Hi [[ session.user.profile.firstName ]]

ご質問回答編 : Webアプリのセキュリティ・テスト、DASTや手動テストの課題とその解決手法 (IASTのご紹介)

CI/CDやDevOpsのプロセスにセキュリティ・テストを組み込む、DASTや脆弱性診断に代わる新たな手法としてIASTがあります。
5月にIAST解説セミナーを開催しましたが、その際に大変多くのご質問を承り、残念ながらお時間等の関係ですべてにお答えすることができませんでした。

そこで、頂いたご質問に対し改めて回答させていただき、さらにIASTに対する理解を深めていただくセッションを開催させていただきます。前回のセミナーにご参加いただけなかった方もご参加いただけます。また、先日リリースされた最新バージョン「2020.06」での機能追加についても簡単に紹介いたします。

主なご質問など
- DASTに比べてIAST Seekerの誤検知が少なくなる理由
- IASTを使いこなすには有償サービスなどが必須か
- 検出した不具合のソースコードにおける行指定など、どこまで見えるか
- 当日さらに追加でのQ&A

* 前回セミナーの内容は録画版(約60分)としていつでもご参照いただけます。ぜひ合わせて事前にご確認ください。
講演資料PDFはプレゼン画面下のAttachmentからダウンロードいただけます。
https://www.brighttalk.com/webcast/18289/425788
Recorded Jun 19 2020 60 mins
Your place is confirmed,
we'll send you email reminders
Presented by
日本シノプシス合同会社 ソフトウェア インテグリティ グループ セールスエンジニア 川原翔
Presentation preview: ご質問回答編 : Webアプリのセキュリティ・テスト、DASTや手動テストの課題とその解決手法 (IASTのご紹介)
  • Channel
  • Channel profile
  • 医療機器セキュリティ規格対策セミナー ―薬機法に適合できていますか? Nov 10 2021 7:00 am UTC 90 mins
    SGS ジャパン株式会社 河野 喜一様/日本シノプシス合同会社 大森健史・中野哲也
    従来、薬機法(*1)において、医療機器はJIS T 14971に従ったリスクマネジメントが要求されていましたが、2020年に改定されたJIS T 14971により、リスクマネジメントの対象にセキュリティ対策も含まれることとなりました。また、2020年12月24には厚生労働省の通知(*2)によって、プログラムを用いた医療機器の場合には、当該システムの不適切な動作等により生じる可能性のある危険性を、合理的に実行可能な限り除去又は低減できるよう、適切な手段が講じられていなければならないと定められ、経過措置が終了する2023年9月30日以降にはJIS T 14971:2020への適合が求められることとなります。
     
    本セミナーでは、
    SGSジャパンより、医療機器に必要なセキュリティ法規・規格、及び、JIS T 2304に適合したソフトウェア開発
    日本シノプシスより、セキュリティ対応に必要な脅威分析サービスおよびセキュリティ・テスト・ツールについてご紹介いたします。

    *1 医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律
    *2 薬生機審発1224 第1号「医療機器及び体外診断用医薬品のリスクマネジメントに係る要求事項に関する日本産業規格の改正の取扱いについて」
    ーーー
    セッション1:「医療機器のセキュリティ法規・規格と医療機器ソフトウェアにおけるセキュリティ対応」(16:00-16:20)

    SGSジャパン株式会社 C&P Connectivity Functional Safety
    プロジェクトマネージャ 河野 喜一様

     医療機器にはセキュリティ法規、関連規格があります。これらの医療機器セキュリティ法規・規格とともに、JIS T 2304医療機器のソフトウェア開発プロセスに従ったセキュリティ適用方法についてご説明いたします。
     また、規格の解釈は、海外でも通用するSGS-TUEVによるグローバルで通用する解釈を含めて、日本だけではなく世界で通用するためのポイントもご説明いたします。

    主な内容
    - 医療機器の法規・規格とセキュリティ
    - JIS T 2304とセキュリティ

    セッション2:「医療機器ソフトウェアにおけるセキュリティ対応と法規制対応 ―脅威分析およびプロセス構築支援」(16:20-16:40)

