FAQ

概要レポートには、検出されたすべてのセキュリティー問題が記載されますが、その詳細や推奨される修復タスクは記載されません。これらは、有料版サブスクリプションで利用可能な完全レポートに記載されます。
コンプライアンス・レポートは利用できません。
SAST スキャン結果に、使用されたオープン・ソース・ライブラリーは記載されません。
プライベート・サイトのスキャン (インターネットで使用できないサイトのスキャン) は使用できません。
一度に 1 つのスキャンのみ実行できます。
スキャン合計数は 5 に制限されています。
サブスクリプションは 30 日後に期限が切れます。

スキャンが「キューに入っている」理由

一部のサブスクリプションでは、同時に実行できるスキャンの数 (同時スキャン数) が制限されます。最大同時スキャン数が既に実行中のときにスキャンを開始すると、新規スキャンはキューに入れられます。キューに入っているスキャンは、サブスクリプションで許可され次第、開始順に自動的に実行されます。

キューに入れることが可能な最大スキャン数は、サブスクリプションによっても異なります。キューがいっぱいになると、追加のスキャンを開始できません。

キューの順序は編集できません。スキャンが開始された順序に従います。

無料体験版ユーザーは、一度に 1 つのスキャンしか実行できません。また、スキャンをキューに入れすることはできません。

スキャンが失敗したり、スキャン状況が「レビュー中」に変わったりしたのはなぜですか? スキャンが「スキャン有効化チームによって処理された」のはなぜですか?

AppScan 360° によって、現在の設定では自動プロセスで生成された結果が良好でないことが検出された場合、スキャン状況は「レビュー中」に変わります。当社のスキャン有効化チームが、設定をレビューして、良好な結果が得られるように変更する場合があります。この段階でお客様は入力する必要はありません。ただし、レビューがキャンセルされてしまうので、スキャンのキャンセルは行わないでください。設定のレビューが終了するとすぐに (通常は数時間以内に) スキャンが再開され、完了します。

スキャンが失敗したり、レビュー中になったりした場合、考えられる理由は次のとおりです。

ログイン資格情報が無効
ログインするにはいつもとは違う別のログイン手順が必要
ログインで CAPTCHA を使用している (CAPTCHA はサポートされていません。スキャンを行うには、CAPTCHA を無効にする必要があります)
アプリケーション・ファイルが無効
HTTP 認証の資格情報が無効であるか、見つからない
サーバーが応答しないか、ゲートウェイが正しくない (AppScan 360° が多数の要求を送信するため、サイト/アプリケーションが安定していて、大量のトラフィックに対応できる必要があります)
IP がブロックされている ( で使用される IP AppScan 360° を許可リストに登録してください)
アカウントがロックアウトされている
手動での結果の検証が必要
選択したテスト・セットがサイト/アプリケーションに適していません
プライベート・サイトのスキャン: AppScan Presence が非アクティブ

これらの問題を回避できれば、スキャンは自動的かつ高速に完了する可能性が高くなります。これは特に AppScan 360° スキャンを自動プロセスに組み込んでいる場合に重要であり、そうなればスキャン時間が可能な限り短くなります。

スキャンが失敗したらどうなりますか?

お客様のアカウントへの請求は発生しません。
スキャンが失敗した理由に関する診断があれば、お客様が修正できるように通知されます。

削除したスキャンのスキャン結果を取得することはできますか?

いいえ。「ごみ箱」アイコンをクリックすると、スキャン結果はデータベースから削除されます。

再スキャンの後、以前のスキャンのスキャン結果を取得することはできますか?

いいえ。アプリケーションを再スキャンすると、以前のスキャン結果はデータベースから削除されます。

スキャンの完了にはどれぐらいの時間がかかりますか?

アプリケーションのサイズと複雑さによりますが、数分から数日かかります。スキャン完了時に E メールを受け取るように指定できます。

スキャンに長時間かかっているようです。動作していない可能性はありますか?

スキャンの進行状況はモニター・システムによりチェックされており、進行していないスキャンは停止されるようになっています。スキャンがまだ実行されているように見える場合は、高確率で実際に実行中です。

スキャンを自分で削除しない場合、どれぐらいの期間、データベースに保持されますか?

