2023/11/20 - 読み終える時間: ~1 分

Webアプリケーション脆弱性診断ツールである HCL AppScan Standard（評価版）を用いて、実際にどのように脆弱性診断をおこなうのか、また、診断結果をどのように確認ができるのかを体験いただけるハンズオンワークショップを開催します。

日時: 2023年12月6日 水曜日 13:30～15:00（受付開始 13:00） 会場: HCLSoftwareオフィス　東京都港区赤坂1-12-32 アーク森ビル32階EAST 定員: 10名

詳細、お申し込みは以下のページをご覧ください。

https://docs.google.com/forms/d/e/1FAIpQLSdJYlAnUMBAr4K0hv6wLBdJFTM_4LAwrubt9OwIRUW8GLs3Cw/viewform

製品ページ: HCL AppScan

2023/11/8 - 読み終える時間: 2 分

Achieving Continuous Security - Embedding Resilience Throughout the Software Development Lifecycle nの翻訳版です。

継続的なセキュリティの実現 - ソフトウェア開発ライフサイクルを通じてレジリエンスを組み込む

2023年11月8日

著者: Colin Bell / AppScan CTO, HCLSoftware

脅威の状況は常に進化しており、企業はソフトウェア開発ライフサイクル（SDLC）の各段階に強固なセキュリティ対策を統合することを優先しなければなりません。継続的なセキュリティとして知られる包括的でプロアクティブなアプローチを採用することによって、企業はリスクを効果的に軽減し、機密データを保護し、潜在的な悪用からアプリケーションを保護できます。ここでは、継続的セキュリティの本質的な構成要素を探り、その成功の原動力となる重要な原則を強調します。

継続的セキュリティの柱

継続的セキュリティの実装に必要な構成要素は数多くあるが、監査、メトリクス、ガバナンスの3つが柱と考えられています。これらの柱はそれぞれ、強固なセキュリティ基盤を確立する上で重要な役割を果たす。

ガバナンス

ガバナンスは、セキュリティ戦略の方向性を定め、SDLC 全体を通じて、セキュリティテストをなぜ、どのように取り入れるのかを概説します。ガバナンスは、意思決定を導き、セキュリティ目標を確立し、業界標準と規制との整合性を確実にする枠組みを提供します。

メトリクス

メトリクスは、セキュリティ対策の有効性に関する具体的な洞察を提供します。客観的なデータを活用することで、組織は進捗状況を評価し、脆弱性を特定し、継続的な改善を推進するための情報に基づく意思決定を行うことができます。メトリクスはコンパスの役割を果たし、組織をより安全で弾力性のあるソフトウェア環境へと導く。

監査

監査は検証メカニズムとして機能し、セキュリティテストが望ましい有効性水準に合致し、確立された標準と目標に準拠していることを確認します。包括的な監査を通じて、組織はセキュリティ対策が意図したとおりに実施されていることを保証し、堅牢なセキュリティ体制を維持するために必要なチェックとバランスを提供します。

教育

組織内の教育は、継続的なセキュリティ対策を成功させるための基本的な鍵です。教育には、ツール、セキュリティ意識、プロセス、セキュアなコーディング技法など、さまざまな側面に関する知識とトレーニングの提供が含まれます。必要なスキルと知識をチームに与えることで、組織はセキュリティの習熟度を高め、潜在的な脅威に対する意識を高め、セキュリティを意識する文化を醸成することができます。

継続的改善

継続的なセキュリティとは、一度限りの導入ではなく、繰り返し行われる改善プロセスです。セキュリティプロセスを定期的に見直し、改善することは、進化する脅威や新たな課題に適応するために不可欠です。継続的な改善のサイクルを取り入れることで、企業は、セキュリティ対策が効果的かつ効率的であり続け、業界のベストプラクティスに沿ったものとなります。 継続的なアプリケーション・セキュリティ成熟度モデル

