メインコンテンツにジャンプ
HCL AppScan 360 ヘルプ
作業の開始
HCL AppScan 360° の資料にようこそ。この資料では、このサービスのインストール、保守、使用に関する情報を参照できます。
HCL AppScan 360° について
HCL AppScan 360° は、アプリケーションのセキュリティー、可視性、リスク管理が統合されたプラットフォームです。場所を問わず、汎用性、拡張性、展開性に優れています。
最新情報 HCL AppScan 360°
HCL AppScan 360° に追加された新機能と、このリリースで非推奨になった機能について説明します。
ロールとワークフロー
さまざまな AppScan 360° ユーザーのさまざまな AppScan 360° タスクとワークフローについて説明します。
・ライセンス管理
「サブスクリプション」ビューには、組織のすべてのライセンスが含まれます。
サンプル・アプリとスクリプト
以下のサンプル・アプリケーションを使用して、AppScan 360° によるスキャンをお試しください。
連絡先およびサポート
人材およびオンライン・リソースへの便利なリンク。
米国政府の規制の準拠
米国政府のセキュリティーおよび情報技術規制へのコンプライアンスは、HCL® がその製品を業界で最も安全にするために取り組んでいることを全世界の見込み客に証明するものです。
ライセンス交付
インストール
AppScan 360° のアーキテクチャーと製品のインストール方法について説明します。
シングル VM インストール: AppScan 360°
分散インストール: AppScan 360°
AppScan 360° の使用
AppScan 360° プラットフォームのアップグレードまたは更新
アンインストール AppScan 360°
トラブルシューティング
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
ユーザー
ユーザー管理により、重要なアプリケーションを資産グループに割り当てて特定のユーザーをそうしたグループに追加することで、そのようなアプリケーションへのアクセスを制御することができます。
アプリケーション
アプリケーションは、同じプロジェクトに関連するスキャンのコレクションです。Web サイト、デスクトップ・アプリ、モバイル・アプリ、Web サービス、アプリの任意のコンポーネントなどが対象になる可能性があります。「アプリケーション」では、リスクを評価したり、傾向を把握したり、プロジェクトが業界や組織のポリシーに準拠していることを確認したりできます。
コンプライアンス・ポリシー
事前定義されたコンプライアンス・ポリシーや独自のカスタム・コンプライアンス・ポリシーを適用して、自分に関連する問題のデータのみを表示できます。
DevOps
ソフトウェア開発ライフサイクルの AppScan 360° の組み込み用ツール。
個人スキャン
個人スキャンは、アプリケーション全体のスキャン・データ (問題など) やコンプライアンスに影響を与えることなく、開発中のアプリケーションの相対的なセキュリティーを評価する方法です。
スキャン状況
監査証跡
監査証跡 (「組織」 > 「監査証跡」) は、ユーザー・アクティビティを記録します。
ナビゲーション
このセクションでは、AppScan 360° のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
すべてのアプリケーション
「アプリケーション」ページには、組織で自分が割り当てられている資産グループ内にあるすべてのアプリケーションがリストされます。「アプリケーション」ページでは、新しいアプリケーションを作成し、個々のアプリケーション・ページを開くことができます。
スキャンおよびセッション
このビューには、すべてのアプリケーション内のすべてのスキャンおよびセッションがリストされます。
オープン・ソース・ライブラリー
アプリケーションに関連付けられているオープン・ソース・ライブラリーを検索、レビューおよびアクションを起こします。
ダッシュボード
メイン・ダッシュボードは、メイン・メニュー・バーの 4 番目の項目です。アクティブな問題、MTTR の問題、アプリケーション、およびスキャンの詳細な概要をグラフとチャートで表示し、アプリケーションの全体的な状態を表示します。
組織
組織は、ポリシー、ドメイン、設定、サブスクリプション、監査証跡を管理するための重要なハブです。すべての管理と整理を行います。
動的分析
HCL AppScan 360° は、実動環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。
動的分析 (DAST) について
AppScan 360° の動的 (DAST) スキャンは、次の 2 つのステージで構成されています。探査およびテスト。スキャン・プロセスのほとんどはユーザーにとってシームレスで、スキャンが完了するまで入力は必要ありませんが、動的スキャンの仕組みを把握すると、開発プロセスにおけるスキャンの役割の理解を深めることができます。
動的スキャン (DAST)
AppScan 360° ブラウザーまたは Web API で実行されるアプリケーションの動的分析を実行できます。AppScan 360° の Web アプリケーションまたは Web API で利用可能な設定オプションを使用するか、AppScan Standard の設定 (テンプレート・ファイル) またはフル・スキャン・ファイルをアップロードします。
トラフィックの記録
トラフィックは、AppScan Activity Recorder ブラウザー拡張機能 (Chrome または Edge 用)、HCL AppScan Traffic Recorder プロキシー・サーバー、または AppScan Standard を使用して、DAST スキャンの記録された探査データとして記録できます。
