2024/6/11 - 読み終える時間: ~1 分

AI and Application Security: Time Savings and Trust Issues の翻訳版です。

AI とアプリケーションセキュリティ： 時間の節約と信頼の問題

2024年6月10日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

人工知能 (AI) は、1980 年代の SF 映画「ターミネーター」や「2001 年宇宙の旅」での描写から、ChatGPT などの日常生活で遭遇する実用的なツールへと移行し、至る所で話題になっています。しかし、AI を取り巻く興奮のなか、その機能と限界について誤解が広がっています。

これは、開発者向けのコードの作成と評価を行う AI ツールがますます増えているアプリケーション セキュリティの領域で特に顕著です。このコンテキストで AI の出力を信頼するための基準を確立し、人間の介入が依然として必要な領域を特定することが不可欠です。

これらのトピックは、SDTimes の最近の David Rubinstein の記事「AI をめぐる誇大宣伝から現実を見極める (Discerning reality from the hype around AI)」で詳しく取り上げられています。Rubinstein は、HCLSoftware のアプリケーション セキュリティの専門家 3 名にインタビューし、AI が安全なコーディングに役立つことの現実をより深く理解し、AI の使用に対する HCLSoftware の革新的なアプローチについても学びます。

HCLSoftware の主任認知研究者である Kristofer Duer 氏は次のように述べています。「[AI] にはまだ識別力がありません... 得意とするのはパターン マッチングです。データの集合から共通点を見つけ出すことができます」。組織は、生成 AI と大規模言語モデルを使用してパターンをマッチングし、大量のデータを人間が簡単に利用できるようにしています。たとえば、ChatGPT は、コードの作成と、レビュー用に渡されたコードのセキュリティ問題の特定の両方に使用できるようになりました。

AI の信頼をナビゲート: 信頼のジレンマ

人工知能 (AI) の領域では、信頼が最も重要です。しかし、AI が問題の特定に優れているため、大きな懸念が生じます。AI が間違いを犯したとき、それは揺るぎない自信を持って犯します。Duer 氏が繰り返し述べているように、「... ChatGPT が間違っているとき、それは間違っていることに自信を持っています。」そのため、開発者による生成 AI への過度の依存は、HCLSoftware の HCL AppScan CTO である Colin Bell にとって大きな懸念事項です。Meta の Code Llama や Google の Copilot などのソフトウェアを使用してアプリケーションを開発する開発者が増えるにつれて、そのコードが安全であると信頼できるかどうかを誰も尋ねることなく、指数関数的に多くのコードが作成されるようになっています。Bell 氏は、「... AI によって、生成されるコードが増えるため、アプリケーション セキュリティの作業が増える可能性があります」と警告しています。

インタビューを受けた全員が、ソフトウェア開発ライフサイクル全体を通じて人間がコードを監査する必要性が依然としてあることに同意しました。AI はコードの作成を支援できますが、セキュリティにおける AI の最も効果的な用途の 1 つは、人間のセキュリティ専門家が時間と注意を集中すべきコードの場所を指摘することです。この支援により、時間とリソースを大幅に節約できます。

AI と HCL AppScan

HCLSoftware が HCL AppScan ポートフォリオで使用する 2 つの AI プロセスは、この目標を念頭に置いて長年にわたって開発されました。インテリジェント検出分析 (IFA) は、ユーザーに提示される検出の量を制限するために使用されます。インテリジェント コード分析 (ICA) は、メソッドまたは API のセキュリティ情報が何であるかをユーザーが判断するのに役立ちます。

たとえば、IFA は、セキュリティ専門家と同じ基準で AppSec スキャン結果を確認し、人間のテスターが退屈だと感じる結果 (アプリケーションに対する実際のリスクを表していない結果) を無視するようにトレーニングされています。このようにして、AI によって検出結果の数が自動的に大幅に削減されるため、人間は最も重要な脆弱性のみをトリアージすることに集中できます。Duer 氏は、「[IFA] は、実際の人間の作業時間を大幅に節約します。当社の有名な例の 1 つでは、400,000 件を超える検出結果を伴う評価を、人間が確認する必要がある約 400 件にまで削減しました」と述べています。

自動修復: 究極の目標

自動修復と呼ばれる、コードの脆弱性を修正するために AI を使用するという大きな進歩も遂げられています。 HCLSoftware のカスタマー エクスペリエンス エグゼクティブである Rob Cuddy 氏は、このテクノロジーがもたらす可能性に期待を寄せていますが、同僚のより広範な信頼の問題を反映した責任に関する懸念を表明しています。「たとえば、自動修復ベンダーで、修正プログラムや推奨事項を提供しているとします。誰かがそれをコードに採用し、侵害されたとします。誰の責任でしょうか?」

AI と信頼に関するこの会話の多くは、組織がアプリケーション セキュリティ ポスチャ管理 (ASPM) に向けて行っているより広範な方向転換を反映しています。ASPM の鍵となるのは、ソフトウェア ランドスケープ全体でリスクを最も効果的に管理する方法です。AI の将来の実装は、効率と信頼のバランスを取り、このリスク管理モデルにすべてうまく適合させることによって形作られます。

