2024/8/21 - 読み終える時間: 2 分

AI-driven, Human-verified: Application Security Autofix from HCL AppScan の翻訳版です。

AIが推進し、人間が検証する: HCL AppScanの脆弱性自動修正機能

2024年8月20日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

HCL AppScan は、HCLSoftware の主力 SaaS プラットフォームである HCL AppScan on Cloud (ASoC) に統合された GenAI で強化された自動修正機能のリリースにより、開発者に高速なセキュアコーディング支援を提供します。セキュリティ専門家と開発者は、脆弱性の検出だけでなく、高速で効率的かつ信頼できるように設計された修復ソリューションを使用して修正に必要な支援を受けられます。

AI 駆動、人間による検証

HCLSoftwareの修復支援の中心となるのは、29 のプログラミング言語のソースコードで静的アプリケーションセキュリティテスト (SAST) スキャンによって検出された一般的な脆弱性に対する、厳選された自動修正推奨事項です。これらの推奨事項は、セキュリティの専門家と研究者で構成される HCL AppScan チームによって開発、レビュー、承認されています。脆弱性が特定されると、ASoC は適切な自動修正推奨事項をすばやく見つけ、GenAI を活用して修正のわかりやすいコンテキストを提供します。

ASoC は、GenAI を使用して要約およびコンテキスト化された、厳選された自動修正推奨事項を使用することで、開発者が迅速かつ極めて自信を持って修復の決定を下せるようにします。これにより、開発ライフサイクルの早い段階で問題を修復する全体的な時間が短縮され、後のビルドおよびテストフェーズでセキュリティチームによるよりコストのかかる修復の必要性が大幅に軽減されます。

今日、多くのベンダーが、多くの固有のリスクを伴う AI セキュリティコーディングアシスタントを提供しています。GenAI に自動修正推奨事項の作成を任せる場合、2 つの主な危険があります。1 つは、GenAI がトレーニングデータセットによって制限されることです。2 つ目は、GenAI は学習するにつれて一貫性のない応答を提供することが実証されています。その結果、提案される修正の品質はまちまちです。正確な修正推奨事項を提供するものもあれば、幻覚や不一致を含むものもあり、大幅な手動監視なしでは使用が安全でないコードを生成する可能性があります。ここでの矛盾は明らかです。GenAI が人間のレビューなしで完全に信頼できない場合、実際には開発者の作業が遅くなります。

HCL AppScan は、GenAI を使用して、精選された自動修正推奨事項を文脈化することで、セキュリティ専門家とソフトウェア開発者に、安全に使用でき、GenAI によく伴うリスクを回避できる強力な教育ツールを提供します。HCL AppScan のアプローチは、修正推奨事項を理解し、修復の一環として適用するまでの時間を短縮することに重点を置いています。

HCL AppScan GenAI の核となる時間節約

HCL AppScan は、Intelligent Finding Analytics (IFA) で SAST スキャンの精度を向上させ、Intelligent Code Analytics (ICA) でスキャン範囲を広げるために AI を活用してきた長い歴史があります。どちらの場合も、AI は 2 つの方法で開発者エクスペリエンスを向上させるために活用されています。1 つは、他の脆弱性の中でも最も優先度の高い脆弱性に焦点を当てること、もう 1 つは、開発者が最も重要な問題に集中できるように従来の検出結果をグループ化することです。

専門家も初心者も、HCL AppScan CodeSweep の自動修正機能が以前から利用可能だったことから、何年もの間、開発者は恩恵を受けてきました。この SAST テクノロジーのコミュニティエディションは、開発者 IDE のプラグインと CI/CD パイプラインに統合された、厳選された修正推奨事項を提供します。

GenAI 対応の自動修正の将来

GenAI を使用したこの新しいバージョンの自動修正は、SAST テクノロジーへのアクセスを含むライセンスを持つすべての ASoC ユーザーにすぐに提供されます。HCL AppScan は、近い将来、追加のプログラミング言語の自動修正を追加するなど、自動修正機能をさらに高速化する追加の計画があります。より深い GenAI 統合により、スキャン結果に基づく自動修正推奨事項の作成と実装など、自動修復のさらに多くの側面が処理されます。

自動修復は、GenAI がますます積極的な役割を果たす可能性があるアプリケーションセキュリティの重要な領域の 1 つです。ただし、修正推奨事項が信頼できるものでなければ、問題の修正速度を上げてリスクを軽減することはできません。GenAI によって提供される要約とコンテキストを備えた厳選された修正推奨事項を使用する HCL AppScan の自動修正リリースは、人間の専門知識と AI の効率性の完璧なバランスです。その結果、開発者が信頼できる高速で正確な自動修復ソリューションが実現します。

