2023/12/6 - 読み終える時間: ~1 分

Achieve Enhanced DAST Scan Coverage and Accuracy with IAST の翻訳版です。

HCL AppScan: IAST による DAST スキャンの網羅性と精度の向上

2023年12月5日

著者: Ayan Som / Senior Product Manager, HCL AppScan

今日のペースの速いデジタル環境では、堅牢なウェブ・アプリケーション・セキュリティ・テストの役割がこれまで以上に重要になっています。HCL AppScan DAST（Dynamic Application Security Testing）は、ウェブアプリケーション内の脆弱性を特定するための主要なツールとして広く認知されています。

ほとんどの最新アプリケーションは、修正されなければ重大なセキュリティ・リスクとなり得る様々な形態の脆弱性にさらされています。エンジニアリング・チームがこれらの問題を認識すると、多くの場合、その根本原因を突き止め、修正するために多くの時間を費やさなければなりません。さらに、業界全体のDASTユーザーは、ツールが脆弱性を検索する際のスキャン時間の長さに悩まされています。

IAST Total（Interactive Application Security testing）によるDASTスキャンの強化は、このような課題に大きく役立ち、スキャンと修復の時間を改善し、さらに多くの脆弱性を発見する新機能です。この新機能は、HCL AppScanバージョン10.4.0とHCL AppScan on Cloudの両方に搭載されています。

IAST のサブスクリプションを契約しているチームであれば、API Discovery や Auto Issue Correlation のような多数の IAST 機能とともに、この新機能を有効にできます。

どのように IAST Total が AppScan DAST の機能を強化するか

• スキャン時間の短縮
• より迅速な修復
• より多くの脆弱性を発見

スキャン時間の短縮

HCL AppScan は、DAST スキャンの様々な側面を自動的に構成する様々な方法を提供します。

IAST Total は、OS、フレームワーク、プラットフォーム、サーバーなどを特定するためのより包括的な機能を提供するようになり、自動設定をさらに改善し、不要なテストを排除することでスキャン範囲を縮小します。その結果、より正確で迅速なスキャンが可能になりました。

HCL AppScanの調査によると、HCL AppScan DASTにIAST Totalを搭載した場合、スキャンの実行が20%速くなることがわかりました。

より迅速なトリアージと修復

HCL AppScan DASTはIAST Totalを活用して、検出された脆弱性のコールスタックを提供することもできます。この機能は、以前はIASTまたはSAST（静的アプリケーション・セキュリティ・テスト）の結果でのみ利用可能でした。

この情報により、アプリケーション・コンポーネント、パラメータ、エンドポイントなどに対するより深い洞察が可能になり、より迅速なトリアージと修復に役立つ正確な脆弱性の位置を検出します。

より多くの脆弱性を検出

AppScan IAST Totalはお客様のランタイム環境内で実行され、スキャン・コンポーネントに関するより深い知識を提供します。使用されているコンポーネントだけでなく、アプリケーションのバックエンドに対するより深い洞察を提供し、その結果、より深いスキャンカバレッジとより正確な結果が得られます。

今後の展望

HCL AppScan は常に業界をリードする製品の改善に取り組んでいます。IAST Total の将来的な機能は、スキャン範囲と精度をさらに向上させます。今後のリリースで予定されている機能の中には、パス・パラメータと隠しパラメータの自動検出があります。この機能により、不要なテストが排除されると同時に、DASTエンジンにテストすべき関連性の高いパラメータが供給されるようになります。

アプリケーション・セキュリティ・テスト・ソリューションのHCL AppScanスイート全体に関する詳細情報を入手し、今すぐ無料トライアルにお申し込みください。

2023/11/29 - 読み終える時間: 3 分

Strengthen Your AWS Security with a Comprehensive Application Scanning Integration from HCL AppScan の翻訳版です。

HCL AppScan の包括的なアプリケーションスキャン統合による AWS セキュリティの強化

2023年11月28日

著者: Parimal Sureshagarkhed / Lead Software Engineering

Equifax（米国3大信用情報機関のひとつ）で最近起きた大規模なデータ流出事件では、1億4700万人の米国人の氏名、社会保障番号、生年月日、住所、運転免許証番号などの個人情報が漏洩した。これは米国人口のほぼ半分に相当する。この情報漏えい事件やそれに類する事件は広範囲に影響を及ぼし、ウェブ・アプリケーションの開発にセキュリティを組み込むことの重要性を明確に示している。

