2024/6/10 - 読み終える時間: 4 分

Seamless Integration: HCL AppScan on Cloud Meets Jira の翻訳版です。

HCL AppScan on CloudとJiraのシームレスな連携、統合

2024年6月10日

著者: Parimal Sureshagarkhed / Lead Software Engineering

あらゆる分野の組織が、強固なサイバーセキュリティ対策を実施する必要性を認識しています。脅威が進化し続ける中、効果的なセキュリティツールを確立されたワークフローにシームレスに統合することが不可欠になっています。HCL AppScan on Cloud と Jira の組み合わせのような傑出した統合は、セキュリティテストのプロセスを合理化し、強化する有望なソリューションです。

HCL AppScan on Cloud の発表

Jira はアジャイルソフトウェア開発の要です。チームがシームレスに作業を計画、追跡、管理できるようにします。カスタマイズ可能なワークフローと堅牢な課題追跡機能により、コラボレーションとタスク管理の中心的なハブとしても機能します。様々な開発ツールとの統合により、その有用性が高まり、チームはプロセスの効率化を推進できます。

Jira 内で HCL AppScan App を利用することで、開発者は HCL AppScan から Jira に課題をインポートするシステムを、オンデマンドまたはスケジュールされた間隔で設定できます。この統合により、企業は迅速かつ正確なHCL AppScanの調査結果に基づいて、システムの脆弱性を効率的に特定、優先順位付け、追跡、修復できるようになります。HCL AppScan 製品は、Intelligent Finding Analytics (IFA) や Intelligent Code Analytics (ICA) のような実績のあるAI/機械学習機能を使用しています。

HCL AppScan On CloudとJiraの利点

HCL AppScan on CloudとJiraの統合は、セキュリティと開発のギャップを埋めます。主なメリットをいくつかご紹介します。

セキュリティテストのワークフローを合理化

HCL AppScanをJiraと統合することで、セキュリティ脆弱性を処理するためのスムーズなワークフローが生まれます。これにより、以下に示すように、1つまたは複数のHCL AppScanアプリケーション名と、1つまたは複数のアプリケーションポリシーID（OWASP Top 10 2017、PCI Complianceなど）に基づく課題インポートの構成が可能になります。その他の統合の詳細は後述します。

さまざまなHCL AppScanポリシーの詳細については、こちらを参照してください。

問題の状態、重大度、およびスキャンの種類に応じてインポートを調整します。

HCL AppScanによってハイライトされた問題の転送は、1回限りのインポートとして設定できます。

1時間ごと、1日ごと、1週間ごと、1ヶ月ごと、または指定した時間（たとえば午後2時）に設定を行います。

コラボレーションと可視性の強化

セキュリティ問題を Jira 内に一元化することで、部門横断的なチームがより効率的にコラボレーションできるようになります。開発者、セキュリティアナリスト、プロジェクトマネージャは、使い慣れた Jira 環境で脆弱性のステータスを追跡し、タスクを割り当て、コミュニケーションをとることができるため、より良い意思決定とリソース割り当てが容易になります。

優先順位付けされた修復

開発者が Jira ドメイン内でセキュリティ問題に対処できるようにすることで、この統合は修復プロセスを加速する。開発者は HCL AppScan の重大度マッピングを Jira の優先順位に合わせて柔軟に設定し、プロジェクト固有のニーズに合わせられます。

Jira の強固な課題追跡の専門知識により、チームは重大度、影響、その他の要因に基づいて脆弱性の修復に優先順位をつけられます。これにより、重要な問題が最初に対処され、全体的なセキュリティリスクが低減されます。

強力なレポートと分析

Jira の堅牢なレポートと分析機能は、プロジェクトチームがプロジェクトに関する貴重な洞察を得るのに役立ちます。バーンダウンチャートやスプリントレポートからカスタムダッシュボードや高度な分析に至るまで、Jira はプロジェクトの進捗を追跡し、ボトルネックを特定し、重要なデータ駆動型の意思決定を行うための十分なオプションを提供します。Jira のこれらの利点は、プロジェクトのセキュリティの健全性を容易に追跡するために活用できます。

監査証跡

Jira との統合により、脆弱性修復の取り組みの監査証跡が提供される。チームは、各問題の履歴を追跡することができ、変更、指摘事項の追加、解決策の実施などが含まれるため、コンプライアンスや報告要件が緩和されます。

要するに、HCL AppScan Jira Appは、企業がセキュリティを開発プロセスにシームレスに統合するための道を開き、企業がセキュリティを優先することを可能にし、セキュリティ対策を強化したソフトウェア製品の作成を保証する、優れた進歩を示しています。

HCL AppScan と Jira の統合プロセス

• この手順に従ってアプリをインストールしてください。
• 統合の使用方法をご覧ください。
• アプリを使用して作成された Jira チケットのサンプルを見ます。
• 最新のJira統合は、Visual Studio、Jenkins、GitHub、GitLabなど、マーケットプレイスで入手可能な一般的なツールとの幅広いコラボレーションを追加します。

