メインコンテンツにジャンプ
HCL Logo Help Center
HCL TECHNOLOGIES ABOUT US PRODUCTS & SOLUTIONS RESOURCES CONTACT US
セキュリティーの目的は、貴重な資産を保護することです。組織が所有する最も重要な資産のいくつかは、知的財産、戦略計画、顧客データなど、情報の形をとるものです。この情報を保護することは、組織の業務の継続、競争力の維持、および法規制要件への適合に不可欠です。
システム要件
このトピックでは、ASoC アナライザーのシステム要件とサポートされるオペレーティング・システムおよび言語へのリンクを記載します。また、このサービスでサポートされるブラウザーと最小解像度について説明します。
最近の更新
最近追加された機能をご確認ください。
デモ・ビデオ
これらの「ハウツー」ビデオでは、ASoC の使用方法と、このサービスがどのようにワークフローに適合するかを説明するとともに、ヒントや秘訣を紹介しています。
連絡先およびサポート
以下のリンクを参考にしてください。
ISO/IEC 27001:2013 認定
HCL AppScan on Cloud は、2018 年 4 月に ISO/IEC 27001:2013 認定を取得しました。
ワークフロー
このセクションでは、有効なサブスクリプションを持つ認定ユーザーの一般的な ASoC ワークロードについて概説します。
「メイン」メニュー
このセクションでは、ASoC の「メイン」メニューにある項目について説明し、関連資料へのリンクを記載します。
配信登録
「マイサブスクリプション」には、お客様の組織のすべてのサブスクリプションのステータス (アプリケーションまたはスキャンの残数、開始日と終了日など) が表示されます。
ユーザー管理では、機密性の高いアプリケーションを資産グループに割り当てて特定のユーザーをそれらのグループに追加することで、そのアプリケーションへのアクセスを制限することができます。
ユーザーの管理
ユーザーを調査して、誰がどのアプリまたは資産グループにアクセスする必要があるかを決定します。ビジネス・ユニットや地域によってユーザーをグループ化することを検討します。デフォルトでは、Cloud Marketplace で管理者に指定されていないユーザーはすべてアプリケーション・テスターです。権限をレポート・ビューアーに限定する必要があるユーザーを決定し、そのユーザーのロールを変更します。
ユーザー・ロール
ユーザーは、管理者によって資産グループに割り当てられます。事前定義されたユーザー・ロールを削除することはできません。
資産グループ
資産グループは、組織の抽象的な構成要素 (「財務」や「エンジニアリング」) を表します。管理者は、特定のアプリケーションを資産グループに割り当て、そのグループに属するユーザーを制限することで、それらのアプリケーションへのアクセスを限定することができます。
アプリケーション属性
アプリケーション属性は、アプリケーションのプロパティーであり、「My アプリケーション」タブの列見出しに表示されます。属性を使用すると、アプリケーション・リストをフィルターに掛けて調査したい対象を絞り込むことができます。以下の表には、ユーザーが編集できる定義済みの属性を示します (「作成日」と「最終更新日時」は ASoC によって制御されます)。
アプリケーションの作成
アプリを作成して問題をインポートすることで、重大な Web アプリにおけるビジネスへの影響に対するセキュリティー・テストの進行状況を追跡することが可能になります。
アプリケーション・インベントリーのフィルタリング
セキュリティー問題がないかをテストするアプリケーションが多数ある場合、膨大なリストの中から目的のアプリケーションを見つけるにはどうすればよいでしょうか? テスト範囲を狭めるには、ビジネス・ユニットまたはリスク等級でインベントリーをフィルタリングします。
アプリケーションのリストのインポート
アプリケーションのインベントリー・リストをインポートすると、冗長な手動作業が削減されるため、時間を節約できます。アプリケーション属性のサンプル・スプレッドシートから開始するか、既存のリストにサンプル・スプレッドシートをマージします。アプリのリストは、CSV 形式でなければなりません。CSV ファイルを編集する際は、必ずスプレッドシート・エディター (Microsoft™ Excel や Apache OpenOffice Calc など) を使用してください。