記事の全文はこちらでお読みください。

HCL AppScan ソリューションで現在利用可能な AI および機械学習機能の詳細については、HCL AppScan の製品ページにアクセスしてください。

2024/6/10 - 読み終える時間: 4 分

Seamless Integration: HCL AppScan on Cloud Meets Jira の翻訳版です。

シームレスな統合： HCL AppScan on Cloud と Jira の連携

2024年6月10日

著者: Parimal Sureshagarkhed / Lead Software Engineering

あらゆる分野の組織が、強固なサイバーセキュリティ対策を実施する必要性を認識しています。脅威が進化し続ける中、効果的なセキュリティツールを確立されたワークフローにシームレスに統合することが不可欠になっています。HCL AppScan on Cloud と Jira の組み合わせのような傑出した統合は、セキュリティテストのプロセスを合理化し、強化する有望なソリューションです。

HCL AppScan on Cloud の発表

Jira はアジャイルソフトウェア開発の要です。チームがシームレスに作業を計画、追跡、管理できるようにします。カスタマイズ可能なワークフローと堅牢な課題追跡機能により、コラボレーションとタスク管理の中心的なハブとしても機能します。様々な開発ツールとの統合により、その有用性が高まり、チームはプロセスの効率化を推進できます。

Jira 内で HCL AppScan App を利用することで、開発者は HCL AppScan から Jira に課題をインポートするシステムを、オンデマンドまたはスケジュールされた間隔で設定できます。この統合により、企業は迅速かつ正確なHCL AppScanの調査結果に基づいて、システムの脆弱性を効率的に特定、優先順位付け、追跡、修復できるようになります。HCL AppScan 製品は、Intelligent Finding Analytics (IFA) や Intelligent Code Analytics (ICA) のような実績のあるAI/機械学習機能を使用しています。

HCL AppScan On CloudとJiraの利点

HCL AppScan on CloudとJiraの統合は、セキュリティと開発のギャップを埋めます。主なメリットをいくつかご紹介します。

セキュリティテストのワークフローを合理化

HCL AppScanをJiraと統合することで、セキュリティ脆弱性を処理するためのスムーズなワークフローが生まれます。これにより、以下に示すように、1つまたは複数のHCL AppScanアプリケーション名と、1つまたは複数のアプリケーションポリシーID（OWASP Top 10 2017、PCI Complianceなど）に基づく課題インポートの構成が可能になります。その他の統合の詳細は後述します。

さまざまなHCL AppScanポリシーの詳細については、こちらを参照してください。

問題の状態、重大度、およびスキャンの種類に応じてインポートを調整します。

HCL AppScanによってハイライトされた問題の転送は、1回限りのインポートとして設定できます。

1時間ごと、1日ごと、1週間ごと、1ヶ月ごと、または指定した時間（たとえば午後2時）に設定を行います。

コラボレーションと可視性の強化

セキュリティ問題を Jira 内に一元化することで、部門横断的なチームがより効率的にコラボレーションできるようになります。開発者、セキュリティアナリスト、プロジェクトマネージャは、使い慣れた Jira 環境で脆弱性のステータスを追跡し、タスクを割り当て、コミュニケーションをとることができるため、より良い意思決定とリソース割り当てが容易になります。

優先順位付けされた修復

開発者が Jira ドメイン内でセキュリティ問題に対処できるようにすることで、この統合は修復プロセスを加速する。開発者は HCL AppScan の重大度マッピングを Jira の優先順位に合わせて柔軟に設定し、プロジェクト固有のニーズに合わせられます。

Jira の強固な課題追跡の専門知識により、チームは重大度、影響、その他の要因に基づいて脆弱性の修復に優先順位をつけられます。これにより、重要な問題が最初に対処され、全体的なセキュリティリスクが低減されます。

強力なレポートと分析

Jira の堅牢なレポートと分析機能は、プロジェクトチームがプロジェクトに関する貴重な洞察を得るのに役立ちます。バーンダウンチャートやスプリントレポートからカスタムダッシュボードや高度な分析に至るまで、Jira はプロジェクトの進捗を追跡し、ボトルネックを特定し、重要なデータ駆動型の意思決定を行うための十分なオプションを提供します。Jira のこれらの利点は、プロジェクトのセキュリティの健全性を容易に追跡するために活用できます。

監査証跡

Jira との統合により、脆弱性修復の取り組みの監査証跡が提供される。チームは、各問題の履歴を追跡することができ、変更、指摘事項の追加、解決策の実施などが含まれるため、コンプライアンスや報告要件が緩和されます。

要するに、HCL AppScan Jira Appは、企業がセキュリティを開発プロセスにシームレスに統合するための道を開き、企業がセキュリティを優先することを可能にし、セキュリティ対策を強化したソフトウェア製品の作成を保証する、優れた進歩を示しています。

