ホーム
参照
製品の参照情報を確認します。
フォルダー・エクスプローラーのトピック
フォルダー・エクスプローラーのトピックについて説明します。
フォルダー・エクスプローラーでのスキャンの作成
フォルダー・エクスプローラーでスキャンを作成する方法について説明します。
詳細構成オプションを使用したスキャンの最適化
複雑な構成の詳細スキャンを構成するには、このタスクを使用します。アプリケーションをナビゲートするために多くのユーザー対話が必要な Web アプリケーションの場合、またはアプリケーションの特定のエリアのみをテストしたい場合には、この方法を使用します。
WebSphere® Portal のスキャン
スキャンするポータルを指定します。
WebSphere® Portal のセキュリティー・スキャンの仕組み
サイト内を移動するために、Web クローラーは固有のページを指す特定の URL を識別できる必要があります。WebSphere® Portal URL は、サーバー側の情報を使用してエンコードされたナビゲーション状態情報を含むため、自動クローリングに独自の状態をもたらします。

参照
製品の参照情報を確認します。
- ウィザード・トピックの設定
  ウィザード・トピックの設定について説明します。
- フォルダー・エクスプローラーのトピック
  フォルダー・エクスプローラーのトピックについて説明します。
  - フォルダー・エクスプローラーでのスキャンの作成
    フォルダー・エクスプローラーでスキャンを使用する方法について説明します。
  - フォルダー・エクスプローラーでのスキャンの作成
    フォルダー・エクスプローラーでスキャンを作成する方法について説明します。
    - AppScan Enterprise からのスキャン・プロパティーを使用したクイック・スキャン・テンプレートの作成
      クイック・スキャン・テンプレートは、コンテンツ・スキャン・ジョブ、またはインポート・ジョブとレポート・パックから構成されます。フォルダー・リスト内の「テンプレート」フォルダーにスキャン・テンプレートを作成すると、それらは自動的に、クイック・スキャン・ユーザーや、「フォルダー・エクスプローラーの表示」リストでクイック・スキャン・ビューをオンにしているさらに上級のユーザーが、スキャン・テンプレートとして使用できるようになります。クイック・スキャン・ユーザーがスキャンを作成すると、テンプレートに基づいてジョブとレポート・パックが作成されますが、それらはクイック・スキャン・ユーザーにはスキャンとしてのみ表示されます。
    - セキュリティー・テストを行わない基本的なスキャンの構成
      最小の構成で基本的なスキャンを構成するには、このタスクを使用してください。このスキャンは、Web アプリケーションでのテスト対象となる URL をより多く自動的に検出します。多くの静的リンクがあって多数のユーザー対話を必要としないアプリケーションでは、この方法を使用します。このスキャンは、セキュリティー問題のテストは行いませんが、サイトの完全な対象を判別するために、サイトの探査を開始する際に役立ちます。
    - AppScan Enterprise でのスキャン・プロパティーを使用したセキュリティー・スキャンの構成
      セキュリティー・スキャンを、ステージング・サーバーまたは品質保証サーバーなど、実動前環境で実行する必要があります。これを行うことによって、セキュリティー・スキャン実行に関連するリスクを含めることに役立ちます。実動前環境は、可能な限り実稼働環境と同じである必要があります。アプリケーションは、両方の環境に同じ実行可能ファイルを保有する必要があり、これによって公開済みアプリケーションを完全にテストできます。また、セキュリティー・スキャンは、ソフトウェア開発ライフサイクル (SDLC) のプロセスに統合する必要があります。これによって、実稼働環境で発生する前にセキュリティーの問題を把握することができます。
    - セキュリティー・スキャンの仕組み
      セキュリティー・スキャンには、探査とテスト。
    - セキュリティー・テストのワークフロー
      セキュリティー・スキャンは、Web アプリケーション上のすべての URL を検索して、それらに対して脆弱性に関するテストを実行できるように、注意して構成する必要があります。
    - JavaScript™ ソース・コード分析の機能
      JavaScript™ Security Analyzer (JSA) は、JavaScript ソース・コードの静的分析を実行して、クライアント側のさまざまな問題 (主に DOM ベースのクロスサイト・スクリプティング) を検出します。JSA は、探査ステージで AppScan® Enterprise が収集した HTML ページを分析します。JSA は、テスト・ステージと並行して実行することができます。または、既存の探査結果を対象として、手動で随時起動することができます。
    - 詳細構成オプションを使用したスキャンの最適化
      複雑な構成の詳細スキャンを構成するには、このタスクを使用します。アプリケーションをナビゲートするために多くのユーザー対話が必要な Web アプリケーションの場合、またはアプリケーションの特定のエリアのみをテストしたい場合には、この方法を使用します。
      - スキャンへのサーバーおよびドメインの追加
        追加のドメインおよびマルチサーバー環境について説明するために、追加のサーバーおよびドメインをスキャンの「スキャン対象」ページに追加します。
      - コンテンツの追加検索
        XRule は XML スクリプトで、Web サイトまたはアプリケーションのスキャンの強化、およびスキャンによって収集された情報のデータベース検索に使用されます。サイトをスキャンするジョブの機能強化に使用する場合、XRule は Flash ファイル内のリンクを検索したり、JavaScript™ 内で動的に作成されたリンクを検索したり、またはログイン・ルーチンを実行したりできます。
      - WebSphere® Portal のスキャン
        スキャンするポータルを指定します。
        WebSphere® Portal のセキュリティー・スキャンの仕組み
        サイト内を移動するために、Web クローラーは固有のページを指す特定の URL を識別できる必要があります。WebSphere® Portal URL は、サーバー側の情報を使用してエンコードされたナビゲーション状態情報を含むため、自動クローリングに独自の状態をもたらします。
      - スキャン制限の設定
        スキャン制限を設定して、スキャンを絞り込みます。ページ数、冗長コンテンツのパス、またはクリックの深さによって、スキャンを制限することができます。
      - スキャンからの URL の除外
