Name: 米国大統領令、欧州サイバーレジリエンス法、ソフトウェア・サプライチェーン・リスク・マネジメントの挑戦
Start: 2023-05-10T07:00:00Z
End: 2023-05-10T07:00:51.000Z
Location: BrightTALK
Rating: 4.5

ブラック・ダックは、業界で最も包括的かつ強力で信頼できるアプリケーション・セキュリティ・ソリューション・ポートフォリオを提供します。ブラック・ダックには、世界中の組織がソフトウェアを迅速に保護し、開発環境にセキュリティを効率的に統合し、新しいテクノロジーで安全に革新できるよう支援してきた比類なき実績があります。ソフトウェア・セキュリティのリーダー、専門家、イノベーターとして認められているブラック・ダックは、ソフトウェアの信頼を築くために必要な要素をすべて備えています。

※ 本セミナーは2024年6月に開催された回の再配信となります。
※ 講演中、旧社名のシノプシスの名称が出てくる場合がありますが、そのままブラック・ダックと読み替えていただけますようお願いいたします。

脅威モデリングは、ソフトウェアとシステムおよびその稼働環境をモデル化し、適用可能な脅威を特定するための手法です。
脅威モデリングにより特定された脅威は、その発現可能性や影響度合いをもとにリスク判定されます。
また、その結果を受けて、リスクを受容可能なレベルまで緩和するための対策を特定し、セキュリティ要件として定義するとともに、リスクが軽減されていることを確認するためのテストをセキュリティ・テストの一環として計画することが期待されます。

これらの一連の取り組みは、各種サイバーセキュリティ関連法案や標準にて実施が推奨あるいは要求されています。
脅威モデリングは正にサイバーセキュリティ対策の根幹をなす取り組みだといっても過言ではないでしょう。
 
AppSecの専門家集団であるブラック・ダックでは、コンサルティング・サービスとして脅威モデリングの実施、教育、および手順書作成支援などのサービスを提供しており、多くのお客様環境に対する経験から日々脅威モデリングを進化させています。
そこで、脅威モデリングに関する昨今の動向と、実践的な脅威モデリングの手法を紹介するセミナーを実施いたします。
 
主な内容
- 脅威モデリングの概要とメリット、および必要性
- 脅威モデリングを実施する上での前提知識と前提条件
- ブラック・ダックの脅威モデリング手法
- Q&A

サイバーセキュリティ対策の根幹をなす「脅威モデリング」最新動向

※本セミナーは、2024年4月3日に開催された回の再配信となります。
※本セミナーは、2024年3月の Security Days Spring 2024 における講演と同内容です。

EU CRA、IMDRF、FDAや米国大統領令など、世界中で登場した様々な規制において、新たにSBOMというソフトウェアのリスク管理のツールが登場しました。
実際の運用開始はこれからということもあり、どのように試行錯誤するのが良いか悩んでいる組織が少なくないと思います。
本講演では、ブラック・ダックが発行している同名のガイドをもとに、具体的な確認事項と対処方法について考えていきます。

主な内容：
・より安全な製品やサービスの実現のために
・EU CRA、IMDRF、FDAや米国大統領令など規制の現状
・脆弱性管理 ≠ SBOM
・6つの提言に基づいた具体的なSBOM作成のプラクティス

「単なる文書」で終わらせない SBOM 作成のための処方箋

昨今のソフトウェア開発の現場では、開発規模が大きくなり、クラウドベースの開発が一般的になっているため、従来のテストツールでは対応が間に合わないケースが出てくるようになってきています。開発コスト削減のための納期の短縮や開発プロセスの効率化はもちろん重要ですが、同時にアプリケーションの脆弱性を狙ったサイバー攻撃に備えたセキュリティ対策も必要です。

そういった背景の中、多くの開発現場においてDevSecOpsの取り組みが進められています。各開発工程で必要なセキュリティ対策をプロセスに組み込み、セキュリティの問題を早期に発見し対策することで、開発スピードを落とすことなくセキュアなソフトウェア開発を実現します。ソフトウェア開発環境が変化していく中で AppSecツールに求められる機能も大きく変わってきており、より使いやすく適切なテスト管理も実現するための機能追加が求められています。

このセミナーでは弊社調査結果から明らかになったソフトウェア開発のトレンドや現状を解説し、Coverity が皆様の様々な開発をサポートするために近年追加された機能と新たにユーザーの皆様に提供できる価値をご説明します。本セミナーは主にすでにCoverityをお使いの方向けの内容となりますため、Coverityの基本的な機能概要の説明は省略いたしますのでご了承ください。

