2025/6/13 - 読み終える時間: 2 分

Introducing Custom Scripts: A New Level of Flexibility in HCL AppScan DASTの翻訳版です。

2025年2月28日
Kamal Kumar Chandrashekar
HCL AppScan シニアプロダクトマネージャー

現代のアプリケーションは、そのアーキテクチャや脆弱性が複雑かつ個別性が高く、セキュリティテストにおいても柔軟かつ特化したアプローチが求められます。
従来の動的アプリケーションセキュリティテスト（DAST）ツールは、こうした多様で複雑なユースケースに適応する柔軟性に欠けるため、潜在的な脆弱性を見逃してしまうことがあります。
この課題に対応するために、HCL AppScanは新機能「カスタムスクリプト」を提供します。
この機能は、アプリケーションのセキュリティテスト※英語ページに遷移しますにおいて、リクエストやレスポンスを動的に変更できるようにするもので、特定のユースケースに応じた柔軟なスキャン調整を可能にします。
この機能は HCL AppScan Standard および HCL AppScan Enterprise の両製品で利用可能であり、HCL AppScanがアプリケーションとどのようにやり取りを行うかを細かく調整できるようになることで、テストの網羅性と精度を大きく向上させます。

カスタムスクリプトの役割

アプリケーションごとに固有のユースケースが存在し、それらすべてを自動的にカバーすることは難しいのが現実です。
そのため、DAST設定をユースケースに応じて調整する必要がありますが、標準で用意されている（OOB：Out-of-the-Box）設定では対応できないケースもあります。
こうした背景から、カスタムスクリプトはDASTの機能を柔軟に拡張し、アプリケーションのさまざまなユースケースを包括的にカバーするための柔軟性を提供する新機能です。
HCL AppScanにはJavaScriptの実行環境が組み込まれており、リクエスト送信前やレスポンス受信後にカスタムコードを実行できます。
この追加機能により、より柔軟で包括的なセキュリティ検証が可能になります。

カスタムスクリプトの仕組み

カスタムスクリプトは、特定のニーズに合わせて挙動を調整し、DASTスキャンの動作と結果の精度を向上させることができます。
たとえば、リクエストヘッダーの操作、ロジックの注入、データの加工、動的トークンの処理など、カスタムスクリプトを使用すると、きめ細かいカスタマイズが可能になり、より正確で効率的なスキャンが可能になります。
この機能は、アプリケーション本体を変更することなく、さまざまなシナリオにおけるスキャンの挙動をきめ細かく制御できます。
代表的なユースケースは以下の通りです。

• ハッシュベースメッセージ認証コード（HMAC）の計算
• 独自のログイン方式への対応（HTTPパラメータ/ヘッダーの調整など）
• ランダム値の送信

たとえば、アプリケーションが複雑な認証トークンを使用していたり、特定のセッション管理が必要な場合、リクエストを送信する前にスクリプトによってこれらの要素をプログラム的に生成・操作できます。
これにより、HCL AppScanがアプリケーションと正しくやり取りできるようになり、これまでテストが困難または不可能だった機能にも対応可能となります。

カスタムスクリプトの設定方法

例：リクエスト前スクリプト

たとえば、リクエスト送信前に処理を行う「Pre-request Script」のように、各種イベントに応じてカスタムスクリプトを設定することができます。
レスポンスを受信した後にも、HCL AppScanの標準チェックだけでなく、より高度な分析処理をカスタムスクリプトで実行することが可能です。
レスポンスから必要なデータを抽出し、それを加工することで、テストの網羅性をさらに高められます。
こうした双方向の処理機能により、セキュリティチームは現代のアプリケーションの動的な性質に応じたテスト戦略を採用できるようになり、より包括的なカバレッジを提供し、静的スキャンでは見逃されがちな脆弱性の検出にも貢献します。

カスタムスクリプトの主な利点

カスタムスクリプトの最大の強みは、スキャンプロセスに対する柔軟性と精密な制御が可能である点です。画一的なスキャンから脱却し、業務要件に沿ったテストが実現します。

• ユースケースに最適化されたテスト：アプリケーションごとの独自仕様や挙動に対応し、より正確で有用なスキャン結果を取得可能
• 的を絞ったスキャンで対応を迅速化：ビジネス上重要な領域にフォーカスすることで、脆弱性の検出と修正が迅速に行える
• アプリケーション全体を網羅：複雑なワークフローや特殊な処理も含め、見逃しのないセキュリティテストが可能
• 動的なリクエスト・レスポンス処理：リアルタイムでの調整により、動的認証、カスタムヘッダー、または時間依存のデータといった複雑な仕様にも対応

結論

アプリケーションセキュリティテストの未来は、より動的で適応性があり、そしてインテリジェントなものへと進化しています。HCL AppScanのカスタムスクリプト機能は、その方向に向けた大きな一歩です。
セキュリティ専門家の皆さまに、調査の課題を克服し、テストプロセスをきめ細かく調整するための高度な制御手段を提供することで、より一層のセキュリティ強化を支援します。
HCL AppScanの業界最先端ソリューションとともに、アプリケーションセキュリティテストの新たなレベルをぜひご体験ください。

2025/6/12 - 読み終える時間: 2 分

Now Available: The 2024 Application Security Testing Trends Reportの翻訳版です。

2025年2月5日
Adam Cave
Product Marketing Manager

デジタルトランスフォーメーションが「Digital+」の時代へと進化する中で、アプリケーションセキュリティテストの重要性とその管理の複雑さはますます高まっています。
このたびHCLSoftware. が発行した「2024年アプリケーション・セキュリティ・テスト動向レポート」では、現代の組織が直面する最も差し迫ったセキュリティ課題に焦点を当てています。
今年で3度目となる本レポートの調査結果は、2024年秋に全世界45,000人以上のプロフェッショナルを対象に実施したアンケート調査に基づいており、新たなトレンドやテクノロジー、方法論に対する組織の対応状況を深く掘り下げているので参考ください。