サイバーセキュリティを最重要視する中、HCL AppScan on Cloud with Jiraは組織のセキュリティ体制を強化し、開発チームとセキュリティチーム間のコラボレーションを改善し、より安全なソフトウェアアプリケーションを顧客に提供できます。この強力な組み合わせにより、組織は新たな脅威を先取りし、ユーザーとの信頼を築けます。

HCL AppScanのすべてのアプリケーションセキュリティテストソリューションの詳細については、こちらをご覧ください。

2024/6/4 - 読み終える時間: ~1 分

Why Governments Must Prioritize Application Security Testing の翻訳版です。

政府がアプリケーションセキュリティテストを優先しなければならない理由

2024年5月31日

著者: Nabeel Jaitapker / Product Marketing Lead, HCLSoftware

急速に進化するデジタルガバナンスの状況において、強固なサイバーセキュリティ対策の確保は譲れないものとなっている。世界中の政府がサービスを提供し、市民と関わるためにデジタルプラットフォームへの依存度を高めており、サイバー脅威に対する強固な防御の必要性がかつてないほど明確になっている。

この武器庫に不可欠な武器の1つが包括的なアプリケーションセキュリティテストであり、「政府サイバーセキュリティの強化 (Enhancing Government Cybersecurity: The Imperative for Application Security Testing.)」と題されたホワイトペーパーで幅広く検討されている： アプリケーションセキュリティテストの必要性" と題したホワイトペーパーでは、このテーマについて幅広く取り上げている。

デジタル地形をナビゲートする

政府がソフトウェアアプリケーションの力を活用して業務を合理化し、市民との交流を促進するにつれ、同時に無数のサイバーセキュリティリスクにさらされることになる。個人情報から国家安全保障の記録まで、機密データが保存されている政府システムの侵害がもたらす潜在的な影響は、事態の深刻さを際立たせている。したがって、悪意ある行為者からこれらのデジタル要塞を守ることが最も重要である。

脆弱性の状況を理解する

ホワイトペーパーは、政府機関のアプリケーションを悩ませている多様な脆弱性について綿密に概説している。インジェクション攻撃から認証の欠陥に至るまで、潜在的な悪用の範囲は広範かつ複雑である。このような脆弱性は、データの完全性を脅かすだけでなく、政府機関に対する国民の信頼も損ないます。

アプリケーションセキュリティテストの重要な役割

アプリケーションセキュリティテストは、デジタル侵入者に対する最前線の防御手段です。HCL AppScanのような最先端のツールを活用することで、政府機関は脆弱性が悪用される前に積極的に特定し、修正できます。規制基準へのコンプライアンスの強化からリスク管理戦略の強化まで、その利点は多岐にわたります。

メトリクスとケーススタディ 鮮明なイメージを描く

このホワイトペーパーでは、説得力のある実例と統計的洞察を多数紹介している。その中には、Verizon Data Breach Investigations ReportやPonemon Instituteといった定評ある情報源から得られた知見も含まれており、サイバー脅威の蔓延と不十分なサイバーセキュリティ対策による具体的な影響の両方が強調されています。

HCL AppScan のパワーを解き明かす

この防御メカニズムの中核にあるのが、政府機関特有のニーズに合わせた包括的なアプリケーションセキュリティテストおよび管理ソリューションであるHCL AppScanです。動的および静的アプリケーションセキュリティテスト、対話型テスト機能、ソフトウェア構成分析などの一連の機能により、政府機関はサイバー空間の危険な海を、自信を持って航海するために必要なツールを手に入れられます。

デジタル領域の強化

結論として、このホワイトペーパーは、政府が重要なシステムを保護し、国民の信頼を維持するために、アプリケーションセキュリティテストを優先するよう説得力のある事例を提示しています。堅牢なテストフレームワークに投資し、HCL AppScan の ような革新的なソリューションを活用することで、政府はサイバー脅威に対する防御を強化し、より安全なデジタルの未来への道を開けます。今こそ行動を起こすべき時であり、その賭け金はかつてないほど高まっています。

2024/6/4 - 読み終える時間: ~1 分

Application Security Testing’s Role in Safeguarding Telecommunications and IT Infrastructure の翻訳版です。

電気通信と IT インフラの保護におけるアプリケーションセキュリティテストの役割

2024年5月31日

著者: Nabeel Jaitapker / Product Marketing Lead, HCLSoftware

通信とITインフラがグローバルな接続性のバックボーンとして機能する今日の相互接続された世界では、アプリケーションのセキュリティを確保することが最も重要です。

最近のホワイトペーパー「アプリケーションセキュリティテストによる通信およびIT組織のセキュリティ確保 (Ensuring Security in Telecommunications and IT Organizations through Application Security Testing,)」は、HCL AppScanのようなソリューションに代表される強固なセキュリティ対策の重要な必要性に光を当てています。

