Jump to main content
HCL AppScan on Cloud Help
ようこそ
HCL AppScan on Cloud の文書へようこそ。
はじめに
セキュリティーの目的は、貴重な資産を保護することです。組織が所有する最も重要な資産のいくつかは、知的財産、戦略計画、顧客データなど、情報の形をとるものです。この情報を保護することは、組織の業務の継続、競争力の維持、および法規制要件への適合に不可欠です。
最新の更新
最近追加された機能をご確認ください。
システム要件
このトピックでは、ASoC アナライザーのシステム要件とサポートされるオペレーティング・システムおよび言語へのリンクを記載します。また、このサービスでサポートされるブラウザーと最小解像度について説明します。
データ・センターの選択
ASoC アカウントの作成
サブスクリプション
「マイサブスクリプション」には、お客様の組織のすべてのサブスクリプションのステータス (アプリケーションまたはスキャンの残数、開始日と終了日など) が表示されます。
ワークフロー
このセクションでは、有効なサブスクリプションを持つ認定ユーザーの一般的な ASoC ワークロードについて概説します。
サンプル・アプリとスクリプト
以下のサンプル・アプリケーションを使用して、ASoC によるスキャンをお試しください。
デモ・ビデオ
これらの「ハウツー」ビデオでは、ASoC の使用方法と、このサービスがどのようにワークフローに適合するかを説明するとともに、ヒントや秘訣を紹介しています。
連絡先およびサポート
便利なリンク。
認証
ISO/IEC 認証証明書。
サービスの説明
サービスの説明では、HCL AppScan on Cloud サービスについて説明します。
試用版利用規約
HCL AppScan on Cloud サービス試用版契約
ナビゲーション
このセクションでは、ASoC のメイン・メニュー・バーの項目について説明するとともに、詳細情報へのリンクを提供します。
すべてのアプリケーション
「アプリケーション」ページには、組織で自分が割り当てられている資産グループ内にあるすべてのアプリケーションがリストされます。このページで新規アプリケーションを作成したり、個々のアプリケーション・ページを開いたりできます。
すべてのスキャン
「スキャン」ビューには、すべてのアプリケーション内のすべてのスキャンがリストされます。
ダッシュボード
メイン・ダッシュボードは、メイン・メニュー・バーの 3 番目の項目です。ここでは、すべてのアプリケーションの現在の状態と履歴の概要を確認できます。
ドメイン
「ドメイン」ビューには、動的 (DAST) スキャンを実行する権限を持つドメインがリストされます。ここで追加のドメインをスキャン対象として検証することもできます。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
ユーザー
ユーザー管理により、重要なアプリケーションを資産グループに割り当てて特定のユーザーをそれらのグループに追加することで、そのアプリケーションへのアクセスを制限することができます。
アプリケーション
アプリケーションは、同じプロジェクトに関連するスキャンのコレクションです。これには Web サイト、デスクトップ・アプリ、モバイル・アプリ、Web サービス、またはアプリの任意のコンポーネントが考えられます。アプリケーションを使用すると、リスクを評価したり、傾向を把握したり、プロジェクトが業界や組織のポリシーに準拠していることを確認したりできます。
ポリシー
事前定義されたポリシーや独自のカスタム・ポリシーを適用して、自分に関連する問題のデータのみを表示できます。
DevOps
お使いの SDLC に ASoC を導入するためのツール。
個人スキャン
個人スキャンは、アプリケーション全体のスキャン・データまたはコンプライアンスに影響を与えることなく、開発中のアプリケーションの相対的なセキュリティーを評価する方法です。
スキャン状況
監査証跡
監査証跡 (「組織」>「監査証跡」) は、ユーザー・アクティビティーをログに記録します。
DAST
AppScan on Cloud は、実動環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
動的 (DAST) スキャン
ASoC は、ブラウザーまたは Web API で実行されるアプリケーションの動的分析を実行できます。ASoC で利用可能な構成オプションを使用するか、AppScan Standard の構成 (テンプレート・ファイル) またはフル・スキャン・ファイルをアップロードします。
AppScan プレゼンス
サーバーで AppScan プレゼンス を使用すると、インターネットからアクセスできないサイトをスキャンし、機能テストの一環としてスキャンを組み込むことができます。
AppScan トラフィック・レコーダー
AppScan トラフィック・レコーダー (DAST プロキシー) では、トラフィックを記録して探査データとして使用できます。要求に応じてトラフィック・レコーダー・インスタンスを作成して、後で DAST スキャンに使用されるトラフィックを記録できます。
プライベート・サイト
サーバー上の AppScan プレゼンスを使用することで、インターネットからアクセスできないサイトをスキャンできます。
IAST
ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を識別します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
インタラクティブ (IAST) 監視
ASoC 通常のアプリケーション・ランタイム動作を監視し、脆弱性を検出できます。
IAST セッションを開始
アプリケーション・サーバーに IAST エージェントを配置し、スキャンを構成します。
IAST エージェントを配置する
IAST エージェントがアプリケーションとの通信を監視し、ASoC にレポートできるようにするため、アプリケーション・サーバーに IAST エージェントを配置する必要があります。
Deploy on Azure
Use the IAST agent to monitor applications that run on Azure App Service.