アプリケーション・セキュリティ・テストの重要性

世界が相互接続されたデジタルシステムに依存する中で、アプリケーションセキュリティはすべての業界におけるリスク管理の中核です。
APIの脆弱性やサプライチェーン攻撃など脅威が増大する中、堅牢で継続的なテストソリューションの必要性はこれまで以上に高まっているといえるでしょう。
本レポートでは、各企業がどのようにアプリケーションセキュリティに取り組み、システム、評判、データを保護しながらリスク管理を強化しているかをお伝えしています。

レポートの主な調査結果

2024年版レポートには、秋に実施したアンケートへの回答に基づいて多岐にわたる調査結果が含まれており、アプリケーションセキュリティの現状を物語る重要な洞察が得られていることが特徴です。

セキュリティ専門チームへの依存

業界全体で「シフトレフト」が進む中でも、52％の組織では依然としてアプリケーションセキュリティテストの責任が専任チームに委ねられています。
この結果は、一元化された専門知識の重要性を示す一方で、開発とセキュリティワークフローの統合強化が求められていると考察できるでしょう。

動的テスト技術（DAST）の優位性

テスト技術では、32％の組織が動的アプリケーションセキュリティテスト（DAST）ツールを採用しており、静的アプリケーションセキュリティテスト（SAST）の29％を上回っています。
また、18％の組織が来年中にDASTを導入予定であり、リアルタイムで脆弱性を検出するニーズが高まっていることが分かります。

クラウドセキュリティへの懸念

回答者の46％がクラウド環境における最大の懸念事項として「データプライバシー」を挙げており、この優先順位はコンプライアンスやインフラセキュリティを上回っています。
機密情報保護への関心が高まるクラウドファースト時代を反映した結果です。

今後の展望：Digital+経済におけるセキュリティ進展

本レポートでは、迅速な開発サイクルに対応するために進化し続けるアプリケーションセキュリティテストツールと方法論について詳しく解説しています。
ソフトウェア開発ライフサイクル（SDLC）のすべてのフェーズで統合することは、俊敏性を損なうことなくリスクを軽減するために不可欠です。
APIやオープンソースライブラリなどエコシステム全体を保護するソリューションへの注目も高まって優先しています。 さらに最新プラットフォームでは、企業がコスト管理とセキュリティ強化を両立させながら、自信を持ってソフトウェアをリリースできる環境が提供されています。
継続的インテグレーションとデプロイメント（CI/CD）パイプラインとリアルタイムテスト技術を組み合わせることで、将来の脅威に備える体制が整いつつあるといえるでしょう。

まとめ：未来に備えるために

デジタル環境がますます複雑化・連携化する中、HCL AppScanによる「2024年アプリケーション・セキュリティ・テスト動向レポート」は、最新の課題に直面するセキュリティ担当者にとって貴重な指針となるものです。
集中管理型のテスト、重大な脆弱性への対応、動的分析ツールの採用など、本調査結果はプロアクティブかつ革新的な戦略の必要性を明確に示しています。
本レポートから得られる知見を活用することで、組織は防御力強化とコンプライアンス確保につながり、堅牢なセキュリティ体制構築への道筋が見えてきます。

ぜひレポート全文をご覧いただき、次世代のアプリケーションセキュリティ戦略へ一歩踏み出し、自社のセキュリティ戦略にお役立てください。
レポート全文はこちらからご覧いただけます（英語）

2025/6/11 - 読み終える時間: 5 分

3 Strategies For Mitigating Cybersecurity Threatsの翻訳版です。

2025年6月6日
Robert Leong
Senior Director and Head of Product Management

サイバー犯罪は制御不能な状況に陥っていますが、その犯人は間違っているかもしれません。

サイバーセキュリティに関する報道を見ると、これらはすべて、ハッカーが斬新なゼロデイ攻撃を考案し、システムを侵害し、ひどいことをした結果だと考えがちです。それは、業界誌で報じられる内容であり、読者に面白さを提供するためです。

2024 年に発生した主な情報漏えい事件をいくつか見てみましょう。

• 国家公共データ漏洩事件では、約29億人の個人情報が漏洩し、社会保障番号や電話番号が含まれていました。これは2024年最大のデータ漏洩事件であり、おそらく重大な事件の一つです。
• 米国財務省は、APT27によってリモートサポートシステム経由で攻撃を受けました。
• Change Healthcareは、今年最大の医療関連データ漏洩事件を起こし、1億件を超える顧客記録が漏洩しました。これにより、史上最大の医療関連データ漏洩事件となる可能性があります。
• 2024年2月、TechCrunchはUnitedHealthでのデータ漏洩事件を報じ、1億人の顧客に影響を与える可能性があると指摘しました。もしこの数字が正確であれば、これは米国史上最大の機密データ漏洩事件となるでしょう。
• Ticketmasterは、4,000万人の顧客データがハッキングにより抽出されたと報告し、これによりエンターテインメント業界で最も大規模なデータ漏洩事件の一つとなりました。
• 通信大手のAT&Tは、1億1,000万件と7,300万件の記録が漏洩する2件の重大な漏洩事件を経験しました。

これらの攻撃を分析し、攻撃の手口について読めば、ゼロデイ脆弱性の大量発生や、報道される攻撃が相次いでいるように思えるかもしれません…

しかし、実際のところ、ほとんどの成功したデータ漏洩は既知の脆弱性によるものです…攻撃者が利用する既知の脆弱性です。

私たちはそれらをデータベース化しています。例えば、CISAの「既知の悪用可能な脆弱性データベース」などです。もう一つは、構造的な失敗や、攻撃者が破損したコミュニケーションや組織構造を悪用することでデータ漏洩が発生する点です。

