2020/8/13 - 読み終える時間: 2 分

HCL Sametime はチャットとミーティング機能を提供する製品です。オンプレでもプライベートクラウドでも、どちらにでもデプロイができます。そのことについて解説した英語版ブログの記事 Is Your Head in the Cloud(s)? Choosing Between Private Cloud or on-Premises for Deploying Enterprise Meetings Solutions の翻訳版です。

あなたの頭の中は「クラウド前提」ですか。エンタープライズ・ミーティング・ソリューションの導入でプライベートクラウドとオンプレミスの選択について

2020年8月12日

著者: HCL Sametime Team

プライベート・クラウドとオンプレミス・ストレージのどちらに展開するかの決断は重要です。企業にとって正しい選択をするには、それぞれのオプションの基本的な長所と短所、そして組織の目標にどのように適合するか、あるいは適合しないかを知ることから始まります。今すぐ、プライベート・クラウドとオンプレミス・ストレージの違いを理解する必要があります。

プライベート・クラウド・ストレージとは

クラウド・ストレージは、データの保存、従業員の接続、一般的にあらゆる業務を円滑に進めるために外部のサーバーに依存しています。これらのサーバーは、サービスの維持、新しいアップデートやソフトウェアのインストール、トラブルシューティングなどの責任を負う第三者の会社によって管理されています。プライベートクラウドが人気があるのには、いくつかの明確な理由があります。

企業の会議やチャットソリューションのためのプライベートクラウドの利点

• IT の責任を軽減します。クラウドを利用することで、企業の IT 担当者は、データの保管管理を第三者に任せることで、IT 担当者の負担を軽減することができます。これにより、従業員は他の業務に優先順位をつけることができ、管理者の頭痛の種を完全に回避することができます。

• 費用対効果が高い。すべてのデータを保管するための高価な機器を購入したり、設置したり、維持したりする必要がないため、企業はコストを節約することができます。また、クラウドは、企業のストレージニーズに合わせたプランオプションを提供することで、予算に柔軟性を持たせることができます。これにより、必要な分だけを支払うことができ、意味のない支払いシステムに縛られることもありません。

• スケーラブル。クラウドベースのストレージは拡張性に優れているため、企業はニーズに応じて使用するストレージの量を簡単にアップグレードできます。これは、急速に成長している企業に、使用量の増加や速度の増加に対応するために、迅速に（自動的に）スケールアップする能力を提供します。

• 定期的なデータバックアップ。クラウドはデータのバックアップを迅速に行うため、オフィスでの一時的な技術的な問題が発生しても、クラウド上に保存されているデータが危険にさらされることはありません。

オンプレミス・ストレージとは

オンプレミス・ストレージには、独自の機能があります。オンプレミスでは、物理的なインフラストラクチャを利用して企業の物理的なサイトでデータを保存・管理しています。

また、何か問題が発生したときに機器を操作して修理するための専任の管理スタッフが必要になるでしょうし、サーバールームに詰め込まれた数十人の従業員が、ワイヤーを無造作に引っ張ったり、ユーザーマニュアルとにらめっこしたりしている未来も考えられます。

安全なエンタープライズ チャットと会議ソリューションのためのオンプレミスの利点

• アップタイムやダウンタイムをコントロールできます。オンサイトサーバーを持つことで、企業は内部ネットワークを利用して、その地域で何が起きていようともサービスを保証することができます。インターネット接続が途切れてしまうと、他の企業が停滞してしまう可能性がありますが、オンプレミス・ストレージであれば、このような問題を回避できます。

• より強固なセキュリティ。お客様のデータは、組織の近くのビルにある他のサーバーと一緒にサーバールームに置かれているわけではありません。クラウド・ストレージはデータ侵害に対してより脆弱になる可能性がありますが、オンプレミスのデータは優れたセキュリティ・プロトコルに支えられています。サーバーをオンプレミスに置くということは、サーバーへのアクセスがより制限されることを意味し、機密性の高いデータが保存されている場合は、セキュリティを管理したいと考える企業もあります。厳格なデータ保護法によって監督されている組織や業界、または政府の規制を必要とする企業では、オンプレミス型の導入が好まれることがよくあります。

• サーバーハードウェアの制御性の向上。サーバーへのアクセスが増えるということは、企業のニーズに合わせてサーバーハードウェアをアップグレードしたり、変更したりすることができることを意味します。才能と経験のある IT チームを持つ企業は、外部の技術サポートに頼ることなく、自分たちが持っているあらゆるニーズに自分たちで対応することで、これを有利に利用することができます。

選ぶ必要がないのがベストな選択であることもある

チャットや会議のデータをどのように保存するかの決定は、何を優先させるべきかについて、いくつかの深刻な議論を巻き起こす可能性があります。データのセキュリティまたはスケーラビリティ。利便性または保証されたサービス。データの一貫したバックアップまたはハードウェアの永続的な制御。エンドツーエンドの暗号化か監査可能性か。

安全なエンタープライズ ミーティングと永続的なチャット ソリューションが両方で利用できるとしたらどうでしょうか。HCL Sametime は、安全なプライベートクラウドまたはオンプレミスに展開することができます。インストールは簡単で、迅速な導入が可能です。

HCL Sametime の詳細については、こちらをご覧ください。

2020/8/13 - 読み終える時間: ~1 分

オンラインミーティングのデプロイメント (プライベートクラウドとオンプレ) には選択肢がある方がよいと HCL Software は考えています。それについて書かれた英語版ブログの記事 Are Work Video and Chat Platforms Safe? How Virtual Meetings Can Become Very Real Headaches の日本語版です。

仕事用のビデオおよびチャットプラットフォームは安全か？仮想会議が、極めて現実的に起こりうる頭痛の種になる可能性について

2020年7月16日

著者: Rebecca Bauer / HCL

バーチャルワークスペースは、今やビジネスコミュニケーションの一般的な機能です。安全なデジタル環境の中でチームがつながり、革新する力を提供するために、安全なビデオおよびチャットプラットフォームを持つことは非常に重要です。しかし、これらのツールはどれくらい安全で、企業の従業員と全体的なオペレーションにとって安全性はどれくらい重要なのでしょうか？

