2023/6/9 - 読み終える時間: 2 分

HCL AppScan 360° Puts the Power of Choice in Your Hands の翻訳版です。

HCL AppScan 360° でアプリセキュリティー対策の柔軟性が向上

2023年6月8日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

HCLSoftware は、将来のための大胆なビジョンで構築された、新しい統一されたクラウドネイティブアプリケーションセキュリティソフトウェアプラットフォームである HCL AppScan 360° を発表します。HCL AppScan が誇る高速、正確、俊敏なアプリケーションセキュリティテストが、これまで以上に多くの消費と展開の選択肢で利用できるようになります。

デジタル経済において企業が市場シェアを争う中、世界中でアプリケーション・セキュリティの必要性がますます高まっています。コードの一行目から安全なアプリケーションを構築することは、リスクを管理し、企業、従業員、顧客の資産と評判を保護するために不可欠です。

しかし、ニーズは普遍的である一方、組織、業界、地域によって方法は多岐にわたります。HCLSoftware は、各顧客がユニークであり、異なるソリューションに、異なる量、異なるタイミングでアクセスする必要があることを理解しています。HCL AppScan 360° を使用すれば、組織はこれらの選択肢をすべて単一の近代的な統一プラットフォームで利用できるようになり、さまざまなプロバイダーからセキュリティニーズをまとめる必要がなくなります。

一元化されたダッシュボードは、リスクの状況、問題、修正勧告を監視し、可視化できます。

全体は部分の総和よりも大きい

HCLSoftwareは、人気の高いAs-a-Serviceクラウドサービス（HCL AppScan on Cloud）で、真の統合プラットフォームがどのようなものであるかの基礎を築きました。静的、動的、インタラクティブ、オープンソース、コンテナスキャン、APIテストなど、包括的なテストソリューションのセットから、必要なテクノロジーを選択します。必要に応じて拡張し、シンプルで柔軟な消費モデルにより、使用した分だけ支払います。

また、それぞれのテクノロジーは単独でも高速かつ正確ですが、複数のソリューションを併用することで、まったく新しいレベルの価値を実現します。すべてのテストの結果は、一元化されたダッシュボードで見ることができ、発見された内容は、悪用可能性の証明に基づいて、修復のための問題の優先順位付けをするために相関させることができます。

スキャン結果は重要度を明確に表示し、監査証跡によりコラボレーションと管理が容易になります。

段階的なリリースを予定

HCL AppScan 360° は、主要なSaaS（サービスとしてのソフトウェア）であるHCL AppScan on Cloudと同じモダンで統一されたアーキテクチャとデザインを採用していますが、クラウドサービスを利用したくない、あるいは安全に利用できないお客様のために、より多くの配信オプションを備えています。

HCL AppScan 360°の最初のリリースでは、SASTテクノロジーと、プライベートクラウド、パブリッククラウド、ハイブリッドデプロイメントを含む複数の自己管理型デプロイメントオプションを提供する予定です。SAST、DAST、IAST、SCAの各技術はすべて、クラウド上のサービスとして引き続き利用可能です（HCL AppScan on Cloud）。今後のリリースでは、クラウドネイティブ、ソブリンクラウド、MSP、フェデラルサポートなど、より多くの導入オプションで4つのテクノロジーすべてを展開する予定です。

追加オプションが搭載されれば、これほど多くの選択肢、これほど多くの可視性、これほど包括的なセキュリティを提供する単一のプラットフォームは他にありません。

HCL AppScan 360° および HCLSoftware のすべてのアプリケーション・セキュリティ・ソリューションの詳細については、HCLSoftware の Web サイトをご覧ください。また、HCL AppScan 360° の導入をご検討の方は、こちらからお問い合わせください！

2023/5月/29 - 読み終える時間: ~1 分

API Scanning with DAST and IAST in AppScan's Next Lunch N' Learn の翻訳版です。

ウェビナー AppScan's Next Lunch N' Learn で DAST と IAST を使った API スキャニングを紹介します

API スキャンのための IAST（Interactive Application Security Testing）に関する有益なウェビナーに参加し、この最先端技術を活用してセキュリティテストを強化する方法について学びましょう。このセッションでは、IASTの基本的な説明と、自動郵便集金スキャンと組み合わせたその応用について説明します。

IASTとQAによる既存プロセスの活用、機能テストのセキュリティテストへの変換、IASTによるDAST（動的アプリケーションセキュリティテスト）スキャンの強化など、関連するさまざまなユースケースを専門家パネルが解説します。

