Do Not Be a Victim of Cyber Attacks - HCL SW Blogs の翻訳版です。
サイバー攻撃の被害に遭わないために
2021年10月18日
著者: HCL Software / A division of HCL Technologies (HCL)
どんな企業でも、データ漏洩やサイバー攻撃のリスクに直面する可能性があります。企業の規模の大小にかかわらずです。
39秒に1回の割合 で悪意のある攻撃が行われている世界で、企業が安全を確保するためにはどうすればよいのでしょうか。ここでご紹介する「10ステップ・アプローチ」は、「気づき」が最大の防御となるように、お客様ご自身を守ることを目的としています。
迫り来るサイバー攻撃の影は今に始まったことではありませんが、その潜在的なコストは指数関数的に増加しています。適切な対策を講じることで、組織はこれらの攻撃に伴うリスクを大幅に軽減することができます。
HCL AppScan on Cloud には、30日間の試用版があります。クラウドサービスですので気軽に利用が可能です。
HCL AppScan on Cloud は、ソースコードをチェックする SAST 機能と、できあがったアプリケーションをチェックする DAST 機能の双方を兼ね備えており、DevOps の流れにシームレスに組み込むことができます。
今回より簡略な手順で利用を開始できるようになり、新たにガイドも作成しました。是非、HCL AppScan をお試しください。
HCL Software Named a Leader in the 2021 Gartner Magic Quadrant for Application Security Testing の翻訳版です。
HCL AppScan: 2021年ガートナー マジック・クアドラントのアプリケーション・セキュリティ・テスティング部門でリーダーに選出される
2021年7月28日
著者: Eitan Worcel / Product Lead, AppScan 共著: Orlando Villanueva / Product Marketing Manager, AppScan
HCL AppScan: 2021年ガートナー マジック・クアドラントのアプリケーション・セキュリティ・テスティング部門でリーダーに選出される
今年のアプリケーション・セキュリティ・テスト・レポートにおいて、HCL Software が初めてリーダーに選ばれたことをお知らせします。このレポートはこちらからダウンロード できます。
2020年から、ガートナー社は、組織が Secure DevOps に向かうことを支援するために HCL Software が行っている活動を認識し、検証しました。HCL Softwareは、テストの品質、深さ、カバレッジを犠牲にすることなく、セキュリティテストを開発や運用のプラクティスに簡単に組み込めます。このような AppScan の改善により、HCL Software は Gartner 社のMagic Quadrant の Visionaries (概念先行型) セクションに入りました。
2021年の今、AppScan は HCL Software のソフトウェアとして リーダーセクションに入りました。ガートナーでは、リーダーとは、市場において「AST 製品とサービスの幅と深さ」を示すとともに、「現代の開発者の高まるニーズをサポートするための明確で明確な道筋によるビジョン」を示すものと定義している。 つまり、AppScan は、アプリケーション・セキュリティ・テストのニーズがあり、Secure DevOps を導入している組織をサポートできることが明らかです。
HCL AppScan は、スタティック (SAST)、ダイナミック (DAST)、インタラクティブ (IAST) の各テストに加え、ソフトウェア・コンポジション・アナリシス (SCA) も提供しています。これらは、オンプレミスとSaaSの両方のモデルで提供され、さまざまな規模や予算の要件に合わせた柔軟なライセンスモデルが用意されています。また、HCL AppScan は、SAST 機能を提供する CodeSweep と呼ばれる Visual Studio と GitHub 用の無料の拡張機能を持っています。
HCL AppScan の詳細については、リソースページをご覧ください。
また、無料でお試しになりたい方は、セルフサービスのフリートライアルをご覧ください。
AppScan V.10.0.5 Impactful Updates Enabling Fast, Accurate, Agile Security Testing の翻訳版です。
AppScan V.10.0.5: インパクトのあるアップデートにより、迅速、正確、俊敏なセキュリティテストを実現
2021年7月29日
著者: Eitan Worcel / Product Lead, AppScan
