2023/9/19 - 読み終える時間: ~1 分

Losing Control of Your IoT - A Cautionary Tale の翻訳版です。

IoT を制御できなくなる日がやってくる可能性

2023年9月13日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

テクノロジーに非常に精通していると、できるという理由だけで特定の課題に挑戦したくなるものです。 これは、HCLTech の一部門である Aleph Research のセキュリティ専門家 Lev Aronsky 氏と Idan Strovinsky 氏の場合に当てはまり、彼らは Electra Smart エアコン コントローラーのハッキングに着手し、最終的には IoT セキュリティの混乱を暴露することになりました。

私たち皆が学ばなければならなかったように、モノのインターネット (IoT) は、その言葉通り多様で混沌としたものです。 エアコンを含むあらゆる種類のデバイスはネットワークに接続され、アプリを使用して制御できますが、個々のデバイスでいっぱいの家を管理するために各メーカーの個別のアプリを使用するのはおそらくかなり非効率です。 したがって、アロンスキー氏とストロビンスキー氏が説明するように、「私たちの誰かがスマートエアコンコントローラーを備えたアパートに引っ越したとき、それをハッキングして、オープンソースのホームオートメーションソフトウェアであるホームアシスタントと連携させることが最優先されました。」

彼らがハッキングを開始したコントローラーは、専用アプリを使用して Wi-Fi ネットワークに接続し、エアコンユニットを制御します。 彼らの探求の最初のステップは、代わりにローカル ネットワーク経由でアクセスを取得することを目的として、コントローラーとのインターフェイスを可能にする統合とライブラリを探すことでした。 しかし、調査が進むにつれ、コントローラーがリモート サーバーとどのように通信し、コントローラーの動作をどのようにしてユーザーの望み通りに曲げることができるのかを段階的に調べていくうちに、本当に厄介なものを発見したことに気付きました。それは、「明らかなセキュリティ脆弱性の集合体であり、 他の問題の中でも特に、コントローラーのユーザーがインターネットから完全に乗っ取られる危険にさらされました。」

たとえば、自分のエアコンに加えて、IP アドレスや詳細な状態を含む「何百ものエアコン ユニットを確認できる」ポイントが到着しました。 「これは重大なプライバシー問題でしたが、最悪の事態はまだ待っていました。」 追加の調査により、アプリを使用せずにエアコンを制御することに成功しましたが、他のエアコンも同様に制御でき、間違ったパスワードを使用したり、パスワードをまったく使用せずに制御できることもわかりました。 彼らの要約では、「インターネット経由で誰でもアクセスできる MQTT サーバーがあり、ネットワークに接続されている Electra Smart エアコンを制御する権限を与えられた匿名ログインが可能でした。」

彼らが明らかにした新たな恐怖（はい、もっとありました）と、それを修正しようとして彼らが直面した抵抗、どちらがよりひどいのかを知るのは困難です。 しかし、彼らの研究は明らかに、より大きな疑問を示しています。 大小、重要でない、または重大な大小を問わず、発見された種類の脆弱性の影響を受けている IoT デバイスは何台あるでしょうか? そして、彼らを追い出すには何が必要でしょうか？

IoT に関してこれらの疑問が最優先されることはほとんどありませんが、これらの疑問は簡単ではありません。 IoT デバイスのセキュリティの脆弱性は、個人、組織、さらにはインフラストラクチャに重大なリスクをもたらす可能性があります。 これらは、IoT に特有の要因の組み合わせによって発生し、サイバー攻撃の主な標的となります。

• IoT デバイスの処理能力とメモリが限られていると、暗号化が弱く、認証が不十分で、セキュリティ アップデートが不十分になる可能性があります。
• 認証メカニズムとパスワードが弱いと、権限のないユーザーがデバイスやシステムを自由に操作できるようになる可能性があります。
• 市場に急遽投入されたデバイスのファームウェアの設計が不十分で、テストが不十分だとセキュリティ リスクが増大する可能性があり、一方、古いソフトウェアは既知の悪用可能な脆弱性の影響を受けやすくなります。
• IoT デバイスは機密データを収集することがよくあります。 適切に保護されていない場合、この情報は傍受されたり盗まれたりする可能性があり、関係者全員に重大な結果をもたらす可能性があります。
• デバイスとエコシステムの極端な多様性が主な原因で、IoT では標準化されたセキュリティ実践が欠如しているため、一貫したセキュリティ対策を実装することが困難になっています。
• IoT デバイスへの物理的なアクセスも、セキュリティを侵害する可能性があります。たとえば、センサーや接続の改ざんにより、データ操作が可能になったり、デバイスの誤動作が発生したりする可能性があります。
• 暗号化されていない通信、弱いファイアウォール、中間者リスクなど、ネットワーク セキュリティが不十分であると、IoT デバイスがさまざまな脅威にさらされる可能性があります。
• 最後に、IoT デバイスの製造に典型的な複雑なサプライ チェーンでは、ハードウェア コンポーネントからソフトウェアの統合に至るまで、さまざまな段階で脆弱性が発生する可能性があります。

