エンドツーエンドのセキュリティ テスト - シンプルに保つ
2023/9/19 - 読み終える時間: ~1 分
End-to-End Security Testing - Keep It Simple の翻訳版です。
エンドツーエンドのセキュリティ テスト - シンプルに保つ
2023年9月13日
著者: Adam Cave / Product Marketing Manager, HCL AppScan
セキュリティテストの複雑さは、CISO の存続の悩みの種になっています。特に、10 年にわたる技術革新と各セキュリティ分野における「最高のもの」の絶え間ない追求によって生み出されたツール群です。 しかし、HCLSoftware のソリューション アーキテクト兼アプリケーション セキュリティ エバンジェリストである Rob Cuddy への最近のインタビューでは、この「ツールのスプロール化」のジレンマに待望の光が当てられ、エンドツーエンドのすっきりとしたシンプルさへの道が開かれています。
CISO がシンプルさを好む理由
このようなシンプルさがいかに魅力的であるかを理解するには、CISO が直面する主要な課題を思い出してください。その主な課題は、「役員室に来て予算を正当化すること」だとカディ氏は指摘します。 取締役会は本質的にリスクを回避するため、セキュリティリスクを定量化し、許容範囲内に抑えるための明確な計画を求めています。 その明確さには、主要な脅威とそれに対処するために必要な手順を特定するために、リスク管理の包括的な視点が必要であるとカディ氏は主張します。
現実の世界では、これは脅威に優先順位を付け、それらの優先順位に合わせて予算を割り当てることを意味します。 実際、多くの組織は現在、リソースを豊富なターゲットに薄く分散させるというこれまでのやり方を見直し、最も必要な場所に戦略的に注意を集中させることに移行しています。 さまざまな選択肢が検討されるにつれて、エンドツーエンドの可視性が不可欠になります。つまり、その統一されたビューを実現するにはエンドツーエンドのツールも必要になります。 (セキュリティの文脈の外でも、同様の理由でバリュー ストリーム管理の人気が高まっている、と Cuddy 氏は述べています。)
IAST: アプリケーションセキュリティの可視性の向上
より具体的には、アプリケーション セキュリティの可視性を向上させる 1 つの方法は、対話型アプリケーション セキュリティ テスト (IAST) です。これは、セキュリティ テストを機能テストに組み込み、ひいては組織全体の品質の観点に組み込むと同時に、セキュリティの監視として機能します。
HCL AppScan on Cloud (および HCL AppScan 360°) は、単一プラットフォームで IAST の結果を静的テストおよび動的テストと関連付けることができます。これらの結果は一緒に表示されるため、脆弱性を比較し、リスクに優先順位を付け、それらを修正するためのリソースを割り当てることが簡単です。 。 さらに、コードを関連する脅威ベクトルと関連付けて、修正のターゲットを絞ることができます。
「そこで IAST を活用するので、これらすべてが連携し始めます。静的と対話型の両方で問題が発生している場合、それは完全に悪用可能であることを意味します。」と Cuddy 氏は説明します。
ソフトウェア開発における標準化と多様化
ソフトウェア開発環境における最近の変化は、コンポーネントベースの開発とアジャイル手法により、標準化と多様化の両方をもたらし、開発者が多様性に向かう一方で、運用チームはそれに追いつくよう努めています。 しかし、可視性、透明性、セキュリティリスクの明確な理解の必要性は依然として残っているとカディ氏は言います。 そして、人々は現在、セキュリティを考慮して設計し、プロセス全体でセキュリティ テストを行うことが最善のアプローチであると理解しているため、チームが高品質のコードをリリースするとき、その「品質」にはセキュリティが組み込まれていると彼は付け加えました。
インタビュー全文と付属のビデオは SDTimes.com で見ることができます。
IAST を含む、HCL AppScan から利用できるエンドツーエンドのアプリケーション セキュリティ テスト ソリューションの詳細をご覧いただくか、今すぐ無料トライアルにサインアップしてください。
ServiceNow Vulnerability Response と連携・統合された HCL AppScan が ServiceNow ストアで入手できるようになりました
2023/9/14 - 読み終える時間: 2 分
ServiceNow Vulnerability Response と連携・統合された HCL AppScan が ServiceNow ストアで入手できるようになりました
2023年9月11日
著者: Adam Cave / Product Marketing Manager, HCL AppScan
SAST、DAST、IAST、SCA などの包括的なテクノロジー スイートはすべて、アプリケーション セキュリティ テスト製品、サービス、プラットフォームの HCL AppScan ポートフォリオの基盤を形成します。 これらの各ツールは継続的に更新され、顧客がコードベースやアプリケーションの脆弱性を見つけるために利用する高速かつ正確なテストを提供します。
