Home
アプリケーション・リスクの管理
以下のワークフローに従って、組織内のアプリケーション・セキュリティー・リスクを管理してください。
ステップ 5: 進行状況の測定とコンプライアンスの実証
進行状況の測定とコンプライアンスの実証方法について説明します。
コンプライアンスの実証
コンプライアンスの実証方法について説明します。
業界標準のレポート
業界標準のレポートについて説明します。
OWASP API セキュリティ Top 10 レポート 2023
API (アプリケーション・プログラム・インターフェース) は、すべての業界の企業にとって不可欠なツールです。多くの領域で API の使用が増加しており、API は最新のモバイル、SaaS、Web アプリケーションの重要な部分を構成しています。そのため、API セキュリティーの重要性について周知し、API に固有の脆弱性を公開することが、Web アプリケーションの場合以上に求められています。

ようこそ
HCL AppScan Enterprise 10.5.0 の資料へようこそ。ここでは、HCL AppScan Enterprise をインストール、保守、および使用する方法に関する情報を見つけることができます。
AppScan® Enterprise のアクセシビリティー機能
アクセシビリティー機能は、運動障害または視覚障害など身体に障害を持つお客様が、IT 製品を快適に使用できるように支援します。
製品の概要
インストール
製品のインストール方法について説明します。
アップグレードおよびマイグレーション
製品のアップグレード方法について説明します。
統合
製品の他のソリューションとの統合方法について説明します。
DevOps
REST API およびプラグインを使用した製品の拡張方法について説明します。
ベスト・プラクティス
製品を使用するためのベスト・プラクティスについて説明します。
構成
製品の構成方法について説明します。
管理
製品の管理方法について説明します。
アプリケーション・リスクの管理
以下のワークフローに従って、組織内のアプリケーション・セキュリティー・リスクを管理してください。
- ステップ 1: アプリケーション・インベントリーの作成
  アプリケーション・インベントリーの作成方法を説明します。
- ステップ 2: 脆弱性に関するアプリケーションのテスト
  アプリケーション内で特定された脆弱性のテスト方法を説明します。
- ステップ 3: リスクの判別と脆弱性の優先順位付け
  アプリケーション内で特定されたリスクを判別して、脆弱性の優先順位付けをする方法について説明します。
- ステップ 4: リスクの修復
  アプリケーション内で特定されたリスクの修復方法を説明します。
- ステップ 5: 進行状況の測定とコンプライアンスの実証
  進行状況の測定とコンプライアンスの実証方法について説明します。
  - 進行状況の測定
    ポートフォリオを構成するアプリケーションのさまざまなメトリックと傾向を追跡する方法について説明します。
  - コンプライアンスの実証
    コンプライアンスの実証方法について説明します。
    - レポートとしての問題のエクスポート
      問題用にカスタマイズされたレポート ( HTML、PDF、Excel、または XML) を生成し、開発者、内部監査者、ペネトレーションテスト担当者、管理者、CISO に送信できます。AppScan Enterprise のレポート・テンプレートにより、アプリケーション・セキュリティー・データは主な行政規制および業界標準にマップされます。これらのレポートを使用して、コンプライアンス問題に関連するアプリケーションの脆弱性の数の減少を示すなど、法規制順守目標に向けた進行状況を文書化します。
    - セキュリティー・レポートのサイズの制限
      セキュリティー・レポートはサイズが大きい場合があります。レポート生成中、ファイルに数百ページの長さがある、あるいはレポートの作成処理がタイムアウトになることを示す警告メッセージが表示される場合があります。レポート・サイズを減らすために、以下のヒントを試してください。
    - コンプライアンス・レポート
      コンプライアンス・レポートについて説明します。
    - 業界標準のレポート
      業界標準のレポートについて説明します。
      - 「International Standard ISO 27001」レポート
        このレポートには、規格の制御目標に違反している既存 Web アプリケーションのぜい弱性が表示されます。この規格にリストされている制御目標は、ISO 17799 にリストされた制御目標から直接抜粋し、調整を加えたものです。
      - 「International Standard ISO 27002」レポート
        このレポートには、規格の制御目標に違反している既存 Web アプリケーションのぜい弱性が表示されます。この規格にリストされている制御目標は、ISO 17799 にリストされた制御目標から直接抜粋し、調整を加えたものです。
      - 「NERC サイバー・セキュリティー標準」レポート
        このレポートには、ユーザーのサイトで検出された NERC サイバー・セキュリティー標準の問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
      - NIST 特別刊行物 800-53 改訂 5 レポート
        このレポートには、アプリケーションで検出された米国連邦情報・技術局 (NIST) の問題が表示されます。Web アプリケーションの脆弱性の多くは、直接的または間接的に個人情報のセキュリティー違反につながる可能性があり、規則違反と見なされる可能性があります。
      - 2021 年 OWASP Top 10 レポート
        OWASP Top 10 は、開発者および Web アプリケーションのセキュリティーに対する啓発のための標準ドキュメントです。この OWASP Top 10 は、Web アプリケーションに対する最も重大なセキュリティー・リスクについての幅広いコンセンサスを表したものです。
      - 2019 年 OWASP API Security Top 10 レポート
        API (アプリケーション・プログラム・インターフェース) は、すべての業界の企業にとって不可欠なツールです。多くの領域で API の使用が増加しており、API は最新のモバイル、SaaS、Web アプリケーションの重要な部分を構成しています。そのため、API セキュリティーの重要性について周知し、API に固有の脆弱性を公開することが、Web アプリケーションの場合以上に求められています。OWASP API Security Top 10 レポートは、開発者、テスター、ユーザーだけでなくプロジェクト・マネージャー、セキュリティー研究者、教育者が、API 関連の最も重大な最新のセキュリティーの脆弱性に関するインサイトを得るのに役立ちます。
      - OWASP API セキュリティ Top 10 レポート 2023
        API (アプリケーション・プログラム・インターフェース) は、すべての業界の企業にとって不可欠なツールです。多くの領域で API の使用が増加しており、API は最新のモバイル、SaaS、Web アプリケーションの重要な部分を構成しています。そのため、API セキュリティーの重要性について周知し、API に固有の脆弱性を公開することが、Web アプリケーションの場合以上に求められています。
      - CWE 2023 年最も危険なソフトウェアの脆弱性 25 件
        このレポートには、ユーザーのサイトで検出される共通脆弱性タイプ一覧 (CWE™) 上位 25 の最も危険なソフトウェアの脆弱性が表示されます。CWE 上位 25 は、開発者、テスター、ユーザーだけでなくプロジェクト・マネージャー、セキュリティー研究者、教育者が、最も重大な最新のセキュリティーの脆弱性に関するインサイトを得るのに役立つ、貴重なコミュニティー・リソースです。
      - 「WASC 脅威の分類 v2.0」レポート
        このレポートには、Web サイトで見つかった WASC 脅威の分類に関する問題が示されます。
トラブルシューティングおよびサポート
HCL® ソフトウェアの問題の理解、分離、解決に役立つように、このトラブルシューティングおよびサポートの情報には、HCL 製品と一緒に提供される問題判別リソースの使い方の指示が含まれています。
参照
製品の参照情報を確認します。
用語集

