2025/6/16 - 読み終える時間: ~1 分

HCL AppScan 360º version 1.5.0: Faster, Smarter Application Security Testingの翻訳版です。

2025年2月11日
Adam Cave
Product Marketing Manager

現代の開発現場では、セキュアなアプリケーションをより早くリリースすることが強く求められています。しかし、導入の煩雑さやスキャン範囲の制限、テストプロセスの非効率性が、開発サイクルの遅延やリスクの増大を招くケースも少なくありません。
これらの課題に応えるべく、HCLのクラウドネイティブ型アプリケーションセキュリティプラットフォーム「HCL AppScan 360º」の最新版（バージョン1.5.0）がリリースされました。
新機能の追加や既存機能の強化により、よりスムーズで効率的なセキュリティテストが可能になります。

Helmによるシンプルな導入

今回のリリースでは、Helmを用いた簡易インストール機能により、どのような環境にもワンコマンドで迅速に導入できるようになりました。
Helmは、アプリケーションとサービスのデプロイを簡素化するコマンドラインインターフェース（CLI）ツールです。
Helmは複雑な設定を必要とせず、HCLのHarborコンテナレジストリから提供されるDockerイメージを活用することで、信頼性の高いセットアップが実現可能です。これにより、導入の負担を軽減し、常に最新かつセキュアな環境でAppScan 360ºを利用できます。

Kubernetes環境向けに最適化されたセキュリティテスト

今日のクラウドネイティブな世界では、セキュリティソリューションはKubernetes環境にシームレスに統合できるように設計されていなければなりません。
HCL AppScan 360º v1.5.0はKubernetes対応インフラとの高い親和性を持ち、スケーラブルなセキュリティテストの展開ができます。
オンプレミス、パブリッククラウド、ハイブリッド環境問わず、CI/CDパイプラインの一部として、継続的かつ高可用なセキュリティテストを実現します。

静的解析機能（SAST）の強化

セキュリティチームにとっては、最新の静的アプリケーション・セキュリティ・テスト（SAST）で、検出機能が向上し、言語サポートが改善され、アップデートを高く評価することでしょう。

• 静的解析クライアントの更新（v8.0.1604）：スキャン精度とパフォーマンスが向上
• HTML対応の追加：Webアプリケーション向けの解析強化
• Python Djangoフレームワークへのスキャン対応拡張：Django ベースのアプリケーションの脆弱性をより効果的に検出
• 「Secretsスキャン」機能の強化：ソースコード内の機密データ漏えいの検出を改善
• ログ取得用の新しいCLIコマンド追加：スキャンログに簡単にアクセスし、より良いデバッグと分析を実現
• スキャンルールの更新：最新のアプリケーション向けに、よりスマートで洗練されたセキュリティチェックを行い、モダンアプリへの高精度な対応

あらゆる環境に最適化されたセキュリティ

この新しいリリースで、HCL AppScanは使いやすさ、スピード、包括的なアプリケーションセキュリティ対策を引き続き優先しています。
CI/CDパイプラインへのシームレスな統合を求める開発者であれ、強力な脆弱性検出を必要とするセキュリティ専門家であれ、AppScan 360º v1.5.0は、ご希望の環境に必要なツールを提供します。

2025/6/13 - 読み終える時間: 2 分

Introducing Custom Scripts: A New Level of Flexibility in HCL AppScan DASTの翻訳版です。

2025年2月28日
Kamal Kumar Chandrashekar
HCL AppScan シニアプロダクトマネージャー

現代のアプリケーションは、そのアーキテクチャや脆弱性が複雑かつ個別性が高く、セキュリティテストにおいても柔軟かつ特化したアプローチが求められます。
従来の動的アプリケーションセキュリティテスト（DAST）ツールは、こうした多様で複雑なユースケースに適応する柔軟性に欠けるため、潜在的な脆弱性を見逃してしまうことがあります。
この課題に対応するために、HCL AppScanは新機能「カスタムスクリプト」を提供します。
この機能は、アプリケーションのセキュリティテスト※英語ページに遷移しますにおいて、リクエストやレスポンスを動的に変更できるようにするもので、特定のユースケースに応じた柔軟なスキャン調整を可能にします。
この機能は HCL AppScan Standard および HCL AppScan Enterprise の両製品で利用可能であり、HCL AppScanがアプリケーションとどのようにやり取りを行うかを細かく調整できるようになることで、テストの網羅性と精度を大きく向上させます。

