Name: Web API セキュリティ・テストの実践
Start: 2023-07-19T07:00:00Z
End: 2023-07-19T07:00:50.000Z
Location: BrightTALK
Rating: 3.7

ブラック・ダックは、業界で最も包括的かつ強力で信頼できるアプリケーション・セキュリティ・ソリューション・ポートフォリオを提供します。ブラック・ダックには、世界中の組織がソフトウェアを迅速に保護し、開発環境にセキュリティを効率的に統合し、新しいテクノロジーで安全に革新できるよう支援してきた比類なき実績があります。ソフトウェア・セキュリティのリーダー、専門家、イノベーターとして認められているブラック・ダックは、ソフトウェアの信頼を築くために必要な要素をすべて備えています。

近年、通信プロトコルの脆弱性を突いた攻撃が増加しており、堅牢なシステム設計には高度なセキュリティテストが不可欠です。特に自動車や医療機器など、不具合なく動くことが当然の如く要求されるクリティカルな分野でも様々なプロトコルを介した通信を行っているため、利便性が向上する反面、セキュリティの面では脆弱になってしまっていたために起きたセキュリティ・インシデントの事例が多く見られます。

本セミナーでは、より高度なセキュリティテストを可能とするファジング・テスト・ツール「Defensics」を活用したファジング・テストの手法とその効果について解説します。
実際のテスト環境でのデモンストレーションを交えながら、未知の脆弱性をどのように発見・分析できるかについて、本セミナーではWifiプロトコルを例に挙げ、ファジング・テストによる検出から脆弱性の特定までの一連の流れについて、より実践的なファジング・テストや「Defensics」の活用方法を基礎から応用までわかりやすくお届けします

主な内容
・ファジング・テストの手法と効果
・Defensicsの概要とファジング・テストへの適用
・実機を使用した検知～特定までのデモンストレーション

未知の脆弱性が引き起こす問題を未然に防ぐ！ファジング・テストのススメ

組み込みソフトウェア開発はモノリシックなソフトウェア開発の時代を過ぎ、IoTのアーキテクチャによってより複雑で多くのリスクを内包するものに変化してきました。ブラック・ダック・ソフトウェアは調査レポート「組み込みソフトウェアの品質および安全性の現状 2025」を発行し、この中で、組み込み開発の現在における、AIやSBOMなどの新しい技術の導入に関しての課題を提示しています。本セミナーでは、このレポートから組み込み開発が直面している課題を可視化して議論することで、これからの組み込み開発に必要な観点を探ります。

主な内容
・ソフトウェア部品表が組み込み開発に不可欠な理由
・AI導入に伴う開発者の役割の変化
・スピードと品質のバランスを取りながらAIリスクに対処するために使用される戦略とAppSecソリューション

「組み込みソフトウェアの品質および安全性の現状 2025」から組み込み開発の課題を読み解く

金融庁が示すサイバーセキュリティガイドラインでは、サプライチェーンリスク管理が重要な柱として位置づけられています。特に、OSS（オープンソースソフトウェア）の利用が拡大する中、脆弱性の把握と管理は金融機関にとって喫緊の課題です。

本セッションでは、OSSの脆弱性を可視化し、SBOM（Software Bill of Materials）を活用してソフトウェア構成を管理することで、サプライチェーンリスクをどのように低減できるかを解説します。実際のツール活用例や導入ステップも交えながら、金融機関が今後取り組むべきアプリケーションセキュリティの方向性を提示します。

主な内容
・ソフトウェア・サプライチェーン攻撃
・各国の規制やガイドライン
・OSSのリスクとSBOMによる管理
・ブラック・ダックのソリューション ー 包括的なSBOMの作成とSBOMの管理

※ 本セミナーの講演動画は2025年11月に開催された「金融リスクマネジメント & サイバーセキュリティーフォーラム2025」で収録されたものです。

OSS脆弱性の可視化とSBOM活用によるサプライチェーンリスクの低減

現代では、会社の成長において、ソフトウェア開発は重要なファクターとなっています。しかし、実際の現場では、世界標準への準拠の為には規制への対応が必要であったり、AIの活用によるコードの爆発的な増加への対策が求められると予想されています。

ブラック・ダック・ソフトウェアは、これらの問題に対応する為にTrue Scale Application Securityという考え方のもと、スピード・正確性・コンプライアンスの間のトレードオフを排除し、規制の厳しいAI主導の世界において開発を手助けする幅広いポートフォリオを提供しています。
今回のセッションでは、True Scale Application Securityとは何かとその実現方法、ブラック・ダック・ソフトウェアとしてお手伝いできることをご紹介いたします。
 
