Name: 米国連邦政府の調達に関連したソフトウェア開発のモダンなセキュリティ対策
Start: 2021-10-27T07:00:00Z
End: 2021-10-27T07:00:46.000Z
Location: BrightTALK
Rating: 4.3

シノプシスのソフトウェア インテグリティ グループは、企業の安全で高品質なソフトウェアの構築と、リスクを最小限にしつつスピードと生産性の最大化させることに貢献します。シノプシスは、アプリケーション・セキュリティのリーダーであり、静的解析、ソフトウェア・コンポジション解析、動的解析ソリューションを提供しており、独自のコード、オープンソース・コンポーネント、およびアプリケーションの動作における脆弱性や不具合を迅速に見つけて修正するためのツール、ペネトレーションテストや静的解析、動的診断サービス、セキュア開発のeラーニング提供、コンサルティングなど総合的なサービスとツールを提供しています。

自動車や医療機器、あるいはネット販売や金融業をはじめとして、さまざまな製品やサービスがソフトウェアで成り立っている昨今、ソフトウェアにおけるサイバーセキュリティ対策の重要性がますます増加しています。

これらの製品やサービスに含まれるソフトウェアは、自社で開発したものだけではなく、商用製品やオープンソース、あるいは外部に委託して開発されたものなどさまざまな種類のソフトウェアの組み合わせでできています。
これらソフトウェアのサプライチェーンにおいて、様々なサイバーセキュリティ上の問題が発生していることを背景に、ソフトウェア・サプライチェーン・リスク管理（SSCRM）の必要性が声高に叫ばれ、各種規制として求められるようになってきています。

本セッションでは、実際のソフトウェア・サプライチェーンで発生した問題と各種規制を振り返った上で、最新のBSIMMレポートから見えてきた各社の対策状況とトレンド、ならびにセキュアなソフトウェア開発のために今後必要となる取り組みをご紹介します。


主な内容：
・ ソフトウェア・サプライチェーン攻撃の実例
・ ソフトウエア・サプライチェーン・リスク管理（SSCRM）の必要性と各種規制
・ BSIMM14レポートから読み取るセキュア・ソフトウェア開発ライフサイクルにおけるトレンド
　　　-SSCRM、SBOM管理、OSS管理、ベンダー管理
　　　-自動化によるサイバーセキュリティ対策の加速
　　　-新しい取り組みと今後のトレンド
・ SSCRM強化のための取り組みとシノプシスの支援
　　　-ソフトウェア・コンポジション解析（SCA）
　　　-SBOM管理改善計画策定
　　　-SSDF準備状況調査

ソフトウェア・サプライチェーン・リスク管理の必要性と実践 〜BSIMM14レポートから読み取るSSCRMの現状とトレンド

※本セミナーは、2024年3月の Security Days Spring 2024 における講演内容と同じです。

EU CRA、IMDRF、FDAや米国大統領令など、世界中で登場した様々な規制において、新たにSBOMというソフトウェアのリスク管理のツールが登場しました。
実際の運用開始はこれからということもあり、どのように試行錯誤するのが良いか悩んでいる組織が少なくないと思います。
本講演では、シノプシスが発行している同名のガイドをもとに、具体的な確認事項と対処方法について考えていきます。

主な内容：
・より安全な製品やサービスの実現のために
・EU CRA、IMDRF、FDAや米国大統領令など規制の現状
・脆弱性管理 ≠ SBOM
・6つの提言に基づいた具体的なSBOM作成のプラクティス

「単なる文書」で終わらせない SBOM 作成のための処方箋

本セッションでは、シノプシスのセキュリテイ・テスト・ツールの最新情報と、我々シノプシスのツール群をより効果的にご利用いただくための秘訣をご紹介いたします。

まず、Coverity2023.12の機能から、Dart/Flutterのサポートについてご紹介をします。Dart/Flutterはモバイルアプリケーションにおいて最近よく使われる言語ですが、CoverityでもAPI関連の脆弱性などを検出することが可能になりました。

