ホーム
構成
ご使用のアプリケーションと希望するテストの種類に最も当てはまる設定を選択して、スキャンを構成します。
ビュー
ログイン管理
AppScan® にアプリケーションへのログイン方法を示します。
ログイン再生
「構成」 > 「ログイン管理」 > 「詳細オプション」

ようこそ
HCL AppScan Standard バージョン 10.6.0 のドキュメントへようこそ。
はじめに
このセクションでは、ウィザードを使用したスキャンのセットアップを含む、基本的な製品の機能および手順について簡単に紹介します。
構成
ご使用のアプリケーションと希望するテストの種類に最も当てはまる設定を選択して、スキャンを構成します。
- プリセット
  プリセットでは、特定のタイプのスキャンに必要なメイン構成ビューが提供されます。
- ビュー
  - 開始 URL およびドメイン
    スキャンの開始 URL、および含める必要のある追加のサーバーとドメインを構成します。
  - API
    Web API をスキャンするには、API タイプを定義して、方法を探査し、テスト対象のドメインを指定します。
  - 除外されるパスおよびファイル
    アプリケーションの特定のパスや、特定タイプのファイルを無視するように AppScan を構成できます。
  - マルチステップ操作
    その他の方法では到達できない可能性があるアプリケーションの特定の部分に到達するために必要なマルチステップ操作を記録および管理します。
  - ログイン管理
    AppScan® にアプリケーションへのログイン方法を示します。
    - ログイン方法
      「構成」 > 「ログイン管理」 > 「ログイン方法」。
    - ログイン再生
      「構成」 > 「ログイン管理」 > 「詳細オプション」
      - アクション・ベース・エディター
        検証に失敗した場合は、「スキャン構成」 > 「ログイン管理」 > 「詳細オプション」 > 「(アクション・ベースの) 編集」から開くダイアログを使用して、ログイン手順をトラブルシューティングできます。
      - 要求ベース・エディター
        検証に失敗した場合、「スキャン構成」 > 「ログイン」 > 「レビューと検証」 > 「(要求ベースの) 編集」から開くダイアログを使用して、ログイン手順をトラブルシューティングできます。
    - セッション検出
      「詳細なセッション内要求の選択」ダイアログ・ボックスは、「構成」>「ログイン」>「レビューと検証」>「詳細な要求の選択」から開きます。
    - ログイン・セッション ID
      「スキャン構成」 > 「ログイン管理」 > 「ログイン・セッション ID」。
    - ログインの詳細設定
      「スキャン構成」>「ログイン管理」>「詳細」タブ。
  - API キー
    AppScan Standard は、API キーを必要とする API スキャン用の API 認証をサポートします。
  - 多要素認証（MFA）
    ワンタイム・パスワードまたはセキュリティーの質問 (多要素認証) を使用するように、AppScan® を構成します。
  - HTTP 認証
    サーバー側の認証およびクライアント側の証明書の追加 (アプリケーションで必要とされる場合)
  - AWS 認証
    AWS 設定を構成します。
  - 通信およびプロキシー
    通信タイムアウトおよびプロキシー・サーバー設定の構成
  - パラメーター、Cookie、およびヘッダー
    スキャンから除外するセッション ID およびリスト・パラメーターを識別します。
  - 自動フォーム入力
    スキャン中にアプリケーションにフォームを入力するために有効なパラメーター値を AppScan® へ指定します。
  - エラー・ページ
