FAQ

よくある質問について説明します。

全般

無料体験版サブスクリプションにはどのような制限がありますか?

スキャンが「キューに入っている」理由

スキャンが失敗したり、スキャン状況が「レビュー中」に変わったりしたのはなぜですか? スキャンが「スキャン有効化チームによって処理された」のはなぜですか?

スキャンが失敗したらどうなりますか?

削除したスキャンのスキャン結果を取得することはできますか?

再スキャンの後、以前のスキャンのスキャン結果を取得することはできますか?

スキャンの完了にはどれぐらいの時間がかかりますか?

スキャンに長時間かかっているようです。動作していない可能性はありますか?

スキャンを自分で削除しない場合、どれぐらいの期間、データベースに保持されますか?

ASoC はどの IP を使用しますか?

ASoC によるテストの対象となるセキュリティー問題

アプリケーションのリスク等級が「不明」となっているのはなぜですか?

DAST

ステージング環境または実稼働環境を指定できなくなったのはなぜですか?

ライブ実動サイトをスキャンするときに、どのような変更を行う必要がありますか?

テストの最適化: スキャンが高速化するのであれば、常にそれを使用するべきではないですか?

テストの最適化: 同じサイトでは、2 つの最適化されたスキャンの結果は同一になりますか?

OTP: OTP HTTP パラメーターの識別方法

どのプロトコルが DAST スキャンに対応していますか?

ASoC が ASoC サービスへの接続のためにサポートする TLS プロトコルはどれですか。

再スキャンで重大度が「中」の問題の数が増加したのはなぜですか?

SAST と SCA

静的分析 IRX ファイルとは何ですか? その内容は?

SCA の問題に対応する CVSS バージョンは?

全般

無料体験版サブスクリプションにはどのような制限がありますか?

30 日の無料体験版によって ASoC を十分に評価することができます。サイトまたはアプリに対してすべてのタイプの ASoC スキャン (SAST、DAST、モバイル) を実行し、結果の概要レポートを確認できます。以下の制限が適用されます。
  • 概要レポートには、検出されたすべてのセキュリティー問題が記載されますが、その詳細や推奨される修復タスクは記載されません。これらは、有料版サブスクリプションで利用可能な完全レポートに記載されます。
  • コンプライアンス・レポートは利用できません。
  • SAST スキャン結果に、使用されたオープン・ソース・ライブラリーは記載されません。
  • プライベート・サイトのスキャン (インターネットで使用できないサイトのスキャン) は使用できません。
  • 一度に 1 つのスキャンのみ実行できます。
  • スキャン合計数は 5 に制限されています。
  • サブスクリプションは 30 日後に期限が切れます。

スキャンが「キューに入っている」理由

一部のサブスクリプションでは、同時に実行できるスキャンの数 (同時スキャン数) が制限されます。最大同時スキャン数が既に実行中のときにスキャンを開始すると、新規スキャンはキューに入れられます。キューに入っているスキャンは、サブスクリプションで許可され次第、開始順に自動的に実行されます。

キューに入れることが可能な最大スキャン数は、サブスクリプションによっても異なります。キューがいっぱいになると、追加のスキャンを開始できません。

キューの順序は編集できません。スキャンが開始された順序に従います。

無料体験版ユーザーは、一度に 1 つのスキャンしか実行できません。また、スキャンをキューに入れすることはできません。

スキャンが失敗したり、スキャン状況が「レビュー中」に変わったりしたのはなぜですか? スキャンが「スキャン有効化チームによって処理された」のはなぜですか?

ASoC によって、現在の設定では自動プロセスで生成された結果が良好でないことが検出された場合、スキャン状況は「レビュー中」に変わります。当社のスキャン有効化チームが、設定をレビューして、良好な結果が得られるように変更する場合があります。この段階でお客様は入力する必要はありません。ただし、レビューがキャンセルされてしまうので、スキャンのキャンセルは行わないでください。設定のレビューが終了するとすぐに (通常は数時間以内に) スキャンが再開され、完了します。

スキャンが失敗したり、レビュー中になったりした場合、考えられる理由は次のとおりです。
  • ログイン資格情報が無効
  • ログインするにはいつもとは違う別のログイン手順が必要
  • ログインで CAPTCHA を使用している (CAPTCHA はサポートされていません。スキャンを行うには、CAPTCHA を無効にする必要があります)
  • アプリケーション・ファイルが無効
  • HTTP 認証の資格情報が無効であるか、見つからない
  • サーバーが応答しないか、ゲートウェイが正しくない (ASoC が多数の要求を送信するため、サイト/アプリケーションが安定していて、大量のトラフィックに対応できる必要があります)
  • IP がブロックされている ( で使用される IP ASoC を許可リストに登録してください)
  • アカウントがロックアウトされている
  • 手動での結果の検証が必要
  • 選択したテスト・セットがサイト/アプリケーションに適していません
  • プライベート・サイトのスキャン: AppScan Presence が非アクティブ

これらの問題を回避できれば、スキャンは自動的かつ高速に完了する可能性が高くなります。これは特に ASoC スキャンを自動プロセスに組み込んでいる場合に重要であり、そうなればスキャン時間が可能な限り短くなります。

スキャンが失敗したらどうなりますか?

