2025/6/9 - 読み終える時間: ~1 分

Introducing HCL AppScan API Security: A Smarter Approach to API Protectionの翻訳版です。

2025年4月23日
Adam Cave
HCL AppScan プロダクトマーケティングマネージャー

現代のデジタル変革において、アプリケーション間の連携やサービス統合を支える要として、API（アプリケーション・プログラミング・インターフェース）の活用は不可欠な存在となっています。
現在、Webトラフィック全体の50%以上をAPIが占めており、その利用拡大とともに、企業は新たなセキュリティ課題に直面しています。
サイバー犯罪者は驚くべき速度でAPIを標的にしており、可視性とガバナンスの欠如によって見過ごされがちな脆弱性を悪用しているのが現状です。
こうした状況を受け、HCLSoftwareはSalt Securityとの提携により、「HCL AppScan API Security」を発表しました。これは、組織のAPI資産を可視化・管理し、リスクを最小化することを目的とした、包括的なAPIセキュリティプログラムです。
AIを活用したディスカバリープラットフォームにより、継続的なAPIインベントリ作成、セキュリティポスチャガバナンス、そして高度な脆弱性テストを実現し、進化し続ける脅威に先回りして対処できます。

APIセキュリティ対策は、もはやビジネスの必須要件

Salt Securityが発表した「2024年版 APIセキュリティレポート」によると、回答企業のうち37%がAPIに関連するセキュリティインシデントを経験しており、これは前年比で100%の増加となっています。
こうしたインシデントは、SNS、ECサイト、テクノロジープロバイダーなどにおける大規模な情報漏えいを招き、世界中の数百万人単位のユーザーに深刻な影響を与えています。APIの急速な普及は変革をもたらしましたが、それがもたらすリスクは今や明確になっています。
セキュリティは可視性から始まります。多くの企業がいま、ある重要な事実に気づき始めています。それは「自社でどれほど多くのAPIが使われているのか、実は正確に把握できていない」という現実です。
特に中堅から大企業にかけては、部門横断的な業務連携やサードパーティとの統合などにより、使用されているAPIの数が数百、時には数千にのぼることも珍しくありません。
このような状況下で、最新のAPIインベントリ（資産台帳）を把握・更新していない場合、セキュリティチームは重大な「死角（ブラインドスポット）」を抱えることになります。
結果として、脆弱性の検出、ガバナンスポリシーの適用、脅威への迅速な対応が非常に困難になります。
企業がAPI活用を加速する今だからこそ、まずは“どこに何があるか”という基本に立ち返ることが、持続的なセキュリティ体制の構築において不可欠です。

APIセキュリティにおける“スマートな解決策”を

HCL AppScan API Securityは、以下の機能を提供することで、これらの課題に正面から取り組むように設計されています。

• 継続的なAPIディスカバリー AIを活用し、文書化されていないシャドーAPIやゾンビAPIを含むすべてのAPIを特定・インベントリ化し、組織のAPIエコシステム全体を可視化する
• セキュリティ体制の管理 AI駆動によるリスク評価、事前に構築されたポリシーテンプレート、および包括的なAPIセキュリティポリシーライブラリにより、企業のAPIセキュリティ基準を策定・適用可能にする。
• 高度なAPI脆弱性テスト 動的アプリケーションセキュリティテスト（DAST）と連携し、精度の高い脆弱性検出を実現。OWASP API Security Top 10を100%カバーする
• 規制コンプライアンス保証 機密データの露出を特定し、適切なセキュリティポリシーを適用することで、GDPR、HIPAA、PCI DSSなどの主要なコンプライアンス標準を満たすのに役立つ
• リスクベースの優先順位付け ビジネスインパクトに基づくAIによるAPIリスクを評価し、優先順位を付けることで、セキュリティチームが最も重要な脅威に集中して対応可能

APIセキュリティの未来は今、始まる！

サイバー脅威がかつてないスピードで進化する今、APIのセキュリティ確保はもはや「オプション」ではなく、「必須」です。
HCL AppScan API Security は、組織が自社のAPIエコシステムを完全に可視化・制御し、脆弱性を先回りして検知・修正することで、リスクを伴うことなくAPIのビジネス価値を最大化し、推進し続けることを可能にします。

