2024/11/12 - 読み終える時間: 3 分

Exploring New Horizons with HCL Nomad の翻訳版です。

HCL Nomad の新たな地平を探る

2024年10月28日

著者: Timothy Clark / Product Manager, HCL Digital Solutions

nomad: (名詞) [noh-mad] 遊牧民

• 定住地を持たず、通常は季節ごとに、牧草地や食糧供給の状況に応じて伝統的なルートや巡回経路をたどって、あちこち移動する民族または部族のメンバー。
• 放浪者、遍歴者 *1。

Web ブラウザー用の HCL Nomad 製品は、まさにこれらのアイデアを体現したものです。定住地はなく、伝統的なルートをたどることが多いのです。

この 2 つの属性について見ていきましょう。

• Nomad はデスクトップにインストールするものがないため、定住地はなく、Web ブラウザー内に存在すると考えるかもしれません。

• 多くの場合、伝統的なルートをたどりますが、常にそうとは限りません。遊牧民の部族でさえ、新しい放牧地や食糧源を見つけるために新しい道を切り開かなければならないことがあります。同様に、HCL Nomad では、HCL Notes が以前に描いた道をたどることがよくありますが、常にそうとは限りません。

新しい Nomad 機能の探索

Web ブラウザー用の HCL Nomad の最新バージョンでは、これまで未踏の道に沿って新しい方向に向かっていることがおわかりいただけるでしょう。コンポーネント オブジェクト モデル (COM) を使用して他のアプリケーションへのリンクを作成するという形で、新しい牧草地を探しているとも言えます。LotusScript エージェントを、LibreOffice や Microsoft Office などの COM 通信を受け入れるデスクトップにインストールされたアプリケーションにリンクするブラウザー拡張機能を開発しました。

その後、Nomad 1.0.13 への更新では、ネイティブ ファイル システムに接続できる新しいベータ機能があります。これにより、オペレーティング システムのファイル システムでファイルを作成し、任意の COM 対応アプリケーションで開いて変更を加え、その後 Nomad アプリケーションに読み戻すことができます。誰かが「ラウンド トリップ」を求めているのを聞きましたか? はい、私たちは耳を傾けていました。

私たちが行ったことはこれだけではありません

それに加えて、2025 年半ばに欧州連合のソフトウェア アクセシビリティに関する法律が施行されるのに備えて、多数のアクセシビリティの問題に対処することにも力を入れています。

Notes v1.0.12 のさまざまな新機能をご覧ください

• Nomad Designer プレビュー

• OIDC プロバイダーとして Domino HTTP を使用したログイン

• 新しいワークスペース

• ドラッグ&ドロップ

• 追加のフォント

• 別のユーザーとしてログイン

• Domino のスタイル変更の更新

  • サブフォームが別のオプションになりました。
  • スタイル変更ダイアログに、最新のスタイル変更 (ある場合) の名前と日時が表示されるようになりました。
  • スタイル変更されたアプリケーションの維持
    • スタイル変更されたアプリケーションを編集する場合、新しいフォーム、テーブル スタイル ビュー、またはフレームセットを追加すると、スタイル変更されたプロパティで作成されます。
    • スタイル変更されたアプリケーションのフォーム (またはページまたはサブフォーム) にボタン、セクション、またはテーブルを追加すると、それらは既にスタイル変更されているかのように追加されます。
  • 全般的なモダナイゼーションの更新
    • 新しい空のデータベースを作成する場合、デフォルトのアイコンは現在の Notes アイコンになりました。
    • 新しいアプリケーションを作成するときに、新しいオプション [カスタム作成] が利用できるようになりました。これは、標準のフレームセットとアウトライン、およびデフォルトのビューを使用して新しいデータベースを作成します。ユーザーはアプリケーションのテーマを設定し、独自のアイコンをデザインできます。この新しいアプリケーションはスタイル変更されたと見なされるため、アプリケーションに追加された新しい要素には、ほとんどの場合、スタイル変更されたスタイルが適用されます。詳細についてはこのページを参照してください。