デジタルトランスフォーメーションの時代には、このような開発の多くがクラウドに移行し、クラウドコンピューティングは急速にすべてのビジネス運営に欠かせないものとなっている。Amazon Web Services（AWS）は、主要なクラウドサービスプロバイダーの1つであり、アプリケーションやサービスをホスティングするための堅牢なインフラを提供しています。

AWS（Amazon Web Services）を使用している人向けに、HCL AppScanは現在、プラットフォームを離れることなく包括的なテストをDevOpsサイクルに統合できるソリューションを提供しています。Jenkins、Azure DevOps、Bambooなどとの統合と同様に、AWSとの統合は、Webアプリケーションの脆弱性を特定して緩和する際に効率的なワークストリームを提供します。

HCL AppScanとAWSを統合するメリット

* 継続的なセキュリティ

• AWSは動的なスケーリングと頻繁なアップデートを可能にするため、継続的なセキュリティテストを維持することが不可欠です。HCL AppScanは、AWS CodeBuild/CodePipelineに統合することができ、デプロイされるすべての変更がセキュリティスキャンを受けることを保証し、脆弱性が隙間をすり抜けるリスクを低減します。

* カスタマイズ可能なポリシー

• HCL AppScanでは、組織固有の義務やコンプライアンス基準に基づいてカスタムセキュリティポリシーを定義できます。これらのポリシーは、AWSのベストプラクティスに合わせて調整することができ、全体的なセキュリティ体制を強化します。

* カスタマイズ可能なポリシー

• HCL AppScanでは、組織固有の義務やコンプライアンス基準に基づいてカスタムセキュリティポリシーを定義できます。これらのポリシーは、AWSのベストプラクティスに合わせて調整することができ、全体的なセキュリティ体制を強化します。

* 実用的な洞察

• HCL AppScanは、報告された問題に対する改善ガイダンスとともにスキャン問題を含む包括的で詳細なセキュリティテストレポートを提供します。サンプルレポートをご覧いただけます。html、pdf、xml、csvなど、さまざまなレポート形式を構成できます。

* 失敗したビルド

• 多くの組織には、満たす必要のあるセキュリティ・コンプライアンス基準があります。ビルド失敗基準は、アプリケーションがこれらの標準に準拠していることを保証し、セキュリティリスクと潜在的な法的影響を低減します。発見されたセキュリティ問題によって、アプリケーションを本番環境に条件付きで配備するという要件がある場合、 脆弱性の深刻度のカウントに基づいて、ビルドを失敗するように構成できます。失敗条件が満たされた場合、以下のメッセージが表示されます： The number of security results exceeds the specified threshold. (セキュリティ結果の数が指定されたしきい値を超えました)。

• オプションで、コンプライアンスポリシーが満たされていない場合にビルドを失敗させ、以下のメッセージを表示されます： Scan result contains non-compliant issues with respect to the policies associated with the selected application. (スキャン結果には、選択したアプリケーションに関連するポリシーに準拠していない問題が含まれています)。

• 明確なルールと閾値を定義することで、Web アプリケーションの完全性を維持し、潜在的なセキュリティ侵害から保護できます。そうすることで、脆弱性に積極的に対処し、アプリケーションのセキュリティ体制を強化することができるようになります。

* テストの最適化

• HCL AppScanは、問題カバレッジの損失を最小限に抑えつつ、高速スキャンを実現するインテリジェントなテスト・フィルタリングを提供します。これは統計的分析に基づいており、特定のテスト（または特定のテストバリアント） をフィルタリングして、より一般的で深刻な、あるいは重要な脆弱性だけを特定する短いスキャンを実行します。スピードと問題カバレッジのバランスを選択することで、スキャン時間を短縮できます。テストの最適化についてはこちらをご覧ください。

* プライベートサイトスキャン

• HCL AppScan Presence を使用して、インターネットからアクセスできないサイトをスキャンできます。手順については AppScan Presence を参照してください。また、プライベート・サイト・スキャンの under the hood (中身の詳細の意味) での動作の詳細については、プライベート・サイト・スキャンを理解するを参照してください。

