2023/5月/29 - 読み終える時間: ~1 分

API Scanning with DAST and IAST in AppScan's Next Lunch N' Learn の翻訳版です。

ウェビナー AppScan's Next Lunch N' Learn で DAST と IAST を使った API スキャニングを紹介します

API スキャンのための IAST（Interactive Application Security Testing）に関する有益なウェビナーに参加し、この最先端技術を活用してセキュリティテストを強化する方法について学びましょう。このセッションでは、IASTの基本的な説明と、自動郵便集金スキャンと組み合わせたその応用について説明します。

IASTとQAによる既存プロセスの活用、機能テストのセキュリティテストへの変換、IASTによるDAST（動的アプリケーションセキュリティテスト）スキャンの強化など、関連するさまざまなユースケースを専門家パネルが解説します。

より多くの領域をカバーし、さらなる問題を検出する方法や、セキュリティ問題に関して実用的な情報を得る方法などを学ぶことができます。IASTを使えば、効果的なセキュリティ・テストに不可欠な、完全なコールスタックとソースからシンクまでのビューを得ることもできます。

さらに、複数の問題を1つのグループに統合し、データ駆動型のトリアージプロセスと優先順位付けを可能にする、問題相関プロセスについてもご紹介します。

IASTでセキュリティテストのスキルを向上させるこの機会をお見逃しなく。5月31日に開催されるウェビナーへの参加をご希望の方は、今すぐご登録ください！

2023/4/17 - 読み終える時間: ~1 分

HCL AppScan はソースコードやWebアプリ、組み込みアプリ等の脆弱性診断ツールです。

2023/3/29 のブログポスト「HCL AppScan、アプリケーションセキュリティテストソリューション3種のバージョン 10.2.0 をリリース」、および 2023/4/7 の「HCL AppScan Standard 10.2.0 で設定用UIを刷新」でお伝えした HCL AppScan 10.2.0 Standard の評価版を用意しました。トライアルガイドも付属していますので、カンタンに試すことができます。是非、お試しください。

詳しくは製品ページから。

2023/4/7 - 読み終える時間: 4 分

HCL AppScan Standard Reinvents the Configuration UI in Version 10.2.0 の翻訳版です。

HCL AppScan Standard 10.2.0 で設定用UIを刷新

2023年4月6日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

AppScan Standardは、セキュリティ専門家やペンテスター向けに設計されたDAST（Dynamic Application Security Testing）ツールで、ターゲットアプリケーションやAPIを自動的にクロールして脆弱性の有無をテストします。効率的なDASTスキャンは、優れたスキャン設定から始まりますが、これまで、一部のユーザーにとって、これは困難な作業でした。

しかし、これまでは、一部のユーザーにとって難しい課題でした！AppScan Standard 10.2.0のリリースでは、新しい設定UIにより、基本的な作業と高度な作業の両方のワークフローが改善され、必要なものをより速く見つけることができ、異なる設定がスキャンに与える影響をより理解できるようになっています。

ここでは、AppScan Standard 10.2.0の新しいUIと機能を簡単に紹介します：

埋め込みビュー

コンフィギュレーションは、アプリケーションのもう一つのビューとして機能するようになり、すべてのコンテンツへの可視性が高まりました。ナビゲーションから簡単にアクセスでき、データ、課題、コンフィギュレーションビューの間で柔軟に切り替えられます。コンフィギュレーションを更新する際、データまたは課題ビューで詳細を確認し、コンフィギュレーションで行ったことに正確に戻ることができるようになりました。

スキャン中のビューモード

また、埋め込みビューでは、スキャンの実行中に、スキャンに影響を与える設定の詳細を表示できます。スキャンを一時停止することなく、いつでも設定ビューをクリックできます。

コンフィギュレーションのプリセット

初心者の方にも、上級者の方にも、最適なプリセットをご用意しています。プリセットには、あなたの必要性に応じて設定項目をフィルタリングしたビューが含まれています。ホーム画面から直接操作したいプリセットを選択するだけで、必要に応じて簡単にプリセットを切り替えられます。フルコンフィギュレーション以外に、Web essentials と API essentials という 2 つのクイックプリセットが用意されています。これらのオプションを使用すると、わずか数ステップでWebアプリケーションまたはAPIスキャンを構成できます。(ヒント: 今後、より興味深いプリセットが登場する予定です!)