HCL AppScan と Jira の統合プロセス

• この手順に従ってアプリをインストールしてください。
• 統合の使用方法をご覧ください。
• アプリを使用して作成された Jira チケットのサンプルを見ます。
• 最新のJira統合は、Visual Studio、Jenkins、GitHub、GitLabなど、マーケットプレイスで入手可能な一般的なツールとの幅広いコラボレーションを追加します。

サイバーセキュリティを最重要視する中、HCL AppScan on Cloud with Jiraは組織のセキュリティ体制を強化し、開発チームとセキュリティチーム間のコラボレーションを改善し、より安全なソフトウェアアプリケーションを顧客に提供できます。この強力な組み合わせにより、組織は新たな脅威を先取りし、ユーザーとの信頼を築けます。

HCL AppScanのすべてのアプリケーションセキュリティテストソリューションの詳細については、こちらをご覧ください。

2024/6/4 - 読み終える時間: ~1 分

Why Governments Must Prioritize Application Security Testing の翻訳版です。

政府がアプリケーションセキュリティテストを優先しなければならない理由

2024年5月31日

著者: Nabeel Jaitapker / Product Marketing Lead, HCLSoftware

急速に進化するデジタルガバナンスの状況において、強固なサイバーセキュリティ対策の確保は譲れないものとなっている。世界中の政府がサービスを提供し、市民と関わるためにデジタルプラットフォームへの依存度を高めており、サイバー脅威に対する強固な防御の必要性がかつてないほど明確になっている。

この武器庫に不可欠な武器の1つが包括的なアプリケーションセキュリティテストであり、「政府サイバーセキュリティの強化 (Enhancing Government Cybersecurity: The Imperative for Application Security Testing.)」と題されたホワイトペーパーで幅広く検討されている： アプリケーションセキュリティテストの必要性" と題したホワイトペーパーでは、このテーマについて幅広く取り上げている。

デジタル地形をナビゲートする

政府がソフトウェアアプリケーションの力を活用して業務を合理化し、市民との交流を促進するにつれ、同時に無数のサイバーセキュリティリスクにさらされることになる。個人情報から国家安全保障の記録まで、機密データが保存されている政府システムの侵害がもたらす潜在的な影響は、事態の深刻さを際立たせている。したがって、悪意ある行為者からこれらのデジタル要塞を守ることが最も重要である。

脆弱性の状況を理解する

ホワイトペーパーは、政府機関のアプリケーションを悩ませている多様な脆弱性について綿密に概説している。インジェクション攻撃から認証の欠陥に至るまで、潜在的な悪用の範囲は広範かつ複雑である。このような脆弱性は、データの完全性を脅かすだけでなく、政府機関に対する国民の信頼も損ないます。

アプリケーションセキュリティテストの重要な役割

アプリケーションセキュリティテストは、デジタル侵入者に対する最前線の防御手段です。HCL AppScanのような最先端のツールを活用することで、政府機関は脆弱性が悪用される前に積極的に特定し、修正できます。規制基準へのコンプライアンスの強化からリスク管理戦略の強化まで、その利点は多岐にわたります。

メトリクスとケーススタディ 鮮明なイメージを描く

このホワイトペーパーでは、説得力のある実例と統計的洞察を多数紹介している。その中には、Verizon Data Breach Investigations ReportやPonemon Instituteといった定評ある情報源から得られた知見も含まれており、サイバー脅威の蔓延と不十分なサイバーセキュリティ対策による具体的な影響の両方が強調されています。

HCL AppScan のパワーを解き明かす

この防御メカニズムの中核にあるのが、政府機関特有のニーズに合わせた包括的なアプリケーションセキュリティテストおよび管理ソリューションであるHCL AppScanです。動的および静的アプリケーションセキュリティテスト、対話型テスト機能、ソフトウェア構成分析などの一連の機能により、政府機関はサイバー空間の危険な海を、自信を持って航海するために必要なツールを手に入れられます。

デジタル領域の強化

結論として、このホワイトペーパーは、政府が重要なシステムを保護し、国民の信頼を維持するために、アプリケーションセキュリティテストを優先するよう説得力のある事例を提示しています。堅牢なテストフレームワークに投資し、HCL AppScan の ような革新的なソリューションを活用することで、政府はサイバー脅威に対する防御を強化し、より安全なデジタルの未来への道を開けます。今こそ行動を起こすべき時であり、その賭け金はかつてないほど高まっています。

2024/6/4 - 読み終える時間: ~1 分

Application Security Testing’s Role in Safeguarding Telecommunications and IT Infrastructure の翻訳版です。

電気通信と IT インフラの保護におけるアプリケーションセキュリティテストの役割

2024年5月31日

著者: Nabeel Jaitapker / Product Marketing Lead, HCLSoftware

通信とITインフラがグローバルな接続性のバックボーンとして機能する今日の相互接続された世界では、アプリケーションのセキュリティを確保することが最も重要です。

最近のホワイトペーパー「アプリケーションセキュリティテストによる通信およびIT組織のセキュリティ確保 (Ensuring Security in Telecommunications and IT Organizations through Application Security Testing,)」は、HCL AppScanのようなソリューションに代表される強固なセキュリティ対策の重要な必要性に光を当てています。

