、アプリケーション内の実際のデータフローを調べることなので、SAST スキャナは多数の結果を出す傾向があります。これらをすべての可能な結果と考えてください。これが「干し草の山」という喩えです。

この干し草の山の中から針を見つけるために、セキュリティチームは2つの可能なアプローチのうちの1つを取ることができます。

干し草の山の大きさを小さくする

これは一般的に、アプリケーションをスキャンする際に、より少ない数の結果（できれば最も重要なもの）を見つけるという、軽いアプローチによって達成されます。このアプローチの主な利点は、スピードです。例えが悪いかもしれませんが、結果の数が少ないと、小麦と籾殻を素早く分けることができます。これにより、セキュリティ・チームは開発者に迅速に結果を提供することができます。しかし、デメリットにも注意する必要がある。セキュリティ・チームは、探している針を見つけられないかもしれない。言い換えれば、このプロセスは、組織の全体的なアプリケーション・セキュリティ・リスクを確実に低減するものではない。

人員を増やす

2つ目のアプローチは、結果を確認して針を見つけるために、従業員を増員することです。この方法の利点は、包括的であることです。テストの過程で針が失われることはなく、専門家はどの結果に対策が必要かを判断することができます。一方、デメリットとしては、スキル、コスト、そして特に時間の面で非効率であることが挙げられます。干し草の山が大きければ大きいほど、プロジェクトにはより多くの専門家が必要になります。これらの専門家は、希少で高価なリソースです。結果のレビューには数時間、数日、あるいは数週間かかることもあり、開発者にタイムリーに結果を提供したり、継続的なエンジニアリングを確保することは事実上不可能です。スキル不足のため、一部の企業はプロセス全体をアウトソースすることにしました。これは、短期的なスキルギャップを解決することはできますが、コストとプロセス時間が大幅に増加します。アウトソーシングすることで、企業は採用やトレーニングの負担から解放されますが、時間の優先順位を決める際のコントロールを失うことになります。

インテリジェント・ファインディング・アナリティクス

この選択肢と、他の認知的な取り組みの成功を踏まえ、AppScan のエキスパートは、第3の選択肢があるはずだと考えました。こうして生まれたのが、AppScanのIFA (Intelligent Finding Analytics) です。IFA は当初、第1の SAST アプローチの主な利点であるスピードと、第2のアプローチの利点である精度を、それぞれに関連する欠点なしに達成できるかどうかを調べる研究プロジェクトでした。認知機能を利用して、専門家集団が干し草の山をかき分けるような役割を果たすことが目的だった。

驚異的な数字

1年目の結果は、当初の予想を上回るものでした。実際にお客様に使っていただいたところ、誤検出やノイズを取り除くことで、結果の干し草の山は常に90％以上減少しました。IFA の学習機能を使えば、誤検出の除去精度は98％以上になります。実際に、2016年10月時点で、クラウド上のアプリケーションセキュリティにおけるお客様の全スキャンでの誤検知とノイズの削減率は、なんと98.91％でした。

先に述べたように、この削減は精度を犠牲にするものではなく、IFA の98パーセントの精度は、有能で経験豊富なアプリケーションセキュリティの専門家の精度とほぼ同じである。多くの場合、IFA の結果は実際に人間の専門家よりも優れている。これは、人間が何時間も針の穴を探しているうちに疲労してくるからだと思われる。人間の専門家が大規模なアプリケーションを分析するのに数時間から数日かかるのに比べ、IFA は数秒どころか数分で結果を出す。このスピードにより、サイバーセキュリティチームは、持続的な脅威に対応し、継続的なエンジニアリングモードを維持するのに十分な速さで開発者に調査結果を提供することができる。これにより、開発者は、頻繁に、かつ早期にスキャンを行うことができ、脆弱性が出てくるのを待つのではなく、出てきた時点でそれを修正することができます。

修正グループと現実世界の結果

しかし、IFA は「干し草」と「針」の問題を解決するだけではありません。IFAは、開発者が発見した問題を、自分が書いているコードの中で直接修正することをより効率的に行えるようにします。認知技術を応用したIFA は、修正グループを使って発見物のセットを減らします。修正グループは、コード内のどこにセキュリティ上の問題があるかを正確に示し、開発者が複数の問題を同時に修正できるようにします。現在、開発者は数百のセキュリティ問題に対し、5?10の修正グループを確認しています。IFA は、開発者が1つの統合開発環境 (IDE) ですべての問題を修正できるようにします。