お客様がアップロードしたファイル (APK、IPA、IRX、SCAN、SCANT など) は、トラブルシューティングに使用する目的で、最長で 60 日間サービスにキャッシュされます。スキャン結果は、お客様がそれらを削除するか、またはアカウントが削除されない限り、サービスに永続的に保管されます。

注: 2020 年 7 月 1 日時点で問題が検出された個人スキャンについては、30 日以内にスキャンがプロモートされない限り、30 日後に削除されます。

AppScan 360° はどの IP を使用しますか?

システム要件を参照してください。

AppScan 360° によるテストの対象となるセキュリティー問題

以下の表に、各テクノロジー・テストの対象となるセキュリティー問題を示します。


DAST	SAST	IAST
機能の悪用ブルート・フォースバッファー・オーバーフローコンテンツ・スプーフィング資格情報/セッション予測クロスサイト・リクエスト・フォージェリー Cross-Site Scripting (XSS) (クロスサイト・スクリプティング) サービス拒否攻撃ディレクトリー索引付け書式文字列攻撃 HTTP レスポンス分割情報漏えい安全でない索引付け不適切な認証不適切な許可不適切なセッション有効期限不十分なトランスポート層保護整数オーバーフロー LDAP インジェクションメール・コマンド・インジェクション悪意のあるコンテンツのテスト NULL バイト・インジェクション OS コマンド実行パス・トラバーサル予測可能なリソースの位置リモート・ファイル・インクルードサーバー構成の誤りセッションの固定 SOAP 配列の悪用 SQL 注入 SSI 注入 URL リダイレクターの悪用 XML 属性ブローアップ XML エンティティーの拡張 XML 外部エンティティー XML 注入 XPath 注入	AppDOS ブラウザーによる機密情報のキャッシングコメントによる機密情報の漏えい構成の問題クロスサイト・スクリプティング (XSS) DB 接続ストリングの操作 E メール・フィッシング E メールの改ざんエンコーディングの必要性無防備な Web サービスファイルの改ざんファイルのアップロード HTTP リクエスト分割 HTTP レスポンス分割 LDAP インジェクションオープン・リダイレクト OS コマンド・インジェクションパス・トラバーサルの潜在的なビジネス・ロジックの問題 (非セキュアなダイレクト・オブジェクト参照もカバー) 特権エスカレーション RegEx 注入テスト・コードの削除 SecondOrder 注入機密データの漏えいログに保管された機密データエラー・メッセージに表示された機密情報大きすぎるセッション管理タイムアウト値 SQL 注入暗号化されていない通信 URL の改ざん暗号として安全でない乱数発生ルーチンの使用隠しフィールドの使用非セキュアな暗号化アルゴリズムの使用安全でないネイティブ・コードの使用脆弱なアクセス制御脆弱な認証 XML 注入 XPath 注入 XSLT インジェクション	不正なサーバー・ヘッダークロスサイト・リクエスト・フォージェリー Cross-Site Scripting (XSS) (クロスサイト・スクリプティング) HTTP のみの Cookie 安全でない Cookie 安全でないログイン安全でない Cookie LDAP インジェクション OS コマンド実行パス・トラバーサルセッションの固定 SQL 注入信頼境界線違反脆弱な暗号化脆弱なランダム化 XML 外部エンティティー XPath インジェクション

アプリケーションのリスク等級が「不明」となっているのはなぜですか?

アプリケーションのリスク等級は、以下の 2 つの要因に基づいて計算されます。

(AppScan 360° によって) 検出された問題
(ユーザーによって割り当てられた) ビジネスへの影響

問題がまだ検出されていない場合、またはビジネスへの影響が「未指定」 (デフォルト) の場合、リスク等級は「不明」となります。ビジネスへの影響を変更するには、「リスク等級」を参照してください。

DAST

ステージング環境または実稼働環境を指定できなくなったのはなぜですか?