主な内容
・True Scale Application Securityとは
・効果的なリスク管理とコンプライアンス対応を実現するには
・ブラック・ダック・ソフトウェアのポートフォリオ
・各製品紹介
      - Coverity静的解析
      - Black Duck ソフトウェア・コンポジション解析
      - Defensics ファジング・テスト・ツール
      - 統合SaaSプラットフォーム Polaris Platform

AI開発の時代におけるリスク管理とコンプライアンス対応 -True Scale Application Securityの実践

欧州ではEU CRAを中心に業種や製品の種別によるサイバーセキュリティ対策が求められることとなり、日本企業でも対応のための準備を進められています。また、米国では政権交代はあったもののサイバーセキュリティに関する政策面での大きな変化は起こっていません。これらの状況を踏まえ、いま考えるべきこと、実行可能な対策について、現在アクセスできる情報やガイドラインを元に優先して対処すべき事柄を整理します。

主な内容
・サイバーセキュリティ法規はセキュア・開発を要求
・セキュア開発の実践はマイクロソフトを起点とし、業界標準へと展開
・リスク分析を基に、セキュリティ・テストでソフトウェアをセキュアに

世界のソフトウェア・サプライチェーン法規動向とリスク低減のためにやるべきこと

生成AIは、企業の大小に関わらず、多様な業務支援に用いられはじめていますが、ソフトウェア開発における利用も例外ではありません。AIコーディングエージェントやAIテストツールの登場により、開発環境の構築や設定、コードの自動生成、コードのエラー修正支援や自動化といった機能が提供され、ソフトウェアの作成が容易になりつつあります。
一方で、生成AIという新しい技術の潜在的なリスクに対して慎重になり過ぎて導入の機会を遅らせ、開発生産性の向上の機会を逃しているケースも見受けられます。
 
ブラック・ダック・ソフトウェアでは、2024年末にDevSecOpsに関連する調査レポートを公開しましたが、この中でAIの利用状況と課題感に国ごとに温度差があることを説明しました。また、インフラジスティックス・ジャパン社では、今年4月に日本国内の開発支援AIツールに関する調査レポートを発表しました。本セミナーでは、これら２つのレポートを組み合わせることで、多面的な視点から、ソフトウェア開発全般における生成AIのメリットとそのリスクについて分析を試み、議論を深めます。

※本オンラインセミナーは対談形式での講演となります。

主な内容：
・ インフラジスティックス・ジャパン社「「開発支援AIツール」の利用ランキングと動向」レポート、そして、ブラック・ダック・ソフトウェア「世界のDevSecOpsの現状 2024」レポートの組み合わせから得られた、生成AI利用に関する新たな視点
・ ソフトウェア開発ライフサイクルの各フェーズにおける、生成AIの得意・苦手な作業と想定されるリスク
・ 生成AIをどのように利用するのが良いか、経験から得られた知見など

本オンラインセミナーにお申し込みいただいた際の情報は、インフラジスティックス・ジャパン株式会社に共有されます。インフラジスティックス・ジャパン株式会社の製品・サービスの案内、各種セミナーの案内といった、営業およびマーケティング活動のために使用されることがあります。
インフラジスティックス・ジャパン株式会社のプライバシーポリシーについては、https://jp.infragistics.com/legal/privacy をご参照ください。

AI時代のソフトウェア開発、生成AI導入のメリットとリスクを考える

現代のWebアプリケーションは、ビジネスの中核を担う存在となっており、そのセキュリティはますます重要視されています。
DevSecOpsの考え方に基づき、開発段階と運用段階それぞれでセキュリティに対して責任を持ち、対策を実施することが不可欠です。

開発段階では、セキュリティを早期に組み込み、脆弱性の早期発見と修正が重要です。一方運用段階では、システムの変化に応じて脅威に対応するための継続的なセキュリティ対策が求められます。

本Webinarでは、Webアプリケーションセキュリティの主要な問題を背景に、DAST(ダイナミック・アプリケーション・セキュリティ・テスト)に焦点を当て、DASTがどのようにこれらの課題に対処し、攻撃リスクを低減できるかを紹介します。

主な内容
・Webアプリケーション・セキュリティの動向
・Webアプリケーション開発におけるDevSecOps
・開発・運用それぞれの観点での課題
・DASTによる課題解決のポイント

※本セミナーは昨年10月に開催した回の再配信となります。

DASTで実現するWebアプリケーション・セキュリティ～開発と運用、両方で取り組むリスク対策～

ソフトウェアの複雑化やAIの活用が進む中、アプリケーションセキュリティの重要性はますます高まっています。一方で、「スピード」との両立は依然として大きな課題です。本セミナーでは、静的解析（SAST）ツールとして広く利用されている「Coverity」と、クラウドベースで柔軟な運用が可能な「Polaris」について、それぞれの特徴や違いをわかりやすくご紹介します。
さらに、誤検知の抑制や検出精度の向上に向けた工夫、開発者の負担を軽減するIDE連携やCI/CD統合による効率的な運用方法についても詳しく解説します。これにより、セキュリティ品質を確保しながらも、開発スピードを維持するための実践的なSAST活用のヒントを提供します。セキュリティと開発効率の両立に課題を感じている方にとって、すぐに現場で活かせる知見が得られるセッションです。