続いて、アプリケーション・セキュリティ態勢管理（ASPM）という新しいソリューションをご提供しますSoftware Risk Managerという製品のコンセプトと新機能をご紹介します。Software Risk Managerは、ソフトウェア開発ライフサイクル(SDLC)における問題の可視性を向上させるだけではなく、SDLC全体でのセキュリティ・リスク管理を統一することで、セキュリティ態勢を強化します。
 
既存ツールの効果的な使い方のTipsとしましては、Trivy、Grypeといった無償のSBOM生成ツールで出力したファイルを、どのようにBlack Duckに取り込むかについてご紹介をします。
また、2038年問題をCoverityで検出できる「Y2K38_SAFETY」チェッカーをご紹介します。

最後に、弊社が製品に関してご提供しております技術記事の中で、お客様に数多く参照いただいているコンテンツを3点ご紹介いたします。
- Black Duck：マッチしなかったコンポーネントの特定
- Coverityチュートリアル：ビューと通知
- Coverity プラグインをIntelliJにインストールする方法

シノプシスのセキュリティ・テスト・ツールをより効果的に利用頂くための秘訣（2024年3月版）

ソフトウェア・デファインド・ビークル（SDV）によって変革期を迎えている自動車業界において、自動車を対象としたサイバー攻撃の増加が問題となっています。
2022年1月には国際連合欧州経済委員会（UN／ECE）によって、UN-R155 自動車サイバーセキュリティ法規が施行されました。
日本でも、このUN-R155が道路運送車両法に取り込まれ、対象となる車両については、サイバーセキュリティ対策が施されていないと保安基準を満たしていないと見なされ、販売認可が得られないという状況になっています。

UN-R155 サイバーセキュリティ法規に適合するためには、自動車のサイバーセキュリティを担保する必要があります。そこで大切になってくるのが、自動車のサイバーセキュリティ法規に適合するための認証、ISO/SAE 21434です。

本セミナーでは、テュフズードジャパンよりISO/SAE 21434認証の最新動向の紹介を、日本シノプシスよりISO/SAE 21434で求められるセキュア開発に役立つ脆弱性事例の解説とセキュア開発ソリューションのご案内をいたします。


◆セッション1
「欧州における自動車サイバーセキュリティ ISO/SAE 21434認証の動向」

テュフズードジャパン株式会社　
MO&RI事業部　エンジニアリング部　自動車サイバーセキュリティエキスパート
西田 俊子 様

自動車を対象としたサイバー攻撃が増加する中で、「国際規格ISO/SAE 21434 自動車サイバーセキュリティエンジニアリング」が発効されました。
自動車業界各社では、ISO/SAE 21434に準拠した基準・規程の整備、プロセス構築などの取り組みがなされており、欧州では認証取得の例も増えてきました。

本セミナーでは、国連協定規則UN-R155および国際標準規格ISO/SAE 21434 各々の位置づけと関係について注意すべきポイントを解説します。
ISO/SAE 21434については、製品ライフサイクルフェーズと、規格書の各章との関係、見落としがちな点について解説していきます。
そしてISO/SAE 21434認証の意義を、欧州における役割も交えながらご説明します。

主な内容：
・UN-R155 と ISO/SAE 21434との関連
・ISO/SAE 21434 概説
・ISO/SAE 21434 認証について
・まとめ


◆セッション2
「ISO/SAE 21434適合のためのセキュア開発ソリューション」

日本シノプシス合同会社
シニア プリンシパル オートモーティブ セキュリティ ストラテジスト & エグゼクティブ アドバイザー
岡デニス健五

車載システムの開発に関連するISO/SAE 21434の要件は多数あります。
特にセキュアな開発プロセスに応じてセキュアソフトウェア開発、セキュアコーディング、OSS管理、ファジングテスト、セキュリティリスク管理の活動があります。
本セミナーでは、日本シノプシスより、ISO/SAE 21434に基づいたプロジェクトプロセスに関連するセキュリティソリューションの最新情報についてご紹介いたします。