* 問題のマイグレーション

• HCL AppScan Issue Management Gateway Serviceを使用して、セキュリティ・スキャン中に作成された課題をHCL AppScan on CloudからJira、Azure、Rational Team Concertなどの他の課題管理アプリケーションに移行できます。

統合方法

新しく開発されたHCL AppScanコマンドラインユーティリティ（CLI）を使えば統合は簡単です。CLIはHCL OpenSource GitHub Repositoryで入手可能で、AWS CodebuildやCode Pipeline、その他のサードパーティツールとの統合にも活用できます (詳細はこちら)。1.0リリースでは、CLIツールを使用してDAST（Dynamic Application Security Testing）スキャンのみがサポートされています。CLIの今後のリリースでは、より多くの機能が追加される予定です。統合は非常に簡単でシームレスであり、CLIは広範なDASTテストに使用できる複数の機能をサポートしています。

アプリケーション・セキュリティ・テスト・ソリューションのHCL AppScanスイート全体の詳細情報を入手するか、HCL AppScan On Cloudの30日間無料トライアルを今すぐ開始してください。

2023/11/20 - 読み終える時間: ~1 分

Webアプリケーション脆弱性診断ツールである HCL AppScan Standard（評価版）を用いて、実際にどのように脆弱性診断をおこなうのか、また、診断結果をどのように確認ができるのかを体験いただけるハンズオンワークショップを開催します。

日時: 2023年12月6日 水曜日 13:30～15:00（受付開始 13:00） 会場: HCLSoftwareオフィス　東京都港区赤坂1-12-32 アーク森ビル32階EAST 定員: 10名

詳細、お申し込みは以下のページをご覧ください。

https://docs.google.com/forms/d/e/1FAIpQLSdJYlAnUMBAr4K0hv6wLBdJFTM_4LAwrubt9OwIRUW8GLs3Cw/viewform

製品ページ: HCL AppScan

2023/11/8 - 読み終える時間: 2 分

Achieving Continuous Security - Embedding Resilience Throughout the Software Development Lifecycle nの翻訳版です。

継続的なセキュリティの実現 - ソフトウェア開発ライフサイクルを通じてレジリエンスを組み込む

2023年11月8日

著者: Colin Bell / AppScan CTO, HCLSoftware

脅威の状況は常に進化しており、企業はソフトウェア開発ライフサイクル（SDLC）の各段階に強固なセキュリティ対策を統合することを優先しなければなりません。継続的なセキュリティとして知られる包括的でプロアクティブなアプローチを採用することによって、企業はリスクを効果的に軽減し、機密データを保護し、潜在的な悪用からアプリケーションを保護できます。ここでは、継続的セキュリティの本質的な構成要素を探り、その成功の原動力となる重要な原則を強調します。

継続的セキュリティの柱

継続的セキュリティの実装に必要な構成要素は数多くあるが、監査、メトリクス、ガバナンスの3つが柱と考えられています。これらの柱はそれぞれ、強固なセキュリティ基盤を確立する上で重要な役割を果たす。

ガバナンス

ガバナンスは、セキュリティ戦略の方向性を定め、SDLC 全体を通じて、セキュリティテストをなぜ、どのように取り入れるのかを概説します。ガバナンスは、意思決定を導き、セキュリティ目標を確立し、業界標準と規制との整合性を確実にする枠組みを提供します。

メトリクス

メトリクスは、セキュリティ対策の有効性に関する具体的な洞察を提供します。客観的なデータを活用することで、組織は進捗状況を評価し、脆弱性を特定し、継続的な改善を推進するための情報に基づく意思決定を行うことができます。メトリクスはコンパスの役割を果たし、組織をより安全で弾力性のあるソフトウェア環境へと導く。

監査

監査は検証メカニズムとして機能し、セキュリティテストが望ましい有効性水準に合致し、確立された標準と目標に準拠していることを確認します。包括的な監査を通じて、組織はセキュリティ対策が意図したとおりに実施されていることを保証し、堅牢なセキュリティ体制を維持するために必要なチェックとバランスを提供します。

教育

組織内の教育は、継続的なセキュリティ対策を成功させるための基本的な鍵です。教育には、ツール、セキュリティ意識、プロセス、セキュアなコーディング技法など、さまざまな側面に関する知識とトレーニングの提供が含まれます。必要なスキルと知識をチームに与えることで、組織はセキュリティの習熟度を高め、潜在的な脅威に対する意識を高め、セキュリティを意識する文化を醸成することができます。

