2024/8/21 - 読み終える時間: 4 分

Streamlining Security: Integrating HCL AppScan with Maven and Gradle の翻訳版です。

Maven、GradleとAppScanを統合：効率的なセキュリティ

2024年8月20日

著者: Parimal Sureshagarkhed / Lead Software Engineering

ソフトウェア開発のペースが速い世界では、常に先頭に立つということは、新たな課題に対応するために常に進化し続けることを意味します。そのため、HCL AppScan は、開発プロセスを強化し、セキュリティ体制を強化するために設計された 2 つの新しいプラグインを導入できることを嬉しく思っています。これらのプラグインは、既存のワークフローにシームレスに統合され、セキュリティを最優先にしながら、チームがより効率的に作業できるようにします。

HCL AppScan Maven および Gradle プラグインは、開発者が日常的に使用するツールと統合するように調整されており、ワークフローに完全に一致するシームレスなセキュリティスキャンを提供します。Maven を使用して Java アプリケーションを構築する場合でも、Gradle を使用して複雑なプロジェクト依存関係を管理する場合でも、これらのプラグインにより、セキュリティが開発パイプラインの不可欠な部分になります。

両方のプラグインは、HCL AppScan on Cloud および HCL AppScan 360° で利用でき、アプリケーションのセキュリティを大幅に強化できる豊富なリリースを備えています。

HCL AppScan Maven プラグイン

HCL AppScan Maven プラグインは、Maven ベースのプロジェクトとスムーズに統合できるように作成されており、開発者はセキュリティテストをビルドプロセスに簡単に組み込めます。Java エコシステムで広く使用されているビルド自動化ツールである Maven は、標準ビルドライフサイクルにセキュリティチェックを組み込むことで、この統合のメリットを享受しています。

主な機能

1. シームレスな統合: プラグインは最小限の構成で Maven プロジェクトに簡単に組み込むことができ、セットアップと使用のプロセスが簡素化されます。

2. 自動スキャン: ビルドプロセス中にコードの脆弱性を自動的にスキャンし、潜在的な問題に関するフィードバックを即座に提供します。

3. カスタマイズ可能: スキャンパラメータは、プロジェクトの特定のニーズに合わせて調整できます。

使い始めるには

• プラグインを使用するための前提条件については、こちらを参照してください。
• プラグインの使用方法については、このリンクを参照してください。
• プラグインで使用できる構成可能なオプションは次のとおりです。

プラグインを追加すると、通常どおり Maven ビルドを実行できます。 AppScan プラグインは、セキュリティスキャンを自動的に実行し、AppScan on Cloud (または AppScan 360?) でレポートを生成します。

HCL AppScan Gradle プラグイン

HCL AppScan Gradle プラグインは、ビルド自動化ツールとして Gradle を使用するプロジェクトに同等の機能を提供します。柔軟性に定評のある Gradle は、現代のソフトウェア開発で広く採用されています。HCL AppScan を Gradle と統合することで、セキュリティがビルドプロセスの不可欠な要素になります。

主な機能

1. シームレスな統合: Gradle ビルド スクリプトと簡単に統合できるため、セキュリティテストが開発ワークフローの自然な一部になります。

2. 自動セキュリティチェック: ビルドプロセス中にコードベースを自動的にスキャンして脆弱性を検出し、タイムリーなフィードバックを提供します。

3. 構成可能: プロジェクトの要件に合わせて構成可能なスキャン オプションを提供します。

使い始めるには

• プラグインを使用するための前提条件については、こちらを参照してください。
• プラグインの使用方法については、このリンクを参照してください。
• これらは構成可能なオプションです。

この構成では、AppScan プラグインはプロジェクトのビルド タスクの後に実行され、ビルドプロセスの一環としてコードの脆弱性がスキャンされます。

HCL AppScan との統合のメリット

• AI による時間の節約: これらのプラグインを使用すると、誤検知を減らす Intelligent Finding Analytics (IFA) やスキャン範囲を自動的に拡大する Intelligent Code Analytics (ICA) など、HCL AppScan の実証済みの AI/機械学習機能を活用できます。

• 実用的な洞察: HCL AppScan は、スキャンの問題と報告された問題に対する修復ガイダンスを含む包括的で詳細なセキュリティテストレポートを提供します。html、pdf、xml、csv などのさまざまなレポート形式を生成できます (サンプルレポートはこちら)。

• 早期検出: セキュリティテストをビルドプロセスに統合することで、脆弱性を早期に検出し、修正に必要なコストと労力を削減できます。

• 継続的なセキュリティ: セキュリティ チェックが一貫して実行されるようにすることで、脆弱性が抜け落ちにくくなります。

• コード品質の向上: 定期的なセキュリティスキャンにより、開発者が潜在的なセキュリティ問題に気付くようになるため、コード品質が向上します。

• コンプライアンス: コードベースが定期的にスキャンされ、保護されるようにすることで、コンプライアンス要件を満たすのに役立ちます。

CI/CD パイプラインにセキュリティテストを統合することは、アプリケーションのセキュリティと整合性を維持するために不可欠です。HCL AppScan Maven プラグインと HCL AppScan Gradle プラグインは、セキュリティ チェックを自動化し、コードが最初から安全であることを保証する強力なツールを提供します。これらのプラグインをビルドプロセスに組み込むことで、アプリケーションのセキュリティ体制を強化し、自信を持ってソフトウェアをリリースできます。