主な内容：
・弊社調査レポートから見る開発環境のトレンド
・トレンドに対応する Coveirty の新機能
          1. Cloud Native Coverity : クラウドリソースを活用、大規模な開発支えるプラットフォーム
          2. Coverity CLI : 簡易な解析設定により、CI/CD へのスムーズな統合を実現
          3. Rapid Scan Static : パイプライン実施時間の短縮を実現する、検出内容を絞ることで高速な解析を可能にした解析エンジン
   4. REST API : シンプルなインタフェースで Coverity の情報へアクセス。DevSecOps の情報収集/更新タスクをサポート

Coverity アップデートセミナー ～開発現場の現状と新機能活用のススメ～

今日の世界では金融サービスは社会基盤の重要な一角を占めており、もし突然のサービス停止が起こると社会に多大な影響を及ぼします。通常ITシステムに大きく依存している金融サービスは、大規模なシステム障害やサイバーセキュリティ事故の発生を未然に防ぐ、あるいは早急に発見し対処することが強く求められています。
金融安定理事会（FSB）やバーゼル銀行監督委員会（BCBS）は言うに及ばす、米国大統領令や欧州CRAなど運用リスクやサプライチェーン・リスクについての規制や指針が出されており、世界の標準への準拠が喫緊の課題となっています。サプライチェーンも含めたライフサイクル全体にわたるサイバーセキュリティ対策が事業継続上の必須要件となり、またサービス品質の一部となっているのが現状です。
本セッションでは、具体的なサプライチェーン攻撃の実例と規制要件の概要、および実施が求められているサイバーセキュリティ活動を概説し、その活動を支援するソリューションについてご紹介します。

主な内容

・金融業界におけるソフトウェア・サプライチェーン・リスク
・各国の規制状況
・必要とされるサイバーセキュリティ活動
・ブラック・ダックのソリューション

金融分野におけるサイバーセキュリティ ― ソフトウェア・ライフサイクル全体にわたるセキュリティとサプライチェーン・リスク管理

2022年 7月以降の欧州市場における新しい車種での型式認証では、自動車メーカーとサプライヤーは、国連規則 UNECE R155 に準拠したすべてのサイバーセキュリティ要件を実装する必要があります。そして、登録車両は 2024年 7月から適合が必須となります。

この法規制への適合へ向けた一つの参考指針として、国際規格 ISO/SAE 21434:2021 が、2021年 8月 31日に発行されました。ISO/SAE 21434 に準拠した認証は、UNECE R155 要件の実装と法令順守の証明です。ISO/SAE 21434は、自動車業界におけるサイバーセキュリティ（ CSMS ）のための国際規格です。自動車に搭載されるシステムやデバイスがハッキングやサイバー攻撃の対象となることがあるため、そのリスクを最小限に抑えるために製造から廃棄までのガイドラインが定められています。

具体的には、自動車のシステム設計や開発、テスト、運用、保守において、サイバーセキュリティに関するリスクアセスメントや脅威モデリング、セキュリティ要件の定義、セキュリティテストの実施などが含まれます。 ISO/SAE 21434 の導入により、自動車業界におけるサイバーセキュリティの水準が向上し、自動車の安全性が確保されることが期待されています。

本セミナーでは、テュフズードジャパンよりISO/SAE 21434プロセスの実務への適用のポイントを、ブラック・ダックよりISO/SAE 21434で求められるセキュア開発に役立つ脆弱性事例の解説とセキュア開発ソリューションのご案内をいたします。

◆セッション1
「自動車サイバーセキュリティISO/SAE 21434 プロセス運用・実践編」
テュフズードジャパン株式会社
MO&RI事業部　モビリティエンジニアリング部　自動車サイバーセキュリティエキスパート
西田 俊子 様

国際規格 ISO/SAE 21434 自動車サイバーセキュリティエンジニアリングが発効し、自動車業界各社様におかれましては、本規格に準拠する取り組みをなされていることかと思います。
ISO/SAE 21434 は内部の各章が相互に参照している部分があり「煩雑な構成で理解しにくい」というお話をよく伺います。本セミナーでは、「8章 継続的サイバーセキュリティ活動」のサンプルプロセスをたどりながら、各章の関係性を整理してみます。それをふまえて、実務への適用を念頭においた基準・規程等の策定と運用のポイント例を解説します。

主な内容：
- ISO/SAE 21434 概要
- ISO/SAE 21434 運用の例
- ISO/SAE 21434 運用のポイント
- まとめ

◆セッション2
「自動車業界におけるサイバーセキュリティ活動の管理」
ブラック・ダック・ソフトウェア合同会社
シニア プリンシパル オートモーティブ セキュリティ ストラテジスト & エグゼクティブ アドバイザー
岡デニス健五

