Welcome
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
動的スキャン (DAST)
ASoC ブラウザーまたは Web API で実行されるアプリケーションの動的分析を実行できます。ASoC の Web アプリケーションまたは Web API で利用可能な設定オプションを使用するか、AppScan Standard の設定 (テンプレート・ファイル) またはフル・スキャン・ファイルをアップロードします。

作業の開始
HCL AppScan on Cloud の資料にようこそ。この資料では、このサービスのインストール、保守、使用に関する情報を参照できます。
ナビゲーション
このセクションでは、AppScan on Cloud のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
- 動的分析 (DAST) について
  ASoC の動的 (DAST) スキャンは、次の 2 つのステージで構成されています。探査およびテスト。スキャン・プロセスのほとんどはユーザーにとってシームレスで、スキャンが完了するまで入力は必要ありませんが、動的スキャンの仕組みを把握すると、開発プロセスにおけるスキャンの役割の理解を深めることができます。
- 動的スキャン (DAST)
  ASoC ブラウザーまたは Web API で実行されるアプリケーションの動的分析を実行できます。ASoC の Web アプリケーションまたは Web API で利用可能な設定オプションを使用するか、AppScan Standard の設定 (テンプレート・ファイル) またはフル・スキャン・ファイルをアップロードします。
  - Web アプリケーション・スキャンを作成する
    スキャンの開始 URL とユーザー資格情報を入力し、サイトのタイプを選択します。また、サイトをスキャンする権限があるかどうかをまだ確認していない場合は、それを確認します。
  - LLM スキャンの作成
    プロバイダー・アクセスの構成、代表的な LLM シーケンスのキャプチャー、必要な機能の有効化、制御されたテスト環境でのスキャンの実行を行います。
  - API スキャンの作成
    ASoC Web API をスキャンするためのさまざまなワークフローをサポートしています。Web API の Postman コレクション、OpenAPI 仕様ファイルまたは記録されたトラフィックがある場合、それをインポートして、API スキャン設定を使用したスキャンの基礎として使用できます。または、Postman コレクション・ファイルまたは OpenAPI 仕様ファイルを REST API で使用することもできます。
  - テンプレートからスキャンを作成する
    独自の AppScan Standard テンプレート (SCANT) ファイルをアップロードしたり、アプリケーションに関連付けられた保存済みテンプレートを使用して ASoC スキャンを実行したりできます。
  - スキャン・ファイルからスキャンを作成する
    独自の AppScan Standard スキャン (SCAN) ファイルをアップロードして、ASoC スキャンを実行できます。
  - 増分スキャンの作成
  - スキャンの再開
    スキャン自体に直接関連しない外部の問題が原因でスキャンが失敗したり、一部しか完了しなかったりした場合は、スキャン中のサーバーダウン障害など、外部の問題を解決した後でスキャンを再開できます。
  - テスト自動化
    動的スキャンを機能テストに組み込みます。
  - クライアント証明書
  - Intelligent Findings Analytics (IFA)
    Intelligent Finding Analytics (IFA) は、人工知能 (AI) と機械学習 (ML) を使用してデータを分析し、パターンを発見し、予測を行い、最終的にデータを実用的な洞察に変換します。IFA では、高度な方法を使用してより深い意味を見つけ、よりスマートな意思決定を行うことで、通常のデータ分析にとどまらない結果を出しています。
- AppScan Presence
  AppScan Presence をサーバーで使用すると、インターネットからアクセスできないサイトをスキャンし、機能テストの一部として、このスキャンを組み込むことができます。
- トラフィックの記録
  トラフィックは、AppScan Activity Recorder ブラウザー拡張機能 (Chrome または Edge 用)、HCL AppScan Traffic Recorder プロキシー・サーバー、または AppScan Standard を使用して、DAST スキャンの記録された探査データとして記録できます。
- HCL AppScan Traffic Recorder
  HCL AppScan Traffic Recorder (DAST プロキシー) では、トラフィックを記録して探査データとして使用できます。要求に応じてトラフィック・レコーダー・インスタンスを作成して、後で DAST スキャンに使用されるトラフィックを記録できます。
- IAST 合計
  IAST 合計 (Interactive Application Security Testing) は、IAST 機能を活用して動的分析 (DAST) スキャンを強化し、スキャン時間と修復時間を改善しながら、幅広い脆弱性を明らかにします。
- AppScan Standard
- プライベート・サイト
  サーバーの上の AppScan Presence を使用することで、インターネットのからアクセスできないサイトをスキャンできます。
インタラクティブ監視
ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。「スキャンとセッション」ページでは、カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
AppScan モデルコンテキスト・プロトコル (MCP) サーバー
AppScan MCP サーバーは、HCL AppScan on Cloud を、AI で動作する開発環境およびエージェントと直接統合します。モデルコンテキスト・プロトコル (MCP) を実装することで、LLM (Claude や VS Code で実行されるモデルなど) が SAST、DAST、SCA、および IAST の結果などのセキュリティーデータに安全にアクセスできるようになり、問題のトリアージ、調査結果の分析、自然言語を使用したワークフローの自動化に役立ちます。
トラブルシューティング
サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
よくある質問および参照
よくある質問、製品ライフサイクル (SDLC) への ASoC の統合に関する情報、および ASoC API 資料。