この統合は、Visual Studio、Jenkins、GitHub、GitLab など、需要の高いツールとのマーケットプレイスベースのコラボレーションの広範なリストの一部です (完全なリストはこちらをご覧ください)。

HCL AppScan アプリケーションセキュリティテストソリューションの詳細については、こちらをご覧ください。

HCL AppScan on Cloud または AppScan 360 の顧客ではありませんか? 上記のビルド プラグインで使用する Application Security on Cloud の無料トライアルについては、こちらをクリックしてください。または、今すぐ HCL AppScan 360° の旅を始めるには、HCLSoftware にお問い合わせください。

2024/8/21 - 読み終える時間: 3 分

DAST for Developers: Enhanced Application Security from HCL AppScan の翻訳版です。

*開発者のためのDAST：HCL AppScanがアプリケーションセキュリティを強化

2024年8月20日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

今日のペースの速い開発環境では、開発者はソフトウェア セキュリティに対する責任をさらに負うことが求められています。誤った構文、マージ エラー、統合の問題を特定するのに役立つツールが多数あるにもかかわらず、開発者は自分が書いたコードに脆弱性を持ち込んでいるかどうかに気付いていないことがよくあります。これがセキュリティチームに届くとボトルネックになる可能性があるため、組織は開発ライフサイクルのかなり早い段階で開発者にセキュリティ ツールを強化することで時間とリソースを節約しています。

静的アプリケーションセキュリティテスト (SAST) は、従来、開発者が書いたコードをテストするための最も重要なツールでした。動的アプリケーションセキュリティテスト (DAST) は、セキュリティチームによってサイクルの後半で使用されてきました。しかし、開発者にとっても使いやすい DAST ツールの需要が高まっており、開発プロセスの一環としてより安全なコードを作成するチェックとバランスのシステムを開発者に提供します。

開発者向け DAST と呼んでも、開発者中心の DAST と呼んでも、HCL AppScan には、HCL AppScan on Cloud (ASoC)、HCL AppScan 360° (AS360)、HCL AppScan Standard (ASD)、または HCL AppScan Enterprise (ASE) をサイクルの早い段階で使用しているかどうかに関係なく、開発者が DAST スキャン、修復、検証をワークフローにシームレスに統合するために必要なツールがあります。

ワークフローへのシームレスな統合

• 使い慣れたツールとの統合: Jenkins、Azure DevOps、GitHub、欠陥追跡システム統合のプラグイン、またはコミュニティ プラグインを活用して、既存の CI/CD パイプライン内で直接スキャンを開始します。(ASoC、AS360、ASE)。

• プロモーション前の個人スキャン: 変更をプロモーションする前にコードをクイックスキャンし、脆弱性を早期に検出してメインブランチに侵入するのを防ぎます (ASoC、AS360)。

• AppScan CMD/ソフトウェア開発キット (SDK): AppScan CMD/SDK を使用すると、独自の統合を構築して、コードに導入された変更のみに焦点を当てた、ユニット テストに似た超高速テストを開発者 IDE 内で実行できます。

効率性を高めるプリセットとワークフロー

• 初心者向けのシンプルなスキャン: AppScan は、基本的なスキャン用に事前構成されたワークフローを提供します。これは、DAST を初めて使用する開発者に最適です。すぐに開始して、一般的な脆弱性を特定します。

• 高度な構成が必要なスキャン: 複雑なセキュリティテストの場合、AppScan は、AppSec 専門家の専門知識に対応する詳細な構成オプションを提供します。

効率性を高める自動化

• セキュリティ タスクの自動化: API、SDK、CLI、Webhook との DAST 統合により、反復的なセキュリティ タスクを自動化して、貴重な開発時間を節約できます。

• 増分スキャン: 増分スキャンを使用して、コードベースで変更された部分のみに DAST スキャンを集中させます。これにより、徹底したセキュリティテストを維持しながら、時間とリソースを節約できます。

• 記録されたトラフィックによるターゲット スキャン: AppScan トラフィック レコーダーまたはアクティビティ レコーダーを使用して、特定のユーザーインタラクションまたはアプリケーションアクティビティをキャプチャします。これにより、コードが変更された領域のみをターゲットとする集中的な DAST スキャンを作成できるため、より迅速に結果が得られます。

効率性を高めるためにスキャンを最適化

• テストの最適化とポリシー: テストの最適化機能と定義済みのセキュリティポリシーを使用して、DAST スキャンをカスタマイズします。これにより、特定のアプリケーションに最も関連性の高いセキュリティ チェックに焦点を絞ることができます。

• 除外と例外: 除外機能と例外機能を使用して、コードベースの無関係な領域をスキャンから除外します。これにより、スキャンが効率化され、ノイズが削減されます。

• スキャンの深さの制御: スキャンの深さを定義して、包括性と速度の適切なバランスを実現します。

DAST と IAST を組み合わせることによる可視性と洞察力の向上

• リアルタイムの洞察のための IAST エージェント: Interactive Application Security Testing (IAST) エージェントは、IDE とプロアクティブに統合され、コーディング/テスト時に脆弱性を正確に特定します。問題をすぐに修正し、後で大きな問題になるのを防ぎます。詳細はこちらをご覧ください。