2025/5月/29 - 読み終える時間: 2 分

Shift-Left Security: A Proactive Strategy for Effective Risk Managementの翻訳版です。

現代のアプリケーション開発において、書かれるすべてのコードにはリスクが潜んでいます。そして、そのリスクに早期に対処することこそが、安全な開発の鍵となります。
アプリケーションの複雑化、サイバー脅威の高度化、さらには迅速なリリースが求められる中、ソフトウェア開発ライフサイクル（SDLC）全体にセキュリティを統合することが、これまで以上に重要になっています。
本記事では、開発初期段階からセキュリティを実装する「Shift-leftセキュリティ」の考え方と、その実践におけるHCL AppScanの役割についてご紹介します。

Shift-leftセキュリティとは？

Shift-leftセキュリティとは、ソフトウェア開発ライフサイクル（SDLC）の初期段階からアプリケーションセキュリティテストのセキュリティ対策を組み込む、プロアクティブなアプローチです。
従来のように開発終盤やリリース直前に脆弱性対応を行うのではなく、設計やコーディングのフェーズで脆弱性を検出・修正することで、後工程でのコストや手戻りを最小限に抑えることができます。
この「左（早期）」へのシフトするアプローチを採用することで、企業は以下のようなメリットを得られます。

• 脆弱性の早期発見、修正コストと工数を大幅削減
• 本番環境へ移行する前のリスク最小化
• 開発・運用・セキュリティチームの連携強化

現代の AppSec でShift-leftが重要視される理由

１． コスト効率の向上：開発後期またはリリース後に脆弱性を修正する場合、そのコストは設計・実装段階の最大100倍になるといわれています。
２． 市場投入までの時間短縮：初期段階で問題を解決することで、リリース遅延を回避し、スムーズなデリバリーを実現します。
３． チーム間の協業促進：セキュリティを開発者、セキュリティチーム、運用担当者が協力して共通課題として捉えることで、セキュアなアプリケーショ ンを構築することにつながります。
４． コンプライアンス遵守：セキュリティを初期から実装することで、より確実な法令順守を可能にします。

HCL AppScanによるShift-leftセキュリティの実現

HCL AppScanは、Shift-leftセキュリティをシームレスに実現するための機能を豊富に備えています。

• 開発者向けツール：Visual StudioやEclipseといった主要なIDEに直接統合し、開発者がワークフローの中で直接スキャンやインサイト取得の対応が可能。
• 包括的なテスト機能：静的アプリケーションセキュリティテスト（SAST）およびインタラクティブアプリケーションセキュリティテスト（IAST）テストなど、多様な手法での対応により、AppScanはSDLC全体にわたって脆弱性の検出を実現。
• 自動化とCI/CD統合：AppScanは自動化をサポートし、CI/CDパイプラインと統合することで、開発プロセスの一環として継続的なセキュリティテストを可能にします。
• AIによる優先度付きのレコメンド：AppScanは高度なAIを活用し、重要度の高い脆弱性から対応できるよう、効率的な問題解決を支援。

Shift-leftの成果：導入事例

ある世界的なEC企業では、HCL AppScanを活用したShift-leftの実践により、わずか6か月で脆弱性を60%削減し、リリースサイクルを25%短縮することに成功しました。初期段階でのテストと開発者の自律性強化が、セキュリティと生産性の両面で大きな成果をもたらしたのです。

Shift-left導入に向けたステップ

１． セキュリティを開発ツールとの統合：HCL AppScanのようなソリューションを、既存の開発環境にシームレスに統合できるソリューションを組み込みましょう。
２． テストの自動化：CI/CDパイプラインにおける静的・動的テストの自動化で、継続的なセキュリティ検証が可能になります。
３． チーム教育：開発者に対して、セキュアコーディングやツールの活用に関するトレーニングを実施しましょう。
４． 効果測定：脆弱性検出数、修正に要する時間、コンプライアンススコアなどで成果を可視化します。