Notes v1.0.13

• ダウンロードを容易にするために、Domino 上の Nomad サーバー用の単一の実行可能ファイル。
• Domino 上の Nomad サーバーの SAML 構成は、idpcat.nsf に含める必要があります。
• Domino HTTP を OIDC プロバイダーとして使用して Notes ID を取得します。
• Chrome と Edge だけでなく、ドラッグ アンド ドロップ機能も使用できます。
• モダナイゼーションの更新
  • スタイル変更: スタイル変更設定のインポート機能。
  • カスタム アプリケーション ビルダー - より多くの機能。
• 新しい数式関数 (@ScanBarcode) の Nomad Design サポート。

Nomad は引き続き重要な HCL Domino コンポーネントであり、従業員を Notes デスクトップ クライアントから解放し、事実上あらゆるデバイス上の標準 Web ブラウザーで Notes アプリケーションを実行できます。作業チームの柔軟性を高め、どこからでもアプリにアクセスできるようにします。

これらのリリースやその他のリリースの詳細については、サポート Web サイトでいつでも最新のニュースを確認できます。

参考

• HCL Nomad Web (HCL Nomad for web browsers) 1.0.x リリース情報

ソース *1 https://www.dictionary.com/browse/nomad#american-nomad-noun

2024/11/11 - 読み終える時間: 5 分

新しい試みのトライアルとして、1週間分のサポート技術情報更新のインデックスを作成してみました。しばらく継続してみます。新規追加と内容更新したものが含まれています。システム上、軽微な修正であってもリストに含まれてしまいます。予めご了解ください。

• KB0098230 (BigFix Platform) Active Directory のプロパティの更新
• KB0023950 (BigFix Platform) (参考) データの収集: BigFix コンポーネントがクラッシュした場合
• KB0076886 (BigFix Platform) BigFixクリーナップ作業(メンテナンス)
• KB0078731 (BigFix Server Automation) Server Automationログ・レベルの設定方法
• KB0037723 (Domino) Notes/Domino 注目サポート技術情報 (2024 年 10月)
• KB0117204 (Domino) Domino 14.0 FP2 の Interim Fix (140FP2HF7) がインストールできない
• KB0117208 (Domino) XML のインポート時にエラー「(外部関数が見つかりません。//UPDATELEGACYCERTINFO:41) 165 line 59」が発生する
• KB0095437 (Domino) ユーザーの最大アクセスレベルのデータを収集するためのレポートツール
• KB0109196 (Domino) Notes/Domino 14.0 Windows 版 最新 Fix モジュール
• KB0085752 (Domino) Notes/Domino リリース日一覧
• KB0116044 (Domino) Notes/Domino 14.x の Interim Fix について
• KB0110308 (Domino) Domino License Analysis Utility Tool (DLAU) の利用方法
• KB0113740 (Domino) 「暗号化を解除する際にこの文書を保存しますか？」について
• KB0087096 (Domino) (参考) AIX 版 Domino での DAOS Estimator (DAOSEST) のインストールと実行について
• KB0111205 (Domino Administrator) DJX 管理ツールを使用してユーザー登録するとデータベースプロパティ「管理サーバーでのみ設計の更新」が有効にならない
• KB0109206 (Domino Administrator) 登録ポリシー設定文書の [メールテンプレート] のデフォルト値が mail12.ntf のままである
• KB0112132 (iNotes) Domino 12.0.2 FP3 及び 14.0 の iNotes で添付ファイル付きのメールを転送できない
• KB0117217 (Notes) 全角文字がキーワードに含まれていると @Keywords が正しく動作しない
• KB0115951 (Notes) 32 ビット版から 64 ビット版へのアップグレード: InstallShield Tuner を使用してインストールパスを変更する mst ファイルを作成する方法
• KB0114115 (Notes) Notes のビューで文書を選択し表形式でコピーを行い Outlook に貼り付けると表の列幅が狭くなる
• KB0109387 (Notes) Notes カレンダーの「予定」文書がドラック & ドロップで「会議」文書に変更される
• KB0115778 (Notes) 他のアプリケーションから画像をコピーしてリッチテキストフィールドに貼り付けると画質が劣化する
• KB0109006 (Notes) 「不正なフレーズまたは文字を見つけました。」のエラーが発生してメールを送信できない
• KB0117309 (Notes) Notes 14.0 および 12.0.2 FP1、FP2、FP3 (64 ビット版) の AUT 機能の障害について
• KB0117209 () ディスクの空きエリアが十分あるのにもかかわらず、Unica fix packインストーラーが、ディスクの空きエリア不足で失敗する
• KB0117232 (Unica Campaign) IBM DB2 9.5上でHCL Unica Campaignのフローチャート実行中に、エラーコード「SQL30081N」を受け取る
• KB0117308 (Unica Campaign) HCL Unica Campaignのレポートで最新のデータが表示されない
• KB0117271 (Unica Campaign) Unica Campaign Reportで異なるcampaignなのに同じレポートがみられる事象