• コールスタックの可視性: IAST エージェントは DAST の問題のコールスタックを提供するため、コードベース内の脆弱性の正確な場所を特定して、より迅速に修復できます。

基本的な DAST を超えて

• 修復が簡単: HCL AppScan は、脆弱性を特定するだけではありません。詳細な説明、優先順位付け、自動クローズ検証を提供し、修復を効率化します。さらに、ASoC のロードマップには、GenAI を利用した魅力的な自動修正推奨事項が含まれています。

• 脆弱性コンポーネントの検出: HCL AppScan は、アプリケーションで使用されるサードパーティコンポーネント内の脆弱性を特定することで、従来の DAST を超えています。これにより、アプリケーションのセキュリティ体制 (ASE、ASD) をより包括的に把握できます。

• 豊富なコンプライアンスとレポート: 業界標準とコンプライアンス要件に準拠した詳細なレポートを生成します。これにより、セキュリティ監査が簡素化され、安全なコーディングプラクティスへの取り組みが実証されます。

結論

アプリケーションセキュリティ戦略が「シフトレフト」であっても「シフトエニウェア」であっても、開発者はますます多くの責任を負うことになり、実用的な調査結果を提供して効率を最大化する使いやすいツールが必要になります。HCL AppScan は、セキュリティを重視する開発者に最高のソリューションを提供することに注力しています。複数の製品とプラットフォームに搭載されているHCLSoftware の DAST ソリューションにより、開発者はアプリケーションセキュリティで積極的な役割を果たせます。合理化された統合、実用的な洞察、自動化機能を備えたHCLSoftwareのツールは、セキュリティのボトルネックを回避し、開発コストを削減し、自信を持ってソフトウェアをリリースするのに役立ちます。

HCL AppScan DAST のパワーを体験する準備はできましたか? 今すぐ無料トライアルをダウンロードしてください!

2024/8/21 - 読み終える時間: 2 分

AI-driven, Human-verified: Application Security Autofix from HCL AppScan の翻訳版です。

AIが推進し、人間が検証する: HCL AppScanの脆弱性自動修正機能

2024年8月20日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

HCL AppScan は、HCLSoftware の主力 SaaS プラットフォームである HCL AppScan on Cloud (ASoC) に統合された GenAI で強化された自動修正機能のリリースにより、開発者に高速なセキュアコーディング支援を提供します。セキュリティ専門家と開発者は、脆弱性の検出だけでなく、高速で効率的かつ信頼できるように設計された修復ソリューションを使用して修正に必要な支援を受けられます。

AI 駆動、人間による検証

HCLSoftwareの修復支援の中心となるのは、29 のプログラミング言語のソースコードで静的アプリケーションセキュリティテスト (SAST) スキャンによって検出された一般的な脆弱性に対する、厳選された自動修正推奨事項です。これらの推奨事項は、セキュリティの専門家と研究者で構成される HCL AppScan チームによって開発、レビュー、承認されています。脆弱性が特定されると、ASoC は適切な自動修正推奨事項をすばやく見つけ、GenAI を活用して修正のわかりやすいコンテキストを提供します。

ASoC は、GenAI を使用して要約およびコンテキスト化された、厳選された自動修正推奨事項を使用することで、開発者が迅速かつ極めて自信を持って修復の決定を下せるようにします。これにより、開発ライフサイクルの早い段階で問題を修復する全体的な時間が短縮され、後のビルドおよびテストフェーズでセキュリティチームによるよりコストのかかる修復の必要性が大幅に軽減されます。

今日、多くのベンダーが、多くの固有のリスクを伴う AI セキュリティコーディングアシスタントを提供しています。GenAI に自動修正推奨事項の作成を任せる場合、2 つの主な危険があります。1 つは、GenAI がトレーニングデータセットによって制限されることです。2 つ目は、GenAI は学習するにつれて一貫性のない応答を提供することが実証されています。その結果、提案される修正の品質はまちまちです。正確な修正推奨事項を提供するものもあれば、幻覚や不一致を含むものもあり、大幅な手動監視なしでは使用が安全でないコードを生成する可能性があります。ここでの矛盾は明らかです。GenAI が人間のレビューなしで完全に信頼できない場合、実際には開発者の作業が遅くなります。

HCL AppScan は、GenAI を使用して、精選された自動修正推奨事項を文脈化することで、セキュリティ専門家とソフトウェア開発者に、安全に使用でき、GenAI によく伴うリスクを回避できる強力な教育ツールを提供します。HCL AppScan のアプローチは、修正推奨事項を理解し、修復の一環として適用するまでの時間を短縮することに重点を置いています。

HCL AppScan GenAI の核となる時間節約

HCL AppScan は、Intelligent Finding Analytics (IFA) で SAST スキャンの精度を向上させ、Intelligent Code Analytics (ICA) でスキャン範囲を広げるために AI を活用してきた長い歴史があります。どちらの場合も、AI は 2 つの方法で開発者エクスペリエンスを向上させるために活用されています。1 つは、他の脆弱性の中でも最も優先度の高い脆弱性に焦点を当てること、もう 1 つは、開発者が最も重要な問題に集中できるように従来の検出結果をグループ化することです。