エクスペリエンスプラットフォームが必要な理由

企業のあらゆるコミュニケーションをサポートするスマートで柔軟性のあるプラットフォームを持つことは絶対に重要です。現代の企業は、あらゆるデバイスを使ってどこでもコミュニケーションができるツールをチームに提供しなければなりません。コロナウイルスの大流行が、今後も確実に続くであろうビジネストレンドにスポットライトを当てるならば、それはオンライン会議とデジタルオフィスの劇的な増加です。

ビデオ会議、バーチャルスタッフミーティング、リモートチェックイン、Web ベースのチャットなどが目立たない職場に戻ることはできません。 最新のエンタープライズソフトウェアの利点は多く、重要です。問題は、ビデオやチャットツールを最適化するかどうかではなく、どのように安全かつ効果的に行うかということです。

コミュニケーションが安全でない場合、リスクがある

最近の会議に関するセキュリティ侵害は、バーチャル会議が適切に保護されていないと、致命的な失敗につながることを証明しています。 個人情報が共有されたり、会議が外部から乗っ取られたり、機密データが盗まれたり、時間やお金、組織の評判が台無しになったりする可能性があります。このような混乱は、オンライン授業、地方自治体の会議、宗教的な集会など、さまざまな仮想空間を悩ませており、FBIの警告を受け、その過程でセキュリティの問題がクローズアップされています。

Zoom の場合は、「Zoombing」と呼ばれる数々の事例が、同社のソフトウェアとプライバシー保護に関するメッセージの両方の穴を露呈し、これまでの同社の驚異的な成長を物語ってきたものをへこませた。

企業にとって、リスクの範囲は個人のプライバシーにとどまらず、透明性とコンプライアンスが求められる業界に提供できるサービスのレベルにも影響を与えます。ビデオとチャットプラットフォームの選択には、間違いの余地はありません。

データ・セキュリティ・ソリューション

ビデオとチャット機能は、適切に保護されていれば安全です。それは、企業のニーズに合った適切な暗号化から始まります。多くのチャットや通信サービスは、メッセージの送信者と受信者だけが読むことができるエンドツーエンドの暗号化を使用しており、会議やチャットデータを記録、アーカイブ、または監査する必要がない組織に人気があります。

金融および政府のクライアントを扱うものを含む企業のために、セキュリティ基準や規制へのコンプライアンスを維持するための追加の要件があります。チャットアプリやビデオメッセージングを含むすべての電子通信をアーカイブする機能は、マイナーなセキュリティ機能ではありません。それは法律で義務付けられています。これを怠ると、多額の罰金、法的な影響、および回復不能な風評被害を意味することがあります。

この追加された責任というレイヤーは、任意のエンタープライズ暗号化のアーカイブと監査可能な能力を非常に重要なものにしました。セキュリティ上のニーズだけでなく、サービスを提供する業界の規制上のニーズを満たす暗号化の種類がバンドルされている安全なビデオおよびチャットプラットフォームが必要です。

だから、ビデオ会議やチャットは安全でしょうか？答えは「はい、強固なセキュリティと監査可能性を備えたコミュニケーションツールを選択する限り、安全です」。業界標準に準拠した安全なミーティングに参加してみてはいかがでしょうか。Sametime (日本語) に参加してみてください。

2020/8/13 - 読み終える時間: 2 分

https://blog.hcltechsw.com/digital-experience/5-ways-an-intranet-can-drive-employee-productivity-and-engagement/

5 Ways an Intranet Can Drive Employee Productivity and Engagement

イントラネットが従業員の生産性とエンゲージメントを高める5つの方法

2020年8月6日

著者: HCL Digital Experience Team

イントラネットは、企業の従業員が内部的にのみアクセス可能なプライベートで安全なコンピュータネットワークです（したがって、その接頭辞の「イン」）。イントラネットは1990年代にインターネットと並行して登場し、誰もがオンラインで使用できる公共のインターネットネットワークに代わる安全な代替手段として存在しています。雇用のエンゲージメントは、組織の成功の鍵を握っています。

最近のギャラップ社の調査 (*1) によると、従業員の3分の1しか本当に仕事に従事していないと言われており、従事度の高い組織は生産性が高いだけでなく、一株当たりの利益も4倍に増加しています。

イントラネットのプラットフォームは、組織内の特定のプロセスを合理化しながら、同僚間の対話を行える有用なコラボレーションツールを企業に提供しています。イントラネットが職場の生産性を高める5つの方法を見てみましょう。

コミュニケーションの向上

イントラネットは、広大な組織のフローチャートの中で、すべての部門のスタッフ間の直接のリンクとして機能するだけでなく、ブログやフォーラムをホストでき、従業員にコラボレーションのためのユニークな出口を提供できます。イントラネットネットワークは、従業員が創造的で力を与える方法でコミュニケーションを取れ、それ以外の方法では発生しないかもしれませんが、必要とされるコミュニティの感覚を促進できます。

イントラネットにはコミュニティやディスカッションボードがあるので、従業員が他のスタッフを探すために扱いにくい会社の名簿をふるいにかける代わりに、イントラネットを使って簡単に彼らとつながり、彼らがやっている仕事を迅速に強化できます。

さらに、イントラネットネットワークは、会社のアップデート、アラート、アクションアイテムを効率的に全員に配信し、時間を節約し、社内コミュニケーションを合理化できます。

集中的なファイルストレージと包括的な検索

企業が取り組まなければならない膨大な数のファイル、文書、デジタル情報は、管理者やプロジェクトのリーダー（誰でも、本当に誰でも）を恐怖に震え上がらせることができます。必要なときに必要なデータを探し出してアクセスできるかどうかが、仕事がうまくいくかどうか、プロジェクトが失敗するかどうかの分かれ目になります。