このような機能を持つ IFA は、企業が日々のアプリケーション・セキュリティの課題に対処するためにどのように役立つのでしょうか？実際のお客様の結果を3つ見てみましょう。

アプリケーション No.1 では、ディープスキャンの結果、12,000以上の潜在的な脆弱性が特定されました。IFA は、この数を約1,000個に減らし、1,000個すべてに対処するためにコード内の35箇所（修正グループ）を特定しました。アプリケーション No.2 では、ディープスキャンの結果、約250,000件の潜在的な脆弱性が特定されました。ここでもIFAは、約1,000個の脆弱性に削減し、それらに対処するためにコード内の103個の修正グループを特定した。アプリケーション No.3 では、ディープスキャンの結果、750,000件近くの潜在的な脆弱性が特定されました。驚くべきことに、IFA はこれらをわずか483の実際の結果にまで減らし、42の修正グループを特定した。

長年の経験から、IFA はあらゆる規模のアプリケーションの開発チームを支援できることを示している。これにより、それらのセキュリティ・チームがアプリケーション・セキュリティ問題の発見と修正に何時間も費やす必要がなくなりました。あるいは、場合によっては、両手を挙げて巨大な挑戦をあきらめてしまうこともありました。その代わりに、これらの企業では、アプリケーション・セキュリティ・リスクに対処するための効率が98％以上向上しました。

IFA の活用

学術的な研究、継続的な機械学習、実際の顧客経験を経て、IFA は何をしてくれるのでしょうか？非常に簡単に言えば、IFA は以下のような方法を提供します。

• 継続的な開発プロセスと統合するために、セキュリティテストを高速化する。
• 限られたセキュリティスタッフの負担を軽減します。
• 開発者がより効果的に安全なコードを提供できるようにする。

そして、これはほんの始まりに過ぎません。IFA の機能は、HCL AppScan の一連のソリューションで利用できます。AppScan on Cloud の IFA および ICA (Intelligent Code Analytics) 機能の概要については、以下の簡単なビデオをご覧ください。また、今すぐ ASoC の無料トライアルにお申し込みいただき、コグニティブ機能をお試しください。

2021/4/5 - 読み終える時間: ~1 分

HCL Software は Secure DevOps 製品群を開発・販売していますが、その中にセキュリティーテストツールである HCL AppScan があります。 AppScan にはソースコードレベルとアプリケーションレベルでチェックする機能があり、上流から下流までカバーする製品です。

最近、アプリ開発のセキュリティーの世界で注目されているのは「シフトレフト」の流れです。より上流で潜在的な問題を検出、修正することで、手戻りを減らす考え方です。

そのことについて書かれたホワイトペーパーを日経クロステックのサイトで公開しました。

• 開発コストもリスクも削減、セキュリティテストの「シフトレフト」とは？ - ホワイトペーパー：日経クロステック

2021/3/25 - 読み終える時間: ~1 分

Mobile Applications: Much More Than What Runs on Your Device の翻訳版です。

モバイルアプリ: デバイス上で動作しているものよりもより深く

2021年3月23日

著者: Eitan Worcel / Product Lead, AppScan、Nabeel Jaitapker 共著: Product Marketing Lead, HCL Software

モバイルアプリケーションは、ビジネスの拡大や潜在的な顧客へのアプローチを可能にするものであることは誰もが知っています。

しかし、モバイルは、セキュリティの脆弱性を利用して利益を得ようとする悪意のある行為者にとって、脅威のベクトルを拡大しています。

悪意のあるハッカーとの戦いにおいて、企業は、モバイル操作に起因する脅威からしっかりと保護されていることを確認する必要があります。しかし、忘れがちなのは、モバイルからの脅威は、ユーザーがプロバイダーのアプリストアからダウンロードして自分の端末にインストールするクライアント側のモバイルアプリケーションの脆弱性に限らないということです。より大きなリスクは、バックエンドで実行され、クライアント側のアプリケーションからのリクエストを処理するサービスにあります。

