2022/3/30 - 読み終える時間: 3 分

Google Chrome vulnerability threatens nearly 83% of the worlds endpoints - How BigFix can help の翻訳版です。

Google Chromeの脆弱性により、世界のエンドポイントの約83%が脅威にさらされている - BigFixの対応について

2022年3月29日

著者: Dan Wolff / Director of Solutions and Product Marketing for BigFix

先週、Google ChromeとMicrosoft Edge（Chromiumをベースとしている）に重大な脆弱性が発見され、両社はこの重大な問題に対処するための緊急アップデートを実施することを余儀なくされました。現在、ハッカーがこの脆弱性を積極的に悪用していることが知られており、この脆弱性は、その組み込まれたJavascriptエンジン内でリモートでコードを実行することが可能です。

現時点では、悪用に関する情報は意図的に制限されていますが、状況の要点は、ハッカーがブラウザのエンジンを混乱させ、古典的な権限昇格操作を行うことで、攻撃者が許可なくエンドポイント上のデータを読み書きできるようになるということです。

ベンダーやあらゆるセキュリティアナリストは、この問題を回避するために、ChromeとEdgeを直ちにアップデートするよう提案しています。大規模で複雑な企業にとって、これは言うは易く行うは難しです! すべての脆弱性を発見し、修正することは困難です。

実際、調査によると、検出された脆弱性の3分の1近くが1年後も未解決のままであり、それらは是正されることがないそうです。(1) 同時に、60%もの組織が、脆弱性に対するパッチが利用可能であるにもかかわらず適用されなかったために、少なくとも最近のデータ侵害が発生したと回答しています。(2)

なぜこのようなことが起こるのでしょうか

HCLの数多くのお客様とのインタビューでは、不足の理由は以下のカテゴリーに分類されています。

• 「報告された脆弱性の数が非常に多いため。
• ...効果的でない優先順位付けのスキームを使用している。
• パッチがシステムを破壊し、混乱させる可能性があること。
• ...さらにリソースの制約もある"

BigFixの登場: 長年にわたり、BigFixは、脅威の到来前、到来時、到来後を問わず、環境内のあらゆるエンドポイントを緩和し、パッチを適用するための不可欠なソリューションとなっています。

ChromeのCVE-2022-1096脆弱性のようなケースでは、BigFixのお客様は常に、他のどのソリューションよりも迅速に問題の発見と修正を自動化する能力を備えてきました。今回のような緊急性の高い脆弱性に対しては、パッチを迅速に開発、テスト、提供するとともに、専用のレポートツールや緩和ツールをBigFixコンソールに自動的に表示することで、お客様をさらにサポートします。これらのツールは、早ければ発見から24時間以内に提供されますが、より複雑な脆弱性については、より長い時間がかかります。

BigFixのエンジニアは常に新たな脅威に対して警戒しているので、お客様が警戒する必要はありません。BigFixのネイティブコンテンツストリーミングサービスは、ほぼリアルタイムのコンテンツQAを提供します。このコンテンツにより、お客様は独自のパッチを開発・提供する必要がなくなります。

企業は、将来の攻撃から身を守るために、今すぐ防御を強化する必要があるのです。私たちの推奨事項

• Chrome CVE-2022-1096の場合

  脆弱性のあるシステムの迅速な特定と報告、および初期の異常の調査にBigFixを使用することをお勧めします。また、BigFix Inventoryを使用して、脆弱なChromeおよびEdgeのインスタンスを見つけることができます。その他のヘルプは、 forum.bigfix.com および support.hcltechsw.com で入手できます。 最新のFixletsは、BigFixチームが24時間体制で作業を続けているため、継続的に利用することができます。

• その間 攻撃が来た場合

  影響を受けるシステムを隔離して、攻撃の横展開を防ぐことができます。

• その後

  本当の攻撃が来ないことを祈りましょう。もしそうなった場合、塵も積もれば山となるということで、私たちは次のような方法を推奨します。被害が隔離され、システムがオンラインに戻ったら、次の攻撃から身を守るためにITとセキュリティのプロセスを改善するために、何が起こったかを評価します。そのためには、IT部門は、自社のポリシー、プロセス、人材、システムを評価し、すべてが連携して機能していることを確認する必要があります。多くの CISO は、社内サーバやクラウド環境からリモート・エンドポイントに至るまで、環境の隅々まで可視化する必要があると言うでしょう。また、関連する質問もいくつか行ってください。