REST API を使用した IAST
REST API により、エージェントの配置など、IAST スキャンを構成し、開始できます。
IAST 構成ファイル
デフォルトの IAST 設定をオーバーライドするように JSON ファイルを構成し、把握したい脆弱性のみを報告させることができます。
ユーザー設定
一部の低レベル IAST 動作は、ユーザー・パラメーターを使用して制御できます。
静的分析
静的分析 (SAST) を使用して、セキュリティーの脆弱性がないかアプリケーションをスキャンします。これを行うには、AppScan Go! を使用するか、小規模なクライアント・ユーティリティーをダウンロードし、コマンド行インターフェース (CLI) を使用して、サポートされるすべての言語のソース・コードまたはバイナリー・ファイルでセキュリティー分析を実行します。Eclipse および Visual Studio 用の静的分析プラグインは、それぞれのマーケットプレイスで入手できます。プラグインをインストールすると、Eclipse では Java プロジェクトを、Visual Studio では .NET (C#、ASP.NET、VB.NET) プロジェクトをスキャンできます。プラグインと統合に関する追加情報は、こちらにリストされています。
静的分析のシステム要件
このセクションでは、サポートされているオペレーティング・システムと、静的分析を実行する場合に ASoC でスキャンできるファイルのタイプ、ロケーション、プロジェクトについて説明します。
セキュリティーの脆弱性のスキャン
セキュリティーの脆弱性がないかソース・コードをスキャンするには、これらのトピックで説明する手順に従ってください。
サンプル・アプリとスクリプト
以下のサンプル・アプリケーションを使用して、ASoC によるスキャンをお試しください。
静的分析のトラブルシューティング
静的分析に関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
Results
アプリケーションの「スキャン履歴」タブに、スキャン結果 (スキャン統計を含む) と再スキャン・オプションが表示されます。
サンプルのセキュリティー・レポート
アプリケーション・レポート
スキャン・データ
問題
アプリケーションの「問題」ページには、検出された問題すべてが表示されます。さまざまなフィルターを適用して必要な問題を確認し、問題をクリックして詳細な問題情報ペインを開くことができます。
自動問題相関
AppScan は、IAST、DAST、および SAST によって検出された問題を分析して、コード内の共通の脆弱なリンク (すなわち「相関」) を特定し、一度の、または統合された修復作業で複数の脆弱性を解決できる場所を見つけます。
修正グループ
修正グループは現在、静的分析で見つかった問題にのみ適用されます。
レポート
アプリケーションで検出された問題に関するレポートを生成して、開発者、内部監査者、侵入テスター、マネージャー、および CISO に送信することができます。セキュリティー情報は広範囲にわたる場合があり、要件に応じてフィルターに掛けることができます。
問題のトリアージ
すべての問題は、デフォルトで「新規」に分類されます。問題の状況を表示することで、問題の分類を確認することができます。
問題のステータス
問題は、Open、In Progress、Noise、Reopened、Passed、Fixed として分類できます。
問題の重大度
問題を分類して、アプリケーションの問題グリッドに表示することができます。
修復
お客様のセキュリティー・チームは、リスクの判別と脆弱性の優先順位付けを行った後、修復プロセスを開始できます。
再スキャン
最初のスキャンの後で問題を修正したら、同じアプリを複数回スキャンして前の結果を上書きできます。したがって、ダッシュボードには常に最新の結果が表示されます。(新規のスキャンを開始せずに) 再スキャンを行うと、新たに実行したスキャンにより前のスキャンは上書きされます。
IAST スキャン結果
インタラクティブ (IAST) スキャン・エントリーには、前回のスキャンが開始された後の結果が示されます。
トラブルシューティング
サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
AppScan プレゼンス
このセクションでは、AppScan プレゼンス プレゼンスの操作中に検出されたエラーに対するトラブルシューティング・タスクを提示します。
IAST
よくある質問および参照
よくある質問、製品ライフサイクル (SDLC) への ASoC の統合に関する情報、および ASoC API 資料。
よくある質問
よくある質問について説明します。
脅威クラスと CWE
ASoC でテスト済みの問題の脅威クラスとそのクラスに関連する CWE 番号を記載する表。
DAST スキャンについて
ASoC の動的 (DAST) スキャンは、次の 2 つのステージで構成されています: 探査とテスト。スキャン処理の大部分がユーザーにはシームレスに見え、入力はスキャンが完了するまで必要ありませんが、この背後にある原理を理解することは役に立ちます。探査ステージは、自動スキャンの一部として自動的に実行することも、ユーザーが手動で実行することも、両方を組み合わせて実行することもできます。
プライベート・サイトのスキャンについて
ASoC では、SaaS としてのクラウド・ベースのスキャナーから動的アプリケーション・セキュリティー・テスト (DAST) を行います。この機能には、クラウド・ベースのスキャナーがテスト対象のアプリケーションにアクセスできることが要件となります。一般公開されている Web ベースのアプリケーションについては問題なくスキャンできます。ただし、プライベート・サイトのスキャン (PSS) を行うには、その前に、ネットワーク・コンポーネント (VPN やプロキシーなど) を追加するか、スキャナーが Web アプリケーションのホスト・サーバーにアクセスできるようネットワークを変更する必要があります。
CSV 形式
このセクションでは、応答データを CSV 形式で保存する方法について説明します。
特記事項