セキュリティは「Shift-everywhere」へ

現代の開発において、Shift-leftはもはやトレンドではなく、必要不可欠な取り組みです。HCL AppScanはこの考えをさらに進化させ、「Shift-everywhere」、すなわちソフトウェアサプライチェーン全体を対象としたセキュリティ強化を提唱しています。
開発初期から運用後に至るまで、ソフトウェアライフサイクル全体のすべての工程でセキュリティを組み込むことが、組織とユーザーの未来を守る鍵となるのです。

より安全な開発体制に向けた第一歩として、HCL AppScanチームへご相談ください。より安全な開発プロセスへの道を共に歩みましょう。

2025/4/1 - 読み終える時間: ~1 分

HCLSoftware のライセンス&ダウンロードポータルが My HCLSoftpware Porta (MHS) に変更となりました。
この変更に関する詳しい情報は My HCLSoftware ポータルについて をご覧ください。

これに伴い AppScan のオンプレミス製品 (AppScan Enterprise、AppScan Source、AppScan Standard) は、インストールモジュールのダウンロードに加えて、ライセンスファイルの管理も MHS を利用する形に変更となりました。
AppScan の 10.0.0 から 10.6.0 は2025年6月30日をもってサポート終了となります。
該当する AppScan オンプレミス製品をご利用中のお客様は、AppScan 10.8.0 をインストール(更新)し、MHS を利用したライセンス構成でご利用いただけますようお願いいたします。

AppScan 10.8.0 の導入と構成の手順については製品ドキュメントをご参照ください。

• 例: AppScan Enterprise 10.8.0 製品ドキュメント 前のバージョンからのアップグレード時における製品の変更点

また、以下のサポート技術情報では、英語ですが MHS を利用したライセンス構成方法を動画でご紹介しております。こちらもご参照ください。 How to use My HCLSoftware portal (MHS) for licensing requirements for AppScan products

2025/1/28 - 読み終える時間: ~1 分

The Future of AI Security: Why LLMs Need Extra Care の翻訳版です。

AI セキュリティの未来: LLM に特別な注意が必要な理由

2025年1月27日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

ジェネレーティブ AI (GenAI) は業界を揺るがし、企業に革新と効率的な運用のための刺激的な方法を提供しています。ChatGPT、Llama 2、MidJourney などのツールにより、企業はパーソナライズされた顧客体験を拡大し、これまでにないほどワークフローを合理化できます。しかし、これらのテクノロジーが主流になるにつれて、特にセキュリティの面で新たな課題が生じます。

多くの GenAI ソリューションの中核を成すのは大規模言語モデル (LLM) であるため、LLM がもたらす固有のリスクと、それらを効果的に管理する方法を理解することが重要です。

OWASP Top 10 for LLM Applications チームの LLM AI サイバーセキュリティ & ガバナンス チェックリストは、組織がまさにそれを行うのに役立ちます。これは、LLM の導入に関連するリスクを特定して軽減するように設計された実用的なガイドです。チェックリストはここでの焦点では??ありませんが、業界のトレンドを強調しています。アプリケーションセキュリティテストに関しては、LLM に特別な注意が必要です。

LLM セキュリティがこれほどユニークな理由

LLM は強力ですが、従来のソフトウェアとは異なる癖があります。まず、本質的に予測不可能であるため、同じ入力から異なる出力が得られる可能性があります。これが LLM の汎用性を高める理由の 1 つですが、信頼性とセキュリティの課題も生じます。

たとえば、攻撃者はプロンプト インジェクションなどの手法を使用して脆弱性を悪用できます。プロンプト インジェクションでは、入念に作成された入力によってモデルが意図しない、または有害な出力を生成するように強制されます。もう 1 つの懸念は、機密情報がモデルの応答で不注意に表面化するデータ漏洩です。これらのリスクは、LLM がプラグインや API とやり取りするときに増幅されるため、堅牢なアプリケーションセキュリティテストは必須です。

