HCL AppScan: モバイルアプリ: デバイス上で動作しているものよりもより深く

2021/3/25 - 読み終える時間: ~1 分

Mobile Applications: Much More Than What Runs on Your Device の翻訳版です。


モバイルアプリ: デバイス上で動作しているものよりもより深く

2021年3月23日

著者: Eitan Worcel / Product Lead, AppScan、Nabeel Jaitapker 共著: Product Marketing Lead, HCL Software

画像の説明

モバイルアプリケーションは、ビジネスの拡大や潜在的な顧客へのアプローチを可能にするものであることは誰もが知っています。

しかし、モバイルは、セキュリティの脆弱性を利用して利益を得ようとする悪意のある行為者にとって、脅威のベクトルを拡大しています。

悪意のあるハッカーとの戦いにおいて、企業は、モバイル操作に起因する脅威からしっかりと保護されていることを確認する必要があります。しかし、忘れがちなのは、モバイルからの脅威は、ユーザーがプロバイダーのアプリストアからダウンロードして自分の端末にインストールするクライアント側のモバイルアプリケーションの脆弱性に限らないということです。より大きなリスクは、バックエンドで実行され、クライアント側のアプリケーションからのリクエストを処理するサービスにあります。

HCL AppScan は、クライアント側のモバイル・アプリケーションとサーバー側の Web サービスの両方を、アプリケーション・セキュリティのテスト技術を組み合わせてスキャンすることをサポートしているため、モバイル・アプリケーションのランドスケープを適切にテストするための完全な技術セットを提供できる唯一のソリューションです。

例えば、開発者は、SAST (Static Analysis Security Testing) を使って自分のコードにセキュリティ上の脆弱性がないかどうかを簡単に調べることができますし、SCA (Software Composition Analysis) を使って自分のアプリケーションにインポートするサードパーティーのコンポーネントに既知の脆弱性がないかどうかを評価できます。

サーバーサイドでは、SAST と SCA に加えて、AppScan では Dynamic Analysis Security Testing (DAST) を使ってバックエンドサービスをスキャンできます。この DAST は、悪意のあるハッカーが使用するのと同じアクションを模倣します。また、インタラクティブ・アナリシス・セキュリティ・テスト (IAST) では、アプリケーションが操作されているときの動作を監視することができ、外部に露出しにくい脆弱性を検出することができる、別の層のテストが可能です。

ここ数年の AppScan を追っている人は、クライアント側のモバイルアプリケーションをスキャンする HCL AppScan on CloudのMobile Analyzer にも精通していることでしょう。Mobile Analyzerは IAST 技術に依存していますが、ここ数ヶ月の間に、上述の SAST によるモバイル言語のサポートを導入したことで、この技術からの移行を開始しました。

SAST のメリット

パッシブ IAST は、ゼロタイムでセキュリティ分析を行います。その利点は、パイプラインの一部として実行し、QA チームがすでに実行している機能テストを活用する場合です。これは、Web アプリケーションや Web サービスでは非常に有効ですが、クライアントサイドのモバイルアプリケーションではあまり有効ではありません。このような制限を克服するために、AppScan では独自のクローラーを実装し、アプリケーションと自動的に対話するようにしました。この方法では、アプリケーションのスキャンに成功しましたが、当社の SAST スキャンがわずか数分またはそれ以下で完了するのに対し、スキャン時間は平均して1時間以上かかりました。

当社の IAST ソリューションでは、Swift、Objective-C、Android Java、Kotlin で書かれたiOSおよびAndroidアプリケーションしかスキャンできず、一般的なデバイス上で動作するアプリケーションに限られます。特定のAndroidメーカー向けに書かれたアプリケーションには対応していません。HCL の SAST ソリューションでは、上記の4つに加えて、ionic、React Native、Xamarin に対応しており、今後も言語やフレームワークの追加を予定しています。SAST では、デバイスにとらわれないため、どのデバイスであってもコードをスキャンできます。

前述のように、IAST はアプリケーションが操作されているときにそれを監視しますが、モバイル向けのIASTソリューションには実際のモバイルデバイスを使用する必要があります。そのため、Mobile Analyzerは当社のクラウドソリューションでしか利用できませんでしたが、SASTによるモバイルサポートを追加することで、HCL AppScan Sourceでも利用できるようになりました。