OWASP API セキュリティ Top 10 レポート 2023

API (アプリケーション・プログラム・インターフェース) は、すべての業界の企業にとって不可欠なツールです。多くの領域で API の使用が増加しており、API は最新のモバイル、SaaS、Web アプリケーションの重要な部分を構成しています。そのため、API セキュリティーの重要性について周知し、API に固有の脆弱性を公開することが、Web アプリケーションの場合以上に求められています。

問題点

API に対する脅威のランドスケープは常に変化しています。API は、アプリケーション・ロジックや個人情報 (PII) などの機密データを公開するため、アタッカーのターゲットになります。これらの要因は API の分析を困難にするだけでなく、脅威のランドスケープを大幅に変化させる原因となり得ます。遅れずについていくために、OWASP 組織は OWASP API セキュリティトップ 10 レポートを作成しました。

OWASP API Security Top 10 脆弱性

ID	名前
API1	オブジェクト・レベルの権限の不備
API2	無効な認証
API3	壊れたオブジェクトのプロパティレベルでの許可
API4	制限のないリソース使用
API5	機能レベルの権限の不備
API6	重要なビジネスフローへの制限のないアクセス
API7	サーバーサイドリクエストフォージェリー
API8	セキュリティーの構成ミス
API9	不適切な在庫管理
API10	API の安全でない使用