主な内容：
・車載システムの脆弱性事例の解説
・ISO/SAE 21434に関連サイバーセキュリティ活動の例
・車載システムのセキュアな開発プロセス
・ISO/SAE 21434の開発要件に対するソリューションの紹介

自動車サイバーセキュリティ最新情報 ～ISO/SAE 21434認証取得のためのセキュア開発の秘訣

※本セミナーは、2023年7月に開催された回の再放送です。
※ご質問は、Attachmentsタブに記載のお問い合わせフォームからお送りください。

現在のソフトウェア開発において、Web APIは不可欠な技術となっています。
Webトラフィックの83%をWeb APIが占めると言われる中、近年はマイクロサービスアーキテクチャなど、Web APIを活用した新しい技術の導入がさらに加速しています。GraphQLなどAPI用のクエリ言語の活用も進んでおり、Web APIの需要はますます高まってきています。

一方で、API の可視化と統制ができていないと、重要なシステムや機微なユーザー情報の安全が脅かされます。また、APIをセキュアにする取り組みにおいては、OWASP Top 10 API Security Risksに代表されるようなWeb APIのセキュリティリスクや、シャドウAPIやゾンビAPIのように適切に管理できていないAPIの問題が報告されています。

本セミナーでは、Web APIの現状と課題を整理し、Web APIをどのようにセキュアにしていくべきか、シノプシスが提案する効率的な管理の方法を実例を交えてご紹介します。

主な内容：
・Web APIの現状
・Web APIの課題とセキュリティ・リスク
・APIのサプライチェーンリスクとシャドウAPIの検出
・APIの自動テスト
・APIのペンテスト
・Web APIをセキュアにするためのポイント

Web API セキュリティ・テストの実践

日本では、多くの金融機関が自社のWebアプリやWebサービスAPIの構築をSIer等の第三者に依頼しています。納品時にセキュリティ・テストを行う事を契約に含めることで、セキュリティを担保しようとする例も増えてきています。それでも世界中でWebサービスが侵害される事例が多いのはなぜでしょうか。本セッションではなぜ納品時のテストだけでは不十分なのか、またその対策としての継続的な脆弱性管理ソリューションについてご紹介します。

１．脆弱性検査をしたシステムがなぜ侵害され続けるのか
２．リリース時の脆弱性スキャンだけでは役に立たない理由
３．継続的な脆弱性管理によってWebサービスを安全に保つ方法

※本セミナーは2024年2月20日に開催された、Finance Forum「巧妙化が進むサイバー攻撃と実効的なセキュリティ対策」にて発表した講演内容と同一のものとなります。

日々発見される新たな脆弱性と攻撃手法への対処 ～Webアプリの安全性を維持し続けるために～

※本セミナーは、2023年4月に開催された展示会Medtech Japanでの講演内容と同じです。

いくつかの調査データが明らかにしてくれたのは、世界的に、医療業界は、もっともサイバーインシデントによる被害額の大きな業種であるということです。
これは個人情報の窃取だけでなく、人命に関わるインシデントも含まれます。

もちろん、国内ではITリテラシーの問題が揶揄されていますが、他の業種同様に、IT技術、特にソフトウェアの問題に目を向けることも重要です。

このセッションでは、医療機関で使われるソフトウェアを利用した機器やシステムに潜む、ソフトウェアならではのリスクを振り返りつつ、それらの製品やサービスを開発提供する組織のみなさんが医療に携わる方達のリスクを低減するため、ソフトウェアを用いた開発において、どのようなことに気を配る必要があるのか整理してみます。

IMDRFやEUのCyber Resilience Actなどのサプライチェーン・セキュリティへの取り組みと、脆弱性のリスク対策の観点

米国では、大統領令 EO14028による連邦政府組織のサイバーセキュリティ強化と並行して、民間で大きな脅威となっているIoT機器のセキュリティを確保するためのラベリングプログラムを策定中だったが、2023年7月に“U.S. Cyber Trust Mark”と呼ばれるプログラムをGoogleやAmazon、Best Buyなどの協力によって立ち上げ、2024年末を目途に実施する予定であると発表した。

