よくある質問

よくある質問について説明します。

全般
DAST
SAST

全般

AppScan 360°でサポートされている Kubernetes プラットフォームは何ですか?

AppScan 360° プラットフォーム固有の機能を使用することなく、すべてのプラットフォームで動作することが想定されていますが、すべてのプラットフォームで動作が検証されているわけではありません。AppScan 360° は、次の Kubernetes プラットフォームで動作することが確認されています。

  • K0s
  • K3s
  • K8s
  • OpenShift
  • VMware
  • Tanzu

セキュリティー対策が追加されている場合、構成内で追加のチェックや修正を行う必要がある場合があります。例えば、AppScan 360° の作業では OpenShift にいくつかの前提条件が必要です。詳しくは、「OpenShift と AppScan 360°を使用するための前提条件は何ですか?」を参照してください。

Harbor の概要と使用方法

HCL Harbor は、HCL ソフトウェアのコンテナー・レジストリーです。Harbor からは、Docker イメージ (AppScan 360° の実行に必要なアプリケーション・コード、ライブラリー、ツール、依存関係を含む読み取り専用テンプレート) と Helm チャート (Kubernetes クラスター内の AppScan 360° のデプロイメントと管理を簡素化する、事前構成された Kubernetes リソースのパッケージ) をダウンロードできます。

HCL Harbor にログインするには、次の内容を実行します。
  1. https://hclcr.io を参照してください。
  2. 「OIDC プロバイダー経由でログイン」をクリックします。
  3. HCL 資格情報を使用してログインします。
  4. 「プロジェクト」 > 「AppScan 360°」を選択します。

    「リポジトリー」タブには、ダウンロード用の最新の AppScan 360° Docker イメージと Helm チャートが含まれています。

Kubernetes を使用している場合は、Kubernetes 構成に CLI シークレットを追加しなければならない場合があります。次のいずれかの操作を実行します。
  • ユーザー名とパスワードを用いて docker login hclcr.io を使用します。
  • docker/config.json ファイルの環境変数を設定します。
    export HCLCR_USERNAME= 
export HCLCR_PASSWORD=
  • base64 エンコーディングの環境変数を設定します。
    export AS360_KNI_JSON_CONFIG_AS_BASE64=""
ログイン時に問題が発生した場合は、HCL サポートにお問い合わせください。

AppScan 360° Helm リポジトリーはどこにありますか?

AppScan 360° Helm リポジトリーは、https://github.com/HCL-TECH-SOFTWARE のパブリック GitHub サーバーでホストされています。この場所から適切なリポジトリーを複製できます。

スキャンが失敗した理由は何ですか?

スキャンが失敗したり、レビュー中になったりした場合、考えられる理由は次のとおりです。
  • アプリケーション・ファイルが無効
  • 選択したテスト・セットがサイト/アプリケーションに適していません
  • AppScan Central Platform が正しく機能していないか、まったく機能していません

これらの問題を回避できれば、スキャンは自動的かつ高速に完了する可能性が高くなります。これは特に AppScan 360° スキャンを自動プロセスに組み込んでいる場合に重要であり、そうなればスキャン時間が可能な限り短くなります。

スキャンの完了にはどれぐらいの時間がかかりますか?

アプリケーションのサイズと複雑さによりますが、数分からもっと長い時間がかかります。スキャン完了時に E メールを受け取るように指定できます。

AppScan 360° によるテストの対象となるセキュリティー問題

  • AppDOS
  • ブラウザーによる機密情報のキャッシング
  • コメントによる機密情報の漏えい
  • 設定の問題
  • クロスサイト・スクリプティング (XSS)
  • DB 接続ストリングの操作
  • E メール・フィッシング
  • E メールの改ざん
  • エンコーディングの必要性
  • 無防備な Web サービス
  • ファイルの改ざん
  • ファイルのアップロード
  • HTTP リクエスト分割
  • HTTP レスポンス分割
  • LDAP インジェクション
  • オープン・リダイレクト
  • OS コマンド・インジェクション
  • パス・トラバーサルの潜在的なビジネス・ロジックの問題 (非セキュアなダイレクト・オブジェクト参照もカバー)
  • 特権エスカレーション
  • RegEx インジェクション
  • テスト・コードの削除
  • SecondOrder インジェクション
  • 機密データの漏えい
  • ログに保管された機密データ
  • エラー・メッセージに表示された機密情報
  • 大きすぎるセッション管理タイムアウト値
  • SQL インジェクション
  • 暗号化されていない通信
  • URL の改ざん
  • 暗号として安全でない乱数発生ルーチンの使用
  • 隠しフィールドの使用
  • 非セキュアな暗号化アルゴリズムの使用
  • 安全でないネイティブ・コードの使用
  • 脆弱なアクセス制御
  • 脆弱な認証
  • XML インジェクション
  • XPath インジェクション
  • XSLT インジェクション

アプリケーションのリスク等級が「不明」となっているのはなぜですか?