        スキャン時に分析対象から特定のファイル、ディレクトリー、またはファイル・タイプを除くには、除外を行います。サイト内のあるセクションを分析に含めると、全体のスキャン結果に悪影響がある場合があります。これは、そのセクションが作成中であり、既知の問題があるためと考えられます。サイト内のこのセクションを除外すると、レポートおよびダッシュボード結果への影響を回避できます。
      - URL およびフォームの正規化
        正規化ルールは、URL およびフォームが一意であり、レポート内で誤って繰り返されていないかどうかを、スキャン・ジョブが判別する際に役立ちます。
      - パラメーターおよび Cookie の定義
        スキャン操作をしてほしくないセッション ID やパラメーターなど、特別な扱いを必要とするパラメーターおよび Cookie もあります。
      - ログイン・ページおよびログアウト・ページの処理
        スキャンで Web アプリケーションのログイン・ページとログアウト・ページを処理する方法を構成します。複雑なログイン・プロセスに従うにはログイン手順を使用します。あるいは、スキャンが遭遇するログアウト・ページを検出するためには、正規表現を入力します。ログアウト・ページは、スキャンが途中でアプリケーションまたは Web サイトからログアウトしないようにするために識別されます。
      - Web フォームの自動入力
        「フォームの自動入力」を使用して、コンテンツ・スキャン・ジョブが遭遇するフォーム・フィールドの値をそのジョブに提供します。提供したフィールド値を使用すると、スキャンは、解析のためのより多くの URL とコンテンツの検出を中断することなく続けることができます。
      - Web サーバーへの接続
        ネットワークに接続されるときのスキャン・ジョブの振る舞いを定義します。
      - Web サイトへの認証
        スキャン・ジョブは、Windows™ NT® 認証を要求するページに遭遇すると、選択したユーザー名とパスワードを自動的に提供します。認証されたページ用のユーザー名とパスワードを追加できます。クライアント側の証明書には、スキャン・エンジンおよびマニュアル探査/記録されたログインが、特定のクライアント証明書ファイルに依存しているのか、それともスキャン対象のサーバーでの認証用の、サービス・アカウントの証明書ストアに依存しているのかが記述されています。
      - スキャンでの認識用のカスタム・エラー・ページの識別
        カスタム・エラー・ページは Web サイトで使用され、ユーザーがリンク切れに遭遇したときに「行き止まり」にならないようにします。代わりに、エラー・ページによってユーザーを別のページ (ホーム・ページなど) に誘導します。
      - プライバシー・ステートメント・リンクのスキャンの構成
        Web サイトで情報を要求される場合、データがどのように使用されるかを Web サイトの訪問者が容易に判別できることが重要です。Web サイトのプライバシー・ポリシーは、データが収集される理由、データにアクセスできる人物、およびデータの送信後に Web サイトの訪問者がそのデータに関して持っている権利のタイプを記述します。ユーザーが必要とする情報を提供する最適な方法は、個人データを収集するフォームを含むページから、そのデータを管理するプライバシー・ポリシーへのリンクを用意することです。
      - スキャン対象の URL を追加するためのサイトのマニュアル探査
        マニュアル探査では、テストするスキャン対象の正確な URL をユーザーが構成内で指示します (スキャンが自動的にクロールして新規 URL を検出することはありません)。アプリケーションをナビゲートするために多くのユーザー対話が必要な Web アプリケーションの場合、またはアプリケーションの特定のエリアのみをテストしたい場合には、この方法を使用します。
      - 静的分析データと動的分析データとの相関
        AppScan® Source からデータをインポートし、その内容を既存の動的分析セキュリティー・スキャン (AppScan Enterprise Server コンテンツ・スキャン・ジョブまたは AppScan Standard インポート・ジョブ) と相関させます。
      - 増分スキャン
      - 「テストの最適化」ビュー
        テストの最適化では、AppScan® のインテリジェントなテスト・フィルタリングを使用して、問題範囲の損失を最小限に抑えながら、速度が必要な場合により高速なスキャンを実現します。ニーズに応じて 4 つの最適化レベルから選択します。
      - セキュリティーの問題の再テスト
        セキュリティー問題を再テストすると、問題が本当に修正されたかどうかを素早く確認できます。ジョブ全体を実行して結果を確認するのではなく修正した 1 つ以上の問題を選択して、それらをすぐに再テストできます。
    - トラフィック・データのキャプチャーおよびインポート
    - AppScan Standard からのアクション・ベース・ログイン・ファイルのインポート
      AppScan Standard のアクション・ベースのログイン機能は、要求だけではなく、ブラウザー内でのユーザーの実際のアクションを生成し、その手順をブラウザーで再生します。この機能は、AppScan Standard でアクション・ベースのログインを作成し、それを AppScan Enterprise にインポートすることで利用できます。これにより、スキャン中のセッション無効イベントを回避することができます。
    - AppScan® Standard からのマニュアル探査データのインポート
      AppScan® Standard バージョン 7.x 以降からエクスポートしたデータを AppScan Enterprise にインポートできます。このデータをインポートすると、時間を節約したり、冗長な作業を減らすことができます。AppScan .exd ファイルからの URL (パラメーターおよびドメイン) および HTTP 要求のみがインポートされます。
    - レポートで使用するための AppScan® データのインポート
      インポート・ジョブはデータ・ファイルから結果を取得し、それを AppScan® Enterprise Server データベースに統合します。インポートされたデータは、レポートおよびダッシュボードの作成に使用できます。また、コンテンツ・スキャン・ジョブからのデータと結合して、問題の全体像を作成できます。
- レポートを使用したトリアージ
  レポートは、ジョブの実行後に自動的に生成されます。このレポートを使用することで、組織にとって重要な問題の管理を、Enterprise Console のワークフローおよび組織の他のプロセスのワークフローの両方でサポートされる方法で行うことができます。
- 構成マネージャー

