Cover Image

アプリケーションセキュリティ技術の強みと弱み
2022/9/26 - 読み終える時間: 2 分

Strengths and Weaknesses in Application Security Technologies の翻訳版です。

アプリケーションセキュリティ技術の強みと弱み

2022年9月26日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

今日の世界では、アプリケーションのセキュリティ テストはもはやオプションではありません。それは必需品です。フォーチュン 500 企業であろうと、スタートアップ企業であろうと、Web アプリケーションに対する脅威に事欠きません。リモートワークやクラウドベースのサービスなどのトレンドの台頭に伴い、潜在的なセキュリティの脆弱性は指数関数的に増加し続けています.

製品が市場に出た後にセキュリティ違反が発生すると、費用、時間、評判の面でコストがかかる可能性があります。そのため、脆弱性を軽減するために高度なアプリケーション セキュリティ テスト ツールを利用する企業が増えています。ただし、各テクノロジには長所と短所があり、特定のビジネス モデルと開発サイクルに異なる方法で適合します。

画像の説明

Dynamic Application Security Testing (DAST) は、スキャン ツールを使用して Web アプリケーションを自動的にクロールし、セキュリティの脆弱性をテストします。主にセキュリティの専門家や侵入テスト担当者が使用する DAST は、実行中のアプリケーションの脆弱性を調査するブラック ボックス ツールです。このアプローチの主な強みは正確さです。 DAST が問題を検出した場合、それが誤検知であることはめったにありません。 DAST スキャンは、脆弱性が修正された後に修正を検証することもできます。

DAST の弱点には、長いスキャン時間と、問題の修正方法に関する詳細がほとんどないことが含まれます (DAST は基になるコードを認識できません)。このタイプのテストには、安定したビルドも必要であり、開発ライフサイクルの早い段階で実装することはできません。

画像の説明

すぐに開始してコードを直接スキャンするには、静的アプリケーション セキュリティ テスト (SAST) ツールが必要です。 SAST はスペル チェッカーのように機能し、開発者がコードを記述しているときに潜在的な脆弱性を見つけます。スキャンは自動的かつ継続的に行われるため、ダウンタイムはなく、コードのあらゆる側面が検査されていることを確信できます。

この完全なカバレッジは、圧倒的な数の調査結果につながる可能性があり、そのうちのいくつかは偽陰性である可能性があります.また、実行中の環境でアプリケーション全体をさらにスキャンしない限り、修正を検証する方法はありません。

画像の説明

Interactive Application Security Testing (IAST) は、独自の長所と短所を持つ 3 番目のテスト オプションです。 IAST ツールは、アプリケーションの実行中にトラフィックを監視します。 DAST とは異なり、それらは受動的です。それらを使用して侵入テストを作成することはできません。ただし、DAST とは異なり、IAST はアプリケーションの実行中に基になるコードを見ることができます。これは、IAST スキャンが正確 (DAST スキャンのように) かつ詳細 (SAST のように) であることを意味します。

開発者、セキュリティ アナリスト、CISO のいずれであっても、自分と自分の会社にとってどのテクノロジが最も有益かを判断するには、これらの各テクノロジのさまざまな長所を理解することが重要です。各テクノロジーには弱点がありますが、3 つのテクノロジーすべてを auto-issue corelation と組み合わせて使用すると、これらの弱点を大幅に減らすことができます。

アプリケーション セキュリティにおけるこの画期的な新開発と、修正する脆弱性に優先順位を付けて修正時間を節約する方法について詳しくは、ここをクリックするか、hcltechsw.com/AppScan にアクセスしてください。

Search

Categories

このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。

Tags

Academy Accelerate Accelerator Actian Ambassador AoC AppDev Pack AppScan ASoC BigFix BigFix Workspace CAA Clara Client Applicatin Access Cloud Native Commerce Common Local License Server Compass Connections Connnections CVE-2021-44228 DevOpes Velocity DevOps DevOps Code ClearCase DevOps Code RealTime DevOps Deploy DevOps.Launch.AppScan DevOps Model RealTim DevOps Model RealTime DevOps Plan DevOps Test DevOps Velocity Digital Experience Discover Domino Domino Leap Domino Volt Domino管理者アップデート認定試験対策 DQL DRYiCE DX Enterprise Integrator event General HCAA HCL Ambassador HCL Ambassadors HCL Domino REST API HCL OneTest Embedded HCL Z and I Emulator HCL Z and I Emulator for Transformation HCLSoftware U Hero history HTMO iControl iNotes IZSAM KEEP Launch Launch.DevOps Leap Link MarvelClient nds2019 ndv12beta Noets/Domino Nomad Nomad Mobile Nomad Web notes Notes/Domino notes-domino-9-10-limited-supportability-as-of-202204 Notes/Domino V12 Notes/Domion notescons Now OneDB OneTest OnTime REST RTist SafeLinx Sametime SoFy Total Experience Traveler Traveler for Microsoft Outlook Unica Unica Discover Unica Interact UrbanCode Deploy UrbanCode Velocity Velocity Verse VersionVault Volt Volt MX Volt MX Go Volt MX サンプルアプリ Wordload Automation Workload Automation youtube Z Z Abend Investigator Z and I Emulator Z and I Emulator for Transformation Z and I Emulator for Web Z and I Emulator for Web Client Z Asset Optimizer Z Data Tools Z Software Asset Manager ZAI ZAO ZIE ZIE for Transformation ZIE for Web ZIE for Windows ZIET ZIETrans ZIEWeb イベント ガイド クラウド サポート サポート技術情報 サポート終了 セキュリティ セキュリティー セキュリティー脆弱性 テクてく Lotus 技術者夜会 ニュース ノーツコンソーシアム パートナー ライセンス 九州地区 Notes パートナー会 出荷日 研修