2024/8/12 - 読み終える時間: ~1 分

HCL AppScan をご利用のお客様にありましては、以下の記事をご一読いただきますようお願いいたします。

重要なお知らせ： HCL AppScan の2025年6月からのライセンスの変更について

2024/7/28 - 読み終える時間: 3 分

HCL AppScan 10.6.0: Introducing OpenAPI Scanning の翻訳版です。

OpenAPI自動スキャンの導入によるAPIセキュリティの変革：HCL AppScan 10.6.0

2024年7月26日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

HCL AppScan 10.6.0 は、開発者やセキュリティ専門家に、アプリケーション セキュリティ テスト (AST) を効率化および強化する拡張機能を提供します。この新しくリリースされたバージョンには、オンプレミスの 3 つの製品 (HCL AppScan Standard、HCL AppScan Enterprise、HCL AppScan Source) の複数の機能更新が含まれています。OpenAPI スキャンとよりシームレスなクロスプラットフォーム機能は、この四半期リリースの目玉です。

自動 OpenAPI スキャンによる API セキュリティの変革

HCL AppScan Standard 10.6.0 の主なハイライトは、高度な OpenAPI 自動スキャンの導入です。この革新的なアプローチは、OpenAPI 仕様 (Swagger) を活用して、RESTful API の AST を効率化します。そのメリットは次のとおりです。

• 簡単な構成 既存の OpenAPI 記述ファイルを活用して、スキャンを自動的に構成します。手動での構成やエンドポイントの検出は不要です。

• 強化されたカバレッジ すべての API エンドポイントを包括的にスキャンし、セキュリティの脆弱性が漏れないようにします。

• 優れた脆弱性検出 高度なスキャン技術により、API 内のより広範な脆弱性が特定されます。

全体として、OpenAPI スキャンは、API のセキュリティ評価をより高速かつ徹底的かつ関連性の高いものにします。これにより、潜在的なセキュリティの問題を早期に検出して修復し、最終的に API セキュリティ体制を強化します。

HCL AppScan 360° とのシームレスな統合

HCL AppScan Standard のバージョン 10.6.0 には、より直感的な接続インターフェイスを実現する再設計された接続方法 (HCL AppScan Connect) が含まれており、他の HCL AppScan 製品との接続を確立しやすくなります。これらの製品の 1 つが、セルフホスト型のクラウドネイティブ アプリケーション セキュリティ テスト プラットフォームである HCL AppScan 360° です。更新された HCL AppScan Connect では、次のことが可能になります。

• HCL AppScan Standard からスキャンを作成 HCL AppScan Standard で定義された構成を使用して、HCL AppScan 360° 内で簡単にスキャンを開始できます。

• スキャン結果をアップロード HCL AppScan Standard によって生成されたセキュリティ スキャン結果を HCL AppScan 360° に直接アップロードして、一元管理および分析を行います。

このシームレスな統合により、両方のソリューションの長所を活用できるようになり、セキュリティ テスト ワークフローが合理化され、総合的なアプリケーション セキュリティ戦略が促進されます。

スキャンの高速化とよりコンテキスト化された結果

正確なスキャン結果をできるだけ早く得るための戦いにおいて、HCL AppScan Standard は、新しい「問題テストごとに 1 つのバリアントのみ保存」オプションを追加してさらに前進しました。このスキャン時間最適化方法は、脆弱性の最初のインスタンスの特定に重点を置くことでスキャンを合理化し、精度を損なうことなく全体のスキャン時間を短縮します。

スキャン レポートには CVSS (Common Vulnerability Scoring System) ベクトルも含まれるようになり、特定された脆弱性の重大度に関する貴重な洞察が得られます。

HCL AppScan Standard 10.6.0 には、セキュリティ テスト タスクを簡素化および迅速化するために設計されたさまざまなユーザー エクスペリエンスの改善も組み込まれています。

• スキャン構成の使いやすさの向上: 再設計された一連のダイアログにより、調査されたデータのインポート、パスの除外、クライアント側証明書の管理などのタスクのスキャン構成が効率化されます。

