Welcome
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
動的スキャン (DAST)
ASoC ブラウザーまたは Web API で実行されるアプリケーションの動的分析を実行できます。ASoC の Web アプリケーションまたは Web API で利用可能な設定オプションを使用するか、AppScan Standard の設定 (テンプレート・ファイル) またはフル・スキャン・ファイルをアップロードします。
テンプレートからスキャンを作成する
独自の AppScan Standard テンプレート (SCANT) ファイルをアップロードしたり、アプリケーションに関連付けられた保存済みテンプレートを使用して ASoC スキャンを実行したりできます。

作業の開始
HCL AppScan on Cloud の資料にようこそ。この資料では、このサービスのインストール、保守、使用に関する情報を参照できます。
ナビゲーション
このセクションでは、AppScan on Cloud のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
- 動的分析 (DAST) について
  ASoC の動的 (DAST) スキャンは、次の 2 つのステージで構成されています。探査およびテスト。スキャン・プロセスのほとんどはユーザーにとってシームレスで、スキャンが完了するまで入力は必要ありませんが、動的スキャンの仕組みを把握すると、開発プロセスにおけるスキャンの役割の理解を深めることができます。
- 動的スキャン (DAST)
  ASoC ブラウザーまたは Web API で実行されるアプリケーションの動的分析を実行できます。ASoC の Web アプリケーションまたは Web API で利用可能な設定オプションを使用するか、AppScan Standard の設定 (テンプレート・ファイル) またはフル・スキャン・ファイルをアップロードします。
  - Web アプリケーション・スキャンを作成する
    スキャンの開始 URL とユーザー資格情報を入力し、サイトのタイプを選択します。また、サイトをスキャンする権限があるかどうかをまだ確認していない場合は、それを確認します。
  - LLM スキャンの作成
    プロバイダー・アクセスの構成、代表的な LLM シーケンスのキャプチャー、必要な機能の有効化、制御されたテスト環境でのスキャンの実行を行います。
  - API スキャンの作成
    ASoC Web API をスキャンするためのさまざまなワークフローをサポートしています。Web API の Postman コレクション、OpenAPI 仕様ファイルまたは記録されたトラフィックがある場合、それをインポートして、API スキャン設定を使用したスキャンの基礎として使用できます。または、Postman コレクション・ファイルまたは OpenAPI 仕様ファイルを REST API で使用することもできます。
  - テンプレートからスキャンを作成する
    独自の AppScan Standard テンプレート (SCANT) ファイルをアップロードしたり、アプリケーションに関連付けられた保存済みテンプレートを使用して ASoC スキャンを実行したりできます。
  - スキャン・ファイルからスキャンを作成する
    独自の AppScan Standard スキャン (SCAN) ファイルをアップロードして、ASoC スキャンを実行できます。
  - 増分スキャンの作成
  - スキャンの再開
    スキャン自体に直接関連しない外部の問題が原因でスキャンが失敗したり、一部しか完了しなかったりした場合は、スキャン中のサーバーダウン障害など、外部の問題を解決した後でスキャンを再開できます。
  - テスト自動化
    動的スキャンを機能テストに組み込みます。
  - クライアント証明書
  - Intelligent Findings Analytics (IFA)
    Intelligent Finding Analytics (IFA) は、人工知能 (AI) と機械学習 (ML) を使用してデータを分析し、パターンを発見し、予測を行い、最終的にデータを実用的な洞察に変換します。IFA では、高度な方法を使用してより深い意味を見つけ、よりスマートな意思決定を行うことで、通常のデータ分析にとどまらない結果を出しています。
- AppScan Presence
  AppScan Presence をサーバーで使用すると、インターネットからアクセスできないサイトをスキャンし、機能テストの一部として、このスキャンを組み込むことができます。
- トラフィックの記録
  トラフィックは、AppScan Activity Recorder ブラウザー拡張機能 (Chrome または Edge 用)、HCL AppScan Traffic Recorder プロキシー・サーバー、または AppScan Standard を使用して、DAST スキャンの記録された探査データとして記録できます。
- HCL AppScan Traffic Recorder
  HCL AppScan Traffic Recorder (DAST プロキシー) では、トラフィックを記録して探査データとして使用できます。要求に応じてトラフィック・レコーダー・インスタンスを作成して、後で DAST スキャンに使用されるトラフィックを記録できます。
- IAST 合計
  IAST 合計 (Interactive Application Security Testing) は、IAST 機能を活用して動的分析 (DAST) スキャンを強化し、スキャン時間と修復時間を改善しながら、幅広い脆弱性を明らかにします。
- AppScan Standard
- プライベート・サイト
  サーバーの上の AppScan Presence を使用することで、インターネットのからアクセスできないサイトをスキャンできます。
インタラクティブ監視
ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。「スキャンとセッション」ページでは、カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
AppScan モデルコンテキスト・プロトコル (MCP) サーバー
AppScan MCP サーバーは、HCL AppScan on Cloud を、AI で動作する開発環境およびエージェントと直接統合します。モデルコンテキスト・プロトコル (MCP) を実装することで、LLM (Claude や VS Code で実行されるモデルなど) が SAST、DAST、SCA、および IAST の結果などのセキュリティーデータに安全にアクセスできるようになり、問題のトリアージ、調査結果の分析、自然言語を使用したワークフローの自動化に役立ちます。
トラブルシューティング
サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
よくある質問および参照
よくある質問、製品ライフサイクル (SDLC) への ASoC の統合に関する情報、および ASoC API 資料。

テンプレートファイルからスキャンを作成する

独自の AppScan Standard テンプレート (SCANT) ファイルをアップロードしたり、アプリケーションに関連付けられた保存済みテンプレートを使用して ASoC スキャンを実行したりできます。

始める前に

スキャンする前にサイトをバックアップします。
スキャン用のアプリケーションを作成します (まだ作成していない場合)。
ASoC を使用して、ドメインをスキャンする権限があることを検証するか (ドメインの検証を参照)、ドメイン管理を使用して、検証なしでドメインを許可することができます。
サイトがインターネットで使用不可であり、AppScan Presence がまだサーバーに存在していない場合: AppScan Presence の作成。
実稼働中のサイトをスキャンする場合は、最初に次を参照してください。ライブ実動サイトをスキャンするときに、どのような変更を行う必要がありますか?

手順

「アプリケーション」ページで「スキャンの作成」をクリックし、「DAST 動的分析」で「スキャンの作成」をクリックしてウィザードを開きます。
「ファイルからスキャン」セクションで、独自のテンプレートをアップロードするか、保存したテンプレートを使用します。
1. 保存済みテンプレート: テンプレートを選択し、「適用」をクリックします。
2. ファイルのアップロード:
  「ファイルのアップロード」をクリックしてファイルを選択し、「適用」をクリックします。
  注: AppScan on Cloud は、ファイルのアップロードを 2GB に制限します。
ファイルが開き、スキャン構成が表示されます。
必要に応じて構成を編集します。構成の詳細については、Web アプリケーション・スキャンを作成するを参照してください。
概要:

スキャン設定を確認します。必要に応じて前のパネルに戻って調整します。
「スキャン」をクリックします。

タスクの結果

新規スキャンとその開始時間が「スキャン」ビューに追加され、進行状況表示バーにスキャンが実行中であることが示されます。スキャンが完了すると、進行状況表示バーが閉じ、結果がグラフに要約され、(選択した場合には) E メール通知を受け取ります。結果を参照してください。