AppScan: 開発者がアプリケーションセキュリティーの脆弱性を自分で管理できるようにする

2020/5月/12 - 読み終える時間: 2 分

2020年5月7日、英語版ブログに "Empower Your Developers to Manage Application Security Vulnerabilities on their Own" が掲載されました。その翻訳版を掲載します。


開発者がアプリケーションセキュリティーの脆弱性を自分で管理できるようにする

Florin Coada

HCL

過去数年間、誰もがセキュリティーをより真剣に受け止めていることは心強いことです。個人レベルと企業レベルの両方 (およびその間のすべて) で、ユーザーがセキュリティー侵害の潜在的な被害者にならないようにと、関心がさらに高まっています

私は「セキュリティー違反 (cyber-attack)」ではなく「サイバー攻撃 (security breach)」と言いたくなりましたが、実際には、多くの場合、これらは複雑な攻撃ではなく、まったく攻撃ではありません。誰かが基本的なことをカバーするのを忘れており、攻撃者や好奇心の強い個人がシステムの弱点を悪用している。デフォルトの資格情報の変更を忘れ、管理ポータルへの匿名アクセスを許可し、外部からのデータを消去しない例がいくつかあり、この手のことが多数あります。

アプリケーションセキュリティーの台頭

企業がこれらのミスを回避し、頭痛の種になる前にそれらを見つけることができるツールの大きな市場があります。最近多くの注目が集まっている分野の1つは、アプリケーションセキュリティーです。BA や Equifax などで発生した最近の高レベルの違反により、このセキュリティーセグメントが拡大し、注目が集まっています。

ただし、アプリケーションセキュリティーは興味深い課題です。私たちのゴールは、開発者がより良いコードを記述し、コードのバグのリリースを回避し、潜在的なセキュリティー違反を防ぐことを支援することです。

これにはいくつかのアプローチがあり、それらにはすべてメリットがあります。昔ながらのアプローチでは、セキュリティーチームが脆弱性を発見するために活用したツールを利用し、その後、脆弱性のリストを開発者に送信して修正してもらいました。

開発者に脆弱性を修正する力を与える

最近、状況は少し変化しました。より最近のアプローチは、自動化ツールがセキュリティーに代わってこの分析を実行し、開発者が結果を受け取って、問題を自分で修正できるようにすることです。これは簡単に聞こえますが、このプロセスをセットアップし、開発者に、ツールが生成する何百もの問題のどれを優先すべきかを教育することは、非常に困難な場合があります。

アプリケーションセキュリティープログラムを開発チームに展開した人なら誰でも、簡単に受け入れられる話ではないことに同意するでしょう。その結果として、一部の組織では対局にある別のアプローチを試すことにしました。そもそも問題がなければツールを使用する必要はありません。ツールを使用するにしても修正すべき発見事項が少なくなるはずです。

入力を無害化し、信頼できるコンポーネントを使用する

そもそもセキュリティーの問題が発生しないようにするには、ベストプラクティスについて人々を教育する必要があります。アプリケーションのセキュリティーに関して、私はこのアドバイスを次のように要約します。「入力をサニタイズする」と「信頼できるコンポーネントを使用する」です。アプリケーションのセキュリティー教育は素晴らしいように聞こえますが難しい問題です。これらのトレーニングはすべて、仮想の (場合によっては実際の) 教室で行われます。もしあなたが私のような人なら、仮想学習は魅力的な教育アプローチかもしれません。しかし、日々取得する知識を使用しない限り、次のステップに進むと簡単に忘れてしまいがちです。

どちらのアプローチにもメリットがあり、さまざまな課題が伴いますが、私の個人的なお気に入りは、物事を学ぶことです。ここで、私たちは何年にもわたって消費者ベースのテクノロジーで使用されてきたコンセプトを使用することに決めました。誰もがスペルチェッカーとその機能に精通しており、書かれたテキストを作成するときに、誰もがその赤い下線を避けたいと思っています。そのアプローチと同様に、 AppScan CodeSweepを作成しました。CodeSweepはVS Codeで動作する AppScan (完全無料) の最初のコミュニティエディションです。