• 複数ドメインのインポート: シンプルな CSV ファイルを使用して、スキャン用に複数のドメインを簡単にインポートできます。

HCL AppScan Enterprise のセキュリティと分析の強化

HCL AppScan Enterprise 10.6.0 には、セキュリティ体制を強化するための貴重な機能も導入されています。

• CVSS ベクトルの表示: モニター ページに、特定された問題の CVSS (Common Vulnerability Scoring System) ベクトルも表示されるようになり、脆弱性に関するより深い洞察が得られます。

• CWE マッピングの強化: AppScan は、複数の CWE (共通脆弱性列挙) を問題にマッピングするようになり、潜在的なセキュリティ リスクについてより広い視点を提供します。

• アップグレードされたダッシュボードによるより詳細な分析: モニター ページのダッシュボードにフィルターが追加され、セキュリティの検出結果をより詳細に分析できるようになりました。

レポートとコンプライアンスの強化

HCL AppScan バージョン 10.6.0 では、業界標準に準拠したレポートを生成する、HCL AppScan Standard と HCL AppScan Enterprise の両方の新しい規制コンプライアンス レポートが導入されています。以下のような例があります。

• OWASP クラウド ネイティブ アプリケーション セキュリティ トップ 10: 非営利財団 Open Web Application Security Project (OWASP) による、クラウド ネイティブ アプリケーションに関連する最も重大なセキュリティ リスクの包括的なリスト。

• ネットワークおよび情報セキュリティ指令 (NIS2): 適用範囲の拡大とビジネス要件の厳格化により、欧州連合全体のサイバー セキュリティを強化するために設計された、更新された EU 全体の法律。

HCL AppScan Source の追加機能強化

HCL AppScan Source 10.6.0 では、主要な機能以外にも、進化するセキュリティ環境で常に一歩先を行くように設計されたさまざまな追加機能強化が提供されています。これらの改善点のいくつかを詳しく見てみましょう:

拡張されたプラットフォームとフレームワークのサポート

• Windows Server 2022: 最新の Windows Server バージョンでアプリケーションをシームレスにスキャンします。
• IBM WebSphere Application Server 9: この人気のアプリケーション サーバーで実行されているアプリケーションのセキュリティを確保します。
• .NET 8 のサポート: 最新バージョンの .NET フレームワークで構築されたアプリケーションをスキャンします。
• Eclipse プラグインの互換性: AppScan Eclipse プラグインは、2022-09 から 2024-03 までのバージョンをサポートするようになり、開発環境との互換性が確保されます。

強化されたレポートとコンプライアンス

• 新しいレポート: DISA STIG v5r3: 最新の DISA セキュリティ技術実装ガイド (STIG) v5r3 に準拠したレポートを生成し、政府機関のコンプライアンス作業を簡素化します。

テクノロジーの進歩に遅れを取らない

• Makefile スキャン: C/C++ プロジェクトの Makefile 内の脆弱性を特定します。
• グローバル シークレット スキャン: すべてのスキャンでシークレット スキャンを有効にして、機密情報の漏洩を特定するプロセスを簡素化します。
• スキャナーの改善: Secrets スキャナー、Java スキャナー、JavaScript スキャナー、Python スキャナーの機能強化により、より包括的な脆弱性検出が可能になります。

まとめ

HCL AppScan 10.6.0 は、HCL AppScan Standard と HCL AppScan Enterprise の両方に強力な機能強化スイートを提供します。このリリースでは、より高速で徹底した API セキュリティ テスト、統合の改善、レポート機能の強化、ユーザー エクスペリエンスの合理化に重点が置かれており、より効率的に安全なアプリケーションを構築および維持できます。

HCL AppScan 10.6.0 のパワーを体験する準備はできましたか? HCLSoftware の Web サイトにアクセスして、さらに詳しく情報を入手し、今すぐ無料トライアルをダウンロードしてください。

2024/7/26 - 読み終える時間: ~1 分

Smart Locks Unlocked: The Hidden IoT Security Risks Exposed by Aleph Research の翻訳版です。

