メインコンテンツにジャンプ
HCL Logo Help Center
HCL TECHNOLOGIES ABOUT US PRODUCTS & SOLUTIONS RESOURCES CONTACT US
ようこそ
HCL AppScan on Cloud の文書へようこそ。
セキュリティーの目的は、貴重な資産を保護することです。組織が所有する最も重要な資産のいくつかは、知的財産、戦略計画、顧客データなど、情報の形をとるものです。この情報を保護することは、組織の業務の継続、競争力の維持、および法規制要件への適合に不可欠です。
最新の更新
システム要件
このトピックでは、ASoC アナライザーのシステム要件とサポートされるオペレーティング・システムおよび言語へのリンクを記載します。また、このサービスでサポートされるブラウザーと最小解像度について説明します。
アクセス管理
サブスクリプション
「マイサブスクリプション」には、お客様の組織のすべてのサブスクリプションのステータス (アプリケーションまたはスキャンの残数、開始日と終了日など) が表示されます。
ワークフロー
このセクションでは、有効なサブスクリプションを持つ認定ユーザーの一般的な ASoC ワークロードについて概説します。
「メイン」メニュー
このセクションでは、ASoC の「メイン」メニューにある項目について説明し、関連資料へのリンクを記載します。
デモ・ビデオ
これらの「ハウツー」ビデオでは、ASoC の使用方法と、このサービスがどのようにワークフローに適合するかを説明するとともに、ヒントや秘訣を紹介しています。
連絡先およびサポート
以下のリンクを参考にしてください。
ISO/IEC 27001:2013 認定
HCL AppScan on Cloud は、2018 年 4 月に ISO/IEC 27001:2013 認定を取得しました。
サービスの説明
試用版利用規約
これらの利用規約は、AppScan on Cloud Service 試用版に適用されます。HCL AppScan on Cloud 試用版を注文、アクセスまたは使用すると、ToU に同意したことになります。
ユーザー管理により、重要なアプリケーションを資産グループに割り当てて特定のユーザーをそれらのグループに追加することで、そのアプリケーションへのアクセスを制限することができます。
ユーザーの管理
ユーザーを調査して、誰がどのアプリまたは資産グループにアクセスする必要があるかを決定します。ビジネス・ユニットや地域によってユーザーをグループ化することを検討します。デフォルトでは、Cloud Marketplace で管理者に指定されていないユーザーはすべてアプリケーション・テスターです。権限をレポート・ビューアーに限定する必要があるユーザーを決定し、そのユーザーのロールを変更します。
ユーザー・ロール
ユーザーは、管理者によって資産グループに割り当てられます。事前定義されたユーザー役割を削除することはできません。
資産グループ
資産グループは、組織の抽象的な構成要素 (「財務」や「エンジニアリング」) を表します。管理者は、特定のアプリケーションを資産グループに割り当て、そのグループに属するユーザーを制限することで、それらのアプリケーションへのアクセスを制限することができます。
アプリケーション属性
アプリケーション属性は、アプリケーションのプロパティーであり、「My アプリケーション」タブの列見出しに表示されます。属性を使用すると、アプリケーション・リストをフィルターに掛けて調査したい対象を絞り込むことができます。以下の表には、ユーザーが編集できる定義済みの属性を示します (「作成日」と「最終更新日時」は ASoC によって制御されます)。
アプリケーションの作成
アプリを作成して問題をインポートすることで、重大な Web アプリにおけるビジネスへの影響に対するセキュリティー・テストの進行状況を追跡することが可能になります。
アプリケーション・インベントリーのフィルタリング
セキュリティー問題がないかをテストするアプリケーションが多数ある場合、膨大なリストの中から目的のアプリケーションを見つけるにはどうすればよいでしょうか? テスト範囲を狭めるには、ビジネス・ユニットまたはリスク等級でインベントリーをフィルタリングします。
アプリケーションのリストのインポート
アプリケーションのインベントリー・リストをインポートすると、冗長な手動作業が削減されるため、時間を節約できます。アプリケーション属性のサンプル・スプレッドシートから開始するか、既存のリストにサンプル・スプレッドシートをマージします。アプリのリストは、CSV 形式でなければなりません。CSV ファイルを編集する場合は、必ず表計算エディター (Microsoft™ Excel や Apache OpenOffice Calc など) を使用してください。
