HCL AppScan インテリジェント・コード・アナリティクス: コグニティブ・コンピューティングによるアプリケーション・セキュリティ・テストのカバレッジの向上

2021/4/20 - 読み終える時間: 2 分

Intelligent Code Analytics: Increasing Application Security Testing Coverage With Cognitive Computing の翻訳版です。


HCL AppScan インテリジェント・コード・アナリティクス: コグニティブ・コンピューティングによるアプリケーション・セキュリティ・テストのカバレッジの向上

2021年4月20日

著者: HCL Software / A division of HCL Technologies (HCL)

画像の説明

前回の記事 では、コグニティブ・コンピューティングによって、静的アプリケーション・セキュリティ・テスト (SAST) につきものの誤検出やノイズを大幅に削減できることを紹介しました。また、ほとんどのアプリケーション・セキュリティ製品のアプローチである、言語カバレッジに影響を与えることなく (すなわち、ルール・セットを減らすことなく) 、誤検出を減らすことができることを示しました。

IFA (Intelligent findings analytics) は、アプリケーション・セキュリティ・テストにおける重要なブレークスルーとなりますが、静的解析言語プロセッサが生成したカバレッジの幅を維持するに過ぎません。

ICA:アプリケーション・セキュリティ・テストを一歩前進させる

インテリジェント・コード・アナリティクス (ICA) は、コグニティブ・コンピューティングを使用して言語のカバレッジを拡張することにより、IFA を大きく前進させます。コーディング言語は、毎日のように新しいフレームワークが登場し、急速に進化しているため、これは非常に重要です。Java 8 のような新しい言語のバージョンでは、何万もの新しいアプリケーション・プログラム・インターフェース ( API ) が導入されます。

従来、訓練を受けたセキュリティ専門家は、これらの API の一つ一つを検証し、それが入力 (ソース) か出力 (シンク) かを確認し、コードに脆弱性 (テイント) が含まれているかどうかを判断していました。新しいフレームワークは、このプロセスをさらに複雑にしています。開発者にとってはコーディングが簡単になることで、テストシステムにとってはレビューが不透明になります。これらの API を特定し、マークアップと呼ばれるルールを作成するには、数週間以上かかることもあり、テストシステムのカバレッジにギャップが生じてしまいます。

ICA は、機械学習を API の識別とマークアップに適用することで、この問題に対処し、事実上排除します。驚くべきことに、ICA はこの作業をオンザフライで行います。ICA は新しい API やフレームワークに出会うたびに、それが汚染可能かどうかを瞬時に判断し、ルールを作成します。このルールは解析エンジンで使用され、アプリケーションのデータフローに実際の脆弱性が含まれているかどうかを判断します。

ICA は「Just Works」

これらの結果がどのようにして得られたかを説明する言葉があります。"It just works!" この言葉の裏には確かに詳細がありますが、コグニティブ技術をアプリケーション・セキュリティ・テストに適用することの素晴らしさは、詳細をすべて知る必要がなく、結果を見るだけでよいということです。

IFAでは、訓練を受けた専門家が同じ分析を行った結果と同等以上の精度を機械が実現しました。同様に、ICA の結果も同様に、人間が行った分析結果と同等かそれ以上の素晴らしいものでした。これは、IFAと同様に、複雑な問題に何時間も取り組んでいると、人間は自然と疲れてミスをしがちになりますが、機械は同じ作業を数秒で完了し、疲れないということに起因していると考えられます。

IFA と ICA でスピードとカバレッジを高める

IFA と ICA は、コグニティブ・コンピューティングを活用して、アプリケーション・セキュリティの主要分野であるスピードとカバレッジに対応します。この2つは、DevOps アプリケーション・セキュリティ・プログラムを成功させるために不可欠です。しかし、これは始まりに過ぎません。アプリケーション・セキュリティ・プログラムをより効果的にするために、コグニティブ・コンピューティングは次に何をもたらしてくれるのでしょうか?その答えは、このページをご覧ください。

AppScan のコグニティブ・アプリケーション・セキュリティ・テスト機能の詳細については、この短いアニメーション・ビデオをご覧ください。


AppScan Intelligent Finding Analytics: コグニティブコンピューティングによるアプリケーションセキュリティのエキスパート

2021/4/20 - 読み終える時間: 2 分

Intelligent Finding Analytics: Your Cognitive Computing Application Security Expert の翻訳版です。


