ホーム
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
IAST Total
IAST Total (インタラクティブ・アプリケーション・セキュリティー・テスト) は、IAST の機能を利用して動的分析 (DAST) スキャンを強化し、スキャン時間と修復時間を短縮しながら、より広範な脆弱性を明らかにします。

作業の開始
HCL AppScan on Cloud の資料にようこそ。この資料では、このサービスのインストール、保守、および使用に関する情報を参照できます。
ナビゲーション
このセクションでは、AppScan on Cloud のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
- 動的分析 (DAST) について
  ASoC の動的 (DAST) スキャンは、次の 2 つのステージで構成されています。探査およびテスト。スキャン・プロセスのほとんどはユーザーにとってシームレスで、スキャンが完了するまで入力は必要ありませんが、動的スキャンの仕組みを把握すると、開発プロセスにおけるスキャンの役割の理解を深めることができます。
- 動的スキャン (DAST)
  ASoC は、ブラウザーまたは Web API で実行されるアプリケーションの動的分析を実行できます。ASoC で利用可能な構成オプションを使用するか、AppScan Standard の構成 (テンプレート・ファイル) またはフル・スキャン・ファイルをアップロードします。
- AppScan Presence
  サーバーで AppScan Presence を使用すると、インターネットからアクセスできないサイトをスキャンしたり、機能テストの一環としてスキャンを組み込んだりできます。
- トラフィックの記録
  トラフィックは、AppScan Activity Recorder ブラウザー拡張機能 (Chrome または Edge 用)、HCL AppScan Traffic Recorder プロキシー・サーバー、または AppScan Standard を使用して、DAST スキャンの探査データとして記録できます。
- HCL AppScan Traffic Recorder
  HCL AppScan Traffic Recorder (DAST プロキシー) では、トラフィックを記録して探査データとして使用できます。要求に応じてトラフィック・レコーダー・インスタンスを作成して、後で DAST スキャンに使用されるトラフィックを記録できます。
- IAST Total
  IAST Total (インタラクティブ・アプリケーション・セキュリティー・テスト) は、IAST の機能を利用して動的分析 (DAST) スキャンを強化し、スキャン時間と修復時間を短縮しながら、より広範な脆弱性を明らかにします。
- AppScan Standard
- プライベート・サイト
  サーバー上の AppScan Presence を使用することで、インターネットからアクセスできないサイトをスキャンできます。
インタラクティブ監視
ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションとデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
トラブルシューティング
サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
よくある質問および参照
よくある質問、製品ライフサイクル (SDLC) への ASoC の統合に関する情報、および ASoC API 資料。

IAST Total

IAST Total (インタラクティブ・アプリケーション・セキュリティー・テスト) は、IAST の機能を利用して動的分析 (DAST) スキャンを強化し、スキャン時間と修復時間を短縮しながら、より広範な脆弱性を明らかにします。

IAST Total を使用する利点

包括的なスキャン: IAST Total は、従来の DAST スキャンにとどまらず、より詳細な分析を提供し、脆弱性をより正確に特定します。
強化された自動構成: このソリューションでは、オペレーティング・システム、フレームワーク、プラットフォーム、サーバーなどの重要な情報が特定されるようになり、自動構成が改善されています。
スキャン時間と修復時間の短縮: IAST Total の統合により、スキャンと修復のプロセスが高速化され、セキュリティー評価の全体的な効率が向上しています。
詳細なコール・スタック情報: IAST Total では、調査結果を充実させるために、検出された脆弱性の詳細なコール・スタックを提供し、正確に把握して効率的に修復できるようにします。
アプリケーション・バックエンドに対する詳細な洞察: アプリケーションのバックエンドと使用されるコンポーネントに対するより詳細な洞察が得られるため、潜在的なセキュリティー・リスクをより包括的に把握できます。

詳しくは、ブログを参照してください。

IAST Total で DAST スキャンを有効化する方法

IAST サブスクリプションがアクティブで、IAST エージェントがアプリケーション・サーバーに配置されている場合、デフォルトでは DAST スキャンは IAST Total で有効化されます。

コール・スタック情報を表示する方法

IAST Total は、検出された脆弱性の詳細なコール・スタック情報を提供します (該当する場合)。この情報は、「問題の詳細」タブの「IAST コール・スタック」セクションで確認できます。