今すぐお問い合わせいただき、HCL AppScan on Cloud の無料トライアルをお試しになり、GenAI で強化されたこの自動修復ソリューションが、脆弱性の検出と修正をいかに迅速に行うのに役立つかをご自身でお確かめください。

HCL AppScan の高速、正確、俊敏なアプリケーションセキュリティテストソリューションの詳細をご覧ください。

2024/8/16 - 読み終える時間: 2 分

From Remediation to Auto-remediation and GenAI (Part 2) の翻訳版です。

修復から自動修復および GenAI へ (パート 2)

2024年8月14日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

これは、修復と人工知能 (AI) の使用に関する 2 部構成のシリーズのパート 2 です。パート 1 では、開発者が脆弱性を修正するのを支援するもう 1 つの主要なアプローチ、つまり従来の修復と教育を紹介します。

キュレーションされた自動修正

キュレーションされた自動修正は、ソースコードで見つかった既知の脆弱性に対処するために、人間のセキュリティ専門家によって作成されます。単純な問題の場合、これらの修正は IDE の自動補完レベルであってもほぼ瞬時に適用できます。このアプローチは「実証済みの」方法で、さまざまなセキュリティ問題と非セキュリティ問題に対処するために長年使用されています。

これらの修正の利点は、テストおよび検証されているため、新しい問題を引き起こすことなく、問題を修復する信頼性の高い方法を提供できることです。これらの修正の一貫性により、同じ問題が常に同じ方法で解決され、コードの品質と保守性が向上します。

このようなツールは、即時の解決策だけでなく、修正によってどのように問題が解決されるかを説明する説明が付属していることが多いため、教育的価値も提供します。修復と学習というこの二重の利点は、開発者が将来同様の問題を理解し、防止するのに役立ちます。

キュレーションされた自動修正に欠点があるとすれば、それはスケーラビリティの課題です。これらの修正は手作業で作成されるため、複数の例とユースケースにわたって各言語で実装およびテストするには多大な労力が必要です。この労働集約的なプロセスにより、アプローチをより広範な問題と言語に拡張する能力が制限されます。この課題にもかかわらず、キュレーションされた自動修正の有効性と信頼性は、特によく知られた繰り返し発生する問題に対して、開発者の武器庫にある貴重なツールとなっています。

GenAI 駆動型自動修正

修復に対する 3 番目のアプローチは、最も有望なものの 1 つであり、Generative AI (GenAI) を活用してオンデマンドの自動修正を作成します。このテクノロジーは、優れたカバレッジと汎用性を提供し、事実上すべてのプログラミング言語の問題に対する修正を提供する可能性があります。

GenAI を使用すると、開発者はさまざまなコーディング環境や要件に適応できる自動化されたオンザフライソリューションにアクセスできるため、修復プロセスの効率と有効性が大幅に向上します。この方法の目標の 1 つは、巧妙なプロンプトエンジニアリングにより、これらの AI 駆動型ソリューションが特定の問題に効果的に対処するコンテキスト認識応答を生成できるようにすることです。このアプローチは比較的迅速な実装とスケーリングを約束し、さまざまなコーディングの問題に対処できるようになります。

GenAI に起因するセキュリティ上の課題

GenAI は、大規模言語モデル (LLM) などの基盤となる AI モデルを使用して、十分な情報がない場合でも回答を生成します。その結果、「幻覚」、つまり不正確または無意味な応答が生じることがあります。このため、監視なしでは修正の品質は保証されません。

• ソリューションが実際に問題を修正するという保証はありません
• 「修正された」コードが意図したとおりに機能するという保証はありません
• ソリューションが新しい脆弱性を導入しないという保証はありません
• まったく同じ問題や同じコードであっても、修正が毎回一貫して同じであるという保証はありません

GenAI の結果は、使用されるプロンプトと、Gen AI モデルがトレーニングされたデータの品質に依存します。ChatGPT や Claude などの事前トレーニング済みモデルは使いやすいですが、これらのモデルは必ずしもコードのみでトレーニングされているわけではなく、検証可能なセキュリティコードでトレーニングされているわけでもありません。

既存のモデルを微調整するのは難しく、修正しようとしている脆弱性をモデルが「理解」していることを保証するものではありません。モデルを最初からトレーニングするのはさらに難しく、非常にコストがかかり、膨大な量のデータが必要になります。さらに、トレーニング済みのモデルは、新たに発見された脆弱性ごとに再トレーニングする必要があり、スケーラビリティはほぼ不可能になります。

自動修復への適切なアプローチの選択

修復と AI の使用に関する 3 つのアプローチを検討すると、GenAI 自動修正は有望な方向性である一方で、落とし穴があることは明らかです。組織は、安全なコードをリリースしていることを確認するためのチェックとバランスの方法として、手動による監視を維持する必要があります。