アプリケーションセキュリティテストがデジタルエコシステムの保護に不可欠である理由を掘り下げてみましょう。

脆弱性の状況

電気通信およびIT組織は、サイバー脅威に満ちた環境で活動しています。Verizon Data Breach Investigations ReportやOWASP's Mobile Top 10などの調査では、ウェブアプリケーションやモバイルアプリケーションに脆弱性が蔓延していることが強調されています。これらの脆弱性は、ユーザーデータの漏洩から風評被害まで、重大なリスクをもたらし、包括的なセキュリティ対策の緊急性を強調している。

アプリケーションセキュリティテストの役割

アプリケーションセキュリティテストは、脆弱性が悪用される前にその脆弱性を特定し、修正するための予防的なメカニズムとして機能します。HCL AppScanのようなソリューションは、静的テスト、動的テスト、対話型テストを含む包括的な機能スイートを提供し、企業がソフトウェア開発ライフサイクル全体にわたってセキュリティ態勢を評価できるようにします。コード解析や侵入テストなどの高度な技術を活用することで、企業は潜在的な脅威を効果的に軽減できます。

影響の定量化

電気通信やITアプリケーションのセキュリティ侵害が財務に及ぼす影響は相当なものです。調査によると、データ漏洩のかなりの割合が、パッチが利用可能でありながら適用されていない脆弱性によって発生しています。このようなリスクを軽減し、セキュリティインシデントの潜在的な影響を最小限に抑えるには、タイムリーなパッチ管理と、アプリケーションセキュリティテストを含むプロアクティブなセキュリティ対策が極めて重要です。

ケーススタディ

実際の事例が、致命的な侵害を回避するアプリケーションセキュリティテストの有効性を裏付けている。2023年にVoIPやファイル転送ソフトウェアを標的とした攻撃のような重要インフラへの攻撃は、リスクを軽減し、機密データを保護するための事前予防的なセキュリティ対策の重要性を浮き彫りにしています。

アプリケーションセキュリティテストの利点

HCL AppScanは、電気通信およびIT組織特有のニーズに合わせた、アプリケーションセキュリティテストおよび管理ソリューションのリーディングカンパニーです。動的アプリケーションセキュリティテスト（DAST）、静的アプリケーションセキュリティテスト（SAST）、ソフトウェア構成分析（SCA）などの機能により、HCL AppScanは脆弱性を特定し、改善するためのエンドツーエンドのソリューションを提供します。

電気通信およびIT組織の強化

結論として、電気通信およびIT組織がHCL AppScanのようなアプリケーションセキュリティテストを優先する必要性は否定できません。脆弱性の特定と緩和に向けて積極的な姿勢を採用することで、進化するサイバー脅威に対する防御を強化し、重要なインフラの完全性を守れます。デジタルエコシステムが拡大し続ける中、強固なセキュリティ対策を採用することは、単なる選択肢ではなく、信頼を維持し、機密性を保持し、相互接続されたシステムの回復力を確保するために必要不可欠なものとなっています。

アプリケーションセキュリティテストによる電気通信およびIT組織のセキュリティ確保について詳しくはホワイトペーパーをダウンロードしてご覧ください。

2024/6/4 - 読み終える時間: 2 分

Application Security Testing’s Role in Safeguarding Financial Institutions の翻訳版です。

金融機関を守るアプリケーションセキュリティテストの役割

2024年5月31日

著者: Nabeel Jaitapker / Product Marketing Lead, HCLSoftware

急速なデジタル変革の時代において、銀行、金融サービス、保険の各セクターは大きな進化を遂げている。こうした進化は消費者に利便性とアクセシビリティの向上をもたらす一方で、金融機関を無数のサイバー脅威にさらしている。このような課題に鑑みれば、強固なサイバーセキュリティ対策の必要性はいくら強調してもしすぎることはない。

最近発表されたホワイトペーパー「金融強化の確保： 銀行、金融サービス、保険におけるアプリケーションセキュリティテストの重要性 (Ensuring Financial Fortification: The Imperative of Application Security Testing in Banking, Financial Services, and Insurance)」は、進化するサイバー脅威から金融機関を守るためのアプリケーションセキュリティテストの重要性に光を当てています。ここでは、ホワイトペーパーから得られた重要なポイントを掘り下げ、リスクを軽減する上でHCL AppScanが果たす変革的な役割に焦点を当てます。

デジタルの展望 課題とリスク

銀行や金融サービスのデジタルプラットフォームへの依存度が高まるにつれ、システム内の脆弱性を悪用しようとするサイバー犯罪者の格好の標的となっています。ホワイトペーパーでは、これらの機関が直面する以下のような課題について概説しています：

• 高度化するサイバー脅威： マルウェアからフィッシング攻撃まで、進化し続けるサイバー脅威の性質は、金融機関に重大なリスクをもたらし、報告されるインシデントは増加の一途をたどっている。

• コンプライアンス要件： 規制機関は、データ保護とプライバシーに関して厳しい基準を課しており、これに従わない場合、多額の罰金や風評被害につながる可能性があります。

• レガシーシステム： 多くの金融機関はレガシーなインフラで運用されているため、強固なセキュリティ機能がなく、サイバー脅威に対して脆弱である可能性がある。

• サードパーティのリスク： サードパーティベンダーへの依存により攻撃対象が増えるため、サプライチェーンのリスクを軽減するための強固なセキュリティ対策が必要となる。

