AppScan Enterprise でのスキャン・プロパティーを使用したセキュリティー・スキャンの構成

セキュリティー・スキャンを、ステージング・サーバーまたは品質保証サーバーなど、実動前環境で実行する必要があります。これを行うことによって、セキュリティー・スキャン実行に伴うリスクを抑えることができます。実動前環境は、可能な限り実稼働環境と同じである必要があります。アプリケーションは、両方の環境に同じ実行可能ファイルを保有する必要があり、これによって公開済みアプリケーションを完全にテストできます。また、セキュリティー・スキャンは、ソフトウェア開発ライフサイクル (SDLC) のプロセスに統合する必要があります。これによって、実稼働環境で発生する前にセキュリティーの問題を把握することができます。

ASEこのエリアをクリックすると、アプリケーション・インベントリ―の作成に関する情報を取得できますリスクの判別このエリアをクリックすると、問題のトリアージに関する情報を取得できますこのエリアをクリックすると、ビジネス・リスクの評価に関する情報を取得できます

始める前に

  1. アプリケーションが開発環境またはテスト環境に存在していることを確認します。
  2. アプリケーションの所有者 (開発者または QA) とともに、アプリケーションをスキャンするための時間枠を設定します。アプリケーションは、AppScan® Enterprise Server でスキャンする間、安定して稼働している必要があります。スキャン中は、アプリケーションに対していかなる変更も加えないでください。
  3. マニュアル探査を行うのか自動クロールを実行するのかを前もって決定します。
    • マニュアル探査では、テストするスキャン対象の正確な URL をユーザーが構成内で指示します (スキャンが自動的にクロールして新規 URL を検出することはありません)。アプリケーションをナビゲートするために多くのユーザー対話が必要な Web アプリケーションの場合、またはアプリケーションの特定のエリアのみをテストしたい場合には、この方法を使用します。
    • 自動クロールでは、Web アプリケーションでのテスト対象となる URL がより多く自動的に発見されるように、スキャンを構成します。多くの静的リンクがあって多数のユーザー対話を必要としないアプリケーションでは、この方法を使用します。