2024/11/11 - 読み終える時間: 2 分

DAST and SCA Capabilities: Latest Updates in HCL AppScan on Cloud の翻訳版です。

DAST、SCAの機能を強化 - HCL AppScan on Cloudの最新アップデート

2024年10月28日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

HCL AppScan on Cloud (ASoC) は、アプリケーション セキュリティ テストの最新の進歩によりアプリケーションのセキュリティを維持するように設計された、継続的に進化する SaaS プラットフォームです。頻繁な更新と統合により、ASoC は開発チームがセキュリティをワークフローに簡単に統合するのに役立ちます。最新の機能強化には、集中ダッシュボードの改善、動的分析とオープン ソース テストの両方に対する追加のスキャン機能、および Visual Studio 2022 の新しいプラグイン機能が含まれます。

ソフトウェア コンポジション分析 (SCA)

最新リリースでは、ソフトウェア コンポジション分析 (SCA) の強力な更新が導入され、オープン ソース ライブラリの管理がより効率的になりました。問題の自動クローズを有効にすると、再スキャン中に見つからなかったオープン ソース ライブラリは結果から自動的に削除され、問題の追跡が簡素化されます。ASoC のランタイム SCA 機能に追加の更新が行われ、ソフトウェア コンポーネントと動作をリアルタイムで継続的に監視する機能が向上しました。

動的分析

当社の動的分析 (DAST) アップデートにより、新しいネイティブ API スキャン ワークフローが導入され、シームレスな API テストが提供され、開発の早い段階で脆弱性が発見され、解決されます。現在のリリースでは、Postman と手動記録を使用した API スキャン ワークフローがサポートされており、今後のアップデートでさらに多くのオプションが追加される予定です。

DAST を強化することで、脆弱なサードパーティ コンポーネントを検出する機能によってより深い洞察が得られ、最も一般的に使用されているクライアント側およびサーバー側テクノロジの脆弱性が特定され、報告されます。

ダッシュボードとプラットフォームの機能強化

当社の最新のプラットフォーム機能強化は、ユーザーの利便性を考慮して設計されています。スキャン、テクノロジ、および SCA カードを備えた新しいダッシュボード アップデートにより、重要な洞察にすばやくアクセスでき、テクノロジ別にアプリケーションを簡単に表示し、SCA で使用されている上位 5 つのライセンスを特定できます。ダーク モードの導入により、より快適でカスタマイズ可能なインターフェイスが提供され、AppScan on Cloud のユーザー エクスペリエンスが向上します。