アプリケーションセキュリティテストの役割

アプリケーションセキュリティテストは、バンキングアプリケーション内の脆弱性を特定し、是正するためのプロアクティブなアプローチとして登場しました。アプリケーションコード、構成、アーキテクチャの包括的な評価を実施することで、金融機関は防御を強化し、潜在的なリスクを軽減できます。

アプリケーションセキュリティテストの主な利点は以下のとおりです。

• 脆弱性の特定： 自動スキャンと手動評価により、SQLインジェクションやクロスサイトスクリプティングなどの脆弱性を特定し、迅速に修正できます。

• コンプライアンスの保証： アプリケーションセキュリティテストは、規制要件の遵守を支援し、罰則や法的な影響を回避します。

• リスクの軽減： 脆弱性を積極的に特定し修正することで、データ漏洩、金銭詐欺、風評被害の可能性を低減します。

• セキュアな開発ライフサイクル： ソフトウェア開発ライフサイクルにセキュリティテストを統合することで、当初から設計によるセキュリティの文化が育まれます。

HCL AppScan： 金融機関を強化

HCL AppScan は、銀行、金融サービス、保険業界特有のニーズに合わせた、アプリケーションセキュリティテストおよび管理ソリューションのリーディングカンパニーです。その特長は以下の通りです。

• 動的アプリケーションセキュリティテスト (DAST)
• 静的アプリケーションセキュリティテスト (SAST)
• インタラクティブアプリケーションセキュリティテスト (IAST)
• ソフトウェア構成分析 (SCA)
• 統合と自動化
• クラウドセキュリティ
• APIセキュリティ
• ソフトウェアサプライチェーンセキュリティ

金融機関を強化する

結論として、このホワイトペーパーは、進化するサイバー脅威から金融機関を守る上で、アプリケーションセキュリティテストが極めて重要であることを強調しています。HCL AppScanのようなソリューションを採用することで、銀行や金融機関は防御を強化し、顧客データを保護し、金融システムの信頼性と完全性を維持できます。

複雑なサイバーセキュリティの状況を乗り切る金融機関にとって、包括的なアプリケーションセキュリティテストの導入は単なる選択肢ではなく、必要不可欠なものです。

これらの洞察をさらに掘り下げ、アプリケーションセキュリティテストを通じて金融機関を強化する方法について詳しく知りたい方は、こちらからホワイトペーパー全文をダウンロードしてください。

2024/5月/22 - 読み終える時間: 2 分

Demystifying PBOM and SBOM: Understanding the Key Differences の翻訳版です。

PBOMとSBOMを解き明かす：2つの重要な違いとは

2024年5月17日

著者: Nabeel Jaitapker / Product Marketing Lead, HCLSoftware

現在、私たちの生活のほぼすべての面にテクノロジーが浸透しています。このような中では、デジタルインフラの複雑さを把握することが不可欠、且つ優先度が高い事項となっています。

テクノロジーと製品開発をめぐる議論でよく出てくる用語が2つあります。パイプライン部品表（PBOM）とソフトウェア部品表（SBOM）です。この2つは似ているように聞こえるかもしれませんが、それぞれ異なる目的を持ち、製品開発と管理の異なる側面に対応しています。

PBOMとSBOMの違いをより明確に理解し、テクノロジーエコシステムにおけるそれぞれの役割を理解するために、PBOMとSBOMの性質について掘り下げてみましょう。

パイプライン部品表（PBOM）

PBOMは、ソフトウェアの最初のコード行からリリースに至るまでの系統を包括的に記したリアルタイムのリストです。PBOMは、ソフトウェア開発ライフサイクル全体において、ソフトウェアが経たすべての過程を追跡します。PBOMは、全ビルドの整合性を保証し、運用中のすべてのアプリケーションが安全であることを確認し、攻撃対象領域を最小限に抑えます。

主な機能は次のとおりです。

• パイプラインの完全な可視化： PBOMは、すべてのパイプラインブランチ、ビルド、プルリクエスト、チケット、既知の問題、脆弱性管理を自動的に追跡します。これにより開発チームは、リポジトリ、CI/CD、成果物、クラウドデプロイメントを含むビルドフロー全体をドリルダウンできます。

• ソフトウェアの完全性： PBOMは、ソフトウェアが正しいソースと依存関係からビルドされ、ビルドプロセス中に変更されていないことを保証します。コミットの異常、レビューのないコミット、プロジェクトに参加していないコミッターからのコミットをスキャンします。

• 完全なトレーサビリティ： PBOMは、変更の適切な文書化から各バージョンのリリースのトレースまで、すべてのパイプラインの変更を継続的に監視します。これにより、開発を遅らせることなく、ソフトウェアサプライチェーンの安全性を確保します。

ソフトウェア部品表（SBOM）

一方、SBOMは、特定の製品やアプリケーションで使用されるソフトウェアコンポーネントの詳細なインベントリです。オープンソースライブラリ、サードパーティの依存関係、およびそれらに関連する脆弱性を特定し、ソフトウェアサプライチェーンに透明性をもたらします。