専門家も初心者も、HCL AppScan CodeSweep の自動修正機能が以前から利用可能だったことから、何年もの間、開発者は恩恵を受けてきました。この SAST テクノロジーのコミュニティエディションは、開発者 IDE のプラグインと CI/CD パイプラインに統合された、厳選された修正推奨事項を提供します。

GenAI 対応の自動修正の将来

GenAI を使用したこの新しいバージョンの自動修正は、SAST テクノロジーへのアクセスを含むライセンスを持つすべての ASoC ユーザーにすぐに提供されます。HCL AppScan は、近い将来、追加のプログラミング言語の自動修正を追加するなど、自動修正機能をさらに高速化する追加の計画があります。より深い GenAI 統合により、スキャン結果に基づく自動修正推奨事項の作成と実装など、自動修復のさらに多くの側面が処理されます。

自動修復は、GenAI がますます積極的な役割を果たす可能性があるアプリケーションセキュリティの重要な領域の 1 つです。ただし、修正推奨事項が信頼できるものでなければ、問題の修正速度を上げてリスクを軽減することはできません。GenAI によって提供される要約とコンテキストを備えた厳選された修正推奨事項を使用する HCL AppScan の自動修正リリースは、人間の専門知識と AI の効率性の完璧なバランスです。その結果、開発者が信頼できる高速で正確な自動修復ソリューションが実現します。

今すぐお問い合わせいただき、HCL AppScan on Cloud の無料トライアルをお試しになり、GenAI で強化されたこの自動修復ソリューションが、脆弱性の検出と修正をいかに迅速に行うのに役立つかをご自身でお確かめください。

HCL AppScan の高速、正確、俊敏なアプリケーションセキュリティテストソリューションの詳細をご覧ください。

2024/8/16 - 読み終える時間: 2 分

From Remediation to Auto-remediation and GenAI (Part 2) の翻訳版です。

修復から自動修復、そしてGenAIへ - Part2

2024年8月14日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

これは、修復と人工知能 (AI) の使用に関する 2 部構成のシリーズのパート 2 です。パート 1 では、開発者が脆弱性を修正するのを支援するもう 1 つの主要なアプローチ、つまり従来の修復と教育を紹介します。

キュレーションされた自動修正

キュレーションされた自動修正は、ソースコードで見つかった既知の脆弱性に対処するために、人間のセキュリティ専門家によって作成されます。単純な問題の場合、これらの修正は IDE の自動補完レベルであってもほぼ瞬時に適用できます。このアプローチは「実証済みの」方法で、さまざまなセキュリティ問題と非セキュリティ問題に対処するために長年使用されています。

これらの修正の利点は、テストおよび検証されているため、新しい問題を引き起こすことなく、問題を修復する信頼性の高い方法を提供できることです。これらの修正の一貫性により、同じ問題が常に同じ方法で解決され、コードの品質と保守性が向上します。

このようなツールは、即時の解決策だけでなく、修正によってどのように問題が解決されるかを説明する説明が付属していることが多いため、教育的価値も提供します。修復と学習というこの二重の利点は、開発者が将来同様の問題を理解し、防止するのに役立ちます。

キュレーションされた自動修正に欠点があるとすれば、それはスケーラビリティの課題です。これらの修正は手作業で作成されるため、複数の例とユースケースにわたって各言語で実装およびテストするには多大な労力が必要です。この労働集約的なプロセスにより、アプローチをより広範な問題と言語に拡張する能力が制限されます。この課題にもかかわらず、キュレーションされた自動修正の有効性と信頼性は、特によく知られた繰り返し発生する問題に対して、開発者の武器庫にある貴重なツールとなっています。

GenAI 駆動型自動修正

修復に対する 3 番目のアプローチは、最も有望なものの 1 つであり、Generative AI (GenAI) を活用してオンデマンドの自動修正を作成します。このテクノロジーは、優れたカバレッジと汎用性を提供し、事実上すべてのプログラミング言語の問題に対する修正を提供する可能性があります。

GenAI を使用すると、開発者はさまざまなコーディング環境や要件に適応できる自動化されたオンザフライソリューションにアクセスできるため、修復プロセスの効率と有効性が大幅に向上します。この方法の目標の 1 つは、巧妙なプロンプトエンジニアリングにより、これらの AI 駆動型ソリューションが特定の問題に効果的に対処するコンテキスト認識応答を生成できるようにすることです。このアプローチは比較的迅速な実装とスケーリングを約束し、さまざまなコーディングの問題に対処できるようになります。

GenAI に起因するセキュリティ上の課題

GenAI は、大規模言語モデル (LLM) などの基盤となる AI モデルを使用して、十分な情報がない場合でも回答を生成します。その結果、「幻覚」、つまり不正確または無意味な応答が生じることがあります。このため、監視なしでは修正の品質は保証されません。

• ソリューションが実際に問題を修正するという保証はありません
• 「修正された」コードが意図したとおりに機能するという保証はありません
• ソリューションが新しい脆弱性を導入しないという保証はありません
• まったく同じ問題や同じコードであっても、修正が毎回一貫して同じであるという保証はありません