このシリーズのパート 1 で説明したように、教育は常にスキルギャップを埋め、開発者が最初から安全なコードを書くようにトレーニングされるようにするための最良のアプローチです。そして、AI もここで役割を果たします。HCL AppScan は、より複雑な修復アドバイザリのわかりやすい概要をユーザーに提供することで、教育をより実用的なものにするために、GenAI と LLM の使用を検討してきました。

必要な時間とリソースにもかかわらず、キュレートされた自動修正のセットをコンパイルすることは、結果として得られる修正が追加の問題を引き起こすことなく脆弱性に対処すると信頼できるため、多くの場合、努力する価値があります。また、GenAI には、厳選された自動修正の生成とテストの作業負荷を軽減する強力なユースケースがあることも注目に値します。

AI は、セキュリティテストソフトウェアに組み込まれている場合でも、開発者のユーザーエクスペリエンスの一部として組み込まれている場合でも、今後も存在し続けるでしょう。時間とリソースの節約の可能性は莫大です。今日の意思決定者は、コスト削減につながる新しいテクノロジーに内在する潜在的なリスクを考慮し、信頼できる厳選されたツールやアプローチの採用とバランスを取る必要があります。

HCL AppScan にアクセスして、HCLSoftware のアプリケーションセキュリティテストソリューションで現在利用可能な AI および機械学習機能の詳細をご確認ください。

2024/8/16 - 読み終える時間: 2 分

From Remediation to Auto-remediation and GenAI (Part 1) の翻訳版です。

修復から自動修復、そして GenAI へ (パート 1)

2024年8月14日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

人工知能 (AI) は誰もが話題にできる話題です。生成 AI (GenAI) と大規模言語モデル (LLM) の登場により、AI の機能は自動化やデータ分析をはるかに超えて拡張され、テクノロジー、ビジネス、日常生活のあらゆる側面に浸透するには、データサイエンスの博士号が実質的に必要になっています。

GenAI は、ますます増え続けるコードをより短い期間で記述しようとしているソフトウェア開発者にとって、ゲームチェンジャーと見なされています。GitHub Copilot、Amazon Code Whisperer、Tabnine などのツールは、シンプルなプロンプトから AI 生成コードを作成できるようになり、開発者の膨大な時間を節約できます。これらのツールは、一般的なコーディングタスクを迅速に処理することに優れていますが、LLM に使用されるトレーニング データに存在していた可能性のあるセキュリティの脆弱性をもたらす可能性があります。

アプリケーションセキュリティのための防御的 AI と攻撃的 AI

GenAI は、どのように使用しても、生産性を向上させる強力なツールであることは間違いありません。アプリケーションセキュリティの分野では、ユースケースは「防御的 AI」または「攻撃的 AI」のいずれかとして見られることがよくあります。

前者の場合、防御的 AI は、AppSecn テストの結果を整理し、どの結果が最も「興味深い」か、人間の注意を必要とするかを判断する能力が成熟しています。セキュリティの観点から重要度が低いと判断された結果を除外することで、これらのツールは開発チームの時間を大幅に節約できます。

攻撃的 AI とは、データ侵害を可能にするセキュリティ上の欠陥を見つけるために、実行中のソフトウェアアプリケーションへの攻撃を GenAI を使用して調整することです。AI 生成コンテンツを使用したフィッシング攻撃など、さまざまな攻撃ベクトルに国家支援のハッカーを含む悪意のある人物が攻撃的 AI を使用することには大きな懸念があります。諺にあるように、最良の防御は優れた攻撃です。そのため、セキュリティ研究者は、攻撃に効果的に対抗するために、同じ AI ツールを使って GenAI の機能についてさらに学習しています。

アプリケーションセキュリティの修復

脆弱性を見つけることは、堅牢なアプリケーションセキュリティを維持するための重要なステップですが、問題を特定することは始まりに過ぎません。問題を修正することも同様に重要です。ここで修復が重要になります。修復は、セキュリティの脆弱性だけでなく、従来のバグやコーディング規則 (リンティング) にも関係します。修復には、主に 3 つのアプローチがあります。

• 従来の修復: この教育ベースのアプローチには、よく書かれた記事、トレーニングビデオ、洞察を盛り込んだブログ、さまざまな種類の問題に関する開発者向けのガイダンス、およびさまざまなプログラミング言語やアプリケーションフレームワークでの修正方法の例が含まれます。

• 自動修復: このアプローチでは、使用されている AppSecn ソフトウェアが、特定の種類の問題に使用するための、手作業で作成された/キュレートされた/事前に作成された自動修正を開発者またはセキュリティ チームに提供します。いずれの場合も、特定の言語が提供され、修正の複雑さは大きく異なる場合があります。

