ホーム
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。
動的スキャン (DAST)
AppScan 360° ブラウザーまたは Web API で実行されるアプリケーションの動的分析を実行できます。AppScan 360° で利用可能な設定オプションを使用するか、AppScan Standard の設定 (テンプレート・ファイル) またはフル・スキャン・ファイルをアップロードします。

作業の開始
HCL AppScan 360° の資料にようこそ。この資料では、このサービスのインストール、保守、使用に関する情報を参照できます。
インストール
AppScan 360° のアーキテクチャーと製品のインストール方法について説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
ナビゲーション
このセクションでは、AppScan 360° のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。
- 動的分析 (DAST) について
  AppScan 360° の動的 (DAST) スキャンは、次の 2 つのステージで構成されています。探査およびテスト。スキャン・プロセスのほとんどはユーザーにとってシームレスで、スキャンが完了するまで入力は必要ありませんが、動的スキャンの仕組みを把握すると、開発プロセスにおけるスキャンの役割の理解を深めることができます。
- 動的スキャン (DAST)
  AppScan 360° ブラウザーまたは Web API で実行されるアプリケーションの動的分析を実行できます。AppScan 360° で利用可能な設定オプションを使用するか、AppScan Standard の設定 (テンプレート・ファイル) またはフル・スキャン・ファイルをアップロードします。
  - スキャンの作成
    スキャンの開始 URL とユーザー資格情報を入力し、サイトのタイプを選択します。また、サイトをスキャンする権限があるかどうかをまだ確認していない場合は、それを確認します。
  - テンプレートからのスキャンの作成
    独自の AppScan Standard テンプレート (SCANT) ファイルをアップロードして、AppScan 360° スキャンを実行できます。
  - スキャン・ファイルからのスキャンの作成
    独自の AppScan Standard スキャン (SCAN) ファイルをアップロードして、AppScan 360° スキャンを実行できます。
  - 増分スキャンの作成
  - テスト・ポリシー
    AppScan 360° からスキャンを実行する場合は、AppScan Standard のデフォルトのテスト・ポリシーが使用されますが、インポートされたスキャンや、API から実行されるスキャンでは、他のポリシーを適用できます。
  - テストの最適化
    テストの最適化では、インテリジェントなテスト・フィルタリングを使用して、問題範囲の損失を最小限に抑えながら、より高速なスキャンを実現します。速度を考慮事項とする場合は、4 つの最適化レベルから選択します。
  - テスト自動化
    動的スキャンを機能テストに組み込みます。
  - クライアント証明書
- トラフィックの記録
  トラフィックは、AppScan Activity Recorder ブラウザー拡張機能 (Chrome または Edge 用)、HCL AppScan Traffic Recorder プロキシー・サーバー、または AppScan Standard を使用して、DAST スキャンの探査データとして記録できます。
- HCL AppScan Traffic Recorder
  HCL AppScan Traffic Recorder (DAST プロキシー) では、トラフィックを記録して探査データとして使用できます。要求に応じてトラフィック・レコーダー・インスタンスを作成して、後で DAST スキャンに使用されるトラフィックを記録できます。
- AppScan Standard
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
結果
[スキャンとセッション] ページでは、カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
参照
よくある質問、および製品ライフサイクル (SDLC) への AppScan 360° の統合に関する情報。

動的スキャン (DAST)

AppScan 360° ブラウザーまたは Web API で実行されるアプリケーションの動的分析を実行できます。AppScan 360° で利用可能な設定オプションを使用するか、AppScan Standard の設定 (テンプレート・ファイル) またはフル・スキャン・ファイルをアップロードします。

DAST スキャン・ウィザードには、以下の 3 つのパスがあります。


オプション	説明
新規スキャンの作成	AppScan 360° ウィザード・オプションを使用してスキャンを設定して実行します。必要に応じて、ログイン手順の記録をアップロードします。トラフィック・ファイル (DAST.CONFIG) をアップロードして、アプリケーションの特定の部分が確実にカバーされるようにします。新規スキャンの作成 (フル設定)
テンプレート・ファイルのアップロード	AppScan Standard テンプレート (SCANT) ファイルがある場合は、そのファイルを AppScan 360° スキャンの設定として使用できます。これにより、AppScan Standard で使用可能なすべての設定オプションを利用できます。AppScan Standard テンプレートには、ログイン記録とマルチステップ設定も含まれます。テンプレートにはマニュアル探査は含まれていませんが、トラフィック記録 (DAST.CONFIG ファイル) をアップロードして、アプリケーションの特定の部分が確実にカバーされるようにすることができます。テンプレート・ファイルからの新規スキャンの作成
スキャン・ファイルのアップロード	AppScan Standard スキャン (SCAN) ファイルがある場合は、そのファイルを AppScan 360° スキャンの設定として使用できます。マニュアル探査、マルチステップ操作、SCAN ファイルに保存された Postman コレクションなどの Web API ファイルがスキャンに組み込まれます。フル・スキャンを実行することも、ファイルから既存の探査日付を使用して、スキャンのテスト・ステージのみを実行することもできます。スキャン・ファイルからの新規スキャンの作成

Web API のスキャン

Web API をスキャンする場合は、以下の点に注意してください。

自動探査は Web API では機能しないため、トラフィック記録を指定する必要があります。参照トラフィックの記録
Postman コレクションがある場合は、次のいずれかを実行できます。
- REST API を使用して Postman コレクション・ファイルをアップロードします。REST API を使用すると、次のように .scan ファイルを必要とせずにスキャンを開始できます。
- Postman コレクションを AppScan Standard にインポートし、SCAN ファイルとして保存してから、スキャン・ファイルからの新規スキャンの作成できます。

関連トピック

動的分析でテストされる脅威クラスのリストおよび関連する CWE については、「動的分析」を参照してください。