アプリケーションセキュリティテストがデジタルエコシステムの保護に不可欠である理由を掘り下げてみましょう。

脆弱性の状況

電気通信およびIT組織は、サイバー脅威に満ちた環境で活動しています。Verizon Data Breach Investigations ReportやOWASP's Mobile Top 10などの調査では、ウェブアプリケーションやモバイルアプリケーションに脆弱性が蔓延していることが強調されています。これらの脆弱性は、ユーザーデータの漏洩から風評被害まで、重大なリスクをもたらし、包括的なセキュリティ対策の緊急性を強調している。

アプリケーションセキュリティテストの役割

アプリケーションセキュリティテストは、脆弱性が悪用される前にその脆弱性を特定し、修正するための予防的なメカニズムとして機能します。HCL AppScanのようなソリューションは、静的テスト、動的テスト、対話型テストを含む包括的な機能スイートを提供し、企業がソフトウェア開発ライフサイクル全体にわたってセキュリティ態勢を評価できるようにします。コード解析や侵入テストなどの高度な技術を活用することで、企業は潜在的な脅威を効果的に軽減できます。

影響の定量化

電気通信やITアプリケーションのセキュリティ侵害が財務に及ぼす影響は相当なものです。調査によると、データ漏洩のかなりの割合が、パッチが利用可能でありながら適用されていない脆弱性によって発生しています。このようなリスクを軽減し、セキュリティインシデントの潜在的な影響を最小限に抑えるには、タイムリーなパッチ管理と、アプリケーションセキュリティテストを含むプロアクティブなセキュリティ対策が極めて重要です。

ケーススタディ

実際の事例が、致命的な侵害を回避するアプリケーションセキュリティテストの有効性を裏付けている。2023年にVoIPやファイル転送ソフトウェアを標的とした攻撃のような重要インフラへの攻撃は、リスクを軽減し、機密データを保護するための事前予防的なセキュリティ対策の重要性を浮き彫りにしています。

アプリケーションセキュリティテストの利点

HCL AppScanは、電気通信およびIT組織特有のニーズに合わせた、アプリケーションセキュリティテストおよび管理ソリューションのリーディングカンパニーです。動的アプリケーションセキュリティテスト（DAST）、静的アプリケーションセキュリティテスト（SAST）、ソフトウェア構成分析（SCA）などの機能により、HCL AppScanは脆弱性を特定し、改善するためのエンドツーエンドのソリューションを提供します。

電気通信およびIT組織の強化

結論として、電気通信およびIT組織がHCL AppScanのようなアプリケーションセキュリティテストを優先する必要性は否定できません。脆弱性の特定と緩和に向けて積極的な姿勢を採用することで、進化するサイバー脅威に対する防御を強化し、重要なインフラの完全性を守れます。デジタルエコシステムが拡大し続ける中、強固なセキュリティ対策を採用することは、単なる選択肢ではなく、信頼を維持し、機密性を保持し、相互接続されたシステムの回復力を確保するために必要不可欠なものとなっています。

アプリケーションセキュリティテストによる電気通信およびIT組織のセキュリティ確保について詳しくはホワイトペーパーをダウンロードしてご覧ください。

2024/6/4 - 読み終える時間: 2 分

Application Security Testing’s Role in Safeguarding Financial Institutions の翻訳版です。

金融機関を守るアプリケーションセキュリティテストの役割

2024年5月31日

著者: Nabeel Jaitapker / Product Marketing Lead, HCLSoftware

急速なデジタル変革の時代において、銀行、金融サービス、保険の各セクターは大きな進化を遂げている。こうした進化は消費者に利便性とアクセシビリティの向上をもたらす一方で、金融機関を無数のサイバー脅威にさらしている。このような課題に鑑みれば、強固なサイバーセキュリティ対策の必要性はいくら強調してもしすぎることはない。

最近発表されたホワイトペーパー「金融強化の確保： 銀行、金融サービス、保険におけるアプリケーションセキュリティテストの重要性 (Ensuring Financial Fortification: The Imperative of Application Security Testing in Banking, Financial Services, and Insurance)」は、進化するサイバー脅威から金融機関を守るためのアプリケーションセキュリティテストの重要性に光を当てています。ここでは、ホワイトペーパーから得られた重要なポイントを掘り下げ、リスクを軽減する上でHCL AppScanが果たす変革的な役割に焦点を当てます。

デジタルの展望 課題とリスク

銀行や金融サービスのデジタルプラットフォームへの依存度が高まるにつれ、システム内の脆弱性を悪用しようとするサイバー犯罪者の格好の標的となっています。ホワイトペーパーでは、これらの機関が直面する以下のような課題について概説しています：

• 高度化するサイバー脅威： マルウェアからフィッシング攻撃まで、進化し続けるサイバー脅威の性質は、金融機関に重大なリスクをもたらし、報告されるインシデントは増加の一途をたどっている。

