HCLSoftware (Japan) Blog

継続的なセキュリティの実現 - ソフトウェア開発ライフサイクルを通じてレジリエンスを組み込む

2023/11/8 - 読み終える時間: 2 分

Achieving Continuous Security - Embedding Resilience Throughout the Software Development Lifecycle nの翻訳版です。

継続的なセキュリティの実現 - ソフトウェア開発ライフサイクルを通じてレジリエンスを組み込む

2023年11月8日

著者: Colin Bell / AppScan CTO, HCLSoftware

脅威の状況は常に進化しており、企業はソフトウェア開発ライフサイクル（SDLC）の各段階に強固なセキュリティ対策を統合することを優先しなければなりません。継続的なセキュリティとして知られる包括的でプロアクティブなアプローチを採用することによって、企業はリスクを効果的に軽減し、機密データを保護し、潜在的な悪用からアプリケーションを保護できます。ここでは、継続的セキュリティの本質的な構成要素を探り、その成功の原動力となる重要な原則を強調します。

継続的セキュリティの柱

継続的セキュリティの実装に必要な構成要素は数多くあるが、監査、メトリクス、ガバナンスの3つが柱と考えられています。これらの柱はそれぞれ、強固なセキュリティ基盤を確立する上で重要な役割を果たす。

画像の説明

ガバナンス

ガバナンスは、セキュリティ戦略の方向性を定め、SDLC 全体を通じて、セキュリティテストをなぜ、どのように取り入れるのかを概説します。ガバナンスは、意思決定を導き、セキュリティ目標を確立し、業界標準と規制との整合性を確実にする枠組みを提供します。

メトリクス

メトリクスは、セキュリティ対策の有効性に関する具体的な洞察を提供します。客観的なデータを活用することで、組織は進捗状況を評価し、脆弱性を特定し、継続的な改善を推進するための情報に基づく意思決定を行うことができます。メトリクスはコンパスの役割を果たし、組織をより安全で弾力性のあるソフトウェア環境へと導く。

監査

監査は検証メカニズムとして機能し、セキュリティテストが望ましい有効性水準に合致し、確立された標準と目標に準拠していることを確認します。包括的な監査を通じて、組織はセキュリティ対策が意図したとおりに実施されていることを保証し、堅牢なセキュリティ体制を維持するために必要なチェックとバランスを提供します。

教育

組織内の教育は、継続的なセキュリティ対策を成功させるための基本的な鍵です。教育には、ツール、セキュリティ意識、プロセス、セキュアなコーディング技法など、さまざまな側面に関する知識とトレーニングの提供が含まれます。必要なスキルと知識をチームに与えることで、組織はセキュリティの習熟度を高め、潜在的な脅威に対する意識を高め、セキュリティを意識する文化を醸成することができます。

継続的改善

継続的なセキュリティとは、一度限りの導入ではなく、繰り返し行われる改善プロセスです。セキュリティプロセスを定期的に見直し、改善することは、進化する脅威や新たな課題に適応するために不可欠です。継続的な改善のサイクルを取り入れることで、企業は、セキュリティ対策が効果的かつ効率的であり続け、業界のベストプラクティスに沿ったものとなります。継続的なアプリケーション・セキュリティ成熟度モデル

サイバーセキュリティの脅威がエスカレートし続ける時代において、企業はアプリケーションと機密データを保護するために、継続的なセキュリティを優先しなければならない。SDLC 全体にレジリエンスを組み込み、監査、メトリクス、ガバナンスの柱を活用し、教育と継続的改善の文化を育成することで、企業は強固なセキュリティフレームワークを確立できます。

このプロアクティブなアプローチにより、企業は次のような力を得られます。

脆弱性の早期発見
リスクの効果的に軽減
開発ライフサイクル全体にわたってセキュリティ中心の考え方の育成

最終的には、継続的なセキュリティにより、企業は進化する脅威の状況を自信を持って切り抜け、安全で信頼性の高いソフトウェア製品を提供できるようになります。

)

レポートを読む

詳細については、継続的アプリケーション・セキュリティ・モデルのすべての側面を深く掘り下げ、各側面がソフトウェア開発ライフサイクル全体にどのように適合するかを確認するために、完全なレポートをダウンロードしてください。