カスタムスクリプトの役割

アプリケーションごとに固有のユースケースが存在し、それらすべてを自動的にカバーすることは難しいのが現実です。
そのため、DAST設定をユースケースに応じて調整する必要がありますが、標準で用意されている（OOB：Out-of-the-Box）設定では対応できないケースもあります。
こうした背景から、カスタムスクリプトはDASTの機能を柔軟に拡張し、アプリケーションのさまざまなユースケースを包括的にカバーするための柔軟性を提供する新機能です。
HCL AppScanにはJavaScriptの実行環境が組み込まれており、リクエスト送信前やレスポンス受信後にカスタムコードを実行できます。
この追加機能により、より柔軟で包括的なセキュリティ検証が可能になります。

カスタムスクリプトの仕組み

カスタムスクリプトは、特定のニーズに合わせて挙動を調整し、DASTスキャンの動作と結果の精度を向上させることができます。
たとえば、リクエストヘッダーの操作、ロジックの注入、データの加工、動的トークンの処理など、カスタムスクリプトを使用すると、きめ細かいカスタマイズが可能になり、より正確で効率的なスキャンが可能になります。
この機能は、アプリケーション本体を変更することなく、さまざまなシナリオにおけるスキャンの挙動をきめ細かく制御できます。
代表的なユースケースは以下の通りです。

• ハッシュベースメッセージ認証コード（HMAC）の計算
• 独自のログイン方式への対応（HTTPパラメータ/ヘッダーの調整など）
• ランダム値の送信

たとえば、アプリケーションが複雑な認証トークンを使用していたり、特定のセッション管理が必要な場合、リクエストを送信する前にスクリプトによってこれらの要素をプログラム的に生成・操作できます。
これにより、HCL AppScanがアプリケーションと正しくやり取りできるようになり、これまでテストが困難または不可能だった機能にも対応可能となります。

カスタムスクリプトの設定方法

例：リクエスト前スクリプト

たとえば、リクエスト送信前に処理を行う「Pre-request Script」のように、各種イベントに応じてカスタムスクリプトを設定することができます。
レスポンスを受信した後にも、HCL AppScanの標準チェックだけでなく、より高度な分析処理をカスタムスクリプトで実行することが可能です。
レスポンスから必要なデータを抽出し、それを加工することで、テストの網羅性をさらに高められます。
こうした双方向の処理機能により、セキュリティチームは現代のアプリケーションの動的な性質に応じたテスト戦略を採用できるようになり、より包括的なカバレッジを提供し、静的スキャンでは見逃されがちな脆弱性の検出にも貢献します。

カスタムスクリプトの主な利点

カスタムスクリプトの最大の強みは、スキャンプロセスに対する柔軟性と精密な制御が可能である点です。画一的なスキャンから脱却し、業務要件に沿ったテストが実現します。

• ユースケースに最適化されたテスト：アプリケーションごとの独自仕様や挙動に対応し、より正確で有用なスキャン結果を取得可能
• 的を絞ったスキャンで対応を迅速化：ビジネス上重要な領域にフォーカスすることで、脆弱性の検出と修正が迅速に行える
• アプリケーション全体を網羅：複雑なワークフローや特殊な処理も含め、見逃しのないセキュリティテストが可能
• 動的なリクエスト・レスポンス処理：リアルタイムでの調整により、動的認証、カスタムヘッダー、または時間依存のデータといった複雑な仕様にも対応