継続的改善

継続的なセキュリティとは、一度限りの導入ではなく、繰り返し行われる改善プロセスです。セキュリティプロセスを定期的に見直し、改善することは、進化する脅威や新たな課題に適応するために不可欠です。継続的な改善のサイクルを取り入れることで、企業は、セキュリティ対策が効果的かつ効率的であり続け、業界のベストプラクティスに沿ったものとなります。 継続的なアプリケーション・セキュリティ成熟度モデル

サイバーセキュリティの脅威がエスカレートし続ける時代において、企業はアプリケーションと機密データを保護するために、継続的なセキュリティを優先しなければならない。SDLC 全体にレジリエンスを組み込み、監査、メトリクス、ガバナンスの柱を活用し、教育と継続的改善の文化を育成することで、企業は強固なセキュリティフレームワークを確立できます。

このプロアクティブなアプローチにより、企業は次のような力を得られます。

• 脆弱性の早期発見
• リスクの効果的に軽減
• 開発ライフサイクル全体にわたってセキュリティ中心の考え方の育成

最終的には、継続的なセキュリティにより、企業は進化する脅威の状況を自信を持って切り抜け、安全で信頼性の高いソフトウェア製品を提供できるようになります。

)

レポートを読む

詳細については、継続的アプリケーション・セキュリティ・モデルのすべての側面を深く掘り下げ、各側面がソフトウェア開発ライフサイクル全体にどのように適合するかを確認するために、完全なレポートをダウンロードしてください。

2023/11/8 - 読み終える時間: 2 分

Get Hands-On with AppScans Next Virtual Workshop - API Discovery, Secret Key, Vulnerable Components Scanning の翻訳版です。

HCL AppScans バーチャルワークショップ - APIディスカバリー、シークレットキー、脆弱なコンポーネントのスキャンの体験

2023年11月2日

著者: Courtney Coleman / HCLSoftware

2023年11月のウェビナー、HCL AppScan バーチャルハンズオンワークショップ： APIディスカバリー、シークレットキー、AppScanによる脆弱なコンポーネントのスキャンは、組織のコードをより堅牢で安全なものにする最先端のテクノロジーとプラクティスの領域へのゴールデンチケットです。このワークショップでは、動的アプリケーション・セキュリティ・テスト（DAST）と静的アプリケーション・セキュリティ・テスト（SAST）の世界に関する貴重な洞察を得られす。

イベント詳細

• 開催日 2023年11月15日
• 時間：1:00 PM EST
• 時間：2時間

アジェンダ

• はじめに 包括的なセキュリティスキャンを設定するための基本を理解し、強固な基盤を構築することから始めます。
• シークレットスキャン：シークレットスキャンの複雑な世界に入り込み、隠れた脆弱性をスキャンする方法を学びます。
• API ディスカバリー： AppScanの最先端技術を使用して、APIディスカバリの秘密を解明します。API内に潜む潜在的な脅威を特定し、防御する方法を学びます。
• スキャンの実行： DASTスキャンとSASTスキャンの両方について実践的な洞察を得ます。これらのスキャンによって脆弱なコンポーネントを特定し、アプリケーションの安全性を確保する方法を学びます。

ハンズオン

ワークショップのハイライトは、インストラクターによるインタラクティブなラボセッションです。ここでは、AppScan DASTおよびSAST技術を実際に体験できるまたとない機会です。ここが本当の学習の場です。HCLSoftware の最先端ツールを使って、さまざまな脆弱性を特定する技術を習得していただきます。参加者にはAppScan Lab環境のインスタンスが提供され、講師の説明を聞きながらリアルタイムで質問できます。

ラボの要件

• RDP（リモートデスクトップ）へのアクセスが必須です。
• 最適な学習体験のために、デュアルモニターまたはスクリーンのセットアップをお勧めします。 このワークショップは単なるイベントではありません。知識を深め、組織のセキュリティ対策を強化するチャンスです。

今すぐお申し込みください。

AppScan DASTおよびSASTテクノロジーの世界へのエキサイティングな旅に出るため、皆様のご参加を心よりお待ちしております。一緒に、お客様のアプリケーションをこれまで以上に安全で堅牢なものにしましょう。

