2022/1/12 - 読み終える時間: 4 分

2022 Robservations on Application Security の翻訳版です。

2022年 アプリケーションセキュリティに関する個人的考察

2022年1月11日

著者: Rob Cuddy / Global Application Security Evangelist

2021年は、情報セキュリティ分野に限らず、サイバーセキュリティが大きなトピックであったことは周知の通りです。年初、注目を集めたのは、スーパーボウルの時期に小さな浄水場で起きたサプライズ寸前の攻撃でした。年が明けると、ランサムウェアやサプライチェーンの事故が大量に発生しました。5月には大統領令がニュースになるほどの盛り上がりだった。そしてもちろん、ここ数週間は、Log4j の脆弱性についても耳にしたことでしょう。これらのことが、サイバーセキュリティを前面に押し出しました。

そして、2021年の始まりを思い返すと、当時の私の個人的考察はこうなっていました。

• QAがセキュリティ・パーティに参加（IASTに感謝）
• 開発者に優しい脅威のモデル化
• ベストプラクティスの出現 - 特にオープンソースについて
• 真のエントリーレベルと明確なキャリアパス

ほとんどの場合、この1年を通して、それぞれの進歩が見られました。セキュリティ活動への参加を求められる品質保証チームの数は増加し、IASTはそのための素晴らしい方法を提供してくれました。2020年後半に導入された新しい脅威モデリング・マニフェストが、2021年にはより多くの支持と議論を集めるのを見ました。また、ソフトウェア構成分析、強力なソフトウェア部品表の考え方に関する議論、推奨、実践が大幅に増加し、これらの議論が継続することを期待しています。そして最後に、職務内容の定義や、サイバーセキュリティの職務に新しい人材が流入する方法について、大きな前進が見られました。その好例が、VCISO の Naomi Buckwalter が設立した新しい組織 Cybergatebreakers や、BISO の Alyssa Miller によるこの新しい Cybersecurity Careers の書籍です。また、Alyssa の "From Barista to Cyber Security Pro"と題した素晴らしい講演を YouTube でぜひご覧ください。

さて、2021年が過ぎ、2022年が始まるにあたり、私が考えていること、期待していることは何でしょうか？ というご質問をいただきました。早速ですが、2022年の私、Rob なりの個人的考察 - Robservations - を紹介します。

アプリケーション・セキュリティは、すべての製品リリースで完全に現実のものとなる

もちろん、アプリケーション・セキュリティは常に重要ですが、歴史的に見ると、プロセスのどこかでより「ボルトオン」されるものでした。今日、リスクを減らすために、もはや後期のテスト（ペンテストを含む）だけに頼ることができないことは明らかです。セキュリティは、最初から「焼き込み」でなければならないのです。2022年には、2021年に大きな部分を占めていた脅威のモデル化の議論が、完全な設計の議論に拡大すると私は予想しています。組織の計画策定において、セキュリティはより積極的な役割を果たすようになると思います。特に、優れたセキュリティは、顧客の信頼と信用に最も重要だからです。

そして、なぜこれがそれほど重要なのでしょうか？ 私たちは、インターネットに接続される機器の数や種類が驚くほど増加していることをよく理解しています。特にヘルスケア分野では、フィットネス用ウェアラブルやペースメーカー、さらにはセンサーを搭載した錠剤を摂取してデータをモニターし、医師に送信するなどの大きな技術革新が起こっています。もし、これらのセンサーが危険にさらされた場合、どのような混乱が起こるか想像してみてください。もし誰かが診断データを変更し、まったく間違った治療法が処方されたらどうでしょう？あなたは今、そのようなものを飲み込む気になれますか？ 私は、あなたがどう思うか知りませんが、まずセキュリティについてもっと確実なものを求めます。

