p>DevSecOps enables integration of security testing earlier in the software development lifecycle (SDLC). This is commonly referred to as “shifting security left” or “shift left.” DevSecOps enables seamless application security earlier in the software development lifecycle, rather than at the end when vulnerability findings requiring mitigation are more difficult and costly to implement. DevSecOps is an extension of DevOps , and is sometimes referred to as Secure DevOps. While DevOps can mean different things to different people or organizations, it entails both cultural and technical changes. Ideally, security is an implied requirement of successful DevOps. DevSecOps requires planning application and infrastructure security from the start. The right tools can help meet the goal of continuously integrated security, including such decisions as selecting an integrated development environment (IDE) with security features. The tools and process must also be able to automate some security gates to keep from slowing down the DevOps workflow.

What are the Benefits of DevSecOps?

DevSecOps enables enhanced automation throughout the software delivery pipeline to eliminate coding mistakes and ultimately reduce breaches . Teams that implement DevSecOps tools and processes to integrate security into their DevOps framework will be able to release secure software faster. Developers can test code for security and detect security flaws as code is written. Teams should be able to use existing development tools to improve the security aspect of web application development.

What are key components of DevSecOps?

DevSecOps approaches may include these important components: Application/API Inventory Automate the discovery, profiling, and continuous monitoring of the code across the portfolio. This may include production code in data centers, virtual environments, private clouds, public clouds, containers, serverless, and more. Use a combination of automated discovery and self-inventory tools. Discovery tools help you identify what applications and APIs you have. Self-reporting tools enable your applications to inventory themselves and report their metadata to a central database. Custom Code Security Continuously monitor software for vulnerabilities throughout development, test, and operations. Deliver code frequently so vulnerabilities can be identified quickly with each code update. Static Application Security Testing (SAST) scans the application source files, accurately identifies the root cause and helps remediate the underlying security flaws. Dynamic Application Security Testing (DAST) simulates controlled attacks on a running web application or service to identify exploitable vulnerabilities in a running environment. Interactive Application Security Testing (IAST) provides a deep scan by instrumenting the application using agents and sensors to continuously analyze the application, its infrastructure, dependencies, dataflow, as well as all the code. Open Source Security Open source software (OSS) often times includes security vulnerabilities, so a complete security approach includes a solution that tracks OSS libraries, and reports vulnerabilities and license violations. Software Composition Analysis (SCA) automates the visibility into open source software (OSS) for the purpose of risk management, security and license compliance. Runtime Prevention Protect applications in production – new vulnerabilities may be discovered, or legacy applications may not be in development. Logging can inform you about what types of attack vectors and systems are being targeted. Threat intelligence informs threat modeling and security architecture processes. Runtime Application Self-Protection (RASP) instruments applications, directly measures attacks from the inside, and prevents exploits from within. Compliance monitoring Enable audit readiness and a constant state of compliance for GDPR, CCPA, PCI, etc. Cultural factors Identify security champions, establish security training for developers, etc.

Making DevSecOps work for you

Step 1: Build Security into Software Requirements Step 2: Test Early, Often and Fast Step 3: Leverage Integrations to Make Application Security a Natural Part of the Lifecycle Step 4: Automate Security as Part of the Development and Testing Processes Step 5: Monitor and Protect Once Released

How does Fortify helps build security into DevOps?

Developer-friendly Real-time security in the developer’s IDE with Fortify Security Assistant: Visual Studio or Eclipse Integration with tools you use with the Fortify Integration Ecosystem Developer training with Secure Code Warrior integration and Micro Focus training Automation in CI/CD pipelines SAST with Fortify Static Code Analyzer DAST with Fortify WebInspect RASP with Fortify Application Defender Software Composition Analysis (SCA) / OSS Security with Sonatype and Fortify Scale your application security Security-as-a-service: Fortify on Demand AI-assisted auditing to remove false positives with Fortify Audit Assistant Proven leader in the Gartner Magic Quadrant for Application Security Testing

DevSecOpsとは | Micro Focus

Analytics & Big Data
Analytics & Big Data

データドリブンの世界でビジネスインサイトを探す分析
- Vertica高度分析プラットフォーム
  インフラストラクチャに依存しない高速でオープンな高度分析機能のSQLデータベース
- コグニティブサーチ & ナレッジディスカバリー
  