IoT の状況が拡大し続けるにつれて、セキュリティ上の懸念が重要な考慮事項となっており、IoT の脆弱性に関連するリスクを軽減し、より安全で回復力のある IoT エコシステムを構築するには、メーカー、規制当局、サイバーセキュリティの専門家間の協力的な取り組みが不可欠です。 Aleph Research チームのようなグループの活動は、その取り組みへの重要な貢献であり、HCLSoftware が誇りを持ってサポートしているものです。

HCLSoftware は、アプリケーション セキュリティ テスト プラットフォームとソリューションの包括的なスイートである HCL AppScan を含む、業界をリードするエンタープライズ セキュリティ ソフトウェアのプロバイダーです。

2023/9/19 - 読み終える時間: ~1 分

End-to-End Security Testing - Keep It Simple の翻訳版です。

エンドツーエンドのセキュリティ テスト - シンプルに保つ

2023年9月13日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

セキュリティテストの複雑さは、CISO の存続の悩みの種になっています。特に、10 年にわたる技術革新と各セキュリティ分野における「最高のもの」の絶え間ない追求によって生み出されたツール群です。 しかし、HCLSoftware のソリューション アーキテクト兼アプリケーション セキュリティ エバンジェリストである Rob Cuddy への最近のインタビューでは、この「ツールのスプロール化」のジレンマに待望の光が当てられ、エンドツーエンドのすっきりとしたシンプルさへの道が開かれています。

CISO がシンプルさを好む理由

このようなシンプルさがいかに魅力的であるかを理解するには、CISO が直面する主要な課題を思い出してください。その主な課題は、「役員室に来て予算を正当化すること」だとカディ氏は指摘します。 取締役会は本質的にリスクを回避するため、セキュリティリスクを定量化し、許容範囲内に抑えるための明確な計画を求めています。 その明確さには、主要な脅威とそれに対処するために必要な手順を特定するために、リスク管理の包括的な視点が必要であるとカディ氏は主張します。

現実の世界では、これは脅威に優先順位を付け、それらの優先順位に合わせて予算を割り当てることを意味します。 実際、多くの組織は現在、リソースを豊富なターゲットに薄く分散させるというこれまでのやり方を見直し、最も必要な場所に戦略的に注意を集中させることに移行しています。 さまざまな選択肢が検討されるにつれて、エンドツーエンドの可視性が不可欠になります。つまり、その統一されたビューを実現するにはエンドツーエンドのツールも必要になります。 (セキュリティの文脈の外でも、同様の理由でバリュー ストリーム管理の人気が高まっている、と Cuddy 氏は述べています。)

IAST: アプリケーションセキュリティの可視性の向上

より具体的には、アプリケーション セキュリティの可視性を向上させる 1 つの方法は、対話型アプリケーション セキュリティ テスト (IAST) です。これは、セキュリティ テストを機能テストに組み込み、ひいては組織全体の品質の観点に組み込むと同時に、セキュリティの監視として機能します。

HCL AppScan on Cloud (および HCL AppScan 360°) は、単一プラットフォームで IAST の結果を静的テストおよび動的テストと関連付けることができます。これらの結果は一緒に表示されるため、脆弱性を比較し、リスクに優先順位を付け、それらを修正するためのリソースを割り当てることが簡単です。 。 さらに、コードを関連する脅威ベクトルと関連付けて、修正のターゲットを絞ることができます。

「そこで IAST を活用するので、これらすべてが連携し始めます。静的と対話型の両方で問題が発生している場合、それは完全に悪用可能であることを意味します。」と Cuddy 氏は説明します。

ソフトウェア開発における標準化と多様化

ソフトウェア開発環境における最近の変化は、コンポーネントベースの開発とアジャイル手法により、標準化と多様化の両方をもたらし、開発者が多様性に向かう一方で、運用チームはそれに追いつくよう努めています。 しかし、可視性、透明性、セキュリティリスクの明確な理解の必要性は依然として残っているとカディ氏は言います。 そして、人々は現在、セキュリティを考慮して設計し、プロセス全体でセキュリティ テストを行うことが最善のアプローチであると理解しているため、チームが高品質のコードをリリースするとき、その「品質」にはセキュリティが組み込まれていると彼は付け加えました。