HCL AppScans バーチャルワークショップ - APIディスカバリー、シークレットキー、脆弱なコンポーネントのスキャンの体験

2023/11/8 - 読み終える時間: 2 分

Get Hands-On with AppScans Next Virtual Workshop - API Discovery, Secret Key, Vulnerable Components Scanning の翻訳版です。

HCL AppScans バーチャルワークショップ - APIディスカバリー、シークレットキー、脆弱なコンポーネントのスキャンの体験

2023年11月2日

著者: Courtney Coleman / HCLSoftware

2023年11月のウェビナー、HCL AppScan バーチャルハンズオンワークショップ： APIディスカバリー、シークレットキー、AppScanによる脆弱なコンポーネントのスキャンは、組織のコードをより堅牢で安全なものにする最先端のテクノロジーとプラクティスの領域へのゴールデンチケットです。このワークショップでは、動的アプリケーション・セキュリティ・テスト（DAST）と静的アプリケーション・セキュリティ・テスト（SAST）の世界に関する貴重な洞察を得られす。

イベント詳細

開催日 2023年11月15日
時間：1:00 PM EST
時間：2時間

アジェンダ

はじめに 包括的なセキュリティスキャンを設定するための基本を理解し、強固な基盤を構築することから始めます。
シークレットスキャン：シークレットスキャンの複雑な世界に入り込み、隠れた脆弱性をスキャンする方法を学びます。
API ディスカバリー： AppScanの最先端技術を使用して、APIディスカバリの秘密を解明します。API内に潜む潜在的な脅威を特定し、防御する方法を学びます。
スキャンの実行： DASTスキャンとSASTスキャンの両方について実践的な洞察を得ます。これらのスキャンによって脆弱なコンポーネントを特定し、アプリケーションの安全性を確保する方法を学びます。

ハンズオン

ワークショップのハイライトは、インストラクターによるインタラクティブなラボセッションです。ここでは、AppScan DASTおよびSAST技術を実際に体験できるまたとない機会です。ここが本当の学習の場です。HCLSoftware の最先端ツールを使って、さまざまな脆弱性を特定する技術を習得していただきます。参加者にはAppScan Lab環境のインスタンスが提供され、講師の説明を聞きながらリアルタイムで質問できます。

ラボの要件

RDP（リモートデスクトップ）へのアクセスが必須です。
最適な学習体験のために、デュアルモニターまたはスクリーンのセットアップをお勧めします。このワークショップは単なるイベントではありません。知識を深め、組織のセキュリティ対策を強化するチャンスです。

今すぐお申し込みください。

AppScan DASTおよびSASTテクノロジーの世界へのエキサイティングな旅に出るため、皆様のご参加を心よりお待ちしております。一緒に、お客様のアプリケーションをこれまで以上に安全で堅牢なものにしましょう。

OWASP DC Global AppSec 2023 - HCL AppScan のパワーを探る

2023/10/29 - 読み終える時間: ~1 分

OWASP DC Global AppSec 2023 - Exploring the Power of HCL AppScan の翻訳版です。

OWASP DC Global AppSec 2023 - HCL AppScan のパワーを探る

2023年10月25日

著者: Courtney Coleman / HCLSoftware

サイバーセキュリティ開発の最前線であり続けることは、HCLSoftwareにとって最も重要なことです。企業やセキュリティ専門家のアプリケーションセキュリティ強化のミッションを支援するため、OWASP DC Global AppSec 2023 イベントへの出展を発表できることを嬉しく思います。

HCL AppScanはこのカンファレンスで中心的な役割を果たし、アプリケーション・セキュリティの領域でゲームチェンジャーとなる洞察とイノベーションを共有できることに興奮しています。

OWASP DC Global AppSec 2023イベントは、基調講演の豊富なラインナップと、参加者を引き込み教育するアクティビティをお約束します。私たちは会場で、最新リリースであるHCL AppScan 360°を含む最新のサイバーセキュリティ・トレンドについて議論します。HCLSoftwareは、拡大する組織の幅広いニーズを理解し、その多様性に対応できる一元化されたダッシュボードを備えた統一プラットフォームを開発しました。