サイバーセキュリティの脅威がエスカレートし続ける時代において、企業はアプリケーションと機密データを保護するために、継続的なセキュリティを優先しなければならない。SDLC 全体にレジリエンスを組み込み、監査、メトリクス、ガバナンスの柱を活用し、教育と継続的改善の文化を育成することで、企業は強固なセキュリティフレームワークを確立できます。

このプロアクティブなアプローチにより、企業は次のような力を得られます。

• 脆弱性の早期発見
• リスクの効果的に軽減
• 開発ライフサイクル全体にわたってセキュリティ中心の考え方の育成

最終的には、継続的なセキュリティにより、企業は進化する脅威の状況を自信を持って切り抜け、安全で信頼性の高いソフトウェア製品を提供できるようになります。

)

レポートを読む

詳細については、継続的アプリケーション・セキュリティ・モデルのすべての側面を深く掘り下げ、各側面がソフトウェア開発ライフサイクル全体にどのように適合するかを確認するために、完全なレポートをダウンロードしてください。

2023/11/8 - 読み終える時間: 2 分

Get Hands-On with AppScans Next Virtual Workshop - API Discovery, Secret Key, Vulnerable Components Scanning の翻訳版です。

HCL AppScans バーチャルワークショップ - APIディスカバリー、シークレットキー、脆弱なコンポーネントのスキャンの体験

2023年11月2日

著者: Courtney Coleman / HCLSoftware

2023年11月のウェビナー、HCL AppScan バーチャルハンズオンワークショップ： APIディスカバリー、シークレットキー、AppScanによる脆弱なコンポーネントのスキャンは、組織のコードをより堅牢で安全なものにする最先端のテクノロジーとプラクティスの領域へのゴールデンチケットです。このワークショップでは、動的アプリケーション・セキュリティ・テスト（DAST）と静的アプリケーション・セキュリティ・テスト（SAST）の世界に関する貴重な洞察を得られす。

イベント詳細

• 開催日 2023年11月15日
• 時間：1:00 PM EST
• 時間：2時間

アジェンダ

• はじめに 包括的なセキュリティスキャンを設定するための基本を理解し、強固な基盤を構築することから始めます。
• シークレットスキャン：シークレットスキャンの複雑な世界に入り込み、隠れた脆弱性をスキャンする方法を学びます。
• API ディスカバリー： AppScanの最先端技術を使用して、APIディスカバリの秘密を解明します。API内に潜む潜在的な脅威を特定し、防御する方法を学びます。
• スキャンの実行： DASTスキャンとSASTスキャンの両方について実践的な洞察を得ます。これらのスキャンによって脆弱なコンポーネントを特定し、アプリケーションの安全性を確保する方法を学びます。

ハンズオン

ワークショップのハイライトは、インストラクターによるインタラクティブなラボセッションです。ここでは、AppScan DASTおよびSAST技術を実際に体験できるまたとない機会です。ここが本当の学習の場です。HCLSoftware の最先端ツールを使って、さまざまな脆弱性を特定する技術を習得していただきます。参加者にはAppScan Lab環境のインスタンスが提供され、講師の説明を聞きながらリアルタイムで質問できます。

ラボの要件

• RDP（リモートデスクトップ）へのアクセスが必須です。
• 最適な学習体験のために、デュアルモニターまたはスクリーンのセットアップをお勧めします。 このワークショップは単なるイベントではありません。知識を深め、組織のセキュリティ対策を強化するチャンスです。

今すぐお申し込みください。

AppScan DASTおよびSASTテクノロジーの世界へのエキサイティングな旅に出るため、皆様のご参加を心よりお待ちしております。一緒に、お客様のアプリケーションをこれまで以上に安全で堅牢なものにしましょう。

2023/10/29 - 読み終える時間: ~1 分

OWASP DC Global AppSec 2023 - Exploring the Power of HCL AppScan の翻訳版です。

OWASP DC Global AppSec 2023 - HCL AppScan のパワーを探る

2023年10月25日

著者: Courtney Coleman / HCLSoftware

サイバーセキュリティ開発の最前線であり続けることは、HCLSoftwareにとって最も重要なことです。企業やセキュリティ専門家のアプリケーションセキュリティ強化のミッションを支援するため、OWASP DC Global AppSec 2023 イベントへの出展を発表できることを嬉しく思います。