インタビュー全文と付属のビデオは SDTimes.com で見ることができます。

IAST を含む、HCL AppScan から利用できるエンドツーエンドのアプリケーション セキュリティ テスト ソリューションの詳細をご覧いただくか、今すぐ無料トライアルにサインアップしてください。

2023/9/14 - 読み終える時間: 2 分

HCL AppScan Integration with ServiceNow Vulnerability Response is now available from the ServiceNow Store の翻訳版です。

ServiceNow Vulnerability Response と連携・統合された HCL AppScan が ServiceNow ストアで入手できるようになりました

2023年9月11日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

SAST、DAST、IAST、SCA などの包括的なテクノロジー スイートはすべて、アプリケーション セキュリティ テスト製品、サービス、プラットフォームの HCL AppScan ポートフォリオの基盤を形成します。 これらの各ツールは継続的に更新され、顧客がコードベースやアプリケーションの脆弱性を見つけるために利用する高速かつ正確なテストを提供します。

HCL AppScan は、脆弱性の発見は始まりにすぎず、開発チームが効果的なトリアージと修復のためにこの情報を効率的に活用することも同様に重要であることを理解しています。 これを容易にする鍵となるのは、主要な CI/CD、IDE、DTS、その他の DevOps ツールとの統合を提供することです。

HCLSoftware の最新の統合により、HCL AppScan と ServiceNow の両方のユーザーは、HCL AppScan Enterprise (DAST 検出結果) または HCL AppScan on Cloud (DAST または SAST 検出結果) から ServiceNow Vulnerability Response プラットフォームに脆弱性データを自動的にインポートできるようになります。 この統合により、企業は、高速かつ正確な HCL AppScan の結果に基づいて、システム内の脆弱性を効率的に特定、優先順位付け、追跡、修復できるようになります。

• データ インポート - オンデマンドまたは事前設定された自動スケジュールに基づいて、Now Platform インスタンスにアプリケーション、スキャン概要、およびアプリケーションの脆弱な項目をインポートします。
• ServiceNow の各 AVIT の添付ファイルとしての DAST 脆弱性に対する完全なリクエスト/レスポンスに関する情報
• スキャン結果の重大度に基づくリスク スコア計算のサポート
• スキャン結果に対する「ServiceNow での優先順位付け」オプションのサポート
• 選択的なデータインポートのための構成フィルター

この ServiceNow 認定統合は、Visual Studio、Jenkins、GitHub、GitLab などを含む需要の高いツールとのマーケットプレイス ベースのコラボレーションの広範なリストに加わります (完全なリストはこちらをご覧ください)。

ServiceNow ストアの HCL AppScan に今すぐアクセスして、統合を無料でダウンロードしてください。

HCLSoftware のすべてのアプリケーション セキュリティ テスト ソリューションの詳細をご覧ください。

2023/9/11 - 読み終える時間: 3 分

HCL AppScan 360° Integrations with Jenkins and Azure DevOps Provides Powerful DevSecOps の翻訳版です。

HCL AppScan 360° と Jenkins および Azure DevOps の統合により強力な DevSecOps を提供

2023年9月7日

Parimal Sureshagarkhed / Lead Software Engineering

Facebook、Netflix、Amazon などの巨大 Web サイトが、どのようにしてダウンタイムやユーザー エクスペリエンスの中断を感じさせることなく、Web サイトに新機能を追加し続けているのか疑問に思ったことはありますか? その多くは、アプリケーションの革新をますます高速化できるクラウドベースの開発プラットフォームで実現されています。

クラウドベースのサービスは、この種の開発の多くに使用されることが増えていますが、すべてのユースケースに適しているわけではありません。 おそらく、テストのために機密コードをクラウドに送信することにセキュリティ上の懸念があるかもしれません。 おそらく、クラウド サービスはあなたの業界や場合によってはあなたの国によって許可されていないでしょう。 クラウドが選択肢にない場合は、HCL AppScan 360° を検討してください。 HCLSoftware のこの新しいセルフマネージド アプリケーション セキュリティ テスト プラットフォームは、オンプレミスまたはプライベート クラウドにデプロイでき、業界をリードするクラウドベースの SaaS (ソフトウェアとしてのソフトウェア) である HCL AppScan on Cloud と同じ最新の UI、速度、統合を提供します。 サービス）の提供。

これら 2 つのプラットフォームには、アプリケーション セキュリティ テスト機能 (SAST、DAST、IAST、SCA) の完全なスイートが含まれており、セキュリティ体制を強化し、セキュリティ体制を可視化するための一元化されたダッシュボードを組織に提供します。

HCL AppScan 360° アーキテクチャ

統合と機能

HCL AppScan 360° を使用すると、Jenkins や Azure などの業界をリードする CI/CD ツールの統合を使用して、アプリケーションを継続的に更新およびリリースできます。