この点で、アプリケーション・セキュリティは大きな違いをもたらすことができます。今日のIoTの一部であることは確かですが（IoT の脆弱性に関するOWASPトップ10で証明されています）、改善の余地はたくさんあります。今日、セキュリティに関する話題の多くは、強力なパスワードやデフォルト設定などのデバイス管理項目に関するものです。IoTやアプリケーションの利用が一般的に拡大するにつれ、デバイスに常駐し動作するコードの安全性を確保することが最も重要になります。デバイス上で取得、処理、保存されるデータが常に適切に保護されていることを確認することに、より大きな焦点が当てられるようになることが予想されます。また、これらのデバイスに接続するインターフェースも、より強固なものになることが予想されます。また、この分野、特にAPIや、製造業、小売業、銀行業などの業界における脆弱性をテストするためのツールや手法も改善されることが予想されます。

データ・プライバシーに関する法律がアプリケーション・セキュリティの変更を促進し続ける

米国のコロラド州、バージニア州、カリフォルニア州と中国、ブラジルの共通点とは？ いずれも2021年に新たなデータプライバシー法を承認または制定している。データプライバシーが市民や消費者の大きな関心事であることは間違いない。そして、人々が最もデータに接するのはどこでしょうか？ アプリケーションです。データプライバシー規制には、アプリケーションとアプリケーションセキュリティに関するより強い文言が含まれるようになっています。その良い例として、ニューヨーク州金融サービス局（NYDFS）の NYDFS 23 CRR-NY 500 は、「堅牢な」セキュリティに関する文言を含んでおり、2020年に施行されたニューヨーク州 SHIELD ACT は、5575 条 B 項に「妥当なセキュリティ要件」の包括的概念を追加しています。また、Spirionのこの素晴らしいサイトが示すように、他の多くの州は、データ損失だけでなく、不正アクセスさえも報告するよう組織に要求しています。今後、機密データを適切に取り扱っていることを証明するよう、企業に対する圧力が高まることが予想される。また、データインシデントをめぐる詳細な報告についても、より厳格な変更が行われることが予想されます。

APIセキュリティの重要性

これは、アプリケーションセキュリティの実態に関する最初のロブセンスに関連しますが、特に API テストの重要性が高まっています。2019 年には OWASP API Top 10 が発表され、API に対する直接的なガイダンスやアドバイスが提供されるようになりました。そしてそれ以降、APIセキュリティテストに関する議論と改善が盛んに行われています。API テストを専門に行う団体も登場し、その必要性についてウェビナーシリーズを実施しました。

API はデータを誤用や損失にさらす可能性が非常に高いため、API には特別な注意を払う必要があり、特に API がしばしば運用する前提条件に注意を払う必要があります。例えば、認証（多くはログイン情報を要求せず、トークンに依存する）やリソースの使用（多くはリクエスト量を制限しない）に関する仮定は、テストと検証を行わない場合、意図しない結果を素早く導く可能性があります。実際、Mitre の att&ck データベースには、企業向けに呼び出された Native API テクニックの特定のセットが存在します。2022年には、APIのためのより具体的なツールやテスト手法が登場することを期待します。また、ベンダーのチェックリストやNISTサイバーセキュリティフレームワークのような場所で、APIの検証が特に呼びかけられるのを見ることもできるでしょう。

リスクをより明確にし、解明し、低減するためのデータの相関関係

最後の大きなトレンドは、セキュリティテストの相関性と、そのデータをより総合的に活用してアプリケーションのリスクを軽減することです。相関関係とはどういう意味でしょうか？ 今日、静的テスト（SAST）、動的テスト（DAST）、対話型テスト（IAST）、ランタイム保護（RASP）、ペンテストがあり、それぞれが独自の結果セットを生成し、アプリケーションのリスクの状態について1つのビューを提供します。しかし、セキュリティがシフトレフトされ、開発パイプラインと価値の流れに組み込まれ続けると、真の問題に優先順位を付け、最も影響力のある改善活動に的を絞る必要性が最も高くなります。誰も誤検出を追ったり、エクスプロイトできないものを修正したりして時間を無駄にしたくはないのです。今後は、脆弱性を効果的に特定し、検証し、ワンクリックで適用できるような、的を射た改善策を提供するための協調的な取り組みを期待します（コピー＆ペーストは不要です）。

以上、2022年のアプリケーションセキュリティロバーベーションを紹介しました。この1年を簡単に振り返り、次の1年を展望していただければ幸いです。このコーナーや Application Paranoia のポッドキャストでは、今年もさまざまなお話を伺っています。