「自分のコードは本当に危険か?」

CodeSweepの目的は単純です。コードを記述しているときに開発者が問題を見つけやすくし、問題を修正する方法がわかり、適切な質問を行い、最初の段階でセキュリティーの問題を回避できるようにすることです。私たちの目標は、新しいセキュリティー・スペシャリスト・ツールを作成することではありません。目標は、コードが本当に危険であるかどうかを直感的に訓練し、コードのどの要素がそうすることができるかを説明するツールを作成することでした。この質問に答えれば答えるほど、ツールに促されることなく、将来的に分析を実行できる可能性が高くなります。ここに短いデモがあります。

YouTube: HCL AppScan - Introducing HCL AppScan CodeSweep

この最終結果、優れたセキュリティープラクティスを学ぶことができます。長時間のクラスルームスタイルのレッスンを受講することや、コードで何かを見つけたときにセキュリティーによって指摘されるのを待つこともありません。

開発者としてあなたは何もこれまでと異なることを行う必要はありません。セキュリティーからの長いレポートも、仕事の流れを壊すトレーニングもありません。コードを記述して、自分の質問に答えるだけです。適切な質問をするタイミングを示すべく私たちは待機しています。

もっと詳しく知る

以上のことはしっかりしたアプローチのように聞こえましたでしょうか。実際に動かして学びたい、そして開発者としてのセキュリティーについてもっと学びたい場合は CodeSweep のページに行ってみてください。

Visual Studio Marketplace: HCL AppScan CodeSweep

私たちはユーザーやこのトピックに関心のある人と話すのが大好きです。コミュニケーションを取りたい場合はコミュニティーに参加することをお勧めします。

Slack: CodeSweep Community


AppScan の日本語製品ドキュメント

2020/4/8 - 読み終える時間: ~1 分

AppScan 10 がリリースされましたが、日本語製品ドキュメントの準備ができましたのでお知らせします。

サポート技術情報: AppScan の製品ドキュメント

サポート技術情報: AppScan 技術情報


AppScan 10 がリリースされました

2020/4/3 - 読み終える時間: ~1 分

HCL Software License Management Portal から AppScan 10 がダウンロードできるようになりました。


AppScan V10: 高速、高精度、柔軟な対応が可能なセキュリティー・テスト

2020/3/19 - 読み終える時間: 2 分

AppScan 10 は4月にリリースされましたが、今週その発表イベントが行われました。それにあわせて、英語版ブログに以下の記事が掲載されました。翻訳版を掲載します。

AppScan V10: 高速、高精度、柔軟な対応が可能なセキュリティー・テスト

AppScan V10: Fast, Accurate, Agile Security Testing


AppScan V10 : アプリケーションのセキュリティー・テストを強化

今日は HCL AppScan にとってエキサイティングな日です!

アプリケーション・セキュリティーのテストと管理アクティビティーのための統合単一ソリューションである HCL AppScan V10 を発表できることを嬉しく思います。AppScan V10 は、ソフトウェア開発ライフサイクルツールとDevOpsツール・チェーンおよびプロセスに直接統合されています。ソリューションの提供は2020年4月3日に予定されています。

CISOおよびAppSecチームを強化

AppScan V10 では、CISOおよびAppSecチームがAppSecプログラムを効果的に管理できるような仕組みが備わっています。AppScan V10 は可視化機能が大幅に改善され、アプリケーション・ポートフォリオ、セキュリティー・アクティビティー、および全体的なセキュリティー状態について完全可視化を実現しています。これによりCISOおよびAppSecチームは、開発チームにどの脆弱性を最初に修正するべきかを簡単にアドバイスできるようになります。開発チームは、全体的なビジネスリスクを勘案しつつポリシーと優先順位付けに基づいた判断により修正を実施できるようになります。

開発チームを強化

AppScan V10 では開発者も強化します。開発ワークフローをほとんど、あるいはまったく中断することなく、アプリケーションを保護できるようになります。開発ツールへの統合により、脆弱性を早期に、かつ正確に特定し、脆弱性を容易に評価でき、修正のために必要な情報も得られます。

ここより先は、高速で正確なスキャン、セキュアなDevOps、およびエンタープライズ管理のカテゴリーにおける、AppScan V10 の主要な機能強化にスポットライトを当てます。

高速で正確なスキャン

AppScan V10 では、アプリケーション・セキュリティー・テストがより迅速かつ正確に行えるようになりました。

  • AppScanのArtificial Intelligence機能を HCL AppScan Sourceにも適用させることで誤検出を減らす一方で、テスト範囲を大幅に拡大します。

