皆さん、こんにちは。
今週もソフトウェアテスト、テスト自動化に関するニュース記事をご紹介していきたいと思います。
今回は国内ニュース3記事、海外ニュース2記事をご紹介回したいと思います。
■記事内リンク
「国内ニュース」
・模試アプリ「テス友」に新機能!JCSQE試験初級に対応
・バルテス社 無料Webセミナー「失敗しないAI導入の考え方」
・Web版「Excel」の新しいマクロ機能「Office スクリプト」が一般リリース
「海外ニュース」
・ペネトレーションテストの台頭
・ローコード/ノーコードの次の波: コードレス テスト自動化
■国内ニュース
□模試アプリ「テス友」に新機能!JCSQE試験初級に対応
https://prtimes.jp/main/html/rd/p/000000084.000030691.html
こちらの記事は、バルテス社が提供する模擬試験アプリ「テス友」にて、JCSQE試験(初級)が対応された内容となります。
テスト友は、バルテス社が運営するQbookに登録することで利用できるテスト技術者□認定の勉強アプリです。
テスト友は、JSTQBのFoundation Levelに対応されていましたが、今回「JCSQEソフトウェア品質技術者資格試験 初級」に対応されました。
JCSQE試験は、今後以下に予定されていますので、最後の追い込みや、これから勉強をする方にいいかもしれませんね。
https://www.juse.jp/jcsqe/
6/12(土)に第26回 初級資格試験
11/13(土)に第27回 初級資格試験/第12回 中級資格試験
Android版、Web版は6/1(火)に公開され、iOS版は近日中に公開されるとのことです。
Web版、Android版は以下からアクセス可能です。
・Web版
https://www.qbook.jp/info-testomo/
・Android版
https://play.google.com/store/apps/details?id=jp.co.vmt.jstqbflapp&hl=ja
ご興味のある方は、アクセスしてみてはいかがでしょうか。
□バルテス社 無料Webセミナー「失敗しないAI導入の考え方」
https://www.jiji.com/jc/article?k=000000083.000030691&g=prt
こちらの記事は、バルテス社が無料Webセミナー『テスト専門会社が教える「失敗しないAI導入の考え方」』を開催するニュースとなります。
近年「DX」、またはAI機能をソフトウェア、システムに活用するシーンが増えてきています。
データ分析、画像分析、検知など幅広い用途でAIが導入さるようになっていますが、その導入や技術活用が「目的」になってしまうケースもあるようです。
今回のセミナーでは、そのようなAIを導入する際の品質・受け入れ基準等の参考になる内容とおもわれます。
また、バルテス社では、6月から提供開始となる「AI Quality」もあわせてご紹介されるとのことです。
セミナー情報は以下となります。
・セミナー名:テスト専門会社の教える『失敗しないAI導入の考え方』
・開催日時:2021/6/9(水)13:00~14:00
・対象:AI製品開発者、AI製品の導入、テストを考えている方
・開催形式:Webセミナー
・定員:100名
・参加料:無料
・主催:バルテス株式会社
・詳細・申込:https://www.qbook.jp/event/20210609_1161.html
ご興味のある方は、参加されてみてはいかがでしょうか。
□Web版「Excel」の新しいマクロ機能「Office スクリプト」が一般リリース
https://forest.watch.impress.co.jp/docs/news/1328019.html
こちらの記事は「窓の社」に掲載された内容となります。
「Officeスクリプト」は、Excel操作をJavaScriptとして記録するマクロ機能となります。
◇Officeスクリプトの特徴
・Officeスクリプトのオンライン利用、共有
記録したスクリプトは、オンラインエディターで編集、または「One Drive For Business」へ保存が可能
・他ツールとの連携
タスクスケジューラ等で定期的実行の登録、「Power Automate」と組み合わせての連動が可能
・VBAとOfficeスクリプトの違い
VBAがデスクトップの「Excel」ソフトで利用できる点に対し、Oiiceスクリプトは「Web」での共同作業を前提に開発されている
・OfficeScriptが利用可能モデル
Microsoft 365のデスクトップ版「Office」アプリにアクセス可能な商用版、教育向けライセンス版
・Ofiiceスクリプトを利用時
モデル、ライセンスが利用可能であれば、Excelリボンの「自動化(Automate)」が利用可能
公式ページは以下となるようです。
https://docs.microsoft.com/ja-jp/office/dev/scripts/overview/excel
ご興味のある方は、Officeスクリプトを使用されてみてはいかがでしょうか。
■海外ニュース
□ペネトレーションテストの台頭
https://www.softwaretestingnews.co.uk/the-rise-of-penetration-testing/
こちらの記事は、「softwaretestingnews.co.uk」に掲載されていた内容となります。
昨年からコロナ禍によるリモートワークのシーンが増え、それに比例して、脆弱性
が増えています。
そのため、企業では脆弱性を回避または対策の重要性が高まってきています。
そのような中、「侵入テスト(ぺネストレーションテスト)」は、脆弱性の特定などが行えます。
こちらの記事では、「侵入テスト」について取り上げられていましたので、一部ご紹介したいと思います。
◇侵入テストとは何?