HCL AppScanはこのカンファレンスで中心的な役割を果たし、アプリケーション・セキュリティの領域でゲームチェンジャーとなる洞察とイノベーションを共有できることに興奮しています。

OWASP DC Global AppSec 2023イベントは、基調講演の豊富なラインナップと、参加者を引き込み教育するアクティビティをお約束します。私たちは会場で、最新リリースであるHCL AppScan 360°を含む最新のサイバーセキュリティ・トレンドについて議論します。HCLSoftwareは、拡大する組織の幅広いニーズを理解し、その多様性に対応できる一元化されたダッシュボードを備えた統一プラットフォームを開発しました。

HCLSoftwareのエキスパートがお客様の質問にお答えし、特定のアプリケーション・セキュリティ・ニーズについて議論し、AppScanがお客様のデジタル資産の保護にどのように役立つのかについての洞察を提供します。アプリケーションセキュリティが初めての方でも、経験豊富なプロの方でも、HCLSoftwareのチームがAppScanの複雑な仕組みをご案内します。お会いできるのを楽しみにしています！

このイベントに参加できない場合 次回のバーチャルイベントにご参加ください： HCL AppScanバーチャルハンズオンワークショップ： APIディスカバリー、シークレットキー、AppScanによる脆弱なコンポーネントのスキャン

2023/10/25 - 読み終える時間: 2 分

HCL AppScan SCA Team Finds Success with HCL OneTest Performance の翻訳版です。

HCL AppScan SCA チーム、HCL OneTestパフォーマンスで成功をつかむ

2023年10月19日

著者: Cristina Suchland / Integrated Marketing Manager, Secure DevOps

HCL AppScan SCAチームは、ソフトウェア構成分析エンジンのパフォーマンスを監視するソリューションを探していました。幸運なことに、チームは機能テストとパフォーマンステストの両方に対応する、使いやすく堅牢なHCL OneTestプラットフォームの恩恵を受けました。HCL OneTest Performance製品は、Jenkinsプラットフォームと直接統合し、PrometheusにデータをプッシュしながらGarfanaダッシュボードに結果を表示し、オーバーナイトテストを含むパフォーマンステストを毎日実行できます。

HCL AppScan SCAチームの目標は、静的ソフトウェア構成分析（SCA）製品とAppScan on Cloud（ASoC）APIの自動リグレッション・スイートを毎日実行し、エンドツーエンド・プロセスの不正確さを把握することでした。HCL OneTest Performance を使用する目的は次のとおりです：

• メモリーおよびCPU使用率を含むSCAエンジンのパフォーマンスをモニターする。

• システムが必要なユーザー数を処理でき、なおかつ高いレベルのパフォーマンスで動作することを確認する負荷テストの実行

• ボリューム/データテストの実行により、ソフトウェアが破損、速度低下、情報の損失なしに、一度に大量のデータを処理できることを確認します。

• 想定を超える複数のユーザーをシミュレートすることで、意図的にソフトウェアを破壊しようとするストレステストを実行する。

• パフォーマンスの劣化を警告するために、長期にわたってパフォーマンスの傾向を監視する。

• 自動リグレッション・スイートの実行

HCL OneTest Performance を使用して、HCL AppScan SCA チームは Jenkins でパイプラインプロジェクトを作成し、結果を .json 形式で保存し、後でデータを Prometheus に送り、Grafana がダッシュボードに情報を表示しました。HCLSoftware の自動ソフトウェアテストツールである HCL OneTest Performance を導入した後、HCL AppScan SCA チームは、すべての環境欠陥を早期に検出し、データを視覚的に追跡するためのマトリックスを作成することができました。

システムのパフォーマンスを把握するプロセス

HCL OneTest Performance によるさらなる好結果には、HCL AppScan SCA チームのテスト目標達成を支援するカスタム Java コードの統合が含まれます。全体として、HCL OneTest Performance ソリューションは以下を達成しました：

