start portlet menu bar end portlet menu bar
  • Contact us

    • 成果

    • ゼロ設定によるデプロイメントプロセス

    • SDLC の既存プロセスを活用

    • 詳細なセキュリティ脆弱性の記録

    顧客

    • 業界: 情報テクノロジー

    • 製品: HCL AppScan

    • 地域: North America/US

    概要

    • パート 1

      課題

      顧客は、以下のビジネス上の課題に直面していました。

      現在の SDLC プロセスを中断することなく、製品のセキュリティ保護を強化すること。

      新バージョンの出荷を遅らせる可能性のあるセキュリティ問題の発生リスクを低減すること。
    • パート 2

      解決策

      IAST を顧客の既存の QA プロセスに統合し、自動テスト、手動テスト、健全性テストを活用して、アプリケーションセキュリティ・テスト (AST) のカバレッジを拡大し、DevOps を DevSecOps に変革します。
    • パート 3

      結果

      IAST エージェントによって報告される、完全なコールスタックやエクスプロイトの例などの詳細なセキュリティ問題の記録により、AST のカバレッジと修復プロセスが改善されました。

    課題

    IAST のビジネスケース

    同社は、SDLC の一部として DAST を主に後期段階で使用していました。この一般的な手法は良い結果をもたらしましたが、いくつかの欠点もありました。

    • 重大なセキュリティ脆弱性が発見された場合、DAST が新バージョンの出荷前の最後のステップの 1 つとして導入されていたため、リリースが遅延していました。DAST スキャナーは詳細な情報を提供しないため、セキュリティ脆弱性の修正作業に多大な手間がかかっていました。
    • コードの記述から脆弱性の発見までにかなりの時間差がありました。

    デプロイメントプロセスには驚きました。Tomcat に WAR ファイルをデプロイするよりも、もっと複雑な作業になると思っていました。

    DevOps チーム、テクニカルマネージャー

    ソリューション/解決策

    IAST の統合

    同社は、コードベースの規模と複雑さにより、広範な品質保証 (QA) プロセスを採用しています。QA プロセスには、単純な健全性チェックから複雑なエッジケースまで、自動テストと手動テストが含まれています。また、新しいバージョンがリリースされるたびに機能が追加され、そのたびに QA プロセスにさらなるテストが導入されています。

    QA インフラストラクチャは Docker ベースで、Jenkins を使用して調整されています。チームは既存のコンテナを変更したくなかったため、アプリケーションのビルドと公開が正常に完了した後、AppScan の API を利用してエージェントをダウンロードし、Web サーバーにデプロイするシンプルなスクリプトを使って IAST を統合することにしました。

    問題ごとに受け取る情報量は、優先順位付けと修復プロセスに役立っています。

    システムアーキテクト

    結果

    効果

    開発者が真っ先に報告した大きなメリットは、セキュリティ脆弱性に関する情報量でした。問題の原因となったコード行と、それを引き起こしたエクスプロイトの例がわかることで、修正作業が大幅に削減されました。QA プロセスは開発プロセスと隣接しているため、セキュリティ問題に対処する際、新しいセキュリティ脆弱性をもたらしたコード変更が開発者の頭に新鮮に残っています。

    セキュリティチームが報告したもう 1 つのメリットは、QA プロセスにより SDLC の早期段階で問題が解決されるようになったため、DAST スキャンで検出される問題が減少したことです。

    メンテナンスの観点から、セキュリティチームと DevOps チームは、IAST エージェントの統合が単一の簡単なスクリプトだけで済み、エージェント自体がエバーグリーンである (自動的に更新される) ことに好印象を持ちました。また、QA チームは、新機能を開発するたびに新しいテストを追加できるため、新しいバージョンごとに AST カバレッジを常に最新の状態に保つことができる点も素晴らしいです。このプロセスは、SDLC 自体の副産物として、継続的に改善されています。

    会社について

    サイバーセキュリティ分野は機密性が高いため、このケーススタディでは会社名を非公開とさせていただきます。同社は、IT 市場におけるソフトウェア企業で、中小企業/大企業向けにサービスを提供しています。

    このケーススタディで使用したテクノロジスタックは次のとおりです。

    • Java
    • Tomcat
    • Docker
    • Jenkins
    ストーリーをダウンロード

    関連機能

    Business & Industry Applications

    Business & Industry Applications

    組織の効率性に新たなベンチマークを設定するように設計された堅牢なビジネスアプリケーション。マーケティング、eコマース、バリューチェーン、行動に関するインサイトを網羅しています。

    詳細はこちら
    AI and Intelligent Operations

    AI and Intelligent Operations

    AI と自動化をシンプルさ、セキュリティ、使いやすさと組み合わせることで、情報に基づいた意思決定、市場動向の予測、俊敏性と効率性の向上をこれまでにないレベルで実現します。

    詳細はこちら
    Total Experience

    Total Experience

    Total Experience(TX)ソフトウェアは、カスタマーエクスペリエンス(CX)、従業員エクスペリエンス(EX)、ユーザーエクスペリエンス(UX)、マルチエクスペリエンス(MX)を組み込んで、組織が直面する最も複雑な課題を解決するために最高の相互接続を実現します。

    詳細はこちら
    Data and Analytics

    Data and Analytics

    複雑なデータを明確で実用的なインサイトに抽出するために必要なツールで、データパターンと市場分析を通じて、結果を予測し、顧客をプロファイリングし、運用を最適化し、新たな機会を特定します。

    詳細はこちら
    Cybersecurity

    Cybersecurity

    脆弱性の検出、軽減、修復のソリューションにより、アプリケーションからエンドポイントまで安全なDevOpsとコンプライアンスを実現します。

    詳細はこちら
    sovereign-collaboration

    Sovereign Collaboration

    Sovereign Collaborationソフトウェアは、データの再利用よりも自律性を戦略的に優先します。私たちは機密情報の重要性を理解しており、それを保護するための安全で柔軟なソリューションを設計しました。

    詳細はこちら