  • 災害復旧は効果的に行われ、システムを迅速に復旧させることができたか？
  • 攻撃発生の経緯を理解するために必要なデータを保有しているか？
  • 攻撃を受けている間、セキュリティチームとオペレーションチームは、被害を食い止めるために連携していたか?
  • その連携はどのように改善されるか？

パッチ適用は、IT運用の問題だけでなく、ITセキュリティの問題でもある。高度に組織化されたサイバー犯罪者は、組織が依存するソフトウェアやシステムの脆弱性を常に探し求めています。しかし、パッチ適用作業は、広大で複雑、かつ絶えず変化する現代のIT環境においては、簡単な作業ではありません。このような課題には、パッチ管理の自動化アプローチが有効であり、BigFixはこの問題を解決するために検証された先進のソリューションです。

BigFixの詳細については、www.BigFix.com をご覧になるか、弊社までお問い合わせください。

1 “Persistent Vulnerabilities, Their Causes and the Path Forward,” Tenable Research, June 2020. 2 Costs and Consequences of Gaps in Vulnerability Response, an independent survey conducted by Ponemon Institute LLC on behalf of ServiceNow, October 2019.

2022/3/30 - 読み終える時間: 2 分

How Low Code Delivers High Cost-Savings の翻訳版です。

HCL Volt MX: ローコードで実現するコスト削減の方法

2021年11月29日

著者: HCL Volt MX Team

ローコードでビジネスに大きなコスト削減をもたらす方法をご紹介します。

アプリ開発には、時間がかかります。人材の確保、メンテナンス、アプリのデバッグとテスト、インフラのアップグレードなどなど。気をつけないと、アプリの設計やデプロイよりも早くコストが蓄積され、企業は脆弱な立場に置かれることになります。

しかし、アプリ開発プロセスを効率的に合理化するダイナミックなマルチ・エクスペリエンス・ローコード・プラットフォームがあれば、支出を抑え、総所有コスト（TCO）を低減し、企業全体に劇的な効果をもたらすことができます。

これは、ローコードプラットフォームであるHCL Volt MXが、ローコードソリューションで革新を目指す企業に提供するものです。アプリ開発サイクル全体を通じてスピードと効率を高め、イノベーションと将来の戦略や投資に振り向けられるよう、大幅なコスト削減を実現するのです。

以下は、ローコード開発がコスト削減に貢献する4つの方法です。

1. 高額な採用コストの回避

この2年間で、技術系人材の獲得競争は劇的に激化しました。その主な理由は、企業がクラウドからリモートで作業できる社員やシステムの受け入れに躍起になっているためです。米国労働統計局によると、開発者の雇用は2019年から2029年にかけて22％増加すると予測されており、全職種の平均を大きく上回るペースで増加しています。

開発者を見つけ、雇用し、定着させることは、技術系企業にとって依然として大きな課題であり、プロジェクトの課題を解決するために雇用することは、リスクと費用のかかる方法です。その代わり、企業は開発者に仕事を簡素化するツールを提供し、本来の設計・開発スキルを邪魔する負担の大きい暗記作業から解放することで、自社の開発者に投資する必要があります。

2. 開発期間の短縮

ローコードは、さまざまな方法で、開発プロセスに圧倒的なスピードと生産性をもたらします。

• 既製のコンポーネントやテンプレートを素早く視覚的に組み立てることで、手間のかかるハンドコーディングへの依存をなくし、開発期間を短縮します。
• Volt MXのようなプラットフォームは、バックエンドデータ、既存のアプリケーション、レガシーシステムとの迅速かつシームレスな統合を可能にし、市場投入までの時間を短縮します。
• そして、最も重要なことは、経験豊富な開発者が、開発の運用負担の多くから解放され、より高いレベルのビジネス目標や複雑なデザインアイデアに取り組み、最終的に生産サイクル全体を向上させることに集中できることです。