したがって、私の前提は、これらを修正する必要があるということです——サイロ化、壊れたコミュニケーション、そして既知の脆弱性。実践的な方法でこれらを修正することで、セキュリティ態勢を強化できます。そして、ゼロデイ攻撃や新たな攻撃手法を心配することなく、より予測可能な方法で実現できます。

サイバーセキュリティに記録的な金額を費やしています。しかし、効果は出ているのでしょうか？

解決策に飛び込む前に、問題の規模を確認し、2025年現在の状況を評価しましょう。

2024年、企業はサイバーセキュリティに約$185億を費やし、2029年までに$300億に達する可能性があります。

しかし、衝撃的なのは、2024年のサイバー犯罪による損失が$9.22兆ドルに達し、2029年までに$15.63兆ドルに達する見込みである点です。これはタイプミスではありません。損失額はサイバーセキュリティ支出の50倍に上ります。

金銭がすべて：サイバー攻撃の動機変化

脅威の目的とプロファイルも明らかになっています。サイバー攻撃者のプロファイルは主に組織犯罪です。10年前は主に国家が関与していました。組織犯罪団体の目的は主に金銭的利益であり、以前は知的財産の窃盗が目的でした。

2015年に初めて登場したランサムウェア・アズ・ア・サービス（RaaS）は現在一般的になっています。ポイントは、スクリプトキディが攻撃に成功するのを助ける企業があることです。現在、ランサムウェアのフランチャイズが存在します。平均的なランサムウェアの支払額は現在$800,000です！これは前年比12.7%の増加です。

恐喝が脅威の風景を支配し続けています。

2018 年には、ランサムウェアによる収益化に関与した侵害は 5% 未満でした。今日、恐喝は 33% にまで成長しています。これは、92% の業界で 3 大脅威のうちの 1 つとなっています。

「ロバーツ！ランサムウェアと言っていたのに、恐喝と言ったね。なぜ変更したんだ？」と疑問に思うかもしれません。それは、犯罪者が手法を変えたからです。

ランサムウェアは恐喝ですが、人々は、敵は善人、つまり防御者たちが適切な回復メカニズムを持っていると考えていることに気づいています。

そのため、敵は現場での暗号化ではなく、機密性の高い知的財産を遠隔測定し、それを闇市場で販売したり、誰もが閲覧および/または使用できるように公開すると脅迫するのです。これは依然として恐喝ですが、その形態は変化しています。

基本に戻ろう：敵対者がどのように侵入しているか

では、この点を考える際、基本に焦点を当てましょう。彼らがどのように侵入しているのかを見てみましょう。あなたのコンピューティング環境へどのように侵入しているのでしょうか？

このチャートを見ると、盗まれた資格情報が最も多く、次にフィッシング、その次に悪用可能な脆弱性が続いています。しかし、右側のトレンドチャートを見ると、既知の悪用された脆弱性は増加傾向にあるのに対し、他の種類の侵害は横ばいまたは減少傾向にあります。

これは私たちを警戒させるべきです。なぜなら、システムへの主要な3つの侵入経路のうち、既知の悪用可能な脆弱性の管理は100%私たちのコントロール下にあるべきだからです！

考えてみてください。公開されたCVEがあります。そして、既知の悪用可能な脆弱性のデータベースがあります。

CISAの既知の悪用された脆弱性データベースに掲載されるためには、以下の条件が必ず満たされている必要があります。1つ目は、攻撃に利用されたことが確認されていること。2つ目は、有効な対策が存在すること（通常はベンダーのパッチ）。3つ目は、米国政府機関向けの期限が設定されていること。

しかし、このプロセスが単純に聞こえるにもかかわらず、私たちは十分な対応ができていません。以下のデータをご覧ください：CISA KEVカタログの半数を是正するのに、私たちには55日かかります。一方、悪意のある攻撃者は、CISA KEVカタログにCVEが掲載されると、わずか5日でその脆弱性を悪用し始めます。私たちは悪意のある攻撃者よりも10倍も遅いのです！

HCL BigFix製品管理研究からのグラフです。

年間で発見され公開されるユニークな脆弱性の数の急増をご覧ください。2019年から2020年にかけて急激に増加し、その後も増加し続けています。何が起きたのでしょうか？

私たちは数百万人の従業員をリモートワークに切り替え、そのために大量の新規コードを書きました。しかし、コーディングにおいて多くのミスを犯しました。これが、私たちのコンピューティング環境におけるすべての脆弱性をゼロに削減できない主な理由です。脆弱性が多すぎるとともに、AIコーディング手法が状況を悪化させています。

AIが状況を悪化させる理由は、AIが自分が何をしているのか理解していないからです。単に、あなたのコーディング要求に対して統計的に最も良い回答を提供しているだけです。しかし、その回答は学習モデルに保存されたコードを使用しており、そのモデル自体にも脆弱性が埋め込まれているのです！

要点は、このグラフが近いうちに下降傾向を示すことはないということです。

さらに積み重ねましょう！

状況は現在、取締役がサイバーセキュリティを純粋な技術的問題として扱わなくなったほど深刻です。彼らはビジネスリーダーにその解決を責任転嫁しています。大きな問題の一つは、ビジネスリーダーがサイバーリスクを測定し管理するためのツールを欠いていることです。

この問題の解決策は何でしょうか？

まず、問題の根本原因を理解する必要があります。

大きな問題の一つは、私たちは皆、コンウェイの法則の被害者であることです。1967年にメルヴィン・コンウェイは、組織が設計するシステムは、その組織のコミュニケーション構造のコピーになることを観察しました。

左の画像はこれをユーモアを交えて説明しています。私たちはこれらの企業に馴染みがあり、図解が面白いのは、企業がどのように組織され、相互にコミュニケーションを取っているかを反映しているからです。

