ホーム
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
問題
アプリケーションの「問題」ページには、デフォルトで非準拠の問題のみが表示されます。さまざまなフィルターを適用して必要な問題を確認し、問題をクリックして詳細な問題情報ペインを開くことができます。
サード・パーティー・スキャナーからの問題のインポート
問題を検出するためにサード・パーティー・スキャナーを使用しているか侵入テストを実施しているかに関わらず、CSV ファイルから ASoC に問題をインポートしてトリアージできます。

作業の開始
HCL AppScan on Cloud の資料にようこそ。この資料では、このサービスのインストール、保守、および使用に関する情報を参照できます。
ナビゲーション
このセクションでは、AppScan on Cloud のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
インタラクティブ監視
ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションとデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
- サンプルのセキュリティー・レポート
- アプリケーション・レポート
- スキャン・データ
- 問題
  アプリケーションの「問題」ページには、デフォルトで非準拠の問題のみが表示されます。さまざまなフィルターを適用して必要な問題を確認し、問題をクリックして詳細な問題情報ペインを開くことができます。
  - 問題情報
    「問題情報」ペインには、問題に使用可能なすべてのコンテンツが表示されます。
  - 問題のステータス
    問題は、「オープン」、「進行中」、「ノイズ」、「再オープン」、「パス済み」、および「修正済み」に分類できます。
  - 問題の重大度
    問題を分類して、アプリケーションの「問題」グリッドに表示することができます。
  - 問題のトリアージ
    すべての問題は、デフォルトで新規に分類されます。問題の状況を表示することで、問題の分類を確認することができます。
  - サード・パーティー・スキャナーからの問題のインポート
    問題を検出するためにサード・パーティー・スキャナーを使用しているか侵入テストを実施しているかに関わらず、CSV ファイルから ASoC に問題をインポートしてトリアージできます。
    - CSV の問題属性
      このページでは、問題を ASoC にインポートする際に CVS ファイルで使用できる問題属性のリストを示します。
- 相関
  AppScan は、IAST、DAST、および SAST によって検出された問題を分析して、コード内の共通の脆弱なリンク (相関) を特定し、一度の修復作業または総合的な修復作業で複数の脆弱性を解決できる場所を見つけます。
- 修正グループ
  修正グループは現在、静的分析スキャンで検出された問題にのみ適用されます。
- レポート
  アプリケーションで検出された問題のレポートを生成します。送信するレポートを、開発者、社内監査者、侵入テスト担当者、マネージャー、CISO に送信します。セキュリティー情報は広範囲にわたる場合があり、要件に応じてフィルターに掛けることができます。
- 修復
  お客様のセキュリティー・チームは、リスクの判別と脆弱性の優先順位付けを行った後、修復プロセスを開始できます。
- 再スキャン
  最初のスキャンの後で問題を修正したら、再び同じアプリケーションを複数回スキャンすると前の結果を上書きできるため、ダッシュボードには常に最新の結果が表示されます。(新規のスキャンを開始せずに) 再スキャンを行うと、再スキャンにより前のスキャンは上書きされます。
- IAST スキャン結果
  インタラクティブ (IAST) スキャン・エントリーには、前回のスキャンが開始された後の結果が示されます。
トラブルシューティング
サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
よくある質問および参照
よくある質問、製品ライフサイクル (SDLC) への ASoC の統合に関する情報、および ASoC API 資料。

サード・パーティー・スキャナーからの問題のインポート

問題を検出するためにサード・パーティー・スキャナーを使用しているか侵入テストを実施しているかに関わらず、CSV ファイルから ASoC に問題をインポートしてトリアージできます。

手順

サンプル CSV ファイルをダウンロードして (「問題のインポート」ダイアログ・ボックスからの取得も可能)、ASoC にインポートできる問題属性を確認します。

ヒント: サンプル CSV ファイルを変更して、それをすべてのサード・パーティー製スキャナーのテンプレートとして使用します。
ご使用の環境をスキャンして脆弱性がないか調査し、問題のコンマ区切り値 (CSV) ファイルをエクスポートします。
注:
- 翻訳版ではなく、サンプル・ファイルに示されている英語の列ヘッダーを使用します。
- CSV では、UTF-8 エンコードを使用してください。
- ファイル・サイズの上限は 200 MB です。
- フィールドまたはセルにコンマが含まれている場合、そのフィールドまたはセルは二重引用符 (") で囲む必要があります。
問題をインポートします。
1. 「アプリケーション」タブで、「問題」ビューに移動して「問題のインポート」をクリックします。
2. ファイルを見つけて、そのファイルにスキャン名またはテスト名を指定して、「インポート」をクリックします。インポート・ログでエラーを確認します。または、ダイアログを閉じます。