Welcome
インタラクティブ監視
ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
IAST の配置
IAST エージェントがアプリケーションとの通信を監視し、ASoC にレポートできるように、アプリケーション・サーバーに IAST エージェントをデプロイします。
キーのみのオプションを使用して配置する
エージェントをダウンロードせずに IAST セッションを作成するには、このオプションを使用します。選択すると、トークンのみが生成されます。これは、Azure アプリサービス向け IAST.NET Core Site Extension を使用する場合、またはすでにダウンロードされたエージェントの IAST セッションを作成する場合に便利です。このオプションは、すべての IAST エージェントに適用され、言語をまたいで使用できます。

作業の開始
HCL AppScan on Cloud の資料にようこそ。この資料では、このサービスのインストール、保守、使用に関する情報を参照できます。
ナビゲーション
このセクションでは、AppScan on Cloud のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
インタラクティブ監視
ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
- インタラクティブ監視 (IAST) について
  ASoC は、通常のアプリケーション・ランタイム動作を監視し、脆弱性を検出できます。
- IAST セッションの開始
  アプリケーション・サーバーに IAST エージェントをデプロイし、スキャンを設定します。
- IAST の配置
  IAST エージェントがアプリケーションとの通信を監視し、ASoC にレポートできるように、アプリケーション・サーバーに IAST エージェントをデプロイします。
  - Java IAST エージェントの配置
    Java、.NET、Node.js または PHP ベースのアプリケーションをサポートするアプリケーション・サーバーに IAST エージェントを配置できます。このセクションでは、Web サーバーに Java エージェント・タイプを作成する方法について説明します。
  - .NET IAST エージェントの配置
    Java、.NET、Node.js または PHP ベースのアプリケーションをサポートするアプリケーション・サーバーに IAST エージェントを配置できます。このセクションでは、Web サーバーで .NET エージェント・タイプを作成する方法について説明します。
  - Node.js IAST エージェントのデプロイ
    Java、.NET、Node.js または PHP ベースのアプリケーションをサポートするアプリケーション・サーバーに IAST エージェントを配置できます。このセクションでは、Web サーバーで Node.js エージェントを作成する方法について説明します。
  - PHP IAST エージェントの配置
    Java、.NET、Node.js または PHP ベースのアプリケーションをサポートするアプリケーション・サーバーに IAST エージェントを配置できます。このセクションでは、Web サーバーで PHP エージェント・タイプを作成する方法について説明します。
  - Kubernetes でのデプロイ
    AppScan は、Kubernetes クラスターへの IAST エージェントの自動インストールをサポートしています。MutatingAdmissionWebhook を使用すると、IAST エージェントはすべての開始ポッドに自動的にインストールされます。Helm スクリプトまたは Webhook スクリプトを使用して、エージェントをインストールまたは削除できます。
  - Azure App Service での配置
    IAST エージェントを使用して、Azure App Service で実行されるアプリケーションを監視します。
  - キーのみのオプションを使用して配置する
    エージェントをダウンロードせずに IAST セッションを作成するには、このオプションを使用します。選択すると、トークンのみが生成されます。これは、Azure アプリサービス向け IAST.NET Core Site Extension を使用する場合、またはすでにダウンロードされたエージェントの IAST セッションを作成する場合に便利です。このオプションは、すべての IAST エージェントに適用され、言語をまたいで使用できます。
- IAST エージェントでの OWASP ベンチマーク
- REST API を使用した IAST
  REST API により、エージェントの配置など、IAST スキャンを構成および開始します。
- IAST 構成ファイル
  デフォルトの IAST 設定をオーバーライドして、把握したい脆弱性のみをレポートするように JSON ファイルを構成します。
- ユーザー設定
  一部の低レベルの IAST 動作は、ユーザー・パラメーターを使用して制御できます。
- IAST スキャン結果
  インタラクティブ (IAST) スキャン・エントリーには、前回のスキャンが開始された後の結果が示されます。
- IAST のトラブルシューティング
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。「スキャンとセッション」ページでは、カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
AppScan モデルコンテキスト・プロトコル (MCP) サーバー
AppScan MCP サーバーは、HCL AppScan on Cloud を、AI で動作する開発環境およびエージェントと直接統合します。モデルコンテキスト・プロトコル (MCP) を実装することで、LLM (Claude や VS Code で実行されるモデルなど) が SAST、DAST、SCA、および IAST の結果などのセキュリティーデータに安全にアクセスできるようになり、問題のトリアージ、調査結果の分析、自然言語を使用したワークフローの自動化に役立ちます。
トラブルシューティング
サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
よくある質問および参照
よくある質問、製品ライフサイクル (SDLC) への ASoC の統合に関する情報、および ASoC API 資料。

キーのみのオプションを使用して配置する

エージェントをダウンロードせずに IAST セッションを作成するには、このオプションを使用します。選択すると、トークンのみが生成されます。これは、Azure アプリサービス向け IAST.NET Core Site Extension を使用する場合、またはすでにダウンロードされたエージェントの IAST セッションを作成する場合に便利です。このオプションは、すべての IAST エージェントに適用され、言語をまたいで使用できます。

手順

スキャン用のアプリケーションを作成します (まだ作成していない場合)。
「アプリケーション」ビューで「スキャンの作成」をクリックしてウィザードを開き、「インタラクティブ (IAST)」を選択します。
ドロップダウンメニューから「キーのみ」を選択します。
「キーの生成」をクリックします。これにより、ASoC でアプリケーションを IAST セッションに接続する固有のキーが生成されます。このキーは後で使用するために保存します。
IAST 結果を収集するには、IAST が実行される Web サーバーで次の環境変数を設定します。
```
IAST_ACCESS_TOKEN: [key]
                        IAST_HOST: as shown in the instructions (e.g. https://cloud.appscan.com/IAST)
```
注: これらの環境変数を設定すると、エージェントに組み込まれているすべてのキーおよびホスト情報が上書きされます。これにより、すでにダウンロードしたエージェントで「キーのみ」セッションを使用できます。