私たちも同じ状況です。

防御チームは存在します。彼らは互いにコミュニケーションを取っていますか？大多数は、ほとんどまたは全く定期的にコミュニケーションを取っていません。

2024年に発表された24,000件のCVEsのうち、33%が緊急と分類されたことをご存知ですか？

しかし、攻撃に利用されたCVEsは、中程度や低優先度のカテゴリーを含めても、全体の9%に過ぎませんでした。

つまり、私たちはこれらの脅威について間違った方法でコミュニケーションを取っています。これがコンウェイの法則です。敵対者がどのように働くかと比較してみましょう。

敵対者は目標に焦点を当てます。彼らは目標の達成に焦点を当てます。彼らは経路、パターン、メカニズムという観点で考えます。モサドのポケベル攻撃の例を思い出してください。彼らは脆弱性を活用する方法について考えました。脆弱性が小さくても、目標達成に結びつくなら、計画に組み込む価値があります。

私たちもこのように考える必要があります。

痛点に基づく効果的な戦略

これらを考慮し分析すると、以下のことがわかります：

1. チームは過負荷状態です。
2. ステークホルダーは一致していません。
3. ツールとプロセスは断片化しています。
4. コンウェイの法則が働いています。

したがって、以下の戦略を採用すべきです。

過負荷、不一致、断片化が存在するなら、加速、協業、統合を推進すべきです。

これが私の意味するところです。

• 加速： これは、追加の努力や検討を要せずに実施できるサイバーセキュリティの取り組みを拡大することを意味します。
• 協働： これは、セキュリティ、IT、経営陣（C-Suite）間のギャップを埋める方法を見つける必要があります。ビジネス判断、ツール、プロセスを活用してサイバーリスクを測定し、セキュリティ成果を管理する方法を模索する必要があります。
• 統合： 私たちは敵対者の視点で考える必要があります。統一されたパターンと経路を念頭に置いて考えます。これらの経路とパターンを防御するために、チーム、ツール、プロセスを統合する方法を模索する必要があります。サイロを打破します。

これらの3つの戦略により、私たちのコンピューティング環境を防御する上で、望ましい目標を達成できると確信しています。

2025/6/10 - 読み終える時間: 3 分

Transforming Data into Dialogueの翻訳版です。

2025年4月24日
Rob Meyer
グローバル バイスプレジデント Business & Industry Applications

顧客は、メールの冒頭にファーストネームを差し込むだけでは、もはや響きません。現代の消費者は、自分のニーズを本当に理解してくれるブランドを求めています。
そこで重要になるのが「ハイパーパーソナライゼーション」です。
ハイパーパーソナライゼーションとは、過去の行動履歴や顧客セグメントに留まらず、リアルタイムデータを活用して個人レベルでメッセージを最適化します。
行動分析、CDP（顧客データプラットフォーム）、AIアルゴリズムといった先進ソリューションを活用することで、顧客の“意図”に即したエンゲージメントの高い対話を実現できます。

ハイパーパーソナライゼーションとは？

Deloitteでは、「ハイパーパーソナライゼーション」を「データ、アナリティクス、AI、オートメーションの活用による、カスタムでターゲットを絞った体験の創造」と定義しています。
つまり、適切なメッセージを「適切な顧客」に、「適切なタイミング」で、「毎回届ける」ということです。
従来のパーソナライゼーションは、過去の静的なデータを顧客セグメントに適用していました。
一方、ハイパーパーソナライゼーションは、過去とリアルタイムのデータに基づいてコミュニケーションを構築し、AI駆動型モデルが個々の顧客レベルで詳細かつ動的な顧客プロファイルを生成します。
この例を考えてみよう：ある銀行が、特定の所得層の全顧客に向けてプレミアムカードを案内するのは従来の手法です。
一方、AIを用いて顧客のリアルタイムな購買傾向やデジタル上の行動データを分析し、頻繁にフライトを予約する顧客には旅行特典付きのクレジットカードカードを提案することはハイパーパーソナライゼーションを達成したことになります。

なぜ今、ハイパーパーソナライゼーションが重要なのか

消費者は、あらゆる方向から押し寄せるほとんどのマーケティングメッセージを無視しています。消従来のパーソナライゼーションではもはや不十分です。
顧客は、自らの行動の背後にある意図を理解し、ニーズを予測し、意味のあるエンゲージメントを期待しています。
ハイパーパーソナライゼーションは、より強固な関係を築き、コンバージョンを促進するための重要な差別化要因となります。
ブランドがこのシフトを受け入れることが急務となっている主な要因は以下の通りです。

• 顧客期待の高まり：顧客がデータを提供する際、賢明に利用されることを期待する。7消費者の約4分の3（71%）がブランドからのパーソナライズされた体験を望んでおり、この期待に応えるブランドには37%多く支出する
  
• データの可用性とAI：顧客データの爆発的な増加とAIの台頭は、ブランドが価値創造に使用される意味のある意図的な洞察を抽出するために、この2つを組み合わせる必要があることを意味する
  
• 競争圧力: ブランドは、デジタルノイズの中で、より魅力的な顧客体験で際立つ必要がある。ハイパーパーソナライズされたインタラクションは、価値、楽しさ、利便性を提供し、これらすべては米国消費者に好意的に評価されている購買体験であり、これらによって差別化を図ることが可能
  ハイパーパーソナライゼーションを機能させるためには、各顧客の全体像を把握する必要があります。複数の情報源からの情報を連携させ、統合することで、包括的な顧客プロファイルを構築できます。
  次のステップは、データソースとアイデンティティ解決をマスターし、あらゆるエンゲージメントに関連性があり、チャネル間で統合されていることを確認することです。
  

データの基盤構築がすべての出発点

ハイパーパーソナライゼーションを成功に導くには、信頼できるデータ基盤が不可欠です。
以下のような多様なデータを収集・統合し、単一の顧客ビューを構築する必要があります