2021/12/27 - 読み終える時間: ~1 分

HCL AppScanでは、開発中のWebアプリケーション、及びすでに稼働しているWebアプリケーションに於いても、Log4Jの脆弱性対策が必要なWebアプリケーションの特定を迅速かつ正確に実施できます。

HCL AppSan 動的解析 (DAST)ツール によるLog4Jの脆弱性の検出

WEBアプリケーション及びWEBサーバーに対しての擬似ハッキングによる動的な脆弱性検証により、Log4Jの脆弱性の有無を検出します。

対応製品

• HCL AppScan Standard
• HCL AppScan Enterprise
• HCL AppScan on Cloud (DAST)

検出できる脆弱性

• CVE-2021-44228

HCL AppScan 静的解析 (SAST)ツールとSCA によるLog4Jの脆弱性の検出と対策

SASTとSCAによって、ソースコードに含まれるオープンソースライブラリに於けるLog4J使用の有無、Log4Jのバージョンを特定します。それによって、Log4Jのバージョンアップの対策が必要なWebアプリケーションを明確にし、対策が実施できます。

対応製品

• HCL AppScan on Cloud (SAST + Open Source Analyzer)

検出できる脆弱性

• CVE-2021-44228
• CVE-2021-45046
• CVE-2021-45105

デモ動画

上記の動作をデモ動画でご覧になれます。

2021/12/21 - 読み終える時間: ~1 分

HCL AppScan はソースコードをスキャンしてさまざまな脆弱性を検出します。Log4j につても同様です。簡単なステップで実行できるデモビデオを作成しました。

HCL AppScan の無償トライアル もあります。

参考: HCL AppScan メディアリソース

2021/12/14 - 読み終える時間: 4 分

HCL AppScan Guide to Critical Log4j - CVE-2021-44228 の翻訳版です。

HCL AppScan による、重大な Log4j のセキュリティー脆弱性問題への対応 - CVE-2021-44228 の解説

12月9日（木）、世界で最も利用されているオープンソースのログシステムであるLog4jが、Apple、Amazon、Cloudflare、Steam、Tesla、Twitter、Baiduなど、世界中の大企業に影響を与える重大な脆弱性の明確な証拠を示したというニュースが流れました。

Microsoft Security Response Team によると、Apache Log4j 0-day 脆弱性は、認証されていないリモートコードの実行を可能にするもので、攻撃者がさまざまな異なる入力ベクターを通じて提供した特別に細工された文字列が、Log4j 2の脆弱なコンポーネントによって解析および処理されたときに発動します。この報告から1日も経たないうちにすでに攻撃が行われており、中国の大手ハイテク企業であるQihoo 360のネットワークセキュリティ部門である Netlab は、Mirai や Muhstik（別名：Tsunami）のような攻撃者が、悪用できる脆弱なサーバーを今も積極的に探していることを明らかにしました。

現在、CVE-2021-44228 として知られるこの脆弱性は、Oracle 社の勧告によると、リスクマトリックスのベーススコアが10で、最も高いリスクとなっており、GitHub 社の勧告では、深刻度レベルが「クリティカル」とされています。

影響を受けているかどうかの判別

お使いのアプリケーションがこの脆弱性の影響を受けているかどうかを判断するには、以下の手順を実行します。

• 現在のLog4jのバージョンを確認し、アップデートしてください。2.15.0 より前のすべてのバージョンが影響を受けています。
• 現在のJavaのバージョンを確認し、アップデートしてください。以下のバージョンより低いものはすべて脆弱です。
  • Java 6 - 6u212
  • Java 7 - 7u202
  • Java 8 - 8u192
  • Java 11 - 11.0.2

アプリケーションにJavaとLog4jの両方の問題がある場合、Certnz 社の勧告によれば、確実に影響を受けています。しかし、GitHub - log4shell-tester のようなオープンソースのテストツールを使用して、ドメインの脆弱性を確認することができます。