侵入テストは、IT システムのセキュリティの一部またはすべてを侵入し確認することで、攻撃者と同じツールと手法を使用して、IT システムのセキュリティの保証、対策を行うための方法です。
システムとデータの機密性、完全性、または可用性を維持する組織の能力に影響を与える可能性のある脆弱性も確認します。
また、侵入テストはハッカーによって承認されたハッキング評価であり、テストには関与と目標の明確な範囲が与えられていると付け加えています。
これは、ターゲットの環境におけるリスクと脆弱性のトップダウン評価につながります。
そうすることで、リスクと弱点をまとめたレポートをクライアントに提供されます。
◇なぜ侵入テストが不可欠なのか?
実際、組織に対するサイバー攻撃の数は年々増加しており、あらゆる規模のさまざまな企業がハッキング犯罪グループや国家の攻撃者の標的にされています。
セキュリティへのアプローチはここ数年で進化してきましたが、単一のペネトレーションテストとは対照的に、セキュリティと脆弱性を年間を通して定期的にチェックすることが求められます。
したがって、システム/インフラストラクチャの脆弱性を特定するための侵入テストを実行することにより、組織は、悪意のあるアクター (ハッカー) が不正な目的で脆弱性を見つけて悪用する前に、これらの脆弱性を修正するための措置を講じることができます。
また侵入テストは、ネットワークまたはアプリケーションのコードの変更または導入の標準プロセスの一部と見なされるべきであるとの考えもあります。
侵入テストは非常に熟練した作業であり、適切な資格のある組織のみが行うべきであると指摘しています。
CREST (Council for Registered Ethical Security Testers) は英国の非営利団体等、評判の良いサイバーセキュリティ コンサルタントを特定し、侵入テスト プログラムを成功させるための長いリソースを見つけることができます。
重要なのは、セキュリティ コンサルタント(または専門家)と話し合い、すべての関係者が計画内容を認識していること、テスト カバレッジが期待どおりであること、および重要なこととして、必要な権限が設定されていることを確認することです。
◇ベストな戦略
テスト自体は、自動化と手動の両方の側面を組み合わせて利用し、次のようにいくつかの手順を実行します。
・情報収集
・偵察
・発見とスキャン
・脆弱性評価
・搾取
・最終分析とレビュー
・テスト結果の実行
次に、コンサルタント会社からの成果物は、見つかった脆弱性をリストした詳細なレポートを提供する必要があります。
それらは、CVSS メソッド (一般的な脆弱性スコアリング システム) を使用してスコア付けされます。
レポートには、直接または補正コントロールを介して、調査結果を最適に修正する方法に関する推奨事項も含まれている必要があります。
侵入テスターが脆弱性を発見できるようにするために WAF のファイアウォールなどの障壁を取り除くことは可能ですが、実際の攻撃には時間制限があります。
また、テストは時間のスナップショットに過ぎず、新しい脆弱性が見つかった場合、リスクも発生する可能性があることを覚えておいてください。
そのため、年に一度の検査が推奨されます。
◇メリット
侵入テストはベースラインを確立し、組織のサイバー防御のどこに弱点があるかを特定するための優れた方法です。
また、サービスまたは製品をオンボーディングするときに、調達チームによって、検討しているサービスまたは製品が定期的にペンテストされていることを確認するためのチェックがますます義務付けられています。
また、ISO27001、PCI/DSS などの他のコンプライアンス ドライバーもあります。
しかし、侵入テストがもたらす主な利点は、テスト対象がどれほど安全であるか (または安全でないか) を理解することです。
現時点では、攻撃が発生した場合だけでなく、いつ発生するかを考えること重要です。
◇課題
侵入テストで発見する課題は、多くの場合、社内の意思決定者にテストの価値を明確に説明できるかどうかから始まります。
最初の課題は、信頼できるコンサルタント(専門家)を見つけることです。
最近、一部の企業がペン テストを行っていると主張していますが、実際には自動化された脆弱性スキャンしか行っていません。
侵入テストがシステムを「取り除く」ことを目的としているというのは、よくある誤解です。
そうではありません。
主な目的は危害を加えないことです。
一部の組織は、侵入テストを1 回実行すれば十分だと考えています。
しかし、ハッキング ツールが改善され、より多くの脆弱性が出現するにつれて、新しい攻撃手段が常に発見されています。
したがって、これは 1 回限りではなく継続的な改善の一環として使用する必要があります。
