ホーム
参照
製品の参照情報を確認します。
フォルダー・エクスプローラーのトピック
フォルダー・エクスプローラーのトピックについて説明します。
フォルダー・エクスプローラーでのスキャンの作成
フォルダー・エクスプローラーでスキャンを作成する方法について説明します。
詳細構成オプションを使用したスキャンの最適化
複雑な構成の詳細スキャンを構成するには、このタスクを使用します。アプリケーションをナビゲートするために多くのユーザー対話が必要な Web アプリケーションの場合、またはアプリケーションの特定のエリアのみをテストしたい場合には、この方法を使用します。
静的分析データと動的分析データとの相関
AppScan® Source からデータをインポートし、その内容を既存の動的分析セキュリティー・スキャン (AppScan Enterprise Server コンテンツ・スキャン・ジョブまたは AppScan Standard インポート・ジョブ) と相関させます。
相関 (ハイブリッド分析) の仕組み
単一の自動化分析技法で、考えられるすべての脆弱性を見つけることはできません。各技法には、独自の長所と短所があります。動的分析セキュリティー・テスト (DAST) は、ハッカーが使用することが想定されるような方法で厳密に調べることで、実行中の Web アプリケーションをテストします。静的分析セキュリティー・テスト (SAST) は、アプリケーションのソース・コードの潜在的な脆弱性を検査します。
ハイブリッド分析のベスト・プラクティス
ただし、テスト・アプローチは非常に異なるため、相関率は比較的低くなる可能性があります。以下の表に示すように、各分析タイプの課題および長所は異なります。