3. アジャイルプロセスの実現

ローコードでコストを削減しながら、メンテナンス性の高いアプリを最新化。

ある大手医療保険会社では、サイロ化した開発プロセスによって麻痺しており、モバイル分野での存在感を高めるために大きな変革が必要でした。

この会社は、Volt MXのローコードプラットフォームを採用し、新しいアジャイル手法やITリソースの再配分による時間の節約、膨大なコスト削減など、さまざまな成果を得ました。

4. 刻々と変化するビジネスニーズにより迅速に対応

ローコードは、長期的にコストを削減する電光石火のソリューションで対応できます。

COVID-19が大流行したとき、バーモント州のある電力会社は、従業員をつなぎ、最新の健康情報を会社全体で簡単に利用できるツールを必要としていました。この会社はVolt MXに依頼し、1週間以内に従業員全体の健康状態を監視するための安全衛生アプリを、レガシーシステムでは実現できない期間とコストで完成させました。

デジタルトランスフォーメーションは、ビジネスのあらゆる側面を加速していると言ってよいでしょう。このスピードに遅れないためには、時間を大切にし、従業員の才能や彼らが使用する効率的なシステムを最大限に活用する機会を無駄にしないことが重要です。

HCLのVolt MXは、業界をリードするローコードプラットフォームで、Gartnerの2021年7月のMagic Quadrant for Multiexperience Development Platformsと The Forrester Waveの両方で評価されています。The Forrester Wave: Low-Code Development Platforms for Professional Developers, Q2 2021](https://www.hcltechsw.com/volt-mx/forrester-low-code-platform-wave/)の両方で評価されています。時間とお金を無駄にしないでください。両方を最適化するローコードプラットフォームをご利用ください。

Volt MX の詳細はこちらから。

2022/3/30 - 読み終える時間: ~1 分

Discover How HCL Software Developed a Cloud Native Software Factory の翻訳版です。

HCL Software が開発したクラウド・ネイティブ・ソフトウェア・ファクトリーとは？

2022年3月29日

著者: Amanda Tevis / Product Marketing Manager

HCL Software の SoFy チーフアーキテクト Jeff Turnham が、開発者を支援する Romin Irani とのエピソード「Architecting with Google Cloud」で、クラウドネイティブ ソリューションとアプリケーションの近代化の方法に関する知識を披露しています。以下のビデオでは、HCL Software のクラウドの旅がどのようにゼロから始まり、HCL SoFy を作り上げたかがわかります。

お急ぎの場合は以下の部分を確認してみてください。

0:00 - イントロ 3:10 - Google Cloud がどのように Cloud-Native プラットフォームの開始に貢献したか？ 6:10 - HCL SoFyのアーキテクチャについて説明します。 9:45 - SoFyアーキテクチャの主要なGKE機能とは何ですか？ 12:20 - スケーラブルなGKEアプリケーションを開発する際に直面する課題は何ですか？ 17:40 - Cloud-Native プラットフォームの成功をどのように定義しますか？

HCL SoFy は、HCL Software の製品ポートフォリオ全体のためのクラウド・ネイティブ・ソリューション・ファクトリであることをご存知でしょうか。50以上の製品コンポーネントと 2,000 以上の Rest API エンドポイントにアクセスし、無料トライアルとクラウドネイティブデモで、クラウドネイティブの旅を加速させましょう。

SoFy を使用すると、ベンダーロックインなしに、選択したクラウド上でエンタープライズソフトウェアを展開し、企業のニーズに合わせて数分で拡張することができます。

HCL SoFy についてもっと知りたいですか？こちらをクリックしてください。

2022/3/30 - 読み終える時間: ~1 分

2022年3月30日 (日本時間は概ね31日) に HCL Nomad Web 1.0.3 がリリースされます。その新機能を紹介します。

リセット機能

1.0.2 までは、ユーザーの切り替えができず、単一のブラウザーをある特定のユーザーが利用することが原則でした。どうしても、同一PCを複数ユーザーで利用する場合は OS のプロフィールを分ける、すなわち 「OS にログインし直す」必要がありました。基本的に、また様々なセキュリティーの観点からもこの「OS にログインし直す」という方法を推奨しています。

さまざまな理由から、OS にある特定のユーザーでログインした状態である必要がある場合は、異なるブラウザーを使い分ける、または、同一ブラウザーの異なるプロファイルを使い分ける方法を推奨します。