継続的なアプリケーション・セキュリティを促進するツールを持つことは、企業の成功に不可欠です。そのため、AppScan は安全な技術革新を継続的に提供することを約束しており、最新のバージョン10.0.5 はその約束を証明するものです。
このブログでは、AppScan V.10.0.5 の新機能と改善された機能のいくつかを製品ライン別に紹介します。また、スペシャルイベントである AppScan Tuesdays では、以下に紹介する多くの新機能の詳細をご紹介していますので、こちらもぜひご覧ください。
AppScan Enterprise の機能強化の詳細については、Recent Updates のページをご覧ください。
AppScan Source V10.0.5 では、以下の点が強化されています。
AppScan Source の機能強化の詳細については、Recent Updates のページをご覧ください。
AppScan StandardのV10.0.5 の機能強化点は以下の通りです。
AppScan Standardの機能強化の詳細については、Recent Updates のページをご覧ください。
上記の機能強化の詳細については、AppScan Tuesdays スペシャルイベント をご覧ください。
AppScan の最新の開発状況については、YouTube の This is AppScan チャンネル をご覧ください。
HCL AppScan インテリジェント・コード・アナリティクス: コグニティブ・コンピューティングによるアプリケーション・セキュリティ・テストのカバレッジの向上
2021年4月20日
著者: HCL Software / A division of HCL Technologies (HCL)
前回の記事 では、コグニティブ・コンピューティングによって、静的アプリケーション・セキュリティ・テスト (SAST) につきものの誤検出やノイズを大幅に削減できることを紹介しました。また、ほとんどのアプリケーション・セキュリティ製品のアプローチである、言語カバレッジに影響を与えることなく (すなわち、ルール・セットを減らすことなく) 、誤検出を減らすことができることを示しました。
IFA (Intelligent findings analytics) は、アプリケーション・セキュリティ・テストにおける重要なブレークスルーとなりますが、静的解析言語プロセッサが生成したカバレッジの幅を維持するに過ぎません。
インテリジェント・コード・アナリティクス (ICA) は、コグニティブ・コンピューティングを使用して言語のカバレッジを拡張することにより、IFA を大きく前進させます。コーディング言語は、毎日のように新しいフレームワークが登場し、急速に進化しているため、これは非常に重要です。Java 8 のような新しい言語のバージョンでは、何万もの新しいアプリケーション・プログラム・インターフェース ( API ) が導入されます。
従来、訓練を受けたセキュリティ専門家は、これらの API の一つ一つを検証し、それが入力 (ソース) か出力 (シンク) かを確認し、コードに脆弱性 (テイント) が含まれているかどうかを判断していました。新しいフレームワークは、このプロセスをさらに複雑にしています。開発者にとってはコーディングが簡単になることで、テストシステムにとってはレビューが不透明になります。これらの API を特定し、マークアップと呼ばれるルールを作成するには、数週間以上かかることもあり、テストシステムのカバレッジにギャップが生じてしまいます。
ICA は、機械学習を API の識別とマークアップに適用することで、この問題に対処し、事実上排除します。驚くべきことに、ICA はこの作業をオンザフライで行います。ICA は新しい API やフレームワークに出会うたびに、それが汚染可能かどうかを瞬時に判断し、ルールを作成します。このルールは解析エンジンで使用され、アプリケーションのデータフローに実際の脆弱性が含まれているかどうかを判断します。
これらの結果がどのようにして得られたかを説明する言葉があります。"It just works!" この言葉の裏には確かに詳細がありますが、コグニティブ技術をアプリケーション・セキュリティ・テストに適用することの素晴らしさは、詳細をすべて知る必要がなく、結果を見るだけでよいということです。
IFAでは、訓練を受けた専門家が同じ分析を行った結果と同等以上の精度を機械が実現しました。同様に、ICA の結果も同様に、人間が行った分析結果と同等かそれ以上の素晴らしいものでした。これは、IFAと同様に、複雑な問題に何時間も取り組んでいると、人間は自然と疲れてミスをしがちになりますが、機械は同じ作業を数秒で完了し、疲れないということに起因していると考えられます。