ISO/SAE 21434に従って、自動車業界ではプロジェクトのライフサイクル中にさまざまなサイバーセキュリティ活動を実施する必要があります。
最も重要な活動の1つは、サイバーセキュリティ計画の作成であり、この計画は他のサイバーセキュリティ活動の管理と追跡に使用されます。これらの活動には、TARA（脅威分析とリスクアセスメント）の実施、サイバーセキュリティの目標と要件の定義、セキュアな開発の実施、検証と妥当性確認の実施、さらにはサイバーセキュリティ監視、脆弱性管理、インシデント対応、セキュアなソフトウェア・アップデートなどの継続的な活動の管理が含まれます。
本セッションでは、これらの活動をレビューし、よくある落とし穴と解決策について議論します。

主な内容：
- プロジェクトのライフサイクルにおけるサイバーセキュリティ活動
- 継続的なサイバーセキュリティ活動
- サイバーセキュリティ活動のソリューション・アプローチ

自動車サイバーセキュリティISO/SAE 21434対策実践講座

欧州理事会は2024年10月10日、サイバー・レジリエンス法（CRA）を承認し、デジタル製品の安全性要件に関する新たな法律を採択しました。EUサイバー・レジリエンス法の対象は広範に及び、ネットワークに接続されるあらゆるデバイス、デジタル機器が規制の対象となります。また、日本においても、ETSI EN 303 645やNISTIR 8425等の国内外の規格とも調和しつつ、独自に定める適合基準（セキュリティ技術要件）に基づきIoT製品に対する適合基準への適合性を確認・可視化する、セキュリティ要件適合評価及びラベリング制度(JC-STAR)が来年より始まります。

様々な規制に対応するためにどのように取り組めばいいのか、お悩みの方も多くいらっしゃるかと思います。本セミナーではそれぞれの規制や制度について解説し、具体的な取り組みについてご提案します。

セッション①「EU、米国、日本のIoT規制を攻略するための具体策」
SGSジャパン株式会社 プロジェクトエンジニア 川崎寿之様 

EUサイバー・レジリエンス法（CRA）が施行され、IoT製品のセキュリティ規制に対する準備が急務です。しかし、法規には具体的な実施事項が明確に記されておらず、多くの企業がどのように対応すべきか悩んでいます。本セミナーでは、EUだけでなく、日本や米国でも進行中のIoT製品に対するラベリング制度の現状を整理し、対処するための具体的なアプローチ方法を紹介します。各国の異なる取り組みを統合的に捉え、グローバル市場での競争力を維持するための効果的な戦略を学びましょう。

1.CRAの概要と影響
2.日本と米国におけるIoTラベリングの最新動向
3.各国の制度の比較と対応策
4.グローバル規制に適合するための実践的なステップ

セッション②「EUサイバー・レジリエンス法（CRA）のセキュリティ要件から、求められるセキュリティ・テストを読み解く」
ブラック・ダック・ソフトウェア合同会社 シニアテクニカルマーケティングマネージャー 松岡正人

EU CRAは具体的なセキュリティ・テストの要件は示されておらず、製品の種別ごとに、ISO/IECやETSIなどのガイドラインなどを参照することが必要となると思われます。また、目的によって異なる種類のセキュリティ・テストあり、それらが開発のどの段階でどのような効果をもたらすかについては、AppSecやDevSecOpsといった枠組みで様々な文書や記事を見つけることができます。そこで、本セッションでは、EU CRAのセキュリティ要件から、想定されるセキュリティ・テストのマッピングを試み、CRAの求めるセキュアな製品の提供の実現について整理を試みます。

1. CRAの最新情報および日米のIoT機器のラベリングに関する取り組みについての概要を解説
2. CRAのサイバーセキュリティ要件と脆弱性管理要件から組織として対処すべき事柄を解説
3. サイバーセキュリティ要件から想定されうるセキュリティ・テスト要件を議論

※セミナーにお申し込みいただいた際の情報は、SGSジャパン株式会社およびブラック・ダック・ソフトウェア合同会社により、製品・サービスの案内、各種セミナーの案内といった、営業およびマーケティング活動のために使用されることがあります。
弊社プライベートポリシーの詳細については、https://www.blackduck.com/company/legal/privacy-policy.html をご参照ください。