OWASP のチェックリストでは、既存のガバナンス フレームワークに GenAI セキュリティ対策を統合することを強調しています。これには、HCL AppScan などのアプリケーションセキュリティ ツールを使用した定期的な脆弱性評価が含まれます。組織は、基盤となるコードのテストに加えて、安全なデータ処理方法を確認し、セマンティック検索による操作の脆弱性など、LLM 固有の弱点についてアプリケーションをテストする必要があります。

AI 戦略にセキュリティを組み込む

企業が実行できる最も重要なステップの 1 つは、LLM をスタンドアロン ツールではなく、より広範なセキュリティ エコシステムの一部として扱うことです。つまり、ソフトウェア レビューからデータ プライバシー対策まで、LLM ガバナンスを既存のプロトコルに組み込むことを意味します。OWASP は、安全でないプラグイン設計や、リモート コード実行につながる可能性のある不正なアクセス ポイントなどのリスクを発見するために、プロアクティブなセキュリティテストの必要性を強調しています。

トレーニングもパズルの重要なピースの 1 つです。従業員は、AI の可能性と落とし穴の両方を理解する必要があります。特に、開発者とサイバーセキュリティチームは、ディープ フェイクやなりすましの脅威などのリスクを認識できるようにトレーニングを受ける必要があります。また、「シャドー AI」の危険性も見逃さないでください。従業員が承認プロセスをバイパスして不正な AI ツールを使用すると、チームが予期していなかった脆弱性が生じます。

これが重要な理由

HCL AppScan などのツールを使用したアプリケーションセキュリティテストは常に重要でしたが、GenAI の台頭により、緊急性がさらに高まっています。 LLM に関連するリスク (幻覚 (モデルが不正確または捏造された情報を生成する) や敵対的攻撃など) は、単なる技術的な懸念ではありません。信頼、コンプライアンス、意思決定に影響を及ぼし、ビジネスに実際の結果をもたらす可能性があります。

セキュリティとガバナンスを優先することで、組織は不要なリスクにさらされることなく GenAI の潜在能力を最大限に引き出せます。OWASP のチェックリストは、まさにそのための青写真を提供し、企業が責任を持って自信を持って革新するのを支援します。

ジェネレーティブ AI は単なるトレンドではなく、未来です。新たな脅威に先んじて AI が提供するすべてのものを最大限に活用するには、HCL AppScan のチームに連絡して、セキュリティを維持するために必要なツールと戦略をより深く理解することを検討してください。

2025/1/27 - 読み終える時間: 3 分

HCL AppScan Standard Now Listed on AWS Marketplace の翻訳版です。

HCL AppScan Standard が AWS Marketplace に掲載されました

2025年1月24日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

サイバーセキュリティは、デジタル+ 経済におけるあらゆる規模の組織にとって重要な優先事項です。顧客の要求を満たすために導入される Web アプリケーションや API が増えるにつれて、これらのデジタル資産のセキュリティを確保することが最重要になります。

HCL AppScan Standard は、これらの課題に対処するために設計された高度な動的アプリケーションセキュリティ テスト (DAST) ソリューションです。この業界をリードするテクノロジーは、AWS Marketplace で購入できるようになりました。これにより、その範囲が大幅に拡大し、さらに多くのエンタープライズ カスタマーに、実証済みのアプリケーションセキュリティ ソリューションへの比類のないアクセスを提供します。

HCL AppScan Standard とは何ですか?

HCL AppScan Standard は、侵入テスト担当者やセキュリティ専門家が Web アプリケーションや API の脆弱性を特定して軽減できるように設計された堅牢なセキュリティ ツールです。このソリューションは、利用可能な最も強力なスキャン エンジンの 1 つを活用して、自動スキャンを実行し、潜在的なセキュリティ上の欠陥がないかアプリケーションを調査およびテストします。