また、欧州ではETSI EN303 645に基づく認証や、Cyber Resilience Act（CRA）の施行に向けた活動が進められているが、日本におけるIoT機器ラベリング・プログラムはどうなるのだろうか。課題や意義など、ビジネスの側面から対談形式で議論する。

第1部：講演
「IoTラベリングプログラムが始動！　～デジタル機器への法規制状況を解説～」
一般社団法人　重要生活機器連携セキュリティ協議会　代表理事　荻野司博士（工学）

第2部：対談
「日本のIoT機器ラベリング・プログラムは何を目指すのか？」
一般社団法人　重要生活機器連携セキュリティ協議会　代表理事　荻野司博士（工学）
日本シノプシス合同会社　ソフトウェア・インテグリティ・グループ　テクニカルマーケティングマネージャ　松岡正人

【対談セミナー】日本のIoT機器ラベリング・プログラムは何を目指すのか？

※本セミナーは、2023年6月に開催されたセミナーの再放送です
※ご質問は、Attachmentsタブのお問い合わせフォームよりお送りください。担当より改めて回答させていただきます。

近年は様々なシステム（ソフトウェア）のIoT化に伴い、ネットワークに接続することを前提として開発されることが一般的となっています。
特に重要インフラを支える制御系システム、車載機器のネットワーク化、医療機器等のセキュアなソフトウェアを開発する場合には、機密性・完全性・可用性を維持・向上する必要があります。

その中でも特に堅牢性（主に可用性）に関連するテストの実現は難しく、効果的なテストを実現するための手段はなかなかありません。
以前からネットワークの世界で堅牢性テストに使用されていたファジング・ツールの活用は、セキュリティの可用性を検証する手法としても注目されています。

本セミナーでは、基本的なセキュリティ・テストにおけるファジング・テストの位置づけや考え方、各業界団体で提唱されている試験の例などについて可用性の面からDefensicsの使用方法例を含めて紹介します。

主な内容
・セキュリティ・テストの分類とファジング・テストの位置づけ
・ファジング・テストの種類と効果
・各業界団体の推奨している可用性テスト
・Defensicsを使用したファジング・テスト

セキュリティの可用性を検証するファジング・テスト

昨今ソフトウェアの開発規模は非常に大きくなってきています。
１つのソフトウェア製品やサービスの中に多くのコンポーネントが含まれており、その中には組織内で開発したファーストパーティの開発コンポーネントだけではなく、サードパーティ・ベンダーのコンポーネントや、オープンソース・コンポーネント、外部委託先で作成されたコンポーネントも含まれます。

これらの集まりをソフトウェア・サプライチェーンと言いますが、ソフトウェアのライフサイクル全体を通じてセキュリティ、完全性、信頼性を確保するには、サプライチェーンのリスク軽減への挑戦が必要です。
サプライチェーンが脆弱であればそこを攻撃されてしまうためです。

本セミナーでは、このソフトウェア・サプライチェーン・リスク管理と、コンポーネントの構成管理、セキュリティ対策についてお話いたします。

主な内容
・SSCRM（ソフトウェア・サプライチェーン・リスク管理）とは
・組織がSSCRMを計画・実践・育成するためのシノプシスのソリューション
　- セキュリティ状況の可視化とアクション・プラン作成
　- SBOM管理ソリューション
　- アプリケーション・セキュリティ強化ツール

※本セミナーは、2023年8月に開催されたDigital Days 2023における講演の再放送です

サイバーセキュリティ活動における SSCRM（ソフトウェア・サプライチェーン・リスク・マネジメント）の重要性

近年増加傾向にあるサイバー攻撃により、ソフトウェアのセキュリティに対する要求がますます高まってきています。
一方で、昨今のソフトウェア開発環境では、開発スピードの迅速化がこれまで以上に求められていることも事実です。