AppScan Intelligent Finding Analytics: コグニティブコンピューティングによるアプリケーションセキュリティのエキスパート

2021年4月19日

著者: HCL Software / A division of HCL Technologies (HCL)

画像の説明

数年前、AppScan チームは、アプリケーション・セキュリティ・リスクを理解し低減しようとする企業が直面する困難な問題に対処するために、コグニティブ・コンピューティングがどのようにインテリジェントな発見分析を生み出すことができるかについて調査を開始しました。つまり、開発者に脆弱性を報告するスピードを重視すべきか、それとも結果を分析して問題を特定し、優先順位をつけて対処する精度を重視すべきか、という難問に直面しています。一般的に、後者の目標である「正確さ」には、専門家を活用してリスクの高い脆弱性を検証し、前者の目標である「速さ」の達成を妨げる可能性のある偽陽性を排除することが含まれます。簡単に言えば、両方を手に入れることはできないということです。これまでは、そうでした。

干し草の山から針を探す

干し草の山を例にとってみましょう。SAST への最適なアプローチは、アプリケーション内の実際のデータフローを調べることなので、SAST スキャナは多数の結果を出す傾向があります。これらをすべての可能な結果と考えてください。これが「干し草の山」という喩えです。

この干し草の山の中から針を見つけるために、セキュリティチームは2つの可能なアプローチのうちの1つを取ることができます。

干し草の山の大きさを小さくする

これは一般的に、アプリケーションをスキャンする際に、より少ない数の結果(できれば最も重要なもの)を見つけるという、軽いアプローチによって達成されます。このアプローチの主な利点は、スピードです。例えが悪いかもしれませんが、結果の数が少ないと、小麦と籾殻を素早く分けることができます。これにより、セキュリティ・チームは開発者に迅速に結果を提供することができます。しかし、デメリットにも注意する必要がある。セキュリティ・チームは、探している針を見つけられないかもしれない。言い換えれば、このプロセスは、組織の全体的なアプリケーション・セキュリティ・リスクを確実に低減するものではない。

人員を増やす

2つ目のアプローチは、結果を確認して針を見つけるために、従業員を増員することです。この方法の利点は、包括的であることです。テストの過程で針が失われることはなく、専門家はどの結果に対策が必要かを判断することができます。一方、デメリットとしては、スキル、コスト、そして特に時間の面で非効率であることが挙げられます。干し草の山が大きければ大きいほど、プロジェクトにはより多くの専門家が必要になります。これらの専門家は、希少で高価なリソースです。結果のレビューには数時間、数日、あるいは数週間かかることもあり、開発者にタイムリーに結果を提供したり、継続的なエンジニアリングを確保することは事実上不可能です。スキル不足のため、一部の企業はプロセス全体をアウトソースすることにしました。これは、短期的なスキルギャップを解決することはできますが、コストとプロセス時間が大幅に増加します。アウトソーシングすることで、企業は採用やトレーニングの負担から解放されますが、時間の優先順位を決める際のコントロールを失うことになります。

インテリジェント・ファインディング・アナリティクス

この選択肢と、他の認知的な取り組みの成功を踏まえ、AppScan のエキスパートは、第3の選択肢があるはずだと考えました。こうして生まれたのが、AppScanのIFA (Intelligent Finding Analytics) です。IFA は当初、第1の SAST アプローチの主な利点であるスピードと、第2のアプローチの利点である精度を、それぞれに関連する欠点なしに達成できるかどうかを調べる研究プロジェクトでした。認知機能を利用して、専門家集団が干し草の山をかき分けるような役割を果たすことが目的だった。

驚異的な数字

1年目の結果は、当初の予想を上回るものでした。実際にお客様に使っていただいたところ、誤検出やノイズを取り除くことで、結果の干し草の山は常に90%以上減少しました。IFA の学習機能を使えば、誤検出の除去精度は98%以上になります。実際に、2016年10月時点で、クラウド上のアプリケーションセキュリティにおけるお客様の全スキャンでの誤検知とノイズの削減率は、なんと98.91%でした。