• GenAI による自動修復: このアプローチでは、LLM を使用して GenAI がコード修正をオンデマンドで修復します。これは通常、巧妙なプロンプトエンジニアリングを採用した API にラップされており、多くの場合、コードスニペットを GenAI プラットフォームに送信する必要があります。

2 部構成のブログ投稿のパート 1 では、従来の修復に見られる教育ベースのアプローチについて説明します。パート 2 では、手作業で作成/キュレート/事前に作成された自動修正と GenAI 駆動の自動修正の両方を使用した自動修復について詳しく説明します。

従来の修復と教育

包括的なリソースを通じて開発者を教育することで、開発者は問題を特定して理解できるようになるだけでなく、ソリューションのニュアンスも把握できるようになります。この理解の深さは、開発者が将来同じ間違いを繰り返さないようにするための準備となるため、非常に重要です。このような教育コンテンツは、セキュリティを開発者のスキル セットに組み込むのに役立ち、セキュリティの問題に対するリアクティブではなくプロアクティブなアプローチを促進します。

さまざまな種類の問題を詳しく説明し、さまざまなプログラミング言語で問題を解決する方法の例を提供する、よく書かれた記事は、アプリケーション セキュリティで長期的に成功するための最良の方法の 1 つであると言えます。セキュリティソフトウェアのユーザーインターフェイス (UI) の一部として完全な記事または要約が提供される場合があり、開発者は問題が指摘されたときにその背景を把握できます。

さらに、スケーラブルで包括的なトレーニングモジュールは、開発者がスキルを継続的に向上させ、新しいセキュリティ上の課題に適応するのに役立ちます。セキュリティを優れたコーディングプラクティスの不可欠な要素にすることで、記事と教育リソースは、より堅牢で回復力のある開発文化に貢献します。

熟練した開発者は、高品質で効率的でスケーラブルなコードを作成することが期待されるのと同様に、コードのセキュリティを確保することも期待されます。教育は、開発組織の複数のメンバーのスキル全体でこれを実現する最も効果的な方法です。

手作業で作成/キュレート/事前に作成された自動修正と GenAI 駆動の自動修正の長所と短所、および 3 つのアプローチの比較の概要については、このシリーズの第 2 部で詳しく説明します。

HCL AppScan のページにアクセスして、HCLSoftware のアプリケーションセキュリティテストソリューションで現在利用可能な AI および機械学習機能の詳細をご確認ください。

2024/8/12 - 読み終える時間: ~1 分

HCL AppScan をご利用のお客様にありましては、以下の記事をご一読いただきますようお願いいたします。

重要なお知らせ： HCL AppScan の2025年6月からのライセンスの変更について

2024/7/28 - 読み終える時間: 3 分

HCL AppScan 10.6.0: Introducing OpenAPI Scanning の翻訳版です。

OpenAPI自動スキャンの導入によるAPIセキュリティの変革：HCL AppScan 10.6.0

2024年7月26日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

HCL AppScan 10.6.0 は、開発者やセキュリティ専門家に、アプリケーション セキュリティ テスト (AST) を効率化および強化する拡張機能を提供します。この新しくリリースされたバージョンには、オンプレミスの 3 つの製品 (HCL AppScan Standard、HCL AppScan Enterprise、HCL AppScan Source) の複数の機能更新が含まれています。OpenAPI スキャンとよりシームレスなクロスプラットフォーム機能は、この四半期リリースの目玉です。

自動 OpenAPI スキャンによる API セキュリティの変革

HCL AppScan Standard 10.6.0 の主なハイライトは、高度な OpenAPI 自動スキャンの導入です。この革新的なアプローチは、OpenAPI 仕様 (Swagger) を活用して、RESTful API の AST を効率化します。そのメリットは次のとおりです。

• 簡単な構成 既存の OpenAPI 記述ファイルを活用して、スキャンを自動的に構成します。手動での構成やエンドポイントの検出は不要です。

• 強化されたカバレッジ すべての API エンドポイントを包括的にスキャンし、セキュリティの脆弱性が漏れないようにします。

• 優れた脆弱性検出 高度なスキャン技術により、API 内のより広範な脆弱性が特定されます。

全体として、OpenAPI スキャンは、API のセキュリティ評価をより高速かつ徹底的かつ関連性の高いものにします。これにより、潜在的なセキュリティの問題を早期に検出して修復し、最終的に API セキュリティ体制を強化します。

HCL AppScan 360° とのシームレスな統合

HCL AppScan Standard のバージョン 10.6.0 には、より直感的な接続インターフェイスを実現する再設計された接続方法 (HCL AppScan Connect) が含まれており、他の HCL AppScan 製品との接続を確立しやすくなります。これらの製品の 1 つが、セルフホスト型のクラウドネイティブ アプリケーション セキュリティ テスト プラットフォームである HCL AppScan 360° です。更新された HCL AppScan Connect では、次のことが可能になります。