HCL AppScan Traffic Recorder
HCL AppScan Traffic Recorder (DAST プロキシー) では、トラフィックを記録して探査データとして使用できます。要求に応じてトラフィック・レコーダー・インスタンスを作成して、後で DAST スキャンに使用されるトラフィックを記録できます。
AppScan Standard
動的分析のトラブルシューティング
インタラクティブ監視
AppScan 360° は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
インタラクティブ監視 (IAST) について
AppScan 360° は、通常のアプリケーション・ランタイム動作を監視し、脆弱性を検出できます。
IAST セッションの開始
アプリケーション・サーバーに IAST エージェントをデプロイし、スキャンを設定します。
IAST エージェントのデプロイ
IAST エージェントがアプリケーションとの通信を監視し、AppScan 360° にレポートできるように、アプリケーション・サーバーに IAST エージェントをデプロイします。
Kubernetes でのデプロイ
AppScan は、Kubernetes クラスターへの IAST エージェントの自動インストールをサポートしています。MutatingAdmissionWebhook を使用すると、IAST エージェントはすべての開始ポッドに自動的にインストールされます。
Azure App Service での配置
IAST エージェントを使用して、Azure App Service で実行されるアプリケーションを監視します。
IAST エージェントでの OWASP ベンチマーク
REST API を使用した IAST
REST API により、エージェントの配置など、IAST スキャンを構成および開始します。
IAST 構成ファイル
デフォルトの IAST 設定をオーバーライドして、把握したい脆弱性のみをレポートするように JSON ファイルを構成します。
ユーザー設定
一部の低レベルの IAST 動作は、ユーザー・パラメーターを使用して制御できます。
IAST スキャン結果
インタラクティブ (IAST) スキャン・エントリーには、前回のスキャンが開始された後の結果が示されます。
IAST のトラブルシューティング
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
ソフトウェア・コンポジション分析について
ソフトウェア・コンポジション分析 (SCA) は、コードベース内のオープン・ソース・パッケージを特定して調査し、潜在的なセキュリティーの脆弱性を検出します。SCA は、個々のソース・コード・ファイルと、構成ファイルやロックファイルなどのパッケージ・マネージャーのアーティファクトの両方を分析することによって、プロジェクトが依存するオープン・ソース・パッケージを決定できます。
SCA に対するシステム要件
オープン・ソース・テストを実行する場合に、AppScan 360° でスキャン可能なファイルのタイプ。
ライブラリおよびサードパーティ・コードにおけるセキュリティ脆弱性のスキャン
オープンソース・ライブラリおよびサードパーティ・コードでセキュリティの脆弱性をスキャンするには、次のトピックの手順に従います。
SCA スキャン結果
SCA スキャン結果で使用できる機能。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析のシステム要件
サポートされているオペレーティング・システムと、静的分析を実行する場合に AppScan 360° でスキャンできるファイルのタイプ、場所、プロジェクト。
セキュリティーの脆弱性のスキャン
セキュリティーの脆弱性がないかソース・コードをスキャンするには、これらのトピックで説明する手順に従ってください。
静的分析のトラブルシューティング
静的分析に関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。「スキャンとセッション」ページでは、カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
サンプルのセキュリティー・レポート
アプリケーション・レポート
スキャン・データ
問題
アプリケーションの「問題」ページには、デフォルトで非準拠の問題のみが表示されます。さまざまなフィルターを適用して必要な問題を確認し、問題をクリックして詳細な問題情報ペインを開くことができます。
修正グループ
修正グループは現在、静的分析スキャンで検出された問題にのみ適用されます。
レポート
アプリケーションで検出された問題のレポートを生成します。送信するレポートを、開発者、社内監査者、侵入テスト担当者、マネージャー、CISO に送信します。セキュリティー情報は広範囲にわたる場合がありますが、必要に応じてフィルタリングできます。
修復
お客様のセキュリティー・チームは、リスクの判別と脆弱性の優先順位付けを行った後、修復プロセスを開始できます。
再スキャン
最初のスキャンの後で問題を修正したら、再び同じアプリケーションを複数回スキャンすると前の結果を上書きできるため、ダッシュボードには常に最新の結果が表示されます。(新規のスキャンを開始せずに) 再スキャンを行うと、再スキャンにより前のスキャンは上書きされます。
参照
よくある質問、および製品ライフサイクル (SDLC) への AppScan 360° の統合に関する情報。
よくある質問
よくある質問について説明します。
脅威クラスと CWE
AppScan 360° でテスト済みの問題の脅威クラスとそのクラスに関連する CWE 番号を記載したテーブル。
CSV 形式
このセクションでは、応答データを CSV 形式で保存する方法について説明します。
特記事項