サーバーで AppScan プレゼンス プレゼンスを使用すると、インターネットからアクセスできないサイトをスキャンし、機能テストの一環としてスキャンを組み込むことができます。
システム要件
 の作成 AppScan プレゼンス
プライベート Web アプリまたはモバイル・アプリの場合、または機能テスト手順の一環としてスキャンを統合する場合は、Web アプリまたはバックエンド・サーバーおよびインターネットにアクセスできる AppScan プレゼンスを作成する必要があります。同じプレゼンスを Android アプリ、iOS アプリ、Web サイトに使用できます。プロキシー接続がサポートされています。
AppScan プレゼンス の開始
プロキシー・サーバーの構成
AppScan プレゼンスでプロキシー・サーバーを使用するには、プロキシー・サーバーのアクティブ化と構成の両方を行う必要があります。
プロキシー・サーバーの使用
AppScan プレゼンス・プロキシー・サーバーを使用してトラフィックを記録し、それを CONFIG ファイルとして保存し、インポートして ASoC スキャンを実行できます。
プライベート・サイト・サーバー・プロキシーの構成
ご使用のプライベート・ネットワークが、プライベート・サイト・サーバーでプロキシーを使用して、Web アプリまたはバックエンド・サーバー (内部プロキシー) またはインターネット (発信プロキシー) に接続することが必要な場合、以下のようにプロキシーを構成します。
PAC ファイルの構成
サイト内のさまざまなドメインに到達するためにプロキシー自動構成 (PAC) ファイルが必要な場合には、AppScan プレゼンスを以下のように構成します。
プレゼンス・キーの更新
最初にプレゼンスをダウンロードした時点で、プレゼンスには自身をアクティブ化するためのキーが同梱されています。そのキーが有効期限切れになったら、有効なキーで置き換える必要があります。
アプリのスキャンを実行して、サード・パーティーのスキャナーから問題をインポートする方法を説明します。
サンプル・アプリとスクリプト
以下のサンプル・アプリケーションを使用して、ASoC によるスキャンをお試しください。
モバイル分析
ASoC は、iOS アプリケーションおよび Android アプリケーションの対話式分析と静的分析を実行できます
動的分析
ASoC は、ブラウザーで実行されるアプリケーションの動的分析を実行できます
動的スキャンの自動化
このセクションでは、動的スキャンを機能テストに組み込む方法を説明します。
個人スキャン
個人スキャンは、アプリケーション全体のスキャン・データまたはコンプライアンスに影響を与えることなく、開発中のアプリケーションの相対的なセキュリティーを評価する方法です。
プライベート・サイト
サーバー上の AppScan プレゼンスを使用することで、インターネットからアクセスできないサイトをスキャンできます。
静的分析
静的分析を使用して、セキュリティーの脆弱性がないかソース・コードをスキャンします。これを行うには、小規模なクライアント・ユーティリティーをダウンロードし、コマンド行インターフェース (CLI) を使用して、サポートされるすべての言語でセキュリティー分析を実行します。クライアント・ユーティリティーには、Java プロジェクトのスキャンに使用できる Maven プラグインも含まれています。Eclipse、IntelliJ IDEA、および Visual Studio 用の静的分析プラグインは、それぞれのマーケットプレイスで入手できます。プラグインをインストールすると、Eclipse と IntelliJ IDEA では Java プロジェクトを、Visual Studio では .NET (C#、ASP.NET、VB.NET) プロジェクトをスキャンできます。
サード・パーティー・スキャナーからの問題のインポート
問題を検出するためにサード・パーティー・スキャナーを使用しているか手書きのテストを実施しているかに関わらず、CSV ファイルから ASoC に問題をインポートしてトリアージできます。
ポリシーを作成するか事前定義されたポリシーを使用してスキャンで検出された問題をフィルタリングし、1 つ以上のポリシーをアプリケーションに関連付けることができます。
カスタム・ポリシー
必要な権限を持っていれば、独自のカスタム・ポリシーを作成/削除できます。