先に述べたように、この削減は精度を犠牲にするものではなく、IFA の98パーセントの精度は、有能で経験豊富なアプリケーションセキュリティの専門家の精度とほぼ同じである。多くの場合、IFA の結果は実際に人間の専門家よりも優れている。これは、人間が何時間も針の穴を探しているうちに疲労してくるからだと思われる。人間の専門家が大規模なアプリケーションを分析するのに数時間から数日かかるのに比べ、IFA は数秒どころか数分で結果を出す。このスピードにより、サイバーセキュリティチームは、持続的な脅威に対応し、継続的なエンジニアリングモードを維持するのに十分な速さで開発者に調査結果を提供することができる。これにより、開発者は、頻繁に、かつ早期にスキャンを行うことができ、脆弱性が出てくるのを待つのではなく、出てきた時点でそれを修正することができます。

修正グループと現実世界の結果

しかし、IFA は「干し草」と「針」の問題を解決するだけではありません。IFAは、開発者が発見した問題を、自分が書いているコードの中で直接修正することをより効率的に行えるようにします。認知技術を応用したIFA は、修正グループを使って発見物のセットを減らします。修正グループは、コード内のどこにセキュリティ上の問題があるかを正確に示し、開発者が複数の問題を同時に修正できるようにします。現在、開発者は数百のセキュリティ問題に対し、5?10の修正グループを確認しています。IFA は、開発者が1つの統合開発環境 (IDE) ですべての問題を修正できるようにします。

このような機能を持つ IFA は、企業が日々のアプリケーション・セキュリティの課題に対処するためにどのように役立つのでしょうか?実際のお客様の結果を3つ見てみましょう。

アプリケーション No.1 では、ディープスキャンの結果、12,000以上の潜在的な脆弱性が特定されました。IFA は、この数を約1,000個に減らし、1,000個すべてに対処するためにコード内の35箇所(修正グループ)を特定しました。アプリケーション No.2 では、ディープスキャンの結果、約250,000件の潜在的な脆弱性が特定されました。ここでもIFAは、約1,000個の脆弱性に削減し、それらに対処するためにコード内の103個の修正グループを特定した。アプリケーション No.3 では、ディープスキャンの結果、750,000件近くの潜在的な脆弱性が特定されました。驚くべきことに、IFA はこれらをわずか483の実際の結果にまで減らし、42の修正グループを特定した。

長年の経験から、IFA はあらゆる規模のアプリケーションの開発チームを支援できることを示している。これにより、それらのセキュリティ・チームがアプリケーション・セキュリティ問題の発見と修正に何時間も費やす必要がなくなりました。あるいは、場合によっては、両手を挙げて巨大な挑戦をあきらめてしまうこともありました。その代わりに、これらの企業では、アプリケーション・セキュリティ・リスクに対処するための効率が98%以上向上しました。

IFA の活用

学術的な研究、継続的な機械学習、実際の顧客経験を経て、IFA は何をしてくれるのでしょうか?非常に簡単に言えば、IFA は以下のような方法を提供します。

  • 継続的な開発プロセスと統合するために、セキュリティテストを高速化する。
  • 限られたセキュリティスタッフの負担を軽減します。
  • 開発者がより効果的に安全なコードを提供できるようにする。

そして、これはほんの始まりに過ぎません。IFA の機能は、HCL AppScan の一連のソリューションで利用できます。AppScan on Cloud の IFA および ICA (Intelligent Code Analytics) 機能の概要については、以下の簡単なビデオをご覧ください。また、今すぐ ASoC の無料トライアルにお申し込みいただき、コグニティブ機能をお試しください。


ウェビナー: セキュリティテストをシフトレフト 〜 コスト/リスク削減を実現する HCL AppScan セミナー (2021年4月21日と5月27日)

2021/4/12 - 読み終える時間: ~1 分

デジタル・トランスフォーメーションが進む中、ビジネスに不可欠であるアプリケーション開発に求められる機能とスピードは増すばかりです。しかし、アプリケーション開発のスピードとセキュリティのバランスが崩れると、思わぬ事故の発生など企業の信頼を損なう事態に繋がりかねません。

これに対応するのが HCL AppScan です。セキュリティテストを開発工程に「シフトレフト」し、アプリケーションの脆弱性を取り除く「リスク削減」と、開発工数・期間の「コスト削減」を両立できるようにします。

本ウェビナーでは、迅速な新規ビジネスの展開と顧客満足度の向上を実現する「開発ライフサイクル全体でのセキュリティテスト」の考え方、そして、それを可能にする HCL AppScan をご紹介いたします。