• コンプライアンス要件： 規制機関は、データ保護とプライバシーに関して厳しい基準を課しており、これに従わない場合、多額の罰金や風評被害につながる可能性があります。

• レガシーシステム： 多くの金融機関はレガシーなインフラで運用されているため、強固なセキュリティ機能がなく、サイバー脅威に対して脆弱である可能性がある。

• サードパーティのリスク： サードパーティベンダーへの依存により攻撃対象が増えるため、サプライチェーンのリスクを軽減するための強固なセキュリティ対策が必要となる。

アプリケーションセキュリティテストの役割

アプリケーションセキュリティテストは、バンキングアプリケーション内の脆弱性を特定し、是正するためのプロアクティブなアプローチとして登場しました。アプリケーションコード、構成、アーキテクチャの包括的な評価を実施することで、金融機関は防御を強化し、潜在的なリスクを軽減できます。

アプリケーションセキュリティテストの主な利点は以下のとおりです。

• 脆弱性の特定： 自動スキャンと手動評価により、SQLインジェクションやクロスサイトスクリプティングなどの脆弱性を特定し、迅速に修正できます。

• コンプライアンスの保証： アプリケーションセキュリティテストは、規制要件の遵守を支援し、罰則や法的な影響を回避します。

• リスクの軽減： 脆弱性を積極的に特定し修正することで、データ漏洩、金銭詐欺、風評被害の可能性を低減します。

• セキュアな開発ライフサイクル： ソフトウェア開発ライフサイクルにセキュリティテストを統合することで、当初から設計によるセキュリティの文化が育まれます。

HCL AppScan： 金融機関を強化

HCL AppScan は、銀行、金融サービス、保険業界特有のニーズに合わせた、アプリケーションセキュリティテストおよび管理ソリューションのリーディングカンパニーです。その特長は以下の通りです。

• 動的アプリケーションセキュリティテスト (DAST)
• 静的アプリケーションセキュリティテスト (SAST)
• インタラクティブアプリケーションセキュリティテスト (IAST)
• ソフトウェア構成分析 (SCA)
• 統合と自動化
• クラウドセキュリティ
• APIセキュリティ
• ソフトウェアサプライチェーンセキュリティ

金融機関を強化する

結論として、このホワイトペーパーは、進化するサイバー脅威から金融機関を守る上で、アプリケーションセキュリティテストが極めて重要であることを強調しています。HCL AppScanのようなソリューションを採用することで、銀行や金融機関は防御を強化し、顧客データを保護し、金融システムの信頼性と完全性を維持できます。

複雑なサイバーセキュリティの状況を乗り切る金融機関にとって、包括的なアプリケーションセキュリティテストの導入は単なる選択肢ではなく、必要不可欠なものです。

これらの洞察をさらに掘り下げ、アプリケーションセキュリティテストを通じて金融機関を強化する方法について詳しく知りたい方は、こちらからホワイトペーパー全文をダウンロードしてください。

2024/5月/22 - 読み終える時間: 2 分

Demystifying PBOM and SBOM: Understanding the Key Differences の翻訳版です。

PBOM と SBOM の解明：重要な違いを理解する

2024年5月17日

著者: Nabeel Jaitapker / Product Marketing Lead, HCLSoftware

テクノロジーが私たちの存在のほぼすべての側面に浸透している現代の相互接続された風景では、デジタル・インフラの複雑さを把握することが不可欠な優先事項となっています。

テクノロジーと製品開発をめぐる議論でよく出てくる用語が2つあります。パイプライン部品表（PBOM）とソフトウェア部品表（SBOM）です。この2つは似ているように聞こえるかもしれませんが、それぞれ異なる目的を持ち、製品開発と管理の異なる側面に対応しています。

PBOMとSBOMの違いをより明確に理解し、技術エコシステムにおけるそれぞれの役割を理解するために、PBOMとSBOMのニュアンスを掘り下げてみましょう。

パイプライン部品表（PBOM）

PBOMは、ソフトウェアの最初のコード行からリリースに至るまでの、包括的でリアルタイムのリネージ・リストです。PBOMは、ソフトウェア開発ライフサイクル全体において、ソフトウェアが通過したすべての過程を追跡します。PBOMは、すべてのビルドの整合性を保証し、運用中のすべてのアプリケーションが安全であることを確認し、攻撃対象領域を最小限に抑えます。

主な機能は次のとおりです。

• パイプラインの完全な可視化： PBOMは、すべてのパイプラインブランチ、ビルド、プルリクエスト、チケット、既知の問題、脆弱性管理を自動的に追跡します。これにより開発チームは、リポジトリ、CI/CD、成果物、クラウドデプロイメントを含むビルドフロー全体をドリルダウンできます。

• ソフトウェアの完全性： PBOMは、ソフトウェアが正しいソースと依存関係からビルドされ、ビルドプロセス中に変更されていないことを保証します。コミットの異常、レビューのないコミット、プロジェクトに参加していないコミッターからのコミットをスキャンします。

