メインコンテンツにジャンプ
HCL AppScan 360 ヘルプ
作業の開始
HCL AppScan 360° の資料にようこそ。この資料では、このサービスのインストール、保守、使用に関する情報を参照できます。
HCL AppScan 360° について
HCL AppScan 360° は、アプリケーションのセキュリティー、可視性、リスク管理が統合されたプラットフォームです。場所を問わず、汎用性、拡張性、展開性に優れています。
最新情報 HCL AppScan 360°
HCL AppScan 360° に追加された新機能と、このリリースで非推奨になった機能について説明します。
ロールとワークフロー
さまざまな AppScan 360° ユーザーのさまざまな AppScan 360° タスクとワークフローについて説明します。
サンプル・アプリとスクリプト
以下のサンプル・アプリケーションを使用して、AppScan 360° によるスキャンをお試しください。
インストール
AppScan 360° のアーキテクチャーと製品のインストール方法について説明します。
インストールファイルのロケーション
シングル VM インストール: AppScan 360°
分散インストール: AppScan 360°
ユーザー認証の構成
AppScan 360° シングルサインオン (SSO) または LDAP 認証のいずれかを使用してユーザーを認証します。
ソフトウェアコンポジション分析 (SCA) 脆弱性データベースを更新する
ソフトウェアコンポジション分析 (SCA) 脆弱性データベースには、最も一般的なセキュリティー脆弱性データベース (NVD、Github アドバイザリー、Microsoft MSRC)、広範にわたるあまり知られていないセキュリティーアドバイザリーとオープンソース・プロジェクト問題追跡ツールが含まれます。AppScan 360° ユーザーは、インストール時に SCA 脆弱性データベースの自動更新を有効にしたり、手動更新を構成したりできます。
My HCLSoftware での AppScan 360° のデプロイメントの管理
AppScan 360° ライセンスは、My HCL Software (MHS) ポータルを使用して管理されます。MHS でライセンス・デプロイメントを作成し、ライセンス使用権を指定してライセンス・ファイルを MHS からダウンロードし、AppScan 360° にそのファイルをアップロードします。
AppScan 360° を初めて開く
AppScan 360° プラットフォームのアップグレードまたは更新
アンインストール AppScan 360°
トラブルシューティング
ナビゲーション
このセクションでは、AppScan 360° のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
ホーム
「ホーム」ページには、関連付けられたアセットグループとアプリケーション、および割り当てられたアセットグループ内にある最新のアプリケーションとスキャンが表示されます。「ホーム」ページでは、最新のアプリケーションまたはスキャンのいずれかを選択したり、「アプリケーション」ページおよび「スキャンとセッション」ページですべてのアプリケーションとすべてのスキャンをそれぞれ表示したりできます。「新規機能」セクションには、AppScan 360° の最新の更新が表示されます。
すべてのアプリケーション
「アプリケーション」ページには、組織で自分が割り当てられている資産グループ内にあるすべてのアプリケーションがリストされます。「アプリケーション」ページでは、新しいアプリケーションを作成し、個々のアプリケーション・ページを開くことができます。
スキャンおよびセッション
このビューには、すべてのアプリケーション内のすべてのスキャンおよびセッションがリストされます。
オープン・ソース・ライブラリー
アプリケーションに関連付けられているオープン・ソース・ライブラリーを検索、レビューおよびアクションを起こします。
ダッシュボード
メイン・ダッシュボードは、メイン・メニュー・バーの 4 番目の項目です。アクティブな問題、MTTR の問題、アプリケーション、およびスキャンの詳細な概要をグラフとチャートで表示し、アプリケーションの全体的な状態を表示します。
組織
組織は、ポリシー、ドメイン、設定、サブスクリプション、監査証跡を管理するための重要なハブです。すべての管理と整理を行います。
システム状況
AppScan 360° のコンポーネントと依存関係の可用性と状況を監視します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
ユーザー
ユーザー管理により、重要なアプリケーションを資産グループに割り当てて特定のユーザーをそうしたグループに追加することで、そのようなアプリケーションへのアクセスを制御することができます。
アプリケーション
アプリケーションは、同じプロジェクトに関連するスキャンのコレクションです。Web サイト、デスクトップ・アプリ、モバイル・アプリ、Web サービス、アプリの任意のコンポーネントなどが対象になる可能性があります。「アプリケーション」では、リスクを評価したり、傾向を把握したり、プロジェクトが業界や組織のポリシーに準拠していることを確認したりできます。
コンプライアンス・ポリシー
事前定義されたコンプライアンス・ポリシーや独自のカスタム・コンプライアンス・ポリシーを適用して、自分に関連する問題のデータのみを表示できます。
