JetBrainsにIASTを統合しソフトウェアセキュリティを強化
2024/7/21 - 読み終える時間: 2 分
HCLSoftware Strengthens Software Security with IAST for JetBrains の翻訳版です。
JetBrainsにIASTを統合しソフトウェアセキュリティを強化
2024年7月18日
著者: Arjun Ajit / Product Manager specializing in Plugins and Integration at HCL AppScan
アプリケーションのセキュリティを確保することは最も重要です。従来のセキュリティテストの方法では、サイバー脅威の進化により、十分ではない場合があります。そこで登場するのが、Interactive Application Security Testing(IAST)であり、コードベース内の脆弱性を特定するための動的なアプローチを提供します。IASTは、実行中のWebアプリケーションの脆弱性を分析するセキュリティテスト手法です。ソースコードを単独で分析する従来の静的コード分析ツールとは異なり、IASTはアプリケーションの実行中に評価するため、開発者は実際のシナリオで潜在的なセキュリティリスクを包括的に理解できます。
この強力なセキュリティ分析機能が、お気に入りの統合開発環境 (IDE) にシームレスに統合されていることを想像してみてください。これは、新しいコード・セクションがデバッグされるとすぐにカバーされるため、IAST にとって完璧なプロセスです。
HCL AppScan JetBrains Plugin は、IASTの領域におけるゲームチェンジャーであり、インタラクティブなアプリケーション・セキュリティ・テストのパワーをJetBrains IDEに直接導入します。これにより、「シフトレフト」アプローチを最大限に活用し、開発サイクルのできるだけ早い段階でIASTを使用して脆弱性を迅速に特定できます。
IAST を JetBrains IDE に統合した結果
従来のセキュリティテスト方法では、多くの場合、プロセスがバラバラで、開発者はIDEと外部のセキュリティツールを切り替える必要がありました。これにより、開発ワークフローが中断されるだけでなく、セキュリティカバレッジに潜在的なギャップが生じます。IASTをJetBrains IDEに直接統合することで、開発者はコーディング環境を離れることなく、コーディング中にセキュリティの問題をシームレスに特定できるようになりました。
HCL AppScan JetBrains プラグインの主な機能
リアルタイムの脆弱性検出
コーディング中にセキュリティの脆弱性を検出し、JetBrains IDE内で直接潜在的な問題に関するフィードバックを即座に提供します。
シームレスな統合
既存のJetBrains環境とのスムーズで手間のかからない統合により、面倒な外部ツールが不要になります。
コミュニティエディション
このプラグインはコミュニティ版で利用可能であり、開発者はIDE内で基本的なIAST機能にアクセスできます。将来のリリースではより高度な機能が約束されているため、コードのセキュリティを強化する可能性は無限大です。
誤検出の減少
IAST ソリューションは、ランタイム動作のコンテキストでコードを分析することにより、誤検出を大幅に減らすことができ、開発者は真のセキュリティー脅威に労力を集中させられます。
より迅速で効果的な修復アクション
この IDE は、新しいコード・セクションと既存のコード・セクションの両方をデバッグするとすぐにシームレスに分析するため、IAST の理想的なプラットフォームとして機能します。このアプローチは、潜在的なセキュリティ問題を迅速に特定するだけではありません。また、緩和戦略について開発者を教育することで、安全なコーディング手法に対する開発者の認識と習熟度を高められます。
もっと読む
オープンソースを脅威から保護する:アプリセキュリティテストのベストプラクティス
2024/7/21 - 読み終える時間: ~1 分
How to Secure Your Open Source: Best Practices for Application Security Testing の翻訳版です。
オープンソースを脅威から保護する:アプリセキュリティテストのベストプラクティス
2024年7月21日
著者: Courtney Coleman / HCLSoftware
ダイナミックなソフトウェア開発の世界では、オープンソースコンポーネントの使用は、現代の開発エコシステムの不可欠な部分となっています。オープンソースコンポーネントのコミュニティの改善により、開発時間の短縮とコストの削減が促進され、より迅速に成長し、イノベーションを起こすための柔軟性が生まれます。しかし、この利便性には、特にセキュリティに関する独自の課題が伴います。