結論

アプリケーションセキュリティテストの未来は、より動的で適応性があり、そしてインテリジェントなものへと進化しています。HCL AppScanのカスタムスクリプト機能は、その方向に向けた大きな一歩です。
セキュリティ専門家の皆さまに、調査の課題を克服し、テストプロセスをきめ細かく調整するための高度な制御手段を提供することで、より一層のセキュリティ強化を支援します。
HCL AppScanの業界最先端ソリューションとともに、アプリケーションセキュリティテストの新たなレベルをぜひご体験ください。

2025/6/12 - 読み終える時間: 2 分

Now Available: The 2024 Application Security Testing Trends Reportの翻訳版です。

2025年2月5日
Adam Cave
Product Marketing Manager

デジタルトランスフォーメーションが「Digital+」の時代へと進化する中で、アプリケーションセキュリティテストの重要性とその管理の複雑さはますます高まっています。
このたびHCLSoftware. が発行した「2024年アプリケーション・セキュリティ・テスト動向レポート」では、現代の組織が直面する最も差し迫ったセキュリティ課題に焦点を当てています。
今年で3度目となる本レポートの調査結果は、2024年秋に全世界45,000人以上のプロフェッショナルを対象に実施したアンケート調査に基づいており、新たなトレンドやテクノロジー、方法論に対する組織の対応状況を深く掘り下げているので参考ください。

アプリケーション・セキュリティ・テストの重要性

世界が相互接続されたデジタルシステムに依存する中で、アプリケーションセキュリティはすべての業界におけるリスク管理の中核です。
APIの脆弱性やサプライチェーン攻撃など脅威が増大する中、堅牢で継続的なテストソリューションの必要性はこれまで以上に高まっているといえるでしょう。
本レポートでは、各企業がどのようにアプリケーションセキュリティに取り組み、システム、評判、データを保護しながらリスク管理を強化しているかをお伝えしています。

レポートの主な調査結果

2024年版レポートには、秋に実施したアンケートへの回答に基づいて多岐にわたる調査結果が含まれており、アプリケーションセキュリティの現状を物語る重要な洞察が得られていることが特徴です。

セキュリティ専門チームへの依存

業界全体で「シフトレフト」が進む中でも、52％の組織では依然としてアプリケーションセキュリティテストの責任が専任チームに委ねられています。
この結果は、一元化された専門知識の重要性を示す一方で、開発とセキュリティワークフローの統合強化が求められていると考察できるでしょう。

動的テスト技術（DAST）の優位性

テスト技術では、32％の組織が動的アプリケーションセキュリティテスト（DAST）ツールを採用しており、静的アプリケーションセキュリティテスト（SAST）の29％を上回っています。
また、18％の組織が来年中にDASTを導入予定であり、リアルタイムで脆弱性を検出するニーズが高まっていることが分かります。

クラウドセキュリティへの懸念

回答者の46％がクラウド環境における最大の懸念事項として「データプライバシー」を挙げており、この優先順位はコンプライアンスやインフラセキュリティを上回っています。
機密情報保護への関心が高まるクラウドファースト時代を反映した結果です。

今後の展望：Digital+経済におけるセキュリティ進展

本レポートでは、迅速な開発サイクルに対応するために進化し続けるアプリケーションセキュリティテストツールと方法論について詳しく解説しています。
ソフトウェア開発ライフサイクル（SDLC）のすべてのフェーズで統合することは、俊敏性を損なうことなくリスクを軽減するために不可欠です。
APIやオープンソースライブラリなどエコシステム全体を保護するソリューションへの注目も高まって優先しています。 さらに最新プラットフォームでは、企業がコスト管理とセキュリティ強化を両立させながら、自信を持ってソフトウェアをリリースできる環境が提供されています。
継続的インテグレーションとデプロイメント（CI/CD）パイプラインとリアルタイムテスト技術を組み合わせることで、将来の脅威に備える体制が整いつつあるといえるでしょう。

