2024/2/19 - 読み終える時間: ~1 分

Trends in Application Security Testing の翻訳版です。

アプリケーション・セキュリティ・テストの動向

2024/02/12

著者: Cristina Suchland / Integrated Marketing Manager, Secure DevOps

アプリケーション・セキュリティ・テストは、DevSecOps の実践において、ウェブ上での大規模なデータ共有に伴うリスクを軽減するために、ますます重要な役割を果たしています。アプリケーション・セキュリティ・テスト技術の使用（または不使用）について、専門家が経験した成功と課題をよりよく理解するために、HCLSoftwareは2023年秋に45,000人以上の専門家にアンケートを実施しました。

本レポートの調査結果は、企業によってセキュアなソフトウェア開発に対するニーズや戦略がいかに異なるか、また、ベンダーの統合、人工知能、最新のデプロイメント・モデルの問題については、かなりのコンセンサスが得られていることを浮き彫りにする鋭い洞察を提供しています。

本調査の主なハイライトをいくつか紹介しよう。

ベンダーの統合

ベンダーの嗜好について質問した企業のうち、かなりの 85 パーセントが、使用しているアプリケーション・セキュリティ・テスト・ベンダーの数の統合をすでに完了している。より一元的なセキュリティ戦略を実現するための単一プラットフォーム・ソリューションに対する選好が、最善のスタンドアローン・テクノロジを購入したいという希望を大きく上回った。

人工知能（AI）

回答者の大多数（38％）は、AIが、異常検知やカバレッジの拡大など、アプリケーションセキュリティの他の分野よりも、テストの自動化に影響を及ぼすと考えている。興味深いことに、この調査結果によると、自動修復は、アプリケーション・セキュリティにおいて影響が少ない分野の1つになりつつある。

展開モデル

今年の調査における明確な傾向は、アプリケーション・セキュリティ・テストにおけるクラウドおよびクラウドネイティブのデプロイメント・モデルへの移行である。自社のソフトウェアが完全にオンプレミス（自己管理型）にデプロイされていると回答したのは31パーセントにとどまったが、一般的なハイブリッドデプロイメント戦略の一環として、セキュリティの側面は依然としてオンプレミスで処理されている。このような戦略には、プライベート・クラウドで異なるセグメントのデータをテストし、パブリック・クラウドで他のデータをテストすることが含まれます。

本調査の全結果と主な調査結果をご覧いただき、変化の激しいデジタル環境で起こっているアプリケーション・セキュリティのトレンドについて理解を深めてください。

2023 Application Security Testing Trends Report を今すぐ入手してみてください。

2024/2/19 - 読み終える時間: ~1 分

Mobile Application Security Testing Continues Upward Trajectory の翻訳版です。

モバイルアプリのセキュリティテストは上昇の一途をたどる

2024/02/12

著者: Nabeel Jaitapker / Product Marketing Lead, HCLSoftware

モバイル・デバイスの存在感の増大とサイバー脅威の複雑化により、モバイル・アプリケーション・セキュリティ・テスティング・ソリューションに特化した成長が促進されている。

最近のレポートによると、モバイルアプリケーションの使用量の増加、安全なアプリケーションを義務付ける規制遵守、迅速な開発サイクルにより、世界のモバイルアプリケーションセキュリティテスト市場は2028年までに32億ドルに達すると推定されている。

MarketsandMarketsが発行したこのレポートは、セキュリティテストソリューションに対する需要の背景には、サイバー脅威と攻撃手法の絶え間ない進化があるとしている。また、技術の進歩に伴い、採用される悪意のある手口も高度化しており、モバイル・アプリケーションや機密データへのアクセスを危険にさらしている。

このような状況に対処するため、本レポートでは、脆弱性が悪用される前に脆弱性を特定し対処することで、新たな脅威の一歩先を行く定期的なセキュリティテストを推奨しています。このアプローチは、（マルウェア、フィッシング、コードインジェクションなどの攻撃がますます巧妙化する中で）ダイナミックに変化し続けるサイバーセキュリティの状況において、組織を支援します。

モバイルアプのセキュリティテスト

モバイルアプリケーションのセキュリティテストは、アプリケーションのセキュリティコントロールが期待通りに機能することを確実にするための、本番前のチェックと考えることができ、同時に、実装上のエラーから保護します。このテストは、開発チームが予期していなかったエッジケース（セキュリティバグになる）を発見するのに役立ちます。

このプロセスは、市場に導入する前にアプリケーションの堅牢性を確保することを目的とする企業にとって不可欠です。

効果的なセキュリティテストは、アプリの意図された目的と扱うデータの性質を包括的に理解することから始まります。静的解析（SAST）、動的解析（DAST）、対話型解析（IAST）の組み合わせを採用することで、組織は、単独のテスト手法では容易に特定できない脆弱性を明らかにする全体的な評価を得ることができます。

HCL AppScanは、ソフトウェア開発ライフサイクルの各段階において、アプリケーションの脆弱性をピンポイントで特定し、迅速な修復を可能にする一連の技術により、開発者、DevOps、セキュリティチームを支援します。さらに、クラス最高のテストツール、一元化された可視性と監視機能、オンプレミス、オンクラウド、クラウドネイティブを含む複数の導入オプションによりアプリケーションを保護することで、企業と顧客の保護を支援します。

HCL AppScan のアプリケーション・セキュリティ・テスト・ソリューション・ポートフォリオは、SAST分野のトップベンダーの中で、強力なパフォーマーとして評価されています。この評価は、今日の速いペースのデジタル+エコノミーにおいて、開発者に力を与え、コードセキュリティを強化するトップレベルのソリューションを提供することへの揺るぎないコミットメントを強調するものです。

HCLSoftwareの強力なパフォーマーとしてのランキングの詳細については、最近発表された Static Applications Security Testing (SAST) の Forrester Wave をご覧ください。

2024/2/19 - 読み終える時間: 2 分

Secure Application Code Against Vulnerabilities Faster with HCL AppScan Fix Groups の翻訳版です。

HCL AppScan Fix Groups でアプリケーションコードをより早く脆弱性から守る

2023/12/20

著者: Itay Levin / Design Lead for HCL AppScan

静的アプリケーション・セキュリティ・テスト（SAST）は、ウェブ・アプリケーションとAPIのソースコードをスキャンし、セキュリティ・リスクになり得る脆弱性を探します。この種のコードスキャンに関する根強い課題の1つは、これらのツールが膨大な数の発見をもたらす可能性があることです。これらの発見のうち、どれが修正が必要な重大な脆弱性であるかを見極めるのは、困難で時間のかかる作業になりかねません。

HCL AppScanには、スキャン結果の数を劇的に減らし（数千件から数百件に）、誤検出を実質的に排除する内蔵AIをはじめ、こうした課題を解決するためのソリューションが多数用意されています。

HCLSoftwareのクラウドおよびクラウドネイティブプラットフォーム（HCL AppScan on CloudおよびHCL AppScan 360°）の両方にFix Groupsが追加されたことで、トリアージと修復の時間が大幅に改善されました。

HCL AppScan がサポートする 3 種類の修正グループ

• 共通修正ポイント - この修正グループは、.NetやJavaのようなコンパイル済みの言語で、静的スキャナがデータ・フロー解析を実行してトレース結果を生成する場合に適用されます。この修正グループは、トレースが共通のノードを介して流れる同じ脆弱性タイプのすべての発見を組み合わせます。その共通ノードの問題を修正することで、この修正グループ内のすべての発見が解決される。

• 共通 API - 共通APIグループは、プロジェクト全体で使用されている特定のAPIに関連するすべての発見を集める。これらの問題は、別のAPIを使用するか、元のAPIの使用方法を変更することで、グループとしてまとめて解決できます。

• 共通オープンソース - オープンソースグループは、脆弱性のあるライブラリに関連するすべての問題を表示します。ライブラリの脆弱性が特定されると、関連するすべての問題は、ライブラリを更新するか変更することで、グループとして修正できます。

異なる修正グループの使用方法

修正グループのメインビュー

新しい「修正グループ」ビューには、優先順位付けプロセスにおいて修正グループの作業がどの程度効率的になるかを理解するための 2 つの KPI があります。実行される修復タスクの総数、およびそれらのタスクに関連するグループで見つかった問題の総数です。

新しい修正グループのデザインでは、UIが改善され、グリッドが表示されるようになりました。列は、修正グループのタイプ、重大度、ポリシーなどで並べ替えられます。

このレビューで行を選択すると、修正グループの詳細ドロワーが開き、複数のコメントを追加したり、各修正グループの監査を表示したりできます。

修正グループの課題

修正グループの課題ビューが更新され、各グループに関連する課題を確認できるようになりました。詳細は画面上部に表示され、コメントを表示または追加できます。修正グループのissueの表は、各修正グループのタイプに関連する列で再編成されました。例えば、共通修正ポイントではソース、シンク、ファイル名が、共通APIではコンテキストとファイル名が、オープンソースCVEでは場所が表示されます。

すでにHCL AppScan on CloudまたはHCL AppScan 360°を静的解析に使用している場合は、Fix Groupsを試してみてください。

HCL AppScan SASTをまだご利用でない場合は、無料トライアルをご利用いただき、この強力なテクノロジーがお客様のアプリケーション・セキュリティをどのように変革できるかをご確認ください。

• HCL AppScan on Cloud の詳細
• HCL AppScan 360°の詳細

2024/2/19 - 読み終える時間: 8 分

新しい試みのトライアルとして、1週間分のサポート技術情報更新のインデックスを作成してみました。しばらく継続してみます。新規追加と内容更新したものが含まれています。システム上、軽微な修正であってもリストに含まれてしまいます。予めご了解ください。

• KB0110731 (BigFix Compliance) openssl s_client が証明書チェーン全体を返さない
• KB0110782 (BigFix Inventory) 「ソフトウェアスキャンの開始」が終了コード1で失敗する
• KB0110786 (BigFix Inventory) データのインポートがDB RuntimeErrorの 「expected epoch」エラーで失敗しました。
• KB0110784 (BigFix IVR) WebUI IVRページで脆弱性の説明が空になっている
• KB0076383 (BigFix Platform) データ収集: BigFix FillDB
• KB0110735 (BigFix Platform) エラー「HTTP Error 60: SSL peer certificate」でダウンロードが失敗する
• KB0110787 (BigFix Platform) WebUIの自己署名証明書の使用
• KB0110812 (BigFix Platform) クライアントが指定したリレーに接続しない
• KB0110705 (Test Performance) Windows マシン上の HCL DevOps Performance による Citrix テストの記録が失敗
• KB0110572 (Test Server) HCL DevOps Test Hubの問題を解決するために収集が必要な情報について
• KB0110693 (Test UI) Functional Test で Apache POI jar ファイルを利用して外部 Excel ファイルからデータを読み取る方法
• KB0110463 (Test UI) トラブルシューティングための情報収集: HCL DevOps Test UI
• KB0110379 (Test UI) テスト UI でJavaコードを使用してランタイムの環境変数を設定する方法について
• KB0110699 (Test UI) Cucumber と HCL OneTest UI の統合でステップ定義ファイルでデータのパラメーター化を実行する方法
• KB0110733 (Test UI) HCL DevOps Test UIがLoggerとfeignクライアントに関連つけられたFTスクリプトの実行中にjava.lang.UnsupportedClassVersionErrorが発生する問題について
• KB0108481 (Volt MX) HCL Volt MX を使用したネイティブデスクトップアプリケーションの開発
• KB0108527 (Volt MX) iOS アプリのライブプレビュー画面に表示される青いバナーについて
• KB0110667 (Volt MX) Volt Iris のアップグレード後に RichText ウィジェットのテキストが正しく表示されない
• KB0110165 (Volt MX) オフラインオブジェクトの [Enable Upload Cache] 設定時のエラー
• KB0110781 (Volt MX) Volt Iris 9.2 で Android 用公開形式の AAB ファイルを生成する方法
• KB0110807 (Volt MX) URL に "#" が含まれていると iOS で openURL API が失敗する
• KB0104173 (Domino) HCL Notes 12.0.2 のメールテンプレートの修正について
• KB0110492 (Domino) コンソールログに表示された"Amgr: Error Adjusting Number of Executives. Executive 'X' Still Stopping...'Y' Still Starting." のエラーの意味について
• KB0105492 (Domino) 接続文書がない Domino サーバーへ移行後、データベースユーザーをリダイレクトする方法
• KB0107225 (Domino) 「信頼できるサーバー」にサーバー名を登録していない場合でも、スケジュールエージェントでリモートアクセスできてしまう
• KB0098877 (Domino) HCL Digital Solutions Academy ホワイトペーパー: Okta を使用した SAML 認証の HCL Domino の構成
• KB0110433 (Domino) パスワードポリシーの設定がNotesクライアントに適用されない
• KB0109522 (Domino) ユーザーに対して複数のインターネットメールアドレスを有効にするための設定手順について
• KB0110696 (Domino) Domino 14.0 : JSON ファイルでの入力パラメータの準備 (ID ボールト設定用の JSON パラメータ)
• KB0090631 (Domino) 高速レプリカで一部の複製の設定が複製されない
• KB0110738 (Domino) Domino Administrator の「ファイル」タブの「使用領域」列について
• KB0110747 (Domino) UNIX で Domino サーバーをクリーン再インストールする方法
• KB0095198 (Domino) 「Notes ID ファイルのパスワードをチェック」とパスワード有効期限ポリシー設定がユーザーに与える影響
• KB0093235 (Domino) 「文書が無効またはありません」エラーでID ボールトの整合性チェックが失敗する
• KB0102556 (Domino Designer) XPages: 複数列カテゴリでフィルタして次の列がカテゴリ列の場合に文書が取得されない
• KB0110444 (Domino Designer) XPages の SessionID cookie に Secure 属性を設定する
• KB0101596 (Domino Leap) HCL Domino Leap 1.1.x リリース情報
• KB0110750 (Domino Leap) app.openForm 使用時に「ReferenceError: pUrl is not defined」エラーが発生する
• KB0099100 (End of Support Products) HCL Notes/Domino v9.0.x および v10.0.x の営業活動終了 (2022年12月1日) とサポート終了 (2024年6月1日) について
• KB0110529 (iNotes) Domino 12.0.2 FP2 において iNotes のプリファレンスからインターネットパスワード変更を行うと失敗する
• KB0090643 (iNotes) iNotes で検索条件に一致するメールが表示されない場合がある
• KB0110448 (Nomad) 自己署名証明書を使用した HCL Nomad サーバーへの HCL Nomad Android からのアクセスについて
• KB0109988 (Nomad) HCL Nomad Web (HCL Nomad for web browsers) のサポートブラウザについて
• KB0096394 (Notes) mac 版 HCL Notes 12.x が VPN 経由で Domino サーバーに接続できない
• KB0110666 (Notes) Domino Restyle でナビゲーターをスタイル変更の対象にするとエラーが発生する
• KB0110488 (Notes) eml ファイルを開こうとすると、「コマンドライン引数の処理エラー。」が表示される
• KB0110698 (Notes) Notes 外部からテキストをリッチテキストフィールドにコピーペーストすると応答なしの状態になる
• KB0110785 (Notes) メールデータベースで「コピー元」を誤設定して作成したフォルダの設計変更について
• KB0102493 (Notes) バッチファイルを利用し Notes クライアントと Fix Pack をサイレントモードで一度にインストールする方法

2024/2/14 - 読み終える時間: ~1 分

サービスプロバイダーとして HCL Domino を、ID プロバイダ (IdP) として OKTA を使用して、SAML 連携ログインを設定する方法についての資料を公開しました。

• HCL Digital Solutions Academy ホワイトペーパー: Okta を使用した SAML 認証の HCL Domino の構成

HCL Notes/Domino アップグレードサイトでは他にもホワイトペーパーを公開しています。

2024/2/13 - 読み終える時間: ~1 分

HCL Volt MX Go は Domino アプリを HCL Volt MX プラットフォームと連携させる製品です。開発者向けチュートリアルを公開しました。

サンプルの Domino アプリを Volt MX 環境にインポートし、モバイルアプリ向けに最適化する基本を学べます。

無償で利用可能な HCL のクラウド環境 (HCL SoFy) を使用できますので、費用と手間がかかりません (開発環境をダウンロードしてお手元のPC/Macにインストールが必要)。ゼロからのセットアップを含めて 3-4時間程度で完了できます。是非お試しください。

• HCL Volt MX Go: HCL Volt MX Go を使用した Domino アプリのモダナイズ (開発者向け、VMXGo–Dev-100、無償)

2024/2/11 - 読み終える時間: 6 分

新しい試みのトライアルとして、1週間分のサポート技術情報更新のインデックスを作成してみました。しばらく継続してみます。新規追加と内容更新したものが含まれています。システム上、軽微な修正であってもリストに含まれてしまいます。予めご了解ください。

• KB0110447 (BigFix Platform) アクションが「サイト・コンテキストが無効です。この Fixlet サイトはもう存在していない可能性があります。」エラーで失敗します。
• KB0107543 (Model RealTime) コンパイラのバージョンが異なる場合、「setup.pl 」は応答しません。
• KB0107540 (Model RealTime) Eclipseのログにてライセンスのデバッグ ログを有効にする方法
• KB0110451 (Model RealTime) インストール時に「一部の依存関係でエラーが発生しました」というエラーが表示される
• KB0110455 (Model RealTime) Rational Rose RealTime パス マップのインポートについて
• KB0110453 (Model RealTime) Makefile の「ユーザーライブラリ」項目に余分な引用の引用符号が含まれています。
• KB0110456 (Model RealTime) 生成されたメイクファイルへ許可されないユーザー定義パスについて
• KB0102528 (Volt MX) iOS/Android デバイスで保護ビルドアプリがクラッシュする
• KB0110435 (Volt MX) 「Invalid license token has been sent in request」エラーで Volt Foundry のアクティベーションに失敗する
• KB0110339 (Domino) Domino 14.0 : JSON ファイルでの入力パラメータの準備 (ワンタッチセットアップ設定用 JSON パラメータ)
• KB0110381 (Domino) AdminCentral から登録したユーザーに明示的ポリシーが適用されない
• KB0104821 (Domino) LargeSummary が有効化されたデータベースでも「フィールドが大きすぎる(32K)」エラーが発生する
• KB0100424 (Domino) Domino 12.0.1 環境においても Microsoft Outlook より送信された Teams 会議招集メールの「説明」に記載されたダブルバイト文字が文字化けする
• KB0110419 (Domino) Windows OS の停止時に OS のシャットダウン前に Domino サーバーを停止する方法
• KB0100572 (Domino) Notes/Domino の日本語版ヘルプ
• KB0076065 (Domino) Web サーバーのセキュリティ監査で脆弱性が指摘された場合の対応について
• KB0109522 (Domino) ユーザーに対して複数のインターネットメールアドレスを有効にするための設定手順について
• KB0095568 (Domino) Domino 12.0.1 新機能: 迷惑メール対策に有効なインターネットメールの DKIM 署名
• KB0110481 (Domino) HCL Notes 及び HCL Domino の FixPack がエラーでインストールできない
• KB0110498 (Domino) 「スタイルの変更」機能を使って見た目を変更したデータベースの設計をコピーすると、コピー元のビューが参照される
• KB0110308 (Domino) Domino License Analysis Utility Tool (DLAU) の利用方法
• KB0110530 (Domino) Domino 14.0 : JSON ファイルでの入力パラメータの準備 (サーバーセットアップ用のJSONパラメータ)
• KB0110444 (Domino Designer) XPages の SessionID cookie に Secure 属性を設定する
• KB0093883 (Domino Designer) registerNewUser でメールファイルのレプリカ作成に失敗しても true が返る
• KB0102556 (Domino Designer) XPages: 複数列カテゴリでフィルタして次の列がカテゴリ列の場合に文書が取得されない
• KB0104039 (Domino Leap) Domino Leap: JavaScript 構文の検査で有効時の日本語メッセージが正しくない
• KB0107756 (Domino Leap) 管理者権限のないユーザーがサービスを呼び出すと java.lang.NullPointerException エラーが発生する
• KB0110529 (iNotes) Domino 12.0.2 FP2 において iNotes のプリファレンスからインターネットパスワード変更を行うと失敗する
• KB0110377 (Nomad) Domino で certstore データベースを使用せずに、Nomad サーバーで TLS 認証情報を使用する方法
• KB0110448 (Nomad) 自己署名証明書を使用した HCL Nomad サーバーへの HCL Nomad Android からのアクセスについて
• KB0102227 (Notes) Windows 11 更新プログラムによる Notes および iNotes への影響
• KB0105207 (Notes) 右ダブルクリックで HTML メッセージを閉じることができない
• KB0101837 (Notes) Windows 上でエクスプローラーからドラッグアンドドロップでメール本文に添付できない場合がある
• KB0106907 (Notes) 宛先にインターネットアドレスを含むメッセージを送信することができない
• KB0109962 (Notes) 宛先の選択ダイアログでウィンドウサイズによってエラーが発生する
• KB0026976 (Notes) プログラムを使用して notes.ini ファイルにパラメータを追加する方法
• KB0102551 (Notes) Notes をマルチユーザーインストールすると ProgramData ディレクトリに HCL フォルダと IBM フォルダが作成される
• KB0025834 (Sametime) Sametime サーバーに接続しているクライアントの種類を特定する方法
• KB0110482 (Sametime) Notes 同梱 Sametime クライアントでチャットウィンドウに複数の絵文字を入力することができない

2024/2/11 - 読み終える時間: ~1 分

HCL Volt MX はモバイル、Web、OS のネイティブアプリをすべて一つのコードから作成できる極めて合理的で生産性が高い開発ツールです。その特長をコンパクトにまとめたブローシャを公開しました。

• Building Innnovative Apps (革新的なアプリの作成) のブローシャ - HCL Volt MX - HCLSoftware