アプリケーションとの関連付け
有効化/無効化
アプリのコンプライアンス状況
アプリケーションの「スキャン履歴」タブに、スキャン結果 (スキャン統計を含む) と再スキャン・オプションが表示されます。
サンプルのセキュリティー・レポート
アプリケーション・データ
スキャン・データ
問題データ
レポートの生成
アプリケーションで検出された問題に関する HTML セキュリティー・レポートを生成して、開発者、内部監査者、侵入テスター、マネージャー、および CISO に送信することができます。セキュリティー情報は広範囲にわたる場合がありますが、必要に応じてフィルタリングできます。
問題のトリアージ
すべての問題は、デフォルトで「新規」に分類されます。問題の状況を表示すると、問題の分類を確認できます。
問題のステータス
問題は、New、Open、In Progress、Noise、Reopened、Passed、Fixed として分類できます。Open、In Progress、Reopened のいずれかに分類された問題は、アプリケーションの問題グリッドに表示されます。
修復
お客様のセキュリティー・チームは、リスクの判別と脆弱性の優先順位付けを行った後、修復プロセスを開始できます。
再スキャン
最初のスキャンの後で問題を修正したら、同じアプリを複数回スキャンして前の結果を上書きできます。したがって、ダッシュボードには常に最新の結果が表示されます。(新規のスキャンを開始せずに) 再スキャンを行うと、新たに実行したスキャンにより前のスキャンは上書きされます。
静的分析スキャンの結果
このトピックでは、静的分析スキャン結果で使用できる機能について説明します。
ダッシュボードを使用して、組織内のアプリケーションのさまざまなメトリックと傾向を追跡します。ユーザー・ロールによっては、そのユーザーが所属する資産グループのダッシュボード・チャートのみが表示されます。
ダッシュボード・チャート
インベントリーを構成するアプリケーションのさまざまなメトリックと傾向を追跡します。
組み込みの REST API インターフェースは、RESTful Web サービスを視覚化する方法を提供します。API のドキュメンテーションは Swagger を使用して作成されています。このドキュメンテーションを使用すると API 操作をテストしてすぐに結果を確認できるので、アプリケーションをより迅速にスキャンできます。
API 鍵の生成
キー ID とキーの秘密を使用して ASoC の REST API にアクセスし、ASoC クライアント・ツール (例えば、Jenkins プラグイン、静的分析 CLI、IDE プラグインなど) のいずれかからログインします。
OData
このセクションでは、ASoC API を介して Open Data Protocol (OData) を使用するための情報とヒントを示します。
サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
AppScan プレゼンス
このセクションでは、AppScan プレゼンス プレゼンスの操作中に検出されたエラーに対するトラブルシューティング・タスクを提示します。
静的分析
静的分析に関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
製品ライフサイクル (SDLC) への ASoC の統合に関する情報、および ASoC API 資料。
FAQ
よくある質問について説明します。
脅威クラスと CWE
ASoC でテストされた問題の脅威クラスとそのクラスに関連する CWE 番号を記載する表。
プライベート・サイトのスキャンについて
ASoC では、SaaS としてのクラウド・ベースのスキャナーから動的アプリケーション・セキュリティー・テスト (DAST) を行います。この機能には、クラウド・ベースのスキャナーがテスト対象のアプリケーションにアクセスできることが要件となります。一般公開されている Web ベースのアプリケーションについては問題なくスキャンできます。ただし、プライベート・サイトのスキャン (PSS) を行うには、その前に、ネットワーク・コンポーネント (VPN やプロキシーなど) を追加するか、スキャナーが Web アプリケーションのホスト・サーバーにアクセスできるようネットワークを変更する必要があります。
HCL AppScan on Cloud サービス契約
Sep2019v3