よくある質問

よくある質問について説明します。

全般

無料体験版サブスクリプションにはどのような制限がありますか?

スキャンが失敗したり、スキャン状況が「スキャンはレビュー中です」に変わったりしたのはなぜですか?

スキャンが失敗したらどうなりますか?

スキャンを削除しても無料の再スキャン期間を利用できますか?

削除したスキャンのスキャン結果を取得することはできますか?

再スキャンの後、以前のスキャンのスキャン結果を取得することはできますか?

スキャンの完了にはどれぐらいの時間がかかりますか?

スキャンに長時間かかっているようです。動作していない可能性はありますか?

スキャンを自分で削除しない場合、どれぐらいの期間、データベースに保持されますか?

ASoC はどの IP を使用しますか?

モバイルのスキャン

Android モバイル・スキャン・テスト対象となるセキュリティー問題

iOS スキャン・テスト対象となるセキュリティー問題

DAST スキャン

ステージング・スキャンと実動 DAST スキャンはどのように違いますか?

DAST スキャン・テスト対象となるセキュリティー問題

テストの最適化: スキャンが高速化するのであれば、常にそれを使用するべきではないですか?

テストの最適化: 同じサイトでは、2 つの最適化されたスキャンの結果は同一になりますか?

SAST スキャン

SAST スキャン・テスト対象となるセキュリティー問題

静的分析 IRX ファイルとは何ですか? その内容は?

無料体験版サブスクリプションにはどのような制限がありますか?

30 日の無料体験版によって ASoC を十分に評価することができます。サイトまたはアプリに対してすべてのタイプの ASoC スキャン (SAST、DAST、モバイル) を実行し、結果の概要レポートを確認できます。以下の制限が適用されます。
  • 概要レポートには、検出されたすべてのセキュリティー問題が記載されますが、その詳細や推奨される修復タスクは記載されません。これらは、有料版サブスクリプションで利用可能な完全レポートに記載されます。
  • コンプライアンス・レポートは利用できません。
  • AppScan Standard スキャン・ファイルまたは構成ファイル (SCAN、SCANT、CONFIG) のアップロードは使用できません。
  • SAST スキャン結果に、使用されたオープン・ソース・ライブラリーは記載されません。
  • プライベート・サイトのスキャン (インターネットで使用できないサイトのスキャン) は使用できません。
  • 一度に 1 つのスキャンのみ実行できます。
  • スキャン合計数は 5 に制限されています。
  • サブスクリプションは 30 日後に期限が切れます。

スキャンが失敗したり、スキャン状況が「スキャンはレビュー中です」に変わったりしたのはなぜですか?

ASoC によって、自動プロセスで生成された結果が最適でないことが検出された場合、スキャン状況は「スキャンはレビュー中です」に変更されます。当社のスキャン・イネーブラー・チームによって設定がレビューされ、最良のスキャン結果が得られるように変更される場合があります。この段階でお客様は入力する必要はありません。ただし、レビューがキャンセルされてしまうので、スキャンのキャンセルは行わないでください。設定のレビューが終了すると (通常は数時間以内)、スキャンが再開され、完了します。
スキャンが失敗したり、レビュー中になったりした場合、考えられる理由は次のとおりです。
  • ログイン資格情報が無効
  • ログインするにはいつもとは違う別のログイン手順が必要
  • ログインで CAPTCHA を使用している (CAPTCHA はサポートされていません。スキャンを行うには、CAPTCHA を無効にする必要があります)
  • アプリケーション・ファイルが無効
  • HTTP 認証の資格情報が無効であるか、見つからない
  • サーバーが応答しないか、ゲートウェイが正しくない (ASoC が多数の要求を送信するため、サイト/アプリケーションが安定していて、大量のトラフィックに対応できる必要があります)
  • IP がブロックされている ( で使用される IP ASoC をホワイトリストに登録してください)
  • アカウントがロックアウトされている
  • 手動での結果の検証が必要
  • 選択したテスト・セットがサイト/アプリケーションに適していません
  • プライベート・サイトのスキャン:AppScan プレゼンス 非アクティブ

これらの問題を回避できれば、スキャンは自動的かつ高速に完了する可能性が高くなります。これは特に ASoC スキャンを自動プロセスに組み込んでいる場合に重要であり、そうなればスキャン時間が可能な限り短くなります。

スキャンが失敗したらどうなりますか?

  • お客様のアカウントへの請求は発生しません。
  • スキャンが失敗した理由に関する診断があれば、お客様が修正できるように通知されます。

スキャンを削除しても無料の再スキャン期間を利用できますか?

いいえ。ごみ箱アイコンをクリックすると、再スキャン・オプションが無効になり、新しいスキャンを購入する必要が生じます。

削除したスキャンのスキャン結果を取得することはできますか?