アプリケーションが成長し、オープンソースコンポーネントの監視が難しくなるにつれて、アプリケーションのセキュリティを確保することは、ソフトウェアエコシステム全体を保護するために重要になります。HCLSoftwareのアプリケーションセキュリティ担当グローバルテクニカルアドバイザーであるPeter Lee氏は、「『たった1つの悪いリンゴで樽全体が台無しになる』ということわざがあるからこそ、オープンソースアプリケーションセキュリティ(OSA、別名SCA)は、あらゆる組織のセキュリティプログラムの最上位にあるべきだ」と述べています。
「現代のソフトウェア開発は、ますます速く、機敏になっています」と Lee 氏は言います。「基本的に、生成型人工知能(Gen AI)は、開発者向けのWebまたはモバイルアプリケーション全体を作成できます。オープンソースライブラリは、開発者によって書かれたものであれ、Gen AIによって書かれたものであれ、コードの一部となることが多いため、脆弱なオープンソースパッケージを使用するリスクと、それがコード内のどこに存在するかを理解することが重要です。」
オープンソースアプリケーションのセキュリティを確保するには、プロアクティブで包括的なアプローチが必要です。ここでは、オープンソースを保護するためのベストプラクティスをいくつか紹介します。
開発サイクルの早い段階でセキュリティを統合
プロアクティブなセキュリティの重要性を議論する際には、安全なコーディング手法を内部的に遵守することが脆弱性を防ぐための基本であることを理解することが重要です。
主なプラクティスには、インジェクション攻撃を防ぐためのユーザー入力を常に検証およびサニタイズすること、アプリケーションへのアクセスを制御するための強力な認証および承認メカニズムの実装、攻撃者に貴重な情報を提供する可能性があるため詳細なエラー メッセージのユーザーへの露出の回避、暗号化を使用して保存中と転送中の両方で機密データを保護することが含まれます。
開発チーム内でセキュリティファーストの文化を育むことは非常に重要です。セキュリティの重要性についてチームを教育し、安全なコーディング手法とセキュリティテストツールの使用に関するトレーニングを提供します。開発者、セキュリティ専門家、運用チーム間のコラボレーションを促進して、セキュリティに対する包括的なアプローチを確保します。
依存関係を最新の状態に保つための定期的なセキュリティ監査の実施
オープンソースプロジェクトは、さまざまなサードパーティのライブラリやフレームワークに依存していることが多いため、古い依存関係はセキュリティ侵害の一般的なベクトルです。オープンソースのライブラリとフレームワークを定期的に最新バージョンに更新してください。これらの更新プログラムには、多くの場合、機密データを保護し、ユーザーの信頼を維持するために必要なセキュリティ パッチが含まれています。
堅牢な内部セキュリティ監査を実施していても、新しい脆弱性や脅威がいつでも出現する可能性があることに注意してください。自動化ツールは、依存関係を監視し、利用可能な更新を通知することで役立ちます。
セキュリティの脅威を一貫して監視、対応
手動のコードレビューと侵入テストは不可欠ですが、時間がかかり、人為的ミスが発生しやすい場合があります。十分な情報を持つ開発チームは、セキュリティの脅威に対する防御の最前線ですが、自動化されたセキュリティテストツールは、脆弱性を迅速に特定することでこれらの取り組みを補完できます。セキュリティの脅威についてアプリケーションを継続的に監視し、対応計画を準備しておくと、セキュリティ体制が向上します。
HCL AppScanのようなセキュリティ・ソフトウェアは、オープンソース・コンポーネントの脆弱性を特定するために特別に設計されたツールを含む、包括的なアプリケーション・セキュリティ・テストの完全なスイートを提供します。ソフトウェア・コンポジション解析(SCA)を使用すると、開発者はIDE(統合開発環境)から直接、プロジェクトに組み込まれたオープンソース・パッケージを評価できます。調査結果が静的分析、動的分析、対話型分析などの他のツールの結果と相関している場合、チームはリスク レベルを包括的に把握し、最初に修正する内容に優先順位を付けられます。すべてのツールはソフトウェア開発ライフサイクル(SDLC)にシームレスに統合され、継続的なセキュリティテストとコンプライアンス検証の両方を提供するため、組織は一貫したセキュリティ体制を維持できます。
結論
これは、アプリケーション内で堅牢なセキュリティ標準を維持するための一貫した取り組みです。目標は、脆弱性を見つけて修正するだけでなく、開発プロセスのファブリックにセキュリティを組み込むことです。信頼できるセキュリティ体制管理は、イノベーションを優先事項の最前線にするための明確な滑走路を確立します。お気軽に HCLSoftware にお問い合わせ・デモの依頼をし、アプリケーションのセキュリティを強化する方法をご覧ください。
HCL AppScan 360°: スケーラビリティーと効率性を解き放つ
2024/7/21 - 読み終える時間: 2 分
HCL AppScan 360º: Unlocking Scalability and Efficiency の翻訳版です。
HCL AppScan 360°: スケーラビリティーと効率性を解き放つ
2024年5月14日