    日本シノプシス合同会社 ソフトウェア・インテグリティ・グループ マネージング・プリンシパル
    大森 健史

    国際医療機器規制当局フォーラム(IMDRF)のガイダンス「Principles and Practices for Medical Device Cybersecurity」で述べられているように、医療機器の機能と安全性を確保するためには、効果的なサイバーセキュリティ対策が重要です。脅威モデリング等によるリスク管理に始まり、セキュリティ・テスト、さらには出荷後のセキュリティ管理など、製品ライフサイクル全体にわたるサイバー・セキュリティ・プロセスの構築が求められています。
    本セッションでは脅威モデリングの基礎とシノプシスが提供する脅威モデリング・サービス、ならびにサイバー・セキュリティ・プロセス構築支援サービスをご紹介いたします。

    セッション3:「医療機器ソフトウェア開発における品質とセキュリティ・テスト」(16:40-17:00)

    日本シノプシス合同会社 ソフトウェア・インテグリティ・グループ シニア・セールス・エンジニア
    中野 哲也

    IEC 62304 では、医療機器ソフトウェアのリスクと品質に基づくソフトウェア開発プロセスを定義しています。即ち、ソフトウェアのリスクと品質を管理することは、医療機器開発に不可欠となってきています。また、IMDRF ガイダンスの適用も迫っており、クラスに関係無くサイバーセキュリティ対策が必要となってくると考えられております。
    ソフトウェア品質・セキュリティテストツールは、リスク管理と品質管理およびセキュリティ対策として利用することで、安全で信頼性の高いセキュアな医療機器ソフトウェア開発を実現することに役立ちます。

    Q&A(17:00-17:15)

    本オンラインセミナーにご登録いただきました参加者情報はSGSジャパン株式会社に提供され、プライバシーポリシーに従って適切に取り扱われます。SGSジャパン株式会社が主催するイベント、広告宣伝のご案内のため、郵送・E-mailによるダイレクトメールの送付や配信代行サービス、または電話でのご案内に利用する場合がございます。詳しくはSGSジャパン株式会社のプライバシーポリシーをご覧ください。
    https://www.sgsgroup.jp/ja-jp/privacy-at-sgs
  • 米国連邦政府の調達に関連したソフトウェア開発のモダンなセキュリティ対策 Oct 27 2021 7:00 am UTC 75 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ セールス エンジニアリング マネージャ 兜森 清忠
    2017年の米国F35戦闘機の情報を含む情報流出のニュースに驚きました。その問題は、米国連邦政府との主契約ではないサブ契約の関連企業からの情報流出であることが判明します。米国連邦政府は、連邦情報セキュリティマネジメント法(FISMA)の対象を連邦政府および業務委託を受けている民間企業にも広げてNIST SP800-171に準ずること求めており、セキュリティ対策も重要事項の一つとされています。

    本セッションでは、米国政府調達に関連するソフトウェア開発を行う企業のお客様を対象に、ソフトウェア開発のセキュリティ対策として、NIST SP800-53の菅理策を参照し、ツールの活用によるセキュアな開発と品質向上の効率化を図るソリューションを紹介します。

    主な内容
    - 米国連邦政府の調達に関する動向
    - ソフトウェア開発とNIST SP800-171の関連性
    - ソフトウェア開発に関連したNIST SP800-53セキュリティ管理策
    - Synopsysソリューションの活用例
    - Q & A
  • セキュアなアプリケーションの開発に寄与するDevSecOps、その開発環境は安全ですか? ~CI/CDパイプラインのセキュリティ診断サービスのご紹介 Oct 20 2021 7:00 am UTC 75 mins
    日本シノプシス合同会社 ソフトウェア・インテグリティ・グループ マネージング・プリンシパル 大森健史
    ソフトウェアの品質を確保しながらリリースのスピードを上げるために、CI/CDは非常に重要な役割を果たしています。そのCI/CDそしてDevOpsの環境にセキュリティを取り込むことで、よりセキュアなソフトウェアをリリース速度を落とさずに提供するDevSecOpsに取り組まれている企業も増えてきています。サプライチェーン・リスクにフォーカスが当たる中、CI/CD環境の利用をサプライチェーンにまで広げようという動きも見受けられます。でも、その開発環境自体はセキュアなのでしょうか?これまで焦点が当たることの少なかった開発環境のセキュリティ・リスクをチェックするためのソリューションをご紹介いたします。