参照
製品の参照情報を確認します。
- ウィザード・トピックの設定
  ウィザード・トピックの設定について説明します。
- フォルダー・エクスプローラーのトピック
  フォルダー・エクスプローラーのトピックについて説明します。
  - フォルダー・エクスプローラーでの作業
    フォルダー・エクスプローラーの使用方法について説明します。
  - フォルダー・エクスプローラーでのスキャンの作成
    フォルダー・エクスプローラーでスキャンを作成する方法について説明します。
    - AppScan Enterprise からのスキャン・プロパティーを使用したクイック・スキャン・テンプレートの作成
      クイック・スキャン・テンプレートは、コンテンツ・スキャン・ジョブ、またはインポート・ジョブとレポート・パックから構成されます。フォルダー・リスト内の「テンプレート」フォルダーにスキャン・テンプレートを作成すると、それらは自動的に、クイック・スキャン・ユーザーや、「フォルダー・エクスプローラーの表示」リストでクイック・スキャン・ビューをオンにしているさらに上級のユーザーが、スキャン・テンプレートとして使用できるようになります。クイック・スキャン・ユーザーがスキャンを作成すると、テンプレートに基づいてジョブとレポート・パックが作成されますが、それらはクイック・スキャン・ユーザーにはスキャンとしてのみ表示されます。
    - セキュリティー・テストを行わない基本的なスキャンの構成
      最小の構成で基本的なスキャンを構成するには、このタスクを使用してください。このスキャンは、Web アプリケーションでのテスト対象となる URL をより多く自動的に検出します。多くの静的リンクがあって多数のユーザー対話を必要としないアプリケーションでは、この方法を使用します。このスキャンは、セキュリティー問題のテストは行いませんが、サイトの完全な対象を判別するために、サイトの探査を開始する際に役立ちます。
    - AppScan Enterprise でのスキャン・プロパティーを使用したセキュリティー・スキャンの構成
      セキュリティー・スキャンを、ステージング・サーバーまたは品質保証サーバーなど、実動前環境で実行する必要があります。これを行うことによって、セキュリティー・スキャン実行に関連するリスクを含めることに役立ちます。実動前環境は、可能な限り実稼働環境と同じである必要があります。アプリケーションは、両方の環境に同じ実行可能ファイルを保有する必要があり、これによって公開済みアプリケーションを完全にテストできます。また、セキュリティー・スキャンは、ソフトウェア開発ライフサイクル (SDLC) のプロセスに統合する必要があります。これによって、実稼働環境で発生する前にセキュリティーの問題を把握することができます。
    - セキュリティー・スキャンの仕組み
      セキュリティー・スキャンには、探査とテスト。
    - セキュリティー・テストのワークフロー
      セキュリティー・スキャンは、Web アプリケーション上のすべての URL を検索して、それらに対して脆弱性に関するテストを実行できるように、注意して構成する必要があります。
    - Web API スキャン
      HCL AppScan Enterprise は、組織が Web アプリケーションおよび Web API 用のアプリケーション・セキュリティー・プログラムを管理できる、スケーラブルなエンタープライズ・ソリューションです。セキュリティーの脆弱性を特定するための最先端の手法および技術を備えており、アプリケーションをサイバー攻撃の脅威から保護するのに役立ちます。
    - JavaScript™ ソース・コード分析の機能
      JavaScript™ Security Analyzer (JSA) は、JavaScript ソース・コードの静的分析を実行して、クライアント側のさまざまな問題 (主に DOM ベースのクロスサイト・スクリプティング) を検出します。JSA は、探査ステージで AppScan® Enterprise が収集した HTML ページを分析します。JSA は、テスト・ステージと並行して実行することができます。または、既存の探査結果を対象として、手動で随時起動することができます。
    - 詳細構成オプションを使用したスキャンの最適化
      複雑な構成の詳細スキャンを構成するには、このタスクを使用します。アプリケーションをナビゲートするために多くのユーザー対話が必要な Web アプリケーションの場合、またはアプリケーションの特定のエリアのみをテストしたい場合には、この方法を使用します。
      - スキャンへのサーバーおよびドメインの追加
        追加のドメインおよびマルチサーバー環境について説明するために、追加のサーバーおよびドメインをスキャンの「スキャン対象」ページに追加します。
      - コンテンツの追加検索
        XRule は XML スクリプトで、Web サイトまたはアプリケーションのスキャンの強化、およびスキャンによって収集された情報のデータベース検索に使用されます。サイトをスキャンするジョブの機能強化に使用する場合、XRule は Flash ファイル内のリンクを検索したり、JavaScript™ 内で動的に作成されたリンクを検索したり、またはログイン・ルーチンを実行したりできます。
      - WebSphere® Portal のスキャン
        スキャンするポータルを指定します。
      - スキャン制限の設定
        スキャン制限を設定して、スキャンを絞り込みます。ページ数、冗長コンテンツのパス、またはクリックの深さによって、スキャンを制限することができます。
      - スキャンからの URL の除外
        スキャン時に分析対象から特定のファイル、ディレクトリー、またはファイル・タイプを除くには、除外を行います。サイト内のあるセクションを分析に含めると、全体のスキャン結果に悪影響がある場合があります。これは、そのセクションが作成中であり、既知の問題があるためと考えられます。サイト内のこのセクションを除外すると、レポートおよびダッシュボード結果への影響を回避できます。
      - URL およびフォームの正規化
        正規化ルールは、URL およびフォームが一意であり、レポート内で誤って繰り返されていないかどうかを、スキャン・ジョブが判別する際に役立ちます。
      - パラメーターおよび Cookie の定義
        スキャン操作をしてほしくないセッション ID やパラメーターなど、特別な扱いを必要とするパラメーターおよび Cookie もあります。
      - ログイン・ページおよびログアウト・ページの処理
        スキャンで Web アプリケーションのログイン・ページとログアウト・ページを処理する方法を構成します。複雑なログイン・プロセスに従うにはログイン手順を使用します。あるいは、スキャンが遭遇するログアウト・ページを検出するためには、正規表現を入力します。ログアウト・ページは、スキャンが途中でアプリケーションまたは Web サイトからログアウトしないようにするために識別されます。
      - Web フォームの自動入力
        「フォームの自動入力」を使用して、コンテンツ・スキャン・ジョブが遭遇するフォーム・フィールドの値をそのジョブに提供します。提供したフィールド値を使用すると、スキャンは、解析のためのより多くの URL とコンテンツの検出を中断することなく続けることができます。
      - Web サーバーへの接続
        ネットワークに接続されるときのスキャン・ジョブの振る舞いを定義します。
      - Web サイトへの認証
        スキャン・ジョブは、Windows™ NT® 認証を要求するページに遭遇すると、選択したユーザー名とパスワードを自動的に提供します。認証されたページ用のユーザー名とパスワードを追加できます。クライアント側の証明書には、スキャン・エンジンおよびマニュアル探査/記録されたログインが、特定のクライアント証明書ファイルに依存しているのか、それともスキャン対象のサーバーでの認証用の、サービス・アカウントの証明書ストアに依存しているのかが記述されています。
      - スキャンでの認識用のカスタム・エラー・ページの識別
        カスタム・エラー・ページは Web サイトで使用され、ユーザーがリンク切れに遭遇したときに「行き止まり」にならないようにします。代わりに、エラー・ページによってユーザーを別のページ (ホーム・ページなど) に誘導します。
      - プライバシー・ステートメント・リンクのスキャンの構成
        Web サイトで情報を要求される場合、データがどのように使用されるかを Web サイトの訪問者が容易に判別できることが重要です。Web サイトのプライバシー・ポリシーは、データが収集される理由、データにアクセスできる人物、およびデータの送信後に Web サイトの訪問者がそのデータに関して持っている権利のタイプを記述します。ユーザーが必要とする情報を提供する最適な方法は、個人データを収集するフォームを含むページから、そのデータを管理するプライバシー・ポリシーへのリンクを用意することです。
      - スキャン対象の URL を追加するためのサイトのマニュアル探査
        マニュアル探査では、テストするスキャン対象の正確な URL をユーザーが構成内で指示します (スキャンが自動的にクロールして新規 URL を検出することはありません)。アプリケーションをナビゲートするために多くのユーザー対話が必要な Web アプリケーションの場合、またはアプリケーションの特定のエリアのみをテストしたい場合には、この方法を使用します。
      - 静的分析データと動的分析データとの相関
        AppScan® Source からデータをインポートし、その内容を既存の動的分析セキュリティー・スキャン (AppScan Enterprise Server コンテンツ・スキャン・ジョブまたは AppScan Standard インポート・ジョブ) と相関させます。
        相関 (ハイブリッド分析) の仕組み
        単一の自動化分析技法で、考えられるすべての脆弱性を見つけることはできません。各技法には、独自の長所と短所があります。動的分析セキュリティー・テスト (DAST) は、ハッカーが使用することが想定されるような方法で厳密に調べることで、実行中の Web アプリケーションをテストします。静的分析セキュリティー・テスト (SAST) は、アプリケーションのソース・コードの潜在的な脆弱性を検査します。
        ハイブリッド分析の例
        以下にハイブリッド分析の例をいくつか示します。
        ハイブリッド分析のベスト・プラクティス
        ただし、テスト・アプローチは非常に異なるため、相関率は比較的低くなる可能性があります。以下の表に示すように、各分析タイプの課題および長所は異なります。
        静的分析の検出結果と動的分析で検出される問題の違い
        検出結果と問題の違いを理解して、レポートの内容を把握できるようにします。
      - 増分スキャン
      - 「テストの最適化」ビュー
        テストの最適化では、AppScan® のインテリジェントなテスト・フィルタリングを使用して、問題範囲の損失を最小限に抑えながら、速度が必要な場合により高速なスキャンを実現します。ニーズに応じて 4 つの最適化レベルから選択します。
      - セキュリティーの問題の再テスト
        セキュリティー問題を再テストすると、問題が本当に修正されたかどうかを素早く確認できます。ジョブ全体を実行して結果を確認するのではなく修正した 1 つ以上の問題を選択して、それらをすぐに再テストできます。
    - トラフィック・データのキャプチャーおよびインポート
    - AppScan Standard からのアクション・ベース・ログイン・ファイルのインポート
      AppScan Standard のアクション・ベースのログイン機能は、要求だけではなく、ブラウザー内でのユーザーの実際のアクションを生成し、その手順をブラウザーで再生します。この機能は、AppScan Standard でアクション・ベースのログインを作成し、それを AppScan Enterprise にインポートすることで利用できます。これにより、スキャン中のセッション無効イベントを回避することができます。
    - AppScan® Standard からのマニュアル探査データのインポート
      AppScan® Standard バージョン 7.x 以降からエクスポートしたデータを AppScan Enterprise にインポートできます。このデータをインポートすると、時間を節約したり、無駄な労力を減らすことができます。AppScan .exd ファイルからの URL (パラメーターおよびドメイン) および HTTP 要求のみがインポートされます。
    - レポートで使用するための AppScan® データのインポート
      インポート・ジョブはデータ・ファイルから結果を取得し、それを AppScan® Enterprise Server データベースに統合します。インポートされたデータは、レポートおよびダッシュボードの作成に使用できます。また、コンテンツ・スキャン・ジョブからのデータと結合して、問題の全体像を作成できます。
- レポートを使用したトリアージ
  レポートは、ジョブの実行後に自動的に生成されます。このレポートを使用することで、組織にとって重要な問題の管理を、Enterprise Console のワークフローおよび組織の他のプロセスのワークフローの両方でサポートされる方法で行うことができます。
- 構成マネージャー