• HCL AppScan Standard からスキャンを作成 HCL AppScan Standard で定義された構成を使用して、HCL AppScan 360° 内で簡単にスキャンを開始できます。

• スキャン結果をアップロード HCL AppScan Standard によって生成されたセキュリティ スキャン結果を HCL AppScan 360° に直接アップロードして、一元管理および分析を行います。

このシームレスな統合により、両方のソリューションの長所を活用できるようになり、セキュリティ テスト ワークフローが合理化され、総合的なアプリケーション セキュリティ戦略が促進されます。

スキャンの高速化とよりコンテキスト化された結果

正確なスキャン結果をできるだけ早く得るための戦いにおいて、HCL AppScan Standard は、新しい「問題テストごとに 1 つのバリアントのみ保存」オプションを追加してさらに前進しました。このスキャン時間最適化方法は、脆弱性の最初のインスタンスの特定に重点を置くことでスキャンを合理化し、精度を損なうことなく全体のスキャン時間を短縮します。

スキャン レポートには CVSS (Common Vulnerability Scoring System) ベクトルも含まれるようになり、特定された脆弱性の重大度に関する貴重な洞察が得られます。

HCL AppScan Standard 10.6.0 には、セキュリティ テスト タスクを簡素化および迅速化するために設計されたさまざまなユーザー エクスペリエンスの改善も組み込まれています。

• スキャン構成の使いやすさの向上: 再設計された一連のダイアログにより、調査されたデータのインポート、パスの除外、クライアント側証明書の管理などのタスクのスキャン構成が効率化されます。

• 複数ドメインのインポート: シンプルな CSV ファイルを使用して、スキャン用に複数のドメインを簡単にインポートできます。

HCL AppScan Enterprise のセキュリティと分析の強化

HCL AppScan Enterprise 10.6.0 には、セキュリティ体制を強化するための貴重な機能も導入されています。

• CVSS ベクトルの表示: モニター ページに、特定された問題の CVSS (Common Vulnerability Scoring System) ベクトルも表示されるようになり、脆弱性に関するより深い洞察が得られます。

• CWE マッピングの強化: AppScan は、複数の CWE (共通脆弱性列挙) を問題にマッピングするようになり、潜在的なセキュリティ リスクについてより広い視点を提供します。

• アップグレードされたダッシュボードによるより詳細な分析: モニター ページのダッシュボードにフィルターが追加され、セキュリティの検出結果をより詳細に分析できるようになりました。

レポートとコンプライアンスの強化

HCL AppScan バージョン 10.6.0 では、業界標準に準拠したレポートを生成する、HCL AppScan Standard と HCL AppScan Enterprise の両方の新しい規制コンプライアンス レポートが導入されています。以下のような例があります。

• OWASP クラウド ネイティブ アプリケーション セキュリティ トップ 10: 非営利財団 Open Web Application Security Project (OWASP) による、クラウド ネイティブ アプリケーションに関連する最も重大なセキュリティ リスクの包括的なリスト。

• ネットワークおよび情報セキュリティ指令 (NIS2): 適用範囲の拡大とビジネス要件の厳格化により、欧州連合全体のサイバー セキュリティを強化するために設計された、更新された EU 全体の法律。

HCL AppScan Source の追加機能強化

HCL AppScan Source 10.6.0 では、主要な機能以外にも、進化するセキュリティ環境で常に一歩先を行くように設計されたさまざまな追加機能強化が提供されています。これらの改善点のいくつかを詳しく見てみましょう:

拡張されたプラットフォームとフレームワークのサポート

• Windows Server 2022: 最新の Windows Server バージョンでアプリケーションをシームレスにスキャンします。
• IBM WebSphere Application Server 9: この人気のアプリケーション サーバーで実行されているアプリケーションのセキュリティを確保します。
• .NET 8 のサポート: 最新バージョンの .NET フレームワークで構築されたアプリケーションをスキャンします。
• Eclipse プラグインの互換性: AppScan Eclipse プラグインは、2022-09 から 2024-03 までのバージョンをサポートするようになり、開発環境との互換性が確保されます。

強化されたレポートとコンプライアンス

• 新しいレポート: DISA STIG v5r3: 最新の DISA セキュリティ技術実装ガイド (STIG) v5r3 に準拠したレポートを生成し、政府機関のコンプライアンス作業を簡素化します。

テクノロジーの進歩に遅れを取らない

• Makefile スキャン: C/C++ プロジェクトの Makefile 内の脆弱性を特定します。
• グローバル シークレット スキャン: すべてのスキャンでシークレット スキャンを有効にして、機密情報の漏洩を特定するプロセスを簡素化します。
• スキャナーの改善: Secrets スキャナー、Java スキャナー、JavaScript スキャナー、Python スキャナーの機能強化により、より包括的な脆弱性検出が可能になります。