クイックセットアップでビジネスインパクトが中程度にデフォルト設定されたため、アプリケーションの作成がより高速かつ直感的になり、セキュリティの優先順位を効率的に調整できます。問題管理も改良され、問題の重大度またはステータスを [詳細] ビューで直接更新できるようになったため、時間を節約し、精度が向上しました。古い「新規」ステータスが削除され、アプリケーション名の制限が拡張された (最大 120 文字) ため、セキュリティ ワークフローの管理がより柔軟で使いやすくなりました。

統合の更新

最新の統合では、Visual Studio 2022 用の HCL AppScan Visual Studio 拡張機能をはじめ、開発環境全体で強化されたサポートが提供されます。Visual Studio 2022 IDE 内で直接 SAST スキャンと SCA スキャンを作成し、スキャン オプションを構成し、新しい [マイ スキャン] タブでスキャンの進行状況を簡単に監視できるようになりました。

さらに、HCL AppScan Jenkins と Azure プラグインは、HCL AppScan on Cloud での SAST スキャンと SCA スキャンの両方の再スキャンをサポートするようになり、スキャンを最新の状態に保つプロセスが効率化されました。

最近の HCL AppScan on Cloud リリースの機能の完全なリストについては、「新機能」ページをご覧ください。この業界をリードする SaaS プラットフォームの詳細については、オンラインでアクセスするか、今すぐ無料トライアルに登録して、HCL AppScan がアプリケーションのセキュリティ体制を管理し、自信を持ってソフトウェアをリリースする上でどのように役立つかを体験してください。

2024/11/8 - 読み終える時間: ~1 分

Unlock Hidden Malware with HCL AppScan’s New SCA Features の翻訳版です。

隠れたマルウェアを検出 - HCL AppScanの新しいソフトウェア構成分析

2024年10月18日

著者: Ryley Robinson / Project Marketing Manager

ほぼすべてのソフトウェア開発環境で、アプリケーションはオープンソースコンポーネントに依存しており、これらのコンポーネントには隠れた脆弱性が含まれていることがよくあります。これらのリスクからアプリケーションを保護することは重要で、コストがかかります。ここで、HCL AppScan の新しいランタイム ソフトウェア構成分析 (ランタイム SCA) が役立ちます。このツールは、組織をこれらの隠れた脅威から保護するための強力なツールを提供します。

ソフトウェア構成分析 (SCA) は、オープンソースソフトウェア内の脆弱性を特定して管理します。SCA は、アプリケーションの開発プロセスのさまざまな段階に簡単に統合できるため、セキュリティチーム、リリース マネージャー、開発者は、特定のフォルダーまたはコンテナ/イメージ内のコンポーネントを評価できます。SCA は、これらのコンポーネントによってもたらされるリスクを迅速に検出し、脆弱性を含むオープンソースパッケージや潜在的なライセンスの問題のあるオープンソースパッケージを簡単に特定できるようにします。これにより、アプリケーションのライフサイクル全体にわたってセキュリティが確保され、セキュリティ評価の信頼性が向上します。

ランタイム保護のための SCA の導入

HCL AppScan の SCA の際立った機能の 1 つは、ランタイムで使用されるオープンソースライブラリの脆弱性を特定して管理できることです。アプリケーションをリアルタイムでスキャンすることで、潜在的な脆弱性に関するより深い洞察が得られ、組織に実際に及ぼす脅威に基づいて修復作業の優先順位を決定し、問題を解決できます。

さらに、HCL AppScan の SCA は、幅広い言語をカバーする Go モジュールをサポートしています。これには .NET、JavaScript、Python が含まれており、アプリケーション全体の潜在的な脆弱性と構成の問題をより包括的に把握できます。言語と要件の詳細については、ドキュメントを参照してください。

高度なマルウェア検出

HCL AppScan は、自動分析と人による分析を通じて、ソフトウェア更新を継続的に監視する包括的なセキュリティ評価を保証します。チームは複数のリポジトリをスキャンし、マルチドメイン分析を実行して、マルウェアを潜ませている可能性のあるオープンソースライブラリを特定できます。疑わしいアクティビティはすべて専門家チームによってレビューされ、正確性と実用的な洞察が確保されます。