HCL AppScan は、脆弱性の発見は始まりにすぎず、開発チームが効果的なトリアージと修復のためにこの情報を効率的に活用することも同様に重要であることを理解しています。 これを容易にする鍵となるのは、主要な CI/CD、IDE、DTS、その他の DevOps ツールとの統合を提供することです。
HCLSoftware の最新の統合により、HCL AppScan と ServiceNow の両方のユーザーは、HCL AppScan Enterprise (DAST 検出結果) または HCL AppScan on Cloud (DAST または SAST 検出結果) から ServiceNow Vulnerability Response プラットフォームに脆弱性データを自動的にインポートできるようになります。 この統合により、企業は、高速かつ正確な HCL AppScan の結果に基づいて、システム内の脆弱性を効率的に特定、優先順位付け、追跡、修復できるようになります。
- データ インポート - オンデマンドまたは事前設定された自動スケジュールに基づいて、Now Platform インスタンスにアプリケーション、スキャン概要、およびアプリケーションの脆弱な項目をインポートします。
- ServiceNow の各 AVIT の添付ファイルとしての DAST 脆弱性に対する完全なリクエスト/レスポンスに関する情報
- スキャン結果の重大度に基づくリスク スコア計算のサポート
- スキャン結果に対する「ServiceNow での優先順位付け」オプションのサポート
- 選択的なデータインポートのための構成フィルター
この ServiceNow 認定統合は、Visual Studio、Jenkins、GitHub、GitLab などを含む需要の高いツールとのマーケットプレイス ベースのコラボレーションの広範なリストに加わります (完全なリストはこちらをご覧ください)。
ServiceNow ストアの HCL AppScan に今すぐアクセスして、統合を無料でダウンロードしてください。
HCLSoftware のすべてのアプリケーション セキュリティ テスト ソリューションの詳細をご覧ください。
HCL AppScan 360° と Jenkins および Azure DevOps の統合により強力な DevSecOps を提供
2023/9/11 - 読み終える時間: 3 分
HCL AppScan 360° Integrations with Jenkins and Azure DevOps Provides Powerful DevSecOps の翻訳版です。
HCL AppScan 360° と Jenkins および Azure DevOps の統合により強力な DevSecOps を提供
2023年9月7日
Parimal Sureshagarkhed / Lead Software Engineering
Facebook、Netflix、Amazon などの巨大 Web サイトが、どのようにしてダウンタイムやユーザー エクスペリエンスの中断を感じさせることなく、Web サイトに新機能を追加し続けているのか疑問に思ったことはありますか? その多くは、アプリケーションの革新をますます高速化できるクラウドベースの開発プラットフォームで実現されています。
クラウドベースのサービスは、この種の開発の多くに使用されることが増えていますが、すべてのユースケースに適しているわけではありません。 おそらく、テストのために機密コードをクラウドに送信することにセキュリティ上の懸念があるかもしれません。 おそらく、クラウド サービスはあなたの業界や場合によってはあなたの国によって許可されていないでしょう。 クラウドが選択肢にない場合は、HCL AppScan 360° を検討してください。 HCLSoftware のこの新しいセルフマネージド アプリケーション セキュリティ テスト プラットフォームは、オンプレミスまたはプライベート クラウドにデプロイでき、業界をリードするクラウドベースの SaaS (ソフトウェアとしてのソフトウェア) である HCL AppScan on Cloud と同じ最新の UI、速度、統合を提供します。 サービス)の提供。
これら 2 つのプラットフォームには、アプリケーション セキュリティ テスト機能 (SAST、DAST、IAST、SCA) の完全なスイートが含まれており、セキュリティ体制を強化し、セキュリティ体制を可視化するための一元化されたダッシュボードを組織に提供します。
HCL AppScan 360° アーキテクチャ
統合と機能
HCL AppScan 360° を使用すると、Jenkins や Azure などの業界をリードする CI/CD ツールの統合を使用して、アプリケーションを継続的に更新およびリリースできます。
HCL AppScan 360° 統合を使用すると、スキャンとスキャン データのプライバシーが維持されます。 セキュリティ スキャン データはユーザーの環境内にあるため、ユーザーがセキュリティ テスト用に別のテスト データを作成するという必須の要件はありません。 また、スキャン データは非常に安全であり、ユーザーの環境外からはアクセスできないため、監査やコンプライアンスに向けた追加の取り組みは必要ありません。