主な内容
・静的解析（SAST）の基礎と導入の意義
・Coverityの特徴と開発現場での活用ポイント
・Polarisによるクラウドベースの柔軟なSAST運用
・IDE連携を活用した、開発スピードを損なわないSASTの適用方法

SASTの選び方と使い方：開発効率を損なわないアプリケーション・セキュリティ

OSSコンポーネントとそのリスクを管理するために多くのお客様にご採用いただいている Black Duck ソフトウェア・コンポジション解析（SCA） は、いくつかの大きなアップデートを予定しています。

FDAのFD&C 524BやEU CRA、PCI DSS4.0、E.O.14028など、多くのサイバーセキュリティ法規で要求されるソフトウェア部品表の作成や管理、新しく発見された脆弱性の取りこぼすことなく規制当局への報告義務を全うし、生成AIが持ち込むソフトウェア開発におけるリスクへの対処を行うなど、ソフトウェア・コンポジション解析やSCA、あるいはソフトウェア構成管理と呼ばれるツールは、さらに多くの事柄に対処することが求められつつあり、また、うまく対応できるツールとしてBlack Duck SCAを、これらの市場の要求を実現することを目指しています。

本セミナーでは、Black Duck SCAが現在提供している主な機能と、今後提供を計画している機能について概説し、ソフトウェアコンポーネントとそのリスクを管理するための最適なツールとはどのようなものであると考えているのかについて議論します。

主な内容
・市場で SCA ツールに必要とされる機能とその背景
・安全な AI 開発を実現するための基本的な考え方
・ソフトウェア・サプライチェーン・リスク管理の理想と現実

Black Duck SCA ロードマップ -ソフトウェア・サプライチェーン規制とAIの時代のSCAツール-

AIがコードを書く時代となり、企業が保有するソースコード資産は急激に増加しています。しかしながら、開発スピードを追求するあまりにセキュリティや品質保証が追いつかず、  後工程での手戻りや不十分なセキュリティ対策の結果、脆弱性が残ったままのリリースといったリスクが顕在化しています。ソフトウェアの複雑化が進み、開発効率を下げずにセキュリティを向上させることは、組織の大きな課題となっています。アプリケーションのセキュリティ(AppSec)強化には、ソフトウェア開発の初期段階からの対策が重要です。とはいえ、ただでさえ納期に縛られ、スケジュール通りに開発を完了させることだけでも十分大変なのに、さらにセキュリティ対策まで同時に行うのはハードルが高い…と悩まれている方も多いのではないでしょうか？
 
効率的なAppSec対策は、ソフトウェア開発ライフサイクルの中にうまくテストを組み込むことで実現ができます。今回のセミナーでは、今なぜAppSecはこれまで以上に重要になってきているのかを解説し、またAppSec対策を実践するために、静的解析（SAST）、動的解析（DAST) 、ソフトウェア・コンポジション解析（SCA)のテスト・ツールを活用して行うアプリケーション・セキュリティ・テストの具体的な手法をデモをご覧いただきながらご紹介いたします。

◎主な内容
・AppSecはなぜ必要？やらなかったらどんなリスクがある？
・AppSec対策の基本のキ
・ソフトウェアのセキュリティ・テスト手法解説

◎デモ内容
・1 : 導入時のサーバー・専用SWの準備不要！解析対象のソースコードのドラッグアンドドロップ、Githubリポジトリと連携するだけでクラウド上で簡単に解析ができる手順と解析結果のトリアージのデモ（ご紹介するツール: Polaris Platform）
・2 : Polarisと連携したVS Codeを用いたデスクトップ解析。IDE上で開発者がコードを変更したタイミングでの即時解析デモ。（ご紹介するツール: Polaris Platform、Code Sight）
・3：GitHub Actionsを利用したSAST、SCAセキュリティ・テストの一気通貫のデモ。（ご紹介するツール:Coverity静的解析、Black Duck ソフトウェア・コンポジション解析）

今から始めるソフトウェア開発のセキュリティ対策実践講座

調査によれば、あらゆる業種の組織で AI支援コーディングなどの新しい開発プラクティスにも対応できる、堅牢で効率的なセキュリティ・プロセスの必要性を認識し始めています。一方で、AI生成コードのセキュリティに対する信頼は非常に低いものとなっています。さらに、俊敏性を損なうことなくセキュリティ・プラクティスを統合するという課題が続いており、テスト環境が複雑であるため、統合の課題、ノイズ、アラート疲れが起こっているからです。
これら、最新のソフトウェア開発の現場における課題にどのように取り組む必要があるのか、調査レポートを読み解きながら考えます。