イントラネットネットワークを使えば、すべてのファイルを一箇所に集中的に保存できるので、データ検索が速くなります。イントラネットの検索エンジンは、キーワードを検索して、必要なディスカッションやブログ、情報につなげられます。コミュニケーションも保存・保存できるので、投稿やメモを簡単に調べたり見直したりすることができます。

レスポンスタイムの高速化

問題が発生した場合、企業のイントラネット・ソフトウェアのコラボレーション性により、主要な関係者が共有している知識や専門知識を活用できます。問題が発生した場合、それがIT部門との間でのものであっても、別の部門での緊急開発であっても、すぐに問題を共有できます。

組織のための情報の導管として機能することによって、イントラネットは迅速に組織の集合的な頭脳を組み立てられ、それ以外の場合は適切に評価し、対処するためにはるかに長い時間がかかる問題を特定し、迅速に解決できます。

創造性のためのフォーラム、情報ハブ

イントラネットは、業界特有のトピックに関するディスカッションフォーラムから、次のスタッフ・リトリートのためのブレインストーミングのための非公式なスペースまで、スタッフが主導する様々な取り組みをホストできます。

従業員が接続され、彼らが行う特定の仕事にだけでなく、人々や情報のより大きなウェブに接続されていないと感じている場合、彼らは彼らの仕事でより幸せで生産的になりますか？イントラネット上には、このタイプの従事しているコミュニティに火をつけるための無限の方法があります。

会社の方針や手続きのための便利なスペース

だれでも、何年も経過し時代遅れになっているプロセスでいっぱいの、気が遠くなるような大量のスタッフハンドブックの PDF を持っているはずです。それはホコリをかぶるだけのもので、もはや必要とされていないものであることを知らせているようです。

イントラネットネットワークは、会社の手順やポリシーを織り交ぜたデジタルリポジトリであり、必要に応じて簡単にアクセスして更新できます。また、従業員が人事福利厚生のハブにアクセスしたり、休暇、経費、旅行などのために必要なフォームを取得したりできる一元化された場所にもなります。

あなたの会社のイントラネットは、部屋一杯の大量の感謝の中でセンターステージでその瞬間を得ることはないかもしれませんが、それはしばしばバックボーンです。

あなたの会社のイントラネットは、大勢の人が集まった部屋の中では、その瞬間をセンターステージで見ることはできないかもしれませんが、多くの場合、機能的で成功した組織のバックボーンとなっています。適切に設定され、積極的に使用されていれば、機能的な平日のほとんど目に見えない部分になります。そして、それがチームや従業員のエンゲージメントと生産性を向上させることができれば、より良いビジネス成果をより早く達成できるのです。

HCL Digital Experience がスタッフのエンゲージメントと生産性を高める方法については、こちら (日本語) をご覧ください。

*1: Gallup Study, “Employee Engagement on the Rise in the US,” August 26, 2018.

2020/8/13 - 読み終える時間: ~1 分

タイトルどおりの内容です。英語版ブログの記事 How BigFix Displaced Microsoft Configuration Manager for Patching の翻訳版です。

パッチ適用目的で、Microsoft Configuration Manager が BigFix に置き換えられた理由

2020年8月10日

著者: Donald Moss / Technical Advisor BigFix Team

Don Moss は、BigFix チームのテクニカル・アドバイザーです。Don は、LANDesk（現在はIvantiとして知られている）に勤務していた 2012年に BigFix を使い始めました。HCL Software に入社する前は、IBM Security でセキュリティ・ソリューション・アーキテクトおよびサイバーセキュリティ・エンジニアとして勤務していました。 彼のクライアントの一人が、Microsoft Configuration Manager（SCCMと呼ばれることが多い）を BigFix に置き換えた理由について、最近の話を紹介してくれました。

多くのクライアントは、エンドポイント管理活動に圧倒されていることが多い。多くのバージョンのオペレーティング・システムにまたがる多数のパッチのために、ほとんどの IT 運用およびセキュリティ組織は多忙を極めています。OS は Windows が主流であり、Microsoft Configuration Manager（SCCMとも呼ばれる）は、Windows OSとMicrosoft Office にパッチを当てるための最も一般的な管理ツールです。CIO が SCCM を導入するのは、Microsoft Enterprise License Agreements とパッケージ化されているため、「無料」だからです。しかし残念なことに、これまでにも問題が発生しており、その解決策を悩ませているものもあります。その結果、BigFix は組織のパッチ適用やコンプライアンス業務の改善を支援しています。このブログでは、私の最近のクライアントのひとつが SCCM を BigFix に置き換えることを決めた理由を説明します。

私のクライアントは、米国、ラテンアメリカ、ヨーロッパ、中東、アフリカ、アジアにオフィスや工場を構える、消費者向け製品や業務用製品の製造、販売、販売を行っている企業です。同社は、これらの地域で約5万人の従業員を雇用しており、24時間365日のエンドポイント管理業務を必要としています。

HCL は、脆弱性スキャン中に欠落したパッチを発見したために、IT オプスチームがセキュリティオプスに殴られていることを知りました。BigFix チームは、その真偽を確かめるための支援を依頼されました。厳選されたサーバー群を並べて比較したところ、SCCM は70～90%のコンプライアンスを報告していましたが、BigFix は 40～50%のコンプライアンスを報告していました。より詳細な調査では、BigFix は過去 3ヶ月間にリリースされたパッチだけでなく、5～6年前のパッチが見つからないことを発見しました。 IT 部門とセキュリティ部門は、BigFix のパッチ発見の正確性を検証しました。

