2024/2/19 - 読み終える時間: ~1 分

Mobile Application Security Testing Continues Upward Trajectory の翻訳版です。

モバイルアプリのセキュリティテストは上昇の一途をたどる

2024/02/12

著者: Nabeel Jaitapker / Product Marketing Lead, HCLSoftware

モバイル・デバイスの存在感の増大とサイバー脅威の複雑化により、モバイル・アプリケーション・セキュリティ・テスティング・ソリューションに特化した成長が促進されている。

最近のレポートによると、モバイルアプリケーションの使用量の増加、安全なアプリケーションを義務付ける規制遵守、迅速な開発サイクルにより、世界のモバイルアプリケーションセキュリティテスト市場は2028年までに32億ドルに達すると推定されている。

MarketsandMarketsが発行したこのレポートは、セキュリティテストソリューションに対する需要の背景には、サイバー脅威と攻撃手法の絶え間ない進化があるとしている。また、技術の進歩に伴い、採用される悪意のある手口も高度化しており、モバイル・アプリケーションや機密データへのアクセスを危険にさらしている。

このような状況に対処するため、本レポートでは、脆弱性が悪用される前に脆弱性を特定し対処することで、新たな脅威の一歩先を行く定期的なセキュリティテストを推奨しています。このアプローチは、（マルウェア、フィッシング、コードインジェクションなどの攻撃がますます巧妙化する中で）ダイナミックに変化し続けるサイバーセキュリティの状況において、組織を支援します。

モバイルアプのセキュリティテスト

モバイルアプリケーションのセキュリティテストは、アプリケーションのセキュリティコントロールが期待通りに機能することを確実にするための、本番前のチェックと考えることができ、同時に、実装上のエラーから保護します。このテストは、開発チームが予期していなかったエッジケース（セキュリティバグになる）を発見するのに役立ちます。

このプロセスは、市場に導入する前にアプリケーションの堅牢性を確保することを目的とする企業にとって不可欠です。

効果的なセキュリティテストは、アプリの意図された目的と扱うデータの性質を包括的に理解することから始まります。静的解析（SAST）、動的解析（DAST）、対話型解析（IAST）の組み合わせを採用することで、組織は、単独のテスト手法では容易に特定できない脆弱性を明らかにする全体的な評価を得ることができます。

HCL AppScanは、ソフトウェア開発ライフサイクルの各段階において、アプリケーションの脆弱性をピンポイントで特定し、迅速な修復を可能にする一連の技術により、開発者、DevOps、セキュリティチームを支援します。さらに、クラス最高のテストツール、一元化された可視性と監視機能、オンプレミス、オンクラウド、クラウドネイティブを含む複数の導入オプションによりアプリケーションを保護することで、企業と顧客の保護を支援します。

HCL AppScan のアプリケーション・セキュリティ・テスト・ソリューション・ポートフォリオは、SAST分野のトップベンダーの中で、強力なパフォーマーとして評価されています。この評価は、今日の速いペースのデジタル+エコノミーにおいて、開発者に力を与え、コードセキュリティを強化するトップレベルのソリューションを提供することへの揺るぎないコミットメントを強調するものです。

HCLSoftwareの強力なパフォーマーとしてのランキングの詳細については、最近発表された Static Applications Security Testing (SAST) の Forrester Wave をご覧ください。

2024/2/19 - 読み終える時間: 2 分

Secure Application Code Against Vulnerabilities Faster with HCL AppScan Fix Groups の翻訳版です。

HCL AppScan Fix Groups でアプリケーションコードをより早く脆弱性から守る

2023/12/20

著者: Itay Levin / Design Lead for HCL AppScan

静的アプリケーション・セキュリティ・テスト（SAST）は、ウェブ・アプリケーションとAPIのソースコードをスキャンし、セキュリティ・リスクになり得る脆弱性を探します。この種のコードスキャンに関する根強い課題の1つは、これらのツールが膨大な数の発見をもたらす可能性があることです。これらの発見のうち、どれが修正が必要な重大な脆弱性であるかを見極めるのは、困難で時間のかかる作業になりかねません。

HCL AppScanには、スキャン結果の数を劇的に減らし（数千件から数百件に）、誤検出を実質的に排除する内蔵AIをはじめ、こうした課題を解決するためのソリューションが多数用意されています。