• Jenkins 用の HCL AppScan プラグイン
• Azure DevOps 用の HCL AppScan プラグイン

HCL AppScan 360° 統合を使用すると、スキャンとスキャン データのプライバシーが維持されます。 セキュリティ スキャン データはユーザーの環境内にあるため、ユーザーがセキュリティ テスト用に別のテスト データを作成するという必須の要件はありません。 また、スキャン データは非常に安全であり、ユーザーの環境外からはアクセスできないため、監査やコンプライアンスに向けた追加の取り組みは必要ありません。

Jenkins と Azure のパイプラインがさまざまなジョブをさまざまなエージェント マシンに割り当てるコントローラー エージェント構成を使用して、分散ビルドを管理できます。 このアプローチを使用すると、新しく構築された複数のプロジェクトの SAST (静的アプリケーション セキュリティ テスト) スキャンを効率的に適用できます。 各プロジェクトの問題のセキュリティ概要がセキュリティ テスト レポートとともに表示されます。

セキュリティテストレポート

HCL AppScan は、スキャンの問題を含む包括的で詳細なセキュリティ テスト レポートと、報告された問題の修復ガイダンスを提供します。 レポートは、開発者やセキュリティ アナリストなどの複数の関係者がアクセスして使用できるように設計されています。 ここでサンプルレポートを表示できます。 SAST スキャンの実行時に取得されるサンプルのビルド概要を以下に示します。

ユーザーは、スキャン名「Demo_SAST_AppScan360」をクリックするだけでスキャン レポートを表示できます。 HCL AppScan 360° は、CrossSite Scripting (XSS)、SQL インジェクション、弱い認証、メール フィッシングなどを含む広範な問題リストについてアプリケーションをテストできます。

ソース コードのみ (SCO) スキャンを実行して、コンパイルされていないコードをセキュリティ スキャンして問題を回避し、プロジェクトが進みすぎる前にプログラムによるアプローチを確認することもできます。 問題は報告され、脆弱なコードの修正が提案されます。

指定した数の重大度の高い脆弱性などのセキュリティ結果に基づいてビルドが失敗するように構成できます。 このような場合の Jenkins ビルドのサンプルメッセージを以下に示します。

クラウドネイティブのアプリケーション セキュリティ プラットフォームである HCL AppScan 360° は、Intelligent Finding Analytics (IFA) や Intelligent Code Analytics (ICA) などの実証済みの AI/機械学習機能を使用して、より広範囲のスキャン範囲とより短い時間でより正確なスキャンを提供します。 速度と問題範囲のバランスを選択することで、スキャン時間を短縮できます。 基本的なセキュリティ問題を特定するには、開発ライフサイクルの早い段階でより高速なスキャンを選択します。 サイクルの後半でより詳細なスキャンを選択して、アプリケーションを完全にカバーできるようにします。

HCL AppScan 360° の初期リリースは、SAST またはソース テストに焦点を当てています。SAST、DAST、IAST、および SCA テクノロジーはすべて、クラウド上でサービスとして利用できます (HCL AppScan on Cloud)。 将来の HCL AppScan 360° リリースでは、クラウド ネイティブ、ソブリン クラウド、MSP、連邦サポートなど、増加する導入オプションで 4 つのテクノロジーすべてが展開される予定です。

HCL AppScan 360° とHCLSoftwareのすべてのアプリケーション セキュリティ ソリューションの詳細をご覧いただくか、HCL AppScan 360° の取り組みを今すぐ開始するにはお問い合わせください。

2023/8/7 - 読み終える時間: 2 分

Wider Application Security Coverage with HCL AppScan DAST and Vulnerable Third-Party Component Detection の翻訳版です。

HCL AppScan DAST と脆弱なサードパーティコンポーネントの検出により、アプリケーションのセキュリティをより広範囲にカバー

2023年8月2日

著者: Kamal Kumar Chandrashekar / Senior Product Manager, HCL AppScan 共著: Ayan Som / Senior Product Manager, HCL AppScan

The Linux Foundation Research によると、現代のアプリケーションで使用されているアプリケーション コードの 70 ～ 90% はサードパーティ ライブラリに依存しています。 このソフトウェア サプライ チェーンの依存関係は、現代の開発の厳しいペースの直接の結果です。 特定のタイプの機能については、これらのコンポーネントを最初から作成するよりも、「既製」のコードを組み込む方がはるかに効率的です。

しかし、サードパーティのライブラリに依存することにはセキュリティ上の欠点があります。 チームがゼロから構築する独自コードには脆弱性がない可能性がありますが、サプライ チェーン内の外部アプリケーションやコンポーネントが脆弱であれば、アプリケーションが安全であるとは限りません。