著者: Eitan Oberman / Senior Product Manager
進化し続けるアプリケーションセキュリティ環境には、俊敏性と適応性が必要です。このことを認識した上で、クラウドネイティブ・アプリケーション・セキュリティー・プラットフォームである HCL AppScan 360° の次期リリースを発表できることを嬉しく思います。このリリースは、スケーラビリティー、保守性、および全体的なユーザー・エクスペリエンスを強化するために設計されたアーキテクチャーの大幅な変更を特徴としています。
Kubernetes の中核となるもの
この変革の中核となるのは、業界をリードするコンテナ オーケストレーション プラットフォームである Kubernetes の採用です。Central Platform (ASCP) と SAST コンポーネントの両方が、Kubernetes 固有の強みを活用するように再設計され、次のような具体的なメリットがもたらされました。
-
簡単なスケーリング: 変動する需要に簡単に対応できます。Kubernetes を使用すると、HCL AppScan 360° インフラストラクチャをシームレスにスケールアップまたはスケールダウンでき、ピーク時や静かな時間帯に最適なパフォーマンスを確保できます。
-
統合管理:複雑さをシンプルに: ASCPとSASTの両方を、標準化された単一のKubernetesデプロイメントで管理し、管理、更新、ユーザーエクスペリエンスを合理化します。WindowsとKubernetesを別々にインストールする必要がなくなります。
合理化されたインストール:インストールキットの迷路を捨てます。新しい HCL AppScan 360° は、標準化された Kubernetes 構成を活用するため、ダウンタイムが最小限に抑えられ、アプリケーションの保護に迅速に集中できます。
-
ベスト・イン・ブリードのテクノロジー: Kubernetesは、セキュリティプラットフォームが最新のテクノロジーとパフォーマンスの恩恵を受けることを保証し、セキュリティ曲線の先を行くことができます。
-
一貫したオンプレミス/クラウドエクスペリエンス: 新しいアーキテクチャにより、オンプレミスとクラウドのデプロイメント間でシームレスなエクスペリエンスが促進されます。この連携により、管理が簡素化され、ハイブリッド環境全体で一貫したセキュリティプラクティスが確保されます。
メリット
-
複雑さの軽減: 統合されたKubernetesベースのアーキテクチャにより、AppSecプラットフォーム全体を簡単に管理できます。
-
スケーラビリティの向上:インフラストラクチャのボトルネックなしに、セキュリティテストの取り組みを進化するニーズに適応させます。
-
メンテナンスの簡素化: 合理化されたインストールと簡素化された更新の恩恵を受けられます。
-
セキュリティ体制の強化:最新のテクノロジーと統一されたセキュリティアプローチを活用して、アプリケーションのセキュリティを強化します。
さらに前へ
このアーキテクチャのアップデートは、将来の機能強化とユーザーエクスペリエンスの向上のための準備を整えます。HCLSoftware の クラウドネイティブ・アプリケーション・セキュリティー・プラットフォームであるAppScan 360°で詳細を確認し、新しいAppScan 360°がセキュリティー運用を合理化し、アプリケーションの防御を強化する方法を探索するための詳細情報にご期待ください。
新たなマイルストーン: DASTによるクラウドネイティブ・アプリケーションセキュリティ
2024/7/21 - 読み終える時間: 2 分
A New Milestone: Cloud-Native Application Security with DAST の翻訳版です。
新たなマイルストーン: DASTによるクラウドネイティブ・アプリケーションセキュリティ
2024年7月15日
著者: Adam Cave / Product Marketing Manager, HCL AppScan
アプリケーションセキュリティに対して「どこにでもシフト」するアプローチを採用する組織が増えるにつれ、「万能」のソリューションがないことが明らかになっています。ソフトウェア開発ライフサイクル全体に効果的なセキュリティ戦略を、開発を遅らせることなく費用対効果の高い方法で組み込むことは、困難な作業です。
組織は、監視、リスクの完全な可視化、およびチーム間のコラボレーションを提供する単一プラットフォーム ソリューションにますます注目しています。さらに、企業は、完全なオンプレミス、クラウド、またはハイブリッドモデルの使用など、さまざまな展開環境で運用できる柔軟性を求めています。
HCL AppScan 360°: 現代の企業向けのクラウドネイティブ・アプリケーションセキュリティー・プラットフォーム
これらの多くの課題に対処するために、HCLSoftware は 2023 年に HCL AppScan 360° をリリースしました。この完全にクラウドネイティブなアプリケーションセキュリティ・プラットフォームは、同社の主力SaaSソリューションであるHCL AppScan on Cloud(ASoC)と同じ最新のユーザーインターフェースとエクスペリエンスを提供しますが、オンプレミス、プライベートクラウド、ハイブリッド、その他のセルフホスト型デプロイメントオプション向けに設計されています。