より多くの領域をカバーし、さらなる問題を検出する方法や、セキュリティ問題に関して実用的な情報を得る方法などを学ぶことができます。IASTを使えば、効果的なセキュリティ・テストに不可欠な、完全なコールスタックとソースからシンクまでのビューを得ることもできます。

さらに、複数の問題を1つのグループに統合し、データ駆動型のトリアージプロセスと優先順位付けを可能にする、問題相関プロセスについてもご紹介します。

IASTでセキュリティテストのスキルを向上させるこの機会をお見逃しなく。5月31日に開催されるウェビナーへの参加をご希望の方は、今すぐご登録ください！

2023/5月/26 - 読み終える時間: ~1 分

HCLSoftware’s Technical Partnership with Ferrari starts with Low-Code and Integrated Application Security Solutions の翻訳版です。

HCLSoftware の Ferrari との技術提携はローコードと統合アプリケーションセキュリティソリューションから始まります

2023年5月25日

エンタープライズソフトウェアソリューションのグローバルリーダーであり、Scuderia Ferrari のレーシングチームのチームパートナーである HCLSoftware は本日、HCL Volt MX と AppScan ソリューションがフェラーリによって導入され、社員のデジタルジャーニーの加速によって社員の体験とセキュリティを強化すると発表しました。

HCL Volt MX は、業界をリードするマルチエクスペリエンス・ローコード・プラットフォームです。アプリの近代化から顧客体験の変革まで、HCL Volt MXは組織がリソースを最大限に活用し、複雑さとコストを削減し、迅速な価値を提供することで競争に打ち勝つことを支援します。HCL Volt MXを使用することで、フェラーリのイノベーションチームは、社内プロセスを改善し、従業員体験を向上させるだけでなく、コンポーネントを簡単に再利用できるため、アプリの市場投入までの時間を短縮することができるようになります。

HCL AppScan は、フェラーリが脆弱性検出に活用する統合アプリケーションセキュリティプラットフォームを提供します。フェラーリは、開発段階から HCL AppScan を CI ツールに統合し、コラボレーションと分析をサポートする修復プロセスのガバナンスと可視性を得られます。

「HCLSoftware を活用することで、私たちはデジタルランドスケープとビジネスプロセスを革新するための旅を加速させています」 と、Ferrari の Chief Data & Innovation Officer の Silvia Gabrielli は述べています。

HCLSoftware は、2022年11月に伝説の Scuderia Ferrari との複数年のパートナーシップを発表し、高性能で精密な技術の供給に焦点を当て、歴史あるレーシングチームの戦略的パートナーとして連携しています。

「このパートナーシップの目的は、Ferrari に高精度の技術を提供し、今後何年にもわたって競争相手より優位に立つことです。Ferrari のデジタルジャーニーの信頼できるパートナーになれることに興奮しています。」と、HCLSoftware の Business and Secure DevOps Solutions の Raj Iyer (Executive Vice President and Portfolio General Manager) は語っています。

2023/4/17 - 読み終える時間: ~1 分

HCL AppScan はソースコードやWebアプリ、組み込みアプリ等の脆弱性診断ツールです。

2023/3/29 のブログポスト「HCL AppScan、アプリケーションセキュリティテストソリューション3種のバージョン 10.2.0 をリリース」、および 2023/4/7 の「HCL AppScan Standard 10.2.0 で設定用UIを刷新」でお伝えした HCL AppScan 10.2.0 Standard の評価版を用意しました。トライアルガイドも付属していますので、カンタンに試すことができます。是非、お試しください。

詳しくは製品ページから。

2023/4/7 - 読み終える時間: 4 分

HCL AppScan Standard Reinvents the Configuration UI in Version 10.2.0 の翻訳版です。

HCL AppScan Standard 10.2.0 で設定用UIを刷新

2023年4月6日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

AppScan Standardは、セキュリティ専門家やペンテスター向けに設計されたDAST（Dynamic Application Security Testing）ツールで、ターゲットアプリケーションやAPIを自動的にクロールして脆弱性の有無をテストします。効率的なDASTスキャンは、優れたスキャン設定から始まりますが、これまで、一部のユーザーにとって、これは困難な作業でした。

しかし、これまでは、一部のユーザーにとって難しい課題でした！AppScan Standard 10.2.0のリリースでは、新しい設定UIにより、基本的な作業と高度な作業の両方のワークフローが改善され、必要なものをより速く見つけることができ、異なる設定がスキャンに与える影響をより理解できるようになっています。