依存する脆弱なコンポーネントは攻撃者に機会を与え、検出されないとアプリケーションやビジネスに重大な影響を与える可能性があります。

脆弱なサードパーティコンポーネントの検出を備えた HCL AppScan DAST

HCL AppScan DAST (動的アプリケーション セキュリティ テスト) は、潜在的な脆弱性に対してアプリケーションと API をスキャンする業界をリードするテクノロジーです。 HCL AppScan DAST は、自動スキャンを実行してリスクを評価し、展開前にリスクを軽減することで、高額な Web アプリケーションのセキュリティ侵害を防止します。

HCL AppScan DAST エンジンの主な強みの 1 つは、脆弱性の豊富なデータベースを活用できることです。 このデータベースは、世界中のクライアントにサービスを提供しながら 30 年以上にわたってトレーニングされ、アプリケーションの動作を分析し、アプリケーションのセキュリティ体制に関する貴重な洞察を提供します。

HCL AppScan では、脆弱なサードパーティ コンポーネントの検出が導入されました。 この新機能は、最もよく使用されているクライアントおよびサーバー側テクノロジーのフィンガープリントを取得し、それらの脆弱性を報告することにより、既存の DAST 機能を強化します。

脆弱なサードパーティ製コンポーネントの検出には多くの利点

• 包括的な脆弱性の補償 ハッカーは、人気のあるライブラリの既知の脆弱性をターゲットにしています。 DAST と脆弱なサードパーティ コンポーネントの検出を併用すると、より包括的な脆弱性をカバーできるようになり、既知の脆弱性を持つライブラリを特定し、その結果をすべての DAST 結果とともに確認できるようになります。

• 脆弱性の軽減 各脆弱性を個別に追跡することで、セキュリティ チームは修復に関してより積極的に取り組むことができます。 この焦点と可視性は、同じ脆弱性を標的とした将来の潜在的な攻撃のリスクを軽減するのにも役立ちます。 チームは優先順位を付けた脆弱性にリソースを割り当て、攻撃対象領域を減らし、強力なセキュリティ体制を維持できます。

• コンプライアンスと監査 DAST および脆弱性サードパーティ コンポーネントの検出は、組織が非準拠コンポーネントを特定して対処し、必要な法規制遵守要件を確実に満たすのに役立ちます。

• 開発者の意識 サードパーティ コンポーネントに対するさらなる注意により、プロアクティブなセキュリティの文化が促進され、開発チームがソフトウェアの依存関係を定期的に監視して更新することが奨励されます。

• リリース範囲 AppScan Standard 10.3.0 および AppScan Enterprise 10.3.0 リリース以降。

AppScan on Cloud (SaaS オファリング)

現在、非常に多くのサードパーティ コンポーネントがアプリケーションに組み込まれているため、それらのコンポーネントがコード ベースに脆弱性をもたらしたり、安全性を維持するためのすべての努力を台無しにしたりしていないかを知ることが重要です。

HCL AppScan DAST は、業界をリードするアプリケーションの機能テストを提供し続けます。 脆弱なサードパーティ コンポーネントのフィンガープリンティングが追加されたことで、開発チームはこれらの集約された結果をすべて集中ビューで確認できるようになり、トリアージと修復が容易になり、ソフトウェア サプライ チェーン全体のセキュリティが大幅に向上します。

脆弱なサードパーティ製コンポーネントの検出を備えた HCL AppScan DAST の詳細については、https://www.hcl-software.com/jp/products/appscan?referrer=blog.hcltechsw.com にアクセスしてください。

2023/6/19 - 読み終える時間: ~1 分

Incorporating Integrated Application Security Key in Enhancing Ferrari’s Digital Journey の翻訳版です。

フェラーリのデジタル・ジャーニーを加速させる鍵は、統合アプリケーション・セキュリティの導入にあり

2023年6月14日

著者: Nabeel Jaitapker / Product Marketing Lead, HCLSoftware

従業員体験の向上とセキュリティの強化は、フェラーリがデジタルジャーニーを加速させる方法のほんの一例です。

スクーデリア・フェラーリは、イタリアの高級自動車メーカーであるフェラーリのレース部門であり、F1レースに参戦するレーシングチームである。HCLSoftwareとの最近のパートナーシップには、脆弱性検出のためのHCLSoftwareの統合アプリケーションセキュリティプラットフォームの活用が含まれています。

フェラーリのChief Data and Innovation OfficerであるSilvia Gabrielliは、HCLSoftwareを活用することで、同社はデジタル風景とビジネスプロセスを革新するためのデジタルジャーニーを加速していると述べています。