アプリケーションのリスク等級は、以下の 2 つの要因に基づいて計算されます。
  • (AppScan 360° によって) 検出された問題
  • (ユーザーによって割り当てられた) ビジネスへの影響
問題がまだ検出されていない場合、またはビジネスへの影響が「未指定」(デフォルト) の場合、リスク等級は「不明」となります。ビジネスへの影響を変更するには、「リスク等級」を参照してください。

DAST

ステージング環境または実稼働環境を指定できなくなったのはなぜですか?

最近まで、DAST スキャン設定にはステージング環境または実稼働環境の選択が含まれていました。これは、スキャンがサイトの安定性に影響を与えるリスクを軽減するためでした。ウィザードで新しい設定オプションを使用できるようになったことで、この設定は冗長になり、削除されました。代わりに、実動サイトをスキャンする場合は、以下の設定変更を検討できます。
  • 「探査」>「フォームの自動入力」で、チェック・ボックスをクリアしてこのオプションを無効にします。
  • 「通信」>「最大要求速度」で、ほとんどの実動サイトでデフォルト値が正しく設定されているはずですが、サイトへのトラフィックを削減するために、1 秒あたりの最大要求数を減らすことを検討できます。

詳細および提案については、次のセクションを参照してください。

ライブ実動サイトをスキャンするときに、どのような変更を行う必要がありますか?

可能な場合は、実動サイトではなくステージングで DAST スキャンを実行することをお勧めします。実稼働中のサイトで DAST スキャンを実行すると、サイトの安定性を損なうおそれがあります。必要に応じて、以下の点を考慮すると、実動サイトのスキャンを効果的に設定するのに役立ちます。

スキャン中に送信される人工的な情報でデータベースがいっぱいになる可能性

以下の予防措置を取ることによって、この影響を緩和することができます。
  1. 「探査」>「フォームの自動入力」で、チェック・ボックスをクリアします。

    これにより、 AppScan 360° が、自動 的にフォームに入力して、データベース、掲示板、またはオンライン・フォーラム・システムをフラッディングする可能性のあるデータを送信したり、管理者アカウントまたはモデレーター・アカウントに不必要な電子メールを送信したりすることがなくなります。ただし、これにより、AppScan 360° は、フォームの送信によってアクセスできるサイトの領域へのアクセスが制限されることに注意してください。この操作モードでは、AppScan 360° は、(パラメーターの指定にかかわらず) リンクをたどることによってアクセスできるサイトの領域のみをスキャンします。

  2. 「通信」>「最大要求速度」で、1 秒あたりの許容最大要求数を減らすことを検討してください。
  3. テスト・アカウントを作成します。
    テスト・アカウントを使用すると、データベースの変更の追跡が簡単になり (例えば、サービスが実際に注文されないようにするなど)、サイト管理者がスキャン後にサイトをクリーンアップしやすくなります。アカウントを作成するときは、以下の一部またはすべてを実行することを検討してください。
    • 変更されたレコードを復元できるように、データベースのアクセスをテスト・レコードのみに制限する。
    • テスト・アカウントによって作成される新規レコードが削除されるようにする。
    • テスト・アカウントからの注文書 (または他のトランザクション) が無視されるようにする。
    • トランザクションによって影響が生じる場合 (例えば、株を処理する場合) は、アカウントのアクセスをテスト・レコードに対してのみ許可する。
    • サイトにフォーラムがある場合は、テスト・ステージ中に作成されたテストが実際の顧客に表示されないように、テスト・アカウントのアクセスをテスト・フォーラムに対してのみ許可する。
    • サイトにさまざまなアカウント用のさまざまな特権がある場合は、さまざまな特権を持つ複数のテスト・アカウントを設定する。これにより、サイトをより包括的にスキャンできるようになります。
    • 管理者レベルのアクセス権限を持つテスト・アカウントを作成しない。

電子メール・フラッディングのリスク

電子メール通知を使用するページをテストする場合、AppScan 360° が多くの要求を生成して、サイトの電子メール・サーバーが過負荷の状態に陥る可能性があります。可能であれば、E メールが無効な E メール・アドレスに送信されるよう、テスト対象のページ上の E メール・アドレスを一時的に変更します。

テストの最適化: スキャンが高速化するのであれば、常にそれを使用するべきではないですか?

