Welcome
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
IAST 合計
IAST 合計 (Interactive Application Security Testing) は、IAST 機能を活用して動的分析 (DAST) スキャンを強化し、スキャン時間と修復時間を改善しながら、幅広い脆弱性を明らかにします。

作業の開始
HCL AppScan on Cloud の資料にようこそ。この資料では、このサービスのインストール、保守、使用に関する情報を参照できます。
ナビゲーション
このセクションでは、AppScan on Cloud のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
- 動的分析 (DAST) について
  ASoC の動的 (DAST) スキャンは、次の 2 つのステージで構成されています。探査およびテスト。スキャン・プロセスのほとんどはユーザーにとってシームレスで、スキャンが完了するまで入力は必要ありませんが、動的スキャンの仕組みを把握すると、開発プロセスにおけるスキャンの役割の理解を深めることができます。
- 動的スキャン (DAST)
  ASoC ブラウザーまたは Web API で実行されるアプリケーションの動的分析を実行できます。ASoC の Web アプリケーションまたは Web API で利用可能な設定オプションを使用するか、AppScan Standard の設定 (テンプレート・ファイル) またはフル・スキャン・ファイルをアップロードします。
- AppScan Presence
  サーバーで AppScan Presence を使用すると、インターネットからアクセスできないサイトをスキャンしたり、機能テストの一環としてスキャンを組み込んだりできます。
- トラフィックの記録
  トラフィックは、AppScan Activity Recorder ブラウザー拡張機能 (Chrome または Edge 用)、HCL AppScan Traffic Recorder プロキシー・サーバー、または AppScan Standard を使用して、DAST スキャンの記録された探査データとして記録できます。
- HCL AppScan Traffic Recorder
  HCL AppScan Traffic Recorder (DAST プロキシー) では、トラフィックを記録して探査データとして使用できます。要求に応じてトラフィック・レコーダー・インスタンスを作成して、後で DAST スキャンに使用されるトラフィックを記録できます。
- IAST 合計
  IAST 合計 (Interactive Application Security Testing) は、IAST 機能を活用して動的分析 (DAST) スキャンを強化し、スキャン時間と修復時間を改善しながら、幅広い脆弱性を明らかにします。
- AppScan Standard
- プライベート・サイト
  サーバー上の AppScan Presence を使用することで、インターネットからアクセスできないサイトをスキャンできます。
インタラクティブ監視
ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。「スキャンとセッション」ページでは、カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
トラブルシューティング
サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
よくある質問および参照
よくある質問、製品ライフサイクル (SDLC) への ASoC の統合に関する情報、および ASoC API 資料。

IAST 合計

IAST 合計 (Interactive Application Security Testing) は、IAST 機能を活用して動的分析 (DAST) スキャンを強化し、スキャン時間と修復時間を改善しながら、幅広い脆弱性を明らかにします。

IAST 合計を使用する利点は何ですか?

全体スキャン: IAST 合計は従来の DAST スキャンを超えるため、より正確に脆弱性を特定するためのより詳細な分析を提供します。
強化された自動構成: このソリューションは、オペレーティング・システム、フレームワーク、プラットフォーム、サーバーなどの重要な情報を特定し、自動構成の改善に貢献できるようになりました。
スキャンおよび修復時間の改善: IAST 合計を統合することで、スキャンと修復のプロセスが高速化され、セキュリティー評価の全体的な効率が向上します。
コール・スタックの詳細情報: IAST 合計は、検出された脆弱性に関する詳細なコール・スタックを提供することで、検出結果をより詳細に把握し、正確な理解と効率的な修復を支援します。
アプリケーション・バックエンドに関する深い洞察: アプリケーションのバックエンドと使用されるコンポーネントをより詳細に把握できるため、潜在的なセキュリティー・リスクをより包括的に把握できます。

詳しくは、ブログを参照してください。

IAST 合計を使用して DAST スキャンを有効にする方法を教えてください。

デフォルトでは、アクティブな IAST サブスクリプションと IAST エージェントがアプリケーション・サーバーにデプロイされている場合、DAST スキャンは IAST 合計で有効になります。

コール・スタック情報の表示方法

IAST 合計には、検出された脆弱性に関する詳細なコール・スタック情報が提供されます (該当する場合)。この情報は「問題の詳細」タブの「IAST コール・スタック」セクションで確認できます。