Cover Image

リスクから修復へ: API セキュリティで安全なアプリを構築する

2024/2/27 - 読み終える時間: ~1 分

From Risks to Remediation: Building Secure Apps with API Security の翻訳版です。


リスクから修復へ: API セキュリティで安全なアプリを構築する

2024年2月26日

著者: Cristina Suchland / Integrated Marketing Manager, Secure DevOps

デジタルトランスフォーメーションの時代には、世界中の人々や組織が、クリックやスワイプでほとんど瞬時に、膨大な量の情報を手に入れることができます。このような状況を可能にしている、増え続けるウェブアプリケーションの背後にあるセキュリティ機能について、立ち止まって考えてみる価値があります。個人情報が漏れたり、金銭が盗まれたり、サイバーウイルスの攻撃を受けてすべての情報が失われたりしたらどうなるでしょうか。

競争経済の中で優位性を維持するために必要なアプリケーションを開発する際、主要な組織はこのような疑問を抱いています。これらのアプリケーションの潜在的なリスクや脆弱性にはどのようなものがあるのでしょうか。また、システムが侵害されたときに、よりコストのかかる修正の必要性を最小限に抑えるために、開発チームはリリース前にそれらを早期に発見し、対処するにはどうすればよいのでしょうか。

APIセキュリティは、アプリケーション全体のセキュリティにおいて、急速に重要なツールになりつつあります。というのも、サイバー攻撃のますます多くの割合が、このインターフェースがオープンソースやサードパーティの幅広い統合とどのように相互作用するかに関連する脆弱性に焦点を当てているからです。

Forrester社の調査によると、外部からの攻撃による侵害の53%は、アプリケーションとアプリケーションレイヤーに起因しています (注1)。顧客向けアプリケーションにどのようなセキュリティ対策を取り入れているかを尋ねたところ、ほとんどの組織が、ソフトウェアに使用されているオープンソースのコンポーネントを特定し、それらのコンポーネントの既知の脆弱性を開発者に警告するソフトウェア構成分析(SCA)を挙げています。

SCAは、SAST(静的アプリケーション・セキュリティ・テスト)と並んで、既存の開発ライフサイクルに統合されつつあります。HCLSoftwareのHCL AppScan CTOであるColin Bell氏によると、APIセキュリティはソフトウェアサプライチェーンセキュリティの一部でもあり、IASTはSCAの一部も包含しながら、その役割を拡大しているといいます。サプライチェーンは、必ずしも製品の機能である必要はなく、むしろプロセスが必要です。

これらのツールを併用することで、開発者はより良いフィードバックを得ることができ、プロセスのさらに早い段階でコードベースの脆弱性をより多く発見することができます。これらのツールは、開発者により良いフィードバックを提供し、コードベースの脆弱性をより早期に発見することを可能にします。

開発ライフサイクルにおける効果的なトリアージと修復は、業界で話題となっています。自動修復は、ソフトウェア・エンジニアが脆弱性を発見するだけでなく、自動的に修正するための手作業を減らすための次の大きなステップとして、ますます注目されています。

これらはすべて、オープンソースやサードパーティのコンポーネントに関するAPIセキュリティと関連するセキュリティテストが、今やセキュリティ開発者にとっての優先事項であるという点を指摘するためです。開発者は、リリースに先立ち、自社のプラットフォーム内にどのAPIが存在するかをより慎重に検討するようになっています。APIと関連するオープンソースコンポーネントのすべての側面が開発プロセスの早い段階でテストされていることを確実にするために、よりDevSecOps的なアプローチを採用しています。また、自動修復への関心は、人工知能(AI)と機械学習、そして、これらの強力なツールが、より優れたクラウドセキュリティ、ガバナンス、および全体的なリスク管理を可能にするプログラム提供をどのように改善できるかについての議論にますますつながっています。

このような取り組みを行っている組織は、かなり強力なアプリケーション・セキュリティ・プラットフォームを誇っています。

HCLSoftware の Customer Experience Executive の Robert Cuddy は「5年か10年先には、与えられたデータ入力とプロンプトに従ってアプリケーションを生成するようAIに依頼するようになるだろうと予測しています。 そしてAIはコードを書くだろうが、それは最も効率的で、人間が理解できないかもしれないマシン・ツー・マシンのコードになるでしょう」と述べています。