HCL AppScan は、クライアント側のモバイル・アプリケーションとサーバー側の Web サービスの両方を、アプリケーション・セキュリティのテスト技術を組み合わせてスキャンすることをサポートしているため、モバイル・アプリケーションのランドスケープを適切にテストするための完全な技術セットを提供できる唯一のソリューションです。

例えば、開発者は、SAST (Static Analysis Security Testing) を使って自分のコードにセキュリティ上の脆弱性がないかどうかを簡単に調べることができますし、SCA (Software Composition Analysis) を使って自分のアプリケーションにインポートするサードパーティーのコンポーネントに既知の脆弱性がないかどうかを評価できます。

サーバーサイドでは、SAST と SCA に加えて、AppScan では Dynamic Analysis Security Testing (DAST) を使ってバックエンドサービスをスキャンできます。この DAST は、悪意のあるハッカーが使用するのと同じアクションを模倣します。また、インタラクティブ・アナリシス・セキュリティ・テスト (IAST) では、アプリケーションが操作されているときの動作を監視することができ、外部に露出しにくい脆弱性を検出することができる、別の層のテストが可能です。

ここ数年の AppScan を追っている人は、クライアント側のモバイルアプリケーションをスキャンする HCL AppScan on CloudのMobile Analyzer にも精通していることでしょう。Mobile Analyzerは IAST 技術に依存していますが、ここ数ヶ月の間に、上述の SAST によるモバイル言語のサポートを導入したことで、この技術からの移行を開始しました。

SAST のメリット

パッシブ IAST は、ゼロタイムでセキュリティ分析を行います。その利点は、パイプラインの一部として実行し、QA チームがすでに実行している機能テストを活用する場合です。これは、Web アプリケーションや Web サービスでは非常に有効ですが、クライアントサイドのモバイルアプリケーションではあまり有効ではありません。このような制限を克服するために、AppScan では独自のクローラーを実装し、アプリケーションと自動的に対話するようにしました。この方法では、アプリケーションのスキャンに成功しましたが、当社の SAST スキャンがわずか数分またはそれ以下で完了するのに対し、スキャン時間は平均して1時間以上かかりました。

当社の IAST ソリューションでは、Swift、Objective-C、Android Java、Kotlin で書かれたiOSおよびAndroidアプリケーションしかスキャンできず、一般的なデバイス上で動作するアプリケーションに限られます。特定のAndroidメーカー向けに書かれたアプリケーションには対応していません。HCL の SAST ソリューションでは、上記の4つに加えて、ionic、React Native、Xamarin に対応しており、今後も言語やフレームワークの追加を予定しています。SAST では、デバイスにとらわれないため、どのデバイスであってもコードをスキャンできます。

前述のように、IAST はアプリケーションが操作されているときにそれを監視しますが、モバイル向けのIASTソリューションには実際のモバイルデバイスを使用する必要があります。そのため、Mobile Analyzerは当社のクラウドソリューションでしか利用できませんでしたが、SASTによるモバイルサポートを追加することで、HCL AppScan Sourceでも利用できるようになりました。

IAST や DAST のようなアプリケーション・セキュリティ・テストでは、実行中のアプリケーションをテストしますが、これは一面では SAST よりも正確ですが、他面ではスキャンが困難です。SAST のスキャンを成功させるために必要なのは、アプリケーションコードだけです。バックエンドサーバーをインストールする必要はなく、スキャナがバックエンドに到達できるようにしたり、ログイン認証情報を提供したりする必要もありません。実際には、アプリケーションをコンパイルする能力さえ必要ありません。

HCL Software では、HCL AppScan on Cloud を使用したモバイルアプリケーションの価値が非常に高まっていることを実感しています。是非、デモをご利用ください。

2021/3/24 - 読み終える時間: ~1 分

AppScan on Cloud は、クラウドサービスのため、機能改善を継続的に行っていますが、今回、機能向上を含め、より使いやすく改善されました。これを説明した5分の動画を作成しました。

2021/3/23 - 読み終える時間: ~1 分

HCL AppScan を開発プロセスに組み込み、継続的なセキュリティを維持していくには、プロセスのデザインやプランニングが重要です。この記事は、HCL AppScan の CTO である Collin Bell による、継続的なセキュリティを実現するために必要な考慮事項の解説記事です。

• HCL AppScan 製品カタログ