IAST や DAST のようなアプリケーション・セキュリティ・テストでは、実行中のアプリケーションをテストしますが、これは一面では SAST よりも正確ですが、他面ではスキャンが困難です。SAST のスキャンを成功させるために必要なのは、アプリケーションコードだけです。バックエンドサーバーをインストールする必要はなく、スキャナがバックエンドに到達できるようにしたり、ログイン認証情報を提供したりする必要もありません。実際には、アプリケーションをコンパイルする能力さえ必要ありません。

HCL Software では、HCL AppScan on Cloud を使用したモバイルアプリケーションの価値が非常に高まっていることを実感しています。是非、デモをご利用ください


AppScan on Cloud: 新しくなったユーザーエクスペリエンスについての解説動画公開

2021/3/24 - 読み終える時間: ~1 分

AppScan on Cloud は、クラウドサービスのため、機能改善を継続的に行っていますが、今回、機能向上を含め、より使いやすく改善されました。これを説明した5分の動画を作成しました。


HCL AppScan: 「継続的なセキュリティを包括的に提供」の解説記事掲載

2021/3/23 - 読み終える時間: ~1 分

HCL AppScan を開発プロセスに組み込み、継続的なセキュリティを維持していくには、プロセスのデザインやプランニングが重要です。この記事は、HCL AppScan の CTO である Collin Bell による、継続的なセキュリティを実現するために必要な考慮事項の解説記事です。


AppScan 事例: DevOps に AppScan を組み込み、セキュアなコードを繰り返し迅速なリリースを実現

2021/3/23 - 読み終える時間: ~1 分

HCL AppScan をインタラクティブ・アプリケーション・セキュリティ・テスティング (IAST) として、既存のQAプロセスに統合し、自動テスト、手動テスト、サニティ・テストを活用することで、アプリケーション・セキュリティ・テスト (AST) の適用範囲を拡大し、DevOps を DevSecOps に変革することに成功した事例です。


HCL AppScan on Cloud の新しい外観について

2021/3/23 - 読み終える時間: 2 分

Presenting a New Look for HCL AppScan on Cloud の翻訳版です。


HCL AppScan on Cloud の新しい外観について

2021年3月22日

著者: Julie Reed / Senior Product Manager

画像の説明

AppScan on Cloud の Web エクスペリエンスにはいくつかの大きな改善点があります。それは、サービスのさまざまな領域にきれいで一貫したインターフェースをもたらすだけでなく、より重要なこととして、より良い可視性、使いやすさ、そして修正するためのサンプルコードを含む開発者中心の新しいアドバイザリーを提供します。

新しい折りたたみ式のサイドメニューを導入し、どのページからでも簡単に移動できるようになりました。全体を通して、ユーザーは新しい情報のグリッド (表) を見ることができ、自分の好みに合わせて列を追加したり削除したりできます。また、アプリケーションリストや課題ビューなど、表示可能な各列はソート可能です。

ユーザーは、ページ上部のパンくずを使ってすべての異なるビュー間を移動することができ、ページへの直接のリンクを許可されたユーザーと共有できます。例えば、メールやチャットで特定の課題へのリンクを直接、他のチームメンバーに送れます。

単一のアプリケーションページには、現在のリスク評価、スキャン状況、課題、共通の課題タイプなど、大量の情報を一目で確認できるダッシュボードが用意されています。最近のスキャン結果やチームメンバーのコメントを確認し、問題に直接アクセスして対策を講じることができます。

AppScan ダッシュボード 画像の説明

ダッシュボードのグラフでは、基本的なデータを簡単に掘り下げられます。おなじみの「すべての問題」、「修正グループ」、「スキャン」、「IAST」タブは、ダッシュボードの上部にあるリンクに置き換えられました。

スキャン作成ウィザードが更新され、アップロードされた設定を使用して DAST スキャンを作成するための新しいフローが追加されました。 スキャンウィザードとレポートウィザードはすべて整理され、異なるタイプ間で類似した情報を簡素化しました。

ポリシー管理は再設計され、可視性が向上し、カスタムポリシーの作成や異なるアプリケーションとのポリシーの関連付けが容易になりました。AppScan on Cloud には、アプリケーションのコンプライアンスを監視するために使用できる、業界や規制に関する追加のポリシーが含まれるようになりました。