• 完全なトレーサビリティ： PBOMは、変更の適切な文書化から各バージョンのリリースのトレースまで、すべてのパイプラインの変更を継続的に監視します。これにより、開発を遅らせることなく、ソフトウェア・サプライチェーンの安全性を確保します。

ソフトウェア部品表（SBOM）

一方、SBOMは、特定の製品やアプリケーションで使用されるソフトウェア・コンポーネントの詳細なインベントリです。オープンソースライブラリ、サードパーティの依存関係、およびそれらに関連する脆弱性を特定し、ソフトウェアサプライチェーンに透明性を提供します。

主な機能は以下のとおりです。

• コンポーネントの特定： SBOM は、ライブラリ、フレームワーク、モジュールなど、製品で使用されるすべてのソフトウェアコンポーネントを識別します。この可視性は、ソフトウェアの構成とその潜在的なセキュリティへの影響を理解する上で極めて重要です。

• 脆弱性管理： SBOM は、使用されている依存関係やバージョンに関する洞察を提供することで、組織がソフトウェアの脆弱性を評価し管理するのを支援します。これにより、パッチ管理や脆弱性修正などの予防的なセキュリティ対策が可能になります。

• コンプライアンスの保証： SBOM は、サードパーティコンポーネントの使用状況を文書化することで、ライセンス要件や規制の遵守を促進します。これにより、組織は知的財産やライセンス違反に関連する法的問題を回避できます。

• リスクの軽減： SBOM は、依存関係とそれに関連するリスクを特定することで、セキュリティ脆弱性やソフトウェアの欠陥がもたらす潜在的な影響を評価することを可能にします。これにより、十分な情報に基づくリスク軽減戦略とリソースの優先順位付けが可能になります。

PBOM と SBOM の主な相違点

PBOM と SBOM はどちらもインベントリの役割を果たすが、その範囲と焦点が異なります。

スコープ： PBOM は、あるソフトウェアに対して行われたすべてのことをリアルタイムで文書化することに重点を置いているのに対し、SBOM は、すべてのソフトウェアコンポーネントと依存関係を特定することに重点を置いている。

• 目的： PBOM は効果的なアプリケーションセキュリティのリスクと姿勢の管理を提供し、SBOM はソフトウェアの透明性、セキュリティ、コンプライアンスを強化します。

• 対象者： PBOM と SBOM は、主に最高情報セキュリティ責任者（CISO）、セキュリティアナリスト、開発チームマネジャー、ソフトウェア開発者、IT 専門家によって使用されます。

• 影響： PBOMは、ソフトウェアのサプライチェーン全体のセキュリティの完全性を向上させ、SBOMは、開発および配備におけるオープンソースコンポーネントの使用に影響を与えます。

パイプライン部品表（PBOM）とソフトウェア部品表（SBOM）は共通の用語であるが、ソフトウェア開発と管理の異なる側面に対応しています。その違いを理解することは、開発プロセスを最適化し、ソフトウェア製品のセキュリティと完全性を強化しようとする組織にとって極めて重要です。

PBOMとSBOMを効果的に活用することで、企業は生産ワークフローを合理化し、リスクを軽減し、業界標準や規制へのコンプライアンスを確保することができます。例えば、HCL AppScan Supply Chain Securityのようなソリューションは、Active Application Security Posture Management（Active ASPM）のメリットを享受できます。

Active ASPMは、クラス最高のアプリケーション・セキュリティ・テストと堅牢な姿勢管理およびソフトウェア・サプライチェーン・セキュリティを統合します。この完全なパッケージは、すべてのリスク要因の完全な可視化と、記録的な速さで脆弱性のトリアージと修復を行う詳細な評価ツールを提供します。

ソフトウェア・サプライチェーンのセキュリティや、安全なソフトウェア開発のためのその他の革新的なソリューションの詳細については、HCL AppScan をご覧ください。

2024/5月/22 - 読み終える時間: ~1 分

Enhancing Software Supply Chain Security with Application Security Posture Management の翻訳版です。

アプリケーションセキュリティ体制管理によるソフトウェアサプライチェーンのセキュリティ強化

2024年5月17日

著者: Nabeel Jaitapker / Product Marketing Lead, HCLSoftware

今日の相互接続されたデジタル環境において、ソフトウェア・サプライチェーンのセキュリティは、世界中の企業や組織にとって重要な関心事となっています。

サードパーティコンポーネント、オープンソースライブラリ、分散開発チームの急増により、悪意のある行為者の攻撃対象は飛躍的に拡大しています。

このような状況の中で、アプリケーション・セキュリティ体制管理（ASPM）は、ソフトウェア・サプライチェーンのセキュリティを強化するための重要なツールとして浮上してきました。

アプリケーション・セキュリティ体制管理

ASPM とは、組織のアプリケーションのライフサイクル全体を通じて、そのセキュリティ態勢を継続的に評価し、管理し、改善する包括的なプロセスを指します。ASPM には、ソフトウェアサプライチェーン全体にわたって、脆弱性を特定し、セキュリティポリシーを実施し、リスクを軽減することを目的とした、さまざまな手法と技術が含まれます。