スマートロックのロック解除: Aleph Research が明らかにした隠れた IoT セキュリティ リスク

2024年7月15日

著者: Lev Aronsky / Security Researcher

独立した脆弱性調査は、サイバーセキュリティにおいて重要な役割を果たします。企業が事前のセキュリティ テストを行わずに製品をリリースしたり、リリース前に実施されたセキュリティ テストですべての脆弱性が特定されなかったりすることがあります。どちらのシナリオでも、結果として悪意のある攻撃者が悪用できる脆弱な製品が生まれます。独立した調査では、このような脆弱性を特定し、ベンダーに公開して修正してもらうことで、これらの製品のセキュリティを強化します。

HCLSoftware の Aleph Research は脆弱性調査に優れており、高度な調査手法を必要とする製品を中心に、さまざまな製品を独自に分析しています。同社のセキュリティ研究者は専門知識を活用して、標準的な侵入テストでは見逃されがちな脆弱性を発見します。この種の調査は、一般市民の安全を守るのに役立つだけでなく、HCLSoftware に、HCL AppScan スイートのアプリケーション セキュリティ テスト ツールに組み込むことができる貴重な洞察を提供します。

IoT セキュリティは Aleph Research の専門分野です。最新のプロジェクトでは、現代のスマート ホームでますます一般的になっているデバイスであるスマート ロックを選択しました。研究者たちは、攻撃者に自宅へのオンラインおよび物理的なアクセスの両方を提供する可能性がある潜在的な脆弱性の影響に興味をそそられました。Aleph Research は、中国企業 Sciener が開発し、世界中でさまざまなブランドで販売されている高度なスマートロックを選択しました。調査は、スマートフォン アプリ (TTLock)、アプリとロック間の BLE 通信、コンパニオン ゲートウェイ、ロックの物理的セキュリティなど、ターゲットの潜在的な攻撃を特定することから始まりました。

アプリの逆コンパイル、高度なハードウェア デバッグ、ロックとゲートウェイのファームウェアのリバース エンジニアリングを含む広範な分析を通じて、研究者は特定されたすべてのサーフェスで複数の深刻な脆弱性を発見しました。このリスクは、中間者攻撃とプロトコル ダウングレード攻撃の組み合わせから、不適切な暗号化処理や最上位権限による不正なコード実行まで、幅広い CWE 問題タイプをカバーしていました。

IoT デバイスのこれらの脆弱性は、潜在的な脅威にさらされていることに気付かずに利便性のためにこれらのデバイスを選択している一般の人々にとって重大なリスクをもたらします。これにより、窃盗犯は近くのスマートフォンでデバイスのロックを解除できるようになり、簡単にピッキングできるロックを探すよりもスマートホームをターゲットにしやすくなります。

Aleph Research は、すべての脆弱性を記録した後、イスラエルのサイバー局とベンダーに対する脆弱性リスクを調整する CERT 組織にそれらを公開しました。脆弱性を公表する業界標準は通常、公開後 90 日ですが、これらの問題の重大性のため、Aleph Research は 2 倍以上の期間を待ちました。残念ながら、Aleph Research の努力にもかかわらず、ベンダーは応答しませんでした

最終的に、ベンダーは CERT と連携して脆弱性を公開しました (CVE-2023-7006、CVE-2023-7005、CVE-2023-7003、CVE-2023-6960、CVE-2023-7004、CVE-2023-7007、CVE-2023-7009、および CVE-2023-7017)。この公開により、ベンダーは問題の修正に緊急に取り組み始め、公開によってベンダーの協力を効果的に促進できることが証明されました。

特定された脆弱性の中には、複雑なロジックと経験豊富な侵入テスト担当者による発見が必要なものもありますが、HCL AppScan Source などの SAST ツールを使用して開発中に検出できるものもあります。その結果、Aleph Research ツールは、今後同様の問題を検出できるようにルールの更新と強化を受けることになります。

HCLSoftware の Aleph Research は、脆弱性研究の限界を押し広げ続け、最も先進的な製品であっても厳格なセキュリティ分析が行われるようにしています。スマート ロックに関する最近の取り組みは、IoT デバイスを保護するために徹底的なテストと予防的対策が極めて重要であることを浮き彫りにしています。

この研究プロジェクトおよび同様のプロジェクトの詳細については、Aleph Research ブログをご覧ください。

HCLSoftware のアプリケーション セキュリティ テスト プラットフォームとツール スイートがセキュリティ プラクティスをどのように強化できるかについて詳しくご覧ください。