    AppScan® が応答内容、パス (またはその両方) 内でエラー・ページを認識できるようにするストリングまたは正規表現を追加することで、アプリケーションのエラー・ページの識別機能を強化します。これにより、AppScan がエラー・ページを効果的に認識して処理できるようになり、セキュリティ・スキャンの全体的な精度が向上します。
  - 探査オプション
    AppScan がアプリケーションの探査に使用する探査方法 (アクション・ベース、要求ベース、またはその両方) と、その他の基本的な探査設定と詳細な探査設定を定義します。
  - テスト・ポリシーと最適化
    テスト中にアプリケーションに送信されるテストのコレクションを定義します (テスト・ポリシー)。また、詳細なスキャンよりも迅速なスキャンを優先する場合に、製品のライフサイクルでスキャンを高速化するための最適化を適用します。
  - 環境定義
    環境定義は必須ではありませんが、AppScan® でスキャン中に関連性のないテストを送信することを安全に抑制できるようになります。その結果、スキャンをさらに高速かつ正確に実施できます。CVSS 3.1 環境スコアをカスタマイズすると、スキャン結果の精度が向上します。
  - テスト・オプション
    追加のテスト・オプション。
  - 特権エスカレーション
    異なるユーザー権限を使用したスキャンを比較して、特権リソースに非特権ユーザーがアクセスできるかどうかを確認します。
  - コンテンツ・ベースのビュー
    URL ベースのツリーが、単に 1 つまたは 2 つの URL の下の長いリストになる場合に、アプリケーション・ツリーの論理構造を定義できます。これは必須ではありませんが、結果に移動しやすくなります。
  - 詳細構成
    このビューを使用すると、数多くの詳細なレジストリー設定にアクセスできます。このビューは、経験のある AppScan ユーザーのみ、または問題をトラブルシューティングするためにサポート・チームから指示された場合にのみ使用してください。
- SCAN ファイルの構造
  AppScan Standard SCAN ファイルの基本的な構造について説明します。
- スキャン・テンプレート
  スキャン・テンプレートとは、再使用できるように保存された単なるスキャン構成です。
- スキャン中の構成の変更
マニュアル探査
マニュアル探査を使用すると、実行中にフィールドおよびフォームを入力しながらアプリケーションの特定の部分を探査することができます。この方法を使用することで、サイトの特定のエリアが確実にカバーされ、AppScan では、すべてのフォームへの正しい入力に必要な情報を得ることができます。
スキャン
スキャンの開始方法、スキャン中に何が行われるか、探査ステージの手動による操作方法、スキャン結果のエクスポート方法について説明します。
Data (データ)
データ・ビューには、スキャンの探査のステージ中にサイトの構造に関する情報が取り込まれます。
問題
「問題」ビューでは、スキャンの結果にアクセスできます。結果を概略レベルで表示することも、特定のテストまたはオブジェクトを選択して詳細にアクセスすることもできます。これらの詳細には、修正方法、要求/応答、および問題が発生したテスト・バリアント間の差が含まれます。問題の重大度を操作したり、(修正ありまたは修正なしで) テストを再送したり、問題に基づいたレポートを作成したりできます。
レポート
このセクションでは、スキャン結果からレポートを生成する方法について説明します。
ツール
このセクションでは、HCL AppScan Standard が提供する追加ツールの使用法を説明します。
Integrations
このセクションでは、その他のアプリケーションと AppScan Standard との統合について説明します。
ベスト・プラクティス
このセクションでは、上級ユーザー向けのベスト・プラクティスおよびユース・ケースについて説明します。
よくある質問とトラブルシューティング
CLI
このセクションでは、コマンド行インターフェースを使って使用できる構文およびオプションを説明しています。
参照
メニューおよびツールバーの概要および用語集