まとめ：未来に備えるために

デジタル環境がますます複雑化・連携化する中、HCL AppScanによる「2024年アプリケーション・セキュリティ・テスト動向レポート」は、最新の課題に直面するセキュリティ担当者にとって貴重な指針となるものです。
集中管理型のテスト、重大な脆弱性への対応、動的分析ツールの採用など、本調査結果はプロアクティブかつ革新的な戦略の必要性を明確に示しています。
本レポートから得られる知見を活用することで、組織は防御力強化とコンプライアンス確保につながり、堅牢なセキュリティ体制構築への道筋が見えてきます。

ぜひレポート全文をご覧いただき、次世代のアプリケーションセキュリティ戦略へ一歩踏み出し、自社のセキュリティ戦略にお役立てください。
レポート全文はこちらからご覧いただけます（英語）

2025/6/9 - 読み終える時間: ~1 分

Introducing HCL AppScan API Security: A Smarter Approach to API Protectionの翻訳版です。

2025年4月23日
Adam Cave
HCL AppScan プロダクトマーケティングマネージャー

現代のデジタル変革において、アプリケーション間の連携やサービス統合を支える要として、API（アプリケーション・プログラミング・インターフェース）の活用は不可欠な存在となっています。
現在、Webトラフィック全体の50%以上をAPIが占めており、その利用拡大とともに、企業は新たなセキュリティ課題に直面しています。
サイバー犯罪者は驚くべき速度でAPIを標的にしており、可視性とガバナンスの欠如によって見過ごされがちな脆弱性を悪用しているのが現状です。
こうした状況を受け、HCLSoftwareはSalt Securityとの提携により、「HCL AppScan API Security」を発表しました。これは、組織のAPI資産を可視化・管理し、リスクを最小化することを目的とした、包括的なAPIセキュリティプログラムです。
AIを活用したディスカバリープラットフォームにより、継続的なAPIインベントリ作成、セキュリティポスチャガバナンス、そして高度な脆弱性テストを実現し、進化し続ける脅威に先回りして対処できます。

APIセキュリティ対策は、もはやビジネスの必須要件

Salt Securityが発表した「2024年版 APIセキュリティレポート」によると、回答企業のうち37%がAPIに関連するセキュリティインシデントを経験しており、これは前年比で100%の増加となっています。
こうしたインシデントは、SNS、ECサイト、テクノロジープロバイダーなどにおける大規模な情報漏えいを招き、世界中の数百万人単位のユーザーに深刻な影響を与えています。APIの急速な普及は変革をもたらしましたが、それがもたらすリスクは今や明確になっています。
セキュリティは可視性から始まります。多くの企業がいま、ある重要な事実に気づき始めています。それは「自社でどれほど多くのAPIが使われているのか、実は正確に把握できていない」という現実です。
特に中堅から大企業にかけては、部門横断的な業務連携やサードパーティとの統合などにより、使用されているAPIの数が数百、時には数千にのぼることも珍しくありません。
このような状況下で、最新のAPIインベントリ（資産台帳）を把握・更新していない場合、セキュリティチームは重大な「死角（ブラインドスポット）」を抱えることになります。
結果として、脆弱性の検出、ガバナンスポリシーの適用、脅威への迅速な対応が非常に困難になります。
企業がAPI活用を加速する今だからこそ、まずは“どこに何があるか”という基本に立ち返ることが、持続的なセキュリティ体制の構築において不可欠です。

APIセキュリティにおける“スマートな解決策”を

HCL AppScan API Securityは、以下の機能を提供することで、これらの課題に正面から取り組むように設計されています。

• 継続的なAPIディスカバリー AIを活用し、文書化されていないシャドーAPIやゾンビAPIを含むすべてのAPIを特定・インベントリ化し、組織のAPIエコシステム全体を可視化する
• セキュリティ体制の管理 AI駆動によるリスク評価、事前に構築されたポリシーテンプレート、および包括的なAPIセキュリティポリシーライブラリにより、企業のAPIセキュリティ基準を策定・適用可能にする。
• 高度なAPI脆弱性テスト 動的アプリケーションセキュリティテスト（DAST）と連携し、精度の高い脆弱性検出を実現。OWASP API Security Top 10を100%カバーする
• 規制コンプライアンス保証 機密データの露出を特定し、適切なセキュリティポリシーを適用することで、GDPR、HIPAA、PCI DSSなどの主要なコンプライアンス標準を満たすのに役立つ
• リスクベースの優先順位付け ビジネスインパクトに基づくAIによるAPIリスクを評価し、優先順位を付けることで、セキュリティチームが最も重要な脅威に集中して対応可能