テストの最適化は、より速く結果を出す必要がある場合には優れていますが、非最適化スキャンほど徹底していません。速さが重要な場合には最適化されたスキャンを推奨しますが、定期的にフル・スキャンで補完することも推奨します。

テストの最適化: 同じサイトでは、2 つの最適化されたスキャンの結果は同一になりますか?

HCL のチームは絶えず設定の分析と更新を行っているため、AppScan が更新されるたびに最適化の設定が改善されています。そのため、サイトが変更されていなくても結果が同一にならない場合があります。ただし、前のスキャンで問題を明らかにしたテストが、同じ最適化レベルの後のスキャンでフィルタリングによって除外されることはほとんどありません。

OTP: OTP HTTP パラメーターの識別方法

OTP (ワンタイム・パスワード) を使用するサイトの DAST スキャンでは、AppScan は、アプリケーションにログインできるようにするために、OTP を含むパラメーターの名前を知っている必要があり、通常は記録されたログインを検証するときにそれを識別します。これが失敗した場合、または (記録されたログインではなく) 自動ログインを使用する場合は、ユーザー自身でパラメーターを追加する必要があります。

パラメーターを識別するには、以下のようにします。
  1. アプリケーションのログイン・ページを参照します。
  2. F12 キーを押して、ブラウザーの開発者ツール・ペインを開きます (メイン・ブラウザー・ペインの右側または下に開きます)。
  3. 「エレメント」タブをクリックして、HTML コードを表示します。

    コードの一部を選択すると、メイン・ブラウザー・ペインでエレメントが強調表示されます。

  4. 「OTP」フィールドが強調表示されているエレメントを見つけます。
    例:
    <input type="text" name="OTPvalue" value="">
  5. name パラメーターの値 (引用符なし) が、必要な OTP HTTP パラメーターです。
    例:
    OTPvalue
  6. 複数の OTP HTTP パラメーターがある場合は、コンマで区切ります。

どのプロトコルが DAST スキャンに対応していますか?

AppScan 360° は、TLS 1.0、1.1、1.2、1.3 を必要とするアプリケーションをスキャンできます。

AppScan 360°AppScan 360° サービスへの接続のためにサポートする TLS プロトコルはどれですか。

AppScan 360° サービスに接続するために TLS 1.2 をサポートします。

再スキャンで重大度が「中」の問題の数が増加したのはなぜですか?

最初に v10.2.2 より前のバージョンの DAST エンジンを使用して実行されたスキャンを再スキャンすると、重大度「中」の問題が元のスキャンよりも多く再スキャンで検出されます。

AppScan DAST エンジン・バージョン 10.2.2 以降では、CWE 問題の重大度と CVSS スコアリングは CVSS バージョン 3.1 に基づいています。古いバージョンの DAST エンジンを使用して実行されたスキャンでは、CVSS 2.0 スコアリングが使用されていました。古いバージョンで重大度「低」に割り当てられた一部の問題には、10.2.0 で重大度「中」が割り当てられた結果、重大度「中」の問題が増加しました。これは、将来のバージョンの DAST エンジンで変更される予定です。

SAST

静的分析 IRX ファイルとは何ですか? その内容は?

IRX は、暗号化されたセキュアな zip アーカイブで、ご使用のプログラムのすべての静的分析を実行するために必要な情報が含まれています。このファイルは、作成後に保管するときに暗号化され、クラウドへの転送時 (SSL 経由) にも暗号化されます。

内部的に、IRX アーカイブには以下のファイルおよび成果物が含まれます。

  • お客様のデプロイ済みソース・コード (例えば、Java バイトコードや .Net MSIL) から作成されたデプロイ可能なプログラム成果物の、独占所有物である難読化された表記。静的分析スキャンでサポートされている言語について詳しくは、「静的分析のシステム要件」を参照してください。
  • セキュリティーの脆弱性について分析対象となり得ると分析されたご使用のプログラムと一緒にデプロイされたランタイム・スクリプト・ファイル (例えば、.js (Javascript) や .rb (Ruby) ファイル)。
  • アプリケーションまたはプロジェクト階層、およびご使用のプログラムの関係または従属関係について記述した Static Analyzer 設定ファイル。これにより、ご使用のアプリケーション内のプロジェクト境界を越えて、正確かつ完全なセキュリティー分析を行うことが可能になります。
  • アーカイブ (診断およびサポート用) の作成時に生成される Static Analyzer ログ・ファイル。