次に、私のクライアントは、企業の経営陣が望んでいながら SCCM からタイムリーに入手できなかった自動レポートを、 BigFix を使用して作成するように私に言いました。例えば、IT部門では、パッチを当ててから6時間後でも、ほとんどのエンドポイントに「不明」のパッチステータスが表示されていることがよくありました。8日以上経っても、完全なパッチステータスレポートを SCCM から入手することはできませんでした。同様のテストでは、BigFix は数分以内にほぼリアルタイムでパッチの進捗状況を表示することができました。私は、BigFix のレポートの幅広さと幅の広さを示すことができ、CIO や CISO に対して、カスタムレポートのニーズが BigFix によって簡単に提供できることを示すことができました。

BigFix の効率的なパッチ適用機能は、SCCM が提供していたものよりも、全体的なセキュリティ態勢を改善することが明らかだったため、BigFix の投資収益率（ROI）は疑問視されることはありませんでした。ほとんどのセキュリティインシデントは、既知ではあるがパッチが適用されていない脆弱性によって引き起こされているため、エンドポイントにパッチが適用されていないエンドポイントを持つことは、セキュリティリスクが大きすぎて会社には余裕がありませんでした。BigFix は、場所、接続、ステータスに関係なく、すべてのエンドポイント（ローミングラップトップを含む）にパッチが適用されていることを、自信を持って役員に示すことができました。

この POC は非常に成功したため、私のクライアントは、発注を迅速化しながら脆弱性のあるサーバーへのパッチ適用を継続できるように、POC を延長するように依頼しました。そうすることで、クライアントはパッチ適用を簡素化し、サイバー攻撃に対する防御力を向上させることができました。

脆弱性スキャンで不足しているパッチを発見していませんか？その場合は、BigFix チームに (日本での窓口はこちら) 連絡してデモを依頼してください。

2020/8/13 - 読み終える時間: ~1 分

HCL BigFix は統合エンドポイント管理ソリューションです。完全性、即時性、自動化が強く求められるこの領域において、HCL BigFix が適切な製品であるかについてかかれた英語版ブログの記事 Improve Security and Prove Compliance with BigFix の翻訳版です。

BigFix によるセキュリティの向上とコンプライアンスの証明

2020年7月31日

著者: Cyril Englert / Solution Architect

サイバー犯罪者は執拗にネットワークを侵害し、データにアクセスしようとしています。さらに、企業の内部者が無意識のうちにハッカーに門戸を開いてしまい、データ・ビーチの可能性が高まります。継続的なパッチ適用とコンプライアンスの実践は、サイバー攻撃から企業を守るための効果的な方法です。BigFix Complianceは、CIOやCISOから信頼されており、OS、場所、接続に関係なく、すべてのエンドポイントを保護し、利害関係者や規制当局にコンプライアンスを証明しています。

BigFixプロダクトマネージャーのMichelle McGough氏は先日、セルフコンプライアンスエンドポイントでセキュリティを自動化する方法を紹介しました。以下をクリックしてビデオをご覧ください。

• 自己準拠エンドポイントによるセキュリティの自動化 (Automate Security with Self-Compliant Endpoints)
• 継続的にコンプライアンスを遵守していますか？証明できますか？(Are You Continuously Compliant? Can You Prove It?)

BigFix コンプライアンスの詳細については、ここをクリックするか、www.bigfix.com をご覧ください。

2020/8/13 - 読み終える時間: 6 分

HCL Z and I Emulator (ZIE) は、文字通り IBM のメインフレームにアクセスするためのエミュレーターであり、高度が付加機能を備えています。そのひとつの API について書かれた英語版ブログの記事 Automation using PCSAPI の日本語版を掲載します。

PCSAPI を使った自動化

2020年8月11日

著者: Sudhir Ranjan Rout / Senior Developer, HCL

はじめに

ZIEWin は、IBM メインフレーム/AS400/VT セッションと通信するためのエミュレータインターフェイスを提供します。これは、ホストのデータの読み取りと更新を行い、他のアプリケーションとホストをインターフェイスするために使用されます。トランザクションのエミュレータ画面上で手動タスクを実行すると、反復的になり、長期的には以下の問題を持つことになります。

• 非効率
• 冗長性があり、エラーが発生しやすい
• 時間がかかるため高価

ZIEWin は、ユーザーが一般的に実行されるタスクを自動化できるようにするために、多くのアプリケーション・プログラミング・インターフェース (API) を公開しています。異なるAPIは特定の機能のセットで提供されており、異なる目的に使用でき、ユーザーの要件に基づいて異なるプログラミングインターフェイスを提供します。異なる API は、Visual Basic for Applications（したがって、MS Officeアプリケーションをサポート）、C/C++、C#、Java、LotusScript、REXなどのプログラミング言語をサポートしています。

ZIEWin が提供する API セットとその機能のリストは以下のとおりです。

• Windows セッション API (PCSAPI) のためのZと私のエミュレータ：ZIEWin のセッション管理
• エミュレータ高レベル言語API(EHLLAPI)。セッションが確立されると、ワークステーション アプリケーションとホスト システム間の相互作用を管理
• Z and I Emulator for Windows Host Access Class Library (HACL)。アプリケーションプログラマがホストアプリケーションに簡単かつ迅速にアクセスできるようにするオブジェクトのセット セッションが確立された後、アプリケーションとホストシステムを使用できます
• SRPI リクエスタープログラムを書くためのツールを提供する拡張コネクティビティファシリティ(ECF)

今回のブログでは、PCSAPI について詳しく見ていきます。

PCS Session APIは、ZIEWin セッションの起動、セッションのオープン、セッションのクローズ、接続、切断を行えます。EHLLAPI API は IBM EHLLAPI 通信標準（TN3270 と TN5250 プロトコル）と密接に結合されているため、セッション管理 API の機能はありません。ZIEWin のセッション API はまた、プリンタ、ページ、クエリワークステーションプロファイル/セッションリスト/エミュレータのステータスを設定するための機能を提供します。これらの API は、EHLLAPI/HACL API と組み合わせて使用することで、自動化サイクルを完成させられます。

関数呼び出し規約

ZIEWin セッション API は、プログラミングを簡単にするために、すべての関数のシンプルなプロトタイプに従っています。上述したように、これらの API は複数のプログラミング言語(VBA、C/C++、C#など)を使用してアクセスしてプログラムできます。