  • お客様のアカウントへの請求は発生しません。
  • スキャンが失敗した理由に関する診断があれば、お客様が修正できるように通知されます。

削除したスキャンのスキャン結果を取得することはできますか?

いいえ。「ごみ箱」アイコンをクリックすると、スキャン結果はデータベースから削除されます。

再スキャンの後、以前のスキャンのスキャン結果を取得することはできますか?

いいえ。アプリケーションを再スキャンすると、以前のスキャン結果はデータベースから削除されます。

スキャンの完了にはどれぐらいの時間がかかりますか?

アプリケーションのサイズと複雑さによりますが、数分から数日かかります。スキャン完了時に E メールを受け取るように指定できます。

スキャンに長時間かかっているようです。動作していない可能性はありますか?

スキャンの進行状況はモニター・システムによりチェックされており、進行していないスキャンは停止されるようになっています。スキャンがまだ実行されているように見える場合は、高確率で実際に実行中です。

スキャンを自分で削除しない場合、どれぐらいの期間、データベースに保持されますか?

お客様がアップロードしたファイル (APK、IPA、IRX、SCAN、SCANT など) は、トラブルシューティングに使用する目的で、最長で 60 日間サービスにキャッシュされます。スキャン結果は、お客様がそれらを削除するか、またはアカウントが削除されない限り、サービスに永続的に保管されます。
注: 2020 年 7 月 1 日時点で問題が検出された個人スキャンについては、30 日以内にスキャンがプロモートされない限り、30 日後に削除されます。

ASoC はどの IP を使用しますか?

システム要件を参照してください。

ASoC によるテストの対象となるセキュリティー問題

以下の表に、各テクノロジー・テストの対象となるセキュリティー問題を示します。
DAST SAST IAST
  • 機能の悪用
  • ブルート・フォース
  • バッファー・オーバーフロー
  • コンテンツ・スプーフィング
  • 資格情報/セッション予測
  • クロスサイト・リクエスト・フォージェリー
  • Cross-Site Scripting (XSS) (クロスサイト・スクリプティング)
  • サービス妨害
  • ディレクトリー索引付け
  • 書式文字列
  • HTTP レスポンス分割
  • 情報漏えい
  • 安全でない索引付け
  • 不適切な認証
  • 不適切な許可
  • 不適切なセッション有効期限
  • 不十分なトランスポート層保護
  • 整数オーバーフロー
  • LDAP インジェクション
  • メール・コマンド注入
  • 悪意のあるコンテンツのテスト
  • NULL バイト・インジェクション
  • OS コマンド実行
  • パス・トラバーサル
  • 予測可能なリソースの位置
  • リモート・ファイル・インクルード
  • 誤ったサーバー構成
  • セッション固定
  • SOAP 配列の悪用
  • SQL 注入
  • SSI 注入
  • URL リダイレクターの悪用
  • XML 属性ブローアップ
  • XML エンティティーの拡張
  • XML 外部エンティティー
  • XML 注入
  • XPath 注入
  • AppDOS
  • ブラウザーによる機密情報のキャッシング
  • コメントによる機密情報の漏えい
  • 構成の問題
  • クロスサイト・スクリプティング (XSS)
  • DB 接続ストリングの操作
  • E メール・フィッシング
  • E メールの改ざん
  • エンコーディングの必要性
  • 無防備な Web サービス
  • ファイルの改ざん
  • ファイルのアップロード
  • HTTP リクエスト分割
  • HTTP レスポンス分割
  • LDAP インジェクション
  • オープン・リダイレクト
  • OS コマンド注入
  • パス・トラバーサルの潜在的なビジネス・ロジックの問題 (非セキュアなダイレクト・オブジェクト参照もカバー)
  • 特権エスカレーション
  • RegEx 注入
  • テスト・コードの削除
  • SecondOrder 注入
  • Sensitive Data Exposure (機密データの露出)
  • ログに保管された機密データ
  • エラー・メッセージに表示された機密情報
  • 大きすぎるセッション管理タイムアウト値
  • SQL 注入
  • 暗号化されていない通信
  • URL の改ざん
  • 暗号として安全でない乱数発生ルーチンの使用
  • 隠しフィールドの使用
  • 非セキュアな暗号化アルゴリズムの使用
  • 安全でないネイティブ・コードの使用
  • 脆弱なアクセス制御
  • 脆弱な認証
  • XML 注入
  • XPath 注入
  • XSLT 注入
  • 不正なサーバー・ヘッダー
  • クロスサイト・リクエスト・フォージェリー
  • Cross-Site Scripting (XSS) (クロスサイト・スクリプティング)
  • HTTP のみの Cookie
  • 安全でない Cookie
  • 安全でないログイン
  • 安全でない Cookie
  • LDAP インジェクション
  • OS コマンド実行
  • パス・トラバーサル
  • セッション固定
  • SQL 注入
  • 信頼境界線違反
  • 脆弱な暗号化
  • 脆弱なランダム化
  • XML 外部エンティティー
  • XPath 注入

アプリケーションのリスク等級が「不明」となっているのはなぜですか?