主な機能は次のとおりです。

• 自動脆弱性検出: AppScan は、実際の攻撃シナリオをシミュレートすることで、OWASP Top 10 の脆弱性を含むセキュリティ問題を特定します。

• 包括的なレポート: 詳細な脆弱性の説明、テストの説明、および修復アドバイスにより、チームは問題を迅速にトリアージして優先順位を付けて解決できます。

• 継続的なセキュリティテスト: リスクを評価し、デジタル資産を保護しながら、本番環境で Web アプリケーションを継続的にテストします。

• 実用的な洞察: アドバイザリは明確な修復ガイダンスと修正の推奨事項を提供し、チームがアプリケーションセキュリティ テストを効率的に強化できるようにします。

AWS Marketplace での HCL AppScan Standard

AWS Marketplace での HCL AppScan Standard のリスト掲載は、製品が厳格な AWS Foundational Technical Review (FTR) を経た重要なマイルストーンです。FTR により、ソリューションが運用の卓越性、セキュリティ、信頼性、パフォーマンス効率、およびコスト最適化を重視する AWS Well-Architected Framework に準拠していることが保証されます。

AWS Marketplace 統合の主なメリット

リーチと市場機会の拡大

AWS Marketplace は、世界中の 300,000 を超えるアクティブな顧客へのアクセスを提供します。当社とパートナーにとって、これは AWS 主導の共同販売機会を通じて新しい収益源と顧客エンゲージメントの拡大を意味します。

簡素化された調達と迅速な市場投入 (GTM)

AWS Marketplace は、サブスクリプションと調達のプロセスを簡素化し、顧客のオンボーディング時間を短縮します。これにより、HCL AppScan Standard にすばやくアクセスし、遅延を最小限に抑えて環境に展開できます。

柔軟な価格設定と支払いオプション

特定のニーズに合わせてカスタマイズされた価格設定モデルを活用できます。オプションには、前払い、予測可能な支払いスケジュール、カスタマイズされた契約条件などがあり、予算の管理が容易になります。

一括請求

AWS Marketplace は、料金を 1 つの請求書に統合することで請求を合理化し、財務管理を簡素化して管理オーバーヘッドを削減します。

今後の展望: AppScan 360°

AWS Marketplace への HCL AppScan Standard の掲載が成功したのは、ほんの始まりにすぎません。AWS Marketplace の今後の計画には、複数のテスト技術と複数の導入オプションを備えたクラウドネイティブ プラットフォームである HCL AppScan 360° の追加が含まれています。AWS Marketplace の機能を引き続き活用することで、デジタル インフラストラクチャの保護に取り組むお客様に最先端のセキュリティ ソリューションをより適切に提供できるようになります。

AWS Marketplace での HCL AppScan Standard の存在により、動的なアプリケーションセキュリティ テストをより幅広いユーザーに提供できるようになり、Web アプリケーションと API の脆弱性を特定して修正する強力なツールへのアクセスが簡素化されます。柔軟な調達、拡張されたリーチ、合理化されたプロセスにより、セキュリティ フレームワークをより簡単に強化できるようになりました。

組織がサイバー セキュリティを優先し続ける中、HCLSoftware は革新的なソリューションの提供に引き続き注力し、アプリケーションセキュリティのリーダーとしての地位をさらに強固なものにしています。AWS Marketplace への掲載は、このミッションを達成するための重要な一歩です。

2025/1/22 - 読み終える時間: 2 分

The Cyber Threat Landscape in 2025: What to Expect and How to Prepare の翻訳版です。

2025 年のサイバー脅威の状況: 予想されることと、それにどのように備えるか

2025年1月15日

著者: Nabeel Jaitapker / Product Marketing Lead, HCLSoftware

2025 年を迎えるにあたり、サイバー脅威の状況は高度なテクノロジーとかつてないほどの洗練さで満ち溢れています。

高度なテクノロジーと悪意の融合により、AI を利用した攻撃、ますます高度化するランサムウェア戦術、ディープフェイク詐欺が急増しています。さらに、サプライ チェーンの脆弱性が高まり、重要なインフラストラクチャを標的とする地政学的ハッキング キャンペーンが激化しています。組織はこれらの課題を予測し、資産を保護するために断固たる行動を取る必要があります。

AI を利用したサイバー攻撃の増加

AI は諸刃の剣となっています。組織は AI を活用してサイバー セキュリティ防御を強化しますが、攻撃者は AI を利用して操作を自動化および拡張します。たとえば、AI を利用したフィッシング攻撃は、従来の検出メカニズムを回避して、高度にパーソナライズされた餌を作成できます。