• スピード - アプリケーションが迅速に応答するかどうかを判断します。
• スケーラビリティ - アプリケーションが処理できる最大ユーザー負荷を判断します。
• 安定性 - さまざまな負荷の下でアプリケーションが安定しているかどうかを判断します。
• 柔軟性 ?既存の全体的なエコシステムに簡単に統合でき、Prometheus や Grafana を中心とした既存のレポート機能にパフォーマンスの洞察を提供します。

HCL OneTest Performance の詳細をご覧ください。

2023/10/16 - 読み終える時間: 2 分

Secure Your Software with Our Application Security Testing Platform の翻訳版です。

アプリケーション・セキュリティ・テスト・プラットフォームでソフトウェアを保護

2023年10月11日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

はじめに

あらゆる相互作用、取引、接続がデジタル化された Digital+ エコノミーでは、サイバーセキュリティは贅沢品ではなく、必要不可欠なものです。HCLSoftware はこのデジタルトランスフォーメーションにおいて極めて重要な役割を果たしており、サイバー防衛の領域におけるリーダーです。HCLSoftwareのリーダーシップ、教育、最先端のソフトウェアソリューションは、広範かつ増大する悪意のある脅威に対抗する力を組織に与えます。

サイバーセキュリティの核心は、デジタル要塞を構築することです。コンピューター・システムやネットワーク、そしてそこに含まれる貴重なデータを不正アクセス、攻撃、破損から守り抜くために、無数のセキュリティ対策と実践を採用する幅広い分野です。

セキュリティ対策の分類

強固なセキュリティ対策を講じる必要があるビジネス分野は以下の通りです。

• ネットワーク・セキュリティ: コンピューターネットワークを侵入者から守る。

• 情報セキュリティ： 不正アクセスから情報を保護する。

• エンドポイントセキュリティ： コンピューターやモバイル機器などのエンドユーザーデバイスの保護。

• アプリケーション・セキュリティ： ソフトウェアやアプリケーションを脅威から守ること。

• 物理的セキュリティ： 物理的なコンピューターシステムと関連インフラを保護する。

• クラウドセキュリティ: クラウドプラットフォームにオンラインで保存されたデータを保護する。

攻撃の種類

世の中には多くのリスクや脅威が存在する（平均的なサイバー攻撃による企業の被害額は約450万ドル）。ここでは、毎年世界的に企業に損害を与えている最も一般的な攻撃の種類を紹介します。

• マルウェア： コンピューター・システムに害を与えるように設計されたソフトウェア。

• フィッシング：メールやウェブサイトを通じて機密データを取得しようとする詐欺行為。

• 中間者攻撃（Man-in-the-Middle Attacks）： 2つのシステム間の通信を不正に傍受すること。

• Ransomware［ランサムウェア］： ユーザーのデータを暗号化し、身代金を支払うまでデータを人質に取る悪意のあるソフトウェア。

• DDoS攻撃： システムをクラッシュさせるためにトラフィックで過負荷をかけること。

HCL AppScan の紹介

ソフトウェアへの依存度が高まるにつれ、その背後にあるコードの複雑さも増しています。特にプロプライエタリ・ソフトウェアを製造する企業にとって、創業からデプロイメントに至るまで、システムとコードが侵入不可能であることを確認することは極めて重要です。ソフトウェア開発ライフサイクルの初期段階で問題を発見し、トリアージし、修正することは、攻撃、ハッキング、データ漏洩に対する最善の防御策です。

HCL AppScanは、アプリケーション・セキュリティ・テストと管理ツールのポートフォリオで、企業がアプリケーション・コードや、ソフトウェアを構築するために使用されるオープンソースやサードパーティ製アプリケーションのコードを保護するのに役立ちます。AppScan は、人工知能を活用することで、重要な脆弱性を比類のない精度で特定し、企業がこれまでにない効率で優先順位を付けて修正できるようにします。