関数タイプ: API の戻り値の型 関数名: 呼び出される関数 引数: 関数に渡される入力引数で、1 から 3 までの値があります。

以下に、最も一般的に使用されるPCS APIとそのプロトタイプを示します。

1. PCConnectSession BOOL WINAPI PCConnectSession(char cShortSessionID)

2. PCDisconnectSession BOOL WINAPI PCDisconnectSession(char cShortSessionID)

3. pcsQueryConnectionInfo BOOL WINAPI pcsQueryConnectionInfo(char cShortSessionID, CONNECTIONINFO *ConnectionInfo)

4. PCStartSession ULONG WINAPI PCStartSession(PSZ lpProfile, char cShortSessionID, USHORT fuCmdShow)

5. pcsStopSession BOOL WINAPI PCStopSession(char cShortSessionID, USHORT fuSaveProfile)

6. pcsQuerySessionList ULONG WINAPI pcsQuerySessionList(ULONG Count, SESSINFO *SessionList)

これらのAPIの詳細については、こちらをご覧ください。

MacroExecutionBlockDiagram:

次の図は、ZIEWin の API - マクロエンジン - IBM ホストのフローのハイレベルビューを示しています。

コード スニップされたVBAコード (Excel 用)

A. Declarations

'Declaration for PCSAPI functions and defining their prototype to VBA engine
Declare PtrSafe Function pcsStartSession Lib "PCSAPI32.DLL" (ByVal buffer As String, ByVal SessionID As Integer, ByVal CmdShow As Integer) As Integer
Declare PtrSafe Function pcsStopSession Lib "PCSAPI32.DLL" (ByVal SessionID As Integer, ByVal SaveProfile As Integer) As Integer
'Declaration for EHLLAPI functions and defining their prototype to VBA engine
Declare PtrSafe Function ZIEWin_SendKey& Lib "PCSHLL32.DLL" Alias "hllapi" (HllFunctionNo&, ByVal HllData$, HllLength&, HllReturnCode&)
Declare PtrSafe Function ZIEWin_SetCursor& Lib "PCSHLL32.DLL" Alias "hllapi" (HllFunctionNo&, ByVal HllData$, HllLength&, HllReturnCode&)
Declare PtrSafe Function ZIEWin_ConnectPS & Lib "PCSHLL32.DLL" Alias "hllapi" (HllFunctionNo&, ByVal HllData$, HllLength&, HllReturnCode&)
'Defining Global Variable
Dim SessionID As Integer
Dim ProfileName As String

B. Entry Function

'Function entry point which drives the automation
Sub PCSAPISample()
SessionID = 65 'Session A
ProfileName = "Iseriesdemos.WS" 'change it session name of your preference
'call the LaunchZIEWinSession Sub
LaunchZIEWinSession ProfileName, SessionID
'Create a EHLLAPI connection with ZIEWin
ConnectZIEWinSession
'Move the cursor to desired location on the ZIEWin Screen
moveCursor 8, 53, 10
'Send a string to ZIEWin Screen
sendString "HelloWorld"
'Disconnect and close the ZIEWin Session
StopZIEWinSession SessionID
End Sub

C. ConnectZIEWinSession

'Function to establish connection to a ZIEWin session
Public Function ConnectZIEWinSession()
    HllFunctionNo = 1
    HllData = "A"
    HllLength = 4
    HllReturnCode = 0
    RC = ZIEWin_ConnectPS(HllFunctionNo, HllData, HllLength, HllReturnCode)
    If RC = 0 Then
        MsgBox "Connection Established"
    Else
        MsgBox "Connection Failed"
    End If

End Function

D. LaunchZIEWin Function

'Function to launch the ZIEWin session
Public Function LaunchZIEWinSession(ProfileName As String, SessionID As Integer)

    On Error Resume Next
    Dim RC As Integer

    'PCSStartsession take 'session profile file' and the session ID (65->ASCII->'A')
    RC = pcsStartSession(ProfileName, SessionID, 2)

    If RC = 0 Then
        MsgBox "ZIEWin Launched Successfully"
    Else
        MsgBox "ZIEWin Launched failed"
    End If
End Function

E. Stop ZIEWin Session

'Function to disconnect and stop the ZIEWin session
Public Function StopZIEWinSession()

    On Error Resume Next
    Dim ziewinStop As Boolean

    'PCSStopSession takes Session ID and save mode as input
    ziewinStop = pcsStopSession(SessionID, 2)
    If (ziewinStop = True) Then
        MsgBox "ZIEWin Closed Successfully"
    End If
End Function

サンプルコードをダウンロードしてみてください。

PCSAPIの呼び出しをテストするために使用できるエクセルのサンプルを添付します。

PCSAPI_ZIEWin _Sample

お問い合わせ

HCL ZIEでのWebアプリケーションの整理、自動化機能、ラボサービスの提供に関する詳細については、以下までお問い合わせください。

ZIO@hcl.com

Sudhir Ranjan Rout

Developer, Lab Services

2020/8/13 - 読み終える時間: 7 分

https://blog.hcltechsw.com/accelerate/how-to-connect-sonarqube-to-hcl-accelerate/

How to Connect SonarQube to HCL Accelerate

SonarQube と HCL Accelerate の接続方法

2020年8月12日

著者: Daniel Trowbridge / Technical Lead, HCL

このチュートリアルでは、HCL Accelerate と SonarQube の統合を設定する方法を説明します。SonarQube は、コード品質の測定と追跡、および静的コード分析のために、バリューストリームと一緒に使用することができます。SonarQube 統合は、後述する webhook パターンに依存するという点で、他の統合とは少し異なります。このパターンは効率的ですが、SonarQube インスタンスの追加設定が必要で、このチュートリアルで説明する証明書の問題が一般的です。