主な機能は以下のとおりです。

• コンポーネントの特定： SBOM は、ライブラリ、フレームワーク、モジュールなど、製品で使用されるすべてのソフトウェアコンポーネントを識別します。この可視性は、ソフトウェアの構成とその潜在的なセキュリティへの影響を理解する上で極めて重要です。

• 脆弱性管理： SBOM は、使用されている依存関係やバージョンに関するインサイトを提供し、組織がソフトウェアの脆弱性を評価し管理するのを支援します。これにより、パッチ管理や脆弱性修正などの予防的なセキュリティ対策が可能になります。

• コンプライアンスの保証： SBOM は、サードパーティコンポーネントの使用状況を文書化することで、ライセンス要件や規制の遵守をサポートします。これにより、組織は知的財産やライセンス違反に関連する法的問題を回避できます。

• リスクの軽減： SBOM は、依存関係とそれに関連するリスクを特定することで、セキュリティ脆弱性やソフトウェアの欠陥がもたらす潜在的な影響を評価できるようにします。これにより、十分な情報に基づくリスク軽減戦略とリソースの優先順位付けが可能になります。

PBOM と SBOM の重要な違い

PBOM と SBOM はどちらもインベントリの役割を果たしますが、その範囲と焦点は異なっています。

• スコープ： PBOM は、あるソフトウェアに対して行われたすべてのことをリアルタイムで文書化することに重点を置いているのに対し、SBOM は、すべてのソフトウェアコンポーネントと依存関係を特定することに重点を置いている

• 目的： PBOM は効果的なアプリケーションセキュリティのリスクとポスチャ―の管理を実現し、SBOM はソフトウェアの透明性、セキュリティ、コンプライアンスを強化します

• 対象者： PBOM と SBOM は、主に最高情報セキュリティ責任者（CISO）、セキュリティアナリスト、開発チームマネジャー、ソフトウェア開発者、IT 専門家によって使用されます

• 影響： PBOMは、ソフトウェアのサプライチェーン全体の完全なセキュリティを向上させ、SBOMは、開発および配備におけるオープンソースコンポーネントの使用に影響を与えます

パイプライン部品表（PBOM）とソフトウェア部品表（SBOM）は共通の用語ではありますが、ソフトウェア開発、管理の異なる側面に対応しています。組織にとって、この違いを理解することは、開発プロセスを最適化し、ソフトウェア製品のセキュリティと完全性を強化しするために極めて重要です。

PBOMとSBOMを効果的に活用すると、企業は生産ワークフローを合理化し、リスクを軽減し、業界標準や規制へのコンプライアンスを確保することができます。例えばHCL AppScan Supply Chain Security などのソリューションは、組織が、ソフトウェア ランドスケープ全体でプロアクティブなセキュリティ ポスチャを維持できるようにする先駆的なアプローチである、アクティブ アプリケーションセキュリティ ポスチャ管理 (Active ASPM) のベネフィットを享受できるようにサポートします。

Active ASPMは、業界トップレベルのアプリケーションセキュリティ・テストを堅牢なポスチャ管理およびソフトウェアサプライチェーンセキュリティと統合します。この完全なパッケージで、すべてのリスク要因を完全に可視化し、記録的な速さで脆弱性をトリアージして修復できる詳細な評価ツールが提供されます。

ソフトウェアサプライチェーンのセキュリティや、安全なソフトウェア開発のためのその他の革新的なソリューションの詳細については、HCL AppScan をご覧ください。

2024/5月/22 - 読み終える時間: ~1 分

Enhancing Software Supply Chain Security with Application Security Posture Management の翻訳版です。

アプリケーションセキュリティ体制管理によるソフトウェアサプライチェーンのセキュリティ強化

2024年5月17日

著者: Nabeel Jaitapker / Product Marketing Lead, HCLSoftware

今日の相互接続されたデジタル環境において、ソフトウェア・サプライチェーンのセキュリティは、世界中の企業や組織にとって重要な関心事となっています。

サードパーティコンポーネント、オープンソースライブラリ、分散開発チームの急増により、悪意のある行為者の攻撃対象は飛躍的に拡大しています。

このような状況の中で、アプリケーション・セキュリティ体制管理（ASPM）は、ソフトウェア・サプライチェーンのセキュリティを強化するための重要なツールとして浮上してきました。

アプリケーション・セキュリティ体制管理

ASPM とは、組織のアプリケーションのライフサイクル全体を通じて、そのセキュリティ態勢を継続的に評価し、管理し、改善する包括的なプロセスを指します。ASPM には、ソフトウェアサプライチェーン全体にわたって、脆弱性を特定し、セキュリティポリシーを実施し、リスクを軽減することを目的とした、さまざまな手法と技術が含まれます。

ソフトウェア・サプライチェーンのセキュリティ強化における ASPM の主な役割の 1 つは、社内で開発されたソフトウェアとサードパーティのコンポーネントの両方のセキュリティ体制を可視化する能力です。