• ゼロパーティデータ：顧客が明示的に提供した情報
• ファーストパーティデータ：行動、購買、エンゲージメントに基づく自社保有データ
• セカンドパーティデータ：信頼できるパートナー企業から共有されたデータ
• サードパーティデータ：外部ソースから収集された匿名データ これらの各データタイプは、顧客の完全な全体像を形成する上で役割を果たす。 しかし、データを収集するだけでは十分ではなく、個々の顧客をエンゲージメント全体で認識するには、データを統合する必要があります。
  顧客データプラットフォームが可能にするアイデンティティの解決は、断片化されたデータを結び付け、幅広い顧客セグメントではなく、各顧客の単一の正確なビューを保証します。
  顧客データプラットフォーム（CDP）は、HCL UnicaのようなAIやマーケティングオートメーションツールと連携し、体験をカスタマイズすることで、リアルタイムのパーソナライゼーションにおいて重要な役割を果たします。
  適切なデータを保有していることは始まりに過ぎません。顧客と意味のあるエンゲージメントを行うためには、顧客の「デジタルボディランゲージ」を読み解く力です。
  

デジタルボディランゲージ：顧客対話における見落とされがちな要素

デジタルボディランゲージは、顧客のあらゆるデジタル上の行動から、リアルタイムにその意図やコンテキストを明らかにします。
この情報により、企業は顧客体験を深く理解し、コミュニケーションの質を高めることができます。デジタルボディランゲージを通じて、ユーザーが困っているタイミングやスムーズに購買（コンバージョン）へ進んだ瞬間を特定することも可能です。
AIは、ブランドがデジタルボディランゲージを瞬時に解釈するのを支援します。カスタマー・データ・プラットフォーム（CDP）が行動シグナルを受け取ると、AIがリアルタイムと過去のデータを分析し、顧客の意図を特定します。
プラットフォームは、これらのインサイトを使用して、次の最適なアクションの推奨を提供します。
たとえば、あるユーザーが住宅ローンの金利を調べている際、CDPがその行動を感知し、必要書類のガイドを含むメールを自動で送信します。 これが、AI × デジタルボディランゲージの融合による実践例です。
こうした大規模なリアルタイムパーソナライゼーションをスケールさせるには、膨大なデータを瞬時に処理するAIの力が不可欠です。
AIの力があっても、ハイパーパーソナライズされたコミュニケーションには課題がないわけではありません。

ハイパーパーソナライゼーションの課題とその克服

顧客に響くハイパーパーソナライゼーションを達成するには、主に3つの課題があります。
これらの課題を理解することで、成果に支障をきたす前に対応策を策定することができます。

• データプライバシーと法令遵守 GDPRやCCPAなどのプライバシー規制はテクノロジーの進歩に合わせて変化し続けており、パーソナライズ施策にも法令対応の方針が必要
  
• 過度なパーソナライゼーションの回避 行き過ぎたパーソナライズは“監視されている感覚”を与える可能性がある。顧客に対し、データの収集と活用について透明性を持って説明し、適切な選択肢を提供することが信頼構築につながる
  
• データ品質の担保 AIは、処理するデータの品質と正確さによってのみ効果を発揮し、ハイパーパーソナライゼーションの目標を達成するためには、必要な顧客データのみを収集し、AIと機械学習エンジンに送り込む必要がある
  

これらのリスクと向き合いながら、法令順守と高い顧客満足を両立させることが、持続可能なハイパーパーソナライゼーションの基盤となります。

顧客対話の未来──リアルタイムで、文脈を読み取る時代へ

AI、機械学習、オートメーションの進歩が進むにつれ、ブランドは顧客の意図をより深く理解できるようになるでしょう。
会話型AIとリアルタイム分析は、状況に応じたダイナミックな対話の基盤です。
技術の進化が加速する中で、変化する消費者の期待に合わせてパーソナライゼーション戦略を機敏に維持し、継続的に洗練していく必要があります。
しかし、真に顧客との信頼関係を築くには、AIによるパーソナライゼーションと同時に、データ活用に対する透明性と倫理的配慮が求められます。
顧客エンゲージメントの未来は、AIによるパーソナライゼーションと透明性・信頼性とのバランスを取ることができるブランドにあります。
顧客は、自身のデータを尊重し、それに見合う明確な価値を提供してくれるブランドとより積極的に関わろうとします。
リアルタイムの顧客インサイトを強力な関係性に変えるためには、それを支える信頼できるプラットフォームが必要です。
HCL Unicaのようなソリューションは、まさにそのためにあります。戦略の最適化から、持続的なロイヤルティ構築まで、AI主導のパーソナライズをビジネス成果へとつなげるでしょう。

参考文献

• Deloitte AIによるマーケティング戦略
• McKinseyによるパーソナライゼーションの将来
• Deloitte Digital調査レポート
• BCG：消費者が求めるパーソナライズとは

2025/6/9 - 読み終える時間: ~1 分

Introducing HCL AppScan API Security: A Smarter Approach to API Protectionの翻訳版です。

2025年4月23日
Adam Cave
HCL AppScan プロダクトマーケティングマネージャー

現代のデジタル変革において、アプリケーション間の連携やサービス統合を支える要として、API（アプリケーション・プログラミング・インターフェース）の活用は不可欠な存在となっています。
現在、Webトラフィック全体の50%以上をAPIが占めており、その利用拡大とともに、企業は新たなセキュリティ課題に直面しています。
サイバー犯罪者は驚くべき速度でAPIを標的にしており、可視性とガバナンスの欠如によって見過ごされがちな脆弱性を悪用しているのが現状です。
こうした状況を受け、HCLSoftwareはSalt Securityとの提携により、「HCL AppScan API Security」を発表しました。これは、組織のAPI資産を可視化・管理し、リスクを最小化することを目的とした、包括的なAPIセキュリティプログラムです。
AIを活用したディスカバリープラットフォームにより、継続的なAPIインベントリ作成、セキュリティポスチャガバナンス、そして高度な脆弱性テストを実現し、進化し続ける脅威に先回りして対処できます。