EUサイバー・レジリエンス法（CRA）とセキュリティ要件適合評価・ラベリング制度(JC-STAR)を読み解く

現代のWebアプリケーションは、ビジネスの中核を担う存在となっており、そのセキュリティはますます重要視されています。
DevSecOpsの考え方に基づき、開発段階と運用段階それぞれでセキュリティに対して責任を持ち、対策を実施することが不可欠です。

開発段階では、セキュリティを早期に組み込み、脆弱性の早期発見と修正が重要です。一方運用段階では、システムの変化に応じて脅威に対応するための継続的なセキュリティ対策が求められます。

本Webinarでは、Webアプリケーションセキュリティの主要な問題を背景に、DAST(ダイナミック・アプリケーション・セキュリティ・テスト)に焦点を当て、DASTがどのようにこれらの課題に対処し、攻撃リスクを低減できるかを紹介します。

主な内容
・Webアプリケーション・セキュリティの動向
・Webアプリケーション開発におけるDevSecOps
・開発・運用それぞれの観点での課題
・DASTによる課題解決のポイント

DASTで実現するWebアプリケーションセキュリティ～開発と運用、両方で取り組むリスク対策～

2027年までに、エンタープライズ ソフトウェア エンジニアの50%がAIを活用したコーディングツールを使用するようになるという予測があります。
AIが生成したコードを使うことで開発効率の向上が期待される一方で、開発したアプリケーションに脆弱性がないことの確認が求められます。
この講演では、ソフトウェア開発においてAIを活用する上での課題を整理し、ツールを使った対処方法をご説明します。

コード生成AIの活用とアプリケーション・セキュリティ

ソフトウェアの複雑化が進む現代において、サプライチェーン全体の可視性と管理はセキュリティ上の大きな課題となっています。
本講演では、SBOM（ソフトウェア部品表）がどのようにソフトウェア・サプライチェーンのセキュリティを強化するかについて探ります。
オープンソース・ソフトウェアのSBOMの生成、管理、利用方法を説明し、潜在的な脆弱性とライセンス競合の特定と対策についてご説明します。
セキュリティ担当者だけでなく、開発者やプロジェクトマネージャーにも有益な内容となっています。

ソフトウェア・サプライチェーン・セキュリティの最前線：SBOMの導入と活用

※本セミナーは、2024年4月に実施したセミナーと同じ内容です。ご質問は、Attachmentsタブのフォームよりお寄せ下さい

ここ数年、システム侵害による情報漏洩や事業停止のニュースを毎日のように目にするようになりました。
このような侵害の原因の多くには、他社製・自社製を問わずソフトウェアの欠陥があることが認識されてきています。

このような状況下において、開発現場の肌感覚としても、システム開発におけるセキュリティ・テストは必須であると考えられるようになってきているのではないでしょうか。
しかしながら、テストの実行者や担当者に目を向けると、この分野における人材の確保は、昨今ますます困難な状況となっています。
また、「どの製品もスペックは満たしているように見えるが自社の運用のイメージが見えて来ない。結果として見つけられる脆弱性の数や価格だけが比較対象となっており、数あるツールやサービスから何を選択すべきか分からない」といったご相談や、「実際にツールやサービスを購入したが、対処したいと考えていた脅威の動向や規制当局の要求に対してターゲットやテスト手法が異なっていた」というような失敗談も耳にします。

本セミナーでは、セキュア開発のために最適なツールとサービスの選択を支援すべく、ソフトウェアのセキュリティ・テストの一丁目一番地ともいえる「脆弱性診断」と「ペネトレーション・テスト」についてもう一度その基本的な知識からこれらの違い、さらに最新のトレンドまで解説します。 
また、シノプシスのソリューションの中から「Polaris fAST Dynamic」、「3D（サブスク型のマネージド・アプリケーション・セキュリティ・テスト）」と「WhiteHat Dynamic」にスポットを当てて、ソフトウェア開発における実践的な活用方法をご紹介します。

主な内容
・ソフトウェア開発の各フェーズにおけるセキュリティ・テスト解説
・脆弱性診断とペネトレーション・テストの違いと現在のトレンド
・リリース前のテストだけで十分では無い理由
・私ならこうする！シノプシスのセキュリティ・テストの使い方

そのセキュリティ・テスト、あなたのプロジェクトに最適ですか？　～脆弱性診断とペネトレーション・テストの選び方、使い方を徹底解説～

2024年7月より、UN-R155におけるCSMS適合開発が必須となりました。
また、UN-R156においてRxSWINを必須にする検討もなされています。
これらの要件を満たすために、セキュアなソフトウェア開発ライフサイクルを確立することが急務となっています。

