はじめに
HCL AppScan 360° の資料にようこそ。この資料では、このサービスのインストール、保守、および使用に関する情報を参照できます。
HCL AppScan 360° について
HCL AppScan 360° は、アプリケーションのセキュリティー、可視性、リスク管理が統合されたプラットフォームです。場所を問わず、汎用性、拡張性、展開性に優れています。
最新情報 HCL AppScan 360°
HCL AppScan 360° に追加された新機能と、このリリースで非推奨になった機能について説明します。
役割とワークフロー
さまざまな AppScan 360° ユーザーのさまざまな AppScan 360° タスクとワークフローについて説明します。
サンプル・アプリとスクリプト
以下のサンプル・アプリケーションを使用して、AppScan 360° によるスキャンをお試しください。
連絡先およびサポート
人材およびオンライン・リソースへの便利なリンク。
インストール
AppScan 360° のアーキテクチャーと製品のインストール方法について説明します。
AppScan 360° 環境のセットアップ
AppScan 360° をインストールする前に、最適なデプロイ環境をセットアップしてください。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
ユーザー数
ユーザー管理により、重要なアプリケーションを資産グループに割り当てて特定のユーザーをそうしたグループに追加することで、そのようなアプリケーションへのアクセスを制御することができます。
アプリケーション数
アプリケーションは、同じプロジェクトに関連するスキャンのコレクションです。Web サイト、デスクトップ・アプリ、モバイル・アプリ、Web サービス、アプリの任意のコンポーネントなどが対象になる可能性があります。「アプリケーション」では、リスクを評価したり、傾向を把握したり、プロジェクトが業界や組織のポリシーに準拠していることを確認したりできます。
ポリシー
事前定義されたポリシーや独自のカスタム・ポリシーを適用して、自分に関連する問題のデータのみを表示できます。
DevOps
ソフトウェア開発ライフサイクルの AppScan 360° の組み込み用ツール。
個人スキャン
個人スキャンは、アプリケーション全体のスキャン・データ (問題など) やコンプライアンスに影響を与えることなく、開発中のアプリケーションの相対的なセキュリティーを評価する方法です。
監査証跡
監査証跡 (「組織」 > 「監査証跡」) は、ユーザー・アクティビティーを記録します。
このセクションでは、AppScan 360° のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。
動的分析 (DAST) について
AppScan 360° の動的 (DAST) スキャンは、次の 2 つのステージで構成されています。探査およびテスト。スキャン・プロセスのほとんどはユーザーにとってシームレスで、スキャンが完了するまで入力は必要ありませんが、動的スキャンの仕組みを把握すると、開発プロセスにおけるスキャンの役割の理解を深めることができます。
動的スキャン (DAST)
AppScan 360° は、ブラウザーまたは Web API で実行されるアプリケーションの動的分析を実行できます。AppScan 360° で利用可能な構成オプションを使用するか、AppScan Standard の構成 (テンプレート・ファイル) またはフル・スキャン・ファイルをアップロードします。
トラフィックの記録
トラフィックは、AppScan Activity Recorder ブラウザー拡張機能 (Chrome または Edge 用)、HCL AppScan Traffic Recorder プロキシー・サーバー、または AppScan Standard を使用して、DAST スキャンの探査データとして記録できます。
HCL AppScan Traffic Recorder
HCL AppScan Traffic Recorder (DAST プロキシー) では、トラフィックを記録して探査データとして使用できます。要求に応じてトラフィック・レコーダー・インスタンスを作成して、後で DAST スキャンに使用されるトラフィックを記録できます。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析のシステム要件
サポートされているオペレーティング・システムと、静的分析を実行する場合に AppScan 360° でスキャンできるファイルのタイプ、場所、プロジェクト。
セキュリティーの脆弱性のスキャン
セキュリティーの脆弱性がないかソース・コードをスキャンするには、これらのトピックで説明する手順に従ってください。
静的分析のトラブルシューティング
静的分析に関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
結果
[スキャンとセッション] ページでは、カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
問題
アプリケーションの「問題」ページには、デフォルトで非準拠の問題のみが表示されます。さまざまなフィルターを適用して必要な問題を確認し、問題をクリックして詳細な問題情報ペインを開くことができます。
修正グループ
修正グループは現在、静的分析スキャンで検出された問題にのみ適用されます。
レポート
アプリケーションで検出された問題のレポートを生成します。送信するレポートを、開発者、社内監査者、侵入テスト担当者、マネージャー、CISO に送信します。セキュリティー情報は広範囲にわたる場合があり、要件に応じてフィルターを掛けることができます。
修復
お客様のセキュリティー・チームは、リスクの判別と脆弱性の優先順位付けを行った後、修復プロセスを開始できます。
再スキャン
最初のスキャンの後で問題を修正したら、再び同じアプリケーションを複数回スキャンすると前の結果を上書きできるため、ダッシュボードには常に最新の結果が表示されます。(新規のスキャンを開始せずに) 再スキャンを行うと、再スキャンにより前のスキャンは上書きされます。
参照
よくある質問、および製品ライフサイクル (SDLC) への AppScan 360° の統合に関する情報。
FAQ
よくある質問について説明します。
脅威クラスと CWE
AppScan 360° でテスト済みの問題の脅威クラスとそのクラスに関連する CWE 番号を記載したテーブル。
CSV 形式このセクションでは、応答データを CSV 形式で保存する方法について説明します。