  コグニティブサーチ & ナレッジディスカバリー
  
  業界トップクラスのコグニティブサーチとディスカバリーで迅速にキー情報を獲得
  
  IDOL
  企業の（および公共の）テキスト、オーディオ、動画データに安全にアクセスして分析
- セキュリティ分析
  
  セキュリティ分析
  
  セキュリティ上の脅威を特定する時間を短縮するための検索と分析
  
  ArcSight Investigate
  セキュリティインシデントを減少させる直感的な追跡と調査のソリューション
  
  Arcsight Interset
  既存のセキュリティツールを拡大し、データが盗難されて重大なことになる前にセキュリティ運用チームが脅威を特定して対応できるように権限を与える、ユーザーとエンティティの行動分析
- IT Operations Analytics
  
  IT Operations Analytics
  
  ビッグデータを活用して、ITプロセスを最適化し、効率を向上
  
  Operations Bridge Suite
  ビジネスの視点から見る自律オペレーション
  
  ITサービス管理自動化スイート
  サービスデスク、設定、資産管理のインテリジェントな自動化
- ビッグデータプラットフォーム
  
  ビッグデータプラットフォーム
  
  ビッグデータ分析スタックを構築する、オープンで安全、そしてハイパフォーマンスのプラットフォーム
  
  Vertica
  ビッグデータ分析用の大量のデータを処理するSQL分析ソリューション
  
  Hadoop向けのVoltage SecureData
  システム全体の保存中、伝送中、および使用中の機密データを大規模に保護
アプリケーションデリバリー管理

アプリケーションデリバリー管理

速度を向上して障害を取り除き、ソフトウェアデリバリを常に改善

ALM Octane
Optimize the flow of work for continuous quality and delivery

ALM/Quality Center
Govern quality with rigorous, auditable software lifecycle processes

UFT Family
Combine extensive technology support with AI-driven continuous functional testing

Dimensions CM
Enable all aspects of SCCM with enterprise grade scalability, security, and compliance

LoadRunner Family
Deliver high-performing applications with continuous performance engineering

Release Control
Plan, track, orchestrate, and release complex applications across any environment

Fortify
Find software security issues early and fix at the speed of DevOps

Deployment Automation
Automate deployments for continuous delivery with drag-and-drop simplicity

Project & Portfolio Management
Align corporate investments with business strategy

View All Products
Access a list of all products in application delivery management
アプリケーションモダナイゼーションとコネクティビティ
アプリケーションモダナイゼーションとコネクティビティ

ビジネスの変革を加速するためにコアビジネスシステムをモダナイズ
- COBOL
  COBOL
  
  現代のテクノロジーを使用してビジネスアプリケーションを構築してモダナイズ
  
  開発と展開
  
  開発と展開
  
  最新のツールを使用したCOBOLとPL/Iビジネスアプリケーションのモダニゼーション
  
  Visual COBOL
  将来性のあるコアCOBOLビジネスアプリケーション
  
  拡張/ ACUCOBOL-GT
  ACUCOBOLベースのアプリケーションの保守と拡張
  
  アキュトゥーウェブ
  どこでもアプリケーションのアクセスを提供
  
  NetExpress/Server Express
  COBOLシステムの保守と拡張
  
  RM/COBOL
  RM/COBOLアプリケーションの保守と強化
  
  データモダニゼーション
  
  データモダニゼーション
  
  ビジネスアプリケーションデータの有効活用
  
  Database Connectors
  COBOLアプリケーションをリレーショナルデータベース管理システムに接続
  
  Relativity
  COBOLデータへのリアルタイムのリレーショナルアクセスにより漸進的に価値を引き出す
  
  Acu-XDBC
  ACUCOBOLデータへのリアルタイムのリレーショナルアクセスによるビジネスの価値を向上
  
  Acu-4GL
  ACUCOBOLアプリケーションをリレーショナルデータベース管理システムに接続
  
  アプリケーション分析
  
  アプリケーション分析
  
  COBOL Analyzer
  Micro Focus COBOLアプリケーションを自動的に把握して分析
  
  アジャイルとDevOps
  アジャイルとDevOpsの手法を用いてCOBOLアプリケーションを構築
  
  Linux、クラウド、コンテナ
  分散プラットフォーム、コンテナ化プラットフォーム、クラウドプラットフォームにCOBOLアプリケーションをデプロイ
  
  アプリケーションリホスティング
  将来のイノベーションをサポートするためにビジネスシステムインフラストラクチャをモダナイゼーション
- Visual COBOL
- メインフレーム
  メインフレーム
  