IFA と ICA は、コグニティブ・コンピューティングを活用して、アプリケーション・セキュリティの主要分野であるスピードとカバレッジに対応します。この2つは、DevOps アプリケーション・セキュリティ・プログラムを成功させるために不可欠です。しかし、これは始まりに過ぎません。アプリケーション・セキュリティ・プログラムをより効果的にするために、コグニティブ・コンピューティングは次に何をもたらしてくれるのでしょうか?その答えは、このページをご覧ください。
AppScan のコグニティブ・アプリケーション・セキュリティ・テスト機能の詳細については、この短いアニメーション・ビデオをご覧ください。
Intelligent Finding Analytics: Your Cognitive Computing Application Security Expert の翻訳版です。
AppScan Intelligent Finding Analytics: コグニティブコンピューティングによるアプリケーションセキュリティのエキスパート
2021年4月19日
著者: HCL Software / A division of HCL Technologies (HCL)
数年前、AppScan チームは、アプリケーション・セキュリティ・リスクを理解し低減しようとする企業が直面する困難な問題に対処するために、コグニティブ・コンピューティングがどのようにインテリジェントな発見分析を生み出すことができるかについて調査を開始しました。つまり、開発者に脆弱性を報告するスピードを重視すべきか、それとも結果を分析して問題を特定し、優先順位をつけて対処する精度を重視すべきか、という難問に直面しています。一般的に、後者の目標である「正確さ」には、専門家を活用してリスクの高い脆弱性を検証し、前者の目標である「速さ」の達成を妨げる可能性のある偽陽性を排除することが含まれます。簡単に言えば、両方を手に入れることはできないということです。これまでは、そうでした。
干し草の山を例にとってみましょう。SAST への最適なアプローチは、アプリケーション内の実際のデータフローを調べることなので、SAST スキャナは多数の結果を出す傾向があります。これらをすべての可能な結果と考えてください。これが「干し草の山」という喩えです。
この干し草の山の中から針を見つけるために、セキュリティチームは2つの可能なアプローチのうちの1つを取ることができます。
これは一般的に、アプリケーションをスキャンする際に、より少ない数の結果(できれば最も重要なもの)を見つけるという、軽いアプローチによって達成されます。このアプローチの主な利点は、スピードです。例えが悪いかもしれませんが、結果の数が少ないと、小麦と籾殻を素早く分けることができます。これにより、セキュリティ・チームは開発者に迅速に結果を提供することができます。しかし、デメリットにも注意する必要がある。セキュリティ・チームは、探している針を見つけられないかもしれない。言い換えれば、このプロセスは、組織の全体的なアプリケーション・セキュリティ・リスクを確実に低減するものではない。
2つ目のアプローチは、結果を確認して針を見つけるために、従業員を増員することです。この方法の利点は、包括的であることです。テストの過程で針が失われることはなく、専門家はどの結果に対策が必要かを判断することができます。一方、デメリットとしては、スキル、コスト、そして特に時間の面で非効率であることが挙げられます。干し草の山が大きければ大きいほど、プロジェクトにはより多くの専門家が必要になります。これらの専門家は、希少で高価なリソースです。結果のレビューには数時間、数日、あるいは数週間かかることもあり、開発者にタイムリーに結果を提供したり、継続的なエンジニアリングを確保することは事実上不可能です。スキル不足のため、一部の企業はプロセス全体をアウトソースすることにしました。これは、短期的なスキルギャップを解決することはできますが、コストとプロセス時間が大幅に増加します。アウトソーシングすることで、企業は採用やトレーニングの負担から解放されますが、時間の優先順位を決める際のコントロールを失うことになります。
この選択肢と、他の認知的な取り組みの成功を踏まえ、AppScan のエキスパートは、第3の選択肢があるはずだと考えました。こうして生まれたのが、AppScanのIFA (Intelligent Finding Analytics) です。IFA は当初、第1の SAST アプローチの主な利点であるスピードと、第2のアプローチの利点である精度を、それぞれに関連する欠点なしに達成できるかどうかを調べる研究プロジェクトでした。認知機能を利用して、専門家集団が干し草の山をかき分けるような役割を果たすことが目的だった。
1年目の結果は、当初の予想を上回るものでした。実際にお客様に使っていただいたところ、誤検出やノイズを取り除くことで、結果の干し草の山は常に90%以上減少しました。IFA の学習機能を使えば、誤検出の除去精度は98%以上になります。実際に、2016年10月時点で、クラウド上のアプリケーションセキュリティにおけるお客様の全スキャンでの誤検知とノイズの削減率は、なんと98.91%でした。