    主な内容
    - 開発環境のセキュリティ
    - サプライチェーン・リスク
    - CI/CDパイプライン・セキュリティ診断
  • セキュリティテストとソフトウェア開発ライフサイクル(SDLC)の基礎 Recorded: Oct 13 2021 60 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニア プロダクト マーケティング マネージャ 松岡正人
    組み込みシステムなどのモノリシック・アーキテクチャのアプリケーションからマイクロサービス・アーキテクチャのアプリケーション開発まで、開発対象によってセキュリティテストはどのように組み合わせることができるでしょうか。SAST/DAST/IAST/SCA/Fuzzingなど異なるセキュリティテストの組み合わせ、また、開発パイプラインの構成の基本などについて概論します。

    モノリシック(アーキテクチャ)とは細分化されていないひとつのアプリケーションで、IoTやクラウドアプリなどは機能ごとに細分化され蘇結合によって動作するものはマイクロサービス(アーキテクチャ)とされています。機能単位での細分化ではなく、ドメイン単位での細分化されたものが「モダンアプリ」と言われ、ゼロトラストをアプリケーションに直接実装するのに適した構造になります。

    これらの違いを解説しつつ、それぞれの開発に適したSDLCの例と各セキュリティテストの目的と効果を示し、自分たちの開発プロセスで何が足りていないのか、考えていただけるようにすることで、より効果的なセキュリティテストの実践につなげていきます。
  • 金融サービスにおけるモバイル・アプリのセキュリティ ~UX向上とセキュリティ確保の両立~ Recorded: Oct 13 2021 42 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ マネージング・プリンシパル 大森 健史
    ※ 本セッションは2021年10月7日に開催されたセミナーインフォ主催「脅威が増すサイバー攻撃と金融機関のセキュリティ」にて講演いたしました日本シノプシスのセッションを収録したものです。本セッションに関するご質問は、Attachmentsタブにリンクがございますお問い合わせフォームよりお送りください。

    COVID-19により、金融サービスにおけるUXが窓口主体からモバイル・アプリへと大きくシフトし、モバイル・アプリの操作性の向上と迅速な新機能追加がUX向上に大きな役割を果たすようになりました。アプリ開発速度とリリース頻度をあげることが重視される一方、不十分なセキュリティ対策のままリリースされるアプリも生み出されています。本セッションでは、モバイル・アプリケーション開発におけるセキュリティの現状とその改善策について、シノプシスの調査結果を踏まえてご紹介いたします。
    1. モバイル・アプリケーションにおけるセキュリティの現状
    2. オープンソースソフトウェア利用時の注意点とSBOM(ソフトウェア部品表)
    3. 設計におけるセキュリティ問題と脅威モデリング
    4. セキュアなモバイル・アプリケーション開発のために
  • OpenChain(ISO/IEC 5230:2020)OSSコンプライアンス国際標準の徹底解説 Recorded: Oct 6 2021 57 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニア セールス エンジニア 吉井雅人
    ソフトウェアの開発においてオープンソース・ソフトウェア(OSS)は広く利用されています。一方で、サプライチェーンにおいては組織間でソフトウェアの納品、授受されるケースも増えていますが、それらのソフトウェアの中にもOSSは多数含まれています。ソフトウェアの頒布時にはライセンス条件を遵守する必要があるため、ソフトウェアに含まれているOSSを正確に把握する事が必須になってきています。OpenChain2.1として知られているISO/IEC 5230:2020は、オープンソース・ライセンス・コンプライアンスに準拠するためのプロセス管理標準です。
    本セミナーでは、ISO/IEC 5230:2020が策定された背景や内容を解説し、標準に準拠するためのプロセス構築のヒントをご紹介します。また、弊社のソリューションやBlack Duckを用いて、OSSの管理をどのように実践していくべきなのかベストプラクティスをご確認ください。
    主な内容
    - OSS活用の歴史とコンプライアンスの課題
    - OpenChain Project設立の背景
    - OpenChain ISO/IEC 5230:2020の解説
    - ソリューション活用によるOSS管理のベストプラクティス
    - Q&A
  • DevSecOpsの定着を妨げる課題とそれを解決するソリューションのご紹介 Recorded: Sep 29 2021 62 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニア セールス エンジニア 勝岡 宣彦
    ※本講演は9月1日に開催された回の再放送となります。本講演に関するご質問がございましたら、講演中または講演終了後にAttachmentsタブの中にあるお問い合わせフォームよりお送りください。

    DevSecOpsに取り組む中で、以下のような悩み・課題が上がっていませんか?