より速く物事を見つける

より直感的なグループ分けで設定項目を再編成し、探しているものを簡単かつ迅速に見つけることができるようになりました。また、検索ボックスを使用すると、使用している特定のプリセットにない項目も含めて、特定の項目を見つけられます。

API スキャン設定

postman コレクション、graphQL スキーム、OpenAPI ディスクリプションファイルのいずれを使用していても、すべてのAPI能力がスキャン設定の一部になるようになりました。さらに多くの自動API能力が近日中に登場する予定です。

ご意見をお聞かせください

お客様のご協力を得て、動的解析の革新と改善の機会を見出しています。AppScanチームは一貫して初期の設計やアイデアを共有し、設計パートナーから素晴らしいフィードバックを得ています。

私たちは、あなたの考えやフィードバックを共有するために、あなたに参加してもらいたいと考えています。あなたが影響を与えることができる方法がいくつかあります：

• デザインパートナーになり、市場に投入する前の初期のデザインや新しい開発についてフィードバックしてください。
• 新しいアイデア、フィードバック、リクエストは、製品のフィードバックボタンからお送りください。

HCL AppScan Standardの詳細については、www.hcltechsw.com/AppScan、今すぐ無料トライアルを開始してください。

2023/3/29 - 読み終える時間: 3 分

HCL AppScan Releases Version 10.2.0 for Three Application Security Testing Solutions の翻訳版です。

HCL AppScan、アプリケーションセキュリティテストソリューション3種のバージョン 10.2.0 をリリース

HCL AppScanは、バージョン10.2.0 を新たにリリースし、革新的なアプリケーションセキュリティテストへの揺るぎないコミットメントを示し続けています。オンプレミスの3つの製品は今回、重要な機能とユーザーエクスペリエンス機能をアップデートしており、これらはすべて広範なセキュリティ調査と顧客からのフィードバックに基づくものです。これらのアップデートはすべて、今日のセキュリティニーズだけでなく、将来のセキュリティニーズにも対応できるよう、将来を見据えた革新的なロードマップの一部です。

それでは、見ていきましょう。

HCL AppScan Standardは、業界をリードするDASTテクノロジーを搭載したオンプレミスの動的解析製品です。バージョン10.2.0の一部として、新しいアップデートは以下の通りです：

CVSS 3.1スコアリング

• 問題の深刻度と CVSS スコアは、CVSS 3.1 のスコアリングに基づくようになりました。
• 以前の HCL AppScan バージョン（2.0 スコアリングを使用）で実行されたスキャンは、3.1 スコアリングを適用することもできます（一部の問題のスコアと深刻度が変更される場合があります）し、そのまま表示することもできます。
• CVSS 3.1に準拠し、問題の深刻度として新たに「クリティカル」が追加されました。

新しい設定ビュー

• 従来の設定ダイアログボックスは、刷新され、再編成され、メインユーザーインターフェースのネイティブビューとして統合されました。
• Web API スキャンは、新しい設定ビューで設定されるようになりました（API を参照）。
• スキャンウィザードは、新しい設定ビューのプリセットに置き換えられ、迅速なセットアップのために不可欠なオプションを表示します。

規制コンプライアンスレポートテンプレートを更新しました

• 米国カリフォルニア州消費者プライバシー法（CCPA）- AB-375。

このリリースでは、新しいセキュリティルールが追加されています

• MaxLengthVuln - 非常に大きな制約を持つ "maxlength "属性の検索
• LeakedSecretTokens - レスポンスに含まれるシークレットトークンを検索する
• SecurityRule_AbstractContentSecurityPolicyRule - 新しい抽象的なCSPルールが追加された（共通検出とミューテーションを含む）
• attNoHttpsRedirection - httpスキームが使用されている場合にhttpsリダイレクトを行うかどうかをチェックする
• attText4Shell - Text4Shellの脆弱性（CVE-2022-42889）に対する新しいルールを追加しました。

• attGraphqlIntrospectionMutation - GraphQLでイントロスペクションが有効かどうかをチェックします。

  

HCL AppScan Enterpriseは、SAST、DAST、IASTに加え、広範なリスク管理の可視化と監視を提供する拡張性の高いオンプレミス型アプリケーションセキュリティテストツールです。バージョン10.2.0の一部として、新しいアップデートが含まれています：