手順

  1. 「スキャン対象」ページで、アプリケーションの開始 URL を入力し、「追加」をクリックします。開始 URL を追加するときには、「状況」列に注意してください。緑のチェック・マークが表示されている場合には、AppScan® Enterprise Server は Web アプリケーションにアクセスできます。代わりに「警告」が表示されている場合には、AppScan® Enterprise Server のプロキシー設定または追加認証を行って、Web アプリケーションにアクセスできるようにしなければならない可能性があります。「再テスト」をクリックしてください。
  2. Web アプリケーションが特定のプロキシー設定または追加認証を必要としている場合、ジョブ・プロパティーの「接続」ページに移動し、「プロキシー」 > 「カスタムのプロキシー設定を使用」と選択して、プロキシー設定値を入力してください。
  3. Web アプリケーションが追加のプラットフォーム認証を必要としている場合、「プラットフォーム認証」セクションで「認証が必要なページをスキャンする」を選択して、ユーザー名とパスワードを入力するか、サービス・アカウント・オプションを選択してください。
  4. Web アプリケーションに HTML ログインが含まれている場合、「ログイン管理」ページに移動してログインを記録します。「記録済み」 > 「ログインの記録」とクリックします。
    1. Web アプリケーションが記録ブラウザーで起動します。ログインをシミュレートしてブラウザー・ウィンドウを閉じます。
    2. ログインを記録してポップアップ・ウィンドウを閉じた後で、ログイン中に検出された URL が「ログイン手順 URL」ページにリストされます。「保存」をクリックして、手順を保存します。URL は「ログイン管理」ページにリストされます。
    3. リストから URL を選択し、「HTTP 要求の表示」(HTTP 要求の表示) アイコンをクリックします。
      注: これにより、その URL に関して記録された完全 HTTP 要求が表示されます。HTTP 要求で送信された Cookie を検索してください。これらの Cookie は「Cookie」行で識別されます。スキャン中にセキュリティー・テストが正常に行われるようにするには、Web アプリケーションが使用するすべてのセッション Cookie を識別する必要があります。記録されたログイン HTTP 要求内のこの行を調べることにより、Web アプリケーションのセッション Cookie 名がどのようなものであるのかを理解できます。この行のすべての Cookie が必ずしもセッション Cookie であるとは限りません。Web アプリケーションの開発者に問い合わせなければならない場合があります。セッション Cookie には一般に「session」または「id」が含まれますが、そうでない場合もあります。デフォルトで、AppScan® Enterprise は多くのセッション Cookie 名を自動的に識別します。
  5. AppScan® Enterprise により見過ごされた Cookie 名を識別した場合は、スキャンでそのセッション Cookie 名を構成する必要があります。AppScan® Enterprise により見過ごされた Cookie を追加する方法は 2 つあります。「パラメーターおよび Cookie」ページに移動します。
    1. 追跡する Cookie またはパラメーターを選択して、「パラメーターおよび Cookie の編集 (Edit Parameters and Cookies)」ページの「追跡」ボタンをクリックします。
    2. 「追加」 ( アイコン) をクリックします。「タイプ」として「Cookie」を選択します。名前として正式名を入力することも、正規表現を入力することもできます。「セッション ID: スキャン中にこのパラメーターを追跡」を選択します。AppScan® Enterprise Server はスキャン中にこのセッション Cookie を追跡し、必要に応じて値を更新します。[完了]をクリックします。
  6. スキャンを構成するために記入しなければならない追加フォームがある場合には、「スキャン対象」ページに移動します。「マニュアル探査」セクションで、「既存項目の追加」 (既存項目の追加) をクリックしてマニュアル探査を起動します。スキャンをマニュアル探査のみに制限する場合には、マニュアル探査を使用して URL を手動で選択することもできます。Web アプリケーションが別個のブラウザー・ウィンドウで起動します。このウィンドウで、何らかのマニュアル・ナビゲーションまたはフォーム入力をシミュレートしてから、ウィンドウを閉じてフォームの結果を保存します。
    注: マニュアル探査を使用して以下の作業を行うことができます。
    • AppScan® Enterprise Server 自動クローラーで処理されない追加機能 (例えば、フォーム記入またはユーザー対話) があればそれを記録します。
    • 記録済みの URL および機能のみにスキャン対象を限定し、また AppScan® Enterprise Server に自動クロールを実行させないようにします。
  7. 「スキャン対象」ページで、「追加のサーバーおよびドメイン」リストまでスクロールダウンします。このリストを検討し、スキャン時に自動クローラーに探査させたくないドメインがあれば、それらを削除します。
    注: テスト・ポリシーに関連付けられたサーバー・グループに含まれないドメインが存在する場合、そのドメインはテストされません。「セキュリティー」ページで、「テスト・ポリシーの詳細を表示」をクリックして、選択済みのテスト・ポリシーに適用可能なサーバー・グループおよび URL、または IP アドレスを確認します。許可されていない URL をテストしないという意味ではなく、そのようなドメインについては、このジョブに基づくレポートに結果が示されないというだけです。開始 URL が、選択するテスト・ポリシーに関連付けられたサーバー・グループに含まれていることを確認してください。
  8. 「スキャン対象」ページの「 DAST の脆弱なサードパーティーコンポーネントの検出」セクションで、特定されたコンポーネントの脆弱性をレポートするチェックボックスがデフォルトで選択されています。
  9. 「セキュリティー」ページで、セキュリティー・テスト・オプションを入力します。
    • 静的な JavaScript分析を実行してクライアント・サイドのさまざまな問題 (主に DOM ベースのクロス・サイト・スクリプティング) を検出する場合は、 [JavaScript Analyzer ] チェック・ボックスをオンにしたままにします。JavaScript ソース・コード分析の機能を参照してください。
    • ログイン試行が複数回失敗したらユーザーをロックアウトする Web アプリケーションをスキャンしている場合、「ログインおよびログアウト・ページに関するテストを含める」チェック・ボックスをクリアします。これにより、スキャン中に AppScan® Enterprise Server がロックアウトされないようになります。
    • セキュリティー・テスト・ポリシーを選択します。
      注: テスト・ポリシー、または製品管理者から割り当てられたポリシーに基づくテストのみ選択できます。このジョブを作成していない場合、ジョブを作成したジョブ管理者に関連付けられたテストしか実行できません。しかし、使用可能なテスト・ポリシーを変更でき、また、ジョブの所有権を取得することによって、実行可能なテストを変更できます (ジョブの「ジョブ・プロパティー」ページ)。
  10. 「探査オプション」ページに移動します。
    1. スキャンで自動スキャンを実行して追加 URL を検索する場合には、「ページ制限なしを適用」を選択します。
    2. スキャンで記録済みログインの探査とテスト、およびマニュアル探査のみを行う場合には、「指定された URL 制限」を選択します。
    3. 自動クロールを実行する場合に、Web アプリケーションが JavaScript を使用して動的に URL をビルドするときには、「JavaScript を実行して URL およびダイナミック・コンテンツを見つける」を選択します。
  11. 「保存」をクリックしてオプションを保存し、ジョブ・プロパティーを終了します。