HCL AppScan の包括的なアプリケーションスキャン統合による AWS セキュリティの強化

2023/11/29 - 読み終える時間: 3 分

Strengthen Your AWS Security with a Comprehensive Application Scanning Integration from HCL AppScan の翻訳版です。

HCL AppScan の包括的なアプリケーションスキャン統合による AWS セキュリティの強化

2023年11月28日

著者: Parimal Sureshagarkhed / Lead Software Engineering

Equifax（米国3大信用情報機関のひとつ）で最近起きた大規模なデータ流出事件では、1億4700万人の米国人の氏名、社会保障番号、生年月日、住所、運転免許証番号などの個人情報が漏洩した。これは米国人口のほぼ半分に相当する。この情報漏えい事件やそれに類する事件は広範囲に影響を及ぼし、ウェブ・アプリケーションの開発にセキュリティを組み込むことの重要性を明確に示している。

デジタルトランスフォーメーションの時代には、このような開発の多くがクラウドに移行し、クラウドコンピューティングは急速にすべてのビジネス運営に欠かせないものとなっている。Amazon Web Services（AWS）は、主要なクラウドサービスプロバイダーの1つであり、アプリケーションやサービスをホスティングするための堅牢なインフラを提供しています。

AWS（Amazon Web Services）を使用している人向けに、HCL AppScanは現在、プラットフォームを離れることなく包括的なテストをDevOpsサイクルに統合できるソリューションを提供しています。Jenkins、Azure DevOps、Bambooなどとの統合と同様に、AWSとの統合は、Webアプリケーションの脆弱性を特定して緩和する際に効率的なワークストリームを提供します。

HCL AppScanとAWSを統合するメリット

* 継続的なセキュリティ

• AWSは動的なスケーリングと頻繁なアップデートを可能にするため、継続的なセキュリティテストを維持することが不可欠です。HCL AppScanは、AWS CodeBuild/CodePipelineに統合することができ、デプロイされるすべての変更がセキュリティスキャンを受けることを保証し、脆弱性が隙間をすり抜けるリスクを低減します。

* カスタマイズ可能なポリシー

• HCL AppScanでは、組織固有の義務やコンプライアンス基準に基づいてカスタムセキュリティポリシーを定義できます。これらのポリシーは、AWSのベストプラクティスに合わせて調整することができ、全体的なセキュリティ体制を強化します。

* カスタマイズ可能なポリシー

• HCL AppScanでは、組織固有の義務やコンプライアンス基準に基づいてカスタムセキュリティポリシーを定義できます。これらのポリシーは、AWSのベストプラクティスに合わせて調整することができ、全体的なセキュリティ体制を強化します。

* 実用的な洞察

• HCL AppScanは、報告された問題に対する改善ガイダンスとともにスキャン問題を含む包括的で詳細なセキュリティテストレポートを提供します。サンプルレポートをご覧いただけます。html、pdf、xml、csvなど、さまざまなレポート形式を構成できます。

* 失敗したビルド

• 多くの組織には、満たす必要のあるセキュリティ・コンプライアンス基準があります。ビルド失敗基準は、アプリケーションがこれらの標準に準拠していることを保証し、セキュリティリスクと潜在的な法的影響を低減します。発見されたセキュリティ問題によって、アプリケーションを本番環境に条件付きで配備するという要件がある場合、 脆弱性の深刻度のカウントに基づいて、ビルドを失敗するように構成できます。失敗条件が満たされた場合、以下のメッセージが表示されます： The number of security results exceeds the specified threshold. (セキュリティ結果の数が指定されたしきい値を超えました)。

• オプションで、コンプライアンスポリシーが満たされていない場合にビルドを失敗させ、以下のメッセージを表示されます： Scan result contains non-compliant issues with respect to the policies associated with the selected application. (スキャン結果には、選択したアプリケーションに関連するポリシーに準拠していない問題が含まれています)。

• 明確なルールと閾値を定義することで、Web アプリケーションの完全性を維持し、潜在的なセキュリティ侵害から保護できます。そうすることで、脆弱性に積極的に対処し、アプリケーションのセキュリティ体制を強化することができるようになります。

* テストの最適化

• HCL AppScanは、問題カバレッジの損失を最小限に抑えつつ、高速スキャンを実現するインテリジェントなテスト・フィルタリングを提供します。これは統計的分析に基づいており、特定のテスト（または特定のテストバリアント） をフィルタリングして、より一般的で深刻な、あるいは重要な脆弱性だけを特定する短いスキャンを実行します。スピードと問題カバレッジのバランスを選択することで、スキャン時間を短縮できます。テストの最適化についてはこちらをご覧ください。

* プライベートサイトスキャン

• HCL AppScan Presence を使用して、インターネットからアクセスできないサイトをスキャンできます。手順については AppScan Presence を参照してください。また、プライベート・サイト・スキャンの under the hood (中身の詳細の意味) での動作の詳細については、プライベート・サイト・スキャンを理解するを参照してください。

* 問題のマイグレーション

• HCL AppScan Issue Management Gateway Serviceを使用して、セキュリティ・スキャン中に作成された課題をHCL AppScan on CloudからJira、Azure、Rational Team Concertなどの他の課題管理アプリケーションに移行できます。

統合方法

新しく開発されたHCL AppScanコマンドラインユーティリティ（CLI）を使えば統合は簡単です。CLIはHCL OpenSource GitHub Repositoryで入手可能で、AWS CodebuildやCode Pipeline、その他のサードパーティツールとの統合にも活用できます (詳細はこちら)。1.0リリースでは、CLIツールを使用してDAST（Dynamic Application Security Testing）スキャンのみがサポートされています。CLIの今後のリリースでは、より多くの機能が追加される予定です。統合は非常に簡単でシームレスであり、CLIは広範なDASTテストに使用できる複数の機能をサポートしています。

アプリケーション・セキュリティ・テスト・ソリューションのHCL AppScanスイート全体の詳細情報を入手するか、HCL AppScan On Cloudの30日間無料トライアルを今すぐ開始してください。