元のリリースには、AI支援の静的アプリケーションセキュリティテスト(SAST) が付属していましたが、ASoCに見られるすべての追加のテストテクノロジーを追加するための積極的なロードマップが示されました。
AppScan 360° は、セキュリティーを強化するために DAST と Kubernetes のスケーラビリティーを追加
HCLSoftware は、HCL AppScan 360° が業界をリードする動的アプリケーションセキュリティテスト (DAST) の追加により、その進化における重要なマイルストーンに到達したことを発表できることを誇りに思います。DASTを使用すると、ユーザーはWebアプリケーションとAPIの包括的なスキャンをリアルタイムで実行し、実際の攻撃シナリオをシミュレートして脆弱性とセキュリティの弱点を特定できます。
自動DASTスキャンは、CI/CDパイプラインを含むソフトウェア開発ライフサイクル全体に組み込むことができ、OWASP Top 10 CVEなどのプリセットポリシーに基づいて構成できます。インクリメンタルスキャンは、リポジトリに追加された最新のコードのみを分析するように設定でき、テストの最適化により、ユーザーは開発のさまざまな段階で必要なものに基づいてスキャンの速度と深さのバランスをとれます。SASTと組み合わせることで、このプラットフォームはこれまで以上に広いセキュリティカバレッジを提供します。
HCL AppScan 360 は、業界をリードするコンテナ・オーケストレーションプラットフォームである完全な Kubernetes アーキテクチャー上に構築されています。HCL AppScan Central Platform (ASCP) と DAST および SAST コンポーネントはどちらも、可用性とスケーリングにおける Kubernetes の固有の強みを活用するように設計されています。組織は、インフラストラクチャのボトルネックなしに、進化するニーズにセキュリティテストの取り組みを適応させ、合理化されたインストールと簡素化された更新の恩恵を受けとれます。
最も重要な利点の1つは、変動する需要に簡単に対応できることです。Kubernetes を使用すると、HCL AppScan 360° インフラストラクチャをシームレスにスケールアップまたはスケールダウンできるため、ピーク時には最適なパフォーマンスを確保し、静かな時間帯にはコスト効率を確保できます。
結論
ソースコード分析やテスト自動化からトリアージ、修復、レポート作成、監査まで、組織がデータ侵害を回避したいのであれば、解決すべきことがたくさんあります。HCL AppScan 360° は、これらの課題を管理し、Digital+ エコノミーで競争するためのツールと柔軟性の両方を組織に提供するようになってきています。
お問い合わせやデモの依頼はこちらのフォームまでお願いします。業界をリードするすべてのアプリケーションセキュリティーテスト・ソリューションの詳細はこちらをご覧ください。
HCL AppScan 10.6.0 をリリースしました。
2024/7/12 - 読み終える時間: ~1 分
2024年7月10日、HCL AppScan 10.6.0 をリリースしました。
- リリース情報: https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0113788
- 新機能: https://help.hcltechsw.com/appscan/Standard/10.6.0/ja/r_WhatsNew001.html
- システム要件: https://help.hcltechsw.com/appscan/Standard/10.6.0/ja/r_SystemRequirements000.html
- 既知の問題: https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0113787
Azure Marketplace で HCL AppScan on Cloud の提供を開始しました
2024/7/2 - 読み終える時間: 3 分
HCL AppScan on Cloud Now Available on Azure Marketplace の翻訳版です。
Azure Marketplace で HCL AppScan on Cloud の提供を開始しました
2024年7月2日
著者: Adam Cave / Product Marketing Manager, HCL AppScan
Azure Marketplace で HCL AppScan on Cloud の提供を開始しました。この開発は重要なマイルストーンであり、シームレスで堅牢なセキュリティテスト機能を Microsoft エコシステム内で運用する企業の手元に直接もたらすものです。
なぜ HCL AppScan on Cloud なのか?