◇侵入テストの未来
侵入テストは今後数年間で進化するが、基本的にセキュリティ プログラムの重要な構成要素であり続けると考えています。
また、組織は、セキュリティを企業のライフサイクルと文化に組み込む最善の方法を決定する必要があります。
侵入テストについてまとめられており、興味深く内容でしたので、ご紹介させていただきました。
□ローコード/ノーコードの次の波: コードレス テスト自動化
こちらの記事は、forbes.comというサイトに掲載された内容となります。
◇ローコード/ノーコードについて
ローコードおよびノーコードのツールは、すでに世界中の開発チームの主力になりつつあります。
チームが日常的に対処する反復的で平凡なタスクの一部を取り除くことで、開発者の負担を軽減すると同時に、人為的エラーのリスクを軽減します。
これらのツールは開発の主流になりつつありますが、同様のテスト自動化用のツールも市場に投入されています。
ローコードでコードレスのテスト自動化ツールは、開発用のツールと同様に、開発者、QA テスターンなど にとって、物事を簡単にすることを目的としています。
エンジニアリングや製品からマーケティング、財務、法務、営業に至るまで、組織の誰もが、プログラミングや自動化の専門知識がなくても、コードを 1 行も書くことなく、自動化されたテストをすばやく簡単に作成できるという考え方です。
◇テスト自動化の課題は解決しない
社内のクライアントやエンド ユーザーからのこれらの要求を満たすために、多くのチームは自動化を検討しています。
しかし、従来の自動化には、かなりの課題も伴います。
今日の従来のテスト自動化には、すでに多くの時間とリソースを自動化に投資してきた企業と、自動化の成熟度と戦略がさらに遅れている企業の両方にとって、依然としていくつかの深刻な障壁が残っているということです。
調査によると、約41% がスキルや経験豊富なテスト自動化リソースの不足として挙げています。
特に重要なのは、テスト自動化に多額の投資を行ってきたこれらの企業の一部が、テスト自動化の進展が遅すぎると考えており、期待されるレベルのカバレッジが得られていないと考えていることです。
この課題に続いて、テスト自動化の優先順位付けの欠如と、最大の課題としてのスキルおよび/または経験豊富なリソースの欠如という 2 つの他の課題が続きました。
これらの課題は、テスト自動化の有効性と採用を妨げているようです。
◇従来の自動化 対 コードレス自動化
・従来の自動化
従来の自動化では、最初にテストをスクリプト化するだけでなく、長期間にわたってテストを維持するために、コーディングの専門家を必要とします。
Appium、Selenium、Apple シミュレーター、Android エミュレーター、要素ロケーター、ロケーター戦略などのさまざまな自動化ツールは、自動化の複雑さと特定の専門知識の必要性の一因となっています。
テスト自動化プロジェクトが途中で行き詰まり、完全に完了しないケースが多々あります。
これは、企業にとって時間とお金の両方で途方もない無駄遣いになる可能性があることを意味します。
・コードレス自動化
一方、コードレス テスト自動化の包括的な価値は、誰でも実行できることです。
コードレス ソリューションでは、ユーザーはテスト ケースを移動するだけで、コードレス ツールはその経験を自動化スクリプトに転写できます。
また、コードレス テスト自動化ツールはもともと Web アプリケーションのみに対応していましたが、現在では、モバイル (Android と iOS の両方)、および Web アプリケーションでセッションを実行し、テスト自動化スクリプトを作成する機能を提供するツールが増えています。
しかし、結局のところ、組織はコードレス ツールと従来の自動化をどちらか一方または両方のシナリオとして考えるべきではないということです。
コードレス テスト自動化ツールは、回帰テストなど、あまり関与しないシナリオに最適です。
このようにコードレス ツールを使用すると、自動化リソースは、より優先度の高い複雑な自動化に集中できます。
理想的には、従来の自動化ツールとコードレス ツールの両方を活用して、ソフトウェアをエンド ユーザーに配信する速度と品質を最大化する必要があります。
ローコード/ノーコードに関してまとめられてり、現在の自動化に対する取り組みの課題など深掘りされていましたので、ご紹介させていただきました。
■最後に
今回は、国内ニュース3記事、海外ニュース2記事を取り上げてみました。
次週も、ソフトウェアテスト、テスト自動化に関するニュースをご紹介したいと思います。
最後まで見て頂き、ありがとうございました。
サイトトップへ
https://susakiworks.com/