サイバーセキュリティ企業 Darktrace が 2023 年に実施した調査では、AI で生成されたフィッシングメールが 135% 増加したことが明らかになりました1。これは、攻撃者がこの技術にますます依存していることを浮き彫りにしています。

ランサムウェア: 進化する戦術

ランサムウェア攻撃は進化を続けており、二重、三重の恐喝スキームが標準になっています。攻撃者は、データを暗号化するだけでなく、要求が満たされなければ機密情報を漏洩し、業務を妨害すると脅します。業界調査機関 Cyber??security Ventures によると、世界のランサムウェアによる損害は 2025 年までに 300 億ドルを超えると予測されており2、堅牢なインシデント対応戦略が極めて重要であることを強く示しています。

ディープフェイク技術: 詐欺の新たなフロンティア

ディープフェイク技術は、詐欺の強力なツールとして登場しました。 2024 年、ディープフェイク音声詐欺により英国に拠点を置くエネルギー会社が 25 万ドル以上の損害を被り、この技術が信頼と財務の安全性を損なう可能性があることが浮き彫りになりました。ディープフェイク技術がより利用しやすくなるにつれ、組織は本物の通信と偽造された通信を区別するための検証ツールに投資する必要があります。

サプライチェーンと重要なインフラストラクチャの保護

サプライチェーンの相互接続性が高まると、新たな脆弱性が生じます。SolarWinds の侵害とその後の攻撃は、ソフトウェアサプライチェーンの侵害が業界全体に波及する可能性があることを示しました。さらに、重要なインフラストラクチャは依然として国家支援を受けた攻撃者の主要ターゲットであり、業界全体での警戒が必要です。

今後の課題に備える

この進化する環境を乗り切るために、組織は次のことを行う必要があります。

• ゼロ トラスト アーキテクチャを採用: 厳格なアクセス制御を実施し、ユーザーとデバイスを継続的に検証します。

• 脅威インテリジェンスの活用: リアルタイムの脅威インテリジェンスをサイバー セキュリティ戦略に組み込むことで、新たな脅威に先手を打てます。

• アプリケーションセキュリティ テストの自動化: 重大な脆弱性が問題になる前に検出して修正するツールを開発者、DevOps、セキュリティチームに提供します。

• インシデント対応計画の強化: 攻撃中のダウンタイムと経済的影響を最小限に抑えるために、対応計画を定期的に更新してテストします。

• 従業員トレーニングへの投資: 従業員に、特にフィッシングやソーシャル エンジニアリングの試みなどの脅威を認識して対応するための知識を身につけさせます。

2025 年のサイバー攻撃は間違いなく複雑化しますが、予防策を講じることでリスクを大幅に軽減できます。回復力を優先し、新たな脅威に適応することで、組織は資産を保護し、ますます危険になるデジタル世界で信頼を維持できます。

2025/1/6 - 読み終える時間: 2 分

Transforming Application Security Testing with Developer-Centric DAST の翻訳版です。

開発者中心の DAST によるアプリケーションセキュリティ テストの変革

2024年12月23日

著者: Ryley Robinson / Project Marketing Manager

アプリケーションセキュリティ テストは、脆弱性が悪用される前に発見して修正するために不可欠です。しかし、従来のアプローチの多くは、ソフトウェア開発を遅らせてきた歴史があります。ソフトウェア開発ライフサイクル (SDLC) の後半でコードとアプリケーションをテストすると、脆弱性が露出したままになり、修正が必要な問題が見つかったときに製品のリリースが遅れる可能性があります。

このような開発の遅れに対処するために、開発者にセキュリティテストの責任が委ねられ、コードの作成中に SDLC の早い段階で脆弱性を発見して修正できるようになります。これは従来、静的アプリケーションセキュリティ テスト (SAST) の使用を中心に行われてきましたが、動的アプリケーションセキュリティ テスト (DAST) の追加機能で開発者を支援することへの関心が高まっています。