主な内容
・ソフトウェア開発における AI利用の急速な拡大
・セキュリティ・テストのトレンド
・3つの提言

※本セミナーは2025年2月に開催したものの再配信となります。

世界のDevSecOpsの現状 2024 から読み解くソフトウェア開発におけるセキュリティ上の課題

2022年 7月以降の欧州市場における新しい車種での型式認証では、自動車メーカーとサプライヤーは、国連規則 UNECE R155 に準拠したすべてのサイバーセキュリティ要件を実装する必要があります。そして、登録車両は 2024年 7月から適合が必須となります。

この法規制への適合へ向けた一つの参考指針として、国際規格 ISO/SAE 21434:2021 が、2021年 8月 31日に発行されました。ISO/SAE 21434 に準拠した認証は、UNECE R155 要件の実装と法令順守の証明です。ISO/SAE 21434は、自動車業界におけるサイバーセキュリティ（ CSMS ）のための国際規格です。自動車に搭載されるシステムやデバイスがハッキングやサイバー攻撃の対象となることがあるため、そのリスクを最小限に抑えるために製造から廃棄までのガイドラインが定められています。

具体的には、自動車のシステム設計や開発、テスト、運用、保守において、サイバーセキュリティに関するリスクアセスメントや脅威モデリング、セキュリティ要件の定義、セキュリティテストの実施などが含まれます。 ISO/SAE 21434 の導入により、自動車業界におけるサイバーセキュリティの水準が向上し、自動車の安全性が確保されることが期待されています。

本セミナーでは、テュフズードジャパンよりISO/SAE 21434プロセスの実務への適用のポイントを、ブラック・ダックよりISO/SAE 21434で求められるセキュア開発に役立つ脆弱性事例の解説とセキュア開発ソリューションのご案内をいたします。

◆セッション1
「自動車サイバーセキュリティISO/SAE 21434 プロセス運用・実践編」
テュフズードジャパン株式会社
MO&RI事業部　モビリティエンジニアリング部　自動車サイバーセキュリティエキスパート
西田 俊子 様

国際規格 ISO/SAE 21434 自動車サイバーセキュリティエンジニアリングが発効し、自動車業界各社様におかれましては、本規格に準拠する取り組みをなされていることかと思います。
ISO/SAE 21434 は内部の各章が相互に参照している部分があり「煩雑な構成で理解しにくい」というお話をよく伺います。本セミナーでは、「8章 継続的サイバーセキュリティ活動」のサンプルプロセスをたどりながら、各章の関係性を整理してみます。それをふまえて、実務への適用を念頭においた基準・規程等の策定と運用のポイント例を解説します。

主な内容：
- ISO/SAE 21434 概要
- ISO/SAE 21434 運用の例
- ISO/SAE 21434 運用のポイント
- まとめ

◆セッション2
「自動車業界におけるサイバーセキュリティ活動の管理」
ブラック・ダック・ソフトウェア合同会社
シニア プリンシパル オートモーティブ セキュリティ ストラテジスト & エグゼクティブ アドバイザー
岡デニス健五

ISO/SAE 21434に従って、自動車業界ではプロジェクトのライフサイクル中にさまざまなサイバーセキュリティ活動を実施する必要があります。
最も重要な活動の1つは、サイバーセキュリティ計画の作成であり、この計画は他のサイバーセキュリティ活動の管理と追跡に使用されます。これらの活動には、TARA（脅威分析とリスクアセスメント）の実施、サイバーセキュリティの目標と要件の定義、セキュアな開発の実施、検証と妥当性確認の実施、さらにはサイバーセキュリティ監視、脆弱性管理、インシデント対応、セキュアなソフトウェア・アップデートなどの継続的な活動の管理が含まれます。
本セッションでは、これらの活動をレビューし、よくある落とし穴と解決策について議論します。

主な内容：
- プロジェクトのライフサイクルにおけるサイバーセキュリティ活動
- 継続的なサイバーセキュリティ活動
- サイバーセキュリティ活動のソリューション・アプローチ

※ 本セミナーは2024年11月に開催された回の再配信となります。

自動車サイバーセキュリティISO/SAE 21434対策実践講座

ソフトウェア・デファインド・ビークル（SDV）によって変革期を迎えている自動車業界において、自動車を対象としたサイバー攻撃の増加が問題となっています。
2022年1月には国際連合欧州経済委員会（UN／ECE）によって、UN-R155 自動車サイバーセキュリティ法規が施行されました。
日本でも、このUN-R155が道路運送車両法に取り込まれ、対象となる車両については、サイバーセキュリティ対策が施されていないと保安基準を満たしていないと見なされ、販売認可が得られないという状況になっています。