HCLSoftwareのエキスパートがお客様の質問にお答えし、特定のアプリケーション・セキュリティ・ニーズについて議論し、AppScanがお客様のデジタル資産の保護にどのように役立つのかについての洞察を提供します。アプリケーションセキュリティが初めての方でも、経験豊富なプロの方でも、HCLSoftwareのチームがAppScanの複雑な仕組みをご案内します。お会いできるのを楽しみにしています！

このイベントに参加できない場合次回のバーチャルイベントにご参加ください： HCL AppScanバーチャルハンズオンワークショップ： APIディスカバリー、シークレットキー、AppScanによる脆弱なコンポーネントのスキャン

アプリケーション・セキュリティ・テスト・プラットフォームでソフトウェアを保護

2023/10/16 - 読み終える時間: 2 分

Secure Your Software with Our Application Security Testing Platform の翻訳版です。

アプリケーション・セキュリティ・テスト・プラットフォームでソフトウェアを保護

2023年10月11日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

はじめに

あらゆる相互作用、取引、接続がデジタル化された Digital+ エコノミーでは、サイバーセキュリティは贅沢品ではなく、必要不可欠なものです。HCLSoftware はこのデジタルトランスフォーメーションにおいて極めて重要な役割を果たしており、サイバー防衛の領域におけるリーダーです。HCLSoftwareのリーダーシップ、教育、最先端のソフトウェアソリューションは、広範かつ増大する悪意のある脅威に対抗する力を組織に与えます。

サイバーセキュリティの核心は、デジタル要塞を構築することです。コンピューター・システムやネットワーク、そしてそこに含まれる貴重なデータを不正アクセス、攻撃、破損から守り抜くために、無数のセキュリティ対策と実践を採用する幅広い分野です。

セキュリティ対策の分類

強固なセキュリティ対策を講じる必要があるビジネス分野は以下の通りです。

ネットワーク・セキュリティ: コンピューターネットワークを侵入者から守る。
情報セキュリティ：不正アクセスから情報を保護する。
エンドポイントセキュリティ：コンピューターやモバイル機器などのエンドユーザーデバイスの保護。
アプリケーション・セキュリティ：ソフトウェアやアプリケーションを脅威から守ること。
物理的セキュリティ：物理的なコンピューターシステムと関連インフラを保護する。
クラウドセキュリティ: クラウドプラットフォームにオンラインで保存されたデータを保護する。

攻撃の種類

世の中には多くのリスクや脅威が存在する（平均的なサイバー攻撃による企業の被害額は約450万ドル）。ここでは、毎年世界的に企業に損害を与えている最も一般的な攻撃の種類を紹介します。

マルウェア：コンピューター・システムに害を与えるように設計されたソフトウェア。
フィッシング：メールやウェブサイトを通じて機密データを取得しようとする詐欺行為。
中間者攻撃（Man-in-the-Middle Attacks）： 2つのシステム間の通信を不正に傍受すること。
Ransomware［ランサムウェア］：ユーザーのデータを暗号化し、身代金を支払うまでデータを人質に取る悪意のあるソフトウェア。
DDoS攻撃：システムをクラッシュさせるためにトラフィックで過負荷をかけること。

HCL AppScan の紹介

ソフトウェアへの依存度が高まるにつれ、その背後にあるコードの複雑さも増しています。特にプロプライエタリ・ソフトウェアを製造する企業にとって、創業からデプロイメントに至るまで、システムとコードが侵入不可能であることを確認することは極めて重要です。ソフトウェア開発ライフサイクルの初期段階で問題を発見し、トリアージし、修正することは、攻撃、ハッキング、データ漏洩に対する最善の防御策です。

HCL AppScanは、アプリケーション・セキュリティ・テストと管理ツールのポートフォリオで、企業がアプリケーション・コードや、ソフトウェアを構築するために使用されるオープンソースやサードパーティ製アプリケーションのコードを保護するのに役立ちます。AppScan は、人工知能を活用することで、重要な脆弱性を比類のない精度で特定し、企業がこれまでにない効率で優先順位を付けて修正できるようにします。