Jenkins と Azure のパイプラインがさまざまなジョブをさまざまなエージェント マシンに割り当てるコントローラー エージェント構成を使用して、分散ビルドを管理できます。 このアプローチを使用すると、新しく構築された複数のプロジェクトの SAST (静的アプリケーション セキュリティ テスト) スキャンを効率的に適用できます。 各プロジェクトの問題のセキュリティ概要がセキュリティ テスト レポートとともに表示されます。
セキュリティテストレポート
HCL AppScan は、スキャンの問題を含む包括的で詳細なセキュリティ テスト レポートと、報告された問題の修復ガイダンスを提供します。 レポートは、開発者やセキュリティ アナリストなどの複数の関係者がアクセスして使用できるように設計されています。 ここでサンプルレポートを表示できます。 SAST スキャンの実行時に取得されるサンプルのビルド概要を以下に示します。
ユーザーは、スキャン名「Demo_SAST_AppScan360」をクリックするだけでスキャン レポートを表示できます。 HCL AppScan 360° は、CrossSite Scripting (XSS)、SQL インジェクション、弱い認証、メール フィッシングなどを含む広範な問題リストについてアプリケーションをテストできます。
ソース コードのみ (SCO) スキャンを実行して、コンパイルされていないコードをセキュリティ スキャンして問題を回避し、プロジェクトが進みすぎる前にプログラムによるアプローチを確認することもできます。 問題は報告され、脆弱なコードの修正が提案されます。
指定した数の重大度の高い脆弱性などのセキュリティ結果に基づいてビルドが失敗するように構成できます。 このような場合の Jenkins ビルドのサンプルメッセージを以下に示します。
クラウドネイティブのアプリケーション セキュリティ プラットフォームである HCL AppScan 360° は、Intelligent Finding Analytics (IFA) や Intelligent Code Analytics (ICA) などの実証済みの AI/機械学習機能を使用して、より広範囲のスキャン範囲とより短い時間でより正確なスキャンを提供します。 速度と問題範囲のバランスを選択することで、スキャン時間を短縮できます。 基本的なセキュリティ問題を特定するには、開発ライフサイクルの早い段階でより高速なスキャンを選択します。 サイクルの後半でより詳細なスキャンを選択して、アプリケーションを完全にカバーできるようにします。
HCL AppScan 360° の初期リリースは、SAST またはソース テストに焦点を当てています。SAST、DAST、IAST、および SCA テクノロジーはすべて、クラウド上でサービスとして利用できます (HCL AppScan on Cloud)。 将来の HCL AppScan 360° リリースでは、クラウド ネイティブ、ソブリン クラウド、MSP、連邦サポートなど、増加する導入オプションで 4 つのテクノロジーすべてが展開される予定です。
HCL AppScan 360° とHCLSoftwareのすべてのアプリケーション セキュリティ ソリューションの詳細をご覧いただくか、HCL AppScan 360° の取り組みを今すぐ開始するにはお問い合わせください。
HCL AppScan DAST と脆弱なサードパーティコンポーネントの検出により、アプリケーションのセキュリティをより広範囲にカバー
2023/8/7 - 読み終える時間: 2 分
HCL AppScan DAST と脆弱なサードパーティコンポーネントの検出により、アプリケーションのセキュリティをより広範囲にカバー
2023年8月2日
著者: Kamal Kumar Chandrashekar / Senior Product Manager, HCL AppScan 共著: Ayan Som / Senior Product Manager, HCL AppScan
The Linux Foundation Research によると、現代のアプリケーションで使用されているアプリケーション コードの 70 ~ 90% はサードパーティ ライブラリに依存しています。 このソフトウェア サプライ チェーンの依存関係は、現代の開発の厳しいペースの直接の結果です。 特定のタイプの機能については、これらのコンポーネントを最初から作成するよりも、「既製」のコードを組み込む方がはるかに効率的です。
しかし、サードパーティのライブラリに依存することにはセキュリティ上の欠点があります。 チームがゼロから構築する独自コードには脆弱性がない可能性がありますが、サプライ チェーン内の外部アプリケーションやコンポーネントが脆弱であれば、アプリケーションが安全であるとは限りません。
依存する脆弱なコンポーネントは攻撃者に機会を与え、検出されないとアプリケーションやビジネスに重大な影響を与える可能性があります。
脆弱なサードパーティコンポーネントの検出を備えた HCL AppScan DAST