HCL AppScan は、現代のソフトウェア開発のニーズを満たすために継続的に進化しています。これらの新しい SCA 機能を使用すると、オープンソースコンポーネントの脆弱性をより適切に検出して管理し、ソフトウェアサプライチェーンのセキュリティを維持し、運用をスムーズに実行できるようになります。

2024/11/7 - 読み終える時間: ~1 分

New Report Sheds Light on Software Supply Chain Risks

ソフトウェアサプライチェーンのリスクに光を当てる新しいレポート

2024年10月17日

著者: Ryley Robinson / Project Marketing Manager

ソフトウェアサプライチェーンのセキュリティは、引き続き企業にとって大きな懸念事項です。新しいレポート「OSC&R In the Wild: 最も一般的なソフトウェアサプライチェーンのエクスポージャーの新たな見方」では、多くの組織が直面している課題と脆弱性に光を当てています。2023 年には組織の 91% がサプライ チェーンのセキュリティ インシデントを経験しており、より強力な防御の必要性はかつてないほど切実になっています。このレポートでは、ソフトウェアサプライチェーン内のリスクを理解して軽減するための重要なツールとして、OSC&R (Open Software Supply Chain Attack Reference) フレームワークを強調しています。

研究者は、数千のアプリケーションとリポジトリから 1 億件を超えるソフトウェアサプライチェーンのセキュリティ アラートを収集しました。このデータを OSC&R フレームワークの観点から分析することで、レポートでは、攻撃者がソフトウェア開発ライフサイクルのさまざまな段階をどのように標的にしているかを詳細に示しています。この情報は、AppSec、DevOps、製品セキュリティチームが脆弱性を優先し、現実世界の脅威に対する防御を強化するために不可欠です。

アラートの過負荷

レポートから得られる重要なポイントの 1 つは、セキュリティチームが直面するアラートの量が膨大であることです。平均的な組織では、アプリケーションから 119,000 件を超えるアラートを管理しています。この「アラートの過負荷」により、最も重要な脆弱性に集中することが難しくなり、多くの深刻なリスクが未解決のままになっています。自動分析を適用してノイズを減らした後でも、組織は依然として約 660 件の優先度の高い問題に直面しており、課題の大きさを示しています。

レポートでは、初期アクセス、実行、永続化などの広く知られている攻撃段階で脆弱性が依然として残っていることも強調しています。攻撃チェーンの重要なポイントを表すこれらの段階は、組織が最も脆弱な場所です。調査結果によると、セキュリティ ツールとプラクティスの進歩にもかかわらず、多くの企業がコマンド インジェクションやクロスサイト スクリプティングなどの古くからある脆弱性にさらされており、攻撃者にとって容易な侵入口を提供し続けています。

複数段階のエクスポージャー

特に懸念されるのは、キル チェーンの複数の段階にわたって脆弱性を含むアプリケーションの数です。この「多段階の露出」は攻撃者にとって格好の土壌となり、単一の脆弱性が引き起こす被害を拡大します。特に、初期アクセスの弱点は、実行段階または持続段階でさらなるリスクにつながることが多く、攻撃者は悪意のあるコードを実行したり、システムに長期間存在し続けたりできます。

レポートでは課題を強調していますが、より優れたテクノロジーとプロセスという形で希望も提供しています。OSC&R フレームワークをアプリケーションセキュリティ ポスチャ管理 (ASPM) およびアプリケーション検出および対応 (ADR) の高度なツールと統合することで、組織は脅威をリアルタイムでより適切に特定して対応できます。このプロアクティブなアプローチと継続的な改善およびコラボレーションを組み合わせることが、攻撃者より一歩先を行くための鍵となります。

ソフトウェアサプライチェーンのセキュリティを強化したい企業にとって、このレポートは重要なリソースです。最も一般的な脅威を明らかにするだけでなく、防御を改善して露出を減らすための実用的な洞察も提供します。調査結果を詳しく確認し、OSC&R フレームワークについて詳しく知るには、レポート全文をご覧ください。

2024/11/6 - 読み終える時間: ~1 分

AI in Application Security: Powerful Tool or Potential Risk? の翻訳版です。

アプリケーションセキュリティにおける AI: 強力なツールか、それとも潜在的なリスクか?