動的スキャン (DAST)

ASoC ブラウザーまたは Web API で実行されるアプリケーションの動的分析を実行できます。ASoC の Web アプリケーションまたは Web API で利用可能な設定オプションを使用するか、AppScan Standard の設定 (テンプレート・ファイル) またはフル・スキャン・ファイルをアップロードします。

DAST スキャンウィザードでは、次のメソッドが提供されています。


オプション	説明
スキャン・メソッドの選択
Web アプリケーションのスキャン	ウィザード・オプションを使用して ASoC でスキャンを設定して実行します。必要に応じて、ログイン手順の記録をアップロードします。トラフィック・ファイル (DAST.CONFIG) をアップロードして、アプリケーションの特定の部分が確実にカバーされるようにします。 Web アプリケーション・スキャンを作成する
API スキャン	ウィザード・オプションを使用して ASoC でスキャンを設定して実行します。 API スキャンの作成 Postman コレクションのアップロード記録されたトラフィック・ファイル (DAST.CONFIG) のアップロード
ファイルからスキャン
保存済みテンプレート	保存済みの AppScan Standard テンプレート (SCANT) ファイルがある場合は、そのファイルを ASoC スキャンの構成として使用できます。必要に応じてスキャン構成を編集できます。これにより、AppScan Standard で使用可能なすべての構成オプションを利用できます。AppScan Standard テンプレートには、ログイン記録とマルチステップ構成も含まれます。詳しくは、テンプレートファイルからスキャンを作成するを参照してください。
テンプレートまたはスキャンファイルのアップロード	ファイルのアップロードテンプレート `(.SCANT)` またはスキャンファイル `(.SCAN)` をアップロードできます。テンプレートファイル: AppScan Standard テンプレートファイル `(.SCANT)` がある場合は、そのファイルを ASoC スキャンの構成として使用できます。必要に応じてスキャン構成を編集できます。これにより、AppScan Standard で使用可能なすべての構成オプションを利用できます。AppScan Standard テンプレートには、ログイン記録とマルチステップ構成も含まれます。詳しくは、テンプレートファイルからスキャンを作成するを参照してください。ファイルのスキャン: AppScan Standard スキャン (SCAN) ファイルがある場合は、そのファイルを ASoC スキャンの設定として使用できます。マニュアル探査、マルチステップ操作、SCAN ファイルに保存された Postman コレクションなどの Web API ファイルがスキャンに組み込まれます。フル・スキャンを実行することも、ファイルから既存の探査日付を使用して、スキャンのテスト・ステージのみを実行することもできます。詳しくは、スキャン・ファイルからの新規スキャンの作成を参照してください。
注: AppScan on Cloud は、ファイルのアップロードを 2GB に制限します。

関連トピック

動的分析でテストされる脅威クラスのリストおよび関連する CWE については、「動的分析 (DAST)」を参照してください。