貴社のソフトウェアとアプリケーションを最新の脅威から守るために、今すぐHCLSoftwareにご連絡 ください。

2023/10/16 - 読み終える時間: ~1 分

New Report Examines Challenges in Modern Retail and the Need for Application Security の翻訳版です。

最新の小売業における課題とアプリケーション・セキュリティの必要性を検証する新レポート

2023年10月11日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

一流小売企業がグローバル市場で競争を繰り広げる中、デジタル・トランスフォーメーションは成功の鍵を握り続けています。セキュアなオンラインデータ転送は、サプライヤーから店舗やオンライン上の顧客に至るまで、すべてのビジネス機能にとって不可欠です。

この新しいホワイトペーパーは、その名も「No Margin for Error」： HCL AppScanがお届けするこの新しいホワイトペーパーは、「No Margin for Error: The Digital Transformation of Retail and the Need for Application Security（小売業のデジタル変革とアプリケーション・セキュリティの必要性）」と名付けられ、小売業が抱える現代の課題、成功のためのデジタル対策、ハッキング、サイバー犯罪、データ漏えいのリスクの高まりについて掘り下げています。本レポートでは、データを保護し、評判を維持し、盗難や詐欺を抑制するための重要なツールとして、アプリケーション・セキュリティ・テストの価値と費用対効果を強調しています。

レポートのダウンロード

小売業におけるデジタルトランスフォーメーションは、進化する人口統計や購買習慣に対応するため、さまざまな形で進んでいます。フロントエンドでは、小売企業はオンライン、モバイル、店舗、そしてソーシャルメディア・プラットフォームでの購買体験を統合しています。バックエンドでは、同じ企業が、ジャスト・イン・タイム（JiT）配送や返品無料など、購入者が期待するようになった購買体験の側面の修正と改善を迫られています。

これらのソリューションはすべて、高度なウェブ・アプリケーションの開発拡大を必要とします。Web アプリケーションは、サイバー犯罪者にとって最も急成長している攻撃手段でもあります。報告書に引用されている情報源によると、2022年の小売業データ侵害の平均コストは328万ドルです。この脅威を軽減するために、最も安全で迅速かつ費用対効果の高い戦略は、コーディングにおけるヒューマンエラーを減らし、開発中に脆弱性を見つけて修正し、コンプライアンス基準や規制に適合したソフトウェアをリリースすることです。

本レポートは、エンタープライズ・セキュリティ、AI＆オートメーション、データ＆アナリティクス、デジタルトランスフォーメーションのソリューションを提供する世界有数のソフトウェア・プロバイダーであるHCLSoftwareによって発行されました。

エンタープライズセキュリティソリューションには、アプリケーションセキュリティテストプラットフォーム、ツール、サービスの HCL AppScan ポートフォリオが含まれ、これらはすべて、小売業者やその他の組織に、最新の開発の要求に応えるために必要なテスト精度、修正アドバイス、アプリケーションセキュリティ管理を提供します。

今すぐ無料トライアルを開始し、業界をリードするこれらのツールがアプリケーションの安全性維持にどのように役立つかをご確認ください。

2023/10/12 - 読み終える時間: 2 分

It is No Secret That Secrets Scanning is Important の翻訳版です。

シークレットスキャンが重要であることは周知の事実です

2023年10月9日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

お客様のためにソフトウェアのサプライチェーンセキュリティを向上させることは、HCL AppScanの開発チームにとって非常に重要です。HCL AppScan SASTエンジン（静的アプリケーション・セキュリティ・テスト）に最近追加されたシークレット・スキャンは、お客様がシークレットを特定し、サプライチェーンを安全に保つための重要な進歩です。

シークレットについて

シークレットとは、パスワード、社会保障番号、APIキー、暗号キー、アクセストークン、認証や認可に使用されるさまざまなタイプのクレデンシャルなど、一般に公開されることを意図していないあらゆるタイプの個人または組織の機密情報を指します。