2024年10月17日

著者: Ryley Robinson / Project Marketing Manager

人工知能 (AI) は、ソフトウェア開発やアプリケーションセキュリティテストなど、地球上のほぼすべての業界を変革しています。大規模なデータ セットに高度なパターン認識を適用できる AI の能力により、速度、精度、自動化、スケーラビリティが著しく向上しました。同時に、AI は早期導入者にとって慎重に対処する必要がある新しい課題も提示しています。

HCLSoftware の新しいホワイトペーパー「AI: 味方か敵か」では、AI、特にアプリケーションセキュリティテストでの AI の使用について詳しく説明しています。AI 駆動型ツールが脆弱性検出を加速し、脅威検出の精度を向上させ、組織が新たなリスクに先手を打つのに役立つ方法について説明しています。ただし、ホワイト ペーパーでは、誤検知の生成、AI アルゴリズムの透明性の欠如、AI システム自体の脆弱性など、AI に過度に依存することによる潜在的なリスクについても詳しく説明しています。

AI がサイバー セキュリティの状況に影響を与え続ける中、AI が貴重な資産であると同時にリスクでもあることを理解することが重要です。このホワイトペーパーでは、AI の利点と固有の課題のバランスをとる方法、および組織がセキュリティテストの取り組みで AI を責任を持って使用する方法についての洞察を提供します。

完全な分析を得るには、ホワイトペーパーを調べて、アプリケーションセキュリティテストで AI が強力なツールと潜在的なリスクの両方として機能する方法を確認してください。

• ホワイトペーパーのダウンロード

時代を先取りするには、AI がアプリケーションセキュリティの未来をどのように形作るかを学びましょう。

2024/11/5 - 読み終える時間: 3 分

HCL AppScan 10.7.0: AI-Driven Security & API Scanning Upgrades の翻訳版です。

HCL AppScan 10.7.0: AI 駆動型セキュリティと API スキャンのアップグレード

2024年10月23日

著者: Ryley Robinson / Project Marketing Manager

HCL AppScan 10.7.0 の最新リリースでは、セキュリティの取り組みを強化し、コンプライアンスを簡素化するために設計されたさまざまな強力な機能が導入されています。AI の活用から脆弱性検出の強化、洗練された最新のユーザーエクスペリエンスの提供まで、このバージョンは開発者、DevOps、セキュリティチームがよりスマートに作業できるようにすることに重点を置いています。HCL AppScan Standard、HCL AppScan Enterprise、HCL AppScan Source に更新が含まれており、アプリケーションセキュリティの自動化、洞察力、効率性が向上しています。

以下は、HCL AppScan 10.7.0 で期待できる主な機能の概要です。

よりスマートな自動化と API スキャンの強化

HCL AppScan 10.7.0 で最もエキサイティングな更新の 1 つは、AI 駆動型自動化のより深い統合です。Azure OpenAI を活用することで、脆弱性の検出方法が大幅に改善されました。これには、エラー ページを識別する際に誤検知 (FP) を減らすように設計された新しいメカニズムの導入が含まれます。詳細については、関連ブログをご覧ください。

最新のレポート ユーザーインターフェイス (UI) と新しいコンプライアンス レポート

HCL AppScan Standard 10.7.0 では、より直感的でユーザーフレンドリーなエクスペリエンスを提供する更新された UI が導入され、よりスムーズなナビゲーションが可能になり、余分な手間をかけずに重要なデータに簡単にアクセスできます。このリリースには、DORA (デジタル運用レジリエンス法) コンプライアンス レポートも含まれており、金融機関と ICT プロバイダーがリスクを効果的に管理および軽減できるように、重要な規制を満たすために必要なツールを提供します。