本セミナーでは、SGSジャパンよりUN-R155/UN-R156の動向および関連規格について、日本シノプシスよりセキュアなソフトウェア開発ライフサイクルを確立するためのソリューションについてご紹介します。


セッション①「2024年7月よりUN-R155のCSMSが本格適用！UN-R155/156の最新動向」
SGSジャパン株式会社 C&P Connectivity Functional Safety プロジェクトマネージャ 河野 喜一様

2024年7月より、UN-R155におけるCSMS適合開発が必須になりました。また、UN-R156におけるRxSWINを必須にする検討がされています。本セミナーでは、テクニカルサービスの資格を持つSGS-TUEVの知見に基づき、UN-R155/UN-R156の動向、及び関連規格についてご説明いたします。

・UN-R155/156の動向
・ISO/SAE 21434・ISO 24089と関連規格
・適用時の課題と対策例


セッション②「CSMSの一環としてのセキュアなソフトウェア開発ライフサイクル」
日本シノプシス合同会社 プリンシパル・オートモーティブ・セキュリティ・ストラテジスト 岡デニス健五

UN-R155とUN-R 156は、サイバーセキュリティ（CSMS)とソフトウェアアップデート（SUMS)の管理システムを義務付けています。これらの要件を満たすために、組織は関連プロセスを確立し、活動を実施することが必要です。中でもセキュアなソフトウェア開発が重点分野のひとつとして挙げられています。
本セッションでは、UN-R155で要求されているサイバーセキュリティマネジメントシステム（CSMS）の構築を行ううえでの参照規格となっているISO/SAE 21434のいくつかの要件に着目し、組織がセキュアなソフトウェア開発ライフサイクルを確立し、これらの要件を満たすためのソリューションについて説明します。
さらに、これらのソリューションを用いて、開発者が脆弱性を早期に発見し修正するためのシフトレフトと自動化を支援し、コスト削減につなげる方法をご紹介します。

・CSMSとISO/SAE 21434の関連
・セキュアなソフトウェア開発ライフサイクルの確立
・適切なAppSecソリューションの導入

2024年7月よりUN-R155のCSMSが本格適用！UN-R155/156の最新動向

IMDRFや米国FD&C法をはじめとして、医療機器およびヘルスソフトウェアに対するサイバーセキュリティ対策の規制が厳格化しています。
2024年4月よりJIS T 81001-5-1が必須となった改正薬機法でも、開発・製造時はもちろんのこと、計画策定時から販売後の脆弱性情報収集/対応まで、ライフサイクル全体にわたるサイバーセキュリティ管理体制の構築とプロセスの整備が求められています。

本セミナーでは、SGSジャパンより医療機器・ヘルスソフトウェアに関わるセキュリティ法規・規制の概要を、日本シノプシスよりそれらに対応するためのソフトウェア・セキュリティ・ソリューションをご紹介いたします。


◆セッション1
「2024年4月より薬機法でも採用！医療機器セキュリティ法規・規制概要」
SGSジャパン株式会社　C&P Connectivity Functional Safety　プロジェクトマネージャ　河野 喜一様　

医療機器セキュリティ法規・規制の動向およびそれにより指定されているIEC 62443-4-1・IEC 81001-5-1（JIS T 81001-5-1）に従ったソフトウェアのセキュリティ開発プロセスについてご説明いたします。
　－医療機器のセキュリティ問題例
　－医療機器のセキュリティ法規と規格
　－医療機器のセキュリティ規格IEC 81001-5-1/IEC 62443


◆セッション2
「医療機器サイバーセキュリティ対策：JIS T 81001-5-1で求められるセキュリティ・テストとSBOM管理」
日本シノプシス合同会社　ソフトウェア・インテグリティ・グループ シニア・セールス・エンジニア　中野 哲也

近年、医療機器を狙うサイバー攻撃が巧妙化しており、患者の安全と組織の信頼を守るために、適切な対策が不可欠です。本セッションでは、本年から適合要件基準として採用されたJIS T 81001-5-1および医療機器のサイバーセキュリティ導入に関する手引書の内容から、医療機器サイバーセキュリティ対策で求められるセキュリティ・テストとSBOM管理の重要性と具体的な方法について説明します。


◆セッション3
「今求められる医療機器のサイバーセキュリティ対策と、それを支援するコンサルティング・サービス」
日本シノプシス合同会社　ソフトウェア・インテグリティ・グループ マネージング・プリンシパル　大森 健史