あなたに必要なもの

HCL Accelerate での管理職権限

• ユーザーアクセスキーの作成
• 統合の作成

SonarQube の管理者権限

• SonarQube auth トークンの作成
• プロジェクトまたはグローバルレベルのウェブフックの作成
• HCL Accelerate 証明書のトラブルシューティングと問題解決

1. Webhook パターン

HCL Accelerate は、SonarQube と統合するために webhook パターンを使用します。webhookは、プロジェクトの分析が終了するたびにHCL Accelerateに通知するために使用され、HCL Accelerate はその後、分析に関する追加情報を SonarQube から取得します。各統合は、SonarQubeがwebhook URLとして使用する独自の HCL Accelerate エンドポイントを作成します。この方法で複数の SonarQube 統合を設定したり、1 つの統合をウェブフックするように複数の SonarQube インスタンスを設定したりすることができます。ニーズによって異なります。

**2. 統合の作成***

HCL Accelerate で SonarQube 統合を作成します。Settings」>「Integrations」と進み、「Plugins」タブの下にあるSonarQubeプラグインの「Add Integration」をクリックします。必要なフィールドをすべて入力します。

注：イテレーションを作成した後、アップデートが利用可能かどうかを確認してください。統合を最新バージョンにアップデートすることをお勧めします。

• インテグレーション名
• SonarQube URL
• SonarQube 認証トークン: SonarQube の認証トークンは、SonarQube の「ユーザー」＞「マイアカウント」＞「セキュリティ」（SonarQube のドキュメント）から作成することができます。
• HCL Accelerate User Access Key: アクセストークンを作成するには、「設定」→「マイプロファイル」で「作成」をクリックします。アクセスキーは、使用するインテグレーションに合わせて名前を付けておくと良いでしょう。後でキーをコピーできなくなるので、この時点で必ずコピーしておきます。

3. Webhookの設定。

HCL Accelerate の「統合」タブに移動して、統合が作成されたことを確認します。統合の詳細を展開して、そのエンドポイント URL を確認します。このエンドポイント URL を指すように SonarQube のウェブフックを設定します。SonarQube のウェブフックは、プロジェクトレベルまたはグローバルレベルで設定できます。詳細については、SonarQube のドキュメントを参照してください(https://docs.sonarqube.org/latest/project-administration/webhooks/)。

• HCL Accelerate からの統合コールバック URL のコピー
• 統合コールバックURLでSonarQube Webhookを設定

4. Webhooks のトラブルシューティング

4.1 webhook エラーの原因の特定

SonarQube の現在のバージョンでは、Webhook の失敗エラーは簡単には表示されません。webhook エラーをトラブルシューティングするには、まず SonarQube コンピュートエンジンのログレベルを DEBUG に変更してから、プロジェクト解析を実行して webhook を起動し、UI からログをダウンロードして（またはサーバー上のログを検査して）、webhook エラーを報告している行を探してください。詳細は SonarQube のドキュメントを参照してください。

4.2 一般的な証明書エラー

webhook は https であるため、SonarQube は証明書要件を強制するため、通信に失敗する可能性があります。証明書は通常、以下のような理由で失敗します。

• トラストストアの要件。詳細は下記の自己署名証明書エラーの解決を参照してください。
• ホスト名の一致: 証明書で指定されたホスト名は、webhook URL で使用されるホスト名と一致している必要があります。

5. 自己署名証明書エラーの解決

HCL Accelerate の本番インスタンスでは、認証局（CA）が発行した証明書を使用する必要がありますが、特にテストや実験システムでは、本格的な証明書が必ずしも利用できるとは限りません。そのような場合は、HCL Accelerate に同梱されている自己署名証明書を代わりに使用することができます。ただし、自己署名された証明書であるため、SonarQube のようなサードパーティ製アプリケーションを信頼するように設定する必要があります。さらに、証明書のホスト名は、webhook ホスト名と同じである必要があります。

5.1 有効な証明書ホスト名の確認

まず、ホスト名が正しく設定されていることを確認します。証明書のホスト名が実際のホスト名と一致しない場合は、実際のホスト名を変更するか、正しいホスト名で新しい証明書を作成してください。例えば、以下のように OpenSSL を使用します。

openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 365 -out certificate.pem

新しい証明書が作成された場合、HCL Accelerateはその証明書を使用して設定する必要があります。docker-compose インストールの場合、証明書は /2.0.4/conf/ssl の下に配置する必要があります。

5.2 証明書を SonarQube サーバーにコピーする

証明書は、HCL Accelerate サーバーから直接コピーすることができます。Docker-Compose インストールの場合、証明書は/conf/sslの下にあります。また、ブラウザーから直接証明書をダウンロードすることもできます。Firefoxでは、証明書を表示してダウンロードできるようにすることで、これを簡単に行うことができます。証明書を入手したら、SonarQubeサーバーに転送します。例えば、SCP を使用したり、他の任意の方法で転送することができます。

FireFox で証明書をコピーするには？ URL 証明書のドロップダウンから「More Information」をクリックし、「View Certificate」をクリックして、PEM ファイルをダウンロードします（Mac 版 FireFox は以下の図とは異なる UI を持っています）。

5.3 SonarQube サーバーの Trust Store に証明書を追加する

オプション A - デフォルトのトラストストア "cacerts"

デフォルトの Java トラストストアは「cacerts」です。これが SonarQube が使用しているトラストストアであれば、自己署名証明書を "cacerts" に追加し、SonarQube を再起動して作業を進めることができます。

• を証明書の記述的なエイリアスに置き換えます。
• を実際の証明書パスに置き換えてください。
• 実際のパスワードを使用します。そうでない場合は、changeit とします。以下のコマンドを使用して、cacertsのトラストストアに証明書を追加します。

$JAVA_HOME/bin/keytool -import -trustcacerts -keystore -cacerts -storepass changeit -noprompt -alias <cert_alias> -file <cert_path.pem>