ハイブリッド分析のベスト・プラクティス

ただし、テスト・アプローチは非常に異なるため、相関率は比較的低くなる可能性があります。以下の表に示すように、各分析タイプの課題および長所は異なります。

太字のテキストは、長所を示しています。
動的分析	静的分析
認識	過剰推量
コード・カバレッジ	コード/パス・カバレッジ
ソース・フリー	特定のコードに制限
HTTP の認識のみ	HTTP の検証にとどまらない
マルチ・コンポーネント・サポート	言語/フレームワークごとのサポート
デプロイされたアプリケーションが必要	アプリケーションのデプロイは不要
ほとんど前提条件がない	部分的なアプリケーションをサポート
リモート・アタッカーとして動作	統合/デプロイメントの問題

相関結果を最適化するには、以下のようにします。

SAST で検出された問題を事前にフィルタリングして、最も高い重大度設定の確定、要確認の問題に絞り込む。
部分的な評価を保存するか、AppScan® Enterprise に公開する前にフィルターが自動的に適用されるように構成する。
DAST では、必ず、アプリケーションのできるだけ多くの部分を探査し、またそのアプリケーションにとって妥当な、最も包括的なセキュリティー・テスト・ポリシーを使用する。
必ず、両方のアプローチで同じバージョンの Web アプリケーションを分析する。