DevOps
ソフトウェア開発ライフサイクルの AppScan 360° の組み込み用ツール。
電子メール通知
電子メール通知を使用して、スキャンの進捗状況、結果、追加された新しい CVE およびその他の AppScan イベントに関する事前通知を通知します。このトピックでは、通知設定の構成、アセットグループ、アプリケーションとトリガーの選択、および配信オプションの管理方法について説明します。
個人スキャン
個人スキャンは、アプリケーション全体のスキャン・データ (問題など) やコンプライアンスに影響を与えることなく、開発中のアプリケーションの相対的なセキュリティーを評価する方法です。
スキャン状況
監査証跡
監査証跡 (「組織」 > 「監査証跡」) は、ユーザー・アクティビティを記録します。
動的分析
HCL AppScan 360° は、実動環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。
動的分析 (DAST) について
AppScan 360° の動的 (DAST) スキャンは、次の 2 つのステージで構成されています。探査およびテスト。スキャン・プロセスのほとんどはユーザーにとってシームレスで、スキャンが完了するまで入力は必要ありませんが、動的スキャンの仕組みを把握すると、開発プロセスにおけるスキャンの役割の理解を深めることができます。
動的スキャン (DAST)
AppScan 360° ブラウザーまたは Web API で実行されるアプリケーションの動的分析を実行できます。AppScan 360° の Web アプリケーションまたは Web API で利用可能な設定オプションを使用するか、AppScan Standard の設定 (テンプレート・ファイル) またはフル・スキャン・ファイルをアップロードします。
AppScan Presence によるプライベートサイトのスキャン
AppScan Presence また隔離されたネットワークセグメント上では、内部ファイアウォール、VLAN 分離、または制限された組織のネットワークポリシーにより、AppScan 360° から直接アクセスできないサイトをスキャンできます。社内の機能テストワークフローの一部として、このスキャンを組み込むことができます。
トラフィックの記録
トラフィックは、AppScan Activity Recorder ブラウザー拡張機能 (Chrome または Edge 用)、HCL AppScan Traffic Recorder プロキシー・サーバー、または AppScan Standard を使用して、DAST スキャンの記録された探査データとして記録できます。
HCL AppScan Traffic Recorder
HCL AppScan Traffic Recorder (DAST プロキシー) では、トラフィックを記録して探査データとして使用できます。要求に応じてトラフィック・レコーダー・インスタンスを作成して、後で DAST スキャンに使用されるトラフィックを記録できます。
IAST 合計
IAST 合計 (Interactive Application Security Testing) は、IAST 機能を活用して動的分析 (DAST) スキャンを強化し、スキャン時間と修復時間を改善しながら、幅広い脆弱性を明らかにします。
AppScan Standard
プライベート・サイト
分離されたネットワークセグメント上の AppScan Presence を使用することで、のAppScan 360° サーバーからアクセスできないサイトをスキャンできます。
動的分析のトラブルシューティング
インタラクティブ監視
AppScan 360° は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
インタラクティブ監視 (IAST) について
AppScan 360° は、通常のアプリケーション・ランタイム動作を監視し、脆弱性を検出できます。
IAST セッションの開始
アプリケーション・サーバーに IAST エージェントをデプロイし、スキャンを設定します。
IAST の配置
IAST エージェントがアプリケーションとの通信を監視し、AppScan 360° にレポートできるように、アプリケーション・サーバーに IAST エージェントをデプロイします。
Kubernetes でのデプロイ
AppScan は、Kubernetes クラスターへの IAST エージェントの自動インストールをサポートしています。MutatingAdmissionWebhook を使用すると、IAST エージェントはすべての開始ポッドに自動的にインストールされます。Helm スクリプトまたは Webhook スクリプトを使用して、エージェントをインストールまたは削除できます。
Azure App Service での配置
IAST エージェントを使用して、Azure App Service で実行されるアプリケーションを監視します。
IAST エージェントでの OWASP ベンチマーク
REST API を使用した IAST
REST API により、エージェントの配置など、IAST スキャンを構成および開始します。
IAST 構成ファイル
デフォルトの IAST 設定をオーバーライドして、把握したい脆弱性のみをレポートするように JSON ファイルを構成します。