APIセキュリティの未来は今、始まる！

サイバー脅威がかつてないスピードで進化する今、APIのセキュリティ確保はもはや「オプション」ではなく、「必須」です。
HCL AppScan API Security は、組織が自社のAPIエコシステムを完全に可視化・制御し、脆弱性を先回りして検知・修正することで、リスクを伴うことなくAPIのビジネス価値を最大化し、推進し続けることを可能にします。

2025/5月/29 - 読み終える時間: 2 分

Shift-Left Security: A Proactive Strategy for Effective Risk Managementの翻訳版です。

現代のアプリケーション開発において、書かれるすべてのコードにはリスクが潜んでいます。そして、そのリスクに早期に対処することこそが、安全な開発の鍵となります。
アプリケーションの複雑化、サイバー脅威の高度化、さらには迅速なリリースが求められる中、ソフトウェア開発ライフサイクル（SDLC）全体にセキュリティを統合することが、これまで以上に重要になっています。
本記事では、開発初期段階からセキュリティを実装する「Shift-leftセキュリティ」の考え方と、その実践におけるHCL AppScanの役割についてご紹介します。

Shift-leftセキュリティとは？

Shift-leftセキュリティとは、ソフトウェア開発ライフサイクル（SDLC）の初期段階からアプリケーションセキュリティテストのセキュリティ対策を組み込む、プロアクティブなアプローチです。
従来のように開発終盤やリリース直前に脆弱性対応を行うのではなく、設計やコーディングのフェーズで脆弱性を検出・修正することで、後工程でのコストや手戻りを最小限に抑えることができます。
この「左（早期）」へのシフトするアプローチを採用することで、企業は以下のようなメリットを得られます。

• 脆弱性の早期発見、修正コストと工数を大幅削減
• 本番環境へ移行する前のリスク最小化
• 開発・運用・セキュリティチームの連携強化

現代の AppSec でShift-leftが重要視される理由

１． コスト効率の向上：開発後期またはリリース後に脆弱性を修正する場合、そのコストは設計・実装段階の最大100倍になるといわれています。
２． 市場投入までの時間短縮：初期段階で問題を解決することで、リリース遅延を回避し、スムーズなデリバリーを実現します。
３． チーム間の協業促進：セキュリティを開発者、セキュリティチーム、運用担当者が協力して共通課題として捉えることで、セキュアなアプリケーショ ンを構築することにつながります。
４． コンプライアンス遵守：セキュリティを初期から実装することで、より確実な法令順守を可能にします。

HCL AppScanによるShift-leftセキュリティの実現

HCL AppScanは、Shift-leftセキュリティをシームレスに実現するための機能を豊富に備えています。

• 開発者向けツール：Visual StudioやEclipseといった主要なIDEに直接統合し、開発者がワークフローの中で直接スキャンやインサイト取得の対応が可能。
• 包括的なテスト機能：静的アプリケーションセキュリティテスト（SAST）およびインタラクティブアプリケーションセキュリティテスト（IAST）テストなど、多様な手法での対応により、AppScanはSDLC全体にわたって脆弱性の検出を実現。
• 自動化とCI/CD統合：AppScanは自動化をサポートし、CI/CDパイプラインと統合することで、開発プロセスの一環として継続的なセキュリティテストを可能にします。
• AIによる優先度付きのレコメンド：AppScanは高度なAIを活用し、重要度の高い脆弱性から対応できるよう、効率的な問題解決を支援。