HCLSoftwareのクラウドおよびクラウドネイティブプラットフォーム（HCL AppScan on CloudおよびHCL AppScan 360°）の両方にFix Groupsが追加されたことで、トリアージと修復の時間が大幅に改善されました。

HCL AppScan がサポートする 3 種類の修正グループ

• 共通修正ポイント - この修正グループは、.NetやJavaのようなコンパイル済みの言語で、静的スキャナがデータ・フロー解析を実行してトレース結果を生成する場合に適用されます。この修正グループは、トレースが共通のノードを介して流れる同じ脆弱性タイプのすべての発見を組み合わせます。その共通ノードの問題を修正することで、この修正グループ内のすべての発見が解決される。

• 共通 API - 共通APIグループは、プロジェクト全体で使用されている特定のAPIに関連するすべての発見を集める。これらの問題は、別のAPIを使用するか、元のAPIの使用方法を変更することで、グループとしてまとめて解決できます。

• 共通オープンソース - オープンソースグループは、脆弱性のあるライブラリに関連するすべての問題を表示します。ライブラリの脆弱性が特定されると、関連するすべての問題は、ライブラリを更新するか変更することで、グループとして修正できます。

異なる修正グループの使用方法

修正グループのメインビュー

新しい「修正グループ」ビューには、優先順位付けプロセスにおいて修正グループの作業がどの程度効率的になるかを理解するための 2 つの KPI があります。実行される修復タスクの総数、およびそれらのタスクに関連するグループで見つかった問題の総数です。

新しい修正グループのデザインでは、UIが改善され、グリッドが表示されるようになりました。列は、修正グループのタイプ、重大度、ポリシーなどで並べ替えられます。

このレビューで行を選択すると、修正グループの詳細ドロワーが開き、複数のコメントを追加したり、各修正グループの監査を表示したりできます。

修正グループの課題

修正グループの課題ビューが更新され、各グループに関連する課題を確認できるようになりました。詳細は画面上部に表示され、コメントを表示または追加できます。修正グループのissueの表は、各修正グループのタイプに関連する列で再編成されました。例えば、共通修正ポイントではソース、シンク、ファイル名が、共通APIではコンテキストとファイル名が、オープンソースCVEでは場所が表示されます。

すでにHCL AppScan on CloudまたはHCL AppScan 360°を静的解析に使用している場合は、Fix Groupsを試してみてください。

HCL AppScan SASTをまだご利用でない場合は、無料トライアルをご利用いただき、この強力なテクノロジーがお客様のアプリケーション・セキュリティをどのように変革できるかをご確認ください。

• HCL AppScan on Cloud の詳細
• HCL AppScan 360°の詳細

2023/12/27 - 読み終える時間: 2 分

HCL AppScan 10.4.0 Delivers Greater Speed, Accuracy, and Automation for Customers の翻訳版です。

HCL AppScan 10.4.0: より高速、高精度、自動化をお客様に提供

2023年12月13日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

アプリケーション・セキュリティ・テストの自動化、スキャン速度、精度の向上は、HCL AppScan 10.4.0 のハイライトのほんの一部に過ぎません。

HCL AppScan Standard、Enterprise、Source向けのこの新リリースは、ソフトウェア開発ライフサイクルのあらゆる段階において、アプリケーションの脆弱性をピンポイントで特定し、迅速に修復するための一連のテクノロジー（SAST、DAST、IAST、SCA、API）により、開発者、DevOps、セキュリティチームに力を与えます。

バージョン10.4.0 のリリースにより、オンプレミスのアプリケーション・セキュリティ・テスト・ソリューションを使用している顧客は、脆弱性のあるサードパーティ・コンポーネントの最新のCVEアップデート、複数のシークレット・スキャン設定オプション、コンプライアンス・レポートの増加リストにアクセスできるようになります。

スキャン時間の短縮、修復の迅速化、精度の向上

HCL AppScan StandardとEnterprise のバージョン10.4.0 では、IAST Total による DAST スキャンが強化され、スキャンと修復が高速化され、より正確な結果が得られるようになりました。

• スキャン時間 - IAST サブスクリプションをご契約のお客様は、OS、フレームワーク、プラットフォーム、サーバーなどを特定することで、DAST スキャン設定を改善し、スキャン範囲を縮小し、不要なテストを排除して時間を節約することができます。