そこで、迅速な開発と品質・セキュリティの両立を目指す"DevSecOps"が一つのキーワードとなっています。
開発の中で、数万行におよぶソースコードから脆弱性をスピーディに取り除くには、静的解析ツールを活用して、ソフトウェア開発ライフサイクル（SDLC）の早い段階でセキュリティと品質の不具合に対処することが必須です。

本セミナーでは、CI/CDの中に静的解析を組み込み、効率的にソフトウェアの不具合や脆弱性を検知してDevSecOpsを実現するポイントを紹介します。

※本セミナーは、2023年7月に開催されたEdgeTech+ Westにおける講演内容と同じです。

今こそDevSecOpsを実現！CI/CDにソースコード解析を組み込む際のポイント

ここ数年、システム侵害による情報漏洩や事業停止のニュースを毎日のように目にするようになりました。
このような侵害の原因の多くには、他社製・自社製を問わずソフトウェアの欠陥があることが認識されてきています。

このような状況下において、開発現場の肌感覚としても、システム開発におけるセキュリティ・テストは必須であると考えられるようになってきているのではないでしょうか。
しかしながら、テストの実行者や担当者に目を向けると、この分野における人材の確保は、昨今ますます困難な状況となっています。
また、「どの製品もスペックは満たしているように見えるが自社の運用のイメージが見えて来ない。結果として見つけられる脆弱性の数や価格だけが比較対象となっており、数あるツールやサービスから何を選択すべきか分からない」といったご相談や、「実際にツールやサービスを購入したが、対処したいと考えていた脅威の動向や規制当局の要求に対してターゲットやテスト手法が異なっていた」というような失敗談も耳にします。

本セミナーでは、セキュア開発のために最適なツールとサービスの選択を支援すべく、ソフトウェアのセキュリティ・テストの一丁目一番地ともいえる「脆弱性診断」と「ペネトレーション・テスト」についてもう一度その基本的な知識からこれらの違い、さらに現在のトレンドまで解説します。
また、シノプシスのソリューションの中から「3D（サブスク型のマネージド・アプリケーション・セキュリティ・テスト）」と「WhiteHat Dynamic」にスポットを当てて、ソフトウェア開発における実践的な活用方法をご紹介します。

主な内容
・ソフトウェア開発の各フェーズにおけるセキュリティ・テスト解説
・脆弱性診断とペネトレーション・テストの違いと現在のトレンド
・リリース前のテストだけで十分では無い理由
・私ならこうする！シノプシスのセキュリティ・テストの使い方

そのセキュリティ・テスト、あなたのプロジェクトに最適ですか？　～脆弱性診断とペネトレーション・テストの選び方、使い方を徹底解説～

薬機法により、IMDRFによる医療機器のサイバーセキュリティガイダンスの本格運用が開始されますが、言い換えるならば、医療機器のソフトウェアがセキュアで安全であることを証明するやり方について、どのようにテストや検証を行うのかが明確になるということです。
しかし、セキュリティ・テストは種類や検証すべき項目が多いため、効率と品質を両立させるためには、開発初期におけるリスク分析とテストの自動化が必須です。
本セッションでは、これらの課題を整理するためのヒントを提供し、医療機器開発の新しいチャレンジを支援します。


-----
本セミナーは、「15分で解説！アプリケーション・セキュリティ」シリーズのひとつです。
以下のURLより他の動画もぜひご覧ください。

セミナーシリーズ トップページ
https://series.brighttalk.com/series/5988/

【ミニセミナー】医療機器のサイバーセキュリティ規制への対策としてのソフトウェア開発におけるセキュリティテスト

ソフトウェア・アプリケーション開発においては、いかに早くセキュリティの問題を特定し、適切に管理し、修正までを行うのかが求められています。
そのため複数のAppSecツールを採用したり、人材に多くの投資をしたりしている組織が少なくありません。