ガートナー社のレポートによると、「2025年までに、ソフトウェアを開発する組織の70％が、自社のソフトウェアのセキュリティ態勢を評価・改善するために、アプリケーション・セキュリティ態勢管理ツールを使用するようになる」といいます。

これは、ASPMがサイバーセキュリティ戦略の重要な要素であるという認識が高まっていることを強調しています。

ASPM ソリューション

脆弱性管理、構成分析、コンプライアンス監視などの機能により、企業はセキュリティ上の弱点をプロアクティブに特定し、是正することができます。

例えば、自動化された脆弱性スキャンによって、サードパーティのライブラリやカスタムコードに存在する既知の脆弱性を検出し、攻撃者に悪用される前に優先順位を付けて対処できます。

さらに、ASPM は、ソフトウェア開発ライフサイクル全体を通じてセキュリティポリシーとベストプラクティスを実施する上で重要な役割を果たします。セキュリティ・テストと検証をDevOpsプロセスに統合することで、企業はセキュリティへの配慮を後回しにすることなく、開発プロセスに不可欠な要素とすることができます。

Forrester 社の調査では、DevOps プラクティスにセキュリティを統合することの重要性が強調されており、「組織の 72% が、DevOps プロセスにセキュリティを統合することでアプリケーションのセキュリティが向上すると考えている」と述べられています。

さらに、ASPM は、ソフトウエアサプライチェーンの侵害や悪質なコードインジェクションなどのサプライチェーン攻撃に対する耐性を強化することを可能にします。すべてのコンポーネントと依存関係のセキュリティ状況を継続的に監視することで、企業はサプライチェーン攻撃の兆候となる異常や不正な変更を検出できます。このプロアクティブなアプローチにより、サプライチェーン関連の侵害リスクを大幅に低減し、事業運営への影響を最小限に抑えられます。

セキュリティリスクの軽減に加え、ASPM は規制コンプライアンスとリスク管理の取り組みにも貢献します。GDPRやCCPAのようなデータ保護規制がますます厳しくなる中、企業はコンプライアンス違反による法的・金銭的な重大な結果に直面しています。ASPMソリューションは、セキュリティ基準や規制へのコンプライアンスを実証するために必要な可視性と制御を提供し、規制リスクを低減します。

また、ASPMは、ソフトウェア・サプライチェーンのエコシステム内のコラボレーションと信頼を強化します。サプライヤ、パートナー、顧客とセキュリティに関する見識やベストプラクティスを共有することで、企業はセキュリティに対する連帯責任を持つ文化を醸成することができます。この協調的アプローチは、エコシステム全体のセキュリティ体制を強化するだけでなく、利害関係者間の信頼と透明性も高めます。

アプリケーションセキュリティポスチャ管理は、ソフトウェア開発ライフサイクル全体を通じて可視性を提供し、セキュリティポリシーを実施し、リスクを軽減することで、ソフトウェアサプライチェーンセキュリティを強化する上で重要な役割を果たします。組織が進化する脅威の状況や規制要件に対処し続ける中で、ASPMはセキュリティの脅威から保護し、デジタル時代のレジリエンスを構築するために不可欠なツールとして浮上しています。

HCL AppScan Supply Chain Security のような ASPM ソリューションに投資することで、企業は防御を強化し、悪意のある行為者がもたらすリスクを軽減できます。

HCL AppScanサプライチェーンセキュリティについて

Active Application Security Posture Management（Active ASPM）は、企業がソフトウェア・ランドスケープ全体にわたってプロアクティブなセキュリティ・ポスチャーを維持できるようにする先駆的なアプローチです。

Active ASPMは、クラス最高のアプリケーション・セキュリティ・テストと堅牢な姿勢管理およびソフトウェア・サプライチェーン・セキュリティを統合しています。この完全なパッケージは、すべてのリスク要因の完全な可視化と、記録的な速さで脆弱性のトリアージと修正を行う詳細な評価ツールを提供します。

2024/5月/22 - 読み終える時間: 2 分

Navigating the Evolving Cyber Threat Landscape の翻訳版です。

進化するサイバー脅威の状況をナビゲートする

2024年5月17日

Nabeel Jaitapker / Product Marketing Lead, HCLSoftware

相互接続されたデジタル世界では、サイバー脅威の状況は常に進化しており、あらゆる規模の組織に新たな課題とリスクをもたらしています。洗練されたサイバー犯罪者から国家行為者に至るまで、私たちのデジタル資産を標的とする敵は、脆弱性を悪用することにますます習熟しています。このダイナミックな環境において、堅牢なアプリケーション・セキュリティ・テストは、サイバー脅威から保護するための重要な防御メカニズムとして浮上しています。

進化するサイバー脅威の状況

デジタルトランスフォーメーションは、効率性の向上、接続性の強化、カスタマーエクスペリエンスの向上など、数多くのメリットをもたらし、ビジネスのあり方に革命をもたらしました。しかし、この変革は、サイバー犯罪者が悪用する攻撃対象も拡大させている。