HCL AppScan on Cloudは、企業が正確かつ効率的にアプリケーションを保護できるように設計されています。HCL AppScan on Cloudは、静的テスト、動的テスト、対話型テスト、オープンソーステストのための包括的なツール群を提供し、開発ライフサイクルのあらゆる段階でアプリケーションを脆弱性から確実に保護します。
HCL AppScan on Cloudの主な機能
包括的なテスト
静的テスト、動的テスト、対話型テスト、オープンソーステストを実施し、アプリケーションの脆弱性を特定します。
拡張性
クラウドのパワーを活用し、アプリケーション・ポートフォリオの成長に合わせてセキュリティ・テストの取り組みを拡張できます。
自動化
セキュリティテストをCI/CDパイプラインに統合し、開発プロセスの早い段階で脆弱性の検出を自動化します。
レポートと分析
詳細なレポートとアナリティクスにより、自社のセキュリティ状況を深く洞察し、十分な情報に基づいた意思決定と改善努力の優先順位付けを可能にします。
Azure Marketplaceのメリット
Azure Marketplaceは、Microsoftやサードパーティベンダーが開発したアプリケーションやサービスを幅広く提供する、便利で使いやすいオンラインストアです。Azure Marketplaceは、企業や開発者がAzureクラウドプラットフォーム上でのソリューション構築や運用管理に必要なソフトウェアやサービスを検索、試用、購入、導入できるように設計されている。
Azure Marketplaceのメリット
-
多様なカタログ
AI、アナリティクス、データベース、セキュリティ、DevOps、IoTなど、さまざまなカテゴリにわたる数千ものアプリケーション、ソフトウェア、サービスを提供。
-
サードパーティ・ソリューション
ユーザーは、HCL AppScan on Cloudのような、Azureのネイティブサービスを補完する専門的なツールやサービスを見つけられます。
-
Azure クレジット
マーケットプレイスでの購入は、クレジットカード決済またはAzure Creditsで行うことができ、ユーザーのAzureサブスクリプション請求に統合されるため、財務管理が簡素化され、統合された請求書が発行されます。
-
容易なデプロイメント
アプリケーションとサービスは、マーケットプレイスからAzure環境に直接デプロイできます。
-
トライアルと購入オプション
多くのソリューションが無料トライアルを提供しており、ユーザーは購入を決定する前にソフトウェアを評価できます。
Visual Studioサブスクライバーのための使いやすさ
Visual Studioは、マイクロソフトが作成した統合開発環境(IDE)です。Visual Studioの契約者の多くは現在、HCL AppScan Code Sweep(コミュニティ版の静的解析テストツール)を使用して、よりセキュアなコードの記述に役立てています。現在、これらの同じユーザーは、マイクロソフトのエコシステムを離れることなくHCL AppScan on Cloudを購入し、CodeSweepの結果をこのより堅牢なプラットフォームにアップロードして、可視性、レポート、コンプライアンスを向上させられます。
今すぐ始める
HCL AppScan on Cloudの強力な機能をぜひお試しいただき、アプリケーションセキュリティテストへのアプローチをどのように変革できるかをご確認ください。小規模なチームでも大企業でも、HCL AppScan on Cloudは脆弱性を効率的に特定し緩和するために必要なツールを提供します。
まずは、Microsoft Azure Marketplace にアクセスし、HCL AppScan on Cloudを検索してください。自信を持ってアプリケーションを保護し、新たな脅威の先を行けます。
詳細については、HCLSoftware のサポートチームにお問い合わせください。
HCL AppScan on Cloud - アプリケーション・セキュリティのパートナー。Microsoft Azure Marketplaceに登場。
HCL AppScan 10.0.0 - 10.6.0 のサポート終了予定の発表
2024/7/2 - 読み終える時間: ~1 分
HCL AppScan Announces Plans for End of Support for Versions 10.0.0–10.6.0 の翻訳版です。
HCL AppScan 10.0.0 - 10.6.0 のサポート終了予定の発表
2024年6月28日
著者: Ayan Som / Senior Product Manager, HCL AppScan