しかしながら、複数のツールから検出された膨大な数の問題を正確に把握し管理することは容易ではありません。
さらにこれらの問題に優先順位をつけ、迅速に開発者へ修正を依頼するには困難が伴います。

限られたリソースのなかで、組織のプロジェクトをコンプライアンス違反なども含め、継続的にリスクを評価していくためにはプロセスを標準化させる必要があります。
「アプリケーション・セキュリティ態勢管理（ASPM ＝Application Security Posture Management）」は問題の可視性の向上だけではなく、ソフトウェア開発ライフサイクル（SDLC）全体でのセキュリティ・リスク管理を統一することでセキュリティ態勢を強化します。

本セミナーでは、今後のセキュア開発を考えるうえで重要なキーワードとなる「アプリケーション・セキュリティ態勢管理（ASPM ＝Application Security Posture Management）」について解説するとともに、組織としてASPMに取り組むために有効となるソリューションSoftware Risk Managerを、デモを交えながら紹介します。

主な内容
- 組織が抱えるセキュリティ・リスク評価と統合管理の状況
- AppSecを簡素化する必要性
- 既存のAppSecツールの利用価値をSoftware Risk Managerで最大化する方法
- デモ

効率的にAppSecを強化するアプリケーション・セキュリティ態勢管理（ASPM）

2021年5月の米国大統領令や、医療機器、自動車の各種規制に準じて議論が進むサプライチェーン・セキュリティ、そこに登場するSBOMについての経過と今後について議論します。


-----
本セミナーは、「15分で解説！アプリケーション・セキュリティ」シリーズのひとつです。
以下のURLより他の動画もぜひご覧ください。

セミナーシリーズ トップページ
https://series.brighttalk.com/series/5988/

【ミニセミナー】米国大統領令やEU CRAなどによるサプライチェーン・リスク管理（SSCRM）とビジネスへの影響を考える

組込製品のIoT化では想定外の使用方法等によるセキュリティ問題が多発しています。 
この問題を解決するためのAppSecの基本的な考え方と、特に検証フェーズに寄与するSAST、DASTツール活用のヒントを紹介します。 


-----
本セミナーは、「15分で解説！アプリケーション・セキュリティ」シリーズのひとつです。
以下のURLより他の動画もぜひご覧ください。

セミナーシリーズ トップページ
https://series.brighttalk.com/series/5988/

【ミニセミナー】組込製品のIoT化とアプリケーション・セキュリティ

DevSecOpsではCI/CDパイプラインによるセキュリティテストの自動化が必須です。 
しかし実行テストの最適化、テスト結果の一元管理なしでは開発速度低下を招く恐れがあります。 
この問題の解決方法を解説します。

※セミナー中でご紹介しました「Code DX」は、2023年8月より「Software Risk Manager」という製品名にて、新機能を追加してご提供しております。製品詳細や無料トライアルのお申し込みにつきましては、Attachmentsタブにございますリンクよりお問い合わせください。



-----
本セミナーは、「15分で解説！アプリケーション・セキュリティ」シリーズのひとつです。
以下のURLより他の動画もぜひご覧ください。

セミナーシリーズ トップページ
https://series.brighttalk.com/series/5988/

【ミニセミナー】セキュリティ・テスト自動化のさらに先へ　～CI/CDパイプラインの最適化～

サイバー攻撃による被害が深刻化する中、IoT機器の開発においては無線機器指令（RED）や、英国 PSTI法、米国ラベリングスキームなどの新しい規制が次々に導入される予定となっています。また、産業用制御システムにおいてもEUサイバーレジリエンス法案に関する動向が注視されており、既にサイバーセキュリティ規格として対応が進んでいるIEC62443対応への重要性もますます高まっています。

本セミナーでは、テュフズードジャパンより関連する規制の最新動向と適合に向けた対策の解説を、日本シノプシスよりセキュリティ対応に必要なアプリケーション・セキュリティ・テスト・ツールおよび設計フェーズにおけるセキュリティ・サービスと統合管理ソリューションのご紹介をいたします。