Web アプリケーションをクロールして潜在的なエクスプロイト パスをマッピングし、それらのパスに対してテストを実行する DAST は、従来、開発パイプラインの後半でセキュリティチームが使用するツールでした。しかし現在、DAST は SAST の貴重な補完物として認識されており、コードのセキュリティ確保に取り組む開発者にとってゲームチェンジャーになりつつあります。

このトピックは、HCLSoftware の新しいホワイトペーパー「開発者中心の DAST: 内部からセキュアな開発を強化」で詳細に説明されています。 このホワイトペーパーで明らかにされているのは、SDLC ワークフローに直接統合された DAST は、開発者にこれまで以上にリアルタイムのフィードバックと実用的な洞察を提供できるということです。

アプリケーションセキュリティへの新しいアプローチ

開発者中心の DAST は、セキュリティの所有権を開発者に移し、次の機能を提供するツールを提供します。

• リアルタイム フィードバック: コードの作成時に脆弱性を特定します。
• 実用的な洞察: 詳細でわかりやすいレポートにより、修復が迅速化されます。
• シームレスな統合: 一般的な開発環境および CI/CD パイプラインとの互換性があります。

これらのツールは、CI/CD パイプラインへのシームレスな統合と直感的なインターフェイスを備え、開発者にとって使いやすいように設計されています。開発者が専門家だけに頼ることなくセキュリティ問題に対処できるようにすることで、組織はボトルネックを解消し、チーム間の俊敏性とコラボレーションを強化できます。

このプロアクティブなアプローチは、セキュリティ成果を向上させるだけでなく、ペースの速い開発サイクルにも適合します。セキュリティを日常のワークフローに組み込むことで、チームはスピードや品質を犠牲にすることなく、安全なアプリケーションを時間どおりに提供できます。この戦略を採用する組織は、今日の脅威の状況に自信を持って対処しながら、競争上の優位性を獲得できます。

ホワイトペーパー全体をダウンロードして、DAST がセキュリティ戦略をどのように変革できるかを確認してください。

2024/12/18 - 読み終える時間: ~1 分

How Cryptocurrency and Blockchain are Reshaping Supply Chain Security の翻訳版です。

暗号通貨とブロックチェーンがサプライチェーンのセキュリティをどのように変えているか

2024年12月5日

著者: Ryley Robinson / Project Marketing Manager

サプライチェーンにおける暗号通貨。未来のSF映画のような話に聞こえるかもしれませんが、すでに起きています。ビットコインなどの暗号通貨はブロックチェーン上で実行されます。ブロックチェーンは今やさまざまな業界を揺るがしている技術であり、サプライチェーン管理も例外ではありません。しかし、他の新興技術と同様に、特にアプリケーションのセキュリティに関してはリスクが伴います。詳しく見ていきましょう。

小売、製造、食品生産などの業界の大手企業がブロックチェーンの波に乗っています。この採用は、透明性、スピード、コスト削減などの潜在的なメリットへの関心が主な要因です。たとえば、ウォルマートはブロックチェーンを使用して、農場から棚までの農産物をほぼリアルタイムで追跡し、食品の安全性に関する懸念に迅速に対応しています。同じことが、コンテナ物流を合理化するためにブロックチェーンを使用している Maersk などの海運大手にも当てはまります。

しかし、企業がブロックチェーンベースのソリューションを採用するにつれて、システムは新たな脅威にさらされることになります。ブロックチェーン アプリケーションを構築する開発者は、この変革の中心であり、脆弱性を悪用しようとするハッカーも同様です。

サプライ チェーン管理では、暗号通貨とブロックチェーン テクノロジーが連携して、分散型の改ざん防止台帳を作成します。これは、サプライ チェーン上の誰もがアクセスできるが、合意なしに変更することはできないオープン ノートブックのようなものだと考えてください。暗号通貨を使用すると、支払いを即座に行うことができ、契約はスマート コントラクトを通じて自動的に実行でき、すべてのトランザクションは偽造がほぼ不可能な方法で記録されます。

ブロックチェーン自体は、その暗号化基盤と分散型の性質により、非常に安全であると考えられています。ただし、ブロックチェーンとインターフェイスするアプリケーションは、ハッカーの主なターゲットです。Positive Technologies の調査によると、ブロックチェーン アプリケーションの 92% に重大なセキュリティ脆弱性が含まれています。主なリスク領域には次のものがあります。