• 修復 - HCL AppScan DAST は IAST Total を活用して、検出された脆弱性のコールスタックを提供することもできます。この情報により、アプリケーション・コンポーネント、パラメータ、エンドポイントなどに対するより深い洞察が可能になり、より迅速なトリアージと修復に役立つ正確な脆弱性の場所を検出します。

• 正確性 - HCL AppScan IAST Total は、お客様のランタイム環境内で実行され、スキャン・コンポーネントに関するより深い知識を提供します。アプリケーションのバックエンドだけでなく、使用されているコンポーネントに対する洞察が深まり、その結果、スキャン範囲が広がり、より正確な結果が得られます。

脆弱なサードパーティコンポーネントの検出

Digital+ Economy が急速に進む今日、ソフトウェアのセキュリティを完全に確保するには、どのサードパーティ製コンポーネントに対処すべき脆弱性があるかを把握する必要があります。HCL AppScan のお客様は、サードパーティ製コンポーネントに関連する最新の CVE アップデートにアクセスするために、四半期ごとのリリースを待つ必要がなくなりました。バージョン10.4.0 では、このリストは継続的に更新されるため、パッチが利用可能になり次第、中央サーバーからアップロードすることができます。

HCL AppScan Enterprise および Standard におけるレポートの改善

HCL AppScan Enterpriseバージョン10.4.0 では、スキャンされたすべてのURLを一覧表示するレポートが追加され、スキャンカバレッジを測定する機能が改善されました。さらに、HCL AppScan Enterprise と HCL AppScan Standard の両方に、新規および更新された規制コンプライアンスレポートが含まれます。

新しいレポート

• [SA] Protection of Personal Information Act (PoPIA)

更新されたレポート

• [US] The Federal Risk and Authorization Management Program (FedRAMP)
• [US] DISA's Application Security and Development STIG, V5R2
• [US] Federal Information Security Modernization Act (FISMA)

HCL AppScan Source における機密スキャンの機能強化

進化し続けるサイバーセキュリティの世界では、常に先を行くためには継続的なイノベーションが求められます。HCL AppScan Source バージョン 10.4.0 では、自動化プロセスを合理化しながら、企業が防御を強化できるようにすることを目的としたさまざまなアップグレードが導入されています。

主なハイライトの1つに、強化されたシークレットスキャナーがあり、HCL AppScan on Cloudで利用可能なオプションと同様のオプションをユーザーに提供します。特に、ユーザーはシークレットスキャンを単独で、またはSASTスキャンと並行して同時処理の一部として実行できるようになりました。

GitLabとGitHubにおける自動化の改善

HCL AppScan Sourceバージョン10.4.0 では、自動化機能も改善され、使いやすさと効率性の新たな基準を打ち立てました。ユーザーはGitLabとGitHubのスキャンワークフローの例にアクセスできるようになり、開発パイプラインへのセキュリティチェックの統合が簡素化されました。Source CLI も大幅に強化され、よりスムーズな自動化を実現した。スキャンを開始する前にライセンスが利用可能になるのを待つ機能を導入することで、CLIは利用できないライセンスによる潜在的な障害を排除し、より信頼性が高く、手間のかからない自動化プロセスを提供する。

HCL AppScan 10.4.0 に含まれる幅広いアップデートはすべて、業界最高のセキュリティテストおよび管理ツールの構築に重点を置き、お客様を第一に考えた積極的な技術革新ロードマップの重要な構成要素です。

オンプレミスのアプリケーション・セキュリティ・ソリューションや、HCLSoftware の主力クラウド製品である HCL AppScan on Cloud（無料トライアルあり）、クラウドネイティブ製品であるHCL AppScan 360の詳細については、HCL AppScanのオンラインサイトをご覧ください。

2023/12/9 - 読み終える時間: 2 分

HCLSoftware Named a Strong Performer in The Forrester Wave™ - Static Application Security Testing, Q3 2023 の翻訳版です。

HCLSoftware が The Forrester Wave™ - Static Application Security Testing, Q3 2023 において強力なパフォーマーに選出

2023年12月5日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

2021年以降のスタティック・アプリケーション・セキュリティ・テスト（SAST）に関する最新のForrester Wave（フォレスター・ウェーブ）レポートにおいて、HCL AppScanのアプリケーション・セキュリティ・テスト・ソリューションのポートフォリオは、SAST分野のトップベンダーの中で強力なパフォーマーとして評価されました。この評価は、今日のペースの速いデジタル＋エコノミーにおいて、開発者に力を与え、コードセキュリティを強化するトップレベルのソリューションを提供するというHCLSoftwareの揺るぎないコミットメントを強調するものだと考えています。