  IBMメインフレームのアプリケーション、デリバリプロセス、アクセス、およびインフラストラクチャをモダナイゼーション
  
  計画と管理
  
  計画と管理
  
  コンプライアンスと確実性を備えたエンタープライズソフトウェアの計画、管理、デリバリー
  
  Atlas
  柔軟性が高くコラボレーティブな要件とデリバリーのプラットフォームにより、アジャイルプロジェクトを管理
  
  Dimensions RM
  エンドツーエンドでプロセスのトレーサビリティを確保して要件を管理
  
  分析
  
  分析
  
  重要なメインフレームCOBOLアプリケーションの値を理解し、分析して抽出
  
  Enterprise Analyzer
  IBMメインフレームアプリケーションを自動的に把握して分析
  
  Enterprise View
  アプリケーションポートフォリオの価値、コスト、リスクをキャプチャ、分析、測定
  
  Business Rule Manager
  変更アーチファクトのパッケージを構築し、メインフレームアプリケーション開発をスピードアップ
  
  制御
  
  制御
  
  メインフレームアプリケーションの堅牢な自動デリバリのために変更のあらゆる側面を管理
  
  ChangeMan ZMF
  変更アーチファクトのパッケージを構築して管理し、メインフレームアプリケーション開発をスピードアップ
  
  (ChangeMan ZMF) Client Pack
  メインフレームアプリケーションを保守するために複数の変更管理インターフェイスを提供
  
  開発
  
  開発
  
  重要なIBMメインフレームシステムを構築、モダナイズ、拡張
  
  Enterprise Developer
  IBMメインフレームのCOBOLおよびPL/I アプリケーションの構築とモダナイゼーション
  
  Enterprise Sync
  迅速で効率的なパラレル開発を、規模を拡大して実行
  
  Verastream
  モバイルアプリ、クラウドイニシアチブ、プロセスの自動化などを強化
  
  StarTool FDM
  迅速な問題解決に向けてメインフレームのファイルを管理
  
  テスト
  
  テスト
  
  スケーラブルで低コストのソリューションを使用して、IBMメインフレームアプリケーションのテストサイクルを加速
  
  Enterprise Test Server
  柔軟性の高いインフラストラクチャを使用してメインフレームアプリケーションの変更を簡単にテスト
  
  Comparex
  メインフレームデータ、テキスト、ディレクトリファイルを比較して管理
  
  リリース
  
  リリース
  
  展開を自動化し、チームが協力してアプリケーションリリースプロセスをオーケストレーション
  
  Deployment Automation
  デプロイメントのパイプライン自動化により開発と運用をつなぎ、フィードバック時間を短縮
  
  Release Control
  ソフトウェアのリリースライフサイクル全体のための一元化されたプランニングとコントロール
  
  Solutions Business Manager
  ソフトウェア開発とデリバリーを速めるためにプロセスをオーケストレーションして統合
  
  ChangeMan SSM
  変更を検知し、複数の環境を同期して、不具合のあるシステムを修復
  
  デプロイ
  
  デプロイ
  
  最新のハイブリッドITインフラストラクチャを活用して、目的に適した形でアプリケーションワークロードを実行
  
  Enterprise Server
  Windows、Linux、Cloudで、IBMメインフレームCOBOLおよびPL/Iワークロードを実行
  
  Enterprise Server for .NET
  Microsoft .NETとAzureで、モダナイズされたIBMメインフレームの作業負荷を実行
- ホストの接続
  ホストの接続
  
  ホストアプリケーションアクセスのモダナイゼーション: 使用と統合と管理を簡易化、セキュリティを強化
  
  アクセス
  
  アクセス
  
  デスクトップ、ウェブ、モバイルデバイスの全体でアプリケーションのアクセスをモダナイズ
  
  Reflection
  デスクトップ、モバイルデバイス全体に渡ってIBM、HP、UNIXのアプリケーションのアクセスをモダナイズ
  
  Host Access for the Cloud
  Web対応のIBMおよびVTアプリケーションのデスクトップアクセス。Javaは必要ありません
  
  InfoConnect
  Unisysメインフレームアプリケーションのデスクトップアクセスをモダナイゼーション
  
  Rumba
  IBM、HP、UNIXのアプリケーションデスクトップアクセスの最新化
  
  Extra!
  IBM、HP、UNIXのアプリケーションデスクトップアクセスの自動化
  
  統合
  
  統合
  
  ノーコード/ローコードのモダナイゼーションにより、ホストアプリケーションの価値を新しいデジタルプラットフォームに提供
  
  Host Access for RPA
  Gain access to everything required to successfully integrate the mainframe in your RPA projects
  