HCL AppScan DAST (動的アプリケーション セキュリティ テスト) は、潜在的な脆弱性に対してアプリケーションと API をスキャンする業界をリードするテクノロジーです。 HCL AppScan DAST は、自動スキャンを実行してリスクを評価し、展開前にリスクを軽減することで、高額な Web アプリケーションのセキュリティ侵害を防止します。
HCL AppScan DAST エンジンの主な強みの 1 つは、脆弱性の豊富なデータベースを活用できることです。 このデータベースは、世界中のクライアントにサービスを提供しながら 30 年以上にわたってトレーニングされ、アプリケーションの動作を分析し、アプリケーションのセキュリティ体制に関する貴重な洞察を提供します。
HCL AppScan では、脆弱なサードパーティ コンポーネントの検出が導入されました。 この新機能は、最もよく使用されているクライアントおよびサーバー側テクノロジーのフィンガープリントを取得し、それらの脆弱性を報告することにより、既存の DAST 機能を強化します。
脆弱なサードパーティ製コンポーネントの検出には多くの利点
- 包括的な脆弱性の補償 ハッカーは、人気のあるライブラリの既知の脆弱性をターゲットにしています。 DAST と脆弱なサードパーティ コンポーネントの検出を併用すると、より包括的な脆弱性をカバーできるようになり、既知の脆弱性を持つライブラリを特定し、その結果をすべての DAST 結果とともに確認できるようになります。
- 脆弱性の軽減 各脆弱性を個別に追跡することで、セキュリティ チームは修復に関してより積極的に取り組むことができます。 この焦点と可視性は、同じ脆弱性を標的とした将来の潜在的な攻撃のリスクを軽減するのにも役立ちます。 チームは優先順位を付けた脆弱性にリソースを割り当て、攻撃対象領域を減らし、強力なセキュリティ体制を維持できます。
-
コンプライアンスと監査 DAST および脆弱性サードパーティ コンポーネントの検出は、組織が非準拠コンポーネントを特定して対処し、必要な法規制遵守要件を確実に満たすのに役立ちます。
-
開発者の意識 サードパーティ コンポーネントに対するさらなる注意により、プロアクティブなセキュリティの文化が促進され、開発チームがソフトウェアの依存関係を定期的に監視して更新することが奨励されます。
-
リリース範囲 AppScan Standard 10.3.0 および AppScan Enterprise 10.3.0 リリース以降。
AppScan on Cloud (SaaS オファリング)
現在、非常に多くのサードパーティ コンポーネントがアプリケーションに組み込まれているため、それらのコンポーネントがコード ベースに脆弱性をもたらしたり、安全性を維持するためのすべての努力を台無しにしたりしていないかを知ることが重要です。
HCL AppScan DAST は、業界をリードするアプリケーションの機能テストを提供し続けます。 脆弱なサードパーティ コンポーネントのフィンガープリンティングが追加されたことで、開発チームはこれらの集約された結果をすべて集中ビューで確認できるようになり、トリアージと修復が容易になり、ソフトウェア サプライ チェーン全体のセキュリティが大幅に向上します。
脆弱なサードパーティ製コンポーネントの検出を備えた HCL AppScan DAST の詳細については、https://www.hcl-software.com/jp/products/appscan?referrer=blog.hcltechsw.com にアクセスしてください。
フェラーリのデジタル・ジャーニーを加速させる鍵は、統合アプリケーション・セキュリティの導入にあり
2023/6/19 - 読み終える時間: ~1 分
Incorporating Integrated Application Security Key in Enhancing Ferrari’s Digital Journey の翻訳版です。
フェラーリのデジタル・ジャーニーを加速させる鍵は、統合アプリケーション・セキュリティの導入にあり
2023年6月14日
著者: Nabeel Jaitapker / Product Marketing Lead, HCLSoftware
従業員体験の向上とセキュリティの強化は、フェラーリがデジタルジャーニーを加速させる方法のほんの一例です。
スクーデリア・フェラーリは、イタリアの高級自動車メーカーであるフェラーリのレース部門であり、F1レースに参戦するレーシングチームである。HCLSoftwareとの最近のパートナーシップには、脆弱性検出のためのHCLSoftwareの統合アプリケーションセキュリティプラットフォームの活用が含まれています。
フェラーリのChief Data and Innovation OfficerであるSilvia Gabrielliは、HCLSoftwareを活用することで、同社はデジタル風景とビジネスプロセスを革新するためのデジタルジャーニーを加速していると述べています。
フェラーリは、開発段階からHCL AppScanを継続的インテグレーションツールに統合し、コラボレーションと分析をサポートできる修復プロセスのガバナンスと可視性を獲得する予定です。
HCLSoftwareは、歴史あるレーシングチームの戦略的パートナーとして位置づけられており、高性能で精密な技術の供給に重点を置いています。