いいえ。ごみ箱アイコンをクリックすると、スキャン結果はデータベースから削除されます。

再スキャンの後、以前のスキャンのスキャン結果を取得することはできますか?

いいえ。アプリケーションを再スキャンすると、以前のスキャン結果はデータベースから削除されます。

スキャンの完了にはどれぐらいの時間がかかりますか?

アプリケーションのサイズと複雑さによりますが、数分から数日かかります。スキャン完了時に E メールを受け取るように指定できます。

スキャンに長時間かかっているようです。動作していない可能性はありますか?

スキャンの進行状況はモニター・システムによりチェックされており、進行していないスキャンは停止されるようになっています。スキャンがまだ実行されているように見える場合は、高確率で実際に実行中です。

スキャンを自分で削除しない場合、どれぐらいの期間、データベースに保持されますか?

お客様がアップロードしたファイル (APK、IPA、IRX、SCAN、SCANT など) は、トラブルシューティングに使用する目的で、最長で 60 日間サービスにキャッシュされます。スキャン結果は、お客様がそれらを削除するか、またはユーザー・アカウントが削除されない限り、サービスに永続的に保管されます。

ASoC はどの IP を使用しますか?

システム要件を参照してください。

Android モバイル・スキャン・テスト対象となるセキュリティー問題

  • アクティビティーのハイジャック
  • Android クラス・ロードのハイジャック
  • Android フラグメント・インジェクション
  • ブロードキャストの盗用
  • バッファー・オーバーフロー
  • クライアント・サイドの SQL インジェクション
  • 定数の初期化ベクトル (IV)
  • 定数のパスワード
  • 定数のソルト
  • 定数の秘密鍵
  • 定数のシード
  • 定数のトークン
  • Java™ コードのクラッシュ
  • ネイティブ・コードのクラッシュ
  • 資格情報の漏えい
  • クロスアプリケーション・スクリプティング
  • 中間者攻撃 (MiTM) によるクロスサイト・スクリプティング (XSS)
  • リリース・バージョンで有効になっているデバッグ・フラグ
  • 検出されたデバッグ・バージョン
  • 非推奨 SSL バージョンがサポートされている
  • ファイル操作
  • 情報漏えい
  • 安全でないファイル許可
  • 安全でないペンディング・インテント
  • 安全でない直列化
  • フレームワークによる安全でない直列化
  • 安全でない TLS/SSL トラスト・マネージャー
  • 安全でない WebView TLS/SSL エラー・ハンドラー
  • 証明書の Pinning の欠落
  • 中間者攻撃 (MiTM) によるフィッシング
  • サービスのハイジャック
  • UI スプーフィング
  • 安全でないリフレクション
  • 脆弱な乱数発生ルーチン

iOS スキャン・テスト対象となるセキュリティー問題

  • AFNetworking フレームワークの脆弱性
  • クライアント証明書のインポート
  • 資格情報の漏えい
  • 永続的に保管された資格情報
  • 中間者攻撃 (MiTM) によるクロスサイト・スクリプティング (XSS)
  • デバッグ・シンボル・プレゼンス
  • HTTP 要求のハイジャック
  • HTTPS キャッシング
  • HTTPS から HTTP へのリダイレクト
  • 情報漏えい
  • セキュリティーの問題がある、バックグラウンドで実行中のアプリケーション
  • KeyChain データ保護
  • 証明書の Pinning の欠落
  • 資格情報検証の欠如
  • マルウェア - XCodeGhost
  • 中間者攻撃 (MiTM)
  • ドメイン・ネーム検証の欠落
  • 永続的に保管された NSURL 資格情報
  • ヌル初期化ベクトル
  • 非セキュアなペーストボードの使用
  • 中間者攻撃 (MiTM) によるフィッシング
  • PIE 保護
  • プライバシー・リソース・アクセス
  • IPA のアプリケーションがストリップされていないバイナリーである
  • トランスポート・セキュリティー - 証明書チェーンの検証
  • 脆弱な SSL 暗号スイートがサポートされている
  • 脆弱な脱獄の検出
  • 脆弱な乱数発生ルーチン
  • XML 外部エンティティー (XXE) 処理

ステージング・スキャンと実動 DAST スキャンはどのように違いますか?