GenAI の結果は、使用されるプロンプトと、Gen AI モデルがトレーニングされたデータの品質に依存します。ChatGPT や Claude などの事前トレーニング済みモデルは使いやすいですが、これらのモデルは必ずしもコードのみでトレーニングされているわけではなく、検証可能なセキュリティコードでトレーニングされているわけでもありません。

既存のモデルを微調整するのは難しく、修正しようとしている脆弱性をモデルが「理解」していることを保証するものではありません。モデルを最初からトレーニングするのはさらに難しく、非常にコストがかかり、膨大な量のデータが必要になります。さらに、トレーニング済みのモデルは、新たに発見された脆弱性ごとに再トレーニングする必要があり、スケーラビリティはほぼ不可能になります。

自動修復への適切なアプローチの選択

修復と AI の使用に関する 3 つのアプローチを検討すると、GenAI 自動修正は有望な方向性である一方で、落とし穴があることは明らかです。組織は、安全なコードをリリースしていることを確認するためのチェックとバランスの方法として、手動による監視を維持する必要があります。

このシリーズのパート 1 で説明したように、教育は常にスキルギャップを埋め、開発者が最初から安全なコードを書くようにトレーニングされるようにするための最良のアプローチです。そして、AI もここで役割を果たします。HCL AppScan は、より複雑な修復アドバイザリのわかりやすい概要をユーザーに提供することで、教育をより実用的なものにするために、GenAI と LLM の使用を検討してきました。

必要な時間とリソースにもかかわらず、キュレートされた自動修正のセットをコンパイルすることは、結果として得られる修正が追加の問題を引き起こすことなく脆弱性に対処すると信頼できるため、多くの場合、努力する価値があります。また、GenAI には、厳選された自動修正の生成とテストの作業負荷を軽減する強力なユースケースがあることも注目に値します。

AI は、セキュリティテストソフトウェアに組み込まれている場合でも、開発者のユーザーエクスペリエンスの一部として組み込まれている場合でも、今後も存在し続けるでしょう。時間とリソースの節約の可能性は莫大です。今日の意思決定者は、コスト削減につながる新しいテクノロジーに内在する潜在的なリスクを考慮し、信頼できる厳選されたツールやアプローチの採用とバランスを取る必要があります。

HCL AppScan にアクセスして、HCLSoftware のアプリケーションセキュリティテストソリューションで現在利用可能な AI および機械学習機能の詳細をご確認ください。

2024/8/16 - 読み終える時間: 2 分

From Remediation to Auto-remediation and GenAI (Part 1) の翻訳版です。

修復から自動修復、そしてGenAIへ - Part1

2024年8月14日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

人工知能 (AI) は誰もが話題にできる話題です。生成 AI (GenAI) と大規模言語モデル (LLM) の登場により、AI の機能は自動化やデータ分析をはるかに超えて拡張され、テクノロジー、ビジネス、日常生活のあらゆる側面に浸透するには、データサイエンスの博士号が実質的に必要になっています。

GenAI は、ますます増え続けるコードをより短い期間で記述しようとしているソフトウェア開発者にとって、ゲームチェンジャーと見なされています。GitHub Copilot、Amazon Code Whisperer、Tabnine などのツールは、シンプルなプロンプトから AI 生成コードを作成できるようになり、開発者の膨大な時間を節約できます。これらのツールは、一般的なコーディングタスクを迅速に処理することに優れていますが、LLM に使用されるトレーニング データに存在していた可能性のあるセキュリティの脆弱性をもたらす可能性があります。

アプリケーションセキュリティのための防御的 AI と攻撃的 AI

GenAI は、どのように使用しても、生産性を向上させる強力なツールであることは間違いありません。アプリケーションセキュリティの分野では、ユースケースは「防御的 AI」または「攻撃的 AI」のいずれかとして見られることがよくあります。

前者の場合、防御的 AI は、AppSecn テストの結果を整理し、どの結果が最も「興味深い」か、人間の注意を必要とするかを判断する能力が成熟しています。セキュリティの観点から重要度が低いと判断された結果を除外することで、これらのツールは開発チームの時間を大幅に節約できます。

攻撃的 AI とは、データ侵害を可能にするセキュリティ上の欠陥を見つけるために、実行中のソフトウェアアプリケーションへの攻撃を GenAI を使用して調整することです。AI 生成コンテンツを使用したフィッシング攻撃など、さまざまな攻撃ベクトルに国家支援のハッカーを含む悪意のある人物が攻撃的 AI を使用することには大きな懸念があります。諺にあるように、最良の防御は優れた攻撃です。そのため、セキュリティ研究者は、攻撃に効果的に対抗するために、同じ AI ツールを使って GenAI の機能についてさらに学習しています。

アプリケーションセキュリティの修復

脆弱性を見つけることは、堅牢なアプリケーションセキュリティを維持するための重要なステップですが、問題を特定することは始まりに過ぎません。問題を修正することも同様に重要です。ここで修復が重要になります。修復は、セキュリティの脆弱性だけでなく、従来のバグやコーディング規則 (リンティング) にも関係します。修復には、主に 3 つのアプローチがあります。