ここでは、AppScan Standard 10.2.0の新しいUIと機能を簡単に紹介します：

埋め込みビュー

コンフィギュレーションは、アプリケーションのもう一つのビューとして機能するようになり、すべてのコンテンツへの可視性が高まりました。ナビゲーションから簡単にアクセスでき、データ、課題、コンフィギュレーションビューの間で柔軟に切り替えられます。コンフィギュレーションを更新する際、データまたは課題ビューで詳細を確認し、コンフィギュレーションで行ったことに正確に戻ることができるようになりました。

スキャン中のビューモード

また、埋め込みビューでは、スキャンの実行中に、スキャンに影響を与える設定の詳細を表示できます。スキャンを一時停止することなく、いつでも設定ビューをクリックできます。

コンフィギュレーションのプリセット

初心者の方にも、上級者の方にも、最適なプリセットをご用意しています。プリセットには、あなたの必要性に応じて設定項目をフィルタリングしたビューが含まれています。ホーム画面から直接操作したいプリセットを選択するだけで、必要に応じて簡単にプリセットを切り替えられます。フルコンフィギュレーション以外に、Web essentials と API essentials という 2 つのクイックプリセットが用意されています。これらのオプションを使用すると、わずか数ステップでWebアプリケーションまたはAPIスキャンを構成できます。(ヒント: 今後、より興味深いプリセットが登場する予定です!)

より速く物事を見つける

より直感的なグループ分けで設定項目を再編成し、探しているものを簡単かつ迅速に見つけることができるようになりました。また、検索ボックスを使用すると、使用している特定のプリセットにない項目も含めて、特定の項目を見つけられます。

API スキャン設定

postman コレクション、graphQL スキーム、OpenAPI ディスクリプションファイルのいずれを使用していても、すべてのAPI能力がスキャン設定の一部になるようになりました。さらに多くの自動API能力が近日中に登場する予定です。

ご意見をお聞かせください

お客様のご協力を得て、動的解析の革新と改善の機会を見出しています。AppScanチームは一貫して初期の設計やアイデアを共有し、設計パートナーから素晴らしいフィードバックを得ています。

私たちは、あなたの考えやフィードバックを共有するために、あなたに参加してもらいたいと考えています。あなたが影響を与えることができる方法がいくつかあります：

• デザインパートナーになり、市場に投入する前の初期のデザインや新しい開発についてフィードバックしてください。
• 新しいアイデア、フィードバック、リクエストは、製品のフィードバックボタンからお送りください。

HCL AppScan Standardの詳細については、www.hcltechsw.com/AppScan、今すぐ無料トライアルを開始してください。

2023/3/29 - 読み終える時間: 3 分

HCL AppScan Releases Version 10.2.0 for Three Application Security Testing Solutions の翻訳版です。

HCL AppScan、アプリケーションセキュリティテストソリューション3種のバージョン 10.2.0 をリリース

HCL AppScanは、バージョン10.2.0 を新たにリリースし、革新的なアプリケーションセキュリティテストへの揺るぎないコミットメントを示し続けています。オンプレミスの3つの製品は今回、重要な機能とユーザーエクスペリエンス機能をアップデートしており、これらはすべて広範なセキュリティ調査と顧客からのフィードバックに基づくものです。これらのアップデートはすべて、今日のセキュリティニーズだけでなく、将来のセキュリティニーズにも対応できるよう、将来を見据えた革新的なロードマップの一部です。

それでは、見ていきましょう。

HCL AppScan Standardは、業界をリードするDASTテクノロジーを搭載したオンプレミスの動的解析製品です。バージョン10.2.0の一部として、新しいアップデートは以下の通りです：

CVSS 3.1スコアリング

• 問題の深刻度と CVSS スコアは、CVSS 3.1 のスコアリングに基づくようになりました。
• 以前の HCL AppScan バージョン（2.0 スコアリングを使用）で実行されたスキャンは、3.1 スコアリングを適用することもできます（一部の問題のスコアと深刻度が変更される場合があります）し、そのまま表示することもできます。
• CVSS 3.1に準拠し、問題の深刻度として新たに「クリティカル」が追加されました。

新しい設定ビュー

• 従来の設定ダイアログボックスは、刷新され、再編成され、メインユーザーインターフェースのネイティブビューとして統合されました。
• Web API スキャンは、新しい設定ビューで設定されるようになりました（API を参照）。
• スキャンウィザードは、新しい設定ビューのプリセットに置き換えられ、迅速なセットアップのために不可欠なオプションを表示します。