アプリケーションのリスク等級は、以下の 2 つの要因に基づいて計算されます。
  • (ASoC によって) 検出された問題
  • (ユーザーによって割り当てられた) ビジネスへの影響
問題がまだ検出されていない場合、またはビジネスへの影響が「未指定」 (デフォルト) の場合、リスク等級は「不明」となります。ビジネスへの影響を変更するには、「リスク等級」を参照してください。

DAST

ステージング環境または実稼働環境を指定できなくなったのはなぜですか?

最近まで、DAST スキャン構成にはステージング環境または実稼働環境の選択が含まれていました。これは、スキャンがサイトの安定性に影響を与えるリスクを軽減するためでした。ウィザードで新しい構成オプションを使用できるようになったことで、この設定は冗長になり、削除されました。代わりに、実動サイトをスキャンする場合は、以下の構成変更を検討できます。
  • 「探査」>「フォームの自動入力」で、チェック・ボックスをクリアしてこのオプションを無効にします。
  • 「通信」>「最大要求速度」で、ほとんどの実動サイトでデフォルト値が正しく設定されているはずですが、サイトへのトラフィックを削減するために、1 秒あたりの最大要求数を減らすことを検討できます。

詳細および提案については、次のセクションを参照してください。

ライブ実動サイトをスキャンするときに、どのような変更を行う必要がありますか?

可能な場合は、実動サイトではなくステージングで DAST スキャンを実行することをお勧めします。実稼働中のサイトで DAST スキャンを実行すると、サイトの安定性を損なうおそれがあります。必要に応じて、以下の点を考慮すると、実動サイトのスキャンを効果的に構成するのに役立ちます。

スキャン中に送信される人工的な情報でデータベースがいっぱいになる可能性

以下の予防措置を取ることによって、この影響を緩和することができます。
  1. 「探査」>「フォームの自動入力」で、チェック・ボックスをクリアします。

    これにより、 ASoC が、自動 的にフォームに入力して、データベース、掲示板、またはオンライン・フォーラム・システムをフラッディングする可能性のあるデータを送信したり、管理者アカウントまたはモデレーター・アカウントに不必要な電子メールを送信したりすることがなくなります。ただし、これにより、ASoC は、フォームの送信によってアクセスできるサイトの領域へのアクセスが制限されることに注意してください。この操作モードでは、ASoC は、(パラメーターの指定にかかわらず) リンクをたどることによってアクセスできるサイトの領域のみをスキャンします。

  2. 「通信」>「最大要求速度」で、1 秒あたりの許容最大要求数を減らすことを検討してください。
  3. テスト・アカウントを作成します。
    テスト・アカウントを使用すると、データベースの変更の追跡が簡単になり (例えば、サービスが実際に注文されないようにするなど)、サイト管理者がスキャン後にサイトをクリーンアップしやすくなります。アカウントを作成するときは、以下の一部またはすべてを実行することを検討してください。
    • 変更されたレコードを復元できるように、データベースのアクセスをテスト・レコードのみに制限する。
    • テスト・アカウントによって作成される新規レコードが削除されるようにする。
    • テスト・アカウントからの注文書 (または他のトランザクション) が無視されるようにする。
    • トランザクションによって影響が生じる場合 (例えば、株を処理する場合) は、アカウントのアクセスをテスト・レコードに対してのみ許可する。
    • サイトにフォーラムがある場合は、テスト・ステージ中に作成されたテストが実際の顧客に表示されないように、テスト・アカウントのアクセスをテスト・フォーラムに対してのみ許可する。
    • サイトにさまざまなアカウント用のさまざまな特権がある場合は、さまざまな特権を持つ複数のテスト・アカウントを設定する。これにより、サイトをより包括的にスキャンできるようになります。
    • 管理者レベルのアクセス権限を持つテスト・アカウントを作成しない。

電子メール・フラッディングのリスク

電子メール通知を使用するページをテストする場合、ASoC が多くの要求を生成して、サイトの電子メール・サーバーが過負荷の状態に陥る可能性があります。可能であれば、E メールが無効な E メール・アドレスに送信されるよう、テスト対象のページ上の E メール・アドレスを一時的に変更します。

テストの最適化: スキャンが高速化するのであれば、常にそれを使用するべきではないですか?