Forrester Wave レポートは、静的アプリケーション・セキュリティ・テストの重要なガイドとして、市場のトップ・ベンダーの包括的な評価を提供します。今年のレポートでは、コード開発と配備を加速させている多くの業界トレンドに焦点を当てています。

• クラウド、コンテナ、マイクロサービス、DevOps、ローコードプラットフォームなど、新しく出現した技術の普及
• 開発ワークフローへのセキュリティの統合
• 修復プロセスの自動化

HCL AppScanのポートフォリオには、SASTだけでなく、DAST、IAST、SCAソリューションも含まれています。これらはすべてForrester社のレポートに引用されており、開発者のワークフローにシームレスに統合する堅牢なツール群を提供するというHCLSoftwareの貢献を反映しています。HCLSoftwareは、開発者のベロシティを優先し、コードリポジトリ、ビルドツール、CI/CDパイプライン、IDEとのネイティブな統合を通じて、迅速で実用的な結果を提供することに誇りを持っています。

Forrester社のレポートによると、「HCL AppScanは、Rust、Dart、ABAPを含む言語とフレームワークを最も多くカバーしています。さらに、HCL AppScanの "独自言語の持ち込み "機能は、顧客のあらゆるニーズに対応します。

HCL AppScanは、SASTのトップベンダーにランクインしたことに加え、多くの特定の基準で最高得点を獲得しました。

• DevSecOpsワークフロー（評価対象の全ベンダーの中で最高スコア）
• ルールとポリシーの管理（上位2ベンダーのスコア）
• カバレッジの広さ（上位3社のスコア）
• パートナーエコシステム（ベンダースコア上位3社）
• サポートサービスとオファリング（上位3社のスコア）

この詳細なレポートでは、HCL AppScanを際立たせる重要な要素を取り上げています。HCL AppScanは、グローバルに展開し、クラウドネイティブの統一された導入モデルに関する経験を有しているため、グローバルに事業を展開する企業にとって戦略的な選択肢となります。特にアジア太平洋地域の企業にとって、評価においてHCL AppScanを考慮することは単なる選択ではなく、デジタル資産の将来性を見据えた戦略的な動きです。

HCL AppScanは、単なるセキュリティ上の弱点の特定にとどまらず、コード例を提供し、自動修正にジェネレーティブAIを活用することで、迅速な解決を促進します。

HCL AppScanは、HCLSoftwareがストロングパフォーマーに指定されたことを誇りに思います。HCLSoftwareのロードマップは業界のベンチマークに沿ったものであり、スピード、カバレッジ、精度、レポート、結果の相関性において継続的な改善をお約束します。

レポート全文をダウンロードして、すべての調査結果をご覧ください。

HCL AppScanのアプリケーション・セキュリティ・テスト・ソリューション・スイート全体の詳細については、HCLSoftware のウェブサイトをご覧ください。また、フリートライアルもお試しください。

2023/12/6 - 読み終える時間: ~1 分

Achieve Enhanced DAST Scan Coverage and Accuracy with IAST の翻訳版です。

HCL AppScan: IAST による DAST スキャンの網羅性と精度の向上

2023年12月5日

著者: Ayan Som / Senior Product Manager, HCL AppScan

今日のペースの速いデジタル環境では、堅牢なウェブ・アプリケーション・セキュリティ・テストの役割がこれまで以上に重要になっています。HCL AppScan DAST（Dynamic Application Security Testing）は、ウェブアプリケーション内の脆弱性を特定するための主要なツールとして広く認知されています。

ほとんどの最新アプリケーションは、修正されなければ重大なセキュリティ・リスクとなり得る様々な形態の脆弱性にさらされています。エンジニアリング・チームがこれらの問題を認識すると、多くの場合、その根本原因を突き止め、修正するために多くの時間を費やさなければなりません。さらに、業界全体のDASTユーザーは、ツールが脆弱性を検索する際のスキャン時間の長さに悩まされています。

IAST Total（Interactive Application Security testing）によるDASTスキャンの強化は、このような課題に大きく役立ち、スキャンと修復の時間を改善し、さらに多くの脆弱性を発見する新機能です。この新機能は、HCL AppScanバージョン10.4.0とHCL AppScan on Cloudの両方に搭載されています。

