シークレットスキャンが重要であることは周知の事実です

2023/10/12 - 読み終える時間: 2 分

It is No Secret That Secrets Scanning is Important の翻訳版です。

シークレットスキャンが重要であることは周知の事実です

2023年10月9日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

お客様のためにソフトウェアのサプライチェーンセキュリティを向上させることは、HCL AppScanの開発チームにとって非常に重要です。HCL AppScan SASTエンジン（静的アプリケーション・セキュリティ・テスト）に最近追加されたシークレット・スキャンは、お客様がシークレットを特定し、サプライチェーンを安全に保つための重要な進歩です。

シークレットについて

シークレットとは、パスワード、社会保障番号、APIキー、暗号キー、アクセストークン、認証や認可に使用されるさまざまなタイプのクレデンシャルなど、一般に公開されることを意図していないあらゆるタイプの個人または組織の機密情報を指します。

シークレットは、開発のさまざまな側面を促進するために、コード・リポジトリ、設定ファイル、データ・ストアなどのさまざまなデジタル資産の中に保存されることがよくあります。しかし、これらが開発者によって誤って、あるいは意図せずにコードベースに残された場合、ハッカーがこれを悪用してソフトウェアにアクセスする機会となります。

外部の脅威からシークレットを守るだけでなく、機密情報へのアクセスを知る必要がある場合に限定したり、データ漏洩や漏えいを防ぐために適切なセキュリティ対策を実施したりするなど、さまざまな手段で組織内のシークレットの機密性を維持することも重要です。

シークレットを漏らさない

定期的かつ一貫したシークレットスキャンを実施することで、潜在的なセキュリティ脅威を事前に特定し、悪用される前に是正できます。シークレット・スキャンでは、コード・リポジトリやその他のデータ・ソースから機密情報をスキャンします：

• データ漏洩の防止： データ漏洩の防止： Secretsスキャンは、潜在的なセキュリティ脅威を悪用される前に特定し、修正することで、データ漏洩を防止できます。
• コンプライアンスの改善： 多くの業界や規制の枠組みには、機密情報の保護に関する厳しい要件があります。シークレットスキャニングを導入することで、これらの要件に対するコンプライアンスを向上させられます。
• 評判の保護： データ漏洩やその他のセキュリティ・インシデントは、組織にとって大きな風評被害をもたらす可能性があります。シークレット・スキャンを活用することで、機密情報の全体的な保護を強化できます。
• コストの削減： データ漏洩やその他のセキュリティ・インシデントは、弁護士費用、修復費用、ビジネスの損失など、多大なコストをもたらす可能性があります。シークレットスキャンは、企業がこうしたインシデントのリスクと関連コストを削減するのに役立ちます。

HCL AppScanはシークレットの保持を支援します

HCL AppScanは、単一のプラットフォームで動作する複数の統合ツールにより、ソフトウェア開発ライフサイクル全体を通じたエンドツーエンドのアプリケーション・セキュリティ・テストのリーダーです。シークレットスキャンは新しい機能で、HCL AppScanの強力なSASTエンジンを活用し、ソースコード内のシークレットを特定します。シークレットスキャンは、ユースケースに応じて様々な方法で導入することができ、開発者、DevOps、セキュリティチームがソフトウェア開発ライフサイクルのどの段階にいるかに応じて柔軟に対応できます。Secrets Scanning は、単独で実行することも、SAST スキャンと組み合わせて実行することもできます。結果はすべてのSASTファインディングとともに表示され、ファインディングの種類に応じてフィルタリングできます。

シークレットが検出されると、その結果は自動的にHCL AppScan on Cloudに統合され、充実したレポート機能とダッシュボード機能が利用できます。修正グループ（以下のスクリーンショット）で結果を表示し、さらにドリルダウンして詳細や修正推奨事項を確認できます。

シークレットの検出

HCL AppScanは現在、AWS（Amazon Web Services）、Atlassian、Azure、GitHub、Google Cloud、Jenkins、OpenAI、Stripeなど、さまざまなプラットフォームのシークレットスキャンを提供しています。APIキーやアクセストークンのようなプラットフォーム固有のシークレットに加え、ハードコードされたパスワード、クレジットカード番号、米国の社会保障番号のような一般的な機密情報もスキャンします。

サポートは常に評価され、新たなセキュリティ・ニーズに対応するために更新されています。現在サポートされているプラットフォームの一覧は、製品マニュアルをご覧ください。

HCLSoftware はお客様のシークレットを守ります

シークレットスキャンは、HCL AppScan on Cloud（SaaS）、HCL AppScan 360°（クラウドネイティブアプリケーションセキュリティ）、HCL AppScan Source（オンプレミス）で利用可能なSAST機能で、追加料金なしで利用できます。HCL AppScanを含む複数のツールを使用してコードを監視しているチームにとって、この機能は、見落としがないことを確認するための二次チェックとしても非常に価値があります。

HCL AppScanの無料トライアルを開始するには、今すぐお問い合わせください。