スマート コントラクトの悪用: 2016 年、DAO (分散型自律組織) は、スマート コントラクト ロジックの欠陥により 5,000 万ドルの盗難に遭いました。 API 攻撃: API はブロックチェーン アプリケーションを外部システムに接続します。セキュリティが不十分な場合、攻撃者は API を悪用してデータを盗んだり、トランザクションを変更したりできます。 フィッシングとユーザー認証の弱点: サプライ チェーンの関係者は、弱いパスワードの使用やフィッシング詐欺によって、機密データをうっかり公開してしまう可能性があります。

アプリケーションセキュリティ テストの役割

サプライ チェーンは文字通り世界中に広がっています。アジアの工場からヨーロッパの倉庫、北米の店頭まで、ブロックチェーンと暗号ソリューションは無数のシステムやアプリケーションと統合する必要があります。この接続の網は、巨大な攻撃対象領域を生み出します。

スマート コントラクトを例に挙げてみましょう。スマート コントラクトは、条件が満たされると自動的に実行される、ブロックチェーンに保存されたプログラムです。スマート コントラクトは仲介者を排除するのに最適ですが、適切に記述されていないスマート コントラクトは、ハッカーに悪用されて資金を横取りしたり、サプライ チェーンに混乱を引き起こしたりする可能性があります。ここで、HCL AppScan などのアプリケーションセキュリティ テスト ツールが威力を発揮し、開発者がコードの脆弱性を特定して修正し、実際にコードが公開される前にそれを実行できるようにします。

IBM の 2023 年データ漏洩コストレポートによると、漏洩の平均コストは現在 445 万ドルで、サプライ チェーン関連の漏洩は波及効果によりさらに高額になることが多いです。ブロックチェーンが侵害されると、サプライ チェーン全体に対する信頼が崩壊し、業務が中断され、評判が損なわれます。

HCL AppScan などのツールは、次の機能を提供します。

• 静的アプリケーションセキュリティ テスト (SAST): 開発中にソースコードを分析して、ソフトウェア ライフサイクルの早い段階で脆弱性を検出し、展開前にリスクを軽減します。

• 動的アプリケーションセキュリティ テスト (DAST): 実際の攻撃シナリオを模倣して実行中のアプリケーションを評価し、悪用可能な脆弱性をリアルタイムで発見します。

• ソフトウェア構成分析 (SCA): ブロックチェーン アプリケーションでよく使用されるサードパーティ ライブラリと依存関係のセキュリティ リスクとライセンスの問題を特定します。

• 侵入テスト: 制御されたシミュレートされたサイバー攻撃を実施して、ブロックチェーン環境、スマート コントラクト、API、接続システムの弱点を発見して対処します。

積極的なセキュリティ対策を採用する企業は、リスクを軽減するだけでなく、今日の相互接続されたサプライ チェーンで重要な通貨であるステークホルダーとの信頼関係を構築します。アプリケーションを積極的に保護することで、企業はブロックチェーン エコシステムを保護し、機密データが漏洩したり、さらに悪いことに武器化されたりするのを防げます。

まとめ

サイバー攻撃はすでに毎年企業に数十億ドルの損害をもたらしており、サプライ チェーンがブロックチェーンへの依存度を増すにつれて、リスクは増大する一方です。ハッカーがサプライヤーの支払いを管理するスマート コントラクトを侵害した場合、危険にさらされるのは金銭だけではありません。業務全体が危険にさらされます。ブロックチェーンは本質的には「ハッキング不可能」かもしれませんが、それを中心に構築されたアプリケーションはそうではないことを念頭に置くことが重要です。

開発者、製品マネージャー、またはサプライ チェーンの将来について理解しようとしているだけの人であっても、1 つ明らかなことは、アプリケーションのセキュリティ保護は譲れないということです。HCL AppScan などのツールを使用すると、潜在的な脅威に先手を打つことが容易になり、ブロックチェーンがサプライ チェーンに革命を起こすだけでなく、安全にそれが起こるようになります。