    ・セキュリティ・テストが開発プロセスを遅らせてしまっている
    ・開発とテスト工程でセキュリティ・テストに対するアプローチが異なっている
    ・プロジェクトの中に多くのアプリケーションやサービスが含まれているが全体の品質・セキュリティ状態が見えない
    ・多くのAppSecツールを導入しているが一元管理できていない
    ・セキュリティ・チームが全体を把握できていない

    Code DXを利用することで、プロジェクト全体・プロジェクト内の個別アプリ・ビジネスレベルそれぞれでのセキュリティ・リスクを可視化でき、開発のスピードを落とすことなくセキュリティ・チームがリスク分析を行い、対策実行に繋げることができます。
    本セミナーではDevSecOpsの課題を整理しつつ、デモを交えながらCode Dxプラットフォームのご紹介を行います。

    主な内容
    - DevSecOpsの課題の整理とCodeDxのご紹介
    - AppSecツールコネクターデモ(SAST, SCA, ISATツールの解析結果の取り込み)
    - 脆弱性の優先順位付けデモ(CWE Top25, OWASP Top10, PCI-DSS、等)
    - Q&A
  • ソフトウェア品質とソフトウェア脆弱性とソフトウェアビジネス Recorded: Sep 8 2021 35 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニア プロダクト マーケティング マネージャ 松岡正人
    ※こちらのセミナーは2021年7月にDevelopers Summit 2021 夏にて発表された同タイトルのセミナーと同じ内容となります。ご質問がございましたら、Ask a questionのウィンドウまたはAttachmentsタブの中のお問合せフォームのリンクからお送りください。後日担当の者より回答させていただきます。

    ソフトウェア品質とソフトウェア脆弱性とソフトウェアビジネス

    開発のスピードがビジネスの成否の鍵を握る現代のソフトウェア開発の現場では、MLやDLといった新しい技術を使いこなし、マイクロサービス化したシステムの断片組み合わせて市場や顧客のニーズを満たし、新しいサービスを立ち上げて市場を広げることが求められているが、一方で杜撰な設計や開発、不十分な保守や運用によって市場からの退場を余儀なくされるサービスも少なく無い。
    これらの失敗をいかに減らすか、そのために何を考える必要があるか、IT先進国と言われる米国の調査データを元に日本で起こった事故や事件を振り返り、他山の石とすることを試みる。

    主な内容
    - 経営層向けCPSQレポートが明示する、IT先進国、米国におけるソフトウェア開発の課題と対策
    - コンテナ・セキュリティの基本的な考え方、既知の課題と解決策
    - コンテナ開発(マイクロサービス開発)と一般的なソフトウェア開発でのセキュリティ・テストの共通点を理解
    - 脆弱性を管理することがいかに重要か
  • DevSecOpsの定着を妨げる課題とそれを解決するソリューションのご紹介 Recorded: Sep 1 2021 62 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニア セールス エンジニア 勝岡 宣彦
    DevSecOpsに取り組む中で、以下のような悩み・課題が上がっていませんか?

    ・セキュリティ・テストが開発プロセスを遅らせてしまっている
    ・開発とテスト工程でセキュリティ・テストに対するアプローチが異なっている
    ・プロジェクトの中に多くのアプリケーションやサービスが含まれているが全体の品質・セキュリティ状態が見えない
    ・多くのAppSecツールを導入しているが一元管理できていない
    ・セキュリティ・チームが全体を把握できていない

    Code DXを利用することで、プロジェクト全体・プロジェクト内の個別アプリ・ビジネスレベルそれぞれでのセキュリティ・リスクを可視化でき、開発のスピードを落とすことなくセキュリティ・チームがリスク分析を行い、対策実行に繋げることができます。
    本セミナーではDevSecOpsの課題を整理しつつ、デモを交えながらCode Dxプラットフォームのご紹介を行います。