2024/7/21 - 読み終える時間: 2 分

HCLSoftware Strengthens Software Security with IAST for JetBrains の翻訳版です。

JetBrainsにIASTを統合しソフトウェアセキュリティを強化

2024年7月18日

著者: Arjun Ajit / Product Manager specializing in Plugins and Integration at HCL AppScan

アプリケーションのセキュリティを確保することは最も重要です。従来のセキュリティテストの方法では、サイバー脅威の進化により、十分ではない場合があります。そこで登場するのが、Interactive Application Security Testing(IAST)であり、コードベース内の脆弱性を特定するための動的なアプローチを提供します。IASTは、実行中のWebアプリケーションの脆弱性を分析するセキュリティテスト手法です。ソースコードを単独で分析する従来の静的コード分析ツールとは異なり、IASTはアプリケーションの実行中に評価するため、開発者は実際のシナリオで潜在的なセキュリティリスクを包括的に理解できます。

この強力なセキュリティ分析機能が、お気に入りの統合開発環境 (IDE) にシームレスに統合されていることを想像してみてください。これは、新しいコード・セクションがデバッグされるとすぐにカバーされるため、IAST にとって完璧なプロセスです。

HCL AppScan JetBrains Plugin は、IASTの領域におけるゲームチェンジャーであり、インタラクティブなアプリケーション・セキュリティ・テストのパワーをJetBrains IDEに直接導入します。これにより、「シフトレフト」アプローチを最大限に活用し、開発サイクルのできるだけ早い段階でIASTを使用して脆弱性を迅速に特定できます。

IAST を JetBrains IDE に統合した結果

従来のセキュリティテスト方法では、多くの場合、プロセスがバラバラで、開発者はIDEと外部のセキュリティツールを切り替える必要がありました。これにより、開発ワークフローが中断されるだけでなく、セキュリティカバレッジに潜在的なギャップが生じます。IASTをJetBrains IDEに直接統合することで、開発者はコーディング環境を離れることなく、コーディング中にセキュリティの問題をシームレスに特定できるようになりました。

HCL AppScan JetBrains プラグインの主な機能

リアルタイムの脆弱性検出

コーディング中にセキュリティの脆弱性を検出し、JetBrains IDE内で直接潜在的な問題に関するフィードバックを即座に提供します。

シームレスな統合

既存のJetBrains環境とのスムーズで手間のかからない統合により、面倒な外部ツールが不要になります。

コミュニティエディション

このプラグインはコミュニティ版で利用可能であり、開発者はIDE内で基本的なIAST機能にアクセスできます。将来のリリースではより高度な機能が約束されているため、コードのセキュリティを強化する可能性は無限大です。

誤検出の減少

IAST ソリューションは、ランタイム動作のコンテキストでコードを分析することにより、誤検出を大幅に減らすことができ、開発者は真のセキュリティー脅威に労力を集中させられます。

より迅速で効果的な修復アクション

この IDE は、新しいコード・セクションと既存のコード・セクションの両方をデバッグするとすぐにシームレスに分析するため、IAST の理想的なプラットフォームとして機能します。このアプローチは、潜在的なセキュリティ問題を迅速に特定するだけではありません。また、緩和戦略について開発者を教育することで、安全なコーディング手法に対する開発者の認識と習熟度を高められます。

2024/7/21 - 読み終える時間: ~1 分

How to Secure Your Open Source: Best Practices for Application Security Testing の翻訳版です。

オープンソースを脅威から保護する：アプリセキュリティテストのベストプラクティス

2024年7月21日

著者: Courtney Coleman / HCLSoftware

ダイナミックなソフトウェア開発の世界では、オープンソースコンポーネントの使用は、現代の開発エコシステムの不可欠な部分となっています。オープンソースコンポーネントのコミュニティの改善により、開発時間の短縮とコストの削減が促進され、より迅速に成長し、イノベーションを起こすための柔軟性が生まれます。しかし、この利便性には、特にセキュリティに関する独自の課題が伴います。