UN-R155 サイバーセキュリティ法規に適合するためには、自動車のサイバーセキュリティを担保する必要があります。そこで大切になってくるのが、自動車のサイバーセキュリティ法規に適合するための認証、ISO/SAE 21434です。

本セミナーでは、テュフズードジャパンよりISO/SAE 21434認証の最新動向の紹介を、ブラック・ダックよりISO/SAE 21434で求められるセキュア開発に役立つ脆弱性事例の解説とセキュア開発ソリューションのご案内をいたします。


◆セッション1
「欧州における自動車サイバーセキュリティ ISO/SAE 21434認証の動向」

テュフズードジャパン株式会社　
MO&RI事業部　エンジニアリング部　自動車サイバーセキュリティエキスパート
西田 俊子 様

自動車を対象としたサイバー攻撃が増加する中で、「国際規格ISO/SAE 21434 自動車サイバーセキュリティエンジニアリング」が発効されました。
自動車業界各社では、ISO/SAE 21434に準拠した基準・規程の整備、プロセス構築などの取り組みがなされており、欧州では認証取得の例も増えてきました。

本セミナーでは、国連協定規則UN-R155および国際標準規格ISO/SAE 21434 各々の位置づけと関係について注意すべきポイントを解説します。
ISO/SAE 21434については、製品ライフサイクルフェーズと、規格書の各章との関係、見落としがちな点について解説していきます。
そしてISO/SAE 21434認証の意義を、欧州における役割も交えながらご説明します。

主な内容：
・UN-R155 と ISO/SAE 21434との関連
・ISO/SAE 21434 概説
・ISO/SAE 21434 認証について
・まとめ


◆セッション2
「ISO/SAE 21434適合のためのセキュア開発ソリューション」

ブラック・ダック・ソフトウェア合同会社
シニア プリンシパル オートモーティブ セキュリティ ストラテジスト & エグゼクティブ アドバイザー
岡デニス健五

車載システムの開発に関連するISO/SAE 21434の要件は多数あります。
特にセキュアな開発プロセスに応じてセキュアソフトウェア開発、セキュアコーディング、OSS管理、ファジングテスト、セキュリティリスク管理の活動があります。
本セミナーでは、ブラック・ダックより、ISO/SAE 21434に基づいたプロジェクトプロセスに関連するセキュリティソリューションの最新情報についてご紹介いたします。

主な内容：
・車載システムの脆弱性事例の解説
・ISO/SAE 21434に関連サイバーセキュリティ活動の例
・車載システムのセキュアな開発プロセス
・ISO/SAE 21434の開発要件に対するソリューションの紹介

※ 本セミナーは2024年3月に開催された回の再配信となります。本講演内容は初回配信時の情報に基づいて作成されているため、一部の内容については変更されている場合があるのでご了承ください。
※ 講演中、旧社名のシノプシスの名称が出てくる場合がありますが、そのままブラック・ダックと読み替えていただけますようお願いいたします。

自動車サイバーセキュリティ最新情報 ～ISO/SAE 21434認証取得のためのセキュア開発の秘訣

今日の世界では金融サービスは社会基盤の重要な一角を占めており、突然のサービス停止は社会に多大な影響を及ぼします。ITシステムに大きく依存している金融サービスは、大規模なシステム障害やサイバーセキュリティ事故の発生を未然に防ぐ、あるいは早急に発見し対処することが強く求められています。

金融安定理事会（FSB）やバーゼル銀行監督委員会（BCBS）は言うに及ばす、米国大統領令や欧州DORA/CRAなど運用リスクやサプライチェーン・リスクについての規制や指針が出されています。企画・設計段階から運用、サービス終了までのライフサイクル全体にわたるサプライチェーンも含めたセキュリティ対策が事業継続上の必須要件となり、サービス品質の一部となっているのです。

本セッションでは、サプライチェーン攻撃の実例、サプライチェーン・リスク管理とセキュリティ・バイ・デザインの要件、ならびに実施すべきサイバーセキュリティ活動を概説し、その活動を支援するソリューションについてご紹介します。

主な内容
・ソフトウェア・サプライチェーン・リスク
・各国地域の規制状況
・セキュリティ・バイ・デザイン
・必要とされるサイバー・セキュリティ活動
・ブラック・ダックのソリューション

※本セミナーは2025年3月に開催された「第26回日本国際金融システムフォーラム 2025」での講演内容を収録したものを配信いたします。

金融分野におけるサイバーセキュリティ ― セキュリティ・バイ・デザインとサプライチェーン・リスク管理

※ 本セミナーは2024年11月に開催された回の再配信となります。
※ SGSジャパンの講演資料につきましては、Attachmentタブよりダウンロード可能です。
※ オンデマンド配信期間中はRatingタブより「資料希望」のコメントをいただいても個別送付の対応ができませんので、資料ご希望の方はこのサイトよりダウンロードしていただけますようお願いいたします。