API スキャン: シンプルさと包括的なカバレッジの融合

HCL AppScan 10.7.0 の API スキャン ワークフローは、API スキャン構成を簡素化し、バックエンド API スキャンの自動ログインなどの機能を強化します。これにより、HCL AppScan が面倒な作業を処理するため、API セキュリティに対する信頼が高まり、チームは安全で堅牢なアプリケーションの構築に集中できるようになります。

Java のアップグレード

この HCL AppScan Enterprise アップグレードにより、パフォーマンス、互換性、セキュリティが向上し、HCL AppScan Enterprise を最新の環境に簡単に統合して操作できるようになります。メリットは次のとおりです。

• 強力な暗号化と継続的なセキュリティ更新によるセキュリティの強化。
• より高速で効率的なスキャンによるパフォーマンスの向上、待機時間の短縮、全体的なシステム パフォーマンスの向上。
• Java 17 でサポートされている最新のツールとテクノロジーによる将来性。

スキャン トレンド グラフ

HCL AppScan Enterprise のもう 1 つの魅力的な機能は、まったく新しいスキャン トレンド グラフです。このツールは、時間の経過とともにアプリケーションに対して実行されたスキャンの視覚的な内訳を提供し、接続された洞察によってセキュリティ スキャンをより明確に把握できるようにします。

拡張された CWE によるトリアージとレポートの改善

HCL AppScan Source の最新リリースであるバージョン 10.7.0 では、トリアージとレポートの機能が向上し、HCL AppScan on Cloud と同等の製品となっています。これには、複数の共通脆弱性列挙 (CWE) のサポートの拡張が含まれており、潜在的な脆弱性に対するより深い洞察が可能になります。

CWE の適用範囲に加えて、HCL AppScan Source は新たに追加された言語として ESQL をサポートするようになり、インフラストラクチャ アズ コード機能の一部として PowerShell .ps1 ファイルを分析できるようになりました。これらの機能強化と、改善されたシークレット スキャンにより、開発環境全体での検出が大幅に強化されます。

このアップデートでは、Angular、ASP、CSS、Dart、Java、JavaScript、JQuery、Objective-C、PHP、Python、TerraForm、TypeScript、VueJS、シークレット スキャナーなど、いくつかの言語とフレームワークのルールも改良され、これらのプラットフォーム全体でより堅牢で正確なスキャン機能が確保されます。

オンプレミス製品の新しいライセンス ロードマップ

HCL AppScan は、お客様が最新のライセンスを選択し、不正使用のリスクを軽減し、最新のセキュリティ コンプライアンスを確保できる新しいプラットフォームで、配布とライセンス管理を更新しています。お客様を新しい My HCLSoftware (MHS) プラットフォームにスムーズに移行できるように、機能のアップグレードと新しいライセンス モデルを含むバージョン アップデートを多数提供します。現在の配布およびライセンス管理プラットフォームは、2025 年 6 月 30 日にサポートが終了します。これらの変更の詳細については、サポート ページと以下の関連リンクをご覧ください。

• HCL AppScan 10.7.0 でのライセンスに関する新しい変更と MHS のリリース
• 重要なお知らせ: HCL AppScan は 2025 年 6 月にライセンス変更を実施します

バージョン 10.7.0 のアップデートの完全なリストについては、製品ドキュメントページをご覧ください。HCL AppScan 10.7.0 は、イノベーションを推進し、セキュリティとコンプライアンスをより管理しやすくすることに重点を置いています。AI を活用した自動化、強化された API スキャン、拡張されたプラットフォーム サポートなど、HCLSoftwareはお客様を支援することに尽力してまいります。