APIセキュリティ対策は、もはやビジネスの必須要件

Salt Securityが発表した「2024年版 APIセキュリティレポート」によると、回答企業のうち37%がAPIに関連するセキュリティインシデントを経験しており、これは前年比で100%の増加となっています。
こうしたインシデントは、SNS、ECサイト、テクノロジープロバイダーなどにおける大規模な情報漏えいを招き、世界中の数百万人単位のユーザーに深刻な影響を与えています。APIの急速な普及は変革をもたらしましたが、それがもたらすリスクは今や明確になっています。
セキュリティは可視性から始まります。多くの企業がいま、ある重要な事実に気づき始めています。それは「自社でどれほど多くのAPIが使われているのか、実は正確に把握できていない」という現実です。
特に中堅から大企業にかけては、部門横断的な業務連携やサードパーティとの統合などにより、使用されているAPIの数が数百、時には数千にのぼることも珍しくありません。
このような状況下で、最新のAPIインベントリ（資産台帳）を把握・更新していない場合、セキュリティチームは重大な「死角（ブラインドスポット）」を抱えることになります。
結果として、脆弱性の検出、ガバナンスポリシーの適用、脅威への迅速な対応が非常に困難になります。
企業がAPI活用を加速する今だからこそ、まずは“どこに何があるか”という基本に立ち返ることが、持続的なセキュリティ体制の構築において不可欠です。

APIセキュリティにおける“スマートな解決策”を

HCL AppScan API Securityは、以下の機能を提供することで、これらの課題に正面から取り組むように設計されています。

• 継続的なAPIディスカバリー AIを活用し、文書化されていないシャドーAPIやゾンビAPIを含むすべてのAPIを特定・インベントリ化し、組織のAPIエコシステム全体を可視化する
• セキュリティ体制の管理 AI駆動によるリスク評価、事前に構築されたポリシーテンプレート、および包括的なAPIセキュリティポリシーライブラリにより、企業のAPIセキュリティ基準を策定・適用可能にする。
• 高度なAPI脆弱性テスト 動的アプリケーションセキュリティテスト（DAST）と連携し、精度の高い脆弱性検出を実現。OWASP API Security Top 10を100%カバーする
• 規制コンプライアンス保証 機密データの露出を特定し、適切なセキュリティポリシーを適用することで、GDPR、HIPAA、PCI DSSなどの主要なコンプライアンス標準を満たすのに役立つ
• リスクベースの優先順位付け ビジネスインパクトに基づくAIによるAPIリスクを評価し、優先順位を付けることで、セキュリティチームが最も重要な脅威に集中して対応可能

APIセキュリティの未来は今、始まる！

サイバー脅威がかつてないスピードで進化する今、APIのセキュリティ確保はもはや「オプション」ではなく、「必須」です。
HCL AppScan API Security は、組織が自社のAPIエコシステムを完全に可視化・制御し、脆弱性を先回りして検知・修正することで、リスクを伴うことなくAPIのビジネス価値を最大化し、推進し続けることを可能にします。

2025/6/6 - 読み終える時間: 2 分

How Agentic AI is Shifting MSPs from Reactive to Proactive ITSMの翻訳版です。

2025年3月12日
Suparna Barman
プロダクトマーケティング

新しい世代の労働者層が現れ、ハイブリッドワークモデルが定着する中で、顧客は常時利用可能で、アクセスしやすく、パーソナライズされたサービス体験を強く求めるようになっています。
一方で、企業がこうした変化に適応していく中、IT部門は、複雑かつ変化の激しい技術環境を管理しながら、シームレスなデジタル体験を提供するという継続的なプレッシャーにさらされています。
ITのダウンタイムやサービス中断は、ハイブリッド時代における大きな問題の一つです。調査によると、ハイブリッドで働く従業員の61%がITの問題解決に時間を費やしており、予防的かつAI駆動型のサポート体制の必要性が浮き彫りになっているといえるでしょう。
こうした潮流を受けて、企業はITサポートの高度化を目指し、AIの導入を加速させています。
実際、全体の71%の組織が、チケット件数の削減や効率性およびサービス品質向上のために、AIベースのITサービスマネジメント（ITSM）ソリューションを積極的に模索しています。
AIによる自動化への移行は今後さらに加速し、2028年までには企業向けアプリケーションの33%にAgentic AIが組み込まれると予測されています。
これは、2024年時エージェント型での導入率1%未満からの大幅な成長です。
企業は、より迅速かつインテリジェントで能動的なITサービスを求めています。
このような傾向から、Agentic AIはもはや遠い話ではないことを示唆しています。特に大規模なITサポートを担うマネージドサービスプロバイダー（MSP）にとっては、受動的なトラブルシューティングから能動的・予測的なIT支援への転換が極めて重要です。
MSPは、AIを活用したサービス管理で時代の先端を行く必要があり、それは効率性を高めるためだけでなく、将来にわたって競争力を維持するための体制強化が求められています。

MSP業務における人間主導のITサポートの隠れたコスト

現在、多くのMSPは人間主導の手作業プロセスに大きく依存しており、ITサポートは非効率的でコスト高になっています。
AIを活用した自動化が進んでいないMSPでは、大規模な人員確保・育成・オフショアリングが必要となり、人材確保の問題に直面します。
また、L1〜L3といったレベル構造に基づく従来型のサポートモデルは、プロセスのボトルネックを生み出しやすく、ベテラン社員の「属人化された知識」への依存は、離職時のサービス中断リスクを引き起こします。
AIが導入されていない場合、対応は依然として手動による修復が一般的であり、平均解決時間（MTTR）の長期化やトラブル対応の遅延が頻発します。
標準化、リアルタイムレポートやプロセス自動化の欠如は、一貫性のないサービス品質やコンプライアンスリスクを招く原因ともなります。
最終的にMSPは、イノベーションよりも運用に多くの費用を費やし、知的財産（IP）やAI駆動型ソフトウェアソリューションを開発する能力を制限しています。