まとめ

HCL AppScan 10.6.0 は、HCL AppScan Standard と HCL AppScan Enterprise の両方に強力な機能強化スイートを提供します。このリリースでは、より高速で徹底した API セキュリティ テスト、統合の改善、レポート機能の強化、ユーザー エクスペリエンスの合理化に重点が置かれており、より効率的に安全なアプリケーションを構築および維持できます。

HCL AppScan 10.6.0 のパワーを体験する準備はできましたか? HCLSoftware の Web サイトにアクセスして、さらに詳しく情報を入手し、今すぐ無料トライアルをダウンロードしてください。

2024/7/26 - 読み終える時間: ~1 分

Smart Locks Unlocked: The Hidden IoT Security Risks Exposed by Aleph Research の翻訳版です。

スマートロックのロック解除: Aleph Research が明らかにした隠れた IoT セキュリティ リスク

2024年7月15日

著者: Lev Aronsky / Security Researcher

独立した脆弱性調査は、サイバーセキュリティにおいて重要な役割を果たします。企業が事前のセキュリティ テストを行わずに製品をリリースしたり、リリース前に実施されたセキュリティ テストですべての脆弱性が特定されなかったりすることがあります。どちらのシナリオでも、結果として悪意のある攻撃者が悪用できる脆弱な製品が生まれます。独立した調査では、このような脆弱性を特定し、ベンダーに公開して修正してもらうことで、これらの製品のセキュリティを強化します。

HCLSoftware の Aleph Research は脆弱性調査に優れており、高度な調査手法を必要とする製品を中心に、さまざまな製品を独自に分析しています。同社のセキュリティ研究者は専門知識を活用して、標準的な侵入テストでは見逃されがちな脆弱性を発見します。この種の調査は、一般市民の安全を守るのに役立つだけでなく、HCLSoftware に、HCL AppScan スイートのアプリケーション セキュリティ テスト ツールに組み込むことができる貴重な洞察を提供します。

IoT セキュリティは Aleph Research の専門分野です。最新のプロジェクトでは、現代のスマート ホームでますます一般的になっているデバイスであるスマート ロックを選択しました。研究者たちは、攻撃者に自宅へのオンラインおよび物理的なアクセスの両方を提供する可能性がある潜在的な脆弱性の影響に興味をそそられました。Aleph Research は、中国企業 Sciener が開発し、世界中でさまざまなブランドで販売されている高度なスマートロックを選択しました。調査は、スマートフォン アプリ (TTLock)、アプリとロック間の BLE 通信、コンパニオン ゲートウェイ、ロックの物理的セキュリティなど、ターゲットの潜在的な攻撃を特定することから始まりました。

アプリの逆コンパイル、高度なハードウェア デバッグ、ロックとゲートウェイのファームウェアのリバース エンジニアリングを含む広範な分析を通じて、研究者は特定されたすべてのサーフェスで複数の深刻な脆弱性を発見しました。このリスクは、中間者攻撃とプロトコル ダウングレード攻撃の組み合わせから、不適切な暗号化処理や最上位権限による不正なコード実行まで、幅広い CWE 問題タイプをカバーしていました。

IoT デバイスのこれらの脆弱性は、潜在的な脅威にさらされていることに気付かずに利便性のためにこれらのデバイスを選択している一般の人々にとって重大なリスクをもたらします。これにより、窃盗犯は近くのスマートフォンでデバイスのロックを解除できるようになり、簡単にピッキングできるロックを探すよりもスマートホームをターゲットにしやすくなります。

Aleph Research は、すべての脆弱性を記録した後、イスラエルのサイバー局とベンダーに対する脆弱性リスクを調整する CERT 組織にそれらを公開しました。脆弱性を公表する業界標準は通常、公開後 90 日ですが、これらの問題の重大性のため、Aleph Research は 2 倍以上の期間を待ちました。残念ながら、Aleph Research の努力にもかかわらず、ベンダーは応答しませんでした

最終的に、ベンダーは CERT と連携して脆弱性を公開しました (CVE-2023-7006、CVE-2023-7005、CVE-2023-7003、CVE-2023-6960、CVE-2023-7004、CVE-2023-7007、CVE-2023-7009、および CVE-2023-7017)。この公開により、ベンダーは問題の修正に緊急に取り組み始め、公開によってベンダーの協力を効果的に促進できることが証明されました。

特定された脆弱性の中には、複雑なロジックと経験豊富な侵入テスト担当者による発見が必要なものもありますが、HCL AppScan Source などの SAST ツールを使用して開発中に検出できるものもあります。その結果、Aleph Research ツールは、今後同様の問題を検出できるようにルールの更新と強化を受けることになります。