フェラーリは、開発段階からHCL AppScanを継続的インテグレーションツールに統合し、コラボレーションと分析をサポートできる修復プロセスのガバナンスと可視性を獲得する予定です。

HCLSoftwareは、歴史あるレーシングチームの戦略的パートナーとして位置づけられており、高性能で精密な技術の供給に重点を置いています。

HCLSoftwareのSecureDevOpsソリューション担当上級副社長であるRaj Iyerは、「この複数年のパートナーシップに入る私たちの目標は、今後何年にもわたってフェラーリを競争相手から引き離す高精度技術を提供することです」と述べています。

HCL AppScanは、ソフトウェア開発ライフサイクルのあらゆる段階において、アプリケーションの脆弱性をピンポイントで修正するための一連の技術により、開発者、DevOps、およびセキュリティチームを強化します。また、クラス最高のテストツール、一元的な可視化と監視、オンプレミス、オンクラウド、クラウドネイティブなど複数の導入オプションにより、アプリケーションの安全性を確保し、組織を保護できます。

この包括的なパッケージにより、企業は早期発見の優先、継続的なセキュリティの獲得、修復の集中、優れた透明性と制御を実現できます。

クラス最高のアプリケーション・セキュリティ・テスト・ツールである HCL AppScan についての詳細はこちらをご覧ください。また、フェラーリとHCLのパートナーシップに関するビデオはこちら でご覧ください。

2023/6/9 - 読み終える時間: ~1 分

HCL AppScan 360° Provides Fast, Accurate Application Security Testing that is Now Deployable Anywhere の翻訳版です。

HCL AppScan 360°、高速かつ正確なアプリケーション・セキュリティ・テストを提供し、どこでも展開できるようになりました

2023年6月8日

HCL AppScan 360° は、クラウドネイティブアーキテクチャで構築され、どこでも展開可能な単一の近代的な統一プラットフォームで、包括的なスキャン技術スイートを使用できるようにします。

エンタープライズソフトウェアソリューションプロバイダーである HCLSoftware は、クラウドネイティブアーキテクチャで構築された新しい統一アプリケーションセキュリティソフトウェアプラットフォームであるHCL AppScan 360°の発売を本日発表しました。HCLSoftwareの業界をリードするアプリケーションセキュリティポートフォリオであるHCL AppScanの拡張版であるHCL AppScan 360°は、ユーザーが期待する高速、正確、俊敏なアプリケーションセキュリティテストとともに、組織への幅広いセキュリティ展開オプションを提供します。

「HCLSoftwareのエグゼクティブ・バイスプレジデントであるRajesh Iyerは、次のように語っています。「このニーズは普遍的なものですが、導入方法やさまざまなソリューションへのアクセスに関しては、お客様ごとに独自のニーズがあることを理解しています。HCL AppScan 360°により、組織は、単一の近代的な統一プラットフォーム上でこれらすべての選択肢を利用できるようになり、さまざまなプロバイダーからセキュリティのニーズをまとめる必要がなくなります」。

ASoC SaaS 製品は、クラウド上で包括的なアプリケーション・セキュリティ・テストを顧客に提供し続けていますが、オンプレミス、セルフホスティング、MSPホスティング、ソブリンクラウド、クラウドネイティブなど、より幅広い導入オプションや消費モデルを必要とする層が世界中に存在しています。HCL AppScan 360°は、リスク態勢を比類なく把握できる集中型ダッシュボードなど、ASoCと同じ最新の集中型プラットフォームを共有し、ビジネスの特定のニーズに関係なく、組織に同じ包括的かつ継続的なセキュリティを提供します。

HCL AppScan 360° の特長は以下の通りです。

• 最新のクラウドネイティブアーキテクチャ上に構築されています。
• 静的、動的、インタラクティブ、オープンソース、コンテナスキャン、APIテストなどを含む統合テストソリューションの包括的なセット。
• カスタマイズ可能なダッシュボード、ポリシー、姿勢。
• オンプレミス、セルフマネジメント、クラウドネイティブ、ソブリンクラウド、MSP、フェデラルサポートを含む複数のデプロイメントオプション。
• アプリケーション単位、貢献ユーザー単位、同時実行単位など、複数の消費オプション。
• 2023年第2四半期から順次リリース。

「この最初のリリースでは、静的解析に焦点を当て、開発プロセスを通じてアプリケーションコードを保護するお客様の能力を向上させます。 HCL AppScan 360°は、当社の他のオンプレミス製品よりも多くのSAST統合と自動化を提供する予定であり、オンプレミスは始まりに過ぎません。今後のリリースでは、導入オプションやスキャン技術の選択肢を広げていく予定です」と、製品管理担当ディレクターのBilly Weberは述べています。

