ESG レポートが HCL AppScan によるアプリケーションの継続的な安全性の確保についての検証結果を公表

2020/8/12 - 読み終える時間: 2 分

アナリスト企業である Enterprise Security Group (ESG) が HCL AppScan の実効性について検証した結果を発表しました。そのことについての英語版ブログ ESG Report Validates How HCL AppScan Helps Developers to Continuously Secure Applications の翻訳版です。


ESG レポートが HCL AppScan によるアプリケーションの継続的な安全性の確保を検証

2020年8月5日

著者: Eitan Worcel / Product Lead, AppScan, HCL

画像の説明

はじめに

このほど、アナリスト企業である Enterprise Security Group (ESG) は HCL AppScan のクニカルレビューを発表し、AppScan が開発者がアプリケーションの継続的なセキュリティをどのように支援するのかについて評価・分析しました。ESG は、AppScan が CI/CD パイプラインに簡単に統合し、DevSecOps の取り組みをサポートすることで、組織に継続的なアプリケーション・セキュリティを大規模な形で提供する方法についても評価しています。


ESG の手法

AppScan のアプリケーションのセキュリティテスト機能を徹底的に評価するために、ESG は、以下に概説する一般的な手順に従いました。

  • HCL AppScan on Cloud のユーザーインターフェースを使用して、アプリケーションにセキュリティポリシーを定義し、関連付けました。
  • 次に、アプリケーションにセキュリティポリシーを関連付けました。
  • 次に、AppScan を DevSecOps ツールチェーンに統合することで、AppScan の「スキャンと分析」機能を評価しました。
  • 次に、AppScan を DevSecOps ツールチェーンに統合することで、AppScan の「スキャンと分析」機能を評価しました。
  • 最後に、AppScan のレポート機能を評価しました。


AppScan の DevSecOps への影響

ESG は、AppScan が DevSecOps の4つの主要な側面に統合されていることを発見しました。

画像の説明


  • ポリシーの定義: セキュリティと規制の専門家がポリシーを定義し、アプリケーションに関連付ける。
  • スキャンと分析: 開発者が静的分析を使用してセキュリティを「左にシフト」し、CI/CD パイプラインの初期段階でコードの脆弱性を特定できるようにします。動的でインタラクティブなテストは、同様に、開発者が実行中のアプリケーションの脆弱性を特定するのに役立ちます。
  • 脆弱性の修正: 開発者が脆弱性をレビューして修正することを許可するプロセス。ESG は、AppScan の機械学習が、関連する脆弱性をグループ化して優先順位を付け、ソースコード内の潜在的な修正と修正箇所を特定することで、修復を加速させることを発見しました。
  • レポート機能: DevSecOps プロセスの重要なコンポーネントであり、セキュリティや規制の専門家や組織管理者がセキュリティやコンプライアンスの進捗状況を継続的に監視できます。

AppScan を DevSecOps モデルに組み込むことで得られるメリットなど、ESG の主要な調査結果をすべて確認するには、無料レポートを今すぐダウンロードしてみてください。


アプリケーションセキュリティが重要な理由

レポートの最後の「Why This Matters (なぜこれが重要なのか)」のセクションで、ESG は効果的なアプリケーション・セキュリティ・テスト・プログラムの利点を要約しています。

「アプリケーションセキュリティテストを DevSecOps の手法に統合して自動化することで、アプリケーション開発ライフサイクルの早い段階でサイバーセキュリティの脆弱性を特定して修正することが可能になり、セキュリティを強化して効率性を向上させられます。また、熟練したサイバーセキュリティチームが直面している課題を緩和するのにも役立ちます。

ESG は、HCL AppScan がアプリケーションのセキュリティテストを簡素化し、高速化することを検証しました。数回クリックするだけで、ESG はセキュリティポリシーを定義し、AppScan を設定して、一連のセキュリティ脆弱性とベンチマークや規制へのコンプライアンスをテストするようにアプリケーションを設定しました。ESG は、オンデマンドのスキャンの設定と実行も同様に迅速かつ簡単で、静的分析と動的分析の結果が簡潔で一貫性のあるインターフェイスで迅速に表示されることに気付きました」。


さらに詳しく

ESG の完全なレポートをダウンロードするだけでなく、ESGのアナリストであるDave Gruber氏とのインタビュー動画もご覧いただけます。 デイブと私は、本当に最先端のアプリケーションセキュリティテストソリューションの要素にスポットライトを当てています。

このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。