SDTimesは、API、セキュリティテスト、そしてアプリケーションセキュリティソフトウェアの過去が、よりリスク回避的でテクノロジーに前向きな業界となるために、どのように未来を形成しているかを網羅した最新の特集 The Importance of Security Testing でより詳細な説明を紹介しています。

注1: The Importance of Security Testing からの引用


Cover Image

HCL AppScan on Cloud 認定で潜在能力を引き出す

2024/2/19 - 読み終える時間: 2 分

Unlock Your Potential with HCL AppScan on Cloud Certification の翻訳版です。

2024/02/12

著者: Adam Cave / Product Marketing Manager, HCL AppScan

HCL AppScan on Cloud認定で潜在能力を引き出す

サイバーセキュリティ曲線の一歩先を行くことは、単なる利点ではなく、必要不可欠です。セキュリティの脅威がより巧妙になるにつれ、企業はセキュリティ・テストの強固な基盤を持つ専門家を求めています。HCLSoftware の HCL AppScan on Cloud (ASoC) Associate Security Tester certification 認定資格のようなソフトウェア認定資格は、従業員がDigital+エコノミーにおけるリスク管理に必要なセキュリティの専門知識を持っているという確信を雇用主に与えます。

画像の説明

資格取得の旅を始めよう

HCL AppScan on Cloud (ASoC) 認定は、あなたのプロフィールにバッジを付けるだけではありません。HCLSoftwareは、ASoC管理者管理、ダッシュボード、機能、組織、ポリシー、結果、およびサポートにおけるあなたの熟練度を証明するためにこの試験を作成しました。この基礎的な認定資格は、アソシエイト・セキュリティ・テスターとして必要不可欠なスキルと知識を証明し、アプリケーション・セキュリティ・テストが重要であるあらゆるキャリアで成長するのに役立ちます。

****受験のメリット

セキュリティの概念に関する基本的な知識を持ち、ASoCのログインプロセスとUIを理解し、ASoCの機能に精通している場合、この認定は最適です。HCL AppScan on Cloudは、アプリケーション・セキュリティ・テスト・ツールおよびプロセスの包括的なポートフォリオにより、世界中の組織から信頼されています。すでにこの市場をリードするソフトウェアに携わっているのであれば、HCLSoftwareの認定を受けることは、あなたのキャリアを前進させるための論理的なステップです。

認定試験で測定されるスキル

この試験では、HCL AppScan on Cloudのさまざまな側面におけるタスクを処理する能力が測定されます。例えば、以下のようなものがあります:

  • ASoCへの登録
  • ユーザーとグループの管理
  • スキャンと調査結果の処理
  • ポリシーの実装
  • 結果の報告

合格への準備

試験の成功は準備にあります。必須ではありませんが、HCLSoftware Uで提供されている HCL AppScan on Cloudの自習型トレーニングを修了することを強くお勧めします。このトレーニングは、試験に合格するために必要な知識を身につけるだけでなく、業界のエキスパートから学ぶまたとない機会を提供します。

自習型アカデミーのコースは、ASoC 管理者管理、ASoC ダッシュボードメトリクス、API スキャン、アプリケーションコントロール、統合、レポートなどの ASoC 機能など、重要なコンピテンシー分野をカバーしています。包括的なトレーニングにより、75分間の試験に万全の準備をすることができます。

試験の詳細

レベル ファンデーション 試験時間:75分 形式 50問(多肢選択式または複数回答式) 合格率: 70 配信方法 ピアソンVUEテストセンターまたはオンライン試験監督 利用可能な言語 英語 費用: $150 USD*.

HCLSoftware と HCLTech の従業員、およびビジネスパートナーには割引があります。

認定試験の登録はこちら

今すぐ潜在能力を引き出す

HCLSoftwareからHCL AppScan on Cloud (ASoC) Associate Security Tester認定を取得することは、単なるマイルストーンではありません。群衆の中で際立ち、スキルを証明し、エキサイティングな機会への扉を開きましょう。