先に述べたように、この削減は精度を犠牲にするものではなく、IFA の98パーセントの精度は、有能で経験豊富なアプリケーションセキュリティの専門家の精度とほぼ同じである。多くの場合、IFA の結果は実際に人間の専門家よりも優れている。これは、人間が何時間も針の穴を探しているうちに疲労してくるからだと思われる。人間の専門家が大規模なアプリケーションを分析するのに数時間から数日かかるのに比べ、IFA は数秒どころか数分で結果を出す。このスピードにより、サイバーセキュリティチームは、持続的な脅威に対応し、継続的なエンジニアリングモードを維持するのに十分な速さで開発者に調査結果を提供することができる。これにより、開発者は、頻繁に、かつ早期にスキャンを行うことができ、脆弱性が出てくるのを待つのではなく、出てきた時点でそれを修正することができます。
しかし、IFA は「干し草」と「針」の問題を解決するだけではありません。IFAは、開発者が発見した問題を、自分が書いているコードの中で直接修正することをより効率的に行えるようにします。認知技術を応用したIFA は、修正グループを使って発見物のセットを減らします。修正グループは、コード内のどこにセキュリティ上の問題があるかを正確に示し、開発者が複数の問題を同時に修正できるようにします。現在、開発者は数百のセキュリティ問題に対し、5?10の修正グループを確認しています。IFA は、開発者が1つの統合開発環境 (IDE) ですべての問題を修正できるようにします。
このような機能を持つ IFA は、企業が日々のアプリケーション・セキュリティの課題に対処するためにどのように役立つのでしょうか?実際のお客様の結果を3つ見てみましょう。
アプリケーション No.1 では、ディープスキャンの結果、12,000以上の潜在的な脆弱性が特定されました。IFA は、この数を約1,000個に減らし、1,000個すべてに対処するためにコード内の35箇所(修正グループ)を特定しました。アプリケーション No.2 では、ディープスキャンの結果、約250,000件の潜在的な脆弱性が特定されました。ここでもIFAは、約1,000個の脆弱性に削減し、それらに対処するためにコード内の103個の修正グループを特定した。アプリケーション No.3 では、ディープスキャンの結果、750,000件近くの潜在的な脆弱性が特定されました。驚くべきことに、IFA はこれらをわずか483の実際の結果にまで減らし、42の修正グループを特定した。
長年の経験から、IFA はあらゆる規模のアプリケーションの開発チームを支援できることを示している。これにより、それらのセキュリティ・チームがアプリケーション・セキュリティ問題の発見と修正に何時間も費やす必要がなくなりました。あるいは、場合によっては、両手を挙げて巨大な挑戦をあきらめてしまうこともありました。その代わりに、これらの企業では、アプリケーション・セキュリティ・リスクに対処するための効率が98%以上向上しました。
学術的な研究、継続的な機械学習、実際の顧客経験を経て、IFA は何をしてくれるのでしょうか?非常に簡単に言えば、IFA は以下のような方法を提供します。
そして、これはほんの始まりに過ぎません。IFA の機能は、HCL AppScan の一連のソリューションで利用できます。AppScan on Cloud の IFA および ICA (Intelligent Code Analytics) 機能の概要については、以下の簡単なビデオをご覧ください。また、今すぐ ASoC の無料トライアルにお申し込みいただき、コグニティブ機能をお試しください。
HCL Software は Secure DevOps 製品群を開発・販売していますが、その中にセキュリティーテストツールである HCL AppScan があります。 AppScan にはソースコードレベルとアプリケーションレベルでチェックする機能があり、上流から下流までカバーする製品です。
最近、アプリ開発のセキュリティーの世界で注目されているのは「シフトレフト」の流れです。より上流で潜在的な問題を検出、修正することで、手戻りを減らす考え方です。
そのことについて書かれたホワイトペーパーを日経クロステックのサイトで公開しました。
Mobile Applications: Much More Than What Runs on Your Device の翻訳版です。
モバイルアプリ: デバイス上で動作しているものよりもより深く
2021年3月23日
著者: Eitan Worcel / Product Lead, AppScan、Nabeel Jaitapker 共著: Product Marketing Lead, HCL Software
モバイルアプリケーションは、ビジネスの拡大や潜在的な顧客へのアプローチを可能にするものであることは誰もが知っています。
しかし、モバイルは、セキュリティの脆弱性を利用して利益を得ようとする悪意のある行為者にとって、脅威のベクトルを拡大しています。