サーバーで AppScan プレゼンス プレゼンスを使用すると、インターネットからアクセスできないサイトをスキャンし、機能テストの一環としてスキャンを組み込むことができます。
システム要件
以下の作成: AppScan プレゼンス
プライベート Web アプリまたはモバイル・アプリの場合、または機能テスト手順の一環としてスキャンを統合する場合は、Web アプリまたはバックエンド・サーバーおよびインターネットにアクセスできる AppScan プレゼンスを作成する必要があります。Android アプリ、iOS アプリ、および Web サイトに同じプレゼンスを使用できます。プロキシー接続がサポートされています。
AppScan プレゼンスの開始
プロキシー・サーバーの構成
AppScan プレゼンスでプロキシー・サーバーを使用するには、プロキシー・サーバーのアクティブ化と構成の両方を行う必要があります。
プロキシー・サーバーの使用
AppScan プレゼンス・プロキシー・サーバーを使用してトラフィックを記録し、それを CONFIG ファイルとして保存し、インポートして ASoC スキャンを実行できます。以下の手順の下にあるサブセクションの説明に従って、オプションでこのファイルを暗号化することができます。
プライベート・サイト・サーバー・プロキシーの構成
ご使用のプライベート・ネットワークが、プライベート・サイト・サーバーでプロキシーを使用して、Web アプリまたはバックエンド・サーバー (内部プロキシー) またはインターネット (発信プロキシー) に接続することが必要な場合、以下のようにプロキシーを構成します。
PAC ファイルの構成
サイト内のさまざまなドメインに到達するためにプロキシー自動構成 (PAC) ファイルが必要な場合には、AppScan プレゼンスを以下のように構成します。
プレゼンス・キーの更新
最初にプレゼンスをダウンロードした時点で、プレゼンスには自身をアクティブ化するためのキーが同梱されています。そのキーが有効期限切れになったら、有効なキーで置き換える必要があります。
アプリのスキャンを実行して、サード・パーティーのスキャナーから問題をインポートする方法を説明します。
サンプル・アプリとスクリプト
以下のサンプル・アプリケーションを使用して、ASoC によるスキャンをお試しください。
モバイルのスキャン
ASoC は、iOS アプリケーションおよび Android アプリケーションの対話式分析と静的分析を実行できます
動的 (DAST) スキャン
ASoC は、ブラウザーで実行されるアプリケーションの動的分析を実行できます
静的 (SAST) スキャン
静的分析を使用して、セキュリティーの脆弱性がないかソース・コードをスキャンします。これを行うには、小規模なクライアント・ユーティリティーをダウンロードし、コマンド行インターフェース (CLI) を使用して、サポートされるすべての言語でセキュリティー分析を実行します。クライアント・ユーティリティーには、Java プロジェクトのスキャンに使用できる Maven プラグインも含まれています。Eclipse、IntelliJ IDEA、および Visual Studio 用の静的分析プラグインは、それぞれのマーケットプレイスで入手できます。プラグインをインストールすると、Eclipse と IntelliJ IDEA では Java プロジェクトを、Visual Studio では .NET (C#、ASP.NET、VB.NET) プロジェクトをスキャンできます。
インタラクティブ (IAST) スキャン
ASoC 通常のアプリケーション・ランタイムの脆弱性に関する対話型分析を実施できます。
個人スキャン
個人スキャンは、アプリケーション全体のスキャン・データまたはコンプライアンスに影響を与えることなく、開発中のアプリケーションの相対的なセキュリティーを評価する方法です。
プライベート・サイト
サーバー上の AppScan プレゼンスを使用することで、インターネットからアクセスできないサイトをスキャンできます。
サード・パーティー・スキャナーからの問題のインポート
問題を検出するためにサード・パーティー・スキャナーを使用しているか手書きのテストを実施しているかに関わらず、CSV ファイルから ASoC に問題をインポートしてトリアージできます。
ポリシーを作成するか事前定義されたポリシーを使用してスキャンで検出された問題をフィルタリングし、1 つ以上のポリシーをアプリケーションに関連付けることができます。
カスタム・ポリシー
必要な権限を持っていれば、独自のカスタム・ポリシーを作成/削除できます。