HCLSoftwareのSecureDevOpsソリューション担当上級副社長であるRaj Iyerは、「この複数年のパートナーシップに入る私たちの目標は、今後何年にもわたってフェラーリを競争相手から引き離す高精度技術を提供することです」と述べています。
HCL AppScanは、ソフトウェア開発ライフサイクルのあらゆる段階において、アプリケーションの脆弱性をピンポイントで修正するための一連の技術により、開発者、DevOps、およびセキュリティチームを強化します。また、クラス最高のテストツール、一元的な可視化と監視、オンプレミス、オンクラウド、クラウドネイティブなど複数の導入オプションにより、アプリケーションの安全性を確保し、組織を保護できます。
この包括的なパッケージにより、企業は早期発見の優先、継続的なセキュリティの獲得、修復の集中、優れた透明性と制御を実現できます。
クラス最高のアプリケーション・セキュリティ・テスト・ツールである HCL AppScan についての詳細はこちらをご覧ください。また、フェラーリとHCLのパートナーシップに関するビデオはこちら でご覧ください。
HCL AppScan 360°、高速かつ正確なアプリケーション・セキュリティ・テストを提供し、どこでも展開できるようになりました
2023/6/9 - 読み終える時間: ~1 分
HCL AppScan 360°、高速かつ正確なアプリケーション・セキュリティ・テストを提供し、どこでも展開できるようになりました
2023年6月8日
HCL AppScan 360° は、クラウドネイティブアーキテクチャで構築され、どこでも展開可能な単一の近代的な統一プラットフォームで、包括的なスキャン技術スイートを使用できるようにします。
エンタープライズソフトウェアソリューションプロバイダーである HCLSoftware は、クラウドネイティブアーキテクチャで構築された新しい統一アプリケーションセキュリティソフトウェアプラットフォームであるHCL AppScan 360°の発売を本日発表しました。HCLSoftwareの業界をリードするアプリケーションセキュリティポートフォリオであるHCL AppScanの拡張版であるHCL AppScan 360°は、ユーザーが期待する高速、正確、俊敏なアプリケーションセキュリティテストとともに、組織への幅広いセキュリティ展開オプションを提供します。
「HCLSoftwareのエグゼクティブ・バイスプレジデントであるRajesh Iyerは、次のように語っています。「このニーズは普遍的なものですが、導入方法やさまざまなソリューションへのアクセスに関しては、お客様ごとに独自のニーズがあることを理解しています。HCL AppScan 360°により、組織は、単一の近代的な統一プラットフォーム上でこれらすべての選択肢を利用できるようになり、さまざまなプロバイダーからセキュリティのニーズをまとめる必要がなくなります」。
ASoC SaaS 製品は、クラウド上で包括的なアプリケーション・セキュリティ・テストを顧客に提供し続けていますが、オンプレミス、セルフホスティング、MSPホスティング、ソブリンクラウド、クラウドネイティブなど、より幅広い導入オプションや消費モデルを必要とする層が世界中に存在しています。HCL AppScan 360°は、リスク態勢を比類なく把握できる集中型ダッシュボードなど、ASoCと同じ最新の集中型プラットフォームを共有し、ビジネスの特定のニーズに関係なく、組織に同じ包括的かつ継続的なセキュリティを提供します。
HCL AppScan 360° の特長は以下の通りです。
- 最新のクラウドネイティブアーキテクチャ上に構築されています。
- 静的、動的、インタラクティブ、オープンソース、コンテナスキャン、APIテストなどを含む統合テストソリューションの包括的なセット。
- カスタマイズ可能なダッシュボード、ポリシー、姿勢。
- オンプレミス、セルフマネジメント、クラウドネイティブ、ソブリンクラウド、MSP、フェデラルサポートを含む複数のデプロイメントオプション。
- アプリケーション単位、貢献ユーザー単位、同時実行単位など、複数の消費オプション。
- 2023年第2四半期から順次リリース。
「この最初のリリースでは、静的解析に焦点を当て、開発プロセスを通じてアプリケーションコードを保護するお客様の能力を向上させます。 HCL AppScan 360°は、当社の他のオンプレミス製品よりも多くのSAST統合と自動化を提供する予定であり、オンプレミスは始まりに過ぎません。今後のリリースでは、導入オプションやスキャン技術の選択肢を広げていく予定です」と、製品管理担当ディレクターのBilly Weberは述べています。
HCL AppScan 360° リリースの詳細については、以下をご覧ください: https://www.hcltechsw.com/appscan
インタビュー: HCL AppScan 360° とアプリケーションセキュリティのトレンド
2023/6/9 - 読み終える時間: 2 分
Interview: HCL AppScan 360° and Trends in Application Security の翻訳版です。
インタビュー: HCL AppScan 360° とアプリケーションセキュリティのトレンド
2023年6月8日