HCL AppScan は、開発者、DevOps チーム、セキュリティ専門家を支援するために設計された、高度なセキュリティ テスト ツールの堅牢なスイートです。動的および静的分析からインタラクティブおよびソフトウェア構成分析まで、HCLSoftware 製品は開発のあらゆる段階でアプリケーションと API が保護されることを保証しています。
お客様の価値とセキュリティを高めるための継続的なコミットメントの一環として、HCL AppScan はバージョン 10.7.0(2024年10月リリース予定)から、HCL AppScan Standard、HCL AppScan Enterprise、HCL AppScan Source の配布およびライセンス管理プラットフォームを変更します。
製品提供終了/サポート終了
新しいディストリビューションおよびライセンス管理プラットフォームへの移行により、最新のライセンスを選択できる専用プラットフォームが提供され、不正使用のリスクを低減し、最新のセキュリティコンプライアンスを確保できます。この有益な変更を実施するには、HCL AppScan が旧ライセンスモデルの旧バージョンのサポート終了日を設定する必要があります。
2025年6月30日をもって、HCL AppScan は以下の製品のバージョン10.0.0~10.6.0*のサポートを終了します:
- HCL AppScan Standard
- HCL AppScan Enterprise
- HCL AppScan Source
2025年6月29日までに HCL AppScan 10.7.0 以上にアップグレードすることを強くお勧めします。HCL AppScan 10.7.0 のリリースは 2024年10月に予定されているため、移行には十分な時間があり、最新の機能と性能を活用できます。
次のステップ
2024年10月に予定されている HCL AppScanバージョン 10.7.0 のリリースについては、Web サイトやメールでのアナウンスをお待ちください。新バージョンがリリース後、2025年6月29日までに、そのバージョンまたは2025年前半にリリース予定の後続バージョンにアップグレードしてください。
ヘルプが必要な場合は、HCL AppScan サポートがスムーズな移行プロセスを保証します。HCLSoftware カスタマーサポートポータルでケースを起票していただくだけで、HCLSoftware のサポートチームが迅速にご連絡いたします。HCL AppScan アプリケーションセキュリティテス・ソリューション一式に関する情報やサポートについては、HCLSoftware のドキュメントとサポートの Web ページ および製品ページ をご覧ください。
- 2025年6月30日にサポートが終了する全バージョンのリスト: 10.0.1、10.0.2、10.0.3、10.0.4、10.0.5、10.0.6、10.0.7、10.0.8、10.1.x、10.2.x、10.3.x、10.4.x、10.5.x、10.6.x
AI とアプリケーションセキュリティ: 時間の節約と信頼の問題
2024/6/11 - 読み終える時間: ~1 分
AI and Application Security: Time Savings and Trust Issues の翻訳版です。
AI とアプリケーションセキュリティ: 時間の節約と信頼の問題
2024年6月10日
著者: Adam Cave / Product Marketing Manager, HCL AppScan
人工知能 (AI) は、1980 年代の SF 映画「ターミネーター」や「2001 年宇宙の旅」での描写から、ChatGPT などの日常生活で遭遇する実用的なツールへと移行し、至る所で話題になっています。しかし、AI を取り巻く興奮のなか、その機能と限界について誤解が広がっています。
これは、開発者向けのコードの作成と評価を行う AI ツールがますます増えているアプリケーション セキュリティの領域で特に顕著です。このコンテキストで AI の出力を信頼するための基準を確立し、人間の介入が依然として必要な領域を特定することが不可欠です。
これらのトピックは、SDTimes の最近の David Rubinstein の記事「AI をめぐる誇大宣伝から現実を見極める (Discerning reality from the hype around AI)」で詳しく取り上げられています。Rubinstein は、HCLSoftware のアプリケーション セキュリティの専門家 3 名にインタビューし、AI が安全なコーディングに役立つことの現実をより深く理解し、AI の使用に対する HCLSoftware の革新的なアプローチについても学びます。