• 従来の修復: この教育ベースのアプローチには、よく書かれた記事、トレーニングビデオ、洞察を盛り込んだブログ、さまざまな種類の問題に関する開発者向けのガイダンス、およびさまざまなプログラミング言語やアプリケーションフレームワークでの修正方法の例が含まれます。

• 自動修復: このアプローチでは、使用されている AppSecn ソフトウェアが、特定の種類の問題に使用するための、手作業で作成された/キュレートされた/事前に作成された自動修正を開発者またはセキュリティ チームに提供します。いずれの場合も、特定の言語が提供され、修正の複雑さは大きく異なる場合があります。

• GenAI による自動修復: このアプローチでは、LLM を使用して GenAI がコード修正をオンデマンドで修復します。これは通常、巧妙なプロンプトエンジニアリングを採用した API にラップされており、多くの場合、コードスニペットを GenAI プラットフォームに送信する必要があります。

2 部構成のブログ投稿のパート 1 では、従来の修復に見られる教育ベースのアプローチについて説明します。パート 2 では、手作業で作成/キュレート/事前に作成された自動修正と GenAI 駆動の自動修正の両方を使用した自動修復について詳しく説明します。

従来の修復と教育

包括的なリソースを通じて開発者を教育することで、開発者は問題を特定して理解できるようになるだけでなく、ソリューションのニュアンスも把握できるようになります。この理解の深さは、開発者が将来同じ間違いを繰り返さないようにするための準備となるため、非常に重要です。このような教育コンテンツは、セキュリティを開発者のスキル セットに組み込むのに役立ち、セキュリティの問題に対するリアクティブではなくプロアクティブなアプローチを促進します。

さまざまな種類の問題を詳しく説明し、さまざまなプログラミング言語で問題を解決する方法の例を提供する、よく書かれた記事は、アプリケーション セキュリティで長期的に成功するための最良の方法の 1 つであると言えます。セキュリティソフトウェアのユーザーインターフェイス (UI) の一部として完全な記事または要約が提供される場合があり、開発者は問題が指摘されたときにその背景を把握できます。

さらに、スケーラブルで包括的なトレーニングモジュールは、開発者がスキルを継続的に向上させ、新しいセキュリティ上の課題に適応するのに役立ちます。セキュリティを優れたコーディングプラクティスの不可欠な要素にすることで、記事と教育リソースは、より堅牢で回復力のある開発文化に貢献します。

熟練した開発者は、高品質で効率的でスケーラブルなコードを作成することが期待されるのと同様に、コードのセキュリティを確保することも期待されます。教育は、開発組織の複数のメンバーのスキル全体でこれを実現する最も効果的な方法です。

手作業で作成/キュレート/事前に作成された自動修正と GenAI 駆動の自動修正の長所と短所、および 3 つのアプローチの比較の概要については、このシリーズの第 2 部で詳しく説明します。

HCL AppScan のページにアクセスして、HCLSoftware のアプリケーションセキュリティテストソリューションで現在利用可能な AI および機械学習機能の詳細をご確認ください。

2024/8/12 - 読み終える時間: ~1 分

HCL AppScan をご利用のお客様にありましては、以下の記事をご一読いただきますようお願いいたします。

重要なお知らせ： HCL AppScan の2025年6月からのライセンスの変更について

2024/7/28 - 読み終える時間: 3 分

HCL AppScan 10.6.0: Introducing OpenAPI Scanning の翻訳版です。

OpenAPI自動スキャンの導入によるAPIセキュリティの変革：HCL AppScan 10.6.0

2024年7月26日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

HCL AppScan 10.6.0 は、開発者やセキュリティ専門家に、アプリケーション セキュリティ テスト (AST) を効率化および強化する拡張機能を提供します。この新しくリリースされたバージョンには、オンプレミスの 3 つの製品 (HCL AppScan Standard、HCL AppScan Enterprise、HCL AppScan Source) の複数の機能更新が含まれています。OpenAPI スキャンとよりシームレスなクロスプラットフォーム機能は、この四半期リリースの目玉です。

自動 OpenAPI スキャンによる API セキュリティの変革

HCL AppScan Standard 10.6.0 の主なハイライトは、高度な OpenAPI 自動スキャンの導入です。この革新的なアプローチは、OpenAPI 仕様 (Swagger) を活用して、RESTful API の AST を効率化します。そのメリットは次のとおりです。

• 簡単な構成 既存の OpenAPI 記述ファイルを活用して、スキャンを自動的に構成します。手動での構成やエンドポイントの検出は不要です。

• 強化されたカバレッジ すべての API エンドポイントを包括的にスキャンし、セキュリティの脆弱性が漏れないようにします。

• 優れた脆弱性検出 高度なスキャン技術により、API 内のより広範な脆弱性が特定されます。

全体として、OpenAPI スキャンは、API のセキュリティ評価をより高速かつ徹底的かつ関連性の高いものにします。これにより、潜在的なセキュリティの問題を早期に検出して修復し、最終的に API セキュリティ体制を強化します。