欧州理事会は2024年10月10日、サイバー・レジリエンス法（CRA）を承認し、デジタル製品の安全性要件に関する新たな法律を採択しました。EUサイバー・レジリエンス法の対象は広範に及び、ネットワークに接続されるあらゆるデバイス、デジタル機器が規制の対象となります。また、日本においても、ETSI EN 303 645やNISTIR 8425等の国内外の規格とも調和しつつ、独自に定める適合基準（セキュリティ技術要件）に基づきIoT製品に対する適合基準への適合性を確認・可視化する、セキュリティ要件適合評価及びラベリング制度(JC-STAR)が来年より始まります。

様々な規制に対応するためにどのように取り組めばいいのか、お悩みの方も多くいらっしゃるかと思います。本セミナーではそれぞれの規制や制度について解説し、具体的な取り組みについてご提案します。

セッション①「EU、米国、日本のIoT規制を攻略するための具体策」
SGSジャパン株式会社 プロジェクトエンジニア 川崎寿之様 

EUサイバー・レジリエンス法（CRA）が施行され、IoT製品のセキュリティ規制に対する準備が急務です。しかし、法規には具体的な実施事項が明確に記されておらず、多くの企業がどのように対応すべきか悩んでいます。本セミナーでは、EUだけでなく、日本や米国でも進行中のIoT製品に対するラベリング制度の現状を整理し、対処するための具体的なアプローチ方法を紹介します。各国の異なる取り組みを統合的に捉え、グローバル市場での競争力を維持するための効果的な戦略を学びましょう。

1.CRAの概要と影響
2.日本と米国におけるIoTラベリングの最新動向
3.各国の制度の比較と対応策
4.グローバル規制に適合するための実践的なステップ

セッション②「EUサイバー・レジリエンス法（CRA）のセキュリティ要件から、求められるセキュリティ・テストを読み解く」
ブラック・ダック・ソフトウェア合同会社 シニアテクニカルマーケティングマネージャー 松岡正人

EU CRAは具体的なセキュリティ・テストの要件は示されておらず、製品の種別ごとに、ISO/IECやETSIなどのガイドラインなどを参照することが必要となると思われます。また、目的によって異なる種類のセキュリティ・テストあり、それらが開発のどの段階でどのような効果をもたらすかについては、AppSecやDevSecOpsといった枠組みで様々な文書や記事を見つけることができます。そこで、本セッションでは、EU CRAのセキュリティ要件から、想定されるセキュリティ・テストのマッピングを試み、CRAの求めるセキュアな製品の提供の実現について整理を試みます。

1. CRAの最新情報および日米のIoT機器のラベリングに関する取り組みについての概要を解説
2. CRAのサイバーセキュリティ要件と脆弱性管理要件から組織として対処すべき事柄を解説
3. サイバーセキュリティ要件から想定されうるセキュリティ・テスト要件を議論

※セミナーにお申し込みいただいた際の情報は、SGSジャパン株式会社およびブラック・ダック・ソフトウェア合同会社により、製品・サービスの案内、各種セミナーの案内といった、営業およびマーケティング活動のために使用されることがあります。
弊社プライベートポリシーの詳細については、https://www.blackduck.com/company/legal/privacy-policy.html をご参照ください。

EUサイバー・レジリエンス法（CRA）とセキュリティ要件適合評価・ラベリング制度(JC-STAR)を読み解く

現代のソフトウェア開発はますます複雑化し、オープンソースやAI生成コードの活用が広がるにつれ、これまで以上にソフトウェアのサプライチェーン・リスク管理が重要になっています。オープンソース・ソフトウェアはその特性上、常に脆弱性やライセンスのリスクが内在しているものであり、うまく活用するにはオープンソースの実態を理解し、適切に管理をすることが求められています。また、ソフトウェア・サプライチェーンを可視化し、適切に管理するために導入が進んでいるSBOM作成・管理もEU CRAや米国大統領令で義務化されている他、経産省のガイドラインやSSDFでもセキュアなソフトウェア開発を進めるためにも重要な項目として推奨されています。

今年で10回目となる年次レポート「オープンソース・セキュリティ＆リスク分析(OSSRA)レポート」では、16の業界にわたる950以上のコードベースに対する監査結果を分析しています。本レポートでは、今回の調査データを元に、OSSの利用の傾向、脆弱性やライセンスのリスクの現状、OSSのメンテナンスおよび運用面のリスクについて考察しています。

具体的には、OSSの利用がどのように変化しているか、どのような脆弱性が最も一般的であるか、そして脆弱性を放置した場合にどのようなリスクがあるのかを分析します。また、ライセンスの競合によりどのようなリスクが引き起こされるのかについて、コミュニティ活動が減少しているプロジェクトのOSSを利用するリスクについてもご説明します。

