ホーム
動的分析
HCL AppScan 360° は、実動環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。
動的スキャン (DAST)
AppScan 360° ブラウザーまたは Web API で実行されるアプリケーションの動的分析を実行できます。AppScan 360° の Web アプリケーションまたは Web API で利用可能な設定オプションを使用するか、AppScan Standard の設定 (テンプレート・ファイル) またはフル・スキャン・ファイルをアップロードします。
API スキャンの作成
AppScan 360° Web API をスキャンするためのさまざまなワークフローをサポートしています。Web API の Postman コレクション、OpenAPI 仕様ファイルまたは記録されたトラフィックがある場合、それをインポートして、API スキャン設定を使用したスキャンの基礎として使用できます。または、Postman コレクション・ファイルまたは OpenAPI 仕様ファイルを REST API で使用することもできます。
OpenAPI 仕様ファイルの使用
OpenAPI 仕様ファイルを使用して、API を自動的にスキャンできます。これによって、より完全で正確なスキャンが確立され、API 全体にわたって潜在的な問題を検出できます。

作業の開始
HCL AppScan 360° の資料にようこそ。この資料では、このサービスのインストール、保守、使用に関する情報を参照できます。
インストール
AppScan 360° のアーキテクチャーと製品のインストール方法について説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
ナビゲーション
このセクションでは、AppScan 360° のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
動的分析
HCL AppScan 360° は、実動環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。
- 動的分析 (DAST) について
  AppScan 360° の動的 (DAST) スキャンは、次の 2 つのステージで構成されています。探査およびテスト。スキャン・プロセスのほとんどはユーザーにとってシームレスで、スキャンが完了するまで入力は必要ありませんが、動的スキャンの仕組みを把握すると、開発プロセスにおけるスキャンの役割の理解を深めることができます。
- 動的スキャン (DAST)
  AppScan 360° ブラウザーまたは Web API で実行されるアプリケーションの動的分析を実行できます。AppScan 360° の Web アプリケーションまたは Web API で利用可能な設定オプションを使用するか、AppScan Standard の設定 (テンプレート・ファイル) またはフル・スキャン・ファイルをアップロードします。
  - Web アプリケーション・スキャンを作成する
    スキャンの開始 URL とユーザー資格情報を入力し、サイトのタイプを選択します。また、サイトをスキャンする権限があるかどうかをまだ確認していない場合は、それを確認します。
  - API スキャンの作成
    AppScan 360° Web API をスキャンするためのさまざまなワークフローをサポートしています。Web API の Postman コレクション、OpenAPI 仕様ファイルまたは記録されたトラフィックがある場合、それをインポートして、API スキャン設定を使用したスキャンの基礎として使用できます。または、Postman コレクション・ファイルまたは OpenAPI 仕様ファイルを REST API で使用することもできます。
    - Postman コレクションの使用
      Web API への要求の Postman コレクションがある場合は、それをインポートし、API スキャン設定ウィザードまたは REST API を使用して、スキャンの基礎として使用できます。
    - OpenAPI 仕様ファイルの使用
      OpenAPI 仕様ファイルを使用して、API を自動的にスキャンできます。これによって、より完全で正確なスキャンが確立され、API 全体にわたって潜在的な問題を検出できます。
    - 記録されたトラフィックの使用
      Web API への要求の記録されたトラフィックがある場合は、それをインポートして、スキャンの基礎として使用できます。たとえば、Postman コレクションの一部ではない API エンドポイントがある場合、または API 機能自動化がある場合、API 自動化が実行されたときにトラフィックを記録し、それを AppScan に入力してセキュリティー・テストを行うことができます。
  - テンプレートからスキャンを作成する
    独自の AppScan Standard テンプレート (SCANT) ファイルをアップロードして、AppScan 360° スキャンを実行できます。
  - スキャン・ファイルからスキャンを作成する
    独自の AppScan Standard スキャン (SCAN) ファイルをアップロードして、AppScan 360° スキャンを実行できます。
  - 増分スキャンの作成
  - テスト・ポリシー
    テスト・ポリシーとは、Web アプリケーションのセキュリティー・スキャン設定のリストのことです。ASoC ユーザー・インターフェースからスキャンを実行するときは、定義済みのテスト・ポリシーから 1 つを選択できますが、インポートされたスキャンまたは API から実行されるスキャンには、ほかのポリシーを適用できます。AppScan Standard と AppScan Enterprise で作成したカスタム・テスト・ポリシーをアップロードすることもできます。
  - テストの最適化
    テストの最適化では、インテリジェントなテスト・フィルタリングを使用して、問題範囲の損失を最小限に抑えながら、より高速なスキャンを実現します。速度を考慮事項とする場合は、4 つの最適化レベルから選択します。
  - テスト自動化
    動的スキャンを機能テストに組み込みます。
  - クライアント証明書
- トラフィックの記録
  トラフィックは、AppScan Activity Recorder ブラウザー拡張機能 (Chrome または Edge 用)、HCL AppScan Traffic Recorder プロキシー・サーバー、または AppScan Standard を使用して、DAST スキャンの探査データとして記録できます。
- HCL AppScan Traffic Recorder
  HCL AppScan Traffic Recorder (DAST プロキシー) では、トラフィックを記録して探査データとして使用できます。要求に応じてトラフィック・レコーダー・インスタンスを作成して、後で DAST スキャンに使用されるトラフィックを記録できます。
- AppScan Standard
- 動的分析のトラブルシューティング
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
結果
[スキャンとセッション] ページでは、カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
参照
よくある質問、および製品ライフサイクル (SDLC) への AppScan 360° の統合に関する情報。

OpenAPI 仕様ファイルを使用した API スキャンの作成

OpenAPI 仕様ファイルを使用して、API を自動的にスキャンできます。これによって、より完全で正確なスキャンが確立され、API 全体にわたって潜在的な問題を検出できます。

始める前に

スキャンする前にサイトをバックアップします。
スキャン用のアプリケーションを作成します (まだ作成していない場合)。
実稼働中のサイトをスキャンする場合は、最初に次を参照してください。ライブ実動サイトをスキャンするときに、どのような変更を行う必要がありますか?

手順

「アプリケーション」ページで「スキャンの作成」をクリックし、「DAST 動的分析」で「スキャンの作成」をクリックします。
「スキャンの作成」で、次の操作を行います。「DAST」ダイアログで、「API スキャン」を選択して構成プロセスを開始します。
API 探査方法の「OpenAPI」を選択します。
仕様ファイルを URL として追加することも、ファイルをアップロードすることもできます。
1. 「URL」を選択し、「OpenAPI URL」フィールドに URL を入力します。
2. 「ファイル」を選択し、「OpenAPI 仕様ファイルの選択」をクリックして、ローカル・ドライブからファイルを選択し、「開く」をクリックします。
  
  注: AppScan は、仕様ファイルの JSON または YAML 形式のみを受け入れます。
「ベース URL」フィールドに、検証済みまたは許可されたドメインを入力します。
認証、テスト・ポリシー、その他の詳細設定など、必要に応じてその他のスキャン・オプションを設定します。詳しくは、「API スキャンの作成」を参照してください。
「スキャン」をクリックしてスキャンを実行し、Web API の脆弱性を検出します。

次のタスク

「スキャンおよびセッション」ページでスキャンの状況を表示できます。