最近まで、DAST スキャン構成にはステージング環境または実稼働環境の選択が含まれていました。これは、スキャンがサイトの安定性に影響を与えるリスクを軽減するためでした。ウィザードで新しい構成オプションを使用できるようになったことで、この設定は冗長になり、削除されました。代わりに、実動サイトをスキャンする場合は、以下の構成変更を検討できます。

「探査」>「フォームの自動入力」で、チェック・ボックスをクリアしてこのオプションを無効にします。
「通信」>「最大要求速度」で、ほとんどの実動サイトでデフォルト値が正しく設定されているはずですが、サイトへのトラフィックを削減するために、1 秒あたりの最大要求数を減らすことを検討できます。

詳細および提案については、次のセクションを参照してください。

ライブ実動サイトをスキャンするときに、どのような変更を行う必要がありますか?

可能な場合は、実動サイトではなくステージングで DAST スキャンを実行することをお勧めします。実稼働中のサイトで DAST スキャンを実行すると、サイトの安定性を損なうおそれがあります。必要に応じて、以下の点を考慮すると、実動サイトのスキャンを効果的に構成するのに役立ちます。

スキャン中に送信される人工的な情報でデータベースがいっぱいになる可能性

以下の予防措置を取ることによって、この影響を緩和することができます。

「探査」>「フォームの自動入力」で、チェック・ボックスをクリアします。
これにより、 AppScan 360° が、自動的にフォームに入力して、データベース、掲示板、またはオンライン・フォーラム・システムをフラッディングする可能性のあるデータを送信したり、管理者アカウントまたはモデレーター・アカウントに不必要な電子メールを送信したりすることがなくなります。ただし、これにより、AppScan 360° は、フォームの送信によってアクセスできるサイトの領域へのアクセスが制限されることに注意してください。この操作モードでは、AppScan 360° は、(パラメーターの指定にかかわらず) リンクをたどることによってアクセスできるサイトの領域のみをスキャンします。
「通信」>「最大要求速度」で、1 秒あたりの許容最大要求数を減らすことを検討してください。
テスト・アカウントを作成します。
テスト・アカウントを使用すると、データベースの変更の追跡が簡単になり (例えば、サービスが実際に注文されないようにするなど)、サイト管理者がスキャン後にサイトをクリーンアップしやすくなります。アカウントを作成するときは、以下の一部またはすべてを実行することを検討してください。
- 変更されたレコードを復元できるように、データベースのアクセスをテスト・レコードのみに制限する。
- テスト・アカウントによって作成される新規レコードが削除されるようにする。
- テスト・アカウントからの注文書 (または他のトランザクション) が無視されるようにする。
- トランザクションによって影響が生じる場合 (例えば、株を処理する場合) は、アカウントのアクセスをテスト・レコードに対してのみ許可する。
- サイトにフォーラムがある場合は、テスト・ステージ中に作成されたテストが実際の顧客に表示されないように、テスト・アカウントのアクセスをテスト・フォーラムに対してのみ許可する。
- サイトにさまざまなアカウント用のさまざまな特権がある場合は、さまざまな特権を持つ複数のテスト・アカウントを設定する。これにより、サイトをより包括的にスキャンできるようになります。
- 管理者レベルのアクセス権限を持つテスト・アカウントを作成しない。

電子メール・フラッディングのリスク

電子メール通知を使用するページをテストする場合、AppScan 360° が多くの要求を生成して、サイトの電子メール・サーバーが過負荷の状態に陥る可能性があります。可能であれば、E メールが無効な E メール・アドレスに送信されるよう、テスト対象のページ上の E メール・アドレスを一時的に変更します。

テストの最適化: スキャンが高速化するのであれば、常にそれを使用するべきではないですか?

テストの最適化は、より速く結果を出す必要がある場合には優れていますが、非最適化スキャンほど徹底していません。速さが重要な場合には最適化されたスキャンを推奨しますが、定期的にフル・スキャンで補完することも推奨します。

テストの最適化: 同じサイトでは、2 つの最適化されたスキャンの結果は同一になりますか?

