ホーム
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
動的スキャン (DAST)
ASoC ブラウザーまたは Web API で実行されるアプリケーションの動的分析を実行できます。ASoC の Web アプリケーションまたは Web API で利用可能な設定オプションを使用するか、AppScan Standard の設定 (テンプレート・ファイル) またはフル・スキャン・ファイルをアップロードします。

作業の開始
HCL AppScan on Cloud の資料にようこそ。この資料では、このサービスのインストール、保守、使用に関する情報を参照できます。
ナビゲーション
このセクションでは、AppScan on Cloud のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
- 動的分析 (DAST) について
  ASoC の動的 (DAST) スキャンは、次の 2 つのステージで構成されています。探査およびテスト。スキャン・プロセスのほとんどはユーザーにとってシームレスで、スキャンが完了するまで入力は必要ありませんが、動的スキャンの仕組みを把握すると、開発プロセスにおけるスキャンの役割の理解を深めることができます。
- 動的スキャン (DAST)
  ASoC ブラウザーまたは Web API で実行されるアプリケーションの動的分析を実行できます。ASoC の Web アプリケーションまたは Web API で利用可能な設定オプションを使用するか、AppScan Standard の設定 (テンプレート・ファイル) またはフル・スキャン・ファイルをアップロードします。
  - Web アプリケーション・スキャンを作成する
    スキャンの開始 URL とユーザー資格情報を入力し、サイトのタイプを選択します。また、サイトをスキャンする権限があるかどうかをまだ確認していない場合は、それを確認します。
  - API スキャンの作成 (フル設定)
    ASoC Web API をスキャンするためのさまざまなワークフローをサポートしています。Web API の Postman コレクションまたは記録されたトラフィックがある場合は、それをインポートし、API スキャン設定ウィザードを使用してスキャンの基礎として使用できます。または、Postman コレクション・ファイルを REST API で使用することもできます。
  - テンプレートからスキャンを作成する
    独自の AppScan Standard テンプレート (SCANT) ファイルをアップロードして、ASoC スキャンを実行できます。
  - スキャン・ファイルからスキャンを作成する
    独自の AppScan Standard スキャン (SCAN) ファイルをアップロードして、ASoC スキャンを実行できます。
  - 増分スキャンの作成
  - テスト・ポリシー
    テスト・ポリシーは、テスト中にアプリケーションに送信されるテストのコレクションです。ASoC ユーザー・インターフェースからスキャンを実行するときは、定義済みのテスト・ポリシーから 1 つを選択できますが、インポートされたスキャンまたは API から実行されるスキャンには、ほかのポリシーを適用できます。
  - テストの最適化
    テストの最適化では、インテリジェントなテスト・フィルタリングを使用して、問題範囲の損失を最小限に抑えながら、より高速なスキャンを実現します。速度を考慮事項とする場合は、4 つの最適化レベルから選択します。
  - テスト自動化
    動的スキャンを機能テストに組み込みます。
  - クライアント証明書
- AppScan Presence
  サーバーで AppScan Presence を使用すると、インターネットからアクセスできないサイトをスキャンしたり、機能テストの一環としてスキャンを組み込んだりできます。
- トラフィックの記録
  トラフィックは、AppScan Activity Recorder ブラウザー拡張機能 (Chrome または Edge 用)、HCL AppScan Traffic Recorder プロキシー・サーバー、または AppScan Standard を使用して、DAST スキャンの探査データとして記録できます。
- HCL AppScan Traffic Recorder
  HCL AppScan Traffic Recorder (DAST プロキシー) では、トラフィックを記録して探査データとして使用できます。要求に応じてトラフィック・レコーダー・インスタンスを作成して、後で DAST スキャンに使用されるトラフィックを記録できます。
- IAST Total
  IAST Total (インタラクティブ・アプリケーション・セキュリティー・テスト) は、IAST の機能を利用して動的分析 (DAST) スキャンを強化し、スキャン時間と修復時間を短縮しながら、より広範な脆弱性を明らかにします。
- AppScan Standard
- プライベート・サイト
  サーバー上の AppScan Presence を使用することで、インターネットからアクセスできないサイトをスキャンできます。
インタラクティブ監視
ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
トラブルシューティング
サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
よくある質問および参照
よくある質問、製品ライフサイクル (SDLC) への ASoC の統合に関する情報、および ASoC API 資料。

動的スキャン (DAST)

ASoC ブラウザーまたは Web API で実行されるアプリケーションの動的分析を実行できます。ASoC の Web アプリケーションまたは Web API で利用可能な設定オプションを使用するか、AppScan Standard の設定 (テンプレート・ファイル) またはフル・スキャン・ファイルをアップロードします。

DAST スキャンウィザードでは、次のメソッドが提供されています。


オプション	説明
スキャン・メソッドの選択
Web アプリケーションのスキャン	ウィザード・オプションを使用して ASoC でスキャンを設定して実行します。必要に応じて、ログイン手順の記録をアップロードします。トラフィック・ファイル (DAST.CONFIG) をアップロードして、アプリケーションの特定の部分が確実にカバーされるようにします。 Web アプリケーション・スキャンを作成する (フル構成)
API スキャン	ウィザード・オプションを使用して ASoC でスキャンを設定して実行します。 API スキャンの作成 (フル設定) Postman コレクションのアップロード記録されたトラフィック・ファイル (DAST.CONFIG) のアップロード
ファイルからスキャン
テンプレートから	AppScan Standard テンプレート (SCANT) ファイルがある場合は、そのファイルを ASoC スキャンの設定として使用できます。これにより、AppScan Standard で使用可能なすべての設定オプションを利用できます。AppScan Standard テンプレートには、ログイン記録とマルチステップ設定も含まれます。テンプレートにはマニュアル探査は含まれていませんが、トラフィック記録 (DAST.CONFIG ファイル) をアップロードして、アプリケーションの特定の部分が確実にカバーされるようにすることができます。テンプレート・ファイルからの新規スキャンの作成
スキャン・ファイルから	AppScan Standard スキャン (SCAN) ファイルがある場合は、そのファイルを ASoC スキャンの設定として使用できます。マニュアル探査、マルチステップ操作、SCAN ファイルに保存された Postman コレクションなどの Web API ファイルがスキャンに組み込まれます。フル・スキャンを実行することも、ファイルから既存の探査日付を使用して、スキャンのテスト・ステージのみを実行することもできます。スキャン・ファイルからの新規スキャンの作成

関連トピック

動的分析でテストされる脅威クラスのリストおよび関連する CWE については、「動的分析」を参照してください。