ログイン再生

「構成」 > 「ログイン管理」 > 「詳細オプション」

ログイン手順を記録すると、AppScan はアクションと要求の両方を記録します。これらは「アクション」と「要求」の2 つのサブ・タブに表示されます。ログインの再生を行う場合、AppScan は、(デフォルトでは) アクション・ベースのログインの再現を試行します。これが正常に完了しない場合、要求ベースのログインを使用します。

この領域で、以下を確認および編集します。

ログイン手順のアクション・ベース・バージョン
ログイン手順の要求ベース・バージョン
セッション内検出要求
セッション内 (またはセッション無効) 検出パターン

これは以下の場合にも使用します。

現在の設定の確認

表 1. 詳細オプション
設定	詳細
ログイン再生	このセクションは、ログイン方法に「記録されたログイン」を選択した場合にのみ表示されます
ログイン再生方法	組み込みブラウザーを使用して記録する場合、AppScan は、2 つのバージョンの記録するログイン・シーケンスを保存します。1 つは実行したアクションをベースに、もう 1 つは実際に送信された HTTP 要求をベースにしています。アクション・ベース: (可能な場合はデフォルトで使用されます)AppScan は、アクション・ベースのログインを使用してログインを試行し、ユーザーのクリックとキー・ストロークを再生します。記録の再生: アクション・ベースのプレイヤーを開き、記録されたログイン手順をブラウザーで再生します。再生の編集: アクション・ベースのエディターを開き、ログイン記録の詳細の表示と編集を行います。要求ベース: 最初の方法が失敗した場合、AppScan は、要求ベース・バージョンのログインを使用します。要求ベース・バージョンのログインでは、ログイン記録から未加工の HTTP 要求を再送信します。再生の編集: 要求ベースのエディターを開き、ログイン記録の詳細の表示と編集を行います。どちらかの方法が失敗したことがメッセージに示された場合、もう一方の方法を使用してください。注: アクション・ベースのログインを選択してスキャン中に失敗した場合、AppScan は要求ベースのログインを試行します。成功した場合、この設定は自動的に要求ベースに変更されます。注: アクション・ベースのログインは、組み込みのブラウザーを使用している場合にのみ利用可能です。外部ブラウザーまたは外部クライアントを使用して記録している場合は、要求ベースのログインのみ利用可能です。
自動ログイン	このセクションは、ログイン方法に「自動ログイン」を選択した場合にのみ表示されます
自動検出セッション内構成ボタン	クリックして、AppScan で以下のアクションを実行します。指定された資格情報を使用して、サイトへのログインを試みます。ログイン・ページのセッション内検出パターンを識別します (以下を参照) セッション ID を構成します (以下を参照) ログイン・セッション ID
セッション検出	スキャンの間、AppScan は、サイトの応答を正確に評価できるよう、常にサイトへのログインおよびログアウト状態を把握している必要があります。スキャン中、AppScan はセッション内検出要求を繰り返し送信し、応答にセッション内検出パターンが含まれているかどうかを確認して、ログインしていることを検証します。AppScan がページの応答にパターンを見つけられない場合、AppScan はログアウトされたとみなし、ログイン手順を再生して再度ログインを試みます。その結果、通常はスキャン中にログイン手順が何回も繰り返されることになります。そのため、ログイン手順は可能な限り少ないステップで構成することが推奨されます。また、「セッション内」ページが小規模なページであり、追跡パラメーターや Cookie が存在しない場合も、スキャン時間が大幅に増加する可能性があるため、ステップを少なくすることが効果的です。
セッション内検出要求	これは AppScan がセッション内の検証に使用する要求です。この要求は、ユーザーのログインの有無によって異なる応答を生成するものにする必要があります。 AppScan は、有効なセッション内要求を識別しようとします。これはドロップダウン・リストから 1 つ選択できます。見つからない場合、または適切なものがない場合は、詳細な要求選択ボタンを使用して独自の内容を選択できます。
詳細な要求選択ボタン	このボタンを使用するとダイアログ・ボックスが開きます。ここでログイン手順での要求を検討し、セッション内検出の要求を選択できます。詳しくは、次を参照してください。セッション検出
セッション内検出パターン	(セッション内検出の要求が選択された場合のみアクティブになります)このフィールドには、選択したセッション内検出の要求で見つかったパターンが表示されます。これはユーザーがセッション内にいる (または、オプションによってはセッション無効である) ことを示しています。ドロップダウン・リストにより、AppScan がログイン記録で特定した候補から検出パターンを選択できます。パターン下の緑または赤のメッセージは、現在のパターンが有効または無効であることを示しています。注: 通常、セッション内パターンを使用することが推奨されます。ただし、セッション内要求の後にセッション内パターンが必ずしも返されない場合や、定義が複雑になる場合がまれにあります。そうした場合は、セッション内パターンの代わりにセッション無効パターンを使用することができます。 AppScan が有効なパターンを識別できない場合や、別のパターンを選択する必要がある場合は、「パターンの詳細な選択」ボタンを使用します (この表の次の行)。正規表現: パターンを識別するために正規表現を入力するには、このチェック・ボックスを選択します。
パターンの詳細な選択ボタン	(セッション内検出の要求が選択された場合のみアクティブになります)このボタンで検出パターンを選択ダイアログ・ボックスが開き、記録したログイン手順の要求に対するセッション内およびセッション無効の応答の内容が表示されます(選択した検出パターンに基づきます)。応答のコンテキストで選択した検出パターンを確認し、コンボ・ボックスに表示されない検出パターンを定義することができます。ダイアログ・ボックスを使用すると、記録されているすべての応答を切り替えられます。ボックスの上部では、AppScan により送信されたセッション内要求とセッション無効要求も確認できます。
検証
検証ボタン	(現在のログイン手順が未検証の場合のみアクティブになります)クリックすると手順とセッション検出パターンを検証します。
鍵アイコン	鍵アイコンは、セッション内検出の構成状況を示します。有効に設定され、構成されています。(セッション内ページが、ログイン手順において、自動またはユーザーにより特定されています。) 有効に設定されていますが、完全には構成されていません。有効に設定されていますが、構成に失敗しました。無効に設定されています。詳しくは、「検出パターンの選択」ダイアログ・ボックスを参照してください。