アプリケーションとの関連付け
有効化/無効化
アプリのコンプライアンス状況
アプリケーションの「スキャン履歴」タブに、スキャン結果 (スキャン統計を含む) と再スキャン・オプションが表示されます。
サンプルのセキュリティー・レポート
アプリケーション・データ
スキャン・データ
問題データ
修正グループ
修正グループは現在、静的分析で見つかった問題にのみ適用されます。
レポートの生成
アプリケーションで検出された問題に関する HTML セキュリティー・レポートを生成して、開発者、内部監査者、侵入テスター、マネージャー、および CISO に送信することができます。セキュリティー情報は広範囲にわたる場合があり、要件に応じてフィルターに掛けることができます。
問題のトリアージ
すべての問題は、デフォルトで「新規」に分類されます。問題の状況を表示することで、問題の分類を確認することができます。
問題のステータス
問題は、「新規」、「未解決」、「進行中」、「ノイズ」、「再オープン済み」、「パス済み」、および「修正済み」に分類することができます。「未解決」、「進行中」、「再オープン済み」 のいずれかに分類された問題は、アプリケーションの問題グリッドに表示されます。
修復
お客様のセキュリティー・チームは、リスクの判別と脆弱性の優先順位付けを行った後、修復プロセスを開始できます。
再スキャン
最初のスキャンの後で問題を修正したら、同じアプリを複数回スキャンして前の結果を上書きできます。したがって、ダッシュボードには常に最新の結果が表示されます。(新規のスキャンを開始せずに) 再スキャンを行うと、新たに実行したスキャンにより前のスキャンは上書きされます。
静的分析スキャンの結果
このトピックでは、静的分析スキャン結果で使用できる機能について説明します。
IAST スキャン結果
インタラクティブ (IAST) スキャン・エントリーには、前回のスキャンが開始された後の結果が示されます。
進行状況の測定
ダッシュボードを使用して、組織内のアプリケーションのさまざまなメトリックと傾向を追跡します。ユーザー・ロールによっては、そのユーザーが所属する資産グループのダッシュボード・チャートのみが表示されます。
組み込みの REST API インターフェースは、RESTful Web サービスを視覚化する方法を提供します。API のドキュメンテーションは Swagger を使用して作成されています。このドキュメンテーションを使用すると API 操作をテストしてすぐに結果を確認できるので、アプリケーションをより迅速にスキャンできます。
API 鍵の生成
キー ID とキーの秘密を使用して ASoC の REST API にアクセスし、ASoC クライアント・ツール (例えば、Jenkins プラグイン、静的分析 CLI、IDE プラグインなど) のいずれかからログインします。
OData
このセクションでは、ASoC API を介して Open Data Protocol (OData) を使用するための情報とヒントを示します。
サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
AppScan プレゼンス
このセクションでは、AppScan プレゼンス プレゼンスの操作中に検出されたエラーに対するトラブルシューティング・タスクを提示します。
静的分析
静的分析に関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
よくある質問、製品ライフサイクル (SDLC) への ASoC の統合に関する情報、および ASoC API 資料。
よくある質問
よくある質問について説明します。
HCL AppScan on Cloud プラグインおよび統合
HCL AppScan on Cloud には、次のプラグインと統合が組み込まれています。
脅威クラスと CWE
ASoC でテストされた問題の脅威クラスとそのクラスに関連する CWE 番号を記載する表。
プライベート・サイトのスキャンについて
ASoC では、SaaS としてのクラウド・ベースのスキャナーから動的アプリケーション・セキュリティー・テスト (DAST) を行います。この機能には、クラウド・ベースのスキャナーがテスト対象のアプリケーションにアクセスできることが要件となります。一般公開されている Web ベースのアプリケーションについては問題なくスキャンできます。ただし、プライベート・サイトのスキャン (PSS) を行うには、その前に、ネットワーク・コンポーネント (VPN やプロキシーなど) を追加するか、スキャナーが Web アプリケーションのホスト・サーバーにアクセスできるようネットワークを変更する必要があります。