HCLSoftware の Aleph Research は、脆弱性研究の限界を押し広げ続け、最も先進的な製品であっても厳格なセキュリティ分析が行われるようにしています。スマート ロックに関する最近の取り組みは、IoT デバイスを保護するために徹底的なテストと予防的対策が極めて重要であることを浮き彫りにしています。

この研究プロジェクトおよび同様のプロジェクトの詳細については、Aleph Research ブログをご覧ください。

HCLSoftware のアプリケーション セキュリティ テスト プラットフォームとツール スイートがセキュリティ プラクティスをどのように強化できるかについて詳しくご覧ください。

2024/7/21 - 読み終える時間: 2 分

HCLSoftware Strengthens Software Security with IAST for JetBrains の翻訳版です。

HCLSoftware、JetBrains 用 IAST でソフトウェア・セキュリティを強化

2024年7月18日

著者: Arjun Ajit / Product Manager specializing in Plugins and Integration at HCL AppScan

アプリケーションのセキュリティを確保することは最も重要です。従来のセキュリティテストの方法では、サイバー脅威の進化により、十分ではない場合があります。そこで登場するのが、Interactive Application Security Testing(IAST)であり、コードベース内の脆弱性を特定するための動的なアプローチを提供します。IASTは、実行中のWebアプリケーションの脆弱性を分析するセキュリティテスト手法です。ソースコードを単独で分析する従来の静的コード分析ツールとは異なり、IASTはアプリケーションの実行中に評価するため、開発者は実際のシナリオで潜在的なセキュリティリスクを包括的に理解できます。

この強力なセキュリティ分析機能が、お気に入りの統合開発環境 (IDE) にシームレスに統合されていることを想像してみてください。これは、新しいコード・セクションがデバッグされるとすぐにカバーされるため、IAST にとって完璧なプロセスです。

HCL AppScan JetBrains Plugin は、IASTの領域におけるゲームチェンジャーであり、インタラクティブなアプリケーション・セキュリティ・テストのパワーをJetBrains IDEに直接導入します。これにより、「シフトレフト」アプローチを最大限に活用し、開発サイクルのできるだけ早い段階でIASTを使用して脆弱性を迅速に特定できます。

IAST を JetBrains IDE に統合した結果

従来のセキュリティテスト方法では、多くの場合、プロセスがバラバラで、開発者はIDEと外部のセキュリティツールを切り替える必要がありました。これにより、開発ワークフローが中断されるだけでなく、セキュリティカバレッジに潜在的なギャップが生じます。IASTをJetBrains IDEに直接統合することで、開発者はコーディング環境を離れることなく、コーディング中にセキュリティの問題をシームレスに特定できるようになりました。

HCL AppScan JetBrains プラグインの主な機能

リアルタイムの脆弱性検出

コーディング中にセキュリティの脆弱性を検出し、JetBrains IDE内で直接潜在的な問題に関するフィードバックを即座に提供します。

シームレスな統合

既存のJetBrains環境とのスムーズで手間のかからない統合により、面倒な外部ツールが不要になります。

コミュニティエディション

このプラグインはコミュニティ版で利用可能であり、開発者はIDE内で基本的なIAST機能にアクセスできます。将来のリリースではより高度な機能が約束されているため、コードのセキュリティを強化する可能性は無限大です。

誤検出の減少

IAST ソリューションは、ランタイム動作のコンテキストでコードを分析することにより、誤検出を大幅に減らすことができ、開発者は真のセキュリティー脅威に労力を集中させられます。

より迅速で効果的な修復アクション

この IDE は、新しいコード・セクションと既存のコード・セクションの両方をデバッグするとすぐにシームレスに分析するため、IAST の理想的なプラットフォームとして機能します。このアプローチは、潜在的なセキュリティ問題を迅速に特定するだけではありません。また、緩和戦略について開発者を教育することで、安全なコーディング手法に対する開発者の認識と習熟度を高められます。

2024/7/21 - 読み終える時間: ~1 分

How to Secure Your Open Source: Best Practices for Application Security Testing の翻訳版です。

オープンソースを脅威から保護する：アプリセキュリティテストのベストプラクティス

2024年7月21日

著者: Courtney Coleman / HCLSoftware

ダイナミックなソフトウェア開発の世界では、オープンソースコンポーネントの使用は、現代の開発エコシステムの不可欠な部分となっています。オープンソースコンポーネントのコミュニティの改善により、開発時間の短縮とコストの削減が促進され、より迅速に成長し、イノベーションを起こすための柔軟性が生まれます。しかし、この利便性には、特にセキュリティに関する独自の課題が伴います。