    主な内容
    - DevSecOpsの課題の整理とCodeDxのご紹介
    - AppSecツールコネクターデモ(SAST, SCA, ISATツールの解析結果の取り込み)
    - 脆弱性の優先順位付けデモ(CWE Top25, OWASP Top10, PCI-DSS、等)
    - Q&A
  • ソフトウェア・サプライチェーンにおけるOSSのリスク管理 Recorded: Aug 25 2021 58 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニア セールス エンジニア 吉井雅人
    オープンソース・ソフトウェア(OSS)の活用なしにソフトウェアの開発は不可能と言って良いくらい、現在ではOSSの利用が進んでいます。サプライチェーンにおいてもOSSのリスク管理は重要となっており、それを管理する手段としてSBOM(ソフトウェア部品表)が注目されています。2021年5月に署名されたサイバーセキュリティを強化する大統領令でもSBOMについて言及されています。

    本セミナーでは、OSSの脆弱性やサプライチェーン攻撃にどのようなリスクがあるのか、またこういったリスクを適切に管理するためにどのような対策が必要なのかをお話します。また、SPDXなどSBOMをめぐる国際動向や、Black Duckを用いて効率的にOSSやSBOMの管理を行う方法についてもご紹介します。

    主な内容
    - OSSの利用の広がりと脆弱性
    - サプライチェーン攻撃の例と管理の課題
    - SBOMをめぐる国際動向
    - Black Duckを活用したSBOM/OSS管理手法のベストプラクティス
    - Q&A
  • あらゆるモノがネットワークに繋がる時代 ―品質・セキュリティを開発プロセスに組み込もう Recorded: Aug 18 2021 47 mins
    日本シノプシス合同会社 ソフトウェア・インテグリティ・グループ シニア・セールス・ エンジニア 勝岡 宣彦
    ※こちらのセミナーは2021年7月にET & IoT West 2021 にて発表された同タイトルのものと同じ内容のものとなります。ご質問がございましたら、Ask a questionのウィンドウまたはAttachmentsタブの中のお問合せフォームのリンクからお送りください。担当の者より回答させていただきます。

    あなたが開発に携わっている組み込み・IoTデバイスはスタンドアローンで動いていますか?おそらく他の機器とイーサネット、WiFi、Bluetooth等で繋がり、サービスやシステム全体の中の重要な一部として動いているはずです。そのデバイスが脆弱であるが故にサービス全体を脆弱にしてしまう恐れがあります。それを防ぐために、米国CPSQレポートを参考にソフトウェアの低品質によるコストと技術的負債とビジネスへの影響を確認し、従来の品質ベースの開発にセキュリティも組み込み、今後益々高まる品質およびセキュリティ要件に対応できる開発プロセス(DevQualOps/DevSecOps)を考えてみましょう。

    主な内容
    - ソフトウェアの品質とセキュリティについて
    - 低品質ソフトウェアが何をもたらすのか?
    - シノプシスの品質・セキュリティソリューション
    - まとめ
  • オープンソース管理のトレンド、ソフトウェア部品表(SBOM)の国際標準化動向 Recorded: Aug 4 2021 42 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニア プロダクト マーケティング マネージャ 松岡正人
    ※こちらのセミナーは2021年7月にET & IoT West 2021 にて発表された同タイトルのものと同じ内容のものとなります。ご質問がございましたら、Ask a questionのウィンドウまたはAttachmentsタブの中のお問合せフォームのリンクからお送りください。担当の者より回答させていただきます。

    自動車業界や医療機器業界などを中心にオープンソース・ソフトウェア(OSS)と脆弱性などのリスク管理のためにソフトウェア部品表(SBOM)と呼ばれる考え方に着目した新しい国際標準が立ち上がりつつあります。OSSが内包するリスクを管理するためのツールとしてSCA(ソフトウェア・コンポジション解析)と呼ばれるツールが登場して久しい中、産業界では情報の流通性や互換性を高めるための取り組みとして注目を集めています。本セッションでは、OSS管理のための取り組みとその課題について考察します。