◆セッション１
「コンシューマーIoT機器に求められるサイバーセキュリティ」

テュフズードジャパン株式会社　コンシューマープロダクトサービス事業本部
ビジネスディベロップメント部マネージャー
齋藤　健一様

IoT機器の導入増加やそれらに対するサイバー脅威の高まりを受け、無線機器指令（RED）や、英国 PSTI法やEUサイバーレジリエンス法、米国ラベリングスキームなど、今後数年間にわたりサイバーセキュリティに関する新しい規制や制度が各国にて導入される見込みです。
本セッションにおいては、最新規制動向の概説、それらに適合するためにどのように対処すべきか、さらにはそれらに対するテュフズードのご提案をご紹介いたします。

主な内容
・主なサイバーセキュリティ規制
・REDサイバーセキュリティ
・テュフズードのサービス


◆セッション2
「サイバーセキュリティ最新動向　～IEC 62443 対応のポイントとは～」

テュフズードジャパン株式会社　ＣＯＭ事業部　ＩＥＰ部
シニアセールスエグゼクティブ
登山　慎一様

産業用制御システムのサイバーセキュリティ規格として認知され既に多くの企業に採用されているIEC62443の有用性およびそのポイントについて解説します。
また本セッションではEUサイバーレジリエンス法案の動向についても概要を解説します。
施行が間近に迫った法規制の対応に向けてテュフズードから対策のベストソリューションをご紹介します。

主な内容
・IEC 62443の有用性
・IEC 62443取組に向けたステップ
・EUサイバーレジリエンス法案の概要


◆セッション3
「開発プロセスにセキュリティ対策をビルトイン　～サイバーセキュリティ規制に対応するソフトウェアを構築する～」

日本シノプシス合同会社　ソフトウェア インテグリティ グループ
シニア セキュリティ エキスパート
中野 哲也

IoT機器や産業用制御システムを構成する制御機器に対するサイバーセキュリティ対策が、法や規制・制度として導入されつつあります。
こうした環境において、IoTや制御機器のベースとなるソフトウェアのセキュリティを如何に高めるか、また、セキュリティ対策がどの程度ソフトウェア開発プロセスに織り込まれているかを可視化することが、ソフトウェアのセキュリティ・レベルを上げるためにキーとなってきております。
本セッションでは、シノプシスが提供するアプリケーション・セキュリティ・テストの３つのテクノロジー（SAST:ソースコード静的解析/SCA:ソフトウェア・コンポジション解析/ファジング・テスト）および設計フェーズにおけるセキュリティ・サービスと統合管理ソリューションをご紹介いたします。

主な内容
・開発プロセスにおけるセキュリティ・アクティビティ
・セキュリティ・テスト・テクノロジーおよびサービス
　　- 設計時のセキュリティ・サービス概要
　　- ソースコード静的解析： Coverity
　　- ソフトウェア・コンポジション解析：Black Duck
　　- ファジング・テスト： Defensics
・包括的なセキュリティ・プラットフォーム： Security Risk Manager


※セミナーにお申し込みいただいた際の情報は、テュフズードジャパン株式会社および日本シノプシス合同会社により、製品・サービスの案内、各種セミナーの案内といった、営業およびマーケティング活動のために使用されることがあります。
弊社プライベートポリシーの詳細については、https://www.synopsys.com/ja-jp/japan/privacy.html をご参照ください。

EUサイバーレジリエンス法案及びその他規制対策と実践的なサイバーセキュリティ対策の徹底解説

2017年の米国F35戦闘機の情報を含む情報流出のニュースに驚きました。その問題は、米国連邦政府との主契約ではないサブ契約の関連企業からの情報流出であることが判明します。米国連邦政府は、連邦情報セキュリティマネジメント法（FISMA）の対象を連邦政府および業務委託を受けている民間企業にも広げてNIST SP800-171に準ずること求めており、セキュリティ対策も重要事項の一つとされています。