1.0.5 では、上記以外の方法として、ユーザーのリセットが可能になりました。Nomad Web をアンインストールすることなく、素早く異なるユーザーが利用できる環境を整えることができます。

画面右上のユーザー部分をクリックし、「Nomad のリセット」を行うと、プログラムは消去せずに、環境をリセットします。動作がおかしくなった場合や、利用するユーザーを変更する場合に使用します。この機能を使うには、管理者は notes.ini に resetNomadInstance=1 を設定します。

リセットされた環境では、次回のログインがこの環境にとっての最初のユーザーになります。もし、リセットせずに別のユーザーがログインした場合は以下の画面が表示されます。ここでは User1でログインしたところです。「前のユーザーのデータが残っているが、このまま User1 が使うと、前のユーザーのデータは全部消える」という警告が表示されています。「前のユーザー」が誰かはセキュリティーの関係上表示されません。

注意

1.0.3 で加わったリセット機能は、利用するユーザーが頻繁に切り替えることを目的としたつくりにはなっていません。あくまで、PC の利用者が (半永続的に) 変わった時に使うことを想定しています。同一 PC で 同一 OS プロファイルで Nomad Web を使う場合には、ブラウザーのプロファイルを切り替えて使用することを推奨します。

ユーザー文書の管理タブに

1.0.3 から、ユーザー文書の管理タブにある利用クライアントの履歴に Nomad Web が記録されるようになりました。

動作原理は Notes クライアントと同じで DynConfig (Dynaimc Configuration) がクライアント側で動作して、AdminP宛のメールが送信されます。AdminP がこれを処理してユーザー文書にデータを反映させます。

他の新機能は次号に続きます。

2022/3/30 - 読み終える時間: ~1 分

2022年2月に 日経クロステック (日経BP社) より開催されたイベント「ニューノーマル時代のデジタル変革」で行われた、HCL のセッション「現場業務の強化を実現する ローコード／ノーコード開発」の動画が公開されました。

今回は個々の製品の詳細ではなく、エンタープライズ向けコラボレーションソリューションとして HCL Software の取り組み全隊について扱っています。

• 【動画】ニューノーマル時代のデジタル変革 - 日経クロステック Special

2022/3/29 - 読み終える時間: ~1 分

BigFix Extended Patch Expands Remediation Content to Hundreds of Third-party Software Titles の翻訳版です。

HCL BigFix Extended Patch、修正コンテンツを数百のサードパーティソフトウェアタイトルに拡大

2022年3月23日

著者: Dan Wolff / Director of Solutions and Product Marketing for BigFix

BigFix Extended Patch は、BigFixのビルトイン自動化を拡張し、最も困難なセキュリティ問題を解決する、すぐに使用できる最新のフィックスレットで数百のサードパーティアプリケーションの修復を可能にします。

現実の複雑な企業環境では、アプリケーションのテストやカスタマイズにより、最新のパッチが必ずしも適切であるとは限りません。究極の柔軟性をサポートするために、BigFix Extended Patchは、最新パッチだけでなく、過去のパッチや既知の脆弱性に特別に対応したパッチも提供します。これにより、本番環境の稼働を維持したまま、最短時間で修復を行うことができます。

BigFix Extended Patch は、BigFix Lifecycle および Compliance スイートに含まれており、今後も継続的に追加拡張していく予定です。BigFix Extended Patch の初期リリースには、以下のソフトウェアが含まれています。

最新の追加ソフトウェアについては、定期的にご確認ください。

BigFixの詳細については、https://www.hcljapan.co.jp/software/products/bigfix/ をご覧になるか、弊社までお問い合わせください。

2022/3/29 - 読み終える時間: 3 分

2022年3月30日 (日本時間は概ね31日) に HCL Nomad Web 1.0.3 がリリースされます。その新機能を紹介します。

印刷機能

文書の印刷機能が加わります。Ctrl + P、あるいはメニューから「ファイル」-「印刷」で印刷ができます。ブラウザーの印刷機能が呼び出されますので、以後の操作は標準的な流れになり、プリビューや各種調整ができます。文書のみが対象であり、ビューの印刷はできません。

複製機能 (テクニカルプリビュー)