2023/10/29 - 読み終える時間: ~1 分

OWASP DC Global AppSec 2023 - Exploring the Power of HCL AppScan の翻訳版です。

OWASP DC Global AppSec 2023 - HCL AppScan のパワーを探る

2023年10月25日

著者: Courtney Coleman / HCLSoftware

サイバーセキュリティ開発の最前線であり続けることは、HCLSoftwareにとって最も重要なことです。企業やセキュリティ専門家のアプリケーションセキュリティ強化のミッションを支援するため、OWASP DC Global AppSec 2023 イベントへの出展を発表できることを嬉しく思います。

HCL AppScanはこのカンファレンスで中心的な役割を果たし、アプリケーション・セキュリティの領域でゲームチェンジャーとなる洞察とイノベーションを共有できることに興奮しています。

OWASP DC Global AppSec 2023イベントは、基調講演の豊富なラインナップと、参加者を引き込み教育するアクティビティをお約束します。私たちは会場で、最新リリースであるHCL AppScan 360°を含む最新のサイバーセキュリティ・トレンドについて議論します。HCLSoftwareは、拡大する組織の幅広いニーズを理解し、その多様性に対応できる一元化されたダッシュボードを備えた統一プラットフォームを開発しました。

HCLSoftwareのエキスパートがお客様の質問にお答えし、特定のアプリケーション・セキュリティ・ニーズについて議論し、AppScanがお客様のデジタル資産の保護にどのように役立つのかについての洞察を提供します。アプリケーションセキュリティが初めての方でも、経験豊富なプロの方でも、HCLSoftwareのチームがAppScanの複雑な仕組みをご案内します。お会いできるのを楽しみにしています！

このイベントに参加できない場合 次回のバーチャルイベントにご参加ください： HCL AppScanバーチャルハンズオンワークショップ： APIディスカバリー、シークレットキー、AppScanによる脆弱なコンポーネントのスキャン

2023/10/25 - 読み終える時間: 2 分

HCL AppScan SCA Team Finds Success with HCL OneTest Performance の翻訳版です。

HCL AppScan SCA チーム、HCL OneTestパフォーマンスで成功をつかむ

2023年10月19日

著者: Cristina Suchland / Integrated Marketing Manager, Secure DevOps

HCL AppScan SCAチームは、ソフトウェア構成分析エンジンのパフォーマンスを監視するソリューションを探していました。幸運なことに、チームは機能テストとパフォーマンステストの両方に対応する、使いやすく堅牢なHCL OneTestプラットフォームの恩恵を受けました。HCL OneTest Performance製品は、Jenkinsプラットフォームと直接統合し、PrometheusにデータをプッシュしながらGarfanaダッシュボードに結果を表示し、オーバーナイトテストを含むパフォーマンステストを毎日実行できます。

HCL AppScan SCAチームの目標は、静的ソフトウェア構成分析（SCA）製品とAppScan on Cloud（ASoC）APIの自動リグレッション・スイートを毎日実行し、エンドツーエンド・プロセスの不正確さを把握することでした。HCL OneTest Performance を使用する目的は次のとおりです：

• メモリーおよびCPU使用率を含むSCAエンジンのパフォーマンスをモニターする。

• システムが必要なユーザー数を処理でき、なおかつ高いレベルのパフォーマンスで動作することを確認する負荷テストの実行

• ボリューム/データテストの実行により、ソフトウェアが破損、速度低下、情報の損失なしに、一度に大量のデータを処理できることを確認します。

• 想定を超える複数のユーザーをシミュレートすることで、意図的にソフトウェアを破壊しようとするストレステストを実行する。

• パフォーマンスの劣化を警告するために、長期にわたってパフォーマンスの傾向を監視する。

• 自動リグレッション・スイートの実行

HCL OneTest Performance を使用して、HCL AppScan SCA チームは Jenkins でパイプラインプロジェクトを作成し、結果を .json 形式で保存し、後でデータを Prometheus に送り、Grafana がダッシュボードに情報を表示しました。HCLSoftware の自動ソフトウェアテストツールである HCL OneTest Performance を導入した後、HCL AppScan SCA チームは、すべての環境欠陥を早期に検出し、データを視覚的に追跡するためのマトリックスを作成することができました。