当社のチームは絶えず設定の分析と更新を行っているため、AppScan が更新されるたびに最適化の設定が改善されています。そのため、サイトが変更されていなくても結果が同一にならない場合があります。ただし、前のスキャンで問題を明らかにしたテストが、同じ最適化レベルの後のスキャンでフィルタリングによって除外されることはほとんどありません。

OTP: OTP HTTP パラメーターの識別方法

OTP (ワンタイム・パスワード) を使用するサイトの DAST スキャンでは、AppScan は、アプリケーションにログインできるようにするために、OTP を含むパラメーターの名前を知っている必要があり、通常は記録されたログインを検証するときにそれを識別します。これが失敗した場合、または (記録されたログインではなく) 自動ログインを使用する場合は、ユーザー自身でパラメーターを追加する必要があります。

パラメーターを識別するには、以下のようにします。

アプリケーションのログイン・ページを参照します。
F12 キーを押して、ブラウザーの開発者ツール・ペインを開きます (メイン・ブラウザー・ペインの右側または下に開きます)。
「エレメント」タブをクリックして、HTML コードを表示します。
コードの一部を選択すると、メイン・ブラウザー・ペインでエレメントが強調表示されます。
「OTP」フィールドが強調表示されているエレメントを見つけます。
例:
```
<input type="text" name="OTPvalue" value="">
```
name パラメーターの値 (引用符なし) が、必要な OTP HTTP パラメーターです。
例:
```
OTPvalue
```
複数の OTP HTTP パラメーターがある場合は、コンマで区切ります。

どのプロトコルが DAST スキャンに対応していますか?

AppScan 360° は、TLS 1.0、1.1、および 1.3 を必要とするアプリケーションをスキャンできます。

AppScan 360° が AppScan 360° サービスへの接続のためにサポートする TLS プロトコルはどれですか。

AppScan 360° サービスに接続するために TLS 1.2 をサポートします。

再スキャンで重大度が「中」の問題の数が増加したのはなぜですか?

最初に v10.2.2 より前のバージョンの DAST エンジンを使用して実行されたスキャンを再スキャンすると、重大度「中」の問題が元のスキャンよりも多く再スキャンで検出されます。

AppScan DAST エンジン・バージョン 10.2.2 以降では、CWE 問題の重大度と CVSS スコアリングは CVSS バージョン 3.1 に基づいています。古いバージョンの DAST エンジンを使用して実行されたスキャンでは、CVSS 2.0 スコアリングが使用されていました。古いバージョンで重大度「低」に割り当てられた一部の問題には、10.2.0 で重大度「中」が割り当てられた結果、重大度「中」の問題が増加しました。これは、将来のバージョンの DAST エンジンで変更される予定です。

SAST と SCA

静的分析 IRX ファイルとは何ですか? その内容は?

IRX は、暗号化されたセキュアな zip アーカイブで、ご使用のプログラムのすべての静的分析を実行するために必要な情報が含まれています。このファイルは、クラウドへの転送時 (SSL 経由) だけでなく、作成した際の保管時にも暗号化されます。

内部的に、IRX アーカイブには以下のファイルおよび成果物が含まれます。

お客様のデプロイ済みソース・コード (例えば、Java バイトコードや .Net MSIL) から作成されたデプロイ可能なプログラム成果物の、独占所有物である難読化された表記。静的分析スキャンでサポートされている言語について詳しくは、「静的分析のシステム要件」を参照してください。
セキュリティーの脆弱性について分析対象となり得る、ご使用のプログラムと一緒に配置されたランタイム・スクリプト・ファイル (例えば、.js (Javascript) または .rb (Ruby) ファイル)。
アプリケーションまたはプロジェクト階層、およびご使用のプログラムの関係または従属関係について記述した Static Analyzer 構成ファイル。これにより、ご使用のアプリケーション内のプロジェクト境界を越えて、正確かつ完全なセキュリティー分析を行うことが可能になります。
アーカイブ (診断およびサポート用) の作成時に生成される Static Analyzer ログ・ファイル。

SCA の問題に対応する CVSS バージョンは?

AppScan 360° は DAST 問題スコアに対応する CVSS バージョンを示しますが、SCA 問題スコアに対応する CVSS バージョンが常に表示されるとは限りません。