詳細・お申し込み


HCL AppScan: 開発コストもリスクも削減、セキュリティテストの「シフトレフト」とは? - ホワイトペーパーをリリースしました

2021/4/5 - 読み終える時間: ~1 分

HCL Software は Secure DevOps 製品群を開発・販売していますが、その中にセキュリティーテストツールである HCL AppScan があります。 AppScan にはソースコードレベルとアプリケーションレベルでチェックする機能があり、上流から下流までカバーする製品です。

最近、アプリ開発のセキュリティーの世界で注目されているのは「シフトレフト」の流れです。より上流で潜在的な問題を検出、修正することで、手戻りを減らす考え方です。

そのことについて書かれたホワイトペーパーを日経クロステックのサイトで公開しました。


HCL AppScan: モバイルアプリ: デバイス上で動作しているものよりもより深く

2021/3/25 - 読み終える時間: ~1 分

Mobile Applications: Much More Than What Runs on Your Device の翻訳版です。


モバイルアプリ: デバイス上で動作しているものよりもより深く

2021年3月23日

著者: Eitan Worcel / Product Lead, AppScan、Nabeel Jaitapker 共著: Product Marketing Lead, HCL Software

画像の説明

モバイルアプリケーションは、ビジネスの拡大や潜在的な顧客へのアプローチを可能にするものであることは誰もが知っています。

しかし、モバイルは、セキュリティの脆弱性を利用して利益を得ようとする悪意のある行為者にとって、脅威のベクトルを拡大しています。

悪意のあるハッカーとの戦いにおいて、企業は、モバイル操作に起因する脅威からしっかりと保護されていることを確認する必要があります。しかし、忘れがちなのは、モバイルからの脅威は、ユーザーがプロバイダーのアプリストアからダウンロードして自分の端末にインストールするクライアント側のモバイルアプリケーションの脆弱性に限らないということです。より大きなリスクは、バックエンドで実行され、クライアント側のアプリケーションからのリクエストを処理するサービスにあります。

HCL AppScan は、クライアント側のモバイル・アプリケーションとサーバー側の Web サービスの両方を、アプリケーション・セキュリティのテスト技術を組み合わせてスキャンすることをサポートしているため、モバイル・アプリケーションのランドスケープを適切にテストするための完全な技術セットを提供できる唯一のソリューションです。

例えば、開発者は、SAST (Static Analysis Security Testing) を使って自分のコードにセキュリティ上の脆弱性がないかどうかを簡単に調べることができますし、SCA (Software Composition Analysis) を使って自分のアプリケーションにインポートするサードパーティーのコンポーネントに既知の脆弱性がないかどうかを評価できます。

サーバーサイドでは、SAST と SCA に加えて、AppScan では Dynamic Analysis Security Testing (DAST) を使ってバックエンドサービスをスキャンできます。この DAST は、悪意のあるハッカーが使用するのと同じアクションを模倣します。また、インタラクティブ・アナリシス・セキュリティ・テスト (IAST) では、アプリケーションが操作されているときの動作を監視することができ、外部に露出しにくい脆弱性を検出することができる、別の層のテストが可能です。

ここ数年の AppScan を追っている人は、クライアント側のモバイルアプリケーションをスキャンする HCL AppScan on CloudのMobile Analyzer にも精通していることでしょう。Mobile Analyzerは IAST 技術に依存していますが、ここ数ヶ月の間に、上述の SAST によるモバイル言語のサポートを導入したことで、この技術からの移行を開始しました。

SAST のメリット

パッシブ IAST は、ゼロタイムでセキュリティ分析を行います。その利点は、パイプラインの一部として実行し、QA チームがすでに実行している機能テストを活用する場合です。これは、Web アプリケーションや Web サービスでは非常に有効ですが、クライアントサイドのモバイルアプリケーションではあまり有効ではありません。このような制限を克服するために、AppScan では独自のクローラーを実装し、アプリケーションと自動的に対話するようにしました。この方法では、アプリケーションのスキャンに成功しましたが、当社の SAST スキャンがわずか数分またはそれ以下で完了するのに対し、スキャン時間は平均して1時間以上かかりました。

当社の IAST ソリューションでは、Swift、Objective-C、Android Java、Kotlin で書かれたiOSおよびAndroidアプリケーションしかスキャンできず、一般的なデバイス上で動作するアプリケーションに限られます。特定のAndroidメーカー向けに書かれたアプリケーションには対応していません。HCL の SAST ソリューションでは、上記の4つに加えて、ionic、React Native、Xamarin に対応しており、今後も言語やフレームワークの追加を予定しています。SAST では、デバイスにとらわれないため、どのデバイスであってもコードをスキャンできます。