Log4jのソリューション

Log4j のバージョン2.15.0 をダウンロードしてください（アップグレードできない場合は、以下の手順に従ってください）。

• システムプロパティ formatMsgNoLookups または環境変数 LOG4J_FORMAT_MSG_NO_LOOKUPS を true に設定することで、動作を緩和することができます。

• バージョン >=2.0-beta9 かつ <=2.10.0 を使用している場合、zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class のように、Java のクラスパスから log4j の JndiLookup クラスを削除します。

AppScanはどのように役立つか

HCLのAppScanは、クラウドベースのAppScan on Cloudのオープンソース解析（OSA）機能を使って、どのバージョンのLog4Jを利用しているかを検出します。それによって該当のLog4Jを使用していることが分かり、バージョンアップ等の対策を取ることが出来るようになります。

AppScan on Cloud (ASoC) とは？

ASoCは、SAST、DAST、IAST、OSAなど、クラウド上で利用できる包括的なセキュリティ検査ツールの比類のないスイートを提供します。ソフトウェア開発ライフサイクル（SDLC）の早い段階で脆弱性に対処することができ、誤検知を減らし、書かれたコードを修正し、より正確な結果を出すための高度な相関関係を得ることで、安全でコンプライアンスの高いソフトウェアを迅速かつ大規模に提供することが可能になります。

AppScanのSCAツールと、SAST、DAST、Web用IAST、オープンソース・アプリケーションを含む一連のセキュリティ・テスト・ツールについてのお問い合わせ、購入のご相談はお問い合わせ窓口までお願いします。

HCL AppScanのデプロイメント・プラットフォームにおけるLog4jの脆弱性に関する追加情報は、AppScan の技術情報をご覧ください。

2021/11/15 - 読み終える時間: 3 分

AppScan is Re-imagining application security with V.10.0.6 の翻訳版です。

HCL AppScan V.10.0.6 による信頼性の高いアプリケーション・セキュリティ・テスト

2021年11月12日

著者: Orlando Villanueva / Product Marketing Manager, AppScan

HCL AppScan V10.0.6は、開発ライフサイクルの各段階でアプリケーション・セキュリティを提供することの意味を再考します。広範なサポート言語のポートフォリオや、SAST製品では複数のIDEプラットフォームをカバーすることで開発者を支援し、AppScan Standardソリューションではアップグレードによりユーザーエクスペリエンスを向上させます。さらに、この最新バージョンでは、新しいセキュリティアップデート、レポートオプション、法規制コンプライアンスレポート用の新しいサマリーセクションを提供します。

このブログでは、AppScan V.10.0.6の新機能と改良点を製品ライン別にご紹介します。また、スペシャルイベント「AppScan Lunch n' Learn」では、以下に紹介する多くの新機能についての詳細をご紹介していますので、ぜひご覧ください。

HCL AppScan Enterprise V10.0.6の機能強化について

AppScan Enterprise V10.0.6では、以下の点が強化されています。

• Subject Alternative Name (SAN)属性を持つクライアント証明書を使用したCommon Access Card (CAC)認証の改善がサポートされました。
• 法規制コンプライアンスレポートには、コンプライアンスと監査のニーズに役立つように設計された新しいサマリーセクションが追加されました。
• Microsoft Active Directory Federation Services (ADFS)によるSAML (Security Assertion Markup Language)シングルサインオンがサポートされました。
• ジョブズ検索APIは、管理者以外のユーザーでもアクセスできるようになりました。

AppScan Enterpriseの機能強化についての詳細は、カスタマーサポートページをご覧ください。

HCL AppScan Source V10.0.6の強化点

AppScan SourceのV10.0.6では、以下の点が強化されています。

• 新たに対応したIDEプラットフォームを提供します。IntelliJ、PHP Storm、WebStorm、PyCharm サポート。
• Dart言語のサポート
• Java、.Net、C/C++のソースコードスキャン（DevOpsのスピードに合わせたスキャン）。
• 業界標準のレポートによる修復情報の提供
• Visual Studioの修正グループ
• SASTの新しいアプローチのための技術プレビュー