アプリケーションが成長し、オープンソースコンポーネントの監視が難しくなるにつれて、アプリケーションのセキュリティを確保することは、ソフトウェアエコシステム全体を保護するために重要になります。HCLSoftwareのアプリケーションセキュリティ担当グローバルテクニカルアドバイザーであるPeter Lee氏は、「『たった1つの悪いリンゴで樽全体が台無しになる』ということわざがあるからこそ、オープンソースアプリケーションセキュリティ(OSA、別名SCA)は、あらゆる組織のセキュリティプログラムの最上位にあるべきだ」と述べています。

「現代のソフトウェア開発は、ますます速く、機敏になっています」と Lee 氏は言います。「基本的に、生成型人工知能(Gen AI)は、開発者向けのWebまたはモバイルアプリケーション全体を作成できます。オープンソースライブラリは、開発者によって書かれたものであれ、Gen AIによって書かれたものであれ、コードの一部となることが多いため、脆弱なオープンソースパッケージを使用するリスクと、それがコード内のどこに存在するかを理解することが重要です。」

オープンソースアプリケーションのセキュリティを確保するには、プロアクティブで包括的なアプローチが必要です。ここでは、オープンソースを保護するためのベストプラクティスをいくつか紹介します。

開発サイクルの早い段階でセキュリティを統合

プロアクティブなセキュリティの重要性を議論する際には、安全なコーディング手法を内部的に遵守することが脆弱性を防ぐための基本であることを理解することが重要です。

主なプラクティスには、インジェクション攻撃を防ぐためのユーザー入力を常に検証およびサニタイズすること、アプリケーションへのアクセスを制御するための強力な認証および承認メカニズムの実装、攻撃者に貴重な情報を提供する可能性があるため詳細なエラー メッセージのユーザーへの露出の回避、暗号化を使用して保存中と転送中の両方で機密データを保護することが含まれます。

開発チーム内でセキュリティファーストの文化を育むことは非常に重要です。セキュリティの重要性についてチームを教育し、安全なコーディング手法とセキュリティテストツールの使用に関するトレーニングを提供します。開発者、セキュリティ専門家、運用チーム間のコラボレーションを促進して、セキュリティに対する包括的なアプローチを確保します。

依存関係を最新の状態に保つための定期的なセキュリティ監査の実施

オープンソースプロジェクトは、さまざまなサードパーティのライブラリやフレームワークに依存していることが多いため、古い依存関係はセキュリティ侵害の一般的なベクトルです。オープンソースのライブラリとフレームワークを定期的に最新バージョンに更新してください。これらの更新プログラムには、多くの場合、機密データを保護し、ユーザーの信頼を維持するために必要なセキュリティ パッチが含まれています。

堅牢な内部セキュリティ監査を実施していても、新しい脆弱性や脅威がいつでも出現する可能性があることに注意してください。自動化ツールは、依存関係を監視し、利用可能な更新を通知することで役立ちます。

セキュリティの脅威を一貫して監視、対応

手動のコードレビューと侵入テストは不可欠ですが、時間がかかり、人為的ミスが発生しやすい場合があります。十分な情報を持つ開発チームは、セキュリティの脅威に対する防御の最前線ですが、自動化されたセキュリティテストツールは、脆弱性を迅速に特定することでこれらの取り組みを補完できます。セキュリティの脅威についてアプリケーションを継続的に監視し、対応計画を準備しておくと、セキュリティ体制が向上します。

HCL AppScanのようなセキュリティ・ソフトウェアは、オープンソース・コンポーネントの脆弱性を特定するために特別に設計されたツールを含む、包括的なアプリケーション・セキュリティ・テストの完全なスイートを提供します。ソフトウェア・コンポジション解析(SCA)を使用すると、開発者はIDE(統合開発環境)から直接、プロジェクトに組み込まれたオープンソース・パッケージを評価できます。調査結果が静的分析、動的分析、対話型分析などの他のツールの結果と相関している場合、チームはリスク レベルを包括的に把握し、最初に修正する内容に優先順位を付けられます。すべてのツールはソフトウェア開発ライフサイクル(SDLC)にシームレスに統合され、継続的なセキュリティテストとコンプライアンス検証の両方を提供するため、組織は一貫したセキュリティ体制を維持できます。