  Verastream
  IBM、HP、UNIXアプリケーション用にウェブサービスとAPIを使用した新しいアプリケーションとワークフローを作成
  
  Databridge
  リアルタイムのUnisys MCP DMSIIデータにより、分析プラットフォームとBIアプリケーションを強化
  
  安全性
  
  安全性
  
  ホストアプリケーションへのアクセスとデータ保護に関する新しい規制要件に対応
  
  Host Access Management & Security Server
  IDベースのアクセスコントロールとデータセキュリティによるホストアクセス管理の集約
  
  Reflection for Secure IT
  ファイアウォールの内外を問わず、セキュリティ、暗号化、自動化によりファイル転送をモダナイズ
  
  Advanced Authentication Connector for z/OS
  Advanced Authentication Connector for z/OSがあらゆるIBM z/OSエンドポイントの多要素認証に適している理由
  
  管理
  
  管理
  
  ホストアクセスソフトウェアとインフラストラクチャのためにガバナンスを改善
  
  Host Access Analyzer
  ターミナルベースのソフトウェアのデプロイメントと使用を計測して管理
  
  Host Access Management & Security Server
  IDベースのアクセスコントロールとデータセキュリティによるホストアクセス管理の集約
- CORBA
  
  CORBA
  
  企業全体のシステムの相互運用性を達成
  
  VisiBroker
  CORBA製品の包括的なスイートを使用してアプリケーションを開発してデプロイ
  
  Orbix
  分散アプリケーションを企業規模で構築
  
  Orbacus
  C++またはJavaでCORBA 2.6準拠ミドルウェアを開発、展開、サポート
  
  OpenFusion
  多彩な運用環境でアプリケーションを接続
チームコラボレーションとエンドポイント管理
チームコラボレーションとエンドポイント管理
- コラボレーション
  
  コラボレーション
  
  生産性の高いモバイルワーカーを育成。
  
  Enterprise Messaging
  メール、IM、チャットベースのチームワーク、アンチウィルス、アンチスパム、ディザスタリカバリなど
  
  Filr
  安全なファイルアクセスを提供し、あらゆるデバイスから共有が可能
  
  GroupWise
  現代のモバイル環境に対応する安全な電子メール、スケジュール管理、タスク管理を提供
  
  GroupWise Disaster Recovery
  重要なメールをいつでも確実に使えるようにするバックアップとディザスタリカバリ
  
  Open Workgroup Suite
  安全なファイル共有など、ITインフラストラクチャを構築するために必須の7つのツール
  
  Vibe
  ドキュメント管理とワークフロー機能により安全なチームコラボレーションを提供
  
  Secure Messaging Gateway (GWAVA)
  Protect your network and messaging system from malware, viruses, and harmful content
- ファイルおよびプリント
  
  ファイルおよびプリント
  
  あらゆる規模の企業に重要なファイル、ストレージ、およびプリントサービスを提供
  
  Access Manager
  企業と連邦にクラウドアプリケーションのシングルサインオンを提供
  
  Advanced Authentication
  多要素認証で機密情報をもっと安全に保護
  
  File Management Suite for OES
  File ReporterとStorage Managerのソリューションスイートバンドル
  
  File Reporter for OES
  File Reporter for OES examines OES network file systems and delivers intelligent file insights so you can make the most intelligent business decisions.
  
  Filr
  安全なファイルアクセスを提供し、あらゆるデバイスから共有が可能
  
  OESビジネスの継続性クラスタリング
  主要なビジネスシステムをダウンタイムや災害から保護
  
  Cluster Services (OES)
  ストレージエリアネットワークのリソース管理を簡素化し、可用性を拡大
  
  Open Enterprise Server
  混在するIT環境に最適なファイル、印刷、ストレージサービス
- 統合エンドポイント管理および保護（UEMP）
  
  統合エンドポイント管理および保護（UEMP）
  
  Unify traditional and mobile device management to reduce costs, improve productivity and protect the organization.
  