貴社のソフトウェアとアプリケーションを最新の脅威から守るために、今すぐHCLSoftwareにご連絡 ください。

シークレットスキャンが重要であることは周知の事実です

2023/10/12 - 読み終える時間: 2 分

It is No Secret That Secrets Scanning is Important の翻訳版です。

シークレットスキャンが重要であることは周知の事実です

2023年10月9日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

お客様のためにソフトウェアのサプライチェーンセキュリティを向上させることは、HCL AppScanの開発チームにとって非常に重要です。HCL AppScan SASTエンジン（静的アプリケーション・セキュリティ・テスト）に最近追加されたシークレット・スキャンは、お客様がシークレットを特定し、サプライチェーンを安全に保つための重要な進歩です。

シークレットについて

シークレットとは、パスワード、社会保障番号、APIキー、暗号キー、アクセストークン、認証や認可に使用されるさまざまなタイプのクレデンシャルなど、一般に公開されることを意図していないあらゆるタイプの個人または組織の機密情報を指します。

シークレットは、開発のさまざまな側面を促進するために、コード・リポジトリ、設定ファイル、データ・ストアなどのさまざまなデジタル資産の中に保存されることがよくあります。しかし、これらが開発者によって誤って、あるいは意図せずにコードベースに残された場合、ハッカーがこれを悪用してソフトウェアにアクセスする機会となります。

外部の脅威からシークレットを守るだけでなく、機密情報へのアクセスを知る必要がある場合に限定したり、データ漏洩や漏えいを防ぐために適切なセキュリティ対策を実施したりするなど、さまざまな手段で組織内のシークレットの機密性を維持することも重要です。

シークレットを漏らさない

定期的かつ一貫したシークレットスキャンを実施することで、潜在的なセキュリティ脅威を事前に特定し、悪用される前に是正できます。シークレット・スキャンでは、コード・リポジトリやその他のデータ・ソースから機密情報をスキャンします：

データ漏洩の防止：データ漏洩の防止： Secretsスキャンは、潜在的なセキュリティ脅威を悪用される前に特定し、修正することで、データ漏洩を防止できます。
コンプライアンスの改善：多くの業界や規制の枠組みには、機密情報の保護に関する厳しい要件があります。シークレットスキャニングを導入することで、これらの要件に対するコンプライアンスを向上させられます。
評判の保護：データ漏洩やその他のセキュリティ・インシデントは、組織にとって大きな風評被害をもたらす可能性があります。シークレット・スキャンを活用することで、機密情報の全体的な保護を強化できます。
コストの削減：データ漏洩やその他のセキュリティ・インシデントは、弁護士費用、修復費用、ビジネスの損失など、多大なコストをもたらす可能性があります。シークレットスキャンは、企業がこうしたインシデントのリスクと関連コストを削減するのに役立ちます。

HCL AppScanはシークレットの保持を支援します

HCL AppScanは、単一のプラットフォームで動作する複数の統合ツールにより、ソフトウェア開発ライフサイクル全体を通じたエンドツーエンドのアプリケーション・セキュリティ・テストのリーダーです。シークレットスキャンは新しい機能で、HCL AppScanの強力なSASTエンジンを活用し、ソースコード内のシークレットを特定します。シークレットスキャンは、ユースケースに応じて様々な方法で導入することができ、開発者、DevOps、セキュリティチームがソフトウェア開発ライフサイクルのどの段階にいるかに応じて柔軟に対応できます。Secrets Scanning は、単独で実行することも、SAST スキャンと組み合わせて実行することもできます。結果はすべてのSASTファインディングとともに表示され、ファインディングの種類に応じてフィルタリングできます。

シークレットが検出されると、その結果は自動的にHCL AppScan on Cloudに統合され、充実したレポート機能とダッシュボード機能が利用できます。修正グループ（以下のスクリーンショット）で結果を表示し、さらにドリルダウンして詳細や修正推奨事項を確認できます。