• 証明書がcacertsに追加されたことを確認します（オプション）。

$JAVA_HOME/bin/keytool -list -v -cacerts -storepass changeit | grep <cert_alias>

オプション B - 新しいトラストストア

場合によっては、単に証明書をデフォルトのトラストストアとして cacerts に追加するのではなく、新しいトラストストアを設定する必要があるかもしれません。

1. トラストストアとして使用する新しいキーストアを作成します。

必要に応じて、以下のコマンドを実行して値を置換してください。

• を証明書の記述的なエイリアスに置き換える。
• を実際の証明書パスに置き換える。
• を実際の名前に置き換える。
• パスワードは changeit 以外のパスワードを作成することを検討してください。

$JAVA_HOME/bin/keytool -import -trustcacerts -alias <cert_alias> -file <cert_path.pem> -keystore JAVA_HOME/lib/security/<new_trust_store.jks> -storepass changeit -v

2. 先ほど作成した .jks ファイルをトラストストアとして使用するように SonarQube を設定します。

<SonarQube インストールパス>/conf/sonar.properties を以下のように編集します。

• <新規作成された .jks ファイルへのパス>を実際のパスに置き換えます。
• changeit "ではない場合は実際のパスワードを使用してください。

#--------------------------------------------------------------------------------------------------
# TRUST STORE
# Overrides default trust store for certificates (Default is $JAVA_HOME\lib\security\cacerts)
sonar.ce.javaAdditionalOpts=-Djavax.net.ssl.trustStore=<path to newly created .jks file> -Djavax.net.ssl.trustStorePassword=changeit -Djavax.net.ssl.trustStoreType=jks

6. 証明書エラーの代替回避策: http ルート の使用

デフォルトの webhook ルートは https です。これは確かにセキュリティ上の理由から推奨されています。webhook の http ルートを公開することで証明書の要求を回避することは可能ですが、可能であればこれは避けるべきです。自己署名証明書とは異なり、http ルートは証明書の認証の利点を取り除くだけでなく、 トランスポート層の暗号化も取り除きます。http ルートを使う場合は、このトレードオフを意識することが重要です。

6.1 http ポートを公開する

docker-composeインストールでは、以下に示すように、ポート6004を開くために docker-compose.override.yml 構成ファイルを使用します。このファイルは、HCL Accelerateのインストールディレクトリーに、Accelerateのdocker-compose.yml ファイルと一緒に作成します。オーバーライドファイルがすでに存在する場合は、必要に応じて、services、reporting-consumer、および ports の下に適切な構成を追加します。

version: '2.1'
services:
  reporting-consumer:
    ports:
      - "6004:6004"

6.2 webhook の変更

SonarQube の webhook URL を、https レポート作成用の消費者ルートから http ポート 6004 ルートに変更します。

デフォルトの https 形式

https://<accelerate-hostname>/reporting-consumer/pluginEndpoint/<integration id>/sonarqube/callback

http 形式を変更します。

http://<accelerate-hostname>:6004/pluginEndpoint/<integration id>/sonarqube/callback

2020/8/13 - 読み終える時間: 3 分

AppScan を道具として継続的に使いこなす方法について書かれた英語版ブログの記事 HCL AppScan - Constructing Continuous Security の翻訳版です。

HCL AppScan - 継続的なセキュリティの構築

2020年8月12日

著者: Rob Cuddy / HCL

継続的セキュリティに関する最初のブログでは、2 つの主要な能力を含む 3 つのテーマ領域の概要を説明しました。 今回のブログでは、Construct のテーマと Design and Automate の機能に焦点を当ててみたいと思います。

Construct は、既存のソフトウェア開発プロセスにセキュリティを追加しようとする場合、ほとんどの組織が最初に着手する場所です。チームは API を使用したり、CLI を活用したりして、コードのコミットやビルド時に行われるスキャン機能を提供します。そして、それらのスキャンの結果とフィードバックを実行可能なものにする方法を探します。

これは素晴らしいスタートです。

しかし、本当にうまく構築したいのであれば、考慮すべきことはもっとある。例えば、山の中に旅行に行き、夢のキャビンを建てるのに最適な土地を見つけたとします。あなただけの木を切り倒して建物を建てることから始めますか。もちろんそうではありません。あなたは計画を立てることから始めます。そこには、許可を得るために、発生する必要があり、最初に構築され、設定する必要がある基礎を地面に水平にする必要があります。 その小屋を成功させるためには、方法と順序があります。

ソフトウェアにも同じことが言えます。

多くの組織は、何年もかけて技術的な負債を回収してきましたが、今ではその負債を返済するか、新しい機能を作るかの日々の戦いになっています。多くの場合、技術的な負債を処理しなければならない時は、そうせざるを得ない時であるように思われます。技術的な負債を処理しないことの痛みや壊れ方があまりにも大きくなり、物事を変えなければならなくなる。対照的に、成功しているビジネスは、これらの考え方の間で適切なバランスをとることができるものです。。何が彼らにこれを可能にするのでしょうか。それは、デザインに注意を払うことです。

デザイン

建築の世界 では「形は機能に従う」とよく言われます。つまり、建物や構造物をどのように作るかは、それが何に使われるかによって大きく決まるということです。意図によって発明が決まるのです。

ソフトウェアでは、私たちは直感的に同じものが欲しいと分かっていても、狭く限られた範囲で運用することが多い。新しい機能や能力を構築し、それを使って何を達成したいかは分かっていますが、それがシステムの他の部分とどのように相互作用するかを実際に確認する手段や可視性が不足していることがよくあります。そして、セキュリティにとっては、これが大きな問題となります。

そのため、継続的なセキュリティに関しては、プロジェクトの開始時から、SDLC のすべての段階で継続的なセキュリティを導入する必要があります。これは、ユースケース、ヒルステートメント、ユーザーストーリー、カンバンボードなどのすべてに、セキュリティの特定の側面が含まれていることを意味します。与えられた機能がどのように動作するかの概要を示す何十ものステップを含む叙事詩を作成し、最後に「そしてそれは安全でなければならない」というステップを追加するような時代は終わりました。