本セッションでは、米国政府調達に関連するソフトウェア開発を行う企業のお客様を対象に、ソフトウェア開発のセキュリティ対策として、NIST SP800-53の菅理策を参照し、ツールの活用によるセキュアな開発と品質向上の効率化を図るソリューションを紹介します。

主な内容
- 米国連邦政府の調達に関する動向
- ソフトウェア開発とNIST SP800-171の関連性
- ソフトウェア開発に関連したNIST SP800-53セキュリティ管理策
- Synopsysソリューションの活用例
- Q & A

米国連邦政府の調達に関連したソフトウェア開発のモダンなセキュリティ対策

Security

Procurement

Government

Intellectual property law is crucial to ensuring that you or your organization have exclusive rights to that assets that you’ve created. The BrightTALK intellectual property community has thousands of professionals focused on learning and exchanging information about intellectual property management, intellectual property software and how to protect intellectual property. Join the community for access to free, interactive presentations or attend live webinars to have your questions answered by IP lawyers and industry experts.

Intellectual Property

The legal community on BrightTALK combines the fields of employment law, e-discovery, intellectual property and environmental law to create a thriving ecosystem of legal resources. Attend live and on-demand webinars dealing with employment contract law, e-discovery solutions, intellectual property software and sustainable development from leading lawyers and legal professionals to gain knowledge in a wide range of fields. Join the community and be part of the conversation by attending live legal webinars and connecting with industry thought leaders.

Legal

The IT security community on BrightTALK is composed of more than 200,000 IT security professionals trading relevant information on software assurance, network security and mobile security. Join the conversation by watching on-demand and live information security webinars and asking questions of experts and industry leaders.

IT Security

Increasing expectations for good governance, effective risk management and complex demands for corporate compliance are presenting a growing challenge for organizations of all sizes. Join industry thought leaders as they provide you with practical advice on how to implement successful risk and compliance management strategies across your organization. Browse risk management resources in the form of interactive webinars and videos and ask questions of expert GRC professionals.

IT Governance, Risk and Compliance

The application development community features top thought leadership focusing on optimal practices in software development, SDLC methodology, mobile app development and application development platforms and tools. Join top software engineers and coders as they cover emerging trends in everything from enterprise app development to developing for mobile platforms such as Android and iOS.

Application Development

Enterprise applications have become a crucial piece of infrastructure for many businesses. The enterprise applications community on BrightTALK features the latest insights in enterprise application integration, enterprise application architecture and EAS software. Join the community to gain access to thousands of videos and webinars presented by recognized enterprise information systems experts and arm yourself with the knowledge you need to succeed.

Enterprise Applications

Join thousands of engaged IT professionals in the application management community on BrightTALK. Interact with your peers in relevant webinars and videos on the latest trends and best practices for application lifecycle management, application performance management and application development.

Application Management

As an IT professional, many of the problems you face are multifaceted, complex and don’t lend themselves to simple solutions. The information technology community features useful and free information technology resources. Join to browse thousands of videos and webinars on ITIL best practices, IT security strategy and more presented by leading CTOs, CIOs and other technology experts.

Information Technology

Internal audit and compliance professionals are facing increasingly stringent regulatory requirements when it comes to compliance reporting and internal control procedures. Join the audit and compliance community to learn best practices from thought leaders on topics such as regulatory compliance, internal audit checklists and audit program strategies.

Audit and Compliance

Get powerful market trends insights that are shaping the M

Mergers and Acquisitions

The accounting and finance community on BrightTALK features presentations from leading accountants and finance professionals. The accounting community includes tax planning strategies, QuickBooks webinars and other accounting webinars, while the finance community features presentations on financial capital regulations and forensic data analytics. Join the conversation by attending live financial and accounting presentations and connecting with industry thought leaders.

米国連邦政府の調達に関連したソフトウェア開発のモダンなセキュリティ対策

Presented by

About this talk

More from this channel