ベースラインポリシーはアプリケーションのページに移動し、チームがそのアプリケーションに必要なベースラインを簡単に設定または更新できるようになりました。 トリアージの管理にベースラインポリシーを使用していない場合は、検討してみてはいかがでしょうか。

これらのハイライトに加えて、課題の詳細表示が強化され、ユーザーは課題のリストを移動する際に開いたままの右側のペインで課題情報を確認できるようになりました。アドバイザリーと改善策のコンテンツはすべて新しく、開発者を中心とした内容になっています。また、「修正方法」のセクションには、開発者が必要とするすべての情報が含まれているほか、さまざまなプログラミング言語の情報やサンプルコードを見ることができるオプションもあります。

画像の説明

これらの新しいユーザー体験は、毎月改善されていくことが何よりのニュースです。

そしていつものように、HCL AppScan チームは皆さんからのフィードバックやアイデアをお待ちしています。

また、新しいUXのショートプレビューご覧ください。


HCL AppScan: 事例ページの公開

2021/3/18 - 読み終える時間: ~1 分

HCL AppScan の事例ページを追加しました。まずは 1 件を掲載しています。



HCL AppScan SAST Agent Technology Preview を開始しました

2021/3/8 - 読み終える時間: ~1 分

2021年3月5日、HCL AppScan SAST Agent Tech Preview 1.0.0 をリリースしました。HCL Software License Management Portal からダウンロードできます (適切なサポート保守契約とダウンロード権限が必要です)。

HCL AppScan SAST Agent Tech Preview 1.0.0 とは

  • HCL AppScan SAST Agent は、ユーザーが Docker コンテナを使用してソースコードのスキャンを実行することを可能にするものです。
  • ユーザーはコンテナの形で新しいスキャンエンジンを作成することができるため、ユーザーは並列にスキャンを実行でき、効率的に作業を行えます。
  • 並列スキャンを実行するためには、Dockerホストマシンに十分なリソースが必要です。

注意点

  • コードおよびその他の成果物は、進行中の作業の技術プレビューです。
  • 今回のリリースでは Linux 版のみが提供されます。
  • この技術の一部は、本番システムで使用するべきではありません。これは、テストとデモンストレーションのみを目的としています。
  • このソリューションは保証されておらず、通常の HCL AppScan サポート窓口ではサポートされません。
  • 詳細は付属の Readme およびドキュメントを参照してください。

このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。

Tags

Accelerate Ambassador AoC AppDev Pack AppScan ASoC beta BigFix BigFix 9.5 BigFix_Wiki branding Client Applicatin Access cloud Cloud Apps Cloud Native Commerce community companion Compass compliance Connections Connections 6.5 ConnectionsDocs Connnections developerWorks DevOps DevOps.Launch.AppScan Digital Experience document Doino Volt Domino Domino AppDev Pacl Domino Volt DQL dW dx Enterprise Integrator event fix fix_list fixlist forum General guide HCAA HCL Ambassador HCL OneTest Embedded HCL Z and I Emulator HCL Z and I Emulator for Transformation hints_and_tips history IBM_i ID_Vault iNotes ios ios13 ipad iPhone Launch Launch.DevOps LEAP Link logo MarvelClient mobile mui nds2019 ndv12beta News Nomad Nomad Mobile Nomad Web Notes Notes/Domino Notes/Domino 10 Notes/Domino 11 Notes/Domno notescons Now on_premises OneDB OneTest osaka press_release relay RTist SafeLinx Sametime Sametime 11 SoFy support survey system_requirement techtek Traveler Traveler 10 Traveler for Microsoft Outlook traveler.zip Unica Unica Discover Unica Interact UrbanCode Deploy UrbanCode Velocity v11 V12 Verse Verse Mobile Verse On-Premises VersionVault Volt Webinar win7 youtube Z Z ABEND Investigator Z and I Emulator Z and I Emulator for Web Z and I Emulator for Web Client Z Asset Optimizer ZAO ZIE ZIE for Web ZIE for Windows ZIETrans ZIEWeb うるう年 イベント ウェビナー ガイド クラウド クラウド終了 サイジング サポート サポート技術情報 サポート期間 サポート終了 セキュリティー セミナー ダイバーシティー ダウンロード テクてく テクてく Lotus 技術者夜会 ニュース ノーツコンソーシアム バージョンアップ パフォーマンス パートナー ベータ ポートフォリオ ライセンス 互換性 出荷日 各種ご案内資料 研修