ソフトウェア・サプライチェーンのセキュリティ強化における ASPM の主な役割の 1 つは、社内で開発されたソフトウェアとサードパーティのコンポーネントの両方のセキュリティ体制を可視化する能力です。

ガートナー社のレポートによると、「2025年までに、ソフトウェアを開発する組織の70％が、自社のソフトウェアのセキュリティ態勢を評価・改善するために、アプリケーション・セキュリティ態勢管理ツールを使用するようになる」といいます。

これは、ASPMがサイバーセキュリティ戦略の重要な要素であるという認識が高まっていることを強調しています。

ASPM ソリューション

脆弱性管理、構成分析、コンプライアンス監視などの機能により、企業はセキュリティ上の弱点をプロアクティブに特定し、是正することができます。

例えば、自動化された脆弱性スキャンによって、サードパーティのライブラリやカスタムコードに存在する既知の脆弱性を検出し、攻撃者に悪用される前に優先順位を付けて対処できます。

さらに、ASPM は、ソフトウェア開発ライフサイクル全体を通じてセキュリティポリシーとベストプラクティスを実施する上で重要な役割を果たします。セキュリティ・テストと検証をDevOpsプロセスに統合することで、企業はセキュリティへの配慮を後回しにすることなく、開発プロセスに不可欠な要素とすることができます。

Forrester 社の調査では、DevOps プラクティスにセキュリティを統合することの重要性が強調されており、「組織の 72% が、DevOps プロセスにセキュリティを統合することでアプリケーションのセキュリティが向上すると考えている」と述べられています。

さらに、ASPM は、ソフトウエアサプライチェーンの侵害や悪質なコードインジェクションなどのサプライチェーン攻撃に対する耐性を強化することを可能にします。すべてのコンポーネントと依存関係のセキュリティ状況を継続的に監視することで、企業はサプライチェーン攻撃の兆候となる異常や不正な変更を検出できます。このプロアクティブなアプローチにより、サプライチェーン関連の侵害リスクを大幅に低減し、事業運営への影響を最小限に抑えられます。

セキュリティリスクの軽減に加え、ASPM は規制コンプライアンスとリスク管理の取り組みにも貢献します。GDPRやCCPAのようなデータ保護規制がますます厳しくなる中、企業はコンプライアンス違反による法的・金銭的な重大な結果に直面しています。ASPMソリューションは、セキュリティ基準や規制へのコンプライアンスを実証するために必要な可視性と制御を提供し、規制リスクを低減します。

また、ASPMは、ソフトウェア・サプライチェーンのエコシステム内のコラボレーションと信頼を強化します。サプライヤ、パートナー、顧客とセキュリティに関する見識やベストプラクティスを共有することで、企業はセキュリティに対する連帯責任を持つ文化を醸成することができます。この協調的アプローチは、エコシステム全体のセキュリティ体制を強化するだけでなく、利害関係者間の信頼と透明性も高めます。

アプリケーションセキュリティポスチャ管理は、ソフトウェア開発ライフサイクル全体を通じて可視性を提供し、セキュリティポリシーを実施し、リスクを軽減することで、ソフトウェアサプライチェーンセキュリティを強化する上で重要な役割を果たします。組織が進化する脅威の状況や規制要件に対処し続ける中で、ASPMはセキュリティの脅威から保護し、デジタル時代のレジリエンスを構築するために不可欠なツールとして浮上しています。

HCL AppScan Supply Chain Security のような ASPM ソリューションに投資することで、企業は防御を強化し、悪意のある行為者がもたらすリスクを軽減できます。

HCL AppScanサプライチェーンセキュリティについて

Active Application Security Posture Management（Active ASPM）は、企業がソフトウェア・ランドスケープ全体にわたってプロアクティブなセキュリティ・ポスチャーを維持できるようにする先駆的なアプローチです。

Active ASPMは、クラス最高のアプリケーション・セキュリティ・テストと堅牢な姿勢管理およびソフトウェア・サプライチェーン・セキュリティを統合しています。この完全なパッケージは、すべてのリスク要因の完全な可視化と、記録的な速さで脆弱性のトリアージと修正を行う詳細な評価ツールを提供します。

2024/5月/22 - 読み終える時間: 2 分

Navigating the Evolving Cyber Threat Landscape の翻訳版です。

進化するサイバー脅威の状況をナビゲートする

2024年5月17日

Nabeel Jaitapker / Product Marketing Lead, HCLSoftware

相互接続されたデジタル世界では、サイバー脅威の状況は常に進化しており、あらゆる規模の組織に新たな課題とリスクをもたらしています。洗練されたサイバー犯罪者から国家行為者に至るまで、私たちのデジタル資産を標的とする敵は、脆弱性を悪用することにますます習熟しています。このダイナミックな環境において、堅牢なアプリケーション・セキュリティ・テストは、サイバー脅威から保護するための重要な防御メカニズムとして浮上しています。