IAST のサブスクリプションを契約しているチームであれば、API Discovery や Auto Issue Correlation のような多数の IAST 機能とともに、この新機能を有効にできます。

どのように IAST Total が AppScan DAST の機能を強化するか

• スキャン時間の短縮
• より迅速な修復
• より多くの脆弱性を発見

スキャン時間の短縮

HCL AppScan は、DAST スキャンの様々な側面を自動的に構成する様々な方法を提供します。

IAST Total は、OS、フレームワーク、プラットフォーム、サーバーなどを特定するためのより包括的な機能を提供するようになり、自動設定をさらに改善し、不要なテストを排除することでスキャン範囲を縮小します。その結果、より正確で迅速なスキャンが可能になりました。

HCL AppScanの調査によると、HCL AppScan DASTにIAST Totalを搭載した場合、スキャンの実行が20%速くなることがわかりました。

より迅速なトリアージと修復

HCL AppScan DASTはIAST Totalを活用して、検出された脆弱性のコールスタックを提供することもできます。この機能は、以前はIASTまたはSAST（静的アプリケーション・セキュリティ・テスト）の結果でのみ利用可能でした。

この情報により、アプリケーション・コンポーネント、パラメータ、エンドポイントなどに対するより深い洞察が可能になり、より迅速なトリアージと修復に役立つ正確な脆弱性の位置を検出します。

より多くの脆弱性を検出

AppScan IAST Totalはお客様のランタイム環境内で実行され、スキャン・コンポーネントに関するより深い知識を提供します。使用されているコンポーネントだけでなく、アプリケーションのバックエンドに対するより深い洞察を提供し、その結果、より深いスキャンカバレッジとより正確な結果が得られます。

今後の展望

HCL AppScan は常に業界をリードする製品の改善に取り組んでいます。IAST Total の将来的な機能は、スキャン範囲と精度をさらに向上させます。今後のリリースで予定されている機能の中には、パス・パラメータと隠しパラメータの自動検出があります。この機能により、不要なテストが排除されると同時に、DASTエンジンにテストすべき関連性の高いパラメータが供給されるようになります。

アプリケーション・セキュリティ・テスト・ソリューションのHCL AppScanスイート全体に関する詳細情報を入手し、今すぐ無料トライアルにお申し込みください。

2023/11/29 - 読み終える時間: 3 分

Strengthen Your AWS Security with a Comprehensive Application Scanning Integration from HCL AppScan の翻訳版です。

HCL AppScan の包括的なアプリケーションスキャン統合による AWS セキュリティの強化

2023年11月28日

著者: Parimal Sureshagarkhed / Lead Software Engineering

Equifax（米国3大信用情報機関のひとつ）で最近起きた大規模なデータ流出事件では、1億4700万人の米国人の氏名、社会保障番号、生年月日、住所、運転免許証番号などの個人情報が漏洩した。これは米国人口のほぼ半分に相当する。この情報漏えい事件やそれに類する事件は広範囲に影響を及ぼし、ウェブ・アプリケーションの開発にセキュリティを組み込むことの重要性を明確に示している。

デジタルトランスフォーメーションの時代には、このような開発の多くがクラウドに移行し、クラウドコンピューティングは急速にすべてのビジネス運営に欠かせないものとなっている。Amazon Web Services（AWS）は、主要なクラウドサービスプロバイダーの1つであり、アプリケーションやサービスをホスティングするための堅牢なインフラを提供しています。

AWS（Amazon Web Services）を使用している人向けに、HCL AppScanは現在、プラットフォームを離れることなく包括的なテストをDevOpsサイクルに統合できるソリューションを提供しています。Jenkins、Azure DevOps、Bambooなどとの統合と同様に、AWSとの統合は、Webアプリケーションの脆弱性を特定して緩和する際に効率的なワークストリームを提供します。

HCL AppScanとAWSを統合するメリット

* 継続的なセキュリティ

• AWSは動的なスケーリングと頻繁なアップデートを可能にするため、継続的なセキュリティテストを維持することが不可欠です。HCL AppScanは、AWS CodeBuild/CodePipelineに統合することができ、デプロイされるすべての変更がセキュリティスキャンを受けることを保証し、脆弱性が隙間をすり抜けるリスクを低減します。