CVSS 3.1スコアリング

• 問題の深刻度と CVSS スコアは、CVSS 3.1 スコアリングに基づくようになりました。新しいスキャンはすべてCVSS 3.1スコアリングに基づきます。アップグレード前のスキャン結果は、再スキャンまで CVSS 2.0 のスコアリングを使用して保存されます。詳細については、CVSS 3.1仕様書を参照してください。

ユーザーコントロールが改善されました

• グローバルオプションが有効な場合、読み取り専用ユーザーは課題に対してコメントできるようになりました。
• 課題ステータスの変更を制限するためのきめ細かいアクセス制御。
• 課題のステータスが変更された場合、コメントすることが義務付けられました。
• スキャンの結果を報告するための新しい API を追加しました。APIを使用します： /issues/(jobID)
• アクティビティログを更新し、マルチレベルのフィルタリングなどを改善しました。

規制遵守レポートテンプレートを更新しました

• 米国】カリフォルニア州消費者プライバシー法（CCPA） - AB-375。

このリリースでは、新しいセキュリティルールが含まれています

• MaxLengthVuln - 非常に大きな制約を持つ "maxlength "属性の検索
• LeakedSecretTokens - レスポンスに含まれるシークレットトークンを検索する
• SecurityRule_AbstractContentSecurityPolicyRule - 新しい抽象的なCSPルールが追加された（共通検出とミューテーションを含む）
• attNoHttpsRedirection - HTTPスキームが使用されている場合に、HTTPSリダイレクトを行うかどうかを確認する。
• attText4Shell - Text4Shellの脆弱性(CVE-2022-42889)に関する新規ルールを追加しました。
• attGraphqlIntrospectionMutation - GraphQL APIでイントロスペクションが有効かどうかをチェックする。

• oHttpsRedirection - HTTPスキーム使用時のHTTPSリダイレクトチェック追加

  

HCL AppScan Sourceは、SASTテクノロジーとIFA機械学習を搭載し、誤検知を98%削減するオンプレミス型の静的解析製品です。バージョン10.2.0の一部として、新たなアップデートは以下の通りです：

機能強化および新機能

• ライセンスコンフィグファイルでライセンスの非アクティブ時間を設定することができます。
• HCL AppScan Source CLIでは、フォルダをスキャンする際に、ソースコードのみのスキャンが可能になりました。
• プロジェクトファイルの拡張子環境設定で、利用可能な言語/プロジェクトタイプをタブではなく、ドロップダウンリストに表示するようになりました。
• Red Hat Linux 8.6 をサポートしました。
• .NET 7 をサポートしました。

HCL AppScan SourceとHCL AppScan Enterpriseの相互運用性に関する追加情報

• HCL AppScan Enterprise バージョン 10.2.0 は、CVSS 3.1 のサポートをアップグレードしました。HCL AppScan Sourceのユーザーとして、HCL AppScan Enterpriseバージョン10.2.0にアップグレードした場合、CVSS 3.1の仕様の性質上、深刻度の値に相違が生じる場合があります。

2023/3/23 - 読み終える時間: ~1 分

Recap: 2023 Agile International Conference の翻訳版です。

2023 Agile International Conference を振り返って

2023年3月21日

著者: Rob Cuddy / Global Application Security Evangelist

HCLSoftwareは、3月9日と10日にフロリダ州マイアミのフロリダ国際大学キャンパスで開催された 2023 Agile International Conference のダイヤモンドスポンサーを務めました。このイベントには、開発者、スクラムマスターから学生まで、350人以上が参加しました。このスポンサーシップの一環として、HCLSoftwareは2つの講演セッションを行い、350人以上の参加者のために他の多くのセッションを主催しました。

2023 Agile International Conference での期間中、私たちは驚くべきブランド認知を楽しみました。HCLSoftware は Agile International Conference のウェブサイト、参加者に配られたTシャツの裏、グラハムホールのスポンサーとして紹介されました（一日中、部屋に当社のロゴが表示されていました）。また、このイベントの紹介と閉会式で、私たちは口頭で表彰されました。

HCLSoftware は、さまざまな取り組みを通じて、業界のリーダーやプロフェッショナルとつながることができました。まず、私たちの Rob Cuddy と Colin Bell がホストを務める Application Paranoia Podcast のライブポッドキャストエピソードを実施し、その他にも2つのポッドキャストを実施しました。このポッドキャストについて詳しくは、最近のブログ記事をご覧ください。