インテリジェントな可用性管理

MSP（マネージドサービスプロバイダー）にとってサービスの可用性は極めて重要であり、突発的な障害は、顧客満足度の低下や売上損失に直結します。
Agentic AIによるリアルタイムの可用性モニタリングは、異常や通常と異なる挙動を障害発生前に検知します。AIによる障害予測は、潜在的なリスクを評価し、そのビジネスへの影響度に応じて優先順位を付けます。
問題が検出されると、自動化された根本原因分析により、問題の原因が迅速に特定され、修正措置が推奨されるため、解決までの時間が大幅に短縮されるでしょう。
修正措置は、事前承認済みの対応策をAIが自律的に実行し、サービス中断を最小限に抑制。復旧後もAIが改善状況を継続的に検証し、予測モデルを強化して将来のリスクを低減に繋げられます。

インテリジェントなキャパシティ管理

Agentic AIは、リアルタイムのキャパシティ監視が可能となり、サービスパフォーマンスに影響を及ぼす前にボトルネックや異常を検知可能です。
過去の傾向や外的要因をもとに将来のリソース需要を予測するAI主導の予測機能により、プロアクティブな計画立案ができるようになります。
AIは、キャパシティを最大化するために、インフラの増強、ワークロードの再配置、リソースの再調整など、需要に適切に対応するための最適なリソース変更を提案します。
また、あらかじめ承認されたスクリプトや外部システムとの連携を活用して、プロビジョニングや調整を自動で実行し、人的介入を最小限に抑えます。
さらに、AIは導入後のパフォーマンス向上を継続的に検証し、フィードバックループを通じてナレッジを蓄積し、キャパシティマネジメントの手法を継続的に改善していけるでしょう。
このようなAI主導のキャパシティ管理戦略により、MSPは運用コストの削減、キャパシティ関連の障害の回避、リソース活用の最大化の実現と安定したサービス提供を両立することができます。

動的なSLA管理

AIによるSLAリスク分析は、SLA違反の兆候や異常を早期に検知し、MSPは違反になる前に問題を解決するための事前対策を講じることがでます。AI主導のリソース最適化により、動的にリソースを再配分してリスクを軽減し、サービス停止を回避可能。また、AIによる自動通知がSLAの脅威や潜在的な違反、および必要なリソースの再調整について関係者にリアルタイムに伝達し、意思決定を迅速化します。
AIは、過去のSLAパフォーマンスを調査し、過去のパターンに基づいて継続的な改善を推奨することで、分析後に得られた教訓に関する洞察を提供します。

サービスデスク要員のスキル強化

L1（一次対応）エージェントのスキル不足は、サービスデスクの効率低下を招く要因です。
Agentic AIは、エージェントのパフォーマンスを継続的に分析し、繰り返し発生する課題やスキル不足を可視化出来るため、エージェントのスキルアップを完全に変革する可能性を秘めています。
AIは、エージェントが自身の専門分野外の問題に直面した際に、プロアクティブにギャップを特定し、個別のトレーニングプログラムを提案します。
学習の進捗状況はAI主導のメンターシップによって監視され、エージェントが必要な能力を順調に習得することを保証します。
トレーニング完了後は、習得内容を標準化された教育モデルとして他のL1エージェントにも展開可能となり、サービス全体の品質が底上げされます。
この仕組みにより、エスカレーション件数が減少し、一次解決率が向上し、MSPsがより有能で自律的なITサポートスタッフを育成するのに役立ちます。

タスク管理の自動化

作業量と経験に基づいてタスクを自動的に追跡し、適切な担当者に割り当てることで、Agentic AIはタスク管理を簡素化します。
あらかじめ設定された指標に基づき、タスクの状態を継続的に把握し、遅延が発生しそうな場合は事前に通知。AI主導のプロアクティブな通知は、タスクの完了に予想以上の時間がかかる前にユーザーに警告を発し、納期遵守を支援します。
タスク完了後は、自動でクローズ処理を実行し、手動での追跡や確認作業を削減し業務効率が大幅に向上します。

L1サポート依存を減らし、カスタマーサービス品質を強化

現在、ユーザーは「常時対応・即時解決」のITサポートを当然のように求めています。
しかし、従来のL1サポートチームは、パスワード再発行、システムアクセス申請、ソフトウェアのインストールなど、繰り返し発生するチケット対応に追われがちです。
こうした典型的な問い合わせは、Agentic AIを搭載したバーチャルエージェントが即座に処理します。人的対応を不要とすることで、サポート体制の負荷を大幅に軽減可能。文脈認識型バーチャルアシスタントやAIチャットボットが個別に最適な対応を行い、ユーザー満足度を向上させます。
インテリジェントなチケットルーティングと優先度制御により、複雑な課題は速やかに適切な担当へエスカレーションされ対応遅延を防止できます。
MSPはこれにより、貴重なIT人材をより高度で付加価値の高いプロジェクトへシフトさせながら、優れたカスタマーサービスを維持できるでしょう。