Shift-leftの成果：導入事例

ある世界的なEC企業では、HCL AppScanを活用したShift-leftの実践により、わずか6か月で脆弱性を60%削減し、リリースサイクルを25%短縮することに成功しました。初期段階でのテストと開発者の自律性強化が、セキュリティと生産性の両面で大きな成果をもたらしたのです。

Shift-left導入に向けたステップ

１． セキュリティを開発ツールとの統合：HCL AppScanのようなソリューションを、既存の開発環境にシームレスに統合できるソリューションを組み込みましょう。
２． テストの自動化：CI/CDパイプラインにおける静的・動的テストの自動化で、継続的なセキュリティ検証が可能になります。
３． チーム教育：開発者に対して、セキュアコーディングやツールの活用に関するトレーニングを実施しましょう。
４． 効果測定：脆弱性検出数、修正に要する時間、コンプライアンススコアなどで成果を可視化します。

セキュリティは「Shift-everywhere」へ

現代の開発において、Shift-leftはもはやトレンドではなく、必要不可欠な取り組みです。HCL AppScanはこの考えをさらに進化させ、「Shift-everywhere」、すなわちソフトウェアサプライチェーン全体を対象としたセキュリティ強化を提唱しています。
開発初期から運用後に至るまで、ソフトウェアライフサイクル全体のすべての工程でセキュリティを組み込むことが、組織とユーザーの未来を守る鍵となるのです。

より安全な開発体制に向けた第一歩として、HCL AppScanチームへご相談ください。より安全な開発プロセスへの道を共に歩みましょう。

2025/5月/7 - 読み終える時間: 2 分

HCL AppScan 10.8.0: Smarter Security with Customization, Reporting and New Licensing Platformの翻訳版です。

2025年2月28日
Ryley Robinson
プロジェクトマーケティングマネージャー

継続的なイノベーションロードマップの一環として、HCLSoftwareはHCL AppScan 10.8.0のリリースを発表できることを誇りに思います。
この最新アップデートでは、複数のアプリケーションセキュリティテスト製品に新たな機能が導入され、セキュリティテストの簡素化だけでなく、自動化の強化とレポート作成のコンプライアンス向上を実現します。
本アップデートでの主な改善点は、オンプレミス製品であるHCL「AppScan Standard」「HCL AppScan Enterprise」「HCL AppScan Source」の3製品に実装されています。
いずれのケースにおいても、精度と効率の向上は、お客様からのフィードバックやご要望、そして現在および将来のサイバー脅威に対応するための継続的な製品開発への投資の成果によるものです。

DevOps連携とカスタマイズ機能の強化

AppScan StandardおよびEnterpriseでは、最新バージョンのPostmanコレクションを自動で取り込み、再スキャン時にも更新されるようになりました。
これにより、APIの変更や追加があっても、毎回新たなスキャンを作成する必要がなくなり、常に最新のAPIセキュリティテストが実行されます。
また、ユーザー独自のニーズに応じてスキャン設定を微調整できるカスタムスクリプトの作成も可能となり、セキュリティテストにおける柔軟性が向上しています。
詳細については、こちら※英語ページに遷移しますをクリックしてください。

My HCLSoftware (MHS)：ライセンス管理の新たなハブ

My HCLSoftware（MHS）※英語ページに遷移しますは、ご購入後の利用をサポートする全く新しい統合ポータルであり、HCL AppScan製品のすべてのライセンスニーズを管理するための新しいハブとなります。
今後、MHSは、サポートされているすべてのバージョンのHCL AppScanのライセンスをダウンロードおよび管理するためのプラットフォームとなります。
このポータルは、ライセンス管理の透明性を高め、お客様にシームレスなセルフサービス体験を提供するために設計されています。
ご不明な点がございましたら、サポート※英語ページに遷移しますにお問い合わせいただくか、当社のブログをご覧ください

自動化と精度の向上

認証エラーはセキュリティスキャンを中断を引き起こしますが、最新版のHCL AppScan Standardでは、自動ログイン処理が改善され、認証が必要なアプリケーションでも中断を最小限に抑えてテストを進められるようになりました。
正規表現（Regular Expression）機能も刷新され、カスタムパターンの定義によりリスクの検出精度が向上し、ユーザー体験の改善にもつながっています。

