作業の開始
HCL AppScan on Cloud の資料にようこそ。この資料では、このサービスのインストール、保守、使用に関する情報を参照できます。
概要 HCL AppScan on Cloud
セキュリティーの目的は、貴重な資産を保護することです。組織が所有する最も重要な資産のいくつかは、知的財産、戦略計画、顧客データなど、情報の形をとるものです。この情報を保護することは、組織の業務の継続、競争力の維持、および法規制要件への適合に不可欠です。
役割とワークフロー
有効なサブスクリプションを持ち、各種権限のある ASoC ユーザーのさまざまな ASoC タスクとワークフローについて説明します。
最新情報 AppScan on Cloud
最近追加された機能をご確認ください。
システム要件
ASoC アナライザーのシステム要件およびサポートされているオペレーティング・システムと言語。また、このサービスでサポートされるブラウザーと最小解像度について説明します。
サブスクリプション
「マイサブスクリプション」には、お客様の組織のすべてのサブスクリプションの状況 (アプリケーションまたはスキャンの残数、開始日と終了日など) が表示されます。
サンプル・アプリとスクリプト
以下のサンプル・アプリケーションを使用して、ASoC によるスキャンをお試しください。
デモ・ビデオ
これらの「ハウツー」ビデオでは、ASoC の使用方法と、このサービスがどのようにワークフローに適合するかを説明するとともに、ヒントや秘訣を紹介しています。
連絡先およびサポート
人材およびオンライン・リソースへの便利なリンク。
試用版利用規約
HCL AppScan on Cloud サービス試用版契約
このセクションでは、AppScan on Cloud のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
ユーザー数
ユーザー管理により、重要なアプリケーションを資産グループに割り当てて特定のユーザーをそうしたグループに追加することで、そのようなアプリケーションへのアクセスを制御することができます。
アプリケーション数
アプリケーションは、同じプロジェクトに関連するスキャンのコレクションです。Web サイト、デスクトップ・アプリ、モバイル・アプリ、Web サービス、アプリの任意のコンポーネントなどが対象になる可能性があります。「アプリケーション」では、リスクを評価したり、傾向を把握したり、プロジェクトが業界や組織のポリシーに準拠していることを確認したりできます。
ポリシー
事前定義されたポリシーや独自のカスタム・ポリシーを適用して、自分に関連する問題のデータのみを表示できます。
DevOps
ソフトウェア開発ライフサイクルの ASoC の組み込み用ツール。
個人スキャン
個人スキャンは、アプリケーション全体のスキャン・データ (問題など) やコンプライアンスに影響を与えることなく、開発中のアプリケーションの相対的なセキュリティーを評価する方法です。
監査証跡
監査証跡 (「組織」 > 「監査証跡」) は、ユーザー・アクティビティを記録します。
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
動的分析 (DAST) について
ASoC の動的 (DAST) スキャンは、次の 2 つのステージで構成されています。探査およびテスト。スキャン・プロセスのほとんどはユーザーにとってシームレスで、スキャンが完了するまで入力は必要ありませんが、動的スキャンの仕組みを把握すると、開発プロセスにおけるスキャンの役割の理解を深めることができます。
動的スキャン (DAST)
ASoC ブラウザーまたは Web API で実行されるアプリケーションの動的分析を実行できます。ASoC で利用可能な設定オプションを使用するか、AppScan Standard の設定 (テンプレート・ファイル) またはフル・スキャン・ファイルをアップロードします。
AppScan Presence
サーバーで AppScan Presence を使用すると、インターネットからアクセスできないサイトをスキャンしたり、機能テストの一環としてスキャンを組み込んだりできます。
トラフィックの記録
トラフィックは、AppScan Activity Recorder ブラウザー拡張機能 (Chrome または Edge 用)、HCL AppScan Traffic Recorder プロキシー・サーバー、または AppScan Standard を使用して、DAST スキャンの探査データとして記録できます。
HCL AppScan Traffic Recorder