著者: Adam Cave / Product Marketing Manager, HCL AppScan
HCLSoftwareは、2023年6月初旬に新しいアプリケーションセキュリティ製品であるHCL AppScan 360° をリリースすることを発表しました。クラウドネイティブアーキテクチャで構築されたこの統一プラットフォームは、HCL AppScanアプリケーションセキュリティポートフォリオを拡張したもので、現代のアプリケーション変革環境のダイナミックで成長するニーズに対応するよう設計されています。
ロンドンでの最近の会議の合間に、バイスプレジデント兼マーケティング責任者のDario Debarbieriは、HCLSoftwareのExecutive Vice PresidentのRajesh Iyerと、アプリケーションセキュリティのトレンドと、HCL AppScan 360° が将来果たす役割になぜ興奮しているのかについて幅広く議論しました。
Dario Debarbieri, (DD) - HCL AppScan 360° について議論する時間を取っていただき、ありがとうございます。新しいソフトウェア・プラットフォームについてお話しする前に、アプリケーション・セキュリティ市場の「根本的な変化」についての最近の発言について、詳しく教えていただければと思います。私は、あなたがおっしゃったアプリケーション・セキュリティ・テストの民主化と、それがCISOのオフィスから開発現場へとどのようにシフトしているかに興味があるのです。
Rajesh Iyer (RI) - Dario、このような重要なテーマについて、またHCLSoftwareの新しい「赤ちゃん」であるHCL AppScan 360° についてお話しする機会をいただき、本当にありがとうございます。あなたがおっしゃるシフトは、しばらく前から動いていたもので、デジタル経済が私たちのビジネスのやり方の多くの側面をいかに変えたかを反映しています。数年前までは、リリース直前、あるいはリリース後にアプリケーションをテストすることが許容されていましたが、セキュリティはもはや後回しにすることはできないのです。そのため、開発者はアプリケーション・セキュリティをDevOpsツールチェーンの早い段階でよりよく統合する作業に取り組み、現在では「セキュアDevOps」または「DevSecOps」オペレーションと呼ばれるようになっています。
DD - セキュリティに対するこうした新しいアプローチは、あなたが「デジタル+エコノミー」と表現しているものの一部なのでしょうか?
RI - デジタル+エコノミーは、アプリケーション・セキュリティ・テストの左遷だけではありません。まず、競争力を維持するために、企業はこれまで以上に多くのアプリケーションやアプリを迅速に開発し、複数のデバイスやチャネルに展開するようになっています。その結果、ハッキングされる可能性のある方法が同様に増加し、終わりが見えなくなっています。
こうした脅威に対処するため、企業は、オンプレミス、サービスとしてのクラウド、ソブリン・クラウド、そしてこれらすべての組み合わせなど、ニーズに応じたさまざまな形式のアプリケーション・セキュリティ機能を求めています。ソースコード・テスト(SAST)をオンプレミスやプライベート・クラウド上で行いたいと考える企業も珍しくありません(自社のコードを他人のクラウドに流したくないからです)。しかし、同じ企業がDAST(動的アプリケーション・セキュリティ・テスト)をスキャンし、その必要性をペンテスターにアウトソースし、as-a-serviceクラウド上で実行することも望んでいるかもしれません。
企業は、もはやユニットレベルでの「アプリケーション・セキュリティ・スキャン」だけには興味がない。企業は、自社の全体的なリスクプロファイルとオペレーショナルリスクエクスポージャーを知りたいと考えています。そのためには、いつでも自社のセキュリティ状況を可視化できる強力なレポーティング機能が必要です。
最後に、Digital+はセキュリティだけの問題ではないことを忘れてはいけません。デジタル+はセキュリティだけでなく、運用の効率化も重要なテーマです。企業は、上記のすべてを、可能な限り低いTCO(総所有コスト)で実現したいと望んでいます。
DD - HCL AppScanが、このDigital+経済へのシフトにおいて、どのようにお客様を支援してきたのか、とても興味があります。
RI - ご承知のように、AppScanは20年以上前に誕生し、アプリケーション・セキュリティの標準を設定し続けてきました。HCLSoftwareのチームは近年、このプラットフォームを拡張し、業界で最も広範なアプリケーションセキュリティテスト機能を搭載しています。静的、動的、インタラクティブ、API、オープンソースなど、考えられるあらゆる種類のテストをお客様に提供し、オンプレミスでも、HCL AppScan on Cloud (ASoC) as-a-serviceプラットフォームを通じてクラウド上でも行っています。
私たちは、AIを活用してスキャンの精度を根本的に高め、開発者であれセキュリティの専門家であれ、スキャンの処理時間を短縮することを続けてきました。私たちの信条は、「速く、正確で、俊敏なセキュリティ・テスト」です。それには十分な理由があります!