  Connected MX
  ファイルの同期と共有、分析機能のあるクラウドベースのエンドポイントバックアップソリューション
  
  Desktop Containers
  コンテナ化されたWindowsアプリを迅速かつ簡単にパッケージ、テスト、そして展開
  
  ZENworks Asset Management
  ライセンス許可、インストール、使用データを統合するレポートを提供
  
  ZENworks Configuration Management
  自動エンドポイント管理、ソフトウェア配信、サポートなどを提供
  
  ZENworks Endpoint Security Management
  IDに基づく保護をデバイスに提供して、総合的な保護を完備
  
  ZENworks Full Disk Encryption
  ラップトップとデスクトップのデータに対する事前対策的な保護で、脅威を自動的にロックアウト
  
  ZENworks Patch Management
  パッチ評価を自動化し、セキュリティ脆弱性に対するパッチコンプライアンスをモニタリング
  
  ZENworks Service Desk
  ビジネスにITサービスを提供する方法を整備して自動化
  
  ZENworks Suite
  エンドポイントデバイスの追跡、管理、保護をサポートする7つの統合製品
情報管理とガバナンス
情報管理とガバナンス

法的に証明された信頼のおけるコンプライアンスとプライバシーのソリューション
- Information Archiving
  
  Information Archiving
  
  法的事項、コンプライアンス、メールボックスを管理するための情報を統合して管理
  
  Digital Safe
  法規制や調査のニーズに対応するクラウドベースのスケーラブルなアーカイブ
  
  Retain Unified Archiving
  事例評価、検索、eDiscoveryのビジネスコミュニケーション全体をアーカイブ
  
  Supervisor
  従業員のデータおよび通信の監視を自動化して、規制準拠および社内構想を実現
  
  Social Media Governance
  規制コンプライアンスの義務を満たすため、ソーシャルメディアチャンネル全体のリスクを軽減します。
  
  Secure Messaging Gateway (GWAVA)
  Protect your network and messaging system from malware, viruses, and harmful content
- Secure Content Management
  
  Secure Content Management
  
  規制要件、プライバシー、管轄権保持要件にしっかりと準拠
  
  Content Manager
  データの管理と廃棄を通して組織のデータプライバシー規制ガイドラインの遵守をサポートします。
  
  File Dynamics
  ネットワークデータ管理の絶えず変化するニーズに対応
  
  ControlPoint
  未構築データでポリシーを検知、分類、自動化するファイル分析
  
  File Reporter
  何が保管されていて、誰がアクセスできるかを見ます。
  
  Structured Data Manager
  旧式アプリケーションを廃棄してデータフットプリントを縮小する、構造化データのアーカイブ
  
  File Governance Suite
  Identityが管理するデータ管理とアクセス
  
  Data Discovery
  すべての非構造化データに関するSaaSベースのファイル分析
- eDiscovery
  
  eDiscovery
  
  データの識別、ロックダウン、分析、準備で、訴訟や調査に対応
  
  eDiscovery
  訴訟や調査にすばやく、正確に、かつコスト効率良く対応
- 検索と分析
  
  検索と分析
  
  コグニティブ検索と分析付きで、組織全体への情報伝達をスピードアップ
  
  IDOL
  企業の（および公共の）テキスト、オーディオ、動画データに安全にアクセスして分析
- Data Backup and Restore
  
  Data Backup and Restore
  
  Secure backup and rapid restores for all structured and unstructured data to ensure business continuity
  
  Data Protector
  Backup and disaster recovery for diverse, dynamic, and distributed enterprise
IT運用管理

IT運用管理

DevOpsのスピードに合わせてIT運用を加速

サービス管理の自動化
エンドユーザーの使用体験と機械学習をベースにした効率的なサービスデスクを連携

Operations Bridge
ハイブリッドIT向けの、初のコンテナ化自律型監視ソリューション

Network Operations Management
従来の仮想的なソフトウェア定義型ネットワークを自動化して管理

Universal Discovery & UCMDB
ハイブリッドIT環境で構成アイテム（CIs）を検出および管理します。

Hybrid Cloud Management X
フルフィルメントの自動化をシンプルにして、ガバナンスを強化

Operations Orchestration
ITプロセスの自動化

Asset Management X
Manage IT assets for improved costs

Dara Center Automation
データセンター全体でプロビジョニング、パッチ適用、コンプライアンスを自動化

Robotic Process Automation
自動化されたビジネスプロセスを全社的に構築、拡張します。

View All Products
Access a list of all products in IT Operations Management
セキュリティ
セキュリティ