AppScan Enterpriseの機能強化についての詳細は、カスタマーサポートページをご覧ください。

HCL AppScan Standard V10.0.6の強化点

AppScan StandardのV10.0.6では、以下のような機能強化が行われています。

• 新しいAppScanエクスペリエンスが登場します。新しいAppScan Standardの技術プレビューコード版を用意しました。大幅に改善されたユーザーエクスペリエンスと、同じ強力なDASTスキャンエンジンを備えています。これはまだ進化中のバージョンであり、今後のリリースを通じてゆっくりと段階的に進化していきます。詳細を知りたい方、今すぐ無料体験したい方は ここをクリック。
• レポート（XML、PDF、HTML、Word）は、ユーザーインターフェースと同じ一般的なコンテンツと構造を持つようになりました。
• 法規制コンプライアンスレポートでは、コンプライアンスや監査のニーズに役立つように設計された新しいサマリーセクションを提供しています。

AppScan Enterpriseの機能強化に関する詳細は、カスタマーサポートページをご覧ください。

特別イベント「AppScan Lunch n' Learn」のご案内と詳細について

上記の機能強化についての詳細は、「AppScan Lunch n' Learn」スペシャルイベントをご覧ください。

AppScanの最新の開発状況については、YouTubeの「This is AppScan」チャンネルをご覧ください。

2021/11/1 - 読み終える時間: 3 分

HCL AppScan Standard Re-Imagined の翻訳版です。

HCL AppScan Standard Re-Imagined (再び想像する)

2021年10月25日

著者: Asaf Yogev / Experienced UX Leader, Researcher, and Designer, HCL Software 共著: Orlando Villanueva / Product Marketing Manager, AppScan

HCL AppScan Standard は進化しており、より良いユーザー・エクスペリエンス、新機能、そして変わらず優れたDASTスキャン・エンジンを提供しています。この2年間、我々のチームはHCL AppScan Standard を再構築し、より優れたパフォーマンスと新機能を備えたご愛用の製品をお届けするために、たゆまぬ努力を続けてきました。

AppScan standard は過去20年間、市場をリードするDASTソリューションとして、膨大な数の機能を提供してきました。今回、メインビュー、アクション、メニューのデザインを一新することになりました。AppScan Standard の最終更新版に移行するにあたり、一部の画面は現在のレイアウトのままとなります。しかし、今後のリリースでは、この旅を見直していきます。

最高のバージョンをリリースするために、HCL AppScan の既存のお客様には、新しいAppScan Standard TechPreviewに参加していただくことをお勧めします。選ばれた既存のHCL AppScanユーザーは、これらの実験的な新機能をリリース前にテストし、貴重なフィードバックを提供することで、アプリの開発に重要な役割を果たすことができます。今すぐお試しください。

AppScan Standard の新しいアップグレードのプレビュー

AppScan Standard では、新しいホーム画面の体験を提供します!

新しいウェルカム画面では、以下のことができます。

• 新しいスキャンの開始
• 以前に保存した作業の継続
• 完全な設定でスキャンを開始するウィザードのオプションを含む
• スキャンのデモを開く
• 最近のスキャンとテンプレにアクセス
• 頻繁に使用するテンプレートの固定

Image

2/3のユーザーがダークモードを選択しています。あなたはどうしますか？

当社はアクセシビリティと快適性をAppScan の革新の最前線に置いています。AppScan Standard のユーザーは、ダークモードとライトモードの間でAppScan Standard の使用感を変更できるようになりました。ダークモードに切り替えるには、表示メニューから .... を選択してください。

新しいナビゲーションで複数の表示オプションを提供

AppScan Standard のナビゲーションが改善されたことで、異なるビュー間の切り替えが容易になり、各ビューのスペースがより広くなりました。各表示オプションのスペースを最大化するには、上部の矢印ボタンを使用します。

課題分析のサポート強化

課題分析はセキュリティ専門家にとって非常に重要であり、その結果をよりよく理解していただきたいと考えています。そのため、「課題」ビューに、検索、ソート、フィルタなどの新しいツールを追加し、トリアージプロセスをより効率的に行えるようにしました。

テックプレビュー版の起動方法は？

AppScan Standard Tech Previewを起動するには、インストールディレクトリ（デフォルトの場所はProgram Files (x86)\AppScan Standard）を開き、ファイルを起動します。AppScanGui.exe 皆様のご意見をお待ちしております。

What's Next?