規制コンプライアンスレポートテンプレートを更新しました

• 米国カリフォルニア州消費者プライバシー法（CCPA）- AB-375。

このリリースでは、新しいセキュリティルールが追加されています

• MaxLengthVuln - 非常に大きな制約を持つ "maxlength "属性の検索
• LeakedSecretTokens - レスポンスに含まれるシークレットトークンを検索する
• SecurityRule_AbstractContentSecurityPolicyRule - 新しい抽象的なCSPルールが追加された（共通検出とミューテーションを含む）
• attNoHttpsRedirection - httpスキームが使用されている場合にhttpsリダイレクトを行うかどうかをチェックする
• attText4Shell - Text4Shellの脆弱性（CVE-2022-42889）に対する新しいルールを追加しました。

• attGraphqlIntrospectionMutation - GraphQLでイントロスペクションが有効かどうかをチェックします。

  

HCL AppScan Enterpriseは、SAST、DAST、IASTに加え、広範なリスク管理の可視化と監視を提供する拡張性の高いオンプレミス型アプリケーションセキュリティテストツールです。バージョン10.2.0の一部として、新しいアップデートが含まれています：

CVSS 3.1スコアリング

• 問題の深刻度と CVSS スコアは、CVSS 3.1 スコアリングに基づくようになりました。新しいスキャンはすべてCVSS 3.1スコアリングに基づきます。アップグレード前のスキャン結果は、再スキャンまで CVSS 2.0 のスコアリングを使用して保存されます。詳細については、CVSS 3.1仕様書を参照してください。

ユーザーコントロールが改善されました

• グローバルオプションが有効な場合、読み取り専用ユーザーは課題に対してコメントできるようになりました。
• 課題ステータスの変更を制限するためのきめ細かいアクセス制御。
• 課題のステータスが変更された場合、コメントすることが義務付けられました。
• スキャンの結果を報告するための新しい API を追加しました。APIを使用します： /issues/(jobID)
• アクティビティログを更新し、マルチレベルのフィルタリングなどを改善しました。

規制遵守レポートテンプレートを更新しました

• 米国】カリフォルニア州消費者プライバシー法（CCPA） - AB-375。

このリリースでは、新しいセキュリティルールが含まれています

• MaxLengthVuln - 非常に大きな制約を持つ "maxlength "属性の検索
• LeakedSecretTokens - レスポンスに含まれるシークレットトークンを検索する
• SecurityRule_AbstractContentSecurityPolicyRule - 新しい抽象的なCSPルールが追加された（共通検出とミューテーションを含む）
• attNoHttpsRedirection - HTTPスキームが使用されている場合に、HTTPSリダイレクトを行うかどうかを確認する。
• attText4Shell - Text4Shellの脆弱性(CVE-2022-42889)に関する新規ルールを追加しました。
• attGraphqlIntrospectionMutation - GraphQL APIでイントロスペクションが有効かどうかをチェックする。

• oHttpsRedirection - HTTPスキーム使用時のHTTPSリダイレクトチェック追加

  

HCL AppScan Sourceは、SASTテクノロジーとIFA機械学習を搭載し、誤検知を98%削減するオンプレミス型の静的解析製品です。バージョン10.2.0の一部として、新たなアップデートは以下の通りです：

機能強化および新機能

• ライセンスコンフィグファイルでライセンスの非アクティブ時間を設定することができます。
• HCL AppScan Source CLIでは、フォルダをスキャンする際に、ソースコードのみのスキャンが可能になりました。
• プロジェクトファイルの拡張子環境設定で、利用可能な言語/プロジェクトタイプをタブではなく、ドロップダウンリストに表示するようになりました。
• Red Hat Linux 8.6 をサポートしました。
• .NET 7 をサポートしました。

HCL AppScan SourceとHCL AppScan Enterpriseの相互運用性に関する追加情報

• HCL AppScan Enterprise バージョン 10.2.0 は、CVSS 3.1 のサポートをアップグレードしました。HCL AppScan Sourceのユーザーとして、HCL AppScan Enterpriseバージョン10.2.0にアップグレードした場合、CVSS 3.1の仕様の性質上、深刻度の値に相違が生じる場合があります。

2023/3/23 - 読み終える時間: ~1 分

Recap: 2023 Agile International Conference の翻訳版です。

2023 Agile International Conference を振り返って

2023年3月21日

著者: Rob Cuddy / Global Application Security Evangelist

HCLSoftwareは、3月9日と10日にフロリダ州マイアミのフロリダ国際大学キャンパスで開催された 2023 Agile International Conference のダイヤモンドスポンサーを務めました。このイベントには、開発者、スクラムマスターから学生まで、350人以上が参加しました。このスポンサーシップの一環として、HCLSoftwareは2つの講演セッションを行い、350人以上の参加者のために他の多くのセッションを主催しました。