ユーザー設定
一部の低レベルの IAST 動作は、ユーザー・パラメーターを使用して制御できます。
IAST スキャン結果
インタラクティブ (IAST) スキャン・エントリーには、前回のスキャンが開始された後の結果が示されます。
IAST のトラブルシューティング
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
ソフトウェア・コンポジション分析について
ソフトウェア・コンポジション分析 (SCA) は、コードベース内のオープン・ソース・パッケージを特定して調査し、潜在的なセキュリティーの脆弱性を検出します。SCA は、個々のソース・コード・ファイルと、構成ファイルやロックファイルなどのパッケージ・マネージャーのアーティファクトの両方を分析することによって、プロジェクトが依存するオープン・ソース・パッケージを決定できます。
SCA に対するシステム要件
オープン・ソース・テストを実行する場合に、AppScan 360° でスキャン可能なファイルのタイプ。
ライブラリおよびサードパーティ・コードにおけるセキュリティ脆弱性のスキャン
オープンソース・ライブラリおよびサードパーティ・コードでセキュリティの脆弱性をスキャンするには、次のトピックの手順に従います。
SCA スキャン結果
SCA スキャン結果で使用できる機能。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析のシステム要件
サポートされているオペレーティング・システムと、静的分析を実行する場合に AppScan 360° でスキャンできるファイルのタイプ、場所、プロジェクト。
セキュリティーの脆弱性のスキャン
セキュリティーの脆弱性がないかソース・コードをスキャンするには、これらのトピックで説明する手順に従ってください。
静的分析のトラブルシューティング
静的分析に関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。「スキャンとセッション」ページでは、カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
サンプルのセキュリティー・レポート
アプリケーション・レポート
スキャン・データ
問題
アプリケーションの「問題」ページには、デフォルトで非準拠の問題のみが表示されます。さまざまなフィルターを適用して必要な問題を確認し、問題をクリックして詳細な問題情報ペインを開くことができます。
相関
AppScan は、IAST、DAST、および SAST によって検出された問題を分析して、一度の修復作業または総合的な修復作業で複数の脆弱性を解決できる、コード内の共通の脆弱なリンク (相関) を特定します。
修正グループ
修正グループは現在、静的分析スキャンで検出された問題にのみ適用されます。
レポート
アプリケーションで検出された問題のレポートを生成します。送信するレポートを、開発者、社内監査者、侵入テスト担当者、マネージャー、CISO に送信します。セキュリティー情報は広範囲にわたる場合がありますが、必要に応じてフィルタリングできます。
修復
お客様のセキュリティー・チームは、リスクの判別と脆弱性の優先順位付けを行った後、修復プロセスを開始できます。
HCL AppScan RapidFix 統合
HCL AppScan RapidFix は、アプリケーションセキュリティーの脆弱性に対するトリアージと修復プロセスを自動化する AI 主導のソリューションです。HCL AppScan RapidFix は SAST 結果に適用されます。
再スキャン
最初のスキャンの後で問題を修正したら、再び同じアプリケーションを複数回スキャンすると前の結果を上書きできるため、ダッシュボードには常に最新の結果が表示されます。(新規のスキャンを開始せずに) 再スキャンを行うと、再スキャンにより前のスキャンは上書きされます。
IAST スキャン結果
インタラクティブ (IAST) スキャン・エントリーには、前回のスキャンが開始された後の結果が示されます。
AppScan モデルコンテキスト・プロトコル (MCP) サーバー
AppScan MCP サーバーは、HCL AppScan 360° を、AI で動作する開発環境およびエージェントと直接統合します。モデルコンテキスト・プロトコル (MCP) を実装することで、LLM (Claude や VS Code で実行されるモデルなど) が SAST、DAST、SCA、および IAST の結果などのセキュリティーデータに安全にアクセスできるようになり、問題のトリアージ、調査結果の分析、自然言語を使用したワークフローの自動化に役立ちます。
参照
よくある質問、および製品ライフサイクル (SDLC) への AppScan 360° の統合に関する情報。
連絡先およびサポート
人材およびオンライン・リソースへの便利なリンク。
よくある質問
よくある質問について説明します。
脅威クラスと CWE
AppScan 360° でテスト済みの問題の脅威クラスとそのクラスに関連する CWE 番号を記載したテーブル。
CSV 形式
このセクションでは、応答データを CSV 形式で保存する方法について説明します。
米国政府の規制の準拠
米国政府のセキュリティーおよび情報技術規制へのコンプライアンスは、HCL® がその製品を業界で最も安全にするために取り組んでいることを全世界の見込み客に証明するものです。
特記事項
ライセンス交付