進化するサイバー脅威の状況

デジタルトランスフォーメーションは、効率性の向上、接続性の強化、カスタマーエクスペリエンスの向上など、数多くのメリットをもたらし、ビジネスのあり方に革命をもたらしました。しかし、この変革は、サイバー犯罪者が悪用する攻撃対象も拡大させている。

今日、企業は以下のような無数のサイバー脅威に直面している：

• 洗練されたマルウェア： 悪意のあるソフトウェアは進化を続け、より複雑でとらえどころのないものになっています。高度なマルウェアの系統は、従来のセキュリティ対策を回避してシステムに侵入し、機密データを盗んだり、業務を妨害したりします。

• 標的型攻撃： 攻撃者は、特定の組織や個人を標的とし、カスタマイズされた攻撃手法を用いることが増えています。このような攻撃は、資金力のある脅威アクターによって開始されることが多く、高度に洗練され、検出が困難な場合があります。

• ランサムウェア： 近年、サイバー犯罪者が暗号化を活用して重要なシステムをロックダウンし、高額な身代金の支払いを要求するランサムウェア攻撃が急増しています。このような攻撃は、業務の中断や金銭的な損失を引き起こす壊滅的な結果をもたらす可能性があります。

• サプライチェーンの脆弱性： 組織がさまざまなサービスやコンポーネントをサードパーティのベンダーやパートナーに依存しているため、サプライチェーン攻撃は重大な懸念事項となっています。攻撃者は、信頼できるベンダーを侵害し、顧客のネットワークにアクセスすることで、侵害の影響を増幅させる可能性があります。

アプリケーション・セキュリティ・テストでサイバー脅威に対抗

このように脅威が進化する中、デジタル資産を保護し事業継続性を維持するためには、事前の対策が不可欠です。アプリケーション・セキュリティ・テストは、ソフトウェア・アプリケーション内の脆弱性を特定し、緩和する上で重要な役割を果たします。ここでは、アプリケーション・セキュリティ・テストが、進化するサイバー脅威の状況との戦いにどのように役立つかを紹介します：

• 脆弱性の検出： 脆弱性の検出：静的解析、動的解析、対話型テストなどのアプリケーション・セキュリティ・テスト技法は、ソフトウェア・コードと構成の脆弱性を発見できます。攻撃者に悪用される前にこれらの弱点を特定することで、組織はセキュリティ上の欠陥に積極的に対処し、侵害のリスクを低減できます。

• 継続的なモニタリング： サイバー脅威は常に進化しているため、新しい脆弱性や新たな攻撃手法がないか、アプリケーションを継続的に監視する必要があります。自動テスト・ツールは、アプリケーションのセキュリティ・ポスチャをリアルタイムで把握できるため、企業は潜在的な脅威を先取りし、それに応じて防御策を適応させることができます。

• セキュアな開発プラクティス： ソフトウェア開発ライフサイクル（SDLC）にセキュリティを組み込むことは、回復力のあるアプリケーションを構築するために不可欠である。アプリケーション・セキュリティ・テストは、開発者がセキュアなコーディング手法を採用し、開発プロセス全体を通じてセキュリティへの配慮を優先するよう促し、脆弱性をもたらす可能性を最小限に抑える。

• サードパーティのリスク管理： 多くの組織がサードパーティのソフトウエアコンポーネントやライブラリに依存しており、それらが適切に評価されないと、セキュリティリスクをもたらす可能性がある。アプリケーションセキュリティテストを実施することで、サードパーティの依存関係のセキュリティ状況を評価し、その使用について十分な情報に基づいた意思決定を行い、潜在的なリスクを軽減することができる。

• コンプライアンス要件： GDPR、HIPAA、PCI DSS などの規制枠組みは、データ保護とセキュリティに厳しい要件を課しています。アプリケーション・セキュリティ・テストは、データ漏洩やコンプライアンス違反の罰則につながる可能性のあるセキュリティ脆弱性を特定し対処することで、組織がこれらの規制へのコンプライアンスを実証するのに役立ちます。

• インシデント対応の準備： 侵害を防止するための最善の努力にもかかわらず、組織は、セキュリティ・インシデントが発生した場合に効果的に対応するための準備も整えなければなりません。アプリケーション・セキュリティ・テストは、組織が潜在的な攻撃ベクトルを特定し、インシデント対応計画を策定して侵害の影響を軽減し、ダウンタイムを最小限に抑えるのに役立ちます。

サイバー脅威の状況が進化し続ける中、組織は、リスクを効果的に軽減し、潜在的な侵害から保護するために、セキュリティ戦略を適応させる必要があります。アプリケーション・セキュリティ・テストは、包括的なサイバーセキュリティ・プログラムの基礎的要素として機能し、企業がソフトウェア・アプリケーションの脆弱性を特定し、プロアクティブに対処できるようにします。

HCL AppScan のようなソリューションとアプリケーション・セキュリティ・テストを開発プロセスやセキュリティ・ワークフローに統合することで、企業は防御を強化し、サイバー攻撃が成功する可能性を減らせます。