優れたデザインをすることはチームスポーツであり、複数のプレイヤーが必要です。あなたが開発者であれば、最後に脅威のモデリング演習に参加したのはいつですか。自分のコードが危険にさらされる可能性のあるさまざまな方法を考えたことがありますか。あなたがセキュリティの専門家であれば、開発チームを評価に参加させたのはいつですか。ビジネスへの影響に関連して、脅威とリスクを検討していますか。

ここでは、設計に関するいくつかの "Robservations" を紹介します。

• 脅威のモデリングにゲーミフィケーションを使用する。 脅威のモデリングにゲーミフィケーションを使用することで、コミュニケーションを容易にし、非難ゲームを避けることができます。 使うことができる素晴らしいゲームがあります。 特権の昇格 (Elevation of Privilege) (githubでも利用可能)

• 制約として機能するセキュリティ要求事項がある。 セキュリティ要件を満たさないソフトウェアのデプロイは、それらが解決されるまでプロセスを停止させるべきです。
  • これはまた、セキュリティ上の欠陥を発見した人が誰 (Anyone) でも、配送や出荷を停止することを許可すべきであることを意味しています。これは、問題が修正されるまで自動車作業員が生産を一時停止することを許可する、有名なトヨタの工場のアンドンの仕組み (Andon cords) と同じ考えです。
  • セキュリティ上の欠陥を修正するためにリリースを遅らせた方が、後になってデータ漏洩によってその代償を支払うよりもずっと良いことです。

• プロジェクトに敵対的ユースケースを追加して、失敗しないようにする。 例えば、侵害につながる可能性のある様々なステップやイベントを検討し、それらを1つ以上のユースケースで定義する。
  • 例として。例えば、あるユースケースでは、次のような簡単なステップがあるかもしれません。 "リモートハッカーとして、不正なURLを挿入し、それによってこのウェブサイトへの不正アクセスを得ることができます。
  • このようにすることで、チームは「ハッカーのように考える」ようになり、より強固なセキュリティを日常的に構築することができるようになります。

設計段階でプロジェクトのセキュリティ面について考える時間を増やすことで、後になってから脆弱性の発見、優先順位付け、修正に費やす時間が減り、全体的なサイクルタイムがほぼ確実に短縮されます。

自動化

DevOpsとDevSecOpsに関して言えば、多くの場合、多くの場合、Automate機能はほとんどの場合、そこから始めることになります。それは理にかなっています。DevOpsとDevSecOpsは、最終的には、信頼性と信頼性の高い機能をより早く提供することで、価値をより早く実現することを目的としています。しかし、自動化はスピードだけではありません。

その核心は、「なぜ自動化するのか」が「何を自動化するのか」と同じくらい重要です。おそらく、それ以上に重要です。

例えば、品質保証（QA）テスト環境に展開する前に、統合ビルドの初期検証の一部としてセキュリティテストを行いたいとします。そのためには、統合ビルドを進める前にコードストリームの静的解析テストを自動化することにします。

ビルド前に静的解析を実行することは素晴らしいことですが、重要な問題は、いつ、どこで実行するのかということです。ビルドを開始する前にビルド環境で実行しますか。もしそうだとしたら、それはビルド時間にどのような影響を与えますか。ビルドに通常30分かかる場合、その時点でスタティックスキャンを実行すると、認識されているビルド時間が2倍になる可能性があります。重要な脆弱性が見つかった場合はどうしますか。ビルドを実行しないようにしますか、それとも深刻な問題があることを十分に理解した上で、ビルドを続行させますか。それとも、個々の開発者に、コミットする前にスキャンを実行して重要な問題を解決することを義務付けるのでしょうか。その場合、開発者が問題を解決する方法を知らない場合、どのようにして解決できるようにするのでしょうか。開発者をセキュリティチームとペアにしていますか。

すべての有効な質問は、実装の前に考えなければなりません。

自動化のポイントは、単に決められた方法でテストを実行して結果を報告するだけのものではないということです。 もちろん、テストは実行されるべきであり、結果は報告されるべきである。 しかし、間違った方法で自動化を追加することは、助けるよりも傷つけることになる。 それは、情報過多やアラート疲労を引き起こす可能性があります。 優れた自動化は、行動と決定を見て、プロセスの摩擦と無駄を排除しようとする。

ここでは、助けるべきである設計上のいくつかの "Robservations" は、次のとおりです。

• 最初にボトルネックを特定する。 Eliyahu M. GoldrattのThe Theory of Constraints (または Phoenix Project を読んだことがある人)に精通している人は、ボトルネック以外のどこかのプロセスに行われた改善は幻想であることを知っているでしょう。
  • ボトルネックの後の改善は、待っているだけなので、役に立たない。
  • ボトルネックになる前の改善は、ボトルネックでさらに山積みになる。

• 小さなことから始めよう。一度にすべてを自動化しようとしないこと。 そうすることで、プロセスの一箇所での自動化の影響を測定することがはるかに困難になる。これは、後の最適化の評価をより困難にする。
  • 平凡な手動プロセスが発生している場所や、ステージ間のハンドオフがある場所を特定し、そこに自動化を追加する。
  • 自動化がその時点で追加する利益を定量化する。

• 二度測定して、一度追加すること。 熟練した大工や芸術家のように、我々が正しいことをしていることを確認するために測定値を検証することが重要である。
  • プロセスの別のポイントに自動化を追加する前に、現在のプロセスのスループットと決定要因が何であるかを自信を持って知ることができる。これにより、システムを十分に理解することができます。

詳細

今回のブログでは、Construct テーマと Design と Automate の機能に焦点を当てました。 第3部では、「強化」テーマと「教育と統治」の機能を見ていきます。このトピックについてさらに詳しく知りたい方は、"Go Beyond Application Testing to Continuous Security" と題した先日のウェビナーのリプレイをご覧ください。