今日、企業は以下のような無数のサイバー脅威に直面している：

• 洗練されたマルウェア： 悪意のあるソフトウェアは進化を続け、より複雑でとらえどころのないものになっています。高度なマルウェアの系統は、従来のセキュリティ対策を回避してシステムに侵入し、機密データを盗んだり、業務を妨害したりします。

• 標的型攻撃： 攻撃者は、特定の組織や個人を標的とし、カスタマイズされた攻撃手法を用いることが増えています。このような攻撃は、資金力のある脅威アクターによって開始されることが多く、高度に洗練され、検出が困難な場合があります。

• ランサムウェア： 近年、サイバー犯罪者が暗号化を活用して重要なシステムをロックダウンし、高額な身代金の支払いを要求するランサムウェア攻撃が急増しています。このような攻撃は、業務の中断や金銭的な損失を引き起こす壊滅的な結果をもたらす可能性があります。

• サプライチェーンの脆弱性： 組織がさまざまなサービスやコンポーネントをサードパーティのベンダーやパートナーに依存しているため、サプライチェーン攻撃は重大な懸念事項となっています。攻撃者は、信頼できるベンダーを侵害し、顧客のネットワークにアクセスすることで、侵害の影響を増幅させる可能性があります。

アプリケーション・セキュリティ・テストでサイバー脅威に対抗

このように脅威が進化する中、デジタル資産を保護し事業継続性を維持するためには、事前の対策が不可欠です。アプリケーション・セキュリティ・テストは、ソフトウェア・アプリケーション内の脆弱性を特定し、緩和する上で重要な役割を果たします。ここでは、アプリケーション・セキュリティ・テストが、進化するサイバー脅威の状況との戦いにどのように役立つかを紹介します：

• 脆弱性の検出： 脆弱性の検出：静的解析、動的解析、対話型テストなどのアプリケーション・セキュリティ・テスト技法は、ソフトウェア・コードと構成の脆弱性を発見できます。攻撃者に悪用される前にこれらの弱点を特定することで、組織はセキュリティ上の欠陥に積極的に対処し、侵害のリスクを低減できます。

• 継続的なモニタリング： サイバー脅威は常に進化しているため、新しい脆弱性や新たな攻撃手法がないか、アプリケーションを継続的に監視する必要があります。自動テスト・ツールは、アプリケーションのセキュリティ・ポスチャをリアルタイムで把握できるため、企業は潜在的な脅威を先取りし、それに応じて防御策を適応させることができます。

• セキュアな開発プラクティス： ソフトウェア開発ライフサイクル（SDLC）にセキュリティを組み込むことは、回復力のあるアプリケーションを構築するために不可欠である。アプリケーション・セキュリティ・テストは、開発者がセキュアなコーディング手法を採用し、開発プロセス全体を通じてセキュリティへの配慮を優先するよう促し、脆弱性をもたらす可能性を最小限に抑える。

• サードパーティのリスク管理： 多くの組織がサードパーティのソフトウエアコンポーネントやライブラリに依存しており、それらが適切に評価されないと、セキュリティリスクをもたらす可能性がある。アプリケーションセキュリティテストを実施することで、サードパーティの依存関係のセキュリティ状況を評価し、その使用について十分な情報に基づいた意思決定を行い、潜在的なリスクを軽減することができる。

• コンプライアンス要件： GDPR、HIPAA、PCI DSS などの規制枠組みは、データ保護とセキュリティに厳しい要件を課しています。アプリケーション・セキュリティ・テストは、データ漏洩やコンプライアンス違反の罰則につながる可能性のあるセキュリティ脆弱性を特定し対処することで、組織がこれらの規制へのコンプライアンスを実証するのに役立ちます。

• インシデント対応の準備： 侵害を防止するための最善の努力にもかかわらず、組織は、セキュリティ・インシデントが発生した場合に効果的に対応するための準備も整えなければなりません。アプリケーション・セキュリティ・テストは、組織が潜在的な攻撃ベクトルを特定し、インシデント対応計画を策定して侵害の影響を軽減し、ダウンタイムを最小限に抑えるのに役立ちます。

サイバー脅威の状況が進化し続ける中、組織は、リスクを効果的に軽減し、潜在的な侵害から保護するために、セキュリティ戦略を適応させる必要があります。アプリケーション・セキュリティ・テストは、包括的なサイバーセキュリティ・プログラムの基礎的要素として機能し、企業がソフトウェア・アプリケーションの脆弱性を特定し、プロアクティブに対処できるようにします。

HCL AppScan のようなソリューションとアプリケーション・セキュリティ・テストを開発プロセスやセキュリティ・ワークフローに統合することで、企業は防御を強化し、サイバー攻撃が成功する可能性を減らせます。