結論

これは、アプリケーション内で堅牢なセキュリティ標準を維持するための一貫した取り組みです。目標は、脆弱性を見つけて修正するだけでなく、開発プロセスのファブリックにセキュリティを組み込むことです。信頼できるセキュリティ体制管理は、イノベーションを優先事項の最前線にするための明確な滑走路を確立します。お気軽に HCLSoftware にお問い合わせ・デモの依頼をし、アプリケーションのセキュリティを強化する方法をご覧ください。

2024/7/21 - 読み終える時間: 2 分

HCL AppScan 360º: Unlocking Scalability and Efficiency の翻訳版です。

HCL AppScan 360°: スケーラビリティーと効率性を解き放つ

2024年5月14日

著者: Eitan Oberman / Senior Product Manager

進化し続けるアプリケーションセキュリティ環境には、俊敏性と適応性が必要です。このことを認識した上で、クラウドネイティブ・アプリケーション・セキュリティー・プラットフォームである HCL AppScan 360° の次期リリースを発表できることを嬉しく思います。このリリースは、スケーラビリティー、保守性、および全体的なユーザー・エクスペリエンスを強化するために設計されたアーキテクチャーの大幅な変更を特徴としています。

Kubernetes の中核となるもの

この変革の中核となるのは、業界をリードするコンテナ オーケストレーション プラットフォームである Kubernetes の採用です。Central Platform (ASCP) と SAST コンポーネントの両方が、Kubernetes 固有の強みを活用するように再設計され、次のような具体的なメリットがもたらされました。

• 簡単なスケーリング: 変動する需要に簡単に対応できます。Kubernetes を使用すると、HCL AppScan 360° インフラストラクチャをシームレスにスケールアップまたはスケールダウンでき、ピーク時や静かな時間帯に最適なパフォーマンスを確保できます。

• 統合管理:複雑さをシンプルに: ASCPとSASTの両方を、標準化された単一のKubernetesデプロイメントで管理し、管理、更新、ユーザーエクスペリエンスを合理化します。WindowsとKubernetesを別々にインストールする必要がなくなります。

合理化されたインストール:インストールキットの迷路を捨てます。新しい HCL AppScan 360° は、標準化された Kubernetes 構成を活用するため、ダウンタイムが最小限に抑えられ、アプリケーションの保護に迅速に集中できます。

• ベスト・イン・ブリードのテクノロジー: Kubernetesは、セキュリティプラットフォームが最新のテクノロジーとパフォーマンスの恩恵を受けることを保証し、セキュリティ曲線の先を行くことができます。

• 一貫したオンプレミス/クラウドエクスペリエンス: 新しいアーキテクチャにより、オンプレミスとクラウドのデプロイメント間でシームレスなエクスペリエンスが促進されます。この連携により、管理が簡素化され、ハイブリッド環境全体で一貫したセキュリティプラクティスが確保されます。

メリット

• 複雑さの軽減: 統合されたKubernetesベースのアーキテクチャにより、AppSecプラットフォーム全体を簡単に管理できます。

• スケーラビリティの向上:インフラストラクチャのボトルネックなしに、セキュリティテストの取り組みを進化するニーズに適応させます。

• メンテナンスの簡素化: 合理化されたインストールと簡素化された更新の恩恵を受けられます。

• セキュリティ体制の強化:最新のテクノロジーと統一されたセキュリティアプローチを活用して、アプリケーションのセキュリティを強化します。

さらに前へ

このアーキテクチャのアップデートは、将来の機能強化とユーザーエクスペリエンスの向上のための準備を整えます。HCLSoftware の クラウドネイティブ・アプリケーション・セキュリティー・プラットフォームであるAppScan 360°で詳細を確認し、新しいAppScan 360°がセキュリティー運用を合理化し、アプリケーションの防御を強化する方法を探索するための詳細情報にご期待ください。

2024/7/21 - 読み終える時間: 2 分

A New Milestone: Cloud-Native Application Security with DAST の翻訳版です。

新たなマイルストーン: DASTによるクラウドネイティブ・アプリケーションセキュリティ

2024年7月15日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

アプリケーションセキュリティに対して「どこにでもシフト」するアプローチを採用する組織が増えるにつれ、「万能」のソリューションがないことが明らかになっています。ソフトウェア開発ライフサイクル全体に効果的なセキュリティ戦略を、開発を遅らせることなく費用対効果の高い方法で組み込むことは、困難な作業です。