運用、アプリケーション、ID、データまで、ユーザーが関与するすべての面に根本的なセキュリティを確保
- Security Operations
  
  Security Operations
  
  相関関係、データ統合、分析を通して既知、また未知の脅威を検出
  
  ArcSight Enterprise Security Manager (ESM)
  包括的な脅威検出、分析、コンプライアンス管理SIEMソリューション
  
  ArcSight Recon
  コンプライアンスの負担を軽減し、セキュリティのプロのためのフォレンジック調査を加速するインテリジェントなログ管理ソリューション
  
  ArcSight Logger
  簡単なコンプライアンス、効率的なログ検索、またセキュアでコスト効率の高いストレージのための総合的なログ管理ソリューション。
  
  ArcSight Marketplace
  あらかじめパッケージ化されたコンテンツをダウンロード展開して劇的に時間と管理を削減
  
  Security Open Data Platform
  雑然としたデータをセキュリティのインサイトに変える、将来に備えたデータプラットフォームです。
  
  ArcSight Intelligence
  既存のセキュリティツールを拡大し、データが盗難されて重大なことになる前にセキュリティ運用チームが脅威を特定して対応できるように権限を与える、ユーザーとエンティティの行動分析
  
  Sentinel
  日々のSIEMの使用を簡素化する十分な機能を備えた適合性の高いソリューション
  
  ArcSight SOAR
  認知による自動化、調査サービスデスク、プロセスオーケストレーション、ならびにSOC分析を備えた総合的なセキュリティオーケストレーションの自動応答プラットフォーム。
- データセキュリティ
  
  データセキュリティ
  
  データ匿名化とプライバシーのための暗号化、トークン化、およびキー管理
  
  Data Discovery
  SaaS-based file analysis on all of your unstructured data
  
  Data Management
  Identify, analyze, and manage your data; then establish policies to protect your data properly and efficiently, in use and throughout its lifecycle, and ensure data preservation.
  
  Voltage SmartCipher
  非構造化データセキュリティを簡素化するための、永続的なファイル暗号化、完全な制御、可視性
  
  Voltage SecureData Enterprise
  フォーマット保持暗号化、トークン化、データマスキング、およびキー管理
  
  Voltage SecureData for Payments
  オムニチャネルPCIコンプライアンスおよびエンドツーエンド決済セキュリティのためのデータ保護
  
  Voltage SecureMail On-Premises
  PII、PHI、知的財産に対する電子メール、ファイル、およびOffice 365の保護
  
  Voltage SecureMail Cloud
  SaaSクラウドメール暗号化でOffice 365の情報を保護
- アプリケーションセキュリティ
  
  アプリケーションセキュリティ
  
  安全な開発、セキュリティテスト、継続的なモニタリングと保護
  
  Fortify Static Code Analyzer
  ソフトウェア開発の早い段階でソースコードのセキュリティ上の脆弱性を特定
  
  Fortify WebInspect
  複雑なWebアプリケーションとサービスの包括的で動的な分析を提供
  
  Fortify Software Security Center
  スキャン結果の一元管理リポジトリで価値の高いインサイトを獲得
  
  Fortify on Demand
  アプリケーションセキュリティプログラム全体を1つのインターフェイスから管理
- ID/アクセス管理
  ID/アクセス管理
  