医療機器の製品ライフサイクルで必要とされている多岐にわたるサイバーセキュリティ活動を計画し、実施し、文書化するには、製品に対する知識はもちろんのこと、サイバーセキュリティについての深い造詣も必要となります。本セッションでは、今求められているサイバーセキュリティ対策を概説するとともに、シノプシス SIGが提供するコンサルティング・サービスの代表例として、サイバーセキュリティ・ポリシー/プロセス改善支援、SBOM管理改善支援、脅威モデリング、ペネトレーション・テストについてご紹介します。

対応できていますか？医療機器セキュリティ法規整合規格IEC 81001-5-1・IEC 62443概説と実践的対策

PwCコンサルティング合同会社と日本シノプシス合同会社は2024年3月、製造業におけるソフトウェア・サプライチェーン管理としてソフトウェア部品表（SBOM）を意識している日本企業を対象に、セキュリティ対策状況に関する調査を実施し、レポートにまとめました。

本セミナーはパネル・ディスカッション形式で開催いたします。パネリストとして、レポートの執筆者であるPwCコンサルティングの伊藤氏、サイバーセキュリティに造詣の深い日本経済新聞社の寺岡氏をお迎えし、同じく執筆者の日本シノプシスの松岡がモデレータ兼パネリストとして、それぞれの興味や視点から日本企業におけるソフトウェア・サプライチェーンの課題や現状について議論します。

「ソフトウェアサプライチェーン実態調査 SBOMを活用したサプライチェーン管理の課題」 を読み解く

※本セミナーは、2023年12月に開催された「第11回 自動車機能安全カンファレンス」における講演内容と同じです。
ご質問がある場合は、「Attachments」タブに表示されておりますお問い合わせフォームよりご連絡ください。
講演資料のダウンロードも、「Attachments」タブよりご利用いただけます。

SDV（ソフトウェアデファインドビークル）の台頭に伴い、自動車業界におけるソフトウェア開発手法は、リリースサイクルを短縮したアジャイルアプローチに従うように変化しています。
そのため、効率と市場投入までの時間を改善するために、自動化とテストへの注目が高まっています。

テストを強化することで、開発中の不具合を早期に発見し修正することが可能になり、サイバーセキュリティリスクとコストの削減につながります。結果としてより早いリリースが可能となります。

このような新しいソフトウェア開発アプローチでは、ソフトウェア開発ライフサイクル全体のサイバーセキュリティリスク管理が必須となります。本講演では、ソフトウェア開発ライフサイクルにおけるサイバーセキュリティリスク管理方法のワークフロー例を紹介します。

主な内容
・変化する車業界の開発
・アジャイルアプローチのソフトウェア開発
・サイバーセキュリティ懸念事項の事例
・製品セキュリティプラットフォーム
・セキュアなソフトウェア開発ライフサイクル
・コンプライアンス要件・ポリシーの定義
・サイバーセキュリティリスクとコンプライアンス

【自動車業界向け】アジャイルアプローチのソフトウェア開発におけるサイバーセキュリティリスク管理

アプリケーション・セキュリティにおいて、開発初期からセキュリティ要件を組み込み、迅速な開発とセキュリティの両立を目指す"DevSecOps"が重要なキーワードとなっています。

セキュリティ要件を満たすためには、アプリケーションに含まれる脆弱性やサプライチェーンマネジメントなど、幅広い対応が求められており、ツールを使用した自動化が一般的です。

また近年では、容易な導入と柔軟なスケーリングが可能なSaaSソリューションが注目されており、セキュリティ・ツールもクラウド環境への適応が進んでいます。

一方で、多種多様なツールの導入や管理には手間・コストがかかるという悩みも耳にします。

このような背景を受け、シノプシスはSaaS型アプリケーション・セキュリティ・ソリューションであるPolaris Software Integrity Platform（以下、Polaris）をご提供しています。

Polarisでは、シノプシスのSAST（ソースコード静的解析）、SCA（ソフトウェア・コンポジション解析）、DAST（動的解析）エンジンを統合し、ひとつのプラットフォームでの実行、結果確認を実現します。

また、CI/CDへのインテグレーションやポリシー設定、プロジェクトマネジメントに使用できるダッシュボードなど、DevSecOpsに取り組む方のニーズに合わせて最適化されております。

本セミナーでは、開発者とセキュリティ担当者それぞれの視点から、DevSecOpsの実現に向けた課題を整理し、Polarisを活用した解決方法をご紹介します。

【主な内容】
・Polaris の概要と特長の紹介
・静的解析、動的解析、ソフトウェア・コンポジション解析についての解説
・プロジェクトのセキュリティ対応状況の可視化の手法
・継続的なテストとDevSecOpsベストプラクティス
・ソリューションデモ