HCL AppScan 360° リリースの詳細については、以下をご覧ください： https://www.hcltechsw.com/appscan

2023/6/9 - 読み終える時間: 2 分

Interview: HCL AppScan 360° and Trends in Application Security の翻訳版です。

インタビュー: HCL AppScan 360° とアプリケーションセキュリティのトレンド

2023年6月8日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

HCLSoftwareは、2023年6月初旬に新しいアプリケーションセキュリティ製品であるHCL AppScan 360° をリリースすることを発表しました。クラウドネイティブアーキテクチャで構築されたこの統一プラットフォームは、HCL AppScanアプリケーションセキュリティポートフォリオを拡張したもので、現代のアプリケーション変革環境のダイナミックで成長するニーズに対応するよう設計されています。

ロンドンでの最近の会議の合間に、バイスプレジデント兼マーケティング責任者のDario Debarbieriは、HCLSoftwareのExecutive Vice PresidentのRajesh Iyerと、アプリケーションセキュリティのトレンドと、HCL AppScan 360° が将来果たす役割になぜ興奮しているのかについて幅広く議論しました。

Dario Debarbieri, (DD) - HCL AppScan 360° について議論する時間を取っていただき、ありがとうございます。新しいソフトウェア・プラットフォームについてお話しする前に、アプリケーション・セキュリティ市場の「根本的な変化」についての最近の発言について、詳しく教えていただければと思います。私は、あなたがおっしゃったアプリケーション・セキュリティ・テストの民主化と、それがCISOのオフィスから開発現場へとどのようにシフトしているかに興味があるのです。

Rajesh Iyer (RI) - Dario、このような重要なテーマについて、またHCLSoftwareの新しい「赤ちゃん」であるHCL AppScan 360° についてお話しする機会をいただき、本当にありがとうございます。あなたがおっしゃるシフトは、しばらく前から動いていたもので、デジタル経済が私たちのビジネスのやり方の多くの側面をいかに変えたかを反映しています。数年前までは、リリース直前、あるいはリリース後にアプリケーションをテストすることが許容されていましたが、セキュリティはもはや後回しにすることはできないのです。そのため、開発者はアプリケーション・セキュリティをDevOpsツールチェーンの早い段階でよりよく統合する作業に取り組み、現在では「セキュアDevOps」または「DevSecOps」オペレーションと呼ばれるようになっています。

DD - セキュリティに対するこうした新しいアプローチは、あなたが「デジタル＋エコノミー」と表現しているものの一部なのでしょうか？

RI - デジタル＋エコノミーは、アプリケーション・セキュリティ・テストの左遷だけではありません。まず、競争力を維持するために、企業はこれまで以上に多くのアプリケーションやアプリを迅速に開発し、複数のデバイスやチャネルに展開するようになっています。その結果、ハッキングされる可能性のある方法が同様に増加し、終わりが見えなくなっています。

こうした脅威に対処するため、企業は、オンプレミス、サービスとしてのクラウド、ソブリン・クラウド、そしてこれらすべての組み合わせなど、ニーズに応じたさまざまな形式のアプリケーション・セキュリティ機能を求めています。ソースコード・テスト（SAST）をオンプレミスやプライベート・クラウド上で行いたいと考える企業も珍しくありません（自社のコードを他人のクラウドに流したくないからです）。しかし、同じ企業がDAST（動的アプリケーション・セキュリティ・テスト）をスキャンし、その必要性をペンテスターにアウトソースし、as-a-serviceクラウド上で実行することも望んでいるかもしれません。

企業は、もはやユニットレベルでの「アプリケーション・セキュリティ・スキャン」だけには興味がない。企業は、自社の全体的なリスクプロファイルとオペレーショナルリスクエクスポージャーを知りたいと考えています。そのためには、いつでも自社のセキュリティ状況を可視化できる強力なレポーティング機能が必要です。

最後に、Digital+はセキュリティだけの問題ではないことを忘れてはいけません。デジタル＋はセキュリティだけでなく、運用の効率化も重要なテーマです。企業は、上記のすべてを、可能な限り低いTCO（総所有コスト）で実現したいと望んでいます。

DD - HCL AppScanが、このDigital+経済へのシフトにおいて、どのようにお客様を支援してきたのか、とても興味があります。

RI - ご承知のように、AppScanは20年以上前に誕生し、アプリケーション・セキュリティの標準を設定し続けてきました。HCLSoftwareのチームは近年、このプラットフォームを拡張し、業界で最も広範なアプリケーションセキュリティテスト機能を搭載しています。静的、動的、インタラクティブ、API、オープンソースなど、考えられるあらゆる種類のテストをお客様に提供し、オンプレミスでも、HCL AppScan on Cloud (ASoC) as-a-serviceプラットフォームを通じてクラウド上でも行っています。