組織は、監視、リスクの完全な可視化、およびチーム間のコラボレーションを提供する単一プラットフォーム ソリューションにますます注目しています。さらに、企業は、完全なオンプレミス、クラウド、またはハイブリッドモデルの使用など、さまざまな展開環境で運用できる柔軟性を求めています。

HCL AppScan 360°: 現代の企業向けのクラウドネイティブ・アプリケーションセキュリティー・プラットフォーム

これらの多くの課題に対処するために、HCLSoftware は 2023 年に HCL AppScan 360° をリリースしました。この完全にクラウドネイティブなアプリケーションセキュリティ・プラットフォームは、同社の主力SaaSソリューションであるHCL AppScan on Cloud(ASoC)と同じ最新のユーザーインターフェースとエクスペリエンスを提供しますが、オンプレミス、プライベートクラウド、ハイブリッド、その他のセルフホスト型デプロイメントオプション向けに設計されています。

元のリリースには、AI支援の静的アプリケーションセキュリティテスト(SAST) が付属していましたが、ASoCに見られるすべての追加のテストテクノロジーを追加するための積極的なロードマップが示されました。

AppScan 360° は、セキュリティーを強化するために DAST と Kubernetes のスケーラビリティーを追加

HCLSoftware は、HCL AppScan 360° が業界をリードする動的アプリケーションセキュリティテスト (DAST) の追加により、その進化における重要なマイルストーンに到達したことを発表できることを誇りに思います。DASTを使用すると、ユーザーはWebアプリケーションとAPIの包括的なスキャンをリアルタイムで実行し、実際の攻撃シナリオをシミュレートして脆弱性とセキュリティの弱点を特定できます。

自動DASTスキャンは、CI/CDパイプラインを含むソフトウェア開発ライフサイクル全体に組み込むことができ、OWASP Top 10 CVEなどのプリセットポリシーに基づいて構成できます。インクリメンタルスキャンは、リポジトリに追加された最新のコードのみを分析するように設定でき、テストの最適化により、ユーザーは開発のさまざまな段階で必要なものに基づいてスキャンの速度と深さのバランスをとれます。SASTと組み合わせることで、このプラットフォームはこれまで以上に広いセキュリティカバレッジを提供します。

HCL AppScan 360 は、業界をリードするコンテナ・オーケストレーションプラットフォームである完全な Kubernetes アーキテクチャー上に構築されています。HCL AppScan Central Platform (ASCP) と DAST および SAST コンポーネントはどちらも、可用性とスケーリングにおける Kubernetes の固有の強みを活用するように設計されています。組織は、インフラストラクチャのボトルネックなしに、進化するニーズにセキュリティテストの取り組みを適応させ、合理化されたインストールと簡素化された更新の恩恵を受けとれます。

最も重要な利点の1つは、変動する需要に簡単に対応できることです。Kubernetes を使用すると、HCL AppScan 360° インフラストラクチャをシームレスにスケールアップまたはスケールダウンできるため、ピーク時には最適なパフォーマンスを確保し、静かな時間帯にはコスト効率を確保できます。

結論

ソースコード分析やテスト自動化からトリアージ、修復、レポート作成、監査まで、組織がデータ侵害を回避したいのであれば、解決すべきことがたくさんあります。HCL AppScan 360° は、これらの課題を管理し、Digital+ エコノミーで競争するためのツールと柔軟性の両方を組織に提供するようになってきています。

お問い合わせやデモの依頼はこちらのフォームまでお願いします。業界をリードするすべてのアプリケーションセキュリティーテスト・ソリューションの詳細はこちらをご覧ください。

2024/7/12 - 読み終える時間: ~1 分

2024年7月10日、HCL AppScan 10.6.0 をリリースしました。

• リリース情報: https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0113788
• 新機能: https://help.hcltechsw.com/appscan/Standard/10.6.0/ja/r_WhatsNew001.html
• システム要件: https://help.hcltechsw.com/appscan/Standard/10.6.0/ja/r_SystemRequirements000.html
• 既知の問題: https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0113787