SaaSで加速させるDevSecOps：セキュリティとスピードの両立

脅威モデリングは、ソフトウェアとシステムおよびその稼働環境をモデル化し、適用可能な脅威を特定するための手法です。
脅威モデリングにより特定された脅威は、その発現可能性や影響度合いをもとにリスク判定されます。
また、その結果を受けて、リスクを受容可能なレベルまで緩和するための対策を特定し、セキュリティ要件として定義するとともに、リスクが軽減されていることを確認するためのテストをセキュリティ・テストの一環として計画することが期待されます。

これらの一連の取り組みは、各種サイバーセキュリティ関連法案や標準にて実施が推奨あるいは要求されています。
脅威モデリングは正にサイバーセキュリティ対策の根幹をなす取り組みだといっても過言ではないでしょう。
 
AppSecの専門家集団であるシノプシスSIGでは、コンサルティング・サービスとして脅威モデリングの実施、教育、および手順書作成支援などのサービスを提供しており、多くのお客様環境に対する経験から日々脅威モデリングを進化させています。
そこで、脅威モデリングに関する昨今の動向と、実践的な脅威モデリングの手法を紹介するセミナーを実施いたします。
 
主な内容
- 脅威モデリングの概要とメリット、および必要性
- 脅威モデリングを実施する上での前提知識と前提条件
- シノプシスの脅威モデリング手法
- Q&A

ここ数年、システム侵害による情報漏洩や事業停止のニュースを毎日のように目にするようになりました。
このような侵害の原因の多くには、他社製・自社製を問わずソフトウェアの欠陥があることが認識されてきています。

このような状況下において、開発現場の肌感覚としても、システム開発におけるセキュリティ・テストは必須であると考えられるようになってきているのではないでしょうか。
しかしながら、テストの実行者や担当者に目を向けると、この分野における人材の確保は、昨今ますます困難な状況となっています。
また、「どの製品もスペックは満たしているように見えるが自社の運用のイメージが見えて来ない。結果として見つけられる脆弱性の数や価格だけが比較対象となっており、数あるツールやサービスから何を選択すべきか分からない」といったご相談や、「実際にツールやサービスを購入したが、対処したいと考えていた脅威の動向や規制当局の要求に対してターゲットやテスト手法が異なっていた」というような失敗談も耳にします。

本セミナーでは、セキュア開発のために最適なツールとサービスの選択を支援すべく、ソフトウェアのセキュリティ・テストの一丁目一番地ともいえる「脆弱性診断」と「ペネトレーション・テスト」についてもう一度その基本的な知識からこれらの違い、さらに最新のトレンドまで解説します。 
また、シノプシスのソリューションの中から「Polaris fAST Dynamic」、「3D（サブスク型のマネージド・アプリケーション・セキュリティ・テスト）」と「WhiteHat Dynamic」にスポットを当てて、ソフトウェア開発における実践的な活用方法をご紹介します。

主な内容
・ソフトウェア開発の各フェーズにおけるセキュリティ・テスト解説
・脆弱性診断とペネトレーション・テストの違いと現在のトレンド
・リリース前のテストだけで十分では無い理由
・私ならこうする！シノプシスのセキュリティ・テストの使い方

ソフトウェア開発や商用ソフトウェアにおけるOSS利用が拡大の一途をたどっていることを背景に、ソフトウェアに含まれるOSSとそのリスクの把握が大きな課題となっています。
2021年の米国大統領令や、NIST SP800-218、Secure Software Development Framework(SSDF)、CRA(欧州サイバーレジリエンス法案)などの法規制やガイドラインでも、SBOM（ソフトウェア部品表）を使ったソフトウェア・サプライチェーン・リスク管理について言及されています。

シノプシスのオープンソース・セキュリティ&リスク分析レポート2024年版は、17業種にわたり1,000を超える商用のコードベースに含まれるOSSを監査した結果から得られたOSSの利用状況とリスクの現状、それらの分析をまとめたレポートの最新版です。

本セミナーでは、最新版のレポートをベースにOSS利用とそれに伴うリスクの現状を整理し紹介します。また、OSSのみならずソフトウェア・サプライチェーン全体のリスクを包括的なSBOMで管理する方法を紹介します。
あわせて新たに発表されたBlack Duck Supply Chain Editionについてもご紹介します。
Black Duck Supply Chain Editionは、オープンソース検出技術、サードパーティー製ソフトウェア部品表（SBOM）自動解析機能、マルウェア検出機能を組み合わせることで、オープンソースやサードパーティー製、AI生成のコードに由来するソフトウェア・リスクを包括的に把握することを可能にします。