システムのパフォーマンスを把握するプロセス

HCL OneTest Performance によるさらなる好結果には、HCL AppScan SCA チームのテスト目標達成を支援するカスタム Java コードの統合が含まれます。全体として、HCL OneTest Performance ソリューションは以下を達成しました：

• スピード - アプリケーションが迅速に応答するかどうかを判断します。
• スケーラビリティ - アプリケーションが処理できる最大ユーザー負荷を判断します。
• 安定性 - さまざまな負荷の下でアプリケーションが安定しているかどうかを判断します。
• 柔軟性 ?既存の全体的なエコシステムに簡単に統合でき、Prometheus や Grafana を中心とした既存のレポート機能にパフォーマンスの洞察を提供します。

HCL OneTest Performance の詳細をご覧ください。

2023/10/16 - 読み終える時間: 2 分

Secure Your Software with Our Application Security Testing Platform の翻訳版です。

アプリケーション・セキュリティ・テスト・プラットフォームでソフトウェアを保護

2023年10月11日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

はじめに

あらゆる相互作用、取引、接続がデジタル化された Digital+ エコノミーでは、サイバーセキュリティは贅沢品ではなく、必要不可欠なものです。HCLSoftware はこのデジタルトランスフォーメーションにおいて極めて重要な役割を果たしており、サイバー防衛の領域におけるリーダーです。HCLSoftwareのリーダーシップ、教育、最先端のソフトウェアソリューションは、広範かつ増大する悪意のある脅威に対抗する力を組織に与えます。

サイバーセキュリティの核心は、デジタル要塞を構築することです。コンピューター・システムやネットワーク、そしてそこに含まれる貴重なデータを不正アクセス、攻撃、破損から守り抜くために、無数のセキュリティ対策と実践を採用する幅広い分野です。

セキュリティ対策の分類

強固なセキュリティ対策を講じる必要があるビジネス分野は以下の通りです。

• ネットワーク・セキュリティ: コンピューターネットワークを侵入者から守る。

• 情報セキュリティ： 不正アクセスから情報を保護する。

• エンドポイントセキュリティ： コンピューターやモバイル機器などのエンドユーザーデバイスの保護。

• アプリケーション・セキュリティ： ソフトウェアやアプリケーションを脅威から守ること。

• 物理的セキュリティ： 物理的なコンピューターシステムと関連インフラを保護する。

• クラウドセキュリティ: クラウドプラットフォームにオンラインで保存されたデータを保護する。

攻撃の種類

世の中には多くのリスクや脅威が存在する（平均的なサイバー攻撃による企業の被害額は約450万ドル）。ここでは、毎年世界的に企業に損害を与えている最も一般的な攻撃の種類を紹介します。

• マルウェア： コンピューター・システムに害を与えるように設計されたソフトウェア。

• フィッシング：メールやウェブサイトを通じて機密データを取得しようとする詐欺行為。

• 中間者攻撃（Man-in-the-Middle Attacks）： 2つのシステム間の通信を不正に傍受すること。

• Ransomware［ランサムウェア］： ユーザーのデータを暗号化し、身代金を支払うまでデータを人質に取る悪意のあるソフトウェア。

• DDoS攻撃： システムをクラッシュさせるためにトラフィックで過負荷をかけること。

HCL AppScan の紹介

ソフトウェアへの依存度が高まるにつれ、その背後にあるコードの複雑さも増しています。特にプロプライエタリ・ソフトウェアを製造する企業にとって、創業からデプロイメントに至るまで、システムとコードが侵入不可能であることを確認することは極めて重要です。ソフトウェア開発ライフサイクルの初期段階で問題を発見し、トリアージし、修正することは、攻撃、ハッキング、データ漏洩に対する最善の防御策です。

HCL AppScanは、アプリケーション・セキュリティ・テストと管理ツールのポートフォリオで、企業がアプリケーション・コードや、ソフトウェアを構築するために使用されるオープンソースやサードパーティ製アプリケーションのコードを保護するのに役立ちます。AppScan は、人工知能を活用することで、重要な脆弱性を比類のない精度で特定し、企業がこれまでにない効率で優先順位を付けて修正できるようにします。

貴社のソフトウェアとアプリケーションを最新の脅威から守るために、今すぐHCLSoftwareにご連絡 ください。