さらに、HCLSoftwareのセッション Agile Has Gotten You Close - Value Stream Management Can Take You Over the Finish Line は、ビジネスアジリティトラックの一部として、ソリューションアーキテクトのJon Harding氏によって行われました。Jonは、仕事の流れを可視化し、最適化するためのアクションを取ることで実現できる利益について活発な議論を行い、価値の流れ管理がどのようにボトムラインのビジネスインパクトを達成するために使用できるかを参加者に示しました。

本イベントを成功に導いてくださった参加者、スポンサー、ボランティアの皆様に感謝申し上げます。

HCLSoftwareの詳細、または次回の開催地についてはこちら をご覧ください。

2023/3/23 - 読み終える時間: ~1 分

Application Paranoia Begins Season Four with a Live Podcast Recording from the Agile International Conference の翻訳版です。

アプリケーションパラノイア、シーズン 4 開始！Agile International Conference からライブポッドキャストを収録

2023年3月21日

著者: Rob Cuddy / Global Application Security Evangelist

Application Paranoia ポッドキャストは、アプリケーション・セキュリティとDevSecOpsをテーマにしたインタビューとディスカッションの4シーズン目を最近開始しました。2023年アジャイル国際会議は、フロリダ州マイアミのフロリダ国際大学キャンパスで3月9日と10日に開催され、完璧な会場となりました。HCLSoftwareはこのカンファレンスのダイヤモンドスポンサーとして、2つの講演セッションを行い、350人以上の参加者のために他のいくつかのセッションを主催しました。

メインステージの2つの講演セッションのうちの1つは、Application Paranoia ポッドキャストのホストである Rob Cuddy と Colin Bell にとって、この初のライブ録音をホストする絶好の機会となった。ゲストに Wingman Software 社のアジャイルトレーナー兼コーチの James Grenning 氏、Allvue Systems 社のソフトウェアエンジニアリング担当ディレクターの David Ralph 氏を迎え、アジャイル開発に関するさまざまなトピックについて活発な議論が交わされました。

アジャイル開発がもたらした影響、アジャイルと DevOps の関係、アジャイルとセキュリティの関係、アジャイルを取り巻く将来のイノベーションなど、いくつかの論点が挙げられました。

アジャイルコーチ兼トレーナーの Marcelo Lopez 氏は、このラウンドテーブル・ディスカッションからいくつかの重要なポイントを得たという。彼は、セキュリティは「...みんなの仕事だ」というDavid Ralphの発言を気に入ったようです。DevOpsでは、エンドツーエンドのセキュリティは当たり前なのです」。また、Colin Bell氏とJames Grenning氏による、アクティブスキャンと変異テスト (your built-in chaos monkeys) に関する活発な議論も気に入ったようです。Rob Cuddy は、攻撃されにくいソフトウェアを作るための方法として、共同プログラミング（モブプログラミング）の重要性を、「モブ・アフターを避けるためのモブ・ビフォア (The mob before to avoid the mob after)」という遊び心で表現しています。

シーズン4/エピソード1を今すぐ聴く

このポッドキャストの録音は、appscan.buzzsprout.com でそのまま、または主要なポッドキャストプラットフォームのApplication Paranoiaポッドキャストを通して聞くことができます。Spotify、Google Podcasts、Apple Podcasts、Overcastなど、お好きなポッドキャストプラットフォームでご購読ください。また、Colin、Kris、Robの3人は、@AppParanoiaというハンドルネームでTwitterでも情報を発信しています。

また、アジャイル国際会議全体についても、Jonathan Hardingによる価値ストリーム管理に関する素晴らしいプレゼンテーションの詳細を読むことができます。

HCL AppScan のアプリケーションセキュリティテストソリューションの詳細については、こちら をご覧ください。

2023/3/23 - 読み終える時間: 2 分

DevSecOps Culture Under the Microscope at OWASP 2023 Global AppSec, Dublin の翻訳版です。

OWASP 2023 Global AppSec が Dublin で開催: 細かなところまで見る DevSecOps の文化

2023年3月21日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

ダブリン 海辺の街。アイルランドの首都。ギネスの故郷。そして、最近では、OWASP 2023 Global AppSec Conferenceの開催地となりました。2月中旬に開催されたこの4日間のイベントでは、教育トレーニング、セキュリティ業界の専門家による会議、HCL AppScan を含む多くのテクノロジープロバイダーによるブースを備えた展示会場が設けられました。