主な内容
- OSSの利用の傾向と脆弱性やライセンスのリスクの現状
- OSSを含めたソフトウェア・サプライチェーンのリスク
- OSSとそのリスクを適切に管理するための手法と課題の整理
- シノプシスが提案する効率的なソフトウェア・サプライチェーン管理
- Q&A

OSSRA レポート2024年版解説とSBOMによるサプライチェーン管理のベストプラクティス

※本セミナーは、2023年3月に開催されたSecurity Days Spring 2023での講演と同じ内容です。

米国大統領令、欧州サイバーレジリエンス法（CRA）などの規制や法令が誕生し、ソフトウェア・サプライチェーン・セキュリティあるいはソフトウェア・サプライチェーン・リスク・マネジメント（SSCRM）といったキーワードが登場しています。
また、これに伴いソフトウェア部品表（SBOM）の導入が進んでいます。

一方で、SBOMの標準書式であるSPDXは進化を続けているものの、SBOMを管理作成するための課題も残されているため、米国ではSBOMに対してネガティブな意見も出始めています。

本講演では、現状を踏まえ、これらを適用するための基本的な考え方と、基礎を成す技術とその課題について議論します。

米国大統領令、欧州サイバーレジリエンス法、ソフトウェア・サプライチェーン・リスク・マネジメントの挑戦

Security

SBOM

DevSecOps

DevOps

Intellectual property law is crucial to ensuring that you or your organization have exclusive rights to that assets that you’ve created. The BrightTALK intellectual property community has thousands of professionals focused on learning and exchanging information about intellectual property management, intellectual property software and how to protect intellectual property. Join the community for access to free, interactive presentations or attend live webinars to have your questions answered by IP lawyers and industry experts.

Intellectual Property

The legal community on BrightTALK combines the fields of employment law, e-discovery, intellectual property and environmental law to create a thriving ecosystem of legal resources. Attend live and on-demand webinars dealing with employment contract law, e-discovery solutions, intellectual property software and sustainable development from leading lawyers and legal professionals to gain knowledge in a wide range of fields. Join the community and be part of the conversation by attending live legal webinars and connecting with industry thought leaders.

Legal

The IT security community on BrightTALK is composed of more than 200,000 IT security professionals trading relevant information on software assurance, network security and mobile security. Join the conversation by watching on-demand and live information security webinars and asking questions of experts and industry leaders.

IT Security

Increasing expectations for good governance, effective risk management and complex demands for corporate compliance are presenting a growing challenge for organizations of all sizes. Join industry thought leaders as they provide you with practical advice on how to implement successful risk and compliance management strategies across your organization. Browse risk management resources in the form of interactive webinars and videos and ask questions of expert GRC professionals.

IT Governance, Risk and Compliance

The application development community features top thought leadership focusing on optimal practices in software development, SDLC methodology, mobile app development and application development platforms and tools. Join top software engineers and coders as they cover emerging trends in everything from enterprise app development to developing for mobile platforms such as Android and iOS.

Application Development

Enterprise applications have become a crucial piece of infrastructure for many businesses. The enterprise applications community on BrightTALK features the latest insights in enterprise application integration, enterprise application architecture and EAS software. Join the community to gain access to thousands of videos and webinars presented by recognized enterprise information systems experts and arm yourself with the knowledge you need to succeed.

Enterprise Applications

Join thousands of engaged IT professionals in the application management community on BrightTALK. Interact with your peers in relevant webinars and videos on the latest trends and best practices for application lifecycle management, application performance management and application development.

Application Management

As an IT professional, many of the problems you face are multifaceted, complex and don’t lend themselves to simple solutions. The information technology community features useful and free information technology resources. Join to browse thousands of videos and webinars on ITIL best practices, IT security strategy and more presented by leading CTOs, CIOs and other technology experts.

Information Technology

Internal audit and compliance professionals are facing increasingly stringent regulatory requirements when it comes to compliance reporting and internal control procedures. Join the audit and compliance community to learn best practices from thought leaders on topics such as regulatory compliance, internal audit checklists and audit program strategies.

Audit and Compliance

Get powerful market trends insights that are shaping the M

Mergers and Acquisitions

The accounting and finance community on BrightTALK features presentations from leading accountants and finance professionals. The accounting community includes tax planning strategies, QuickBooks webinars and other accounting webinars, while the finance community features presentations on financial capital regulations and forensic data analytics. Join the conversation by attending live financial and accounting presentations and connecting with industry thought leaders.

米国大統領令、欧州サイバーレジリエンス法、ソフトウェア・サプライチェーン・リスク・マネジメントの挑戦

Presented by

About this talk

More from this channel