2024/11/5 - 読み終える時間: ~1 分

Detecting Error Pages with AI in HCL AppScan DAST 10.7.0 の翻訳版です。

AIを活用したエラーページの検出 - HCL AppScan DAST 10.7.0

2024年10月26日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

動的アプリケーションセキュリティ テスト (DAST) は、実行中の Web アプリケーションをスキャンして外部攻撃をシミュレートすることでセキュリティの脆弱性を特定するブラック ボックス テスト手法です。これは、Web サイトをクロールして誤った入力を挿入し、アプリケーションが予期しないデータや誤ったデータを処理する方法を観察することによって行われます。このような誤入力はエラー ページの表示をトリガーする必要があります。エラーページが表示されない場合、ページが機密情報を公開していたり、不適切なエラー処理による潜在的な脆弱性が存在する可能性があります。

検証方法とエッジ ケース

HCL AppScan DAST には、これらの種類の脆弱性を検証するための 2 つの主な方法があります。1 つのケースでは、DAST エンジンは、何を探すべきかについてトレーニングされており、ヒューリスティックを使用して、脆弱性を示すエラー メッセージの一般的なパターンを認識します。これらには、一般的なデータベース エラー メッセージ (MySQL または SQL Server エラーなど) や、潜在的なセキュリティ問題としてフラグを付ける必要がある「null 参照」、「構文エラー」、「例外」などの特定のキーワードやフレーズが含まれます。

さらに、DAST は 2 番目の方法として、何を探すべきかをトレーニングするのではなく、すべての誤った入力を調べます。この 2 番目のプロセスでは、特にエラー ページの検出が重要な役割を果たします。誤った入力はエラー ページの表示をトリガーするはずです。トリガーされない場合は、結果が脆弱性と見なされます。しかし、エラーページの中には、エラー メッセージがあまり目立たなかったり、通常のページと非常によく似ているなど、エラーページとして認識するのが難しいエッジ ケースがあります。スキャンでこれらの兆候が見落とされると、エラーページが表示されない応答と誤って解釈され、誤検知が発生する可能性があります。つまりスキャンの結果として、存在しない潜在的な脆弱性や情報の誤った取り扱いが報告されてしまいます。

GenAI の概要

HCL AppScan バージョン 10.7.0 以降、DAST テクノロジーは Gen AI を活用して、これらのエッジ ケースに固有のリスクを軽減できるようになりました。簡単に言うと、特定のページにエラーがユーザーに表示されるかどうかを尋ねるプロンプトが AI に送信されます。顧客から提起された問題に関する実際のテストに基づくと、AI はエッジ ケースでのエラー検出において優れた実績があり、HCL AppScan DAST ヒューリスティックを補完します。

スキャン時間の増加を最小限に抑えるために、スキャン ルールでエラー ページの検出が必要な場合のみ AI にクエリが送信されます。その場合でも、HCL AppScan DAST がヒューリスティックを使用してエラー ページを検出できなかった場合に限りクエリが送信されます。HCL AppScan が AI の助けを借りずに応答をエラーとして検出できた場合、誤検出はほとんど、もしくはまったくないため、検証は必要ありません。

図: HCL AppScan Standard (DAST ツール) の AI 構成を示すスクリーンショット (注: お客様は独自の LLM エンドポイントとトークンを提供する必要があります。)

HCL AppScan は、主に静的アプリケーションセキュリティ テスト (SAST) での誤検出を減らすために、何年も前から AI をテスト ツールに組み込んできました。DAST エンジンでの Gen AI のこの新しい採用と、より迅速な修復のための新しい AutoFix 機能での使用は、どちらも最先端のイノベーションであり、HCL AppScan をアプリケーションセキュリティ テストのグローバル リーダーとして定義しています。

HCL AppScan バージョン 10.7.0 の追加更新の詳細については、こちらをご覧ください。また、今すぐ当社にご連絡いただき、アプリケーションセキュリティ体制の改善と Digital+ 経済におけるビジネス リスクの軽減をどのように支援できるかご確認ください。