2023 Agile International Conference での期間中、私たちは驚くべきブランド認知を楽しみました。HCLSoftware は Agile International Conference のウェブサイト、参加者に配られたTシャツの裏、グラハムホールのスポンサーとして紹介されました（一日中、部屋に当社のロゴが表示されていました）。また、このイベントの紹介と閉会式で、私たちは口頭で表彰されました。

HCLSoftware は、さまざまな取り組みを通じて、業界のリーダーやプロフェッショナルとつながることができました。まず、私たちの Rob Cuddy と Colin Bell がホストを務める Application Paranoia Podcast のライブポッドキャストエピソードを実施し、その他にも2つのポッドキャストを実施しました。このポッドキャストについて詳しくは、最近のブログ記事をご覧ください。

さらに、HCLSoftwareのセッション Agile Has Gotten You Close - Value Stream Management Can Take You Over the Finish Line は、ビジネスアジリティトラックの一部として、ソリューションアーキテクトのJon Harding氏によって行われました。Jonは、仕事の流れを可視化し、最適化するためのアクションを取ることで実現できる利益について活発な議論を行い、価値の流れ管理がどのようにボトムラインのビジネスインパクトを達成するために使用できるかを参加者に示しました。

本イベントを成功に導いてくださった参加者、スポンサー、ボランティアの皆様に感謝申し上げます。

HCLSoftwareの詳細、または次回の開催地についてはこちら をご覧ください。

2023/3/23 - 読み終える時間: ~1 分

Application Paranoia Begins Season Four with a Live Podcast Recording from the Agile International Conference の翻訳版です。

アプリケーションパラノイア、シーズン 4 開始！Agile International Conference からライブポッドキャストを収録

2023年3月21日

著者: Rob Cuddy / Global Application Security Evangelist

Application Paranoia ポッドキャストは、アプリケーション・セキュリティとDevSecOpsをテーマにしたインタビューとディスカッションの4シーズン目を最近開始しました。2023年アジャイル国際会議は、フロリダ州マイアミのフロリダ国際大学キャンパスで3月9日と10日に開催され、完璧な会場となりました。HCLSoftwareはこのカンファレンスのダイヤモンドスポンサーとして、2つの講演セッションを行い、350人以上の参加者のために他のいくつかのセッションを主催しました。

メインステージの2つの講演セッションのうちの1つは、Application Paranoia ポッドキャストのホストである Rob Cuddy と Colin Bell にとって、この初のライブ録音をホストする絶好の機会となった。ゲストに Wingman Software 社のアジャイルトレーナー兼コーチの James Grenning 氏、Allvue Systems 社のソフトウェアエンジニアリング担当ディレクターの David Ralph 氏を迎え、アジャイル開発に関するさまざまなトピックについて活発な議論が交わされました。

アジャイル開発がもたらした影響、アジャイルと DevOps の関係、アジャイルとセキュリティの関係、アジャイルを取り巻く将来のイノベーションなど、いくつかの論点が挙げられました。

アジャイルコーチ兼トレーナーの Marcelo Lopez 氏は、このラウンドテーブル・ディスカッションからいくつかの重要なポイントを得たという。彼は、セキュリティは「...みんなの仕事だ」というDavid Ralphの発言を気に入ったようです。DevOpsでは、エンドツーエンドのセキュリティは当たり前なのです」。また、Colin Bell氏とJames Grenning氏による、アクティブスキャンと変異テスト (your built-in chaos monkeys) に関する活発な議論も気に入ったようです。Rob Cuddy は、攻撃されにくいソフトウェアを作るための方法として、共同プログラミング（モブプログラミング）の重要性を、「モブ・アフターを避けるためのモブ・ビフォア (The mob before to avoid the mob after)」という遊び心で表現しています。

シーズン4/エピソード1を今すぐ聴く

このポッドキャストの録音は、appscan.buzzsprout.com でそのまま、または主要なポッドキャストプラットフォームのApplication Paranoiaポッドキャストを通して聞くことができます。Spotify、Google Podcasts、Apple Podcasts、Overcastなど、お好きなポッドキャストプラットフォームでご購読ください。また、Colin、Kris、Robの3人は、@AppParanoiaというハンドルネームでTwitterでも情報を発信しています。

また、アジャイル国際会議全体についても、Jonathan Hardingによる価値ストリーム管理に関する素晴らしいプレゼンテーションの詳細を読むことができます。

HCL AppScan のアプリケーションセキュリティテストソリューションの詳細については、こちら をご覧ください。