HCLSoftware の主任認知研究者である Kristofer Duer 氏は次のように述べています。「[AI] にはまだ識別力がありません... 得意とするのはパターン マッチングです。データの集合から共通点を見つけ出すことができます」。組織は、生成 AI と大規模言語モデルを使用してパターンをマッチングし、大量のデータを人間が簡単に利用できるようにしています。たとえば、ChatGPT は、コードの作成と、レビュー用に渡されたコードのセキュリティ問題の特定の両方に使用できるようになりました。
AI の信頼をナビゲート: 信頼のジレンマ
人工知能 (AI) の領域では、信頼が最も重要です。しかし、AI が問題の特定に優れているため、大きな懸念が生じます。AI が間違いを犯したとき、それは揺るぎない自信を持って犯します。Duer 氏が繰り返し述べているように、「... ChatGPT が間違っているとき、それは間違っていることに自信を持っています。」そのため、開発者による生成 AI への過度の依存は、HCLSoftware の HCL AppScan CTO である Colin Bell にとって大きな懸念事項です。Meta の Code Llama や Google の Copilot などのソフトウェアを使用してアプリケーションを開発する開発者が増えるにつれて、そのコードが安全であると信頼できるかどうかを誰も尋ねることなく、指数関数的に多くのコードが作成されるようになっています。Bell 氏は、「... AI によって、生成されるコードが増えるため、アプリケーション セキュリティの作業が増える可能性があります」と警告しています。
インタビューを受けた全員が、ソフトウェア開発ライフサイクル全体を通じて人間がコードを監査する必要性が依然としてあることに同意しました。AI はコードの作成を支援できますが、セキュリティにおける AI の最も効果的な用途の 1 つは、人間のセキュリティ専門家が時間と注意を集中すべきコードの場所を指摘することです。この支援により、時間とリソースを大幅に節約できます。
AI と HCL AppScan
HCLSoftware が HCL AppScan ポートフォリオで使用する 2 つの AI プロセスは、この目標を念頭に置いて長年にわたって開発されました。インテリジェント検出分析 (IFA) は、ユーザーに提示される検出の量を制限するために使用されます。インテリジェント コード分析 (ICA) は、メソッドまたは API のセキュリティ情報が何であるかをユーザーが判断するのに役立ちます。
たとえば、IFA は、セキュリティ専門家と同じ基準で AppSec スキャン結果を確認し、人間のテスターが退屈だと感じる結果 (アプリケーションに対する実際のリスクを表していない結果) を無視するようにトレーニングされています。このようにして、AI によって検出結果の数が自動的に大幅に削減されるため、人間は最も重要な脆弱性のみをトリアージすることに集中できます。Duer 氏は、「[IFA] は、実際の人間の作業時間を大幅に節約します。当社の有名な例の 1 つでは、400,000 件を超える検出結果を伴う評価を、人間が確認する必要がある約 400 件にまで削減しました」と述べています。
自動修復: 究極の目標
自動修復と呼ばれる、コードの脆弱性を修正するために AI を使用するという大きな進歩も遂げられています。 HCLSoftware のカスタマー エクスペリエンス エグゼクティブである Rob Cuddy 氏は、このテクノロジーがもたらす可能性に期待を寄せていますが、同僚のより広範な信頼の問題を反映した責任に関する懸念を表明しています。「たとえば、自動修復ベンダーで、修正プログラムや推奨事項を提供しているとします。誰かがそれをコードに採用し、侵害されたとします。誰の責任でしょうか?」
AI と信頼に関するこの会話の多くは、組織がアプリケーション セキュリティ ポスチャ管理 (ASPM) に向けて行っているより広範な方向転換を反映しています。ASPM の鍵となるのは、ソフトウェア ランドスケープ全体でリスクを最も効果的に管理する方法です。AI の将来の実装は、効率と信頼のバランスを取り、このリスク管理モデルにすべてうまく適合させることによって形作られます。
記事の全文はこちらでお読みください。
HCL AppScan ソリューションで現在利用可能な AI および機械学習機能の詳細については、HCL AppScan の製品ページにアクセスしてください。