    主な内容
    ・なぜSBOMが必要とされるのか
    ・SBOMは、ソフトウェア・サプライチェーンとその安全のためにどのように役立つのか
    ・ソフトウェア・サプライチェーンのセキュリティがなぜ重要なのか
    ・Q&A
  • 続、はじめてのAppSec(アプリケーション・セキュリティ)。"ソフトウェア・テスト"との違い Recorded: Jul 28 2021 51 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニアプロダクトマーケティングマネージャ 松岡 正人
    ※ 本セミナーは2020年10月に開催された回の再放送となります。

    AppSec (アプリケーション・セキュリティ) を実現するには「セキュリティ・テスト」が欠かせません。
    さて、シノプシスが得意とする「セキュリティ・テスト」は、一般的な「ソフトウェア・テスト」とどのように違うのでしょうか。
    分業の進んでいる組織やプロジェクトによっては、開発者はテストはテスターが行うものと考えてしまう場合も少なくないと思います。
    しかし、趣味や仕事でプログラムコードを書き始めたばかりの頃を思い返してみれば、自分で書いたコードのテストも行なっていたのではないでしょうか。
    それは、コードレビューなどの机上での作業や、デバッガーを使って予期せぬ振る舞いの原因を探るためのデバッグ作業を少し楽にするための工夫だったかもしれません。
    本セッションでは、ソフトウェア・テストの概要を紐解き、アプリケーション・セキュリティとの関連を確認しつつ、同じ「テスト」でありながら、「セキュリティ・テスト」には何のためにどのような種類があり、それらはソフトウェア開発の過程でどのように実施するのが良いかについて基本的な考え方を整理します。

    主な内容
    - アプリケーション・セキュリティのためのセキュリティ・テスト
    - セキュリティ・テストとソフトウェア・テストはどう違うのか?
    - 開発者とテスターとQAとセキュリティ技術者の関係
    - 組織やプロジェクトに即して考えてみよう
    - Q&A
  • はじめてのAppSec(アプリケーション・セキュリティ)とDevSecOps、何をしなくてはいけないのか、メリットは何か? Recorded: Jul 21 2021 64 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニアプロダクトマーケティングマネージャ 松岡正人
    ※本セミナーは2020年8月に開催した回の再放送となります。

    アプリケーションはコードを書けばできあがりますが、セキュリティ対策とセキュアな(安全な)コードとを組み合わせることで、サイバーインシデントのリスクを低減し、ビジネスへの影響を抑えることができるようになります。では、いままでと何を変えればよいのでしょうか?
    昔ながらの開発やテストではカバーできないセキュリティ上の課題や、どのようにしてツールを利用する様にしていくのかについて、初歩的なヒントや方法について議論します。

    主な内容
    - 今どきのアプリケーションの要素や構造の振り返りとリスクの理解
    - DevSecOpsの目的と実現のためにクリアすべき課題の整理
    - ツールを活用してどの様に開発プロセスをアップデートすべきか
    - Q&A
  • オートモーティブ・サイバーセキュリティ・プロセスに統合したファジング・テストの活用法 Recorded: Jul 14 2021 41 mins
    ZF Friedrichshafen AG 自動運転ITセキュリティ エンジニア ニコ・フィンゼンツ、日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニアソリューションアーキテクト 岡デニス健五
    自動車のシステムはますます複雑化し、相互に接続されているため、サイバー攻撃にさらされやすくなっています。脆弱性を発見し修正するために、最新のサイバーセキュリティ・ツールとプロセスが不可欠です。ファジング・テストは開発段階の終盤にのみ適用するのではなく、開発プロセスに組み込んでテストを自動化することにより、さらにセキュアなエンジニアリング・プロセスを確立することができます。

    本セッションでは、ZF社がファジング・テストをどのようにサイバーセキュリティ・プロセスに組み込むことができるのか、具体的な手順や活動、テスト環境の例などをご紹介します。また、シノプシスがユーザーの開発環境とプロセスにツールを統合するためにどのようなお手伝いができるのかについても、ぜひこちらでご確認ください。