最後に、これらのリスクを低減し、適切にOSSを管理するための具体的な方法について提言を行います。オープンソースの利点を活用しつつ、リスクについても適切に管理するための具体的な施策の例をご紹介します。

主な内容
・OSSの利用の傾向
・OSSの脆弱性・ライセンス・メンテナンスのリスク
・SBOMによる管理の重要性
・OSSをセキュアに使うための提言

2025年版最新レポートを読み解く！ オープンソース・セキュリティ＆リスク分析レポート解説

今日ではあらゆる業界においてサイバーセキュリティに対する規制圧力が高まってきていますが、その中でも特に医療機関や医療機器業界は人命に関わるようなクリティカルなシステムや機器を扱う性格上、対策が強く求められる業界の一つです。改正薬機法の施行と厚労省ガイドライン最新版発行から約2年経過することもあり、改めてどのような対策が必要なのか、規制やガイドラインで求められている取り組みを確認してみましょう。
本セミナーでは医療業界の国内外の法規制や標準、ガイドラインに関する解説のほか、どのような対策が規制対応のために必要とされるのかと、その具体的なソリューションや取り組みについてもご説明します。

セッション1: 
ベンダー任せにしない、医療機関が直ちに取り組むべきセキュリティ対策
株式会社電通総研  コンサルティング本部マネージャー  高橋 淳史様

2025年から本格的に、高齢者の増加や医療従事者の不足による医療体制の維持が深刻化することが懸念されています。医療DXを推進する中で「全国医療情報プラットフォーム」の運用が開始され、電子カルテや電子処方箋など医療全般にわたる情報の共有により、日本の医療インフラの変革が本格化します。医療DXの推進をさらに加速するためには、医療機器のセキュリティ確保が喫緊の課題となっており、医療機関には、大切な医療情報を守り、不測の事態が発生しても医療活動を継続するための管理責任が求められています。本セミナーでは、安心・安全な病院のデジタル化を推進するために、2023年（令和5 年）5月に公開された「医療情報システムの安全管理に関するガイドライン第6.0版」を中心に、医療機関が直ちに取り組むべきセキュリティ対策を解説します。

セッション2：
EU CRAにも対応可能！IEC 62443に基づいた「医療情報システムの安全管理に関するガイドライン」対応
SGSジャパン株式会社 プロジェクトマネージャー   河野 喜一様

日本では、 2023年4月1日より、医療機関向けに「最新の医療情報システムの安全管理に関するガイドラインを参照したセキュリティ対策」が必要となり、医療機器ソフトウェアに対しては、JIS T 81001-5-1ヘルスソフトウェア＆ヘルスITシステムセキュリティ適合が必要となりました。（補足）医療機器ソフトウェアに対する適合は、猶予期間が2024年3月31日までありました。 
EUでも、2027年12月よりCRA（Cyber Resilience Act）が適用され、EUの医療機関でもCRAへの適合が必要となる見込みです。CRAの適合には、JIS T 81001-5-1のベースになったIEC 62443制御システムセキュリティ、RED（Radio Equipment Directive）の整合規格EN 18031無線機器セキュリティなどの適合が必要となります。
本セッションでは、医療業界のセキュリティ動向、及び、IEC 62443・EN 18031の要求事項に基づいた「医療情報システムの安全管理に関するガイドライン」についてご紹介いたします。

セッション3：
セキュリティ対策は品質の一部、各国規制を基に考える、一過性ではない医療機器のサイバーセキュリティ対策
ブラック・ダック・ソフトウェア合同会社 シニアディレクター 大森 健史

改正薬機法や米国FD&C法524B条をはじめ、世界中で医療機器のサイバーセキュリティ対策、それも企画段階から保守終了までの製品ライフサイクル全体にわたる継続的なサイバーセキュリティ活動が求められています。また、それらは独立したセキュリティ単体の活動ではなく、製品開発・保守プロセスに組み込み、品質管理の一環として実施することが求められています。ライフサイクル全体にわたるサイバーセキュリティ活動を品質管理のプロセスに組み込み、計画し、実施し、文書化するには、製品に対する知識はもちろんのこと、サイバーセキュリティについての深い造詣も必要となります。本セッションでは、今求められているサイバーセキュリティ対策を概説するとともに、ブラック・ダックがどのように医療機器ベンダーを支援できるかについてご紹介します。

今こそ法規制やガイドラインを再確認！医療機関・医療機器のセキュリティ対策セミナー

2027年までに、エンタープライズ ソフトウェア エンジニアの50%がAIを活用したコーディングツールを使用するようになるという予測があります。
AIが生成したコードを使うことで開発効率の向上が期待される一方で、開発したアプリケーションに脆弱性がないことの確認が求められます。
この講演では、ソフトウェア開発においてAIを活用する上での課題を整理し、ツールを使った対処方法をご説明します。