実動スキャンはサイトの安定性に影響を与えるリスクが低くなるように設計されており、スキャンがサイトを探索する際に、フォームは送信されず、より低い要求速度が使用されます。

DAST スキャン・テスト対象となるセキュリティー問題

  • 機能の悪用
  • ブルート・フォース
  • バッファー・オーバーフロー
  • コンテンツ・スプーフィング
  • 資格情報/セッション予測
  • クロスサイト・リクエスト・フォージェリー
  • クロスサイト・スクリプティング
  • サービス拒否攻撃
  • ディレクトリー索引付け
  • 書式文字列
  • HTTP レスポンス分割
  • 情報漏えい
  • セキュリティーで保護されていないインデックス作成
  • 不適切な認証
  • 不適切な許可
  • 不適切なセッション有効期限
  • 不十分なトランスポート層防御
  • 整数オーバーフロー
  • LDAP インジェクション
  • メール・コマンド・インジェクション
  • 悪意のあるコンテンツのテスト
  • Null バイト・インジェクション
  • OS コマンド実行
  • パス・トラバーサル
  • 予測可能なリソースの位置
  • リモート・ファイルのインクルード
  • 正しくないサーバー構成
  • セッションの固定
  • SOAP 配列の悪用
  • SQL 注入
  • SSI インジェクション
  • URL リダイレクターの悪用
  • XML 属性ブローアップ
  • XML エンティティーの拡張
  • XML 外部エンティティー
  • XML インジェクション
  • XPath 注入
注: ステージング・サイトと実動サイトでは同じ問題がテストされますが、一部の問題については、実動テストはステージング・テストほど綿密には行われません。

テストの最適化: スキャンが高速化するのであれば、常にそれを使用するべきではないですか?

テストの最適化は、より速く結果を出す必要がある場合には優れていますが、非最適化スキャンほど徹底的ではありません。速さが重要な場合には最適化されたスキャンを推奨しますが、定期的にフル・スキャンで補完することも推奨します。

テストの最適化: 同じサイトでは、2 つの最適化されたスキャンの結果は同一になりますか?

当社のチームは絶えず設定の分析と更新を行っているため、AppScan が更新されるたびに最適化の設定が改善されています。そのため、サイトが変更されていなくても結果が同一にならない可能性があります。ただし、前のスキャンで問題を明らかにしたテストが、同じ最適化レベルの後のスキャンでフィルタリングによって除外されることはほとんどありません。

SAST スキャン・テスト対象となるセキュリティー問題

  • AppDOS
  • ブラウザーによる機密情報のキャッシング
  • コメントによる機密情報の漏えい
  • 構成の問題
  • クロスサイト・スクリプティング (XSS)
  • DB 接続ストリングの操作
  • E メール・フィッシング
  • E メールの改ざん
  • エンコーディングの必要性
  • 無防備な Web サービス
  • ファイルの改ざん
  • ファイル・アップロード
  • HTTP リクエスト分割
  • HTTP レスポンス分割
  • LDAP インジェクション
  • オープン・リダイレクト
  • OS コマンド・インジェクション
  • パス・トラバーサルの潜在的なビジネス・ロジックの問題 (非セキュアなダイレクト・オブジェクト参照もカバー)
  • 特権エスカレーション
  • RegEx 注入
  • テスト・コードの削除
  • SecondOrder 注入
  • Sensitive Data Exposure (機密データの露出)
  • ログに保管された機密データ
  • エラー・メッセージに表示された機密情報
  • 大きすぎるセッション管理タイムアウト値
  • SQL 注入
  • 暗号化されていない通信
  • URL の改ざん
  • 暗号として安全でない乱数発生ルーチンの使用
  • 隠しフィールドの使用
  • 非セキュアな暗号化アルゴリズムの使用
  • 安全でないネイティブ・コードの使用
  • 脆弱なアクセス制御
  • 脆弱な認証
  • XML インジェクション
  • XPath 注入
  • XSLT 注入

静的分析 IRX ファイルとは何ですか? その内容は?

IRX は、暗号化されたセキュアな zip アーカイブで、ご使用のプログラムのすべての静的分析を実行するために必要な情報が含まれています。このファイルは、クラウドへの転送時 (SSL 経由) だけでなく、作成時に保管するときも暗号化されます。

内部的に、IRX アーカイブには以下のファイルおよび成果物が含まれます。

  • お客様のデプロイ済みソース・コード (例えば、Java バイトコードや .Net MSIL) から作成されたデプロイ可能なプログラム成果物の、独占所有物である難読化された表記。静的分析スキャンでサポートされている言語について詳しくは、静的分析のシステム要件を参照してください。
  • お客様のプログラムと一緒にデプロイされた、セキュリティーの脆弱性について分析できるランタイム・スクリプト・ファイル (例えば、.js (Javascript) ファイルや .rb (Ruby) ファイルなど)。
  • Static Analyzer アプリケーションまたはプロジェクト階層、およびご使用のプログラムの関係または従属関係について記述した、構成ファイル。これにより、ご使用のアプリケーション内のプロジェクト境界を越えて、正確かつ完全なセキュリティー分析を行うことが可能になります。
  • Static Analyzer アーカイブ (診断およびサポート用) の作成時に生成されるログ・ファイル。