そして、2023年6月にHCL AppScan 360° プラットフォームを立ち上げることで、このすべてをさらに前進させることができることを嬉しく思っています。
DD - HCL AppScan 360° はAppScanプラットフォームの未来だとおっしゃっていますね。それについて、もう少し詳しく教えてください。
RI - まず、HCL AppScan 360° は、静的、動的、インタラクティブ、サプライチェーン、コンテナ、APIテストなど、HCLSoftwareのアプリケーション・セキュリティ・テスト機能一式を、業界で最も幅広いセットに統合しています。- オンプレミス、オンクラウド、as-a-serviceで提供可能な、業界で最も広範な統合製品群です。企業は、自社のセキュリティ状況を実際に可視化できる一元的なプラットフォームと、どのようなスキャン機能をどのように使用し、どのように展開するかという選択の両方から利益を得られます。
この技術スイートの多くは、ASoCでサービスとして提供されていましたが、私たちはこれをオンプレミス製品と統合し、単一のプラットフォームで提供し、統一されたアーキテクチャでそのすべてを駆動します。これにより、HCL AppScan 360° は、機能のベロシティとCI/CDを大幅に強化し、お客様のセキュリティプロファイルを大幅に向上させる基盤を構築します。
アプリケーション・セキュリティに「一長一短」のアプローチは存在しないということがよくわかりました。パブリッククラウドは多くの企業にとって有効ですが、同じ最新プラットフォームをオンプレミス、またはプライベートクラウドやソブリンクラウド、場合によってはこれらのハイブリッドで展開したいと考える企業もあります。HCL AppScan 360° は、こうした選択肢をすべて提供します。
DD - このプラットフォームは、現在のお客様にどのような影響を与えるとお考えですか?
RI - 本当にポジティブな影響ですね、ダリオ。HCL AppScan 360° は、Digital+エコノミーのお客様のセキュリティニーズをサポートするために完全に設計されています。この新しいソリューションが提供する統合の数の増加だけでなく、より近代的なCI/CDの恩恵を受ける機会を得られます。また、ASoCを含む現在のHCL AppScanのポートフォリオのサポートと強化も継続していきます。HCL AppScan 360° は、プライベートクラウド、ソブリンクラウド、MSPベースのデプロイメントで利用できるようにすることで、私たちのポートフォリオに消費可能なレイヤーをさらに追加しています。
DD - ソブリンクラウドとMSPベースのデプロイメントについて、またHCL AppScan 360° がこれらをどのように支援するのか、もう少し詳しく教えてください。
RI - HCL AppScan 360° は、基本的にSaaSサービスであるASoCを、オンプレミスだけでなく、プライベートクラウド、ソブリンクラウド、MSP主導のクラウド上でも利用できるようにするものです。これにより、お客様が利用できる展開の選択肢は根本的に変わりました。
HCL AppScan 360° を任意のクラウド上に展開することは、各組織のニーズに特化したASoCの完全カスタムバージョンにアクセスすることと同じことです。これは、連邦政府や州政府をサポートするためのソブリンクラウドや、データの居住要件がある他のソブリンクラウドなどであっても構いません。デプロイメントと運用を根本的に簡素化したため、ボタンをクリックするだけで、このようなことが可能になります。
また、MSPのパートナーも募集中で、自社のクラウド上でこのサービスを提供できます。HCL AppScan 360° を利用した「BP主導のASoC」に対して、通信事業者やSI、テックパートナーから多くの関心が寄せられているのです。
DD - 2023年6月の初回リリースについて、何か残しておきたい詳細はありますか?
