ステークホルダー別のHCL AppScanの導入メリット
村石氏は、HCL AppScanの機能についてさらに説明した。AIを活用した自動修正機能を備えており、開発者の負担を大幅に軽減できる。従来のセキュリティテストでは、誤検出された要素や、検出された問題同士の相関関係が不明確な場合、修正作業の効率が大きく低下していた。こうした課題に対し、HCL AppScanはAIを活用することで、検出結果の整理と修正作業の最適化を実現している。
たとえば、HCL AppScan on Cloudの自動修正機能では、生成AIが問題を要約し、修正箇所を一目で確認できる。従来は、発見された問題の詳細を把握し、適切な修正を見極めるまでに時間がかかっていたが、この機能によりプロセスが大幅に簡素化された。
さらに、HCL AppScanは開発環境との連携も強化されている。JIRA Cloudとの統合により、セキュリティチームと開発チームが双方向で修正結果を確認できるようになった。また、GitHubとの統合にも対応し、AppScan on Cloud(ASoC)との連携を通じて、開発現場におけるセキュリティ対策の自動化と効率化を実現している。
HCL AppScanの導入を検討する際、開発現場やマネジメント層にそのメリットを説明する必要がある。開発者にとっての利点はもちろんのこと、プロジェクトマネージャー(PM)や経営層にとっても有益なポイントが多いと村石氏は語る。
開発者にとってのメリットは、さまざまなセキュリティテストを1つのツールで実施できるため、負担が軽減されることだ。村石氏は「開発環境やCI/CDとの連携によって自動化が可能になり、作業の効率化につながります。これにより、日々の開発業務に影響を与えずにセキュリティ対策を進められます」と説明する。プロジェクトリーダーやPMには、自動化された脆弱性検査や多様なレポート機能が用意されており、開発の進捗管理や品質向上に役立つ。村石氏は「メンバーに対して『セキュリティテストが自動的に実施できる』と説明すれば、導入への抵抗感も少なくなるのではないでしょうか」と述べた。
さらに、プロダクト部門長、IT部門長、セキュリティ部門長といった上層部にとっての利点も大きい。HCL AppScanにはダッシュボード機能があり、組織で管理するアプリケーション全体のセキュリティ状況を俯瞰できる。レポート機能を活用すれば、必要に応じてステークホルダーへの説明資料としても活用できる。「たとえば、経営陣や外部の関係者に対し『当社はこのようなセキュリティ対策を実施しています』と明確に伝えられる点も、導入のメリットといえるでしょう」と村石氏は話す。
村石氏は講演を振り返り、HCL AppScanが静的解析や構成解析、動的解析などの多様なセキュリティテスト技術をサポートしていることを改めて示し、「これらをCI/CDパイプラインやDevOps環境に統合することで、セキュリティ対策の負担を軽減し、より簡単に実施できるようになります」と呼びかけた。