テストの最適化は、より速く結果を出す必要がある場合には優れていますが、非最適化スキャンほど徹底していません。速さが重要な場合には最適化されたスキャンを推奨しますが、定期的にフル・スキャンで補完することも推奨します。

テストの最適化: 同じサイトでは、2 つの最適化されたスキャンの結果は同一になりますか?

当社のチームは絶えず設定の分析と更新を行っているため、AppScan が更新されるたびに最適化の設定が改善されています。そのため、サイトが変更されていなくても結果が同一にならない場合があります。ただし、前のスキャンで問題を明らかにしたテストが、同じ最適化レベルの後のスキャンでフィルタリングによって除外されることはほとんどありません。

OTP: OTP HTTP パラメーターの識別方法

OTP (ワンタイム・パスワード) を使用するサイトの DAST スキャンでは、AppScan は、アプリケーションにログインできるようにするために、OTP を含むパラメーターの名前を知っている必要があり、通常は記録されたログインを検証するときにそれを識別します。これが失敗した場合、または (記録されたログインではなく) 自動ログインを使用する場合は、ユーザー自身でパラメーターを追加する必要があります。

パラメーターを識別するには、以下のようにします。
  1. アプリケーションのログイン・ページを参照します。
  2. F12 キーを押して、ブラウザーの開発者ツール・ペインを開きます (メイン・ブラウザー・ペインの右側または下に開きます)。
  3. 「エレメント」タブをクリックして、HTML コードを表示します。

    コードの一部を選択すると、メイン・ブラウザー・ペインでエレメントが強調表示されます。

  4. 「OTP」フィールドが強調表示されているエレメントを見つけます。
    例:
    <input type="text" name="OTPvalue" value="">
  5. name パラメーターの値 (引用符なし) が、必要な OTP HTTP パラメーターです。
    例:
    OTPvalue
  6. 複数の OTP HTTP パラメーターがある場合は、コンマで区切ります。

どのプロトコルが DAST スキャンに対応していますか?

ASoC は、TLS 1.0、1.1、および 1.2 を必要とするアプリケーションをスキャンできます。

TLS 1.3 を必要とするアプリケーションのスキャンは現在サポートされていません。

ASoCASoC サービスへの接続のためにサポートする TLS プロトコルはどれですか。

ASoC サービスに接続するために TLS 1.2 をサポートします。

再スキャンで重大度が「中」の問題の数が増加したのはなぜですか?

最初に v10.2.2 より前のバージョンの DAST エンジンを使用して実行されたスキャンを再スキャンすると、重大度「中」の問題が元のスキャンよりも多く再スキャンで検出されます。

AppScan DAST エンジン・バージョン 10.2.2 以降では、CWE 問題の重大度と CVSS スコアリングは CVSS バージョン 3.1 に基づいています。古いバージョンの DAST エンジンを使用して実行されたスキャンでは、CVSS 2.0 スコアリングが使用されていました。古いバージョンで重大度「低」に割り当てられた一部の問題には、10.2.0 で重大度「中」が割り当てられた結果、重大度「中」の問題が増加しました。これは、将来のバージョンの DAST エンジンで変更される予定です。

SAST と SCA

静的分析 IRX ファイルとは何ですか? その内容は?

IRX は、暗号化されたセキュアな zip アーカイブで、ご使用のプログラムのすべての静的分析を実行するために必要な情報が含まれています。このファイルは、クラウドへの転送時 (SSL 経由) だけでなく、作成時に保管するときも暗号化されます。

内部的に、IRX アーカイブには以下のファイルおよび成果物が含まれます。

  • お客様のデプロイ済みソース・コード (例えば、Java バイトコードや .Net MSIL) から作成されたデプロイ可能なプログラム成果物の、独占所有物である難読化された表記。静的分析スキャンでサポートされている言語について詳しくは、静的分析のシステム要件を参照してください。
  • セキュリティーの脆弱性について分析対象となり得る、ご使用のプログラムと一緒に配置されたランタイム・スクリプト・ファイル (例えば、.js (Javascript) または .rb (Ruby) ファイル)。
  • アプリケーションまたはプロジェクト階層、およびご使用のプログラムの関係または従属関係について記述した Static Analyzer 構成ファイル。これにより、ご使用のアプリケーション内のプロジェクト境界を越えて、正確かつ完全なセキュリティー分析を行うことが可能になります。
  • アーカイブ (診断およびサポート用) の作成時に生成される Static Analyzer ログ・ファイル。

SCA の問題に対応する CVSS バージョンは?

ASoC は DAST 問題スコアに対応する CVSS バージョンを示しますが、SCA 問題スコアに対応する CVSS バージョンが常に表示されるとは限りません。