RI - AS 360の最初のリリースは、SASTまたはソーステスト用のAS 360° になります。私たちは、レメディエーションのサポート強化や、開発者に比類ない柔軟性と選択肢を与えるプラグインや言語の増加など、開発者の体験を向上させる数々の機能を導入しました。今後のリリースでは、DAST、IAST、SCAなどの技術を追加し、導入オプションの数も増やしていく予定です。
HCL AppScan 360° のリリースで進む方向は、HCL AppScanのフットプリントを根本的に拡大し、より多くのお客様にDigital+ Economyへの準備を促すと信じています。
HCL AppScan 360° および HCLSoftware のすべてのアプリケーションセキュリティソリューションの詳細については、HCLSoftware の Web サイトをご覧ください。また、HCL AppScan 360° の導入をご検討の方は、こちらからお問い合わせください!
HCL AppScan 360° でアプリセキュリティー対策の柔軟性が向上
2023/6/9 - 読み終える時間: 2 分
HCL AppScan 360° Puts the Power of Choice in Your Hands の翻訳版です。
HCL AppScan 360° でアプリセキュリティー対策の柔軟性が向上
2023年6月8日
著者: Adam Cave / Product Marketing Manager, HCL AppScan
HCLSoftware は、将来のための大胆なビジョンで構築された、新しい統一されたクラウドネイティブアプリケーションセキュリティソフトウェアプラットフォームである HCL AppScan 360° を発表します。HCL AppScan が誇る高速、正確、俊敏なアプリケーションセキュリティテストが、これまで以上に多くの消費と展開の選択肢で利用できるようになります。
デジタル経済において企業が市場シェアを争う中、世界中でアプリケーション・セキュリティの必要性がますます高まっています。コードの一行目から安全なアプリケーションを構築することは、リスクを管理し、企業、従業員、顧客の資産と評判を保護するために不可欠です。
しかし、ニーズは普遍的である一方、組織、業界、地域によって方法は多岐にわたります。HCLSoftware は、各顧客がユニークであり、異なるソリューションに、異なる量、異なるタイミングでアクセスする必要があることを理解しています。HCL AppScan 360° を使用すれば、組織はこれらの選択肢をすべて単一の近代的な統一プラットフォームで利用できるようになり、さまざまなプロバイダーからセキュリティニーズをまとめる必要がなくなります。
一元化されたダッシュボードは、リスクの状況、問題、修正勧告を監視し、可視化できます。
全体は部分の総和よりも大きい
HCLSoftwareは、人気の高いAs-a-Serviceクラウドサービス(HCL AppScan on Cloud)で、真の統合プラットフォームがどのようなものであるかの基礎を築きました。静的、動的、インタラクティブ、オープンソース、コンテナスキャン、APIテストなど、包括的なテストソリューションのセットから、必要なテクノロジーを選択します。必要に応じて拡張し、シンプルで柔軟な消費モデルにより、使用した分だけ支払います。
また、それぞれのテクノロジーは単独でも高速かつ正確ですが、複数のソリューションを併用することで、まったく新しいレベルの価値を実現します。すべてのテストの結果は、一元化されたダッシュボードで見ることができ、発見された内容は、悪用可能性の証明に基づいて、修復のための問題の優先順位付けをするために相関させることができます。
スキャン結果は重要度を明確に表示し、監査証跡によりコラボレーションと管理が容易になります。
段階的なリリースを予定
HCL AppScan 360° は、主要なSaaS(サービスとしてのソフトウェア)であるHCL AppScan on Cloudと同じモダンで統一されたアーキテクチャとデザインを採用していますが、クラウドサービスを利用したくない、あるいは安全に利用できないお客様のために、より多くの配信オプションを備えています。
HCL AppScan 360°の最初のリリースでは、SASTテクノロジーと、プライベートクラウド、パブリッククラウド、ハイブリッドデプロイメントを含む複数の自己管理型デプロイメントオプションを提供する予定です。SAST、DAST、IAST、SCAの各技術はすべて、クラウド上のサービスとして引き続き利用可能です(HCL AppScan on Cloud)。今後のリリースでは、クラウドネイティブ、ソブリンクラウド、MSP、フェデラルサポートなど、より多くの導入オプションで4つのテクノロジーすべてを展開する予定です。
追加オプションが搭載されれば、これほど多くの選択肢、これほど多くの可視性、これほど包括的なセキュリティを提供する単一のプラットフォームは他にありません。
HCL AppScan 360° および HCLSoftware のすべてのアプリケーション・セキュリティ・ソリューションの詳細については、HCLSoftware の Web サイトをご覧ください。また、HCL AppScan 360° の導入をご検討の方は、こちらからお問い合わせください!