主な内容
• コード生成AIの現状
• コード生成AIの課題と対応すべきこと
• AIを使ったPolaris Platformのご紹介

※ 本セミナーは2024年9月に開催された回の再配信となります。
※ 講演中、旧社名のシノプシスの名称が出てくる場合がありますが、そのままブラック・ダックと読み替えていただけますようお願いいたします。

コード生成AIの活用とアプリケーション・セキュリティ

現在のソフトウェア開発において、Web APIは不可欠な技術となっています。
Webトラフィックの83%をWeb APIが占めると言われる中、近年はマイクロサービスアーキテクチャなど、Web APIを活用した新しい技術の導入がさらに加速しています。GraphQLなどAPI用のクエリ言語の活用も進んでおり、Web APIの需要はますます高まってきています。

一方で、API の可視化と統制ができていないと、重要なシステムや機微なユーザー情報の安全が脅かされます。また、APIをセキュアにする取り組みにおいては、OWASP Top 10 API Security Risksに代表されるようなWeb APIのセキュリティリスクや、シャドウAPIやゾンビAPIのように適切に管理できていないAPIの問題が報告されています。

本セミナーでは、Web APIの現状と課題を整理し、Web APIをどのようにセキュアにしていくべきか、シノプシスが提案する効率的な管理の方法を実例を交えてご紹介します。

主な内容：
・Web APIの現状
・Web APIの課題とセキュリティ・リスク
・APIのサプライチェーンリスクとシャドウAPIの検出
・APIの自動テスト
・APIのペンテスト
・Web APIをセキュアにするためのポイント

Web API セキュリティ・テストの実践

Security

Web API

API Management

APIs

Security Testing

Intellectual property law is crucial to ensuring that you or your organization have exclusive rights to that assets that you’ve created. The BrightTALK intellectual property community has thousands of professionals focused on learning and exchanging information about intellectual property management, intellectual property software and how to protect intellectual property. Join the community for access to free, interactive presentations or attend live webinars to have your questions answered by IP lawyers and industry experts.

Intellectual Property

The legal community on BrightTALK combines the fields of employment law, e-discovery, intellectual property and environmental law to create a thriving ecosystem of legal resources. Attend live and on-demand webinars dealing with employment contract law, e-discovery solutions, intellectual property software and sustainable development from leading lawyers and legal professionals to gain knowledge in a wide range of fields. Join the community and be part of the conversation by attending live legal webinars and connecting with industry thought leaders.

Legal

The IT security community on BrightTALK is composed of more than 200,000 IT security professionals trading relevant information on software assurance, network security and mobile security. Join the conversation by watching on-demand and live information security webinars and asking questions of experts and industry leaders.

IT Security

Increasing expectations for good governance, effective risk management and complex demands for corporate compliance are presenting a growing challenge for organizations of all sizes. Join industry thought leaders as they provide you with practical advice on how to implement successful risk and compliance management strategies across your organization. Browse risk management resources in the form of interactive webinars and videos and ask questions of expert GRC professionals.

IT Governance, Risk and Compliance

The application development community features top thought leadership focusing on optimal practices in software development, SDLC methodology, mobile app development and application development platforms and tools. Join top software engineers and coders as they cover emerging trends in everything from enterprise app development to developing for mobile platforms such as Android and iOS.

Application Development

Enterprise applications have become a crucial piece of infrastructure for many businesses. The enterprise applications community on BrightTALK features the latest insights in enterprise application integration, enterprise application architecture and EAS software. Join the community to gain access to thousands of videos and webinars presented by recognized enterprise information systems experts and arm yourself with the knowledge you need to succeed.

Enterprise Applications

Join thousands of engaged IT professionals in the application management community on BrightTALK. Interact with your peers in relevant webinars and videos on the latest trends and best practices for application lifecycle management, application performance management and application development.

Application Management

As an IT professional, many of the problems you face are multifaceted, complex and don’t lend themselves to simple solutions. The information technology community features useful and free information technology resources. Join to browse thousands of videos and webinars on ITIL best practices, IT security strategy and more presented by leading CTOs, CIOs and other technology experts.

Information Technology

Internal audit and compliance professionals are facing increasingly stringent regulatory requirements when it comes to compliance reporting and internal control procedures. Join the audit and compliance community to learn best practices from thought leaders on topics such as regulatory compliance, internal audit checklists and audit program strategies.

Audit and Compliance

Get powerful market trends insights that are shaping the M

Mergers and Acquisitions

The accounting and finance community on BrightTALK features presentations from leading accountants and finance professionals. The accounting community includes tax planning strategies, QuickBooks webinars and other accounting webinars, while the finance community features presentations on financial capital regulations and forensic data analytics. Join the conversation by attending live financial and accounting presentations and connecting with industry thought leaders.

Web API セキュリティ・テストの実践

Presented by

About this talk

ブラック・ダック・ソフトウェア