2020/7/14 - 読み終える時間: 2 分

AppScan の動的解析では、テストされた要素に関連してユーザーから質問が出てくることがよくあります。その疑問に答えるブログ記事 The Elements of Application Security Testing (With Apologies to Strunk and White) が英語版ブログにポストされました。その翻訳版を掲載します。

アプリケーション・セキュリティ・テストの要素（Strunk & White への謝罪を込めて)

2020年7月8日

著者: Shahar Sperling / Chief Architect at HCL AppScan

翻訳者注: "Strunk & White" は、適切な記述方法を記した書物 (The Elements of Style) の著者名。

動的解析では、テストされた要素に関連してユーザーから質問が出てくることがよくあります。 質問の内容は様々ですが、ユーザーは一般的に以下のことを知りたいと考えています。

• テストされた要素とは何か。
• それらは本当に進捗を表しているのか。
• いつ生成されるのか。
• テストフェーズを開始すると、数字が突然ジャンプすることがあるのはなぜか。

最後のは、エラーか何かを示しているのではないかと、とても奇妙なことのように思うことでしょう。 しかし、最初の3つの質問に答えれば、それは明らかになります。論理的にも。それについては、このブログで可能な限り説明します。

ルールについて

HCL AppScan の動的テストは、ルールによって定義されています。厳密に言えば、AppScan のルールは作業を定義する変種で構成されています。しかし、この記事では、より一般的な用語を使用します。

• ルールとは、問題を検出するための具体的なテスト命令です。
• 各ルールは、特定の課題タイプを識別するために使用されます。複数のルールが同じ課題タイプを識別することができます。
• ルールは特定の HTTP コンポーネントをテストします。たとえば、アクティブ・テストは HTTP クエリ・パラメータを変更したり、パッシブ・テストはレスポンス・ヘッダーを検査したりします。
• スキャナは各 HTTP コンポーネントタイプのルールのリストを保持します。ここで使用する用語は、エンティティタイプです。
• 各ルールのリストは、ルール範囲と呼ばれる 1 つまたは 2 つのサブリストで構成されています。最初の範囲は、互いに並行して実行できるルールのリストです。2 番目の範囲は、連続して実行する必要があるルールのリストです。リストの中には、並列実行可能なルールだけで構成されているものもあるので、1 つの範囲を含んでいます。他のリストは、並列範囲とシリアル範囲の両方を持っています。

スキャナは 1 つのテスト段階で 2 つのパスを実行します。最初に、複数のスレッド (構成で定義されている) で並列実行可能なすべてのルールを実行し、次にシリアルに実行する必要があるすべてのルールを実行するために、シングルスレッドモードに切り替えます。

HTTP コンポーネントのエンティティの危機

エンティティタイプがあるならば、型付け(タイプ)するエンティティがあるはずだと、あなたは推測して - そしてそれは正しい - いるかもしれません。では、エンティティとは何でしょうか。HTTP コンポーネント、またはエンティティタイプは、テストできる HTTP セッションの個々の部分 (リクエストとレスポンスのペア) のいずれかになります。ホスト、パス、ディレクトリー、パラメータ、クッキー、リクエスト、レスポンスなどはすべてエンティティタイプです。

スキャナがリクエストとレスポンスのセッションを収集すると、関連するエンティティを抽出します。したがって、エンティティとは特定のセッションにおけるエンティティタイプの特定のインスタンスです。また、脆弱性をテストするコンポーネントであるため、セキュリティエンティティとも呼ばれています。HTTP トラフィックを収集して分析する際に、探索フェーズでエンティティを生成します。

「エンティティがたくさんあるじゃないか！」と思うかもしれません。そして、実行するテストの数も多く、それぞれが独自のルールのリストを持っています。その通りです。最適化がなければ、何千万ものテストを実行することになり、その多くは何度も同じ問題を見つけることになります。なぜでしょうか。 それは、AppScan が識別するリクエスト・レスポンス・セッションは多数ありますが、同じサーバー側のコードに起因する大きなグループが存在するからです。

では、最適化にはどのようなものがあるのでしょうか。いくつかのタイプがあり、その多くは何らかの方法で設定や影響を与えることができます。私たちは DOM の類似性と DOM の冗長性を利用して、リクエストとレスポンスのセッションのセット、あるいはページ全体が同じサーバーサイドのコードに由来するかどうかを判断します。そして、代表的なものを選んでテストし、残りのものは無視します。冗長性のチューニング設定は、エンティティの数にも影響を与えます。テストで使用する HTTP コンポーネントの最適なセットを選ぶために行うヒューリスティックや比較は他にもあります。それは、セキュリティエンティティを作成することです。

これは理解しておくべき最初の重要なことです: アプリケーションデータで見ることができるすべての HTTP コンポーネントが、実際のセキュリティエンティティになるわけではありません。繰り返しになりますが、これは最適化のためです。

もう 1 つ理解しておくべき重要なことは、最適化は、設定されたものとは別に、AppScan が十分なデータを収集した場合にのみ実行されるということです。どのくらいの量が十分なのでしょうか。最小限のセッション数で済むこともあれば、最後まで待って可能な限りのセッション数を確保することもあります。「いくつかの最適化は、探索の最後の最後に行われる」ということを覚えていてください。これは、上記の質問のいくつかに答えてくれるので重要なことです。

エレメント単位の視点 (Elementwise)

これで、セキュリティエンティティ、ルールの範囲、テストフェーズの 2 回のパスができました。最初のパスではエンティティを選択し、1 つの範囲にあるすべてのルールを実行し、その後、必要に応じて再度選択し、2 つ目の範囲にあるすべてのルールを実行します。このエンティティとルールの範囲のペアリングをテスト済み要素 (a tested element) と呼びます。エンティティは、ルール範囲が 1 つしかない場合は 1 つのテスト済み要素を、そうでない場合は 2 つのテスト済み要素を提供することができます。最適化、エンティティの種類、そしてアプリケーション内においてそれらが分散しているため、AppScan が探索データ（HTTP コンポーネント）から取得するテスト済み要素の数を事前に計算することはほぼ不可能です。

これで、テストされた要素が DAST スキャンで何を表し、何を意味するのかを理解したので、進捗状況の問題に入ることができます。スキャナは、完了したルール範囲をカウントオフします。これが進捗の表現です。

AppScan がテスト済み要素を生成する方法（探索中）について少し説明しましたが、他にもオプションがあります。エンティティは、手動での探索をインポートする際にも生成されます。スキャナがシーケンスを処理すると、エンティティが 2 ステップで生成されます。AppScan は一部のエンティティを最適化せずにインポート時に生成します。AppScan は残りの部分を最適化しようとしてインポートの最後に生成されます。

詳細はこちら

AppScan の技術力の詳細をお知りになりたい場合は、是非デモの要望など、お問い合わせ下さい。

2020/7/13 - 読み終える時間: ~1 分

この度、「Notes/Domino ファミリーフォーラム」を開設しました。このフォーラムは、Notes/Domino やその他関連製品についての情報共有、質問、知見を深めていただくための場所です。どうごご利用ください。

いくつか注意事項があります。

• お客様間での相互扶助の場としてもご活用ください。このフォーラムでのご質問について、HCL は回答、問題解決の義務を負いません。そのような対応が必要な問題については、技術サポートにお問い合わせください。

• HCL として専任の管理者による常時モニターを行っていません。HCL より回答をさせていただく場合もございますが、主たる業務の範囲外でありベストエフォートの内容となります。ご了承ください。

• フォーラム内の情報は、HCLからの発言を除き、HCLが保証をするものではございません。

• Notes/Domino ファミリーフォーラム

HCL Software サポートトップ画面からの行き方

• HCL Software サポートトップ: https://support.hcltechsw.com/csm
• 上部メニューの Community をクリックして Home をクリック
• Notes/Domino の 3 Sub Forums をクリック
• Notes/Domino ファミリーフォーラム

2020/7/8 - 読み終える時間: ~1 分

HCL Accelerate は HCL UrbanCode Velocity をリブランドした DevOps を支援するソフトウェアです。バリューストリームが整然と流れることで実現する DevOps の実際は、様々な乗り越えるべき障害があり、継続的な監視が欠かせません。ボトルネックを検出し、情報を共有して対策をいかに迅速に行えるかが、DevOps の鍵とも言えます。

分散した部署や仕組みを統合、監視する製品ゆえ、昨今の WFH のような状況下で威力を発揮できる製品とおのずとなっています。英語版ブログの HCL Accelerate の記事 Using HCL Accelerate to manage distributed teams の日本語翻訳版を掲載します。

分散したチームを管理するための HCL Accelerate の活用

2020年7月7日

著者: Elise Yahner / HCL

多くの組織では、突然の在宅勤務への移行を余儀なくされています。このような状況に適切に対応できていない場合や、分散したチームでの作業に慣れていない場合、対応は困難なことかもしれません。HCLでは、このようなストレスを軽減するお手伝いができないかと考えています。当社のバリュー・ストリーム管理ツールである HCL Accelerate のコミュニティー版は、無料でダウンロードしてご利用いただけます。当社の DevOps エキスパートが仮想デモを行い、HCL Accelerate のセットアップ方法をご案内します。ここをクリックして始めてみてください。

対人チームから分散チームに移行する際、最大の関心事はコミュニケーションと生産性にあると思われます。HCL Accelerate は、すべての DevOps ツールからデータを1つの場所に収集することで、ボトルネックを容易に検出し、減速箇所を把握し、パフォーマンスの変化を確認できるようにすることで、コミュニケーションと生産性の両方について支援します。しかし、HCL Accelerate は従業員の監視ツールではありません。実際には、組織にとって重要なメトリクスを把握しながら、チームが独立して作業することをより信頼できるようにするものです。チームメンバーにとっては、HCL Accelerate は、自分に割り当てられた仕事に追いつき、チーム全体で行われている仕事に追いつくのに役立つものです。管理者にとって、HCL Accelerate は、在宅ワークが生産性にどのような影響を与えているかを規模で示し、調整を行い、関係者にステータスアップデートを簡単に報告するのに役立ちます。

HCL Accelerate を使用してすべてのデータを一箇所に集めれば、チーム内およびチーム間のコミュニケーションが改善されます。ソフトウェア・デリバリ・チームの全員が同じデータにアクセスできるようにすることで、情報の共有が確保され、誰もがより良い情報に基づいた意思決定ができるようになります。自宅で仕事をしていると、グループでの立ち上げ会議や、情報を求めて同僚のデスクに立ち寄る必要がなくなるため、すべてのプロジェクト・データに簡単にアクセスできることが不可欠です。

ほとんどのソフトウェアと同様に、それは伝えるよりも見せる方が簡単です。HCL Accelerate のデモを Web ミーティングで簡単にお見せすることができます。お問い合わせフォームでご連絡ください。また、今すぐ HCL Accelerate Community Edition (無料) を入手してみてください。

Community Edition では、同時利用ユーザー数が2名、HCL のサポートなし (コミュニティーフォーラムは利用可能) の制限がある他は、すべての機能を無期限に利用できます。

2020/7/2 - 読み終える時間: 4 分

HCL のマーケティングオートメーション製品である HCL Unica 12.1 の出荷が近づいてきました。今年春の 12.0 に続いて大幅な機能強化が図られています。12.1 のリリースに合わせて HCL Unica Live! というオンラインイベントを開催しています。これを紹介する英語版ブログ Welcome to Unica Live! の翻訳版を掲載します。

HCL Unica Live! へようこそ

2020年6月30日

Tony Arnold / CMO Unica | Head of Strategy

昨年、私たちは世界中を飛び回り、1,000人以上のお客様と直接お会いしました。このような対面でのミーティングの主な目的は、今後どのようにしてコミュニティにより良いサービスを提供できるかを学ぶことでした。様々なバックグラウンドを持つお客様と数え切れないほどの会話をした結果、私たちのコミュニティがトレーニングリソースにアクセスしたり、リアルタイムで質問やコメント、フィードバックをサポートしたりするためのモバイル対応のデジタルデスティネーションを求めていること、そして率直に言って必要としていることが明らかになりました。これに加えて、ビジネスリーダーや CMO からは、Unica のユーザーレベルのイネーブルメント、トレーニング、チューニングを超えて、戦略、パートナー、顧客コンテンツを追加してほしいという要望もありました。

数ヶ月間、コミュニティのニーズの高まりに合わせて様々なプラットフォームを検討、評価、検討してきましたが、この度、正式に皆様に Unica Live をご紹介できることを嬉しく思います。

Unica Live とは何ですか？

Unica Live は、当社のイネーブルメント、イベント、戦略のすべてのコンテンツを、アクセスしやすい1つのプラットフォームに統合した、当社の新しいデジタルイベントプラットフォームです。Unica Live は、包括的でアクセスしやすいリソースの提供先として、お客様のニーズと期待に応えるダイナミックなソリューションです。

なぜこの形式なのか？

私たちの最終的な目標は、参加者の体験を可能な限り簡単で楽しいものにすることでした。私たちが調査した標準的なコンテンツやビデオのリポジトリの多くは、関連性のないコンテンツや広告が多く、イベントやイネーブルメントに役立つ論理的なコンテンツ構成が欠如していることが多くありました。さらに、ほとんどのウェビナーソリューションは、1,000人以上の参加者を対象とした安定したスケーリングができず、テレビ放送で見られるような高品質のミックスメディアコンテンツに必要な制御ができませんでした。

Unica Live プラットフォームは、最大20,000人のユーザーをサポートすることができ、ミックスメディアプレゼンテーションやスピーカーのトランジションを放送レベルで制御することができ、リプレイでも顧客からのフィードバックを得ることができます。これは投資でしたが、お客様に可能な限り最高の体験を提供するためには、わずかな費用で済んだと確信しています。

主な特徴

私たちは、お客様にライブのイベントに参加しているような感覚を持ってもらいたいと考えていました。その一環として、プラットフォームを完全にブランディングし、ウェブベースの PPT プレゼンテーションやオンラインビデオを見るだけではなく、Unica に焦点を当てたイベントに参加しているような感覚をお客様に与えることができました。私たちは、各シリーズの体験をユニークなものにするために、各放送セッションのクリエイティブな感覚を開発しました。

ビデオ放送のコンテンツを、プレゼンターやモデレーターにストリーム配信されるチャット/コメント/Q&A 機能で囲みました。いくつかのライブセッションでは、参加者は、投稿された質問に対して、対面でのライブイベントのように、プレゼンターが直接ライブで回答することが期待できます。しかし、私たちが抱える大きな問題は、多くのお客様がリプレイイベントを見ているため、ライブプレゼンテーションに質問をすることができないということです。Unica Live ではそれを解決しました。Unica Live のリプレイ中に投稿されたチャットでの質問でさえ、数週間後、数ヶ月後にモデレーターとプレゼンターの元に戻り、通常は約 48 時間以内に回答を得ることができます。

Unica Live デジタルイベントプラットフォームのもう一つの特徴は、各放送に埋め込まれたアンケートやリソースです。私たちは、様々なトピックに関する皆様からのご意見を確実にお聞きしたいと考えており、これらのアンケートやリソースを埋め込むことで、効率的で便利な場所を 1 つのプラットフォームにまとめています。7月の時点で 1,000人以上のユーザーの調査では、彼らはプラットフォームを愛しているということです。

HCL Unica Live! ではどのようなコンテンツが配信されますか？

私たちの計画では、日常的なプラットフォームのユーザーから、ビジネスオーナー、エグゼクティブ、CMO まで、Unicaのあらゆるレベルのお客様に向けたコンテンツを提供していきたいと考えています。現在、さまざまな Unica のお客様を対象とした 8 つの放送シリーズを計画しており、スペイン語のコンテンツチャンネルを含む 4 つの放送シリーズがすでに開始されています。

Unica Enablement Series

この教育的な放送シリーズは、包括的なプラットフォームのアップデートの概要と、個々の製品モジュール（Campaign、Interact、Optimize、Plan、Reporting、Cloud Native、など）についての深い掘り下げたプレゼンテーションを特徴としています。

Unica en Espanol

ラテンアメリカにお住まいのお客様、パートナーの方々ための外国語リソースです。

12 Things We Love About Unica

サービスチームリーダーのブライス・コナーズによる非常に人気の高いブログ記事を発展させたビデオシリーズです。これらの 12 の項目はそれぞれ、V12.0 リリースに含まれるように、お客様から直接リクエストされたものです。

Unica Insights

製品リーダーシップ チームが、ビジネス リーダーが Unica を最大限に活用し、ビジネス目標を達成するための最適化のヒントを提供する短いビデオです。

Let's Geek Out on Unica

Unica グローバルプラクティスリーダーの Tom Hannigan が、Unica を本当にロックにする方法を紹介する人気のコンテンツシリーズです。このシリーズでは、データ、セットアップ、チューニング、ヒントやコツ、戦略などのベストプラクティスを紹介しています。

エグゼクティブ・コーヒーブレイク

Unica CMO の Tony Arnold (私) がホストを務めさせていただくこのカジュアルな戦略レベルのシリーズは、特別ゲストを招いて、HCL SWのアップデート、ブランドビジョン、製品ロードマップ、ベストプラクティスなど、幅広いユニークなトピックについて議論します。

IDC の Gerry Murray 氏とのエグゼクティブ・コーヒーブレイクの第一話を見るにはここをクリック!

カスタマーショーケース

67,000人以上のプラットフォームユーザーを抱える Unica は、数百通りの方法で、多くの異なる市場で利用されています。このシリーズでは、お客様のケーススタディを紹介し、今日の市場におけるマーケティング戦略をサポートするためにUnicaがどのように活用されているかをレビューしていきます。

注目のパートナー

Martech 業界で最も古く、最も信頼されている企業の 1 つである Unica は、重要なパートナーサポートコミュニティを確立しています。このスポットライトシリーズでは、パートナーが Unica の使用事例を紹介し、ベストプラクティスを共有し、プラットフォームの基本機能を超えてどのように利用を拡大しているかを説明します。

ここをクリックして、Unica Live にアクセスし、プラットフォームが提供するすべてをご覧ください。

また、7月7日に開催されるUnica V12.1 GA (製品出荷) ローンチウェビナーに登録するには、こちらをクリックしてください。

2020/7/2 - 読み終える時間: ~1 分

WFH での課題の一つに、チームワークの困難さがあります。HCL Connections はチームがリモートで仕事をすることを前提に組まれたソフトウェアであり 、10年以上の歴史があります。これについて解説した、英語版ブログ記事 How to Create and Keep an Engaged Workforce の翻訳版を掲載します。

働きがいのある労働力の作り方と維持方法

2020年7月1日

著者: Adam Gartenberg / HCL Software

チームを鼓舞し、仕事に没頭させることは、重要な取り組みです。このことは、世界中で、リモートで仕事をするチームが増えている今、これまで以上に重要になっています。最近のギャラップ社の調査 (*1) によると、仕事に真に従事している社員は3分の1にすぎないとのことです。ギャラップ社は、エンゲージメントレベルの高い組織は生産性が高いだけでなく、一株当たりの利益も4倍に増加していると述べています。

従業員のエンゲージメントが低下する理由の一つに、仕事に必要な情報を見つけられない、あるいは情報不足が挙げられます。社員は、自分の役割に必要な情報を探すために、週に8時間もの時間を費やしていると言われています（つまり、20％の時間、週に1日は仕事ができていないことになります）。HCL Connections にはコミュニケーションのハブになる機能が備わっており、関連する情報をより迅速かつ効率的に提供できます。コミュニティは、より多くの仕事をこなすために必要な専門家と人々を結びつけるのに役立ちます。

ファイルがどこにあるのか、誰がどのように送信したのか、どのバージョンが最新のものなのかがわからないと、チームは仕事をする上で必要な情報を探すのに何時間も何週間も浪費してしまうことになります。Connections の共有ドキュメントリポジトリでは、ファイルはひとつのインスタンス（真に単一のバージョン）として管理しています。つまり、個人のフォルダでも、コミュニティで共有されているものでも、同じバージョンのファイルとして利用可能な状態になっています。どのコミュニティにいても、そのファイルにアクセスする人は常に最新バージョンを見ることができるということです。

組織の成功の基本は、ポジティブで生産的な職場環境と文化を作ることです。チームメイトと頻繁に交流する社員は、洞察力を共有し、プロジェクトに積極的に貢献し、問題解決に積極的に取り組む傾向があります。チームと人を中心とした企業文化を築くことが、成功の鍵となります。Connections には、(新規 Connections 参加者用の) オンボーディング・ウィザードが用意されており、新入社員が専門知識をどこで見つければよいのか、また、どのチームに参加すればよいのかを容易に把握できるようになっています。また、新製品の発表、グローバル・マーケティング・キャンペーン、人事部のコーポレート・コミュニケーションなどのプロジェクトでは、チームの共通の目標や活動を簡単にまとめ、共有できます。また、ユーザーがカスタマイズした Connections のホームページでは、ユーザーが必要とする情報、関連する情報をまとめて表示され、ユーザーが直接アクセスできます。さらに、Connectionsには、プロジェクトやタスクを管理するツールである Kudos Activities Plus が備わっており、プロジェクト管理用のテンプレートが含まれています。これにより、全員が最新の情報を共有し、同じ状況認識のもとで集中力を維持して業務に取り組むことができます。

HCL Connections は、人を中心としたデジタル・ワークプレイスを提供し、企業が本当に重要なこと、すなわち、人とビジネスの成果に集中できるようにします。従業員のエンゲージメントを高めることが、成功への第一歩なのです。

1 ギャラップ調査「従業員のエンゲージメントが米国で上昇中」2018年8月26日。 https://news.gallup.com/poll/241649/employee-engagement-rise.aspx

HCL Connections の製品ページ: https://www.hcljapan.co.jp/software/products/connections/

2020/7/2 - 読み終える時間: ~1 分

2020年も後半に入りました。ちょっと先のことを書きたいと思います。

2020年6月に OpenNTF のイベントにおいて、HCL からプレゼンテーションが行われました。そこで使われたスライドの 1 枚がこれです。

スライド下に時間軸がかかれていますが、今は「2020/21」のあたりになります。

• PWA は Progressive Web Application です。ブラウザー技術を応用したアプリケーションであり、PC や モバイルデバイスで動作します。
• 今後、Nomad、Verse、Sametime のそれぞれが PWA に対応します。
• 画面右側の V13 という文字が見えます。最終的に V13 で統合されていく方向性にあります。
• Notes はここには書かれていませんが、Notes はこれまで通りです。

2020年後半からは、このロードマップにしたがって、製品がリリースされていく予定です。ご期待くださいませ。

2020/6/30 - 読み終える時間: ~1 分

以下のニュースをリリースしました。

• HCL Commerce V9.1 は単なる取引を超えた世界最高水準の購入体験を提供します (2020年6月30日)

2020/6/28 - 読み終える時間: ~1 分

Cloud サービス終了に関連して、サポート技術情報「Notes クライアントでバックグラウンドレプリケーションのスレッドを増やす方法」を作成しました。ピン留されている「Cloud サービス終了のお知らせ」にもリンクを設定してあります。