ホーム
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
HCL AppScan Traffic Recorder
HCL AppScan Traffic Recorder (DAST プロキシー) では、トラフィックを記録して探査データとして使用できます。要求に応じてトラフィック・レコーダー・インスタンスを作成して、後で DAST スキャンに使用されるトラフィックを記録できます。

作業の開始
HCL AppScan on Cloud の資料にようこそ。この資料では、このサービスのインストール、保守、および使用に関する情報を参照できます。
ナビゲーション
このセクションでは、AppScan on Cloud のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
- 動的分析 (DAST) について
  ASoC の動的 (DAST) スキャンは、次の 2 つのステージで構成されています。探査およびテスト。スキャン・プロセスのほとんどはユーザーにとってシームレスで、スキャンが完了するまで入力は必要ありませんが、動的スキャンの仕組みを把握すると、開発プロセスにおけるスキャンの役割の理解を深めることができます。
- 動的スキャン (DAST)
  ASoC は、ブラウザーまたは Web API で実行されるアプリケーションの動的分析を実行できます。ASoC で利用可能な構成オプションを使用するか、AppScan Standard の構成 (テンプレート・ファイル) またはフル・スキャン・ファイルをアップロードします。
- AppScan Presence
  サーバーで AppScan Presence を使用すると、インターネットからアクセスできないサイトをスキャンしたり、機能テストの一環としてスキャンを組み込んだりできます。
- トラフィックの記録
  トラフィックは、AppScan Activity Recorder ブラウザー拡張機能 (Chrome または Edge 用)、HCL AppScan Traffic Recorder プロキシー・サーバー、または AppScan Standard を使用して、DAST スキャンの探査データとして記録できます。
- HCL AppScan Traffic Recorder
  HCL AppScan Traffic Recorder (DAST プロキシー) では、トラフィックを記録して探査データとして使用できます。要求に応じてトラフィック・レコーダー・インスタンスを作成して、後で DAST スキャンに使用されるトラフィックを記録できます。
  - システム要件
  - HCL AppScan Traffic Recorder のインストール
  - トラフィック・レコーダーの構成
    変更は、HCL AppScan Traffic Recorder に対応した構成ファイル Settings.json で行えます。
  - トラフィック・レコーダーの開始と停止
    トラフィック・レコーダーを開始することも、サービスとして実行することもできます。ただし、両方同時に行うことはできません。
  - HCL AppScan Traffic Recorder の使用
    HCL AppScan Traffic Recorder を開始したら、新しいインスタンスを開始して、アプリケーションのトラフィックを記録できます。
  - API コマンド
  - プライベート・サイト・サーバー・プロキシーの構成
    ご使用のプライベート・ネットワークが、プライベート・サイト・サーバーでプロキシーを使用して、Web アプリケーションまたはバックエンド・サーバー (内部プロキシー) またはインターネット (発信プロキシー) に接続することが必要な場合、以下のようにプロキシーを構成します。
- IAST Total
  IAST Total (インタラクティブ・アプリケーション・セキュリティー・テスト) は、IAST の機能を利用して動的分析 (DAST) スキャンを強化し、スキャン時間と修復時間を短縮しながら、より広範な脆弱性を明らかにします。
- AppScan Standard
- プライベート・サイト
  サーバー上の AppScan Presence を使用することで、インターネットからアクセスできないサイトをスキャンできます。
インタラクティブ監視
ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションとデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
トラブルシューティング
サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
よくある質問および参照
よくある質問、製品ライフサイクル (SDLC) への ASoC の統合に関する情報、および ASoC API 資料。

HCL AppScan Traffic Recorder

HCL AppScan Traffic Recorder (DAST プロキシー) では、トラフィックを記録して探査データとして使用できます。要求に応じてトラフィック・レコーダー・インスタンスを作成して、後で DAST スキャンに使用されるトラフィックを記録できます。

DevOps の世界では、CI/CD プロセスにセキュリティー・スキャンを組み込む機能の重要性が増しています。自動化フレームワーク (Selenium など) を使用する場合、既に作成済みのスクリプトを利用して、個別の要件に合ったスキャンを作成できます。

HCL AppScan Traffic Recorder を使用すると、トラフィック・レコーダー・インスタンスを自動的に開始できます。自動化フレームワークから Web アプリケーションへの要求が記録されるのは、レコーダーを経由して送信されるためです。トラフィックは、接尾部が DAST.CONFIG のファイルに HAR 形式で保存されます。このファイルは、AppScan がスキャンの探査データとして使用できるように後でアップロードできます。
トラフィック・レコーダーを経由してトラフィックを手動で記録して、DAST.CONFIG ファイルを作成できます。
トラフィック・レコーダーを使用せずに、独自の HAR ファイルを AppScan on Cloud に直接アップロードできます。