アプリケーションが成長し、オープンソースコンポーネントの監視が難しくなるにつれて、アプリケーションのセキュリティを確保することは、ソフトウェアエコシステム全体を保護するために重要になります。HCLSoftwareのアプリケーションセキュリティ担当グローバルテクニカルアドバイザーであるPeter Lee氏は、「『たった1つの悪いリンゴで樽全体が台無しになる』ということわざがあるからこそ、オープンソースアプリケーションセキュリティ(OSA、別名SCA)は、あらゆる組織のセキュリティプログラムの最上位にあるべきだ」と述べています。

「現代のソフトウェア開発は、ますます速く、機敏になっています」と Lee 氏は言います。「基本的に、生成型人工知能(Gen AI)は、開発者向けのWebまたはモバイルアプリケーション全体を作成できます。オープンソースライブラリは、開発者によって書かれたものであれ、Gen AIによって書かれたものであれ、コードの一部となることが多いため、脆弱なオープンソースパッケージを使用するリスクと、それがコード内のどこに存在するかを理解することが重要です。」

オープンソースアプリケーションのセキュリティを確保するには、プロアクティブで包括的なアプローチが必要です。ここでは、オープンソースを保護するためのベストプラクティスをいくつか紹介します。

開発サイクルの早い段階でセキュリティを統合

プロアクティブなセキュリティの重要性を議論する際には、安全なコーディング手法を内部的に遵守することが脆弱性を防ぐための基本であることを理解することが重要です。

主なプラクティスには、インジェクション攻撃を防ぐためのユーザー入力を常に検証およびサニタイズすること、アプリケーションへのアクセスを制御するための強力な認証および承認メカニズムの実装、攻撃者に貴重な情報を提供する可能性があるため詳細なエラー メッセージのユーザーへの露出の回避、暗号化を使用して保存中と転送中の両方で機密データを保護することが含まれます。

開発チーム内でセキュリティファーストの文化を育むことは非常に重要です。セキュリティの重要性についてチームを教育し、安全なコーディング手法とセキュリティテストツールの使用に関するトレーニングを提供します。開発者、セキュリティ専門家、運用チーム間のコラボレーションを促進して、セキュリティに対する包括的なアプローチを確保します。

依存関係を最新の状態に保つための定期的なセキュリティ監査の実施

オープンソースプロジェクトは、さまざまなサードパーティのライブラリやフレームワークに依存していることが多いため、古い依存関係はセキュリティ侵害の一般的なベクトルです。オープンソースのライブラリとフレームワークを定期的に最新バージョンに更新してください。これらの更新プログラムには、多くの場合、機密データを保護し、ユーザーの信頼を維持するために必要なセキュリティ パッチが含まれています。

堅牢な内部セキュリティ監査を実施していても、新しい脆弱性や脅威がいつでも出現する可能性があることに注意してください。自動化ツールは、依存関係を監視し、利用可能な更新を通知することで役立ちます。

セキュリティの脅威を一貫して監視、対応

手動のコードレビューと侵入テストは不可欠ですが、時間がかかり、人為的ミスが発生しやすい場合があります。十分な情報を持つ開発チームは、セキュリティの脅威に対する防御の最前線ですが、自動化されたセキュリティテストツールは、脆弱性を迅速に特定することでこれらの取り組みを補完できます。セキュリティの脅威についてアプリケーションを継続的に監視し、対応計画を準備しておくと、セキュリティ体制が向上します。

HCL AppScanのようなセキュリティ・ソフトウェアは、オープンソース・コンポーネントの脆弱性を特定するために特別に設計されたツールを含む、包括的なアプリケーション・セキュリティ・テストの完全なスイートを提供します。ソフトウェア・コンポジション解析(SCA)を使用すると、開発者はIDE(統合開発環境)から直接、プロジェクトに組み込まれたオープンソース・パッケージを評価できます。調査結果が静的分析、動的分析、対話型分析などの他のツールの結果と相関している場合、チームはリスク レベルを包括的に把握し、最初に修正する内容に優先順位を付けられます。すべてのツールはソフトウェア開発ライフサイクル(SDLC)にシームレスに統合され、継続的なセキュリティテストとコンプライアンス検証の両方を提供するため、組織は一貫したセキュリティ体制を維持できます。

結論

これは、アプリケーション内で堅牢なセキュリティ標準を維持するための一貫した取り組みです。目標は、脆弱性を見つけて修正するだけでなく、開発プロセスのファブリックにセキュリティを組み込むことです。信頼できるセキュリティ体制管理は、イノベーションを優先事項の最前線にするための明確な滑走路を確立します。お気軽に HCLSoftware にお問い合わせ・デモの依頼をし、アプリケーションのセキュリティを強化する方法をご覧ください。