シークレットの検出

HCL AppScanは現在、AWS（Amazon Web Services）、Atlassian、Azure、GitHub、Google Cloud、Jenkins、OpenAI、Stripeなど、さまざまなプラットフォームのシークレットスキャンを提供しています。APIキーやアクセストークンのようなプラットフォーム固有のシークレットに加え、ハードコードされたパスワード、クレジットカード番号、米国の社会保障番号のような一般的な機密情報もスキャンします。

サポートは常に評価され、新たなセキュリティ・ニーズに対応するために更新されています。現在サポートされているプラットフォームの一覧は、製品マニュアルをご覧ください。

HCLSoftware はお客様のシークレットを守ります

シークレットスキャンは、HCL AppScan on Cloud（SaaS）、HCL AppScan 360°（クラウドネイティブアプリケーションセキュリティ）、HCL AppScan Source（オンプレミス）で利用可能なSAST機能で、追加料金なしで利用できます。HCL AppScanを含む複数のツールを使用してコードを監視しているチームにとって、この機能は、見落としがないことを確認するための二次チェックとしても非常に価値があります。

HCL AppScanの無料トライアルを開始するには、今すぐお問い合わせください。

IoT を制御できなくなる日がやってくる可能性

2023/9/19 - 読み終える時間: ~1 分

Losing Control of Your IoT - A Cautionary Tale の翻訳版です。

IoT を制御できなくなる日がやってくる可能性

2023年9月13日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

テクノロジーに非常に精通していると、できるという理由だけで特定の課題に挑戦したくなるものです。これは、HCLTech の一部門である Aleph Research のセキュリティ専門家 Lev Aronsky 氏と Idan Strovinsky 氏の場合に当てはまり、彼らは Electra Smart エアコンコントローラーのハッキングに着手し、最終的には IoT セキュリティの混乱を暴露することになりました。

私たち皆が学ばなければならなかったように、モノのインターネット (IoT) は、その言葉通り多様で混沌としたものです。エアコンを含むあらゆる種類のデバイスはネットワークに接続され、アプリを使用して制御できますが、個々のデバイスでいっぱいの家を管理するために各メーカーの個別のアプリを使用するのはおそらくかなり非効率です。したがって、アロンスキー氏とストロビンスキー氏が説明するように、「私たちの誰かがスマートエアコンコントローラーを備えたアパートに引っ越したとき、それをハッキングして、オープンソースのホームオートメーションソフトウェアであるホームアシスタントと連携させることが最優先されました。」

彼らがハッキングを開始したコントローラーは、専用アプリを使用して Wi-Fi ネットワークに接続し、エアコンユニットを制御します。彼らの探求の最初のステップは、代わりにローカルネットワーク経由でアクセスを取得することを目的として、コントローラーとのインターフェイスを可能にする統合とライブラリを探すことでした。しかし、調査が進むにつれ、コントローラーがリモートサーバーとどのように通信し、コントローラーの動作をどのようにしてユーザーの望み通りに曲げることができるのかを段階的に調べていくうちに、本当に厄介なものを発見したことに気付きました。それは、「明らかなセキュリティ脆弱性の集合体であり、他の問題の中でも特に、コントローラーのユーザーがインターネットから完全に乗っ取られる危険にさらされました。」

たとえば、自分のエアコンに加えて、IP アドレスや詳細な状態を含む「何百ものエアコンユニットを確認できる」ポイントが到着しました。「これは重大なプライバシー問題でしたが、最悪の事態はまだ待っていました。」追加の調査により、アプリを使用せずにエアコンを制御することに成功しましたが、他のエアコンも同様に制御でき、間違ったパスワードを使用したり、パスワードをまったく使用せずに制御できることもわかりました。彼らの要約では、「インターネット経由で誰でもアクセスできる MQTT サーバーがあり、ネットワークに接続されている Electra Smart エアコンを制御する権限を与えられた匿名ログインが可能でした。」

彼らが明らかにした新たな恐怖（はい、もっとありました）と、それを修正しようとして彼らが直面した抵抗、どちらがよりひどいのかを知るのは困難です。しかし、彼らの研究は明らかに、より大きな疑問を示しています。大小、重要でない、または重大な大小を問わず、発見された種類の脆弱性の影響を受けている IoT デバイスは何台あるでしょうか? そして、彼らを追い出すには何が必要でしょうか？