WebSphere® Portal のセキュリティー・スキャンの仕組み

サイト内を移動するために、Web クローラーは固有のページを指す特定の URL を識別できる必要があります。WebSphere® Portal URL は、サーバー側の情報を使用してエンコードされたナビゲーション状態情報を含むため、自動クローリングに独自の状態をもたらします。

同じナビゲーション状態から同じ URL が生成されるわけではないため、難しい問題が生じます。WebSphere® Portal URL は、このようにエンコードされた動的な性質を備えているため、従来の Web クローラーの URL 識別プロセスは機能せず、スキャンがいつまでも終わらない可能性があります。同じ理由から、探査フェーズ中にログアウト・リンクを検出することができないため、スキャンが何度も繰り返してセッションの外部に出る可能性があります。

WebSphere® Portal サイトをスキャンする場合には、Web クローラーによって探査されるページの名前などのスキャン・データをレポートにどのように表示するのかを決めることも、難しい問題です。従来型の Web サイトでは、Web クローラーは多くの場合 URL をページ名として使用します。これは、URL が、人間が読める形式でページを固有に識別しているためです。WebSphere® Portal URL はエンコードされているため、URL を見てページを識別することは困難です。

スキャンでは、WebSphere® Portal によって提供される REST サービスを使用してナビゲーション状態をデコードし、この状態を使用してアクセスした URL を識別します。スキャンは、エンコードされた WebSphere® Portal URL をデコード Web サービスに送信します。デコード Web サービスは、デコードされたナビゲーション状態を返します。

注: バージョン 6.0 以降の WebSphere® Portal がサポートされていますが、バージョン 6.1 の方がより多くのページをスキャンします。また、バージョン 6.1 以降では、分かりやすい URL 名が「ページ」レポートに表示されます。