HCL AppScan Traffic Recorder (DAST プロキシー) では、トラフィックを記録して探査データとして使用できます。要求に応じてトラフィック・レコーダー・インスタンスを作成して、後で DAST スキャンに使用されるトラフィックを記録できます。
IAST Total
IAST Total (インタラクティブ・アプリケーション・セキュリティー・テスト) は、IAST の機能を利用して動的分析 (DAST) スキャンを強化し、スキャン時間と修復時間を短縮しながら、より広範な脆弱性を明らかにします。
プライベート・サイト
サーバー上の AppScan Presence を使用することで、インターネットからアクセスできないサイトをスキャンできます。
インタラクティブ監視
ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
インタラクティブ監視 (IAST) について
ASoC は、通常のアプリケーション・ランタイム動作を監視し、脆弱性を検出できます。
IAST セッションの開始
アプリケーション・サーバーに IAST エージェントをデプロイし、スキャンを設定します。
IAST エージェントのデプロイ
IAST エージェントがアプリケーションとの通信を監視し、ASoC にレポートできるように、アプリケーション・サーバーに IAST エージェントをデプロイします。
Kubernetes でのデプロイ
AppScan は、Kubernetes クラスターへの IAST エージェントの自動インストールをサポートしています。MutatingAdmissionWebhook を使用すると、IAST エージェントはすべての開始ポッドに自動的にインストールされます。
Azure App Service での配置
IAST エージェントを使用して、Azure App Service で実行されるアプリケーションを監視します。
REST API を使用した IAST
REST API により、エージェントの配置など、IAST スキャンを構成および開始します。
IAST 構成ファイル
デフォルトの IAST 設定をオーバーライドして、把握したい脆弱性のみをレポートするように JSON ファイルを構成します。
ユーザー設定
一部の低レベルの IAST 動作は、ユーザー・パラメーターを使用して制御できます。
IAST スキャン結果
インタラクティブ (IAST) スキャン・エントリーには、前回のスキャンが開始された後の結果が示されます。
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
ソフトウェア・コンポジション分析について
ソフトウェア・コンポジション分析 (SCA) は、コードで使用されるオープン・ソース・パッケージおよびサードパーティー・パッケージを検索して分析します。
SCA に対するシステム要件
オープン・ソース・テストを実行する場合に、ASoC でスキャン可能なファイルのタイプ。
ライブラリおよびサードパーティ・コードにおけるセキュリティ脆弱性のスキャン
オープンソース・ライブラリおよびサードパーティ・コードでセキュリティの脆弱性をスキャンするには、次のトピックの手順に従います。
SCA スキャン結果
SCA スキャン結果で使用できる機能。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析のシステム要件
サポートされているオペレーティング・システムと、静的分析を実行する場合に ASoC でスキャンできるファイルのタイプ、場所、プロジェクト。
セキュリティーの脆弱性のスキャン
セキュリティーの脆弱性がないかソース・コードをスキャンするには、これらのトピックで説明する手順に従ってください。
サンプル・アプリとスクリプト
以下のサンプル・アプリケーションを使用して、ASoC によるスキャンをお試しください。
静的分析のトラブルシューティング
静的分析に関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
問題
アプリケーションの「問題」ページには、デフォルトで非準拠の問題のみが表示されます。さまざまなフィルターを適用して必要な問題を確認し、問題をクリックして詳細な問題情報ペインを開くことができます。
相関
AppScan は、IAST、DAST、および SAST によって検出された問題を分析して、一度の修復作業または総合的な修復作業で複数の脆弱性を解決できる場所 (コード内の共通の脆弱なリンク (相関)) を特定します。
修正グループ
修正グループは現在、静的分析スキャンで検出された問題にのみ適用されます。
レポート
アプリケーションで検出された問題のレポートを生成します。送信するレポートを、開発者、社内監査者、侵入テスト担