私たちは、AIを活用してスキャンの精度を根本的に高め、開発者であれセキュリティの専門家であれ、スキャンの処理時間を短縮することを続けてきました。私たちの信条は、「速く、正確で、俊敏なセキュリティ・テスト」です。それには十分な理由があります！

そして、2023年6月にHCL AppScan 360° プラットフォームを立ち上げることで、このすべてをさらに前進させることができることを嬉しく思っています。

DD - HCL AppScan 360° はAppScanプラットフォームの未来だとおっしゃっていますね。それについて、もう少し詳しく教えてください。

RI - まず、HCL AppScan 360° は、静的、動的、インタラクティブ、サプライチェーン、コンテナ、APIテストなど、HCLSoftwareのアプリケーション・セキュリティ・テスト機能一式を、業界で最も幅広いセットに統合しています。- オンプレミス、オンクラウド、as-a-serviceで提供可能な、業界で最も広範な統合製品群です。企業は、自社のセキュリティ状況を実際に可視化できる一元的なプラットフォームと、どのようなスキャン機能をどのように使用し、どのように展開するかという選択の両方から利益を得られます。

この技術スイートの多くは、ASoCでサービスとして提供されていましたが、私たちはこれをオンプレミス製品と統合し、単一のプラットフォームで提供し、統一されたアーキテクチャでそのすべてを駆動します。これにより、HCL AppScan 360° は、機能のベロシティとCI/CDを大幅に強化し、お客様のセキュリティプロファイルを大幅に向上させる基盤を構築します。

アプリケーション・セキュリティに「一長一短」のアプローチは存在しないということがよくわかりました。パブリッククラウドは多くの企業にとって有効ですが、同じ最新プラットフォームをオンプレミス、またはプライベートクラウドやソブリンクラウド、場合によってはこれらのハイブリッドで展開したいと考える企業もあります。HCL AppScan 360° は、こうした選択肢をすべて提供します。

DD - このプラットフォームは、現在のお客様にどのような影響を与えるとお考えですか？

RI - 本当にポジティブな影響ですね、ダリオ。HCL AppScan 360° は、Digital+エコノミーのお客様のセキュリティニーズをサポートするために完全に設計されています。この新しいソリューションが提供する統合の数の増加だけでなく、より近代的なCI/CDの恩恵を受ける機会を得られます。また、ASoCを含む現在のHCL AppScanのポートフォリオのサポートと強化も継続していきます。HCL AppScan 360° は、プライベートクラウド、ソブリンクラウド、MSPベースのデプロイメントで利用できるようにすることで、私たちのポートフォリオに消費可能なレイヤーをさらに追加しています。

DD - ソブリンクラウドとMSPベースのデプロイメントについて、またHCL AppScan 360° がこれらをどのように支援するのか、もう少し詳しく教えてください。

RI - HCL AppScan 360° は、基本的にSaaSサービスであるASoCを、オンプレミスだけでなく、プライベートクラウド、ソブリンクラウド、MSP主導のクラウド上でも利用できるようにするものです。これにより、お客様が利用できる展開の選択肢は根本的に変わりました。

HCL AppScan 360° を任意のクラウド上に展開することは、各組織のニーズに特化したASoCの完全カスタムバージョンにアクセスすることと同じことです。これは、連邦政府や州政府をサポートするためのソブリンクラウドや、データの居住要件がある他のソブリンクラウドなどであっても構いません。デプロイメントと運用を根本的に簡素化したため、ボタンをクリックするだけで、このようなことが可能になります。

また、MSPのパートナーも募集中で、自社のクラウド上でこのサービスを提供できます。HCL AppScan 360° を利用した「BP主導のASoC」に対して、通信事業者やSI、テックパートナーから多くの関心が寄せられているのです。

DD - 2023年6月の初回リリースについて、何か残しておきたい詳細はありますか？

RI - AS 360の最初のリリースは、SASTまたはソーステスト用のAS 360° になります。私たちは、レメディエーションのサポート強化や、開発者に比類ない柔軟性と選択肢を与えるプラグインや言語の増加など、開発者の体験を向上させる数々の機能を導入しました。今後のリリースでは、DAST、IAST、SCAなどの技術を追加し、導入オプションの数も増やしていく予定です。

HCL AppScan 360° のリリースで進む方向は、HCL AppScanのフットプリントを根本的に拡大し、より多くのお客様にDigital+ Economyへの準備を促すと信じています。

HCL AppScan 360° および HCLSoftware のすべてのアプリケーションセキュリティソリューションの詳細については、HCLSoftware の Web サイトをご覧ください。また、HCL AppScan 360° の導入をご検討の方は、こちらからお問い合わせください！