OWASP (Open Worldwide Application Security Project) は、ソフトウェアのセキュリティ向上に取り組む非営利財団です。コミュニティ主導のオープンソースソフトウェアプロジェクトを通じて、世界中に数百のローカルチャプターを持つOWASP財団は、開発者や技術者がウェブを安全にするための情報源となっています。

セキュリティの分野では、OWASPはThe OWASP Top 10で最もよく知られています。これは、開発者とウェブアプリケーションセキュリティの実務者のための標準的な認識文書で、ウェブアプリケーションの最も重大なセキュリティリスクに関する幅広いコンセンサスを示しています。

このイベントのハイライトは、脅威のモデル化、ハッキング、API（Application Programming Interfaces）の防御、人工知能など、アプリケーション・セキュリティに関する幅広いトピックを扱う一連のスピーカーです。

特に目立った講演は、Kerr VenturesのCEOでApplication Security PodcastのホストであるChris Romeroによる「Ten DevSecOps Culture Failures」でした。クリスは25年の経験をもとに、DevOps文化全体におけるセキュリティの役割を改善する方法について、ハイレベルな議論を展開しました。以下は、この講演から得たいくつかの重要なポイントです。

• 全員（開発者）にセキュリティの基礎を教えるが、コーディングもセキュリティに教える。クリスは、セキュリティチームが開発者やDevOpsと別々に仕事をしていた時代はとっくに終わり、DevSecOpsを成功させるには、全員がお互いの役割と責任を理解し、より協力的なアプローチが必要だと力説しました。

• "NO を捨てて、YES を試す" セキュリティはゲートキーパーであることを意識せず、セキュリティのベストプラクティスを盛り込んだ革新的なアイデアを開発者に提供する方法を模索する必要がある。クリスは、共感することがこの変化の重要な要素であることを示唆し、開発者がセキュリティツールを使用する際に直面する課題をよりよく理解するために、開発者の作業中に一緒に座る時間を持つことを聴衆に勧めました。

• 重要でないセキュリティの知見で、誰の時間も無駄にしないこと。開発者が重要な脆弱性を示すわけでもない何百ものチケットに圧倒されないように、今あるツールを調整し、最小限のポリシーで新しいツールを導入してください。クリスは、セキュリティが開発者にツールを使ってもらいたいなら、まず彼らがそれを気に入る必要があり、それは、より少なく、よりインパクトのある発見を提供することで達成されると明言しました。

その他、脅威のモデリングの重要性や、サードパーティ製アプリケーションの脆弱性からパイプラインを保護するためのSCA（Software Composition Analysis）等のツールの統合など、興味深いトピックが取り上げられました。最後のコメントでは、50年後には、変化し続けるセキュリティツールそのものよりも、DevOpsの文化やそこに含まれる価値観や方法論の方がはるかにインパクトのあるものになるだろうと予測した。

YouTubeで講演全体を聞くには、ここをクリックしてください。

HCL AppScanは、安全なソフトウェアの開発に関して、開発パイプラインのすべての人がソリューションの一部となることを可能にするアプリケーションセキュリティテストツールの開発に取り組んでいます。詳細については、オンライン でご確認いただくか、今すぐ無料トライアル にご登録ください。

2023/3/14 - 読み終える時間: ~1 分

What you missed at OWASP Global AppSec Dublin 2023 の翻訳版です。

OWASP Global AppSec Dublin 2023 で見逃したもの

2023年3月13日

著者: Courtney Coleman / HCLSoftware

先日、アイルランドのダブリンで開催された OWASP's Global AppSec 2023 に参加する機会を得ました。このイベントは、業界の最新トレンドやテクノロジーを紹介するもので、複数のトレーニングデイに続いて、忙しい2日間の展示会が行われ、私たちにとって素晴らしい1年の始まりとなりました。

私たちのことを知りたいですか？AppScanが提供する最新の機能をすべてお見せするLunch N' Learnウェビナーを近日開催します。登録はこちらからどうぞa

私たちは展示会場に集まり、ハイテク業界の大手企業の代表者や意思決定者と話をする機会を得ました。また、業界のエキスパートが見識や専門知識を披露する魅力的なパネルディスカッションにも参加しました。

全体として、テックカンファレンスは私たちにとって素晴らしい経験でした。貴重な人脈を作り、最新のトレンドについて学び、この業界の未来と AppScan がサイバーセキュリティの世界でどのように波紋を広げていくかを垣間見ることができたのです。来年も参加するのが待ち遠しいです。