サーバー上のデータベースをローカルに複製する機能が、テクニカルプリビューとして追加されました。正式な実装ではありませんが、試した範囲ではきちんと動作しています。

この機能を利用するにはブラウザーの Experimental Web Platform features 機能を有効にする必要があります。これは、ブラウザーでのプライベートファイルシステム機能であり、これを有効にしてレプリカの保管領域を確保しています。ブラウザーでの実装が文字通り実験的なものであるため、複製機能が正式実装の前提として、ブラウザー側での正式実装が必要になります。

• chrome://flags/#enable-experimental-web-platform-features
• edge://flags/#enable-experimental-web-platform-features

メニュー名が異なる部分がありますが、Notes クライアントと同様の操作で作成、利用できます。

複製の設定も一通り備えています。

複製タブもあります。

Notes 同様に、ワークスペース上のデータベースアイコンがスタック状になります。

レプリカの管理もできます。

他の新機能は次号に続きます。

2022/3/29 - 読み終える時間: 2 分

HCL Launch Java 8 EoS and other considerations の翻訳版です。

HCL Launch Java 8 のサポート終了とその他の検討事項

2022年3月28日

著者: Senthil Nathan / HCL Launch Product Manager

今回は、2つのホットなトピックについて解説を加えたいと思います。一つはJavaのバージョンの互換性とサポート、もう一つはHCL Launchがセキュリティフィクスパックのどのリリースストリームにあるかです。

Javaバージョンの互換性

HCL Launch 7.2.0.0の発表の中で、Java 8が2022年6月にサポート終了となることを発表しました。この変更は、異なる HCL Launch 7.x バージョンをご利用のお客様にとって異なる影響を及ぼします。ここでは、この変更がお客様に与える影響と、2022年6月以降にお客様が行うべきことを説明します。

キーポイント

HCL Launch（当時はHCL UrbanCode Deployとして知られていた）バージョンは7.0.0～7.0.1.x の場合

• Java のサポートはベストエフォートで行われます。
• Java 11、17は未対応です。

重要：完全にサポートされている Java 11 を使用できるようにするには、HC Launch 7.0.2.xより大きいバージョン（できれば7.0.5.x）への移行を計画することが推奨されます。

HCL Launch 7.0.2.x - 7.2.2.x の場合

• Java 8 をお使いの場合、Java のサポート問題はベストエフォートで処理されます。
• Java 11 は完全にサポートされています。
• Java 17はサポート対象外です。

HCL Launch 7.2.3（2022年6月リリース予定）以降の場合

• Java 8 はサポート対象外
• Java 11 は完全にサポートされています。
• Java 17 は完全にサポートされる予定です。

HCL Launch は、セキュリティで保護されたプロパティの暗号化に java keystore を使用します。そのため、異なるベンダーのJREにアップグレードする場合、このキーストアを復号化できなくなります。7.2.1.0から、製品には鍵ストアを変換する機能があります。 しかし、7.2.1.0より前のバージョンを使用している場合、HCL Launchドキュメントにキーストアの変換方法について記載されています。「新しいJREは、現在のJREと同じベンダーのものである必要があります。JREのベンダーを変更したい場合は、サポートに連絡して、KeystoreConverterツールを入手してください。" ( なお、IBM Java 8 から IBM Semeru Java 11 へのアップグレードであっても、それは別ベンダーの移行に相当します)。

この場合、HCL Softwareのサポートページを使用して新しいサポートケースを開くだけで、このツールにアクセスする方法とそのドキュメントに関する情報が戻ってきます。

セキュリティ Fixpacks

HCL Launch は、サポートされるすべてのリリースのセキュリティ Fix Packを提供します。お客様は、Fix Pack がリリースされ次第、セキュリティ脆弱性のパッチを確実に適用できるよう、対応するFix Pack のストリームに移行することが推奨されます。

• 7.0.* の場合、7.0.5.x セキュリティ Fix Pack ストリームにアップデートしてください。
• 7.1.* の場合は 7.1.2.x セキュリティ Fix Pack のストリームにアップデートしてください。
• 7.2.* をお使いの場合、これは現在のストリームですので、最新バージョンのストリームにはすべてのセキュリティパッチが含まれています。