前述のように、IAST はアプリケーションが操作されているときにそれを監視しますが、モバイル向けのIASTソリューションには実際のモバイルデバイスを使用する必要があります。そのため、Mobile Analyzerは当社のクラウドソリューションでしか利用できませんでしたが、SASTによるモバイルサポートを追加することで、HCL AppScan Sourceでも利用できるようになりました。

IAST や DAST のようなアプリケーション・セキュリティ・テストでは、実行中のアプリケーションをテストしますが、これは一面では SAST よりも正確ですが、他面ではスキャンが困難です。SAST のスキャンを成功させるために必要なのは、アプリケーションコードだけです。バックエンドサーバーをインストールする必要はなく、スキャナがバックエンドに到達できるようにしたり、ログイン認証情報を提供したりする必要もありません。実際には、アプリケーションをコンパイルする能力さえ必要ありません。

HCL Software では、HCL AppScan on Cloud を使用したモバイルアプリケーションの価値が非常に高まっていることを実感しています。是非、デモをご利用ください


AppScan on Cloud: 新しくなったユーザーエクスペリエンスについての解説動画公開

2021/3/24 - 読み終える時間: ~1 分

AppScan on Cloud は、クラウドサービスのため、機能改善を継続的に行っていますが、今回、機能向上を含め、より使いやすく改善されました。これを説明した5分の動画を作成しました。


HCL AppScan: 「継続的なセキュリティを包括的に提供」の解説記事掲載

2021/3/23 - 読み終える時間: ~1 分

HCL AppScan を開発プロセスに組み込み、継続的なセキュリティを維持していくには、プロセスのデザインやプランニングが重要です。この記事は、HCL AppScan の CTO である Collin Bell による、継続的なセキュリティを実現するために必要な考慮事項の解説記事です。


AppScan 事例: DevOps に AppScan を組み込み、セキュアなコードを繰り返し迅速なリリースを実現

2021/3/23 - 読み終える時間: ~1 分

HCL AppScan をインタラクティブ・アプリケーション・セキュリティ・テスティング (IAST) として、既存のQAプロセスに統合し、自動テスト、手動テスト、サニティ・テストを活用することで、アプリケーション・セキュリティ・テスト (AST) の適用範囲を拡大し、DevOps を DevSecOps に変革することに成功した事例です。


このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。

Tags

Accelerate ambassador AoC AppDev Pack AppScan ASoC beta BigFix BigFix 9.5 BigFix_Wiki branding cloud Cloud Apps Commerce community companion Compass compliance Connections Connections 6.5 ConnectionsDocs Connnections developerWorks DevOps DevOps.Launch.AppScan Digital Experience document Domino Domino AppDev Pacl Domino Volt DQL dW dx Enterprise Integrator event fix fix_list fixlist forum General guide HCAA HCL Ambassador HCL OneTest Embedded HCL Z and I Emulator HCL Z and I Emulator for Transformation hints_and_tips history IBM_i ID_Vault inotes ios ios13 ipad iPhone Launch LEAP Link logo MarvelClient mobile mui nds2019 ndv12beta News Nomad Nomad Mobile Nomad Web Notes Notes/Domino Notes/Domino 10 Notes/Domino 11 Notes/Domno notescons on_premises OneTest osaka press_release relay RTist SafeLinx Sametime Sametime 11 SoFy support survey system_requirement techtek Traveler Traveler 10 Traveler for Microsoft Outlook traveler.zip Unica Unica Discover Unica Interact UrbanCode Deploy UrbanCode Velocity v11 V12 Verse Verse Mobile Verse On-Premises VersionVault Volt Webinar win7 youtube Z Z ABEND Investigator Z and I Emulator Z and I Emulator for Web Z Asset Optimizer ZAO ZIE ZIEWeb うるう年 イベント ガイド クラウド クラウド終了 サイジング サポート サポート技術情報 サポート期間 サポート終了 セキュリティー セミナー ダイバーシティー ダウンロード テクてく テクてく Lotus 技術者夜会 ニュース ノーツコンソーシアム バージョンアップ パフォーマンス ベータ ポートフォリオ ライセンス 互換性 出荷日 各種ご案内資料 研修