悪意のあるハッカーとの戦いにおいて、企業は、モバイル操作に起因する脅威からしっかりと保護されていることを確認する必要があります。しかし、忘れがちなのは、モバイルからの脅威は、ユーザーがプロバイダーのアプリストアからダウンロードして自分の端末にインストールするクライアント側のモバイルアプリケーションの脆弱性に限らないということです。より大きなリスクは、バックエンドで実行され、クライアント側のアプリケーションからのリクエストを処理するサービスにあります。
HCL AppScan は、クライアント側のモバイル・アプリケーションとサーバー側の Web サービスの両方を、アプリケーション・セキュリティのテスト技術を組み合わせてスキャンすることをサポートしているため、モバイル・アプリケーションのランドスケープを適切にテストするための完全な技術セットを提供できる唯一のソリューションです。
例えば、開発者は、SAST (Static Analysis Security Testing) を使って自分のコードにセキュリティ上の脆弱性がないかどうかを簡単に調べることができますし、SCA (Software Composition Analysis) を使って自分のアプリケーションにインポートするサードパーティーのコンポーネントに既知の脆弱性がないかどうかを評価できます。
サーバーサイドでは、SAST と SCA に加えて、AppScan では Dynamic Analysis Security Testing (DAST) を使ってバックエンドサービスをスキャンできます。この DAST は、悪意のあるハッカーが使用するのと同じアクションを模倣します。また、インタラクティブ・アナリシス・セキュリティ・テスト (IAST) では、アプリケーションが操作されているときの動作を監視することができ、外部に露出しにくい脆弱性を検出することができる、別の層のテストが可能です。
ここ数年の AppScan を追っている人は、クライアント側のモバイルアプリケーションをスキャンする HCL AppScan on CloudのMobile Analyzer にも精通していることでしょう。Mobile Analyzerは IAST 技術に依存していますが、ここ数ヶ月の間に、上述の SAST によるモバイル言語のサポートを導入したことで、この技術からの移行を開始しました。
SAST のメリット
パッシブ IAST は、ゼロタイムでセキュリティ分析を行います。その利点は、パイプラインの一部として実行し、QA チームがすでに実行している機能テストを活用する場合です。これは、Web アプリケーションや Web サービスでは非常に有効ですが、クライアントサイドのモバイルアプリケーションではあまり有効ではありません。このような制限を克服するために、AppScan では独自のクローラーを実装し、アプリケーションと自動的に対話するようにしました。この方法では、アプリケーションのスキャンに成功しましたが、当社の SAST スキャンがわずか数分またはそれ以下で完了するのに対し、スキャン時間は平均して1時間以上かかりました。
当社の IAST ソリューションでは、Swift、Objective-C、Android Java、Kotlin で書かれたiOSおよびAndroidアプリケーションしかスキャンできず、一般的なデバイス上で動作するアプリケーションに限られます。特定のAndroidメーカー向けに書かれたアプリケーションには対応していません。HCL の SAST ソリューションでは、上記の4つに加えて、ionic、React Native、Xamarin に対応しており、今後も言語やフレームワークの追加を予定しています。SAST では、デバイスにとらわれないため、どのデバイスであってもコードをスキャンできます。
前述のように、IAST はアプリケーションが操作されているときにそれを監視しますが、モバイル向けのIASTソリューションには実際のモバイルデバイスを使用する必要があります。そのため、Mobile Analyzerは当社のクラウドソリューションでしか利用できませんでしたが、SASTによるモバイルサポートを追加することで、HCL AppScan Sourceでも利用できるようになりました。
IAST や DAST のようなアプリケーション・セキュリティ・テストでは、実行中のアプリケーションをテストしますが、これは一面では SAST よりも正確ですが、他面ではスキャンが困難です。SAST のスキャンを成功させるために必要なのは、アプリケーションコードだけです。バックエンドサーバーをインストールする必要はなく、スキャナがバックエンドに到達できるようにしたり、ログイン認証情報を提供したりする必要もありません。実際には、アプリケーションをコンパイルする能力さえ必要ありません。
HCL Software では、HCL AppScan on Cloud を使用したモバイルアプリケーションの価値が非常に高まっていることを実感しています。是非、デモをご利用ください。