  • 言語サポートを拡大しました。ひとつは対応言語を追加しました。また、共通言語またはニッチ言語のサポートをテストプログラムにすばやく追加できるようにしました。独自のBYOL (Bring Your Own Language) プログラムの仕組みで利用できるようになっています。

  • 変更部分のみを差分分析する機能が加わったことで、さまざまなアプリケーション・セキュリティー・テストテクノロジーを対象とした高速スキャンが可能になりました。

セキュアなDevOps

AppScan V10 は、チームのSecure DevOpsアクティビティーを強化します。

  • インタラクティブ・アプリケーション・セキュリティー・テスト (IAST) の新機能により、開発チームのテスト・オプションが増加しました。これはこれまでの静的アプリケーション・セキュリティー・テスト (SAST) 、動的アプリケーション・セキュリティー・テスト (DAST) 、ソフトウェア構成分析 (SCA) を新たに加わるものです。さらに良いことに、これらのテスト・オプションはすべて、単一のアプリケーション・セキュリティー・テストソリューションでも利用できます。

  • すぐに使えるDevOpsツール・チェーンへの統合により、テストの自動化が簡素化され、ユーザー・エクスペリエンスが向上します。

  • コミュニティー・エディション・プラグインであるAppScan CodeSweepは、開発環境で作業しながら脆弱性を識別するのに役立ちます。

企業経営 (Enterprise Management)

エンタープライズ・アプリケーションのセキュリティー管理アクティビティーは、以下のAppScan V10 の機能によって強化されます。

  • 全体的なビジネスリスクに基づいて、開発チームが最初に修正すべき脆弱性に優先順位を付ける機能。最も差し迫った脆弱性に焦点を当て、最初に修正できます。

  • AppScan Connectは、監査性とガバナンスの能力を維持しつつ、開発チームのセキュリティー対応能力を拡張できるようにするものです。

  • HCL UrbanCode Velocity Value Stream Enabled Security Managementを使用することで、セキュリティー修復に関する開発作業を測定および最適化できます。

しかし、待って、もっとあります!

興味をそそられましたか?

上記で説明したAppScan V10 の機能強化 (およびその他) の詳細については、すべての詳細についてライブ・ストリーム・セッションのリプレイを視聴してください。 https://www.brighttalk.com/summit/4690-introducing-appscan-v10-live/

ご注文の準備はできましたか? AppScan V10 を事前発注する準備ができている場合は、事前注文サイトにアクセスしてください。

AppScanにご関心をお寄せいただきありがとうございます。


HCL AppScan Source - IFA (Intelligent Finding Analyzer) について

2020/3/19 - 読み終える時間: ~1 分

HCL AppScan V10 がリリースの発表がされました (2020年4月3日リリース予定、日本時間4日)。新機能がいくつかありますが、そのうち、今日は IFA について触れたいと思います。

IFA は Intelligent Finding Analyzer の略で、スキャンの結果をクラウドと連携して分析表示する機能です。機械学習で蓄えた膨大なデータと照合することで、高い精度で、ヒットした内容に確度、優先度、そして除外を提示します。

https://www.youtube.com/watch?v=VXJEchmh1BI&feature=youtu.be

このデモの 00:50 秒から表示される右上の赤や黄色のマトリックスがそれにあたります。横軸に確定的と疑わしきものの列、縦軸に重要度が三段階でわかれています。さらに、除外した個々のアイテムについて、その理由が示されるようになっています。

効率的な作業と精度向上のために非常に役立つ機能です。V10 を是非、お使いになってみてはいかがでしょうか。



AppScan V10 リリース・ライブ・イベント (Web配信) のお知らせ

2020/3/3 - 読み終える時間: ~1 分

2020年3月18日午前4時から5時半まで、AppScan の新バージョン 10 のリリース・ライブ・イベントが開催されます。 日本には優しくない時間帯ですが、リプレイもあることでしょう。ご興味のある方はお申込みくださいませ。

https://www.brighttalk.com/webcast/17840/387753?utm_source=HCL+AppScan&utm_medium=brighttalk&utm_campaign=387753


AppScan on Cloud の情報まとめページ

2020/2/26 - 読み終える時間: ~1 分

「AppScan on Cloud の情報まとめ」を用意しました。FAQ、システム要件、ライセンス更新方法、ユーザー管理など幅広くカバーしています。

https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0076351


About

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。