• 改良された構成ビュー - DASTの構成を最大限に活用する新しい方法を体験してください。AppScan Standard の新しい構成ビューでは、アイテムを検索するオプションが提供され、ナビゲーションを強化するための新しいグループ化が可能となり、オリジナルの構成ファイルからの変更を表示する構成履歴が提供されます。
• HCL AppScan の新機能 - 「スキャンステータス」は、調査やテストの段階で情報を提供する新機能です。HCL AppScan の新機能は、透明性を高め、ボンネット内で何が起こっているか、スキャン中に問題がどのようにサポート・管理されているかについての洞察を提供します。
• スキャンログによる履歴記録の強化 - HCL AppScan Standard のユーザーとしては、スキャンプロセスや発生する可能性のあるトラブルシューティングを理解し、観察することが重要です。そのため、新しいログ体験では、すべてのログ入力をテーブルにまとめ、ソートしたり、ログデータを検索したりすることができます。

2021/9/6 - 読み終える時間: ~1 分

HCL AppScan on Cloud には、30日間の試用版があります。クラウドサービスですので気軽に利用が可能です。

HCL AppScan on Cloud は、ソースコードをチェックする SAST 機能と、できあがったアプリケーションをチェックする DAST 機能の双方を兼ね備えており、DevOps の流れにシームレスに組み込むことができます。

今回より簡略な手順で利用を開始できるようになり、新たにガイドも作成しました。是非、HCL AppScan をお試しください。

• HCL AppScan 製品ページ
• HCL AppScan on Cloud 試用版の申し込み方法

2021/7/29 - 読み終える時間: ~1 分

HCL Software Named a Leader in the 2021 Gartner Magic Quadrant for Application Security Testing の翻訳版です。

HCL AppScan: 2021年ガートナー マジック・クアドラントのアプリケーション・セキュリティ・テスティング部門でリーダーに選出される

2021年7月28日

著者: Eitan Worcel / Product Lead, AppScan 共著: Orlando Villanueva / Product Marketing Manager, AppScan

HCL AppScan: 2021年ガートナー マジック・クアドラントのアプリケーション・セキュリティ・テスティング部門でリーダーに選出される

今年のアプリケーション・セキュリティ・テスト・レポートにおいて、HCL Software が初めてリーダーに選ばれたことをお知らせします。このレポートはこちらからダウンロード できます。

2020年から、ガートナー社は、組織が Secure DevOps に向かうことを支援するために HCL Software が行っている活動を認識し、検証しました。HCL Softwareは、テストの品質、深さ、カバレッジを犠牲にすることなく、セキュリティテストを開発や運用のプラクティスに簡単に組み込めます。このような AppScan の改善により、HCL Software は Gartner 社のMagic Quadrant の Visionaries (概念先行型) セクションに入りました。

2021年の今、AppScan は HCL Software のソフトウェアとして リーダーセクションに入りました。ガートナーでは、リーダーとは、市場において「AST 製品とサービスの幅と深さ」を示すとともに、「現代の開発者の高まるニーズをサポートするための明確で明確な道筋によるビジョン」を示すものと定義している。 つまり、AppScan は、アプリケーション・セキュリティ・テストのニーズがあり、Secure DevOps を導入している組織をサポートできることが明らかです。

HCL AppScan は、スタティック (SAST)、ダイナミック (DAST)、インタラクティブ (IAST) の各テストに加え、ソフトウェア・コンポジション・アナリシス (SCA) も提供しています。これらは、オンプレミスとSaaSの両方のモデルで提供され、さまざまな規模や予算の要件に合わせた柔軟なライセンスモデルが用意されています。また、HCL AppScan は、SAST 機能を提供する CodeSweep と呼ばれる Visual Studio と GitHub 用の無料の拡張機能を持っています。

HCL AppScan の詳細については、リソースページをご覧ください。

また、無料でお試しになりたい方は、セルフサービスのフリートライアルをご覧ください。