    主な内容
    - 従来の自動車のサイバーセキュリティ・エンジニアリング・プロセス
    - ファジング・テストによるセキュリティの向上
    - ファジング・テスト統合後の進化したプロセス
    - Q&A

    ※本セッションは日本語で行います。
  • PCI DSS準拠に必要な脆弱性対応のベストプラクティス Recorded: Jul 7 2021 48 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ セールス・エンジニア 岡田 祐喜
    PCI DSSは、クレジットカード会員の個人情報を保護するための情報セキュリティ基準として策定され、すでに多くのクレジットカード関連のシステムが準拠しています。
    しかしながら、準拠したシステムを開発するためには、設計、開発、運用などの各フェーズで対応が必要となり、特に開発フェーズにおいては各種脆弱性の検知のためのテストとその修正が大きな負担となっているのが実情ではないでしょうか。
    本日のセミナーでは、開発ライフサイクルの中で適切なタイミングにPCI DSS準拠のために必要なテストを組込み、開発・テストをより効率的に実施するためのソリューションをご紹介いたします。

    主な内容
    - PCI DSSの概要
    - 開発フェーズにおけるPCI DSS準拠への課題
    - 改善のためのソリューション活用方法
    - Q&A
  • 動的テストもシフトレフト! 早めのセキュリティテストで堅牢なアプリケーション開発 Recorded: Jun 30 2021 47 mins
    日本シノプシス合同会社 ソフトウェア・インテグリティ・グループ セールス・ エンジニア 華山 達也
    近年CI/CDやDevOps等の開発プロセスの効率化が求められていますが、Webアプリケーション診断等の動的テストを実行するには以下の課題があります。

    - 開発プロセスの後段に実施されるため開発者へのフィードバックが遅い
    - 近年のアプリケーションの複雑化に伴い、原因特定および修正に時間を要する

    インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)ではこれらの課題を解決しつつ、効率的に実行時の脆弱性検出が可能となります。
    本Webinarでは上記の課題に焦点を当てつつ、SynopsysのIASTソリューションであるSeekerをご紹介します。

    主な内容
    • 動的テストの課題
    • IASTの概要と特徴
    • Seekerの説明と自動テストのデモンストレーション
    • Q&A
  • ISO/SAE FDIS 21434公開記念セミナー -ISO国際規格化目前!車載サイバーセキュリティ規格適用時のポイントとツールによる効率化ー Recorded: Jun 23 2021 82 mins
    SGSジャパン株式会社 C&P Connectivity Functional Safety プロジェクトマネージャ 河野 喜一様/日本シノプシス合同会社 プリンシパル・オートモーティブ・セキュリティ・ストラテジスト 岡デニス健五
    2021年5月に車載サイバーセキュリティ規格ISO/SAE FDIS 21434が公開されたことを記念し、SGSジャパン株式会社及び日本シノプシス合同会社による共催セミナーを開催いたします。車載システムの開発に携わる方を対象に、車載サーバーセキュリティを高め、よりセキュアな自動車のソフトウェアを開発するために知っておくべきこと、準拠すべき業界標準の規格について、詳しくご説明いたします。

    セッション1:「車載サイバーセキュリティ(UN-R155/156・ISO/SAE 21434)適用の勘所」(16:00-16:30)
    2021年5月に、車載サイバーセキュリティ規格ISO/SAE FDIS 21434が公開されました。ISO/SAE 21434は、国連欧州経済委員会(UNECE)における車載サイバーセキュリティ法規UN-R155から参照されており、車載システムの開発に必須となる規格です。本セミナーでは、SGSジャパンより、ISO/SAE FDIS 21434の概要をご紹介するとともに、UN-R155/156・ISO/SAE FDIS 21434適用時のポイントについてご紹介いたします。
    ・車載サイバーセキュリティ事件例
    ・車載サイバーセキュリティ業界動向(法規・標準規格・認証)
    ・ISO/SAE FDIS 21434概要
    ・車載サイバーセキュリティプロセス適用時のポイント