Agentic AIによる競争優位の獲得

MSP（マネージドサービスプロバイダー）にとって、サービス品質の維持と運用コスト削減の両立は常に大きな課題です。
IT環境の複雑化と顧客要求の高度化が進むなか、従来型のリアクティブ（事後対応型）なITSM（ITサービスマネジメント）では、競争力を維持することがますます困難になっています。
こうした課題に対応するため、MSPはAgentic AIを活用して業務プロセスを自動化し、リソース配分を最適化、さらには障害の予兆を検知し未然に対処する能動的な体制を構築することで、ITサービスの品質と効率を同時に高めることが可能になります。
自己修復機能や予測保守を備えたAgentic AIを導入することで、サービスのエスカレーションやチケット数、IT資産の管理負荷を削減し、TCO（総所有コスト）を大幅に抑制。
結果として、MSPは費用対効果の高い、高品質なITサポートを提供しながら、収益性の向上も実現できます。
こうした先進的なAI主導型ITSMをいち早く導入することで、MSPは業界内でリーダーとしての地位を確立し、他社に先行する競争優位性を獲得することができます。
弊社のAI搭載サービスマネジメントプラットフォームにご興味をお持ちの方は、ぜひお気軽にお問い合わせください。

2025/6/3 - 読み終える時間: ~1 分

Notes/Domino 注目サポート技術情報 (2025年5月）を公開しました。バックナンバーも同ページに掲載しています。

「Notes/Domino 注目サポート技術情報」は、お客様からよく参照されている技術情報や、サポートからお客様にご参照いただきたい技術情報のリスト化したものです。

2025/5月/29 - 読み終える時間: 2 分

Shift-Left Security: A Proactive Strategy for Effective Risk Managementの翻訳版です。

現代のアプリケーション開発において、書かれるすべてのコードにはリスクが潜んでいます。そして、そのリスクに早期に対処することこそが、安全な開発の鍵となります。
アプリケーションの複雑化、サイバー脅威の高度化、さらには迅速なリリースが求められる中、ソフトウェア開発ライフサイクル（SDLC）全体にセキュリティを統合することが、これまで以上に重要になっています。
本記事では、開発初期段階からセキュリティを実装する「Shift-leftセキュリティ」の考え方と、その実践におけるHCL AppScanの役割についてご紹介します。

Shift-leftセキュリティとは？

Shift-leftセキュリティとは、ソフトウェア開発ライフサイクル（SDLC）の初期段階からアプリケーションセキュリティテストのセキュリティ対策を組み込む、プロアクティブなアプローチです。
従来のように開発終盤やリリース直前に脆弱性対応を行うのではなく、設計やコーディングのフェーズで脆弱性を検出・修正することで、後工程でのコストや手戻りを最小限に抑えることができます。
この「左（早期）」へのシフトするアプローチを採用することで、企業は以下のようなメリットを得られます。

• 脆弱性の早期発見、修正コストと工数を大幅削減
• 本番環境へ移行する前のリスク最小化
• 開発・運用・セキュリティチームの連携強化

現代の AppSec でShift-leftが重要視される理由

１． コスト効率の向上：開発後期またはリリース後に脆弱性を修正する場合、そのコストは設計・実装段階の最大100倍になるといわれています。
２． 市場投入までの時間短縮：初期段階で問題を解決することで、リリース遅延を回避し、スムーズなデリバリーを実現します。
３． チーム間の協業促進：セキュリティを開発者、セキュリティチーム、運用担当者が協力して共通課題として捉えることで、セキュアなアプリケーショ ンを構築することにつながります。
４． コンプライアンス遵守：セキュリティを初期から実装することで、より確実な法令順守を可能にします。

HCL AppScanによるShift-leftセキュリティの実現

HCL AppScanは、Shift-leftセキュリティをシームレスに実現するための機能を豊富に備えています。

• 開発者向けツール：Visual StudioやEclipseといった主要なIDEに直接統合し、開発者がワークフローの中で直接スキャンやインサイト取得の対応が可能。
• 包括的なテスト機能：静的アプリケーションセキュリティテスト（SAST）およびインタラクティブアプリケーションセキュリティテスト（IAST）テストなど、多様な手法での対応により、AppScanはSDLC全体にわたって脆弱性の検出を実現。
• 自動化とCI/CD統合：AppScanは自動化をサポートし、CI/CDパイプラインと統合することで、開発プロセスの一環として継続的なセキュリティテストを可能にします。
• AIによる優先度付きのレコメンド：AppScanは高度なAIを活用し、重要度の高い脆弱性から対応できるよう、効率的な問題解決を支援。

Shift-leftの成果：導入事例

ある世界的なEC企業では、HCL AppScanを活用したShift-leftの実践により、わずか6か月で脆弱性を60%削減し、リリースサイクルを25%短縮することに成功しました。初期段階でのテストと開発者の自律性強化が、セキュリティと生産性の両面で大きな成果をもたらしたのです。

Shift-left導入に向けたステップ

１． セキュリティを開発ツールとの統合：HCL AppScanのようなソリューションを、既存の開発環境にシームレスに統合できるソリューションを組み込みましょう。
２． テストの自動化：CI/CDパイプラインにおける静的・動的テストの自動化で、継続的なセキュリティ検証が可能になります。
３． チーム教育：開発者に対して、セキュアコーディングやツールの活用に関するトレーニングを実施しましょう。
４． 効果測定：脆弱性検出数、修正に要する時間、コンプライアンススコアなどで成果を可視化します。

セキュリティは「Shift-everywhere」へ

現代の開発において、Shift-leftはもはやトレンドではなく、必要不可欠な取り組みです。HCL AppScanはこの考えをさらに進化させ、「Shift-everywhere」、すなわちソフトウェアサプライチェーン全体を対象としたセキュリティ強化を提唱しています。
開発初期から運用後に至るまで、ソフトウェアライフサイクル全体のすべての工程でセキュリティを組み込むことが、組織とユーザーの未来を守る鍵となるのです。

より安全な開発体制に向けた第一歩として、HCL AppScanチームへご相談ください。より安全な開発プロセスへの道を共に歩みましょう。