* カスタマイズ可能なポリシー

• HCL AppScanでは、組織固有の義務やコンプライアンス基準に基づいてカスタムセキュリティポリシーを定義できます。これらのポリシーは、AWSのベストプラクティスに合わせて調整することができ、全体的なセキュリティ体制を強化します。

* カスタマイズ可能なポリシー

• HCL AppScanでは、組織固有の義務やコンプライアンス基準に基づいてカスタムセキュリティポリシーを定義できます。これらのポリシーは、AWSのベストプラクティスに合わせて調整することができ、全体的なセキュリティ体制を強化します。

* 実用的な洞察

• HCL AppScanは、報告された問題に対する改善ガイダンスとともにスキャン問題を含む包括的で詳細なセキュリティテストレポートを提供します。サンプルレポートをご覧いただけます。html、pdf、xml、csvなど、さまざまなレポート形式を構成できます。

* 失敗したビルド

• 多くの組織には、満たす必要のあるセキュリティ・コンプライアンス基準があります。ビルド失敗基準は、アプリケーションがこれらの標準に準拠していることを保証し、セキュリティリスクと潜在的な法的影響を低減します。発見されたセキュリティ問題によって、アプリケーションを本番環境に条件付きで配備するという要件がある場合、 脆弱性の深刻度のカウントに基づいて、ビルドを失敗するように構成できます。失敗条件が満たされた場合、以下のメッセージが表示されます： The number of security results exceeds the specified threshold. (セキュリティ結果の数が指定されたしきい値を超えました)。

• オプションで、コンプライアンスポリシーが満たされていない場合にビルドを失敗させ、以下のメッセージを表示されます： Scan result contains non-compliant issues with respect to the policies associated with the selected application. (スキャン結果には、選択したアプリケーションに関連するポリシーに準拠していない問題が含まれています)。

• 明確なルールと閾値を定義することで、Web アプリケーションの完全性を維持し、潜在的なセキュリティ侵害から保護できます。そうすることで、脆弱性に積極的に対処し、アプリケーションのセキュリティ体制を強化することができるようになります。

* テストの最適化

• HCL AppScanは、問題カバレッジの損失を最小限に抑えつつ、高速スキャンを実現するインテリジェントなテスト・フィルタリングを提供します。これは統計的分析に基づいており、特定のテスト（または特定のテストバリアント） をフィルタリングして、より一般的で深刻な、あるいは重要な脆弱性だけを特定する短いスキャンを実行します。スピードと問題カバレッジのバランスを選択することで、スキャン時間を短縮できます。テストの最適化についてはこちらをご覧ください。

* プライベートサイトスキャン

• HCL AppScan Presence を使用して、インターネットからアクセスできないサイトをスキャンできます。手順については AppScan Presence を参照してください。また、プライベート・サイト・スキャンの under the hood (中身の詳細の意味) での動作の詳細については、プライベート・サイト・スキャンを理解するを参照してください。

* 問題のマイグレーション

• HCL AppScan Issue Management Gateway Serviceを使用して、セキュリティ・スキャン中に作成された課題をHCL AppScan on CloudからJira、Azure、Rational Team Concertなどの他の課題管理アプリケーションに移行できます。

統合方法

新しく開発されたHCL AppScanコマンドラインユーティリティ（CLI）を使えば統合は簡単です。CLIはHCL OpenSource GitHub Repositoryで入手可能で、AWS CodebuildやCode Pipeline、その他のサードパーティツールとの統合にも活用できます (詳細はこちら)。1.0リリースでは、CLIツールを使用してDAST（Dynamic Application Security Testing）スキャンのみがサポートされています。CLIの今後のリリースでは、より多くの機能が追加される予定です。統合は非常に簡単でシームレスであり、CLIは広範なDASTテストに使用できる複数の機能をサポートしています。

アプリケーション・セキュリティ・テスト・ソリューションのHCL AppScanスイート全体の詳細情報を入手するか、HCL AppScan On Cloudの30日間無料トライアルを今すぐ開始してください。

2023/11/20 - 読み終える時間: ~1 分

Webアプリケーション脆弱性診断ツールである HCL AppScan Standard（評価版）を用いて、実際にどのように脆弱性診断をおこなうのか、また、診断結果をどのように確認ができるのかを体験いただけるハンズオンワークショップを開催します。

日時: 2023年12月6日 水曜日 13:30～15:00（受付開始 13:00） 会場: HCLSoftwareオフィス　東京都港区赤坂1-12-32 アーク森ビル32階EAST 定員: 10名