  ID/アクセス管理への統合アプローチ
  
  Identity Governance & Administration
  
  Identity Governance & Administration
  
  インフラストラクチャ全体をカバーする、包括的なID管理とガバナンスのソリューション
  
  Data Access Governance
  非構造化データへのアクセスのプロビジョニングと管理
  
  NetIQ eDirectory
  柔軟で拡張可能なLDAPディレクトリ
  
  NetIQ Identity Governance
  コンプライアンスを維持するためにユーザーアクセスのレビューと再認定を自動化
  
  NetIQ Identity Manager
  企業に役立つインテリジェントなID管理フレームワークをデリバリ
  
  アクセス管理
  
  アクセス管理
  
  ビジネス環境全体でアクセス権を一貫して施行
  
  NetIQ Access Manager
  企業と連邦にクラウドアプリケーションのシングルサインオンを提供
  
  NetIQ Advanced Authentication
  ユーザー名とパスワードを使うよりも安全な方法で、データとアプリケーションを保護
  
  Advanced Authentication Connector for z/OS
  すべてのIBM z/OSエンドポイントのための多要素認証
  
  Host Access Management & Security Server
  最新のセキュリティフレームワークをホストに統合
  
  NetIQ Risk Service
  目の前のリスクに認証エクスペリエンスを適応
  
  Self Service Password Reset
  ITのサポートを介せずユーザー本人がパスワードをリセット可能
  
  NetIQ SecureLogin
  エンタープライズアプリの認証を1回のログインで合理化
  
  NetIQ Secure API Manager
  APIへのアクセスを保護および管理します。
  
  Privilege Management
  
  Privilege Management
  
  認証情報に基づくすべてのシステムの特権アカウントのアクティビティを管理してコントロール
  
  NetIQ Privileged Account Manager
  認証情報を露出することなくIT管理者がシステムで作業可能
  
  NetIQ Directory and Resource Administrator
  管理権限を制限し、また特定のユーザーに限定してディレクトリを表示
  
  NetIQ Group Policy Administrator
  実装前にGroup Policy Objectの変更を編集、テスト、レビュー
  
  NetIQ Change Guardian
  Change Guardianによる重要データの保護、リスクの軽減、変更の管理
  
  NetIQ AD Bridge
  Active DirectoryのパワーをLinuxリソースまで拡張
  
  Universal Policy Administrator
  すべてのプラットフォームでポリシーを統合して一元管理します。
  
  変更/構成管理
  
  変更/構成管理
  
  実用的でタイムリーなセキュリティインテリジェンスを適用
  
  NetIQ Change Guardian
  Change Guardianによる重要データの保護、リスクの軽減、変更の管理
  
  NetIQ Secure Configuration Manager
  セキュリティ侵害やダウンタイムにつながる構成エラーを検出して修復
  
  NetIQ Security Solutions for IBM i
  IBM iSeriesシステム用の簡単なコンプライアンス監査とリアルタイム保護を提供

DevSecOpsにより、ソフトウェア開発ライフサイクル（SDLC）の早い段階でセキュリティテストの統合が可能になります。これは一般的に「セキュリティのシフトレフト」または「シフトレフト」と表現されます。DevSecOpsによりシームレスなアプリケーションセキュリティが、緩和が必要な脆弱性の発見が難しく、かつ実装が高価になるソフトウェア開発ライフサイクルの終わりではなく、早い段階で可能です。

DevSecOpsはDevOpsの拡張で、時に、セキュアなDevOpsとも呼ばれます。 DevOpsは異なる業務に携わる人や組織には別のものを意味することもありますが、文化的また技術的な変更を伴います。理論的に言えば、セキュリティは滞りないDevOpsの暗黙の要件を指します。

DevSecOpsには、開始時からアプリケーションとインフラストラクチャのセキュリティの計画が必要です。適切なツールが、セキュリティ特性を備えた統合開発環境（IDE）を選択するといった決定など、常に整合性のとれたセキュリティの目標に達成するサポートになります。ツールとプロセスはまた、DevOpsのワークフローが遅延しないようにセキュリティゲートを自動化できなければなりません。

DevSecOpsのメリット

DevSecOpsはソフトウェアデリバリのパイプラインを通して自動化を強化し、コーディングのミスをなくし、最終的には侵害を削減します。

セキュリティをDevOpsフレームワークに組込むためにDevSecOpsのツールとプロセスを実装するチームは、安全なソフトウェアをより迅速にリリースできます。開発者はセキュリティのため、コードをテストして、コードが書かれた時点でセキュリティ上の欠点を検出できます。チームは既存の開発ツールを使用して、ウェブアプリケーション開発のセキュリティ面を向上させることができるはずです。