シークレットは、開発のさまざまな側面を促進するために、コード・リポジトリ、設定ファイル、データ・ストアなどのさまざまなデジタル資産の中に保存されることがよくあります。しかし、これらが開発者によって誤って、あるいは意図せずにコードベースに残された場合、ハッカーがこれを悪用してソフトウェアにアクセスする機会となります。

外部の脅威からシークレットを守るだけでなく、機密情報へのアクセスを知る必要がある場合に限定したり、データ漏洩や漏えいを防ぐために適切なセキュリティ対策を実施したりするなど、さまざまな手段で組織内のシークレットの機密性を維持することも重要です。

シークレットを漏らさない

定期的かつ一貫したシークレットスキャンを実施することで、潜在的なセキュリティ脅威を事前に特定し、悪用される前に是正できます。シークレット・スキャンでは、コード・リポジトリやその他のデータ・ソースから機密情報をスキャンします：

• データ漏洩の防止： データ漏洩の防止： Secretsスキャンは、潜在的なセキュリティ脅威を悪用される前に特定し、修正することで、データ漏洩を防止できます。
• コンプライアンスの改善： 多くの業界や規制の枠組みには、機密情報の保護に関する厳しい要件があります。シークレットスキャニングを導入することで、これらの要件に対するコンプライアンスを向上させられます。
• 評判の保護： データ漏洩やその他のセキュリティ・インシデントは、組織にとって大きな風評被害をもたらす可能性があります。シークレット・スキャンを活用することで、機密情報の全体的な保護を強化できます。
• コストの削減： データ漏洩やその他のセキュリティ・インシデントは、弁護士費用、修復費用、ビジネスの損失など、多大なコストをもたらす可能性があります。シークレットスキャンは、企業がこうしたインシデントのリスクと関連コストを削減するのに役立ちます。

HCL AppScanはシークレットの保持を支援します

HCL AppScanは、単一のプラットフォームで動作する複数の統合ツールにより、ソフトウェア開発ライフサイクル全体を通じたエンドツーエンドのアプリケーション・セキュリティ・テストのリーダーです。シークレットスキャンは新しい機能で、HCL AppScanの強力なSASTエンジンを活用し、ソースコード内のシークレットを特定します。シークレットスキャンは、ユースケースに応じて様々な方法で導入することができ、開発者、DevOps、セキュリティチームがソフトウェア開発ライフサイクルのどの段階にいるかに応じて柔軟に対応できます。Secrets Scanning は、単独で実行することも、SAST スキャンと組み合わせて実行することもできます。結果はすべてのSASTファインディングとともに表示され、ファインディングの種類に応じてフィルタリングできます。

シークレットが検出されると、その結果は自動的にHCL AppScan on Cloudに統合され、充実したレポート機能とダッシュボード機能が利用できます。修正グループ（以下のスクリーンショット）で結果を表示し、さらにドリルダウンして詳細や修正推奨事項を確認できます。

シークレットの検出

HCL AppScanは現在、AWS（Amazon Web Services）、Atlassian、Azure、GitHub、Google Cloud、Jenkins、OpenAI、Stripeなど、さまざまなプラットフォームのシークレットスキャンを提供しています。APIキーやアクセストークンのようなプラットフォーム固有のシークレットに加え、ハードコードされたパスワード、クレジットカード番号、米国の社会保障番号のような一般的な機密情報もスキャンします。

サポートは常に評価され、新たなセキュリティ・ニーズに対応するために更新されています。現在サポートされているプラットフォームの一覧は、製品マニュアルをご覧ください。

HCLSoftware はお客様のシークレットを守ります

シークレットスキャンは、HCL AppScan on Cloud（SaaS）、HCL AppScan 360°（クラウドネイティブアプリケーションセキュリティ）、HCL AppScan Source（オンプレミス）で利用可能なSAST機能で、追加料金なしで利用できます。HCL AppScanを含む複数のツールを使用してコードを監視しているチームにとって、この機能は、見落としがないことを確認するための二次チェックとしても非常に価値があります。

HCL AppScanの無料トライアルを開始するには、今すぐお問い合わせください。