IoT に関してこれらの疑問が最優先されることはほとんどありませんが、これらの疑問は簡単ではありません。 IoT デバイスのセキュリティの脆弱性は、個人、組織、さらにはインフラストラクチャに重大なリスクをもたらす可能性があります。これらは、IoT に特有の要因の組み合わせによって発生し、サイバー攻撃の主な標的となります。

IoT デバイスの処理能力とメモリが限られていると、暗号化が弱く、認証が不十分で、セキュリティアップデートが不十分になる可能性があります。
認証メカニズムとパスワードが弱いと、権限のないユーザーがデバイスやシステムを自由に操作できるようになる可能性があります。
市場に急遽投入されたデバイスのファームウェアの設計が不十分で、テストが不十分だとセキュリティリスクが増大する可能性があり、一方、古いソフトウェアは既知の悪用可能な脆弱性の影響を受けやすくなります。
IoT デバイスは機密データを収集することがよくあります。適切に保護されていない場合、この情報は傍受されたり盗まれたりする可能性があり、関係者全員に重大な結果をもたらす可能性があります。
デバイスとエコシステムの極端な多様性が主な原因で、IoT では標準化されたセキュリティ実践が欠如しているため、一貫したセキュリティ対策を実装することが困難になっています。
IoT デバイスへの物理的なアクセスも、セキュリティを侵害する可能性があります。たとえば、センサーや接続の改ざんにより、データ操作が可能になったり、デバイスの誤動作が発生したりする可能性があります。
暗号化されていない通信、弱いファイアウォール、中間者リスクなど、ネットワークセキュリティが不十分であると、IoT デバイスがさまざまな脅威にさらされる可能性があります。
最後に、IoT デバイスの製造に典型的な複雑なサプライチェーンでは、ハードウェアコンポーネントからソフトウェアの統合に至るまで、さまざまな段階で脆弱性が発生する可能性があります。

IoT の状況が拡大し続けるにつれて、セキュリティ上の懸念が重要な考慮事項となっており、IoT の脆弱性に関連するリスクを軽減し、より安全で回復力のある IoT エコシステムを構築するには、メーカー、規制当局、サイバーセキュリティの専門家間の協力的な取り組みが不可欠です。 Aleph Research チームのようなグループの活動は、その取り組みへの重要な貢献であり、HCLSoftware が誇りを持ってサポートしているものです。

HCLSoftware は、アプリケーションセキュリティテストプラットフォームとソリューションの包括的なスイートである HCL AppScan を含む、業界をリードするエンタープライズセキュリティソフトウェアのプロバイダーです。

エンドツーエンドのセキュリティテスト - シンプルに保つ

2023/9/19 - 読み終える時間: ~1 分

End-to-End Security Testing - Keep It Simple の翻訳版です。

エンドツーエンドのセキュリティテスト - シンプルに保つ

2023年9月13日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

セキュリティテストの複雑さは、CISO の存続の悩みの種になっています。特に、10 年にわたる技術革新と各セキュリティ分野における「最高のもの」の絶え間ない追求によって生み出されたツール群です。しかし、HCLSoftware のソリューションアーキテクト兼アプリケーションセキュリティエバンジェリストである Rob Cuddy への最近のインタビューでは、この「ツールのスプロール化」のジレンマに待望の光が当てられ、エンドツーエンドのすっきりとしたシンプルさへの道が開かれています。

CISO がシンプルさを好む理由

このようなシンプルさがいかに魅力的であるかを理解するには、CISO が直面する主要な課題を思い出してください。その主な課題は、「役員室に来て予算を正当化すること」だとカディ氏は指摘します。取締役会は本質的にリスクを回避するため、セキュリティリスクを定量化し、許容範囲内に抑えるための明確な計画を求めています。その明確さには、主要な脅威とそれに対処するために必要な手順を特定するために、リスク管理の包括的な視点が必要であるとカディ氏は主張します。