2024年版「CWE Top 25」への対応強化

セキュリティテストをさらに強化するために、HCL AppScan Source 10.8.0には、2024年のCWE Top 25の最も危険なソフトウェア脆弱性※英語ページに遷移しますに対する最新のサポートが含まれています。
これらの脆弱性は広く知られ、悪用も容易であるため、データ窃盗、業務妨害、またはアプリケーションの完全な乗っ取りを企む攻撃者にとって格好の標的となります。
このアップデートにより、開発チームは脆弱性の根本原因に対処し、セキュリティ対策を強化することで、産業界及び政府関連アプリケーションのリスク軽減に貢献できます。

レポート・コンプライアンス・セキュリティ機能の拡充

HCL AppScan Enterpriseでは、1つの脆弱性に対して複数のCWEを表示することで、チームがより効果的にリスクの優先順位付けをさらに明確化できるようになりました。
APIレスポンスにはCVSSベクトルスコアが追加され、より精緻なリスク評価が可能になりました。
また、新たに追加された「Activity Log REST API」により、セキュリティ関連の操作を一元的に追跡できます。
また、HCL AppScan on Cloud（ASoC）からSCA問題の結果を統合することで、脆弱性管理も単一プラットフォームで実現します。
さらに、Webアクセシビリティの国際基準である「WCAG（Web Content Accessibility Guidelines）」に準拠した改良が加えられ、より多くのユーザーにとって使いやすい環境が整備されました。

HCL AppScan 10.8.0で、セキュリティの一歩先へ

今回のアップデートHCL AppScan 10.8.0は、自動化の強化、レポート機能の向上、他ツールとのスムーズな連携を通じて、セキュリティ脅威への先手対応を可能にしながら、業務効率の最適化も支援します。
詳細については、当社のドキュメント※英語ページに遷移しますまたはウェブサイトをご覧ください。

関連リンク

・重要なお知らせ：HCL AppScan のライセンス方式が2025年6月より変更を予定しております。（詳細はこちら※英語ページに遷移します）

2025/4/1 - 読み終える時間: ~1 分

HCLSoftware のライセンス&ダウンロードポータルが My HCLSoftpware Porta (MHS) に変更となりました。
この変更に関する詳しい情報は My HCLSoftware ポータルについて をご覧ください。

これに伴い AppScan のオンプレミス製品 (AppScan Enterprise、AppScan Source、AppScan Standard) は、インストールモジュールのダウンロードに加えて、ライセンスファイルの管理も MHS を利用する形に変更となりました。
AppScan の 10.0.0 から 10.6.0 は2025年6月30日をもってサポート終了となります。
該当する AppScan オンプレミス製品をご利用中のお客様は、AppScan 10.8.0 をインストール(更新)し、MHS を利用したライセンス構成でご利用いただけますようお願いいたします。

AppScan 10.8.0 の導入と構成の手順については製品ドキュメントをご参照ください。

• 例: AppScan Enterprise 10.8.0 製品ドキュメント 前のバージョンからのアップグレード時における製品の変更点

また、以下のサポート技術情報では、英語ですが MHS を利用したライセンス構成方法を動画でご紹介しております。こちらもご参照ください。 How to use My HCLSoftware portal (MHS) for licensing requirements for AppScan products

2025/1/28 - 読み終える時間: ~1 分

The Future of AI Security: Why LLMs Need Extra Care の翻訳版です。

AI セキュリティの未来: LLM に特別な注意が必要な理由

2025年1月27日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

ジェネレーティブ AI (GenAI) は業界を揺るがし、企業に革新と効率的な運用のための刺激的な方法を提供しています。ChatGPT、Llama 2、MidJourney などのツールにより、企業はパーソナライズされた顧客体験を拡大し、これまでにないほどワークフローを合理化できます。しかし、これらのテクノロジーが主流になるにつれて、特にセキュリティの面で新たな課題が生じます。