詳細、お申し込みは以下のページをご覧ください。

https://docs.google.com/forms/d/e/1FAIpQLSdJYlAnUMBAr4K0hv6wLBdJFTM_4LAwrubt9OwIRUW8GLs3Cw/viewform

製品ページ: HCL AppScan

2023/11/8 - 読み終える時間: 2 分

Achieving Continuous Security - Embedding Resilience Throughout the Software Development Lifecycle nの翻訳版です。

継続的なセキュリティの実現 - ソフトウェア開発ライフサイクルを通じてレジリエンスを組み込む

2023年11月8日

著者: Colin Bell / AppScan CTO, HCLSoftware

脅威の状況は常に進化しており、企業はソフトウェア開発ライフサイクル（SDLC）の各段階に強固なセキュリティ対策を統合することを優先しなければなりません。継続的なセキュリティとして知られる包括的でプロアクティブなアプローチを採用することによって、企業はリスクを効果的に軽減し、機密データを保護し、潜在的な悪用からアプリケーションを保護できます。ここでは、継続的セキュリティの本質的な構成要素を探り、その成功の原動力となる重要な原則を強調します。

継続的セキュリティの柱

継続的セキュリティの実装に必要な構成要素は数多くあるが、監査、メトリクス、ガバナンスの3つが柱と考えられています。これらの柱はそれぞれ、強固なセキュリティ基盤を確立する上で重要な役割を果たす。

ガバナンス

ガバナンスは、セキュリティ戦略の方向性を定め、SDLC 全体を通じて、セキュリティテストをなぜ、どのように取り入れるのかを概説します。ガバナンスは、意思決定を導き、セキュリティ目標を確立し、業界標準と規制との整合性を確実にする枠組みを提供します。

メトリクス

メトリクスは、セキュリティ対策の有効性に関する具体的な洞察を提供します。客観的なデータを活用することで、組織は進捗状況を評価し、脆弱性を特定し、継続的な改善を推進するための情報に基づく意思決定を行うことができます。メトリクスはコンパスの役割を果たし、組織をより安全で弾力性のあるソフトウェア環境へと導く。

監査

監査は検証メカニズムとして機能し、セキュリティテストが望ましい有効性水準に合致し、確立された標準と目標に準拠していることを確認します。包括的な監査を通じて、組織はセキュリティ対策が意図したとおりに実施されていることを保証し、堅牢なセキュリティ体制を維持するために必要なチェックとバランスを提供します。

教育

組織内の教育は、継続的なセキュリティ対策を成功させるための基本的な鍵です。教育には、ツール、セキュリティ意識、プロセス、セキュアなコーディング技法など、さまざまな側面に関する知識とトレーニングの提供が含まれます。必要なスキルと知識をチームに与えることで、組織はセキュリティの習熟度を高め、潜在的な脅威に対する意識を高め、セキュリティを意識する文化を醸成することができます。

継続的改善

継続的なセキュリティとは、一度限りの導入ではなく、繰り返し行われる改善プロセスです。セキュリティプロセスを定期的に見直し、改善することは、進化する脅威や新たな課題に適応するために不可欠です。継続的な改善のサイクルを取り入れることで、企業は、セキュリティ対策が効果的かつ効率的であり続け、業界のベストプラクティスに沿ったものとなります。 継続的なアプリケーション・セキュリティ成熟度モデル

サイバーセキュリティの脅威がエスカレートし続ける時代において、企業はアプリケーションと機密データを保護するために、継続的なセキュリティを優先しなければならない。SDLC 全体にレジリエンスを組み込み、監査、メトリクス、ガバナンスの柱を活用し、教育と継続的改善の文化を育成することで、企業は強固なセキュリティフレームワークを確立できます。

このプロアクティブなアプローチにより、企業は次のような力を得られます。

• 脆弱性の早期発見
• リスクの効果的に軽減
• 開発ライフサイクル全体にわたってセキュリティ中心の考え方の育成

最終的には、継続的なセキュリティにより、企業は進化する脅威の状況を自信を持って切り抜け、安全で信頼性の高いソフトウェア製品を提供できるようになります。

)

レポートを読む

詳細については、継続的アプリケーション・セキュリティ・モデルのすべての側面を深く掘り下げ、各側面がソフトウェア開発ライフサイクル全体にどのように適合するかを確認するために、完全なレポートをダウンロードしてください。