    セッション2:「ISO/SAE FDIS 21434で求められるセキュアなソフトウェア開発」

    車載システムの開発に関連するISO/SAE FDIS 21434の要件は多数あります。特にセキュアな開発プロセスに応じてリスク管理、セキュアソフトウェア開発、OSS管理、ファジングテスト、セキュリティ評価、セキュリティートレーニングの活動があります。本セミナーでは、日本シノプシスより、ISO/SAE FDIS 21434に基づいたプロジェクトプロセスに関連するセキュリティソリューションについてご紹介いたします。
    ・車載システムの脆弱性事例の解説
    ・UN R155とISO/SAE FDIS 21434に関連サイバーセキュリティ活動
    ・車載システムのセキュアな開発プロセス
    ・ISO/SAE FDIS 21434の開発要件に対するソリューションの紹介

    Q&A(17:00-17:15)
  • ソフトウェア開発におけるOSSライセンス管理のベストプラクティス Recorded: Jun 16 2021 61 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニア セールス エンジニア 吉井雅人
    現在はオープンソース・ソフトウェア(OSS)の活用を抜きで考えることができないくらい、ソフトウェア開発においてOSS利用が進んでいます。あまりに当たり前のように使われるようになったが故に、OSS利用においては無視できないライセンスやセキュリティにまつわるリスクについて、適正に管理ができていない組織も増えています。

    現在、自社の製品やシステムに使われているOSS活用のライセンス条件を把握していますか?ライセンス違反は最悪は訴訟を招くリスクすらあります。適切に管理されていないOSSによって窮地に陥ることがないよう、OSSを正しく利用、管理をしていくことが重要です。

    本日のセミナーでは、適切にOSSを管理するためにはどのような組織やプロセスが必要かを、主にライセンス管理にフォーカスを当ててお話します。またBlack Duckの機能・特長と効果的な利用方法を紹介します。

    主な内容
    - OSS管理の課題
    - 日本のOSS管理の現状
    - OSSとそのリスクを効率的に管理するBlack Duckの特長
    - ISO/IEC 5230:2020 OpenChain
    - OSS管理のベストプラクティス
    - Q&A
  • 商用ソフトウェア資産に含まれるOSSとそのリスクの現状 - 2021年版レポートに基づく分析と提言 Recorded: Jun 9 2021 39 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニアセールスエンジニア 吉井雅人
    シノプシスのオープンソース・セキュリティ&リスク分析レポート2021年版は、
    世界中のエンタープライズ企業、医療、金融、通信インフラ等の17業種、1,500を超える商用のコードベースに含まれるOSSを監査した結果から得られたOSSの利用状況とリスクの現状と分析をまとめたレポートの最新版です。
    ソフトウェア開発や商用ソフトウェアでのOSS利用は急速に拡大しており、保有資産に含まれるOSSとリスクの把握は益々大きな課題になっています。
    最新版レポートをベースにOSS利用とリスクの現状の整理、管理の方法と課題、シノプシスが提案する確実で効率的な管理を実施する方法を紹介するセミナーを実施します。

    主な内容
    - 今多く使われるOSSの傾向と、脆弱性やライセンスのリスクの現状解説
    - OSSとそのリスクを適切に管理するための手法と課題の整理
    - シノプシスが提案する確実・効率的にOSSを管理する方法
    - Q&A
高品質でセキュアなソフトウェア開発をより迅速に
シノプシスのソフトウェア インテグリティ グループは、企業の安全で高品質なソフトウェアの構築と、リスクを最小限にしつつスピードと生産性の最大化させることに貢献します。シノプシスは、アプリケーション・セキュリティのリーダーであり、静的解析、ソフトウェア・コンポジション解析、動的解析ソリューションを提供しており、独自のコード、オープンソース・コンポーネント、およびアプリケーションの動作における脆弱性や不具合を迅速に見つけて修正するためのツール、ペネトレーションテストや静的解析、動的診断サービス、セキュア開発のeラーニング提供、コンサルティングなど総合的なサービスとツールを提供しています。

Embed in website or blog

Successfully added emails: 0
Remove all
  • Title: ご質問回答編 : Webアプリのセキュリティ・テスト、DASTや手動テストの課題とその解決手法 (IASTのご紹介)
  • Live at: Jun 19 2020 11:00 am
  • Presented by: 日本シノプシス合同会社 ソフトウェア インテグリティ グループ セールスエンジニア 川原翔
  • From:
Your email has been sent.
or close