2024/5月/22 - 読み終える時間: ~1 分

HCL AppScan、アクティブ・アプリケーション・セキュリティ・ポスチャー・マネジメントでソフトウェアサプライチェーンセキュリティ機能を拡張 の翻訳版です。

HCL AppScan、アクティブ・アプリケーションセキュリティ態勢管理でソフトウェアサプライチェーンセキュリティ能力を拡充

カリフォルニア州マウンテンビューおよびインド、ノイダ - (2024年5月7日) - エンタープライズソフトウェアソリューションの世界的リーダーである HCLSoftware は本日、サンフランシスコで開催されたRSA Conference (RSAC) 2024 において、組織のソフトウェアサプライチェーンのセキュリティ向上を支援するアクティブアプリケーションセキュリティポスチャ管理プラットフォームである HCL AppScan Supply Chain Security (OX Securityとの提携) を発表しました。RSAC は、何千人ものサイバーセキュリティ業界の専門家が一堂に会する世界最大級のイベントです。

イノベーションと俊敏性が成功の鍵を握る今日の Digital+ Economy では、ソフトウェア・サプライチェーン全体のセキュリティを確保することが、これまで以上に重要になっています。開発者がオープンソースやサードパーティのアプリケーションをますます広く使用するようになり、サプライチェーンへの攻撃は指数関数的に増加しています。

このようなオープンソースやサードパーティのソリューションの使用は、ソフトウェア開発の速いペースを維持するための鍵です。チームがコードの一部やソフトウェア・コンポーネントをゼロから開発する必要がなければ、開発時間は大幅に短縮されます。

「HCLSoftwareのエグゼクティブ・ヴァイス・プレジデントである Rajesh Iyer は、「我々が世界的に見ているのは、オープンソースのコンポーネントやライブラリの使用は、プロプライエタリなコードを書くときに適用されるのと同じレベルのセキュリティ精査を受けていないということです。組織が直面しているリスクには、まったく新しいレベルの監視と可視性が必要です」と述べています。

ロシアのハッカーによって行われた2020年のソーラーウィンズ攻撃のような有名な事件は、ソフトウェアのサプライチェーンセキュリティの分水嶺となりました。それ以降も、2021年の人気オープンソースソフトウェア Log4j の脆弱性発見から、2024年の xz ソフトウェアライブラリの悪質なバックドアまで、さまざまな攻撃を目撃してきました。

2023年の最も重要な攻撃のいくつかは、電気通信と IT を狙ったもので、VoIP とファイル転送ソフトウェアが標的となり、数千の企業と数百万人の個人に 100億ドル近い損害を与えた。ヘルスケア・グループと金融部門は注目すべき標的であり、社会保障番号を盗まれた数百万人の患者と、財務情報を流出させられた数百万人に影響を与えた。残念ながら、このような攻撃はあまりにも一般的になっている。

高価なソフトウェア・サプライ・チェーンに対する攻撃の件数と深刻度が増すにつれて、世界中で政府のコンプライアンス基準が着実に増加している。最近の米国大統領令 14028 はその好例で、どのソフトウェア・コンポーネントが重要で、その使用に必要なセキュリティ対策を定義している。

こうしたことから、企業はリスク管理に対するアプローチ全体を再考し、ソフトウェア開発のあらゆる側面をエンド・ツー・エンドで完全に可視化し、監視する必要性に迫られている。この圧倒的なニーズに応えるため、HCLSoftware は OX Security との提携により HCL AppScan Supply Chain Security を発表し、顧客により大きなメリットを提供します。

HCL AppScan Supply Chain Security は、Active Application Security Posture Management (Active ASPM) の利点を高めるもので、ソフトウェア全体にわたってプロアクティブなセキュリティ体制を維持するための先駆的なアプローチです。Active ASPM は、クラス最高のアプリケーション・セキュリティ・テストと堅牢な姿勢管理およびソフトウェア・サプライチェーン・セキュリティを統合します。この完全なパッケージは、すべてのリスク要因を完全に可視化し、詳細な評価ツールによって脆弱性のトリアージと修復を記録的な速さで行えます。

主な機能は以下のとおりです。

• パイプライン部品表（PBOM）は、ソフトウェアの一部が通過したすべての動的なリストであり、コードからクラウドまでの比類のない可視性と、クラウドからコードまでのトレーサビリティを提供します。
• 環境、攻撃ベクトル、ビジネスの重要性に基づいてすべてのアプリケーション・コンポーネントを分類するアクティブ・コンテキストにより、リスクの優先順位を決定します。
• すべてのデータを収集し、DevSecOps 活動をオーケストレーションできる単一の場所から、ソフトウェア・パイプラインの整合性を維持します。
• SAST、DAST、および SCA のテスト結果を一元化されたダッシュボードにシームレスに統合し、迅速なトリアージを実現します。
• No-code ワークフローを自動化し、アクションアイテムを適切な担当者に迅速にプッシュすることで、修復時間を短縮します。

IDC の DevSecOps およびソフトウェア・サプライチェーン・セキュリティのリサーチ・マネージャーであるケイティ・ノートンは、次のように述べています。「その多くは、開発パイプライン内のセキュリティの盲点を特定するのに苦労しています。こうした攻撃をより効果的に先回りするために、組織は HCL AppScan Supply Chain Security のような、悪用可能性の洞察に基づいて発見、優先順位付け、修復作業を自動化するソリューションを検討すべきです」。

HCL AppScan Supply Chain Security リリースの詳細については https://www.hcl-software.com/appscan を参照してください。