多くの GenAI ソリューションの中核を成すのは大規模言語モデル (LLM) であるため、LLM がもたらす固有のリスクと、それらを効果的に管理する方法を理解することが重要です。

OWASP Top 10 for LLM Applications チームの LLM AI サイバーセキュリティ & ガバナンス チェックリストは、組織がまさにそれを行うのに役立ちます。これは、LLM の導入に関連するリスクを特定して軽減するように設計された実用的なガイドです。チェックリストはここでの焦点では??ありませんが、業界のトレンドを強調しています。アプリケーションセキュリティテストに関しては、LLM に特別な注意が必要です。

LLM セキュリティがこれほどユニークな理由

LLM は強力ですが、従来のソフトウェアとは異なる癖があります。まず、本質的に予測不可能であるため、同じ入力から異なる出力が得られる可能性があります。これが LLM の汎用性を高める理由の 1 つですが、信頼性とセキュリティの課題も生じます。

たとえば、攻撃者はプロンプト インジェクションなどの手法を使用して脆弱性を悪用できます。プロンプト インジェクションでは、入念に作成された入力によってモデルが意図しない、または有害な出力を生成するように強制されます。もう 1 つの懸念は、機密情報がモデルの応答で不注意に表面化するデータ漏洩です。これらのリスクは、LLM がプラグインや API とやり取りするときに増幅されるため、堅牢なアプリケーションセキュリティテストは必須です。

OWASP のチェックリストでは、既存のガバナンス フレームワークに GenAI セキュリティ対策を統合することを強調しています。これには、HCL AppScan などのアプリケーションセキュリティ ツールを使用した定期的な脆弱性評価が含まれます。組織は、基盤となるコードのテストに加えて、安全なデータ処理方法を確認し、セマンティック検索による操作の脆弱性など、LLM 固有の弱点についてアプリケーションをテストする必要があります。

AI 戦略にセキュリティを組み込む

企業が実行できる最も重要なステップの 1 つは、LLM をスタンドアロン ツールではなく、より広範なセキュリティ エコシステムの一部として扱うことです。つまり、ソフトウェア レビューからデータ プライバシー対策まで、LLM ガバナンスを既存のプロトコルに組み込むことを意味します。OWASP は、安全でないプラグイン設計や、リモート コード実行につながる可能性のある不正なアクセス ポイントなどのリスクを発見するために、プロアクティブなセキュリティテストの必要性を強調しています。

トレーニングもパズルの重要なピースの 1 つです。従業員は、AI の可能性と落とし穴の両方を理解する必要があります。特に、開発者とサイバーセキュリティチームは、ディープ フェイクやなりすましの脅威などのリスクを認識できるようにトレーニングを受ける必要があります。また、「シャドー AI」の危険性も見逃さないでください。従業員が承認プロセスをバイパスして不正な AI ツールを使用すると、チームが予期していなかった脆弱性が生じます。

これが重要な理由

HCL AppScan などのツールを使用したアプリケーションセキュリティテストは常に重要でしたが、GenAI の台頭により、緊急性がさらに高まっています。 LLM に関連するリスク (幻覚 (モデルが不正確または捏造された情報を生成する) や敵対的攻撃など) は、単なる技術的な懸念ではありません。信頼、コンプライアンス、意思決定に影響を及ぼし、ビジネスに実際の結果をもたらす可能性があります。

セキュリティとガバナンスを優先することで、組織は不要なリスクにさらされることなく GenAI の潜在能力を最大限に引き出せます。OWASP のチェックリストは、まさにそのための青写真を提供し、企業が責任を持って自信を持って革新するのを支援します。

ジェネレーティブ AI は単なるトレンドではなく、未来です。新たな脅威に先んじて AI が提供するすべてのものを最大限に活用するには、HCL AppScan のチームに連絡して、セキュリティを維持するために必要なツールと戦略をより深く理解することを検討してください。