HCL AppScan 360° とのシームレスな統合

HCL AppScan Standard のバージョン 10.6.0 には、より直感的な接続インターフェイスを実現する再設計された接続方法 (HCL AppScan Connect) が含まれており、他の HCL AppScan 製品との接続を確立しやすくなります。これらの製品の 1 つが、セルフホスト型のクラウドネイティブ アプリケーション セキュリティ テスト プラットフォームである HCL AppScan 360° です。更新された HCL AppScan Connect では、次のことが可能になります。

• HCL AppScan Standard からスキャンを作成 HCL AppScan Standard で定義された構成を使用して、HCL AppScan 360° 内で簡単にスキャンを開始できます。

• スキャン結果をアップロード HCL AppScan Standard によって生成されたセキュリティ スキャン結果を HCL AppScan 360° に直接アップロードして、一元管理および分析を行います。

このシームレスな統合により、両方のソリューションの長所を活用できるようになり、セキュリティ テスト ワークフローが合理化され、総合的なアプリケーション セキュリティ戦略が促進されます。

スキャンの高速化とよりコンテキスト化された結果

正確なスキャン結果をできるだけ早く得るための戦いにおいて、HCL AppScan Standard は、新しい「問題テストごとに 1 つのバリアントのみ保存」オプションを追加してさらに前進しました。このスキャン時間最適化方法は、脆弱性の最初のインスタンスの特定に重点を置くことでスキャンを合理化し、精度を損なうことなく全体のスキャン時間を短縮します。

スキャン レポートには CVSS (Common Vulnerability Scoring System) ベクトルも含まれるようになり、特定された脆弱性の重大度に関する貴重な洞察が得られます。

HCL AppScan Standard 10.6.0 には、セキュリティ テスト タスクを簡素化および迅速化するために設計されたさまざまなユーザー エクスペリエンスの改善も組み込まれています。

• スキャン構成の使いやすさの向上: 再設計された一連のダイアログにより、調査されたデータのインポート、パスの除外、クライアント側証明書の管理などのタスクのスキャン構成が効率化されます。

• 複数ドメインのインポート: シンプルな CSV ファイルを使用して、スキャン用に複数のドメインを簡単にインポートできます。

HCL AppScan Enterprise のセキュリティと分析の強化

HCL AppScan Enterprise 10.6.0 には、セキュリティ体制を強化するための貴重な機能も導入されています。

• CVSS ベクトルの表示: モニター ページに、特定された問題の CVSS (Common Vulnerability Scoring System) ベクトルも表示されるようになり、脆弱性に関するより深い洞察が得られます。

• CWE マッピングの強化: AppScan は、複数の CWE (共通脆弱性列挙) を問題にマッピングするようになり、潜在的なセキュリティ リスクについてより広い視点を提供します。

• アップグレードされたダッシュボードによるより詳細な分析: モニター ページのダッシュボードにフィルターが追加され、セキュリティの検出結果をより詳細に分析できるようになりました。

レポートとコンプライアンスの強化

HCL AppScan バージョン 10.6.0 では、業界標準に準拠したレポートを生成する、HCL AppScan Standard と HCL AppScan Enterprise の両方の新しい規制コンプライアンス レポートが導入されています。以下のような例があります。

• OWASP クラウド ネイティブ アプリケーション セキュリティ トップ 10: 非営利財団 Open Web Application Security Project (OWASP) による、クラウド ネイティブ アプリケーションに関連する最も重大なセキュリティ リスクの包括的なリスト。

• ネットワークおよび情報セキュリティ指令 (NIS2): 適用範囲の拡大とビジネス要件の厳格化により、欧州連合全体のサイバー セキュリティを強化するために設計された、更新された EU 全体の法律。

HCL AppScan Source の追加機能強化

HCL AppScan Source 10.6.0 では、主要な機能以外にも、進化するセキュリティ環境で常に一歩先を行くように設計されたさまざまな追加機能強化が提供されています。これらの改善点のいくつかを詳しく見てみましょう:

拡張されたプラットフォームとフレームワークのサポート

• Windows Server 2022: 最新の Windows Server バージョンでアプリケーションをシームレスにスキャンします。
• IBM WebSphere Application Server 9: この人気のアプリケーション サーバーで実行されているアプリケーションのセキュリティを確保します。
• .NET 8 のサポート: 最新バージョンの .NET フレームワークで構築されたアプリケーションをスキャンします。
• Eclipse プラグインの互換性: AppScan Eclipse プラグインは、2022-09 から 2024-03 までのバージョンをサポートするようになり、開発環境との互換性が確保されます。

強化されたレポートとコンプライアンス

• 新しいレポート: DISA STIG v5r3: 最新の DISA セキュリティ技術実装ガイド (STIG) v5r3 に準拠したレポートを生成し、政府機関のコンプライアンス作業を簡素化します。

テクノロジーの進歩に遅れを取らない

• Makefile スキャン: C/C++ プロジェクトの Makefile 内の脆弱性を特定します。
• グローバル シークレット スキャン: すべてのスキャンでシークレット スキャンを有効にして、機密情報の漏洩を特定するプロセスを簡素化します。
• スキャナーの改善: Secrets スキャナー、Java スキャナー、JavaScript スキャナー、Python スキャナーの機能強化により、より包括的な脆弱性検出が可能になります。

まとめ

HCL AppScan 10.6.0 は、HCL AppScan Standard と HCL AppScan Enterprise の両方に強力な機能強化スイートを提供します。このリリースでは、より高速で徹底した API セキュリティ テスト、統合の改善、レポート機能の強化、ユーザー エクスペリエンスの合理化に重点が置かれており、より効率的に安全なアプリケーションを構築および維持できます。

HCL AppScan 10.6.0 のパワーを体験する準備はできましたか? HCLSoftware の Web サイトにアクセスして、さらに詳しく情報を入手し、今すぐ無料トライアルをダウンロードしてください。

2024/7/26 - 読み終える時間: ~1 分

Smart Locks Unlocked: The Hidden IoT Security Risks Exposed by Aleph Research の翻訳版です。

スマートロックのロック解除: Aleph Research が明らかにした隠れた IoT セキュリティ リスク

2024年7月15日

著者: Lev Aronsky / Security Researcher

独立した脆弱性調査は、サイバーセキュリティにおいて重要な役割を果たします。企業が事前のセキュリティ テストを行わずに製品をリリースしたり、リリース前に実施されたセキュリティ テストですべての脆弱性が特定されなかったりすることがあります。どちらのシナリオでも、結果として悪意のある攻撃者が悪用できる脆弱な製品が生まれます。独立した調査では、このような脆弱性を特定し、ベンダーに公開して修正してもらうことで、これらの製品のセキュリティを強化します。

HCLSoftware の Aleph Research は脆弱性調査に優れており、高度な調査手法を必要とする製品を中心に、さまざまな製品を独自に分析しています。同社のセキュリティ研究者は専門知識を活用して、標準的な侵入テストでは見逃されがちな脆弱性を発見します。この種の調査は、一般市民の安全を守るのに役立つだけでなく、HCLSoftware に、HCL AppScan スイートのアプリケーション セキュリティ テスト ツールに組み込むことができる貴重な洞察を提供します。

IoT セキュリティは Aleph Research の専門分野です。最新のプロジェクトでは、現代のスマート ホームでますます一般的になっているデバイスであるスマート ロックを選択しました。研究者たちは、攻撃者に自宅へのオンラインおよび物理的なアクセスの両方を提供する可能性がある潜在的な脆弱性の影響に興味をそそられました。Aleph Research は、中国企業 Sciener が開発し、世界中でさまざまなブランドで販売されている高度なスマートロックを選択しました。調査は、スマートフォン アプリ (TTLock)、アプリとロック間の BLE 通信、コンパニオン ゲートウェイ、ロックの物理的セキュリティなど、ターゲットの潜在的な攻撃を特定することから始まりました。

アプリの逆コンパイル、高度なハードウェア デバッグ、ロックとゲートウェイのファームウェアのリバース エンジニアリングを含む広範な分析を通じて、研究者は特定されたすべてのサーフェスで複数の深刻な脆弱性を発見しました。このリスクは、中間者攻撃とプロトコル ダウングレード攻撃の組み合わせから、不適切な暗号化処理や最上位権限による不正なコード実行まで、幅広い CWE 問題タイプをカバーしていました。

IoT デバイスのこれらの脆弱性は、潜在的な脅威にさらされていることに気付かずに利便性のためにこれらのデバイスを選択している一般の人々にとって重大なリスクをもたらします。これにより、窃盗犯は近くのスマートフォンでデバイスのロックを解除できるようになり、簡単にピッキングできるロックを探すよりもスマートホームをターゲットにしやすくなります。

Aleph Research は、すべての脆弱性を記録した後、イスラエルのサイバー局とベンダーに対する脆弱性リスクを調整する CERT 組織にそれらを公開しました。脆弱性を公表する業界標準は通常、公開後 90 日ですが、これらの問題の重大性のため、Aleph Research は 2 倍以上の期間を待ちました。残念ながら、Aleph Research の努力にもかかわらず、ベンダーは応答しませんでした

最終的に、ベンダーは CERT と連携して脆弱性を公開しました (CVE-2023-7006、CVE-2023-7005、CVE-2023-7003、CVE-2023-6960、CVE-2023-7004、CVE-2023-7007、CVE-2023-7009、および CVE-2023-7017)。この公開により、ベンダーは問題の修正に緊急に取り組み始め、公開によってベンダーの協力を効果的に促進できることが証明されました。

特定された脆弱性の中には、複雑なロジックと経験豊富な侵入テスト担当者による発見が必要なものもありますが、HCL AppScan Source などの SAST ツールを使用して開発中に検出できるものもあります。その結果、Aleph Research ツールは、今後同様の問題を検出できるようにルールの更新と強化を受けることになります。

HCLSoftware の Aleph Research は、脆弱性研究の限界を押し広げ続け、最も先進的な製品であっても厳格なセキュリティ分析が行われるようにしています。スマート ロックに関する最近の取り組みは、IoT デバイスを保護するために徹底的なテストと予防的対策が極めて重要であることを浮き彫りにしています。

この研究プロジェクトおよび同様のプロジェクトの詳細については、Aleph Research ブログをご覧ください。

HCLSoftware のアプリケーション セキュリティ テスト プラットフォームとツール スイートがセキュリティ プラクティスをどのように強化できるかについて詳しくご覧ください。