DevSecOpsの主要コンポーネント

DevSecOpsアプローチには、3つの重要なコンポーネントがあります。

アプリケーション/API インベントリ
- ポートフォリオ全体のディスカバリ、プロファイリング、コードの継続監視を自動化します。これには、データセンター、仮想環境、プライベートクラウド、パブリッククラウド、コンテナ、サーバレス、その他の運用中のコードも含まれる場合があります。自動ディスカバリとセルフインベントリツールを組み合わせて用いています。ディスカバリツールは、どのアプリケーションやAPIを所有しているか特定するために役立ちます。セルフレポートツールはアプリケーションが自らインベントリを行い、メタデータを中央データベースにレポートします。
カスタムコードセキュリティ
- 開発、テスト、運用を通して、ソフトウェアの脆弱性を絶えず監視します。コードのデリバリを頻繁に行い、各コードアップデートで脆弱性をすばやく特定できます。
- Static Application Security Testing（SAST）は、アプリケーションソースファイルをスキャンして、内在するセキュリティの不具合の根本原因を正確に突き止め、修正します。
- Dynamic Application Security Testing（DAST）は、実行中のウェブアプリケーションまたはサービスで制御されている攻撃をシミュレートし、悪用されやすい脆弱性を実行環境で特定します。
- Interactive Application Security Testing（IAST）は、継続的にアプリケーション、そのインフラストラクチャ、依存性、データフローだけでなく、またコードも分析するエージェントとセンサーを用いてアプリケーションを組み込むことでしっかりとしたスキャンを行います。
オープンソースセキュリティ
- オープンソースソフトウェア（OSS）はセキュリティの脆弱性を持っていることがよくあるため、完全なセキュリティ対策には、OSSライブラリを追跡し、脆弱性やライセンス違反をレポートするソリューションが含まれています。
- ソフトウェアコンポジション解析（SCA）は、リスク管理、セキュリティ、ライセンスのコンプライアンスの目的で、オープンソースソフトウェア（OSS）の可視性を自動化します。
ランタイム防止
- 稼働中のアプリケーションを保護 – 新しい脆弱性は検出されるかもしれませんし、レガシーアプリケーションは開発されないかもしれません。
- ログをとることでどのようなタイプの攻撃ベクターとシステムが標的にされているか分かります。脅威インテリジェンスで脅威モデリングとセキュリティアーキテクチャプロセスの情報を得られます。
- ランタイムアプリケーション自己保護セキュリティ（RASP）はアプリケーションを組込み、内部から直接的に攻撃を計測し、その内部で悪用を防ぎます。
コンプライアンスモニタリング
- 監査のレディネスと、GDPR、CCPA、PCIなどのコンプライアンス状態を常に実現します。
文化的要因
- セキュリティチャンピオンを特定する、開発者向けのセキュリティトレーニングを策定する、など。

DevSecOpsを上手に役立たせるために

ステップ1: ソフトウェア要件にセキュリティを構築する
ステップ2: 早期段階で頻繁かつ迅速にテストする
ステップ3: 統合を活用してアプリケーションセキュリティをライフサイクルの必然のものとする
ステップ4: セキュリティを開発とテストプロセスの一部にする
ステップ5: リリースしたら監視して保護する

FortifyはDevOpsのセキュリティ構築をサポート

開発者にとっての使いやすさ
- Fortifyセキュリティアシスタントで開発者のIDEにリアルタイムのセキュリティ: Visual StudioまたはEclipse
- Fortify Integration Ecosystemを使用して、アプリケーションの開発とデプロイメントにセキュリティを組み込みます。
- Secure Code Warrior統合とMicro Focusトレーニングによる開発者トレーニング
CI/CDパイプラインの自動化
- Fortify Static Code AnalyzerによるSAST
- Fortify WebInspectによるDAST
- Fortify Application DefenderによるRASP
- Sonatype and Fortifyによるソフトウェアコンポジション解析（SCA）/ オープンソースセキュリティ（OSS）
アプリケーションセキュリティを拡張
- セキュリティ・アズ・ア・サービス: Fortify on Demand
- Fortify Audit AssistantによりAIアシストによる監査で誤検出を排除
- Gartner 2013 Magic Quadrant、アプリケーションセキュリティテスト分野でリーダーの格付けを獲得

Your browser is not supported

DevSecOpsとは

DevSecOpsのメリット

DevSecOpsの主要コンポーネント

DevSecOpsを上手に役立たせるために

FortifyはDevOpsのセキュリティ構築をサポート

補足資料

発見

リソース

会社名

法務とコンプライアンス