現実の世界では、これは脅威に優先順位を付け、それらの優先順位に合わせて予算を割り当てることを意味します。実際、多くの組織は現在、リソースを豊富なターゲットに薄く分散させるというこれまでのやり方を見直し、最も必要な場所に戦略的に注意を集中させることに移行しています。さまざまな選択肢が検討されるにつれて、エンドツーエンドの可視性が不可欠になります。つまり、その統一されたビューを実現するにはエンドツーエンドのツールも必要になります。 (セキュリティの文脈の外でも、同様の理由でバリューストリーム管理の人気が高まっている、と Cuddy 氏は述べています。)

IAST: アプリケーションセキュリティの可視性の向上

より具体的には、アプリケーションセキュリティの可視性を向上させる 1 つの方法は、対話型アプリケーションセキュリティテスト (IAST) です。これは、セキュリティテストを機能テストに組み込み、ひいては組織全体の品質の観点に組み込むと同時に、セキュリティの監視として機能します。

HCL AppScan on Cloud (および HCL AppScan 360°) は、単一プラットフォームで IAST の結果を静的テストおよび動的テストと関連付けることができます。これらの結果は一緒に表示されるため、脆弱性を比較し、リスクに優先順位を付け、それらを修正するためのリソースを割り当てることが簡単です。。さらに、コードを関連する脅威ベクトルと関連付けて、修正のターゲットを絞ることができます。

「そこで IAST を活用するので、これらすべてが連携し始めます。静的と対話型の両方で問題が発生している場合、それは完全に悪用可能であることを意味します。」と Cuddy 氏は説明します。

ソフトウェア開発における標準化と多様化

ソフトウェア開発環境における最近の変化は、コンポーネントベースの開発とアジャイル手法により、標準化と多様化の両方をもたらし、開発者が多様性に向かう一方で、運用チームはそれに追いつくよう努めています。しかし、可視性、透明性、セキュリティリスクの明確な理解の必要性は依然として残っているとカディ氏は言います。そして、人々は現在、セキュリティを考慮して設計し、プロセス全体でセキュリティテストを行うことが最善のアプローチであると理解しているため、チームが高品質のコードをリリースするとき、その「品質」にはセキュリティが組み込まれていると彼は付け加えました。

インタビュー全文と付属のビデオは SDTimes.com で見ることができます。

IAST を含む、HCL AppScan から利用できるエンドツーエンドのアプリケーションセキュリティテストソリューションの詳細をご覧いただくか、今すぐ無料トライアルにサインアップしてください。

Search

このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。

Follow @HclJapan Tweets by HclJapan

継続的なセキュリティの実現 - ソフトウェア開発ライフサイクルを通じてレジリエンスを組み込む

2023/11/8 - 読み終える時間: 2 分

継続的セキュリティの柱

ガバナンス

メトリクス

監査

教育

継続的改善

HCL AppScans バーチャルワークショップ - APIディスカバリー、シークレットキー、脆弱なコンポーネントのスキャンの体験

2023/11/8 - 読み終える時間: 2 分

イベント詳細

アジェンダ

ハンズオン

ラボの要件

OWASP DC Global AppSec 2023 - HCL AppScan のパワーを探る

2023/10/29 - 読み終える時間: ~1 分

アプリケーション・セキュリティ・テスト・プラットフォームでソフトウェアを保護

2023/10/16 - 読み終える時間: 2 分

はじめに

セキュリティ対策の分類

攻撃の種類

HCL AppScan の紹介

最新の小売業における課題とアプリケーション・セキュリティの必要性を検証する新レポート

2023/10/16 - 読み終える時間: ~1 分

シークレットスキャンが重要であることは周知の事実です

2023/10/12 - 読み終える時間: 2 分

シークレットについて

シークレットを漏らさない

HCL AppScanはシークレットの保持を支援します

シークレットの検出

HCLSoftware はお客様のシークレットを守ります

IoT を制御できなくなる日がやってくる可能性

2023/9/19 - 読み終える時間: ~1 分

エンドツーエンドのセキュリティ テスト - シンプルに保つ

2023/9/19 - 読み終える時間: ~1 分

CISO がシンプルさを好む理由

IAST: アプリケーションセキュリティの可視性の向上

ソフトウェア開発における標準化と多様化

Search

Categories

このブログについて

Tags

エンドツーエンドのセキュリティテスト - シンプルに保つ