アプリケーション・セキュリティ・テスト製品の HCL AppScan ポートフォリオ全体の詳細については、こちらをご覧ください。


Cover Image

アプリケーション・セキュリティ・テストの動向

2024/2/19 - 読み終える時間: ~1 分

Trends in Application Security Testing の翻訳版です。


アプリケーション・セキュリティ・テストの動向

2024/02/12

著者: Cristina Suchland / Integrated Marketing Manager, Secure DevOps

アプリケーション・セキュリティ・テストは、DevSecOps の実践において、ウェブ上での大規模なデータ共有に伴うリスクを軽減するために、ますます重要な役割を果たしています。アプリケーション・セキュリティ・テスト技術の使用(または不使用)について、専門家が経験した成功と課題をよりよく理解するために、HCLSoftwareは2023年秋に45,000人以上の専門家にアンケートを実施しました。

本レポートの調査結果は、企業によってセキュアなソフトウェア開発に対するニーズや戦略がいかに異なるか、また、ベンダーの統合、人工知能、最新のデプロイメント・モデルの問題については、かなりのコンセンサスが得られていることを浮き彫りにする鋭い洞察を提供しています。

本調査の主なハイライトをいくつか紹介しよう。

ベンダーの統合

ベンダーの嗜好について質問した企業のうち、かなりの 85 パーセントが、使用しているアプリケーション・セキュリティ・テスト・ベンダーの数の統合をすでに完了している。より一元的なセキュリティ戦略を実現するための単一プラットフォーム・ソリューションに対する選好が、最善のスタンドアローン・テクノロジを購入したいという希望を大きく上回った。

人工知能(AI)

回答者の大多数(38%)は、AIが、異常検知やカバレッジの拡大など、アプリケーションセキュリティの他の分野よりも、テストの自動化に影響を及ぼすと考えている。興味深いことに、この調査結果によると、自動修復は、アプリケーション・セキュリティにおいて影響が少ない分野の1つになりつつある。

展開モデル

今年の調査における明確な傾向は、アプリケーション・セキュリティ・テストにおけるクラウドおよびクラウドネイティブのデプロイメント・モデルへの移行である。自社のソフトウェアが完全にオンプレミス(自己管理型)にデプロイされていると回答したのは31パーセントにとどまったが、一般的なハイブリッドデプロイメント戦略の一環として、セキュリティの側面は依然としてオンプレミスで処理されている。このような戦略には、プライベート・クラウドで異なるセグメントのデータをテストし、パブリック・クラウドで他のデータをテストすることが含まれます。

本調査の全結果と主な調査結果をご覧いただき、変化の激しいデジタル環境で起こっているアプリケーション・セキュリティのトレンドについて理解を深めてください。

2023 Application Security Testing Trends Report を今すぐ入手してみてください。


Cover Image

モバイルアプリのセキュリティテストは上昇の一途をたどる

2024/2/19 - 読み終える時間: ~1 分

Mobile Application Security Testing Continues Upward Trajectory の翻訳版です。


モバイルアプリのセキュリティテストは上昇の一途をたどる

2024/02/12

著者: Nabeel Jaitapker / Product Marketing Lead, HCLSoftware

モバイル・デバイスの存在感の増大とサイバー脅威の複雑化により、モバイル・アプリケーション・セキュリティ・テスティング・ソリューションに特化した成長が促進されている。

最近のレポートによると、モバイルアプリケーションの使用量の増加、安全なアプリケーションを義務付ける規制遵守、迅速な開発サイクルにより、世界のモバイルアプリケーションセキュリティテスト市場は2028年までに32億ドルに達すると推定されている。

MarketsandMarketsが発行したこのレポートは、セキュリティテストソリューションに対する需要の背景には、サイバー脅威と攻撃手法の絶え間ない進化があるとしている。また、技術の進歩に伴い、採用される悪意のある手口も高度化しており、モバイル・アプリケーションや機密データへのアクセスを危険にさらしている。

このような状況に対処するため、本レポートでは、脆弱性が悪用される前に脆弱性を特定し対処することで、新たな脅威の一歩先を行く定期的なセキュリティテストを推奨しています。このアプローチは、(マルウェア、フィッシング、コードインジェクションなどの攻撃がますます巧妙化する中で)ダイナミックに変化し続けるサイバーセキュリティの状況において、組織を支援します。

モバイルアプのセキュリティテスト

モバイルアプリケーションのセキュリティテストは、アプリケーションのセキュリティコントロールが期待通りに機能することを確実にするための、本番前のチェックと考えることができ、同時に、実装上のエラーから保護します。このテストは、開発チームが予期していなかったエッジケース(セキュリティバグになる)を発見するのに役立ちます。

このプロセスは、市場に導入する前にアプリケーションの堅牢性を確保することを目的とする企業にとって不可欠です。

効果的なセキュリティテストは、アプリの意図された目的と扱うデータの性質を包括的に理解することから始まります。静的解析(SAST)、動的解析(DAST)、対話型解析(IAST)の組み合わせを採用することで、組織は、単独のテスト手法では容易に特定できない脆弱性を明らかにする全体的な評価を得ることができます。

HCL AppScanは、ソフトウェア開発ライフサイクルの各段階において、アプリケーションの脆弱性をピンポイントで特定し、迅速な修復を可能にする一連の技術により、開発者、DevOps、セキュリティチームを支援します。さらに、クラス最高のテストツール、一元化された可視性と監視機能、オンプレミス、オンクラウド、クラウドネイティブを含む複数の導入オプションによりアプリケーションを保護することで、企業と顧客の保護を支援します。

HCL AppScan のアプリケーション・セキュリティ・テスト・ソリューション・ポートフォリオは、SAST分野のトップベンダーの中で、強力なパフォーマーとして評価されています。この評価は、今日の速いペースのデジタル+エコノミーにおいて、開発者に力を与え、コードセキュリティを強化するトップレベルのソリューションを提供することへの揺るぎないコミットメントを強調するものです。

HCLSoftwareの強力なパフォーマーとしてのランキングの詳細については、最近発表された Static Applications Security Testing (SAST) の Forrester Wave をご覧ください。


Cover Image

HCL AppScan Fix Groups でアプリケーションコードをより早く脆弱性から守る

2024/2/19 - 読み終える時間: 2 分

Secure Application Code Against Vulnerabilities Faster with HCL AppScan Fix Groups の翻訳版です。


HCL AppScan Fix Groups でアプリケーションコードをより早く脆弱性から守る

2023/12/20

著者: Itay Levin / Design Lead for HCL AppScan

静的アプリケーション・セキュリティ・テスト(SAST)は、ウェブ・アプリケーションとAPIのソースコードをスキャンし、セキュリティ・リスクになり得る脆弱性を探します。この種のコードスキャンに関する根強い課題の1つは、これらのツールが膨大な数の発見をもたらす可能性があることです。これらの発見のうち、どれが修正が必要な重大な脆弱性であるかを見極めるのは、困難で時間のかかる作業になりかねません。

HCL AppScanには、スキャン結果の数を劇的に減らし(数千件から数百件に)、誤検出を実質的に排除する内蔵AIをはじめ、こうした課題を解決するためのソリューションが多数用意されています。

HCLSoftwareのクラウドおよびクラウドネイティブプラットフォーム(HCL AppScan on CloudおよびHCL AppScan 360°)の両方にFix Groupsが追加されたことで、トリアージと修復の時間が大幅に改善されました。

HCL AppScan がサポートする 3 種類の修正グループ

  • 共通修正ポイント - この修正グループは、.NetやJavaのようなコンパイル済みの言語で、静的スキャナがデータ・フロー解析を実行してトレース結果を生成する場合に適用されます。この修正グループは、トレースが共通のノードを介して流れる同じ脆弱性タイプのすべての発見を組み合わせます。その共通ノードの問題を修正することで、この修正グループ内のすべての発見が解決される。

  • 共通 API - 共通APIグループは、プロジェクト全体で使用されている特定のAPIに関連するすべての発見を集める。これらの問題は、別のAPIを使用するか、元のAPIの使用方法を変更することで、グループとしてまとめて解決できます。

  • 共通オープンソース - オープンソースグループは、脆弱性のあるライブラリに関連するすべての問題を表示します。ライブラリの脆弱性が特定されると、関連するすべての問題は、ライブラリを更新するか変更することで、グループとして修正できます。

異なる修正グループの使用方法

修正グループのメインビュー

新しい「修正グループ」ビューには、優先順位付けプロセスにおいて修正グループの作業がどの程度効率的になるかを理解するための 2 つの KPI があります。実行される修復タスクの総数、およびそれらのタスクに関連するグループで見つかった問題の総数です。

画像の説明

新しい修正グループのデザインでは、UIが改善され、グリッドが表示されるようになりました。列は、修正グループのタイプ、重大度、ポリシーなどで並べ替えられます。

画像の説明

このレビューで行を選択すると、修正グループの詳細ドロワーが開き、複数のコメントを追加したり、各修正グループの監査を表示したりできます。

画像の説明

修正グループの課題

修正グループの課題ビューが更新され、各グループに関連する課題を確認できるようになりました。詳細は画面上部に表示され、コメントを表示または追加できます。修正グループのissueの表は、各修正グループのタイプに関連する列で再編成されました。例えば、共通修正ポイントではソース、シンク、ファイル名が、共通APIではコンテキストとファイル名が、オープンソースCVEでは場所が表示されます。

画像の説明

すでにHCL AppScan on CloudまたはHCL AppScan 360°を静的解析に使用している場合は、Fix Groupsを試してみてください。

HCL AppScan SASTをまだご利用でない場合は、無料トライアルをご利用いただき、この強力なテクノロジーがお客様のアプリケーション・セキュリティをどのように変革できるかをご確認ください。


Cover Image

HCL AppScan 10.4.0: より高速、高精度、自動化をお客様に提供

2023/12/27 - 読み終える時間: 2 分

HCL AppScan 10.4.0 Delivers Greater Speed, Accuracy, and Automation for Customers の翻訳版です。


HCL AppScan 10.4.0: より高速、高精度、自動化をお客様に提供

2023年12月13日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

アプリケーション・セキュリティ・テストの自動化、スキャン速度、精度の向上は、HCL AppScan 10.4.0 のハイライトのほんの一部に過ぎません。

HCL AppScan Standard、Enterprise、Source向けのこの新リリースは、ソフトウェア開発ライフサイクルのあらゆる段階において、アプリケーションの脆弱性をピンポイントで特定し、迅速に修復するための一連のテクノロジー(SAST、DAST、IAST、SCA、API)により、開発者、DevOps、セキュリティチームに力を与えます。

バージョン10.4.0 のリリースにより、オンプレミスのアプリケーション・セキュリティ・テスト・ソリューションを使用している顧客は、脆弱性のあるサードパーティ・コンポーネントの最新のCVEアップデート、複数のシークレット・スキャン設定オプション、コンプライアンス・レポートの増加リストにアクセスできるようになります。

スキャン時間の短縮、修復の迅速化、精度の向上

HCL AppScan StandardとEnterprise のバージョン10.4.0 では、IAST Total による DAST スキャンが強化され、スキャンと修復が高速化され、より正確な結果が得られるようになりました。

  • スキャン時間 - IAST サブスクリプションをご契約のお客様は、OS、フレームワーク、プラットフォーム、サーバーなどを特定することで、DAST スキャン設定を改善し、スキャン範囲を縮小し、不要なテストを排除して時間を節約することができます。

  • 修復 - HCL AppScan DAST は IAST Total を活用して、検出された脆弱性のコールスタックを提供することもできます。この情報により、アプリケーション・コンポーネント、パラメータ、エンドポイントなどに対するより深い洞察が可能になり、より迅速なトリアージと修復に役立つ正確な脆弱性の場所を検出します。

  • 正確性 - HCL AppScan IAST Total は、お客様のランタイム環境内で実行され、スキャン・コンポーネントに関するより深い知識を提供します。アプリケーションのバックエンドだけでなく、使用されているコンポーネントに対する洞察が深まり、その結果、スキャン範囲が広がり、より正確な結果が得られます。

脆弱なサードパーティコンポーネントの検出

Digital+ Economy が急速に進む今日、ソフトウェアのセキュリティを完全に確保するには、どのサードパーティ製コンポーネントに対処すべき脆弱性があるかを把握する必要があります。HCL AppScan のお客様は、サードパーティ製コンポーネントに関連する最新の CVE アップデートにアクセスするために、四半期ごとのリリースを待つ必要がなくなりました。バージョン10.4.0 では、このリストは継続的に更新されるため、パッチが利用可能になり次第、中央サーバーからアップロードすることができます。

HCL AppScan Enterprise および Standard におけるレポートの改善

HCL AppScan Enterpriseバージョン10.4.0 では、スキャンされたすべてのURLを一覧表示するレポートが追加され、スキャンカバレッジを測定する機能が改善されました。さらに、HCL AppScan Enterprise と HCL AppScan Standard の両方に、新規および更新された規制コンプライアンスレポートが含まれます。

新しいレポート

  • [SA] Protection of Personal Information Act (PoPIA)

更新されたレポート

  • [US] The Federal Risk and Authorization Management Program (FedRAMP)
  • [US] DISA's Application Security and Development STIG, V5R2
  • [US] Federal Information Security Modernization Act (FISMA)

HCL AppScan Source における機密スキャンの機能強化

進化し続けるサイバーセキュリティの世界では、常に先を行くためには継続的なイノベーションが求められます。HCL AppScan Source バージョン 10.4.0 では、自動化プロセスを合理化しながら、企業が防御を強化できるようにすることを目的としたさまざまなアップグレードが導入されています。

主なハイライトの1つに、強化されたシークレットスキャナーがあり、HCL AppScan on Cloudで利用可能なオプションと同様のオプションをユーザーに提供します。特に、ユーザーはシークレットスキャンを単独で、またはSASTスキャンと並行して同時処理の一部として実行できるようになりました。

GitLabとGitHubにおける自動化の改善

HCL AppScan Sourceバージョン10.4.0 では、自動化機能も改善され、使いやすさと効率性の新たな基準を打ち立てました。ユーザーはGitLabとGitHubのスキャンワークフローの例にアクセスできるようになり、開発パイプラインへのセキュリティチェックの統合が簡素化されました。Source CLI も大幅に強化され、よりスムーズな自動化を実現した。スキャンを開始する前にライセンスが利用可能になるのを待つ機能を導入することで、CLIは利用できないライセンスによる潜在的な障害を排除し、より信頼性が高く、手間のかからない自動化プロセスを提供する。

HCL AppScan 10.4.0 に含まれる幅広いアップデートはすべて、業界最高のセキュリティテストおよび管理ツールの構築に重点を置き、お客様を第一に考えた積極的な技術革新ロードマップの重要な構成要素です。

オンプレミスのアプリケーション・セキュリティ・ソリューションや、HCLSoftware の主力クラウド製品である HCL AppScan on Cloud(無料トライアルあり)、クラウドネイティブ製品であるHCL AppScan 360の詳細については、HCL AppScanのオンラインサイトをご覧ください。


Cover Image

HCLSoftware が The Forrester Wave™ - Static Application Security Testing, Q3 2023 において強力なパフォーマーに選出

2023/12/9 - 読み終える時間: 2 分

HCLSoftware Named a Strong Performer in The Forrester Wave™ - Static Application Security Testing, Q3 2023 の翻訳版です。


HCLSoftware が The Forrester Wave™ - Static Application Security Testing, Q3 2023 において強力なパフォーマーに選出

2023年12月5日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

2021年以降のスタティック・アプリケーション・セキュリティ・テスト(SAST)に関する最新のForrester Wave(フォレスター・ウェーブ)レポートにおいて、HCL AppScanのアプリケーション・セキュリティ・テスト・ソリューションのポートフォリオは、SAST分野のトップベンダーの中で強力なパフォーマーとして評価されました。この評価は、今日のペースの速いデジタル+エコノミーにおいて、開発者に力を与え、コードセキュリティを強化するトップレベルのソリューションを提供するというHCLSoftwareの揺るぎないコミットメントを強調するものだと考えています。

画像の説明

Forrester Wave レポートは、静的アプリケーション・セキュリティ・テストの重要なガイドとして、市場のトップ・ベンダーの包括的な評価を提供します。今年のレポートでは、コード開発と配備を加速させている多くの業界トレンドに焦点を当てています。

  • クラウド、コンテナ、マイクロサービス、DevOps、ローコードプラットフォームなど、新しく出現した技術の普及
  • 開発ワークフローへのセキュリティの統合
  • 修復プロセスの自動化

HCL AppScanのポートフォリオには、SASTだけでなく、DAST、IAST、SCAソリューションも含まれています。これらはすべてForrester社のレポートに引用されており、開発者のワークフローにシームレスに統合する堅牢なツール群を提供するというHCLSoftwareの貢献を反映しています。HCLSoftwareは、開発者のベロシティを優先し、コードリポジトリ、ビルドツール、CI/CDパイプライン、IDEとのネイティブな統合を通じて、迅速で実用的な結果を提供することに誇りを持っています。

Forrester社のレポートによると、「HCL AppScanは、Rust、Dart、ABAPを含む言語とフレームワークを最も多くカバーしています。さらに、HCL AppScanの "独自言語の持ち込み "機能は、顧客のあらゆるニーズに対応します。

HCL AppScanは、SASTのトップベンダーにランクインしたことに加え、多くの特定の基準で最高得点を獲得しました。

  • DevSecOpsワークフロー(評価対象の全ベンダーの中で最高スコア)
  • ルールとポリシーの管理(上位2ベンダーのスコア)
  • カバレッジの広さ(上位3社のスコア)
  • パートナーエコシステム(ベンダースコア上位3社)
  • サポートサービスとオファリング(上位3社のスコア)

この詳細なレポートでは、HCL AppScanを際立たせる重要な要素を取り上げています。HCL AppScanは、グローバルに展開し、クラウドネイティブの統一された導入モデルに関する経験を有しているため、グローバルに事業を展開する企業にとって戦略的な選択肢となります。特にアジア太平洋地域の企業にとって、評価においてHCL AppScanを考慮することは単なる選択ではなく、デジタル資産の将来性を見据えた戦略的な動きです。

HCL AppScanは、単なるセキュリティ上の弱点の特定にとどまらず、コード例を提供し、自動修正にジェネレーティブAIを活用することで、迅速な解決を促進します。

画像の説明

HCL AppScanは、HCLSoftwareがストロングパフォーマーに指定されたことを誇りに思います。HCLSoftwareのロードマップは業界のベンチマークに沿ったものであり、スピード、カバレッジ、精度、レポート、結果の相関性において継続的な改善をお約束します。

レポート全文をダウンロードして、すべての調査結果をご覧ください。

HCL AppScanのアプリケーション・セキュリティ・テスト・ソリューション・スイート全体の詳細については、HCLSoftware のウェブサイトをご覧ください。また、フリートライアルもお試しください。


Cover Image

HCL AppScan: IAST による DAST スキャンの網羅性と精度の向上

2023/12/6 - 読み終える時間: ~1 分

Achieve Enhanced DAST Scan Coverage and Accuracy with IAST の翻訳版です。

HCL AppScan: IAST による DAST スキャンの網羅性と精度の向上

2023年12月5日

著者: Ayan Som / Senior Product Manager, HCL AppScan

今日のペースの速いデジタル環境では、堅牢なウェブ・アプリケーション・セキュリティ・テストの役割がこれまで以上に重要になっています。HCL AppScan DAST(Dynamic Application Security Testing)は、ウェブアプリケーション内の脆弱性を特定するための主要なツールとして広く認知されています。

ほとんどの最新アプリケーションは、修正されなければ重大なセキュリティ・リスクとなり得る様々な形態の脆弱性にさらされています。エンジニアリング・チームがこれらの問題を認識すると、多くの場合、その根本原因を突き止め、修正するために多くの時間を費やさなければなりません。さらに、業界全体のDASTユーザーは、ツールが脆弱性を検索する際のスキャン時間の長さに悩まされています。

IAST Total(Interactive Application Security testing)によるDASTスキャンの強化は、このような課題に大きく役立ち、スキャンと修復の時間を改善し、さらに多くの脆弱性を発見する新機能です。この新機能は、HCL AppScanバージョン10.4.0とHCL AppScan on Cloudの両方に搭載されています。

IAST のサブスクリプションを契約しているチームであれば、API Discovery や Auto Issue Correlation のような多数の IAST 機能とともに、この新機能を有効にできます。

どのように IAST Total が AppScan DAST の機能を強化するか

  • スキャン時間の短縮
  • より迅速な修復
  • より多くの脆弱性を発見

スキャン時間の短縮

HCL AppScan は、DAST スキャンの様々な側面を自動的に構成する様々な方法を提供します。

IAST Total は、OS、フレームワーク、プラットフォーム、サーバーなどを特定するためのより包括的な機能を提供するようになり、自動設定をさらに改善し、不要なテストを排除することでスキャン範囲を縮小します。その結果、より正確で迅速なスキャンが可能になりました。

HCL AppScanの調査によると、HCL AppScan DASTにIAST Totalを搭載した場合、スキャンの実行が20%速くなることがわかりました。

より迅速なトリアージと修復

HCL AppScan DASTはIAST Totalを活用して、検出された脆弱性のコールスタックを提供することもできます。この機能は、以前はIASTまたはSAST(静的アプリケーション・セキュリティ・テスト)の結果でのみ利用可能でした。

この情報により、アプリケーション・コンポーネント、パラメータ、エンドポイントなどに対するより深い洞察が可能になり、より迅速なトリアージと修復に役立つ正確な脆弱性の位置を検出します。

より多くの脆弱性を検出

AppScan IAST Totalはお客様のランタイム環境内で実行され、スキャン・コンポーネントに関するより深い知識を提供します。使用されているコンポーネントだけでなく、アプリケーションのバックエンドに対するより深い洞察を提供し、その結果、より深いスキャンカバレッジとより正確な結果が得られます。

今後の展望

HCL AppScan は常に業界をリードする製品の改善に取り組んでいます。IAST Total の将来的な機能は、スキャン範囲と精度をさらに向上させます。今後のリリースで予定されている機能の中には、パス・パラメータと隠しパラメータの自動検出があります。この機能により、不要なテストが排除されると同時に、DASTエンジンにテストすべき関連性の高いパラメータが供給されるようになります。

アプリケーション・セキュリティ・テスト・ソリューションのHCL AppScanスイート全体に関する詳細情報を入手し、今すぐ無料トライアルにお申し込みください。


このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。

Tags

Academy Accelerate Accelerator Ambassador AoC AppDev Pack AppScan ASoC beta BigFix BigFix 9.5 BigFix_Wiki BigFix Workspace branding CAA Client Applicatin Access cloud Cloud Apps Cloud Native Commerce Common Local License Server community companion Compass compliance Connections Connections 6.5 ConnectionsDocs Connnections CVE-2021-44228 developerWorks DevOps DevOps Code ClearCase DevOps Deploy DevOps.Launch.AppScan DevOps Model RealTim DevOps Test DevOps Velocity Digital Experience document Doino Volt Domino Domino AppDev Pacl Domino Leap Domino Volt Domino管理者アップデート認定試験対策 DQL DRYiCE dW dx Enterprise Integrator event fix fix_list fixlist forum General guide HCAA HCL Ambassador HCL Ambassadors HCL Domino REST API HCL OneTest Embedded HCL Z and I Emulator HCL Z and I Emulator for Transformation HCLSoftware U hints_and_tips history HTMO IBM_i ID_Vault iNotes ios ios13 ipad iPhone IZSAM KEEP Launch Launch.DevOps Leap Link logo MarvelClient mobile mui nds2019 ndv12beta News Noets/Domino Nomad Nomad Mobile Nomad Web Notes Notes/Domino Notes/Domino 10 Notes/Domino 11 notes-domino-9-10-limited-supportability-as-of-202204 Notes/Domino V12 Notes/Domion Notes/Domno notescons Now on_premises OneDB OneTest OnTime osaka press_release relay REST RTist SafeLinx Sametime Sametime 11 SoFy support survey system_requirement techtek Traveler Traveler 10 Traveler for Microsoft Outlook traveler.zip Unica Unica Discover Unica Interact UrbanCode Deploy UrbanCode Velocity v11 V12 Verse Verse Mobile Verse On-Premises VersionVault Volt Volt MX Volt MX Go Volt MX サンプルアプリ Webinar win7 Wordload Automation Workload Automation youtube Z Z Abend Investigator Z and I Emulator Z and I Emulator for Transformation Z and I Emulator for Web Z and I Emulator for Web Client Z Asset Optimizer Z Data Tools Z Software Asset Manager ZAI ZAO ZIE ZIE for Transformation ZIE for Web ZIE for Windows ZIET ZIETrans ZIEWeb うるう年 イベント ウェビナー ガイド クラウド クラウド終了 サイジング サポート サポート技術情報 サポート期間 サポート終了 セキュリティ セキュリティー セキュリティー脆弱性 セミナー ダイバーシティー ダウンロード テクてく テクてく Lotus 技術者夜会 ニュース ノーツコンソーシアム バージョンアップ パフォーマンス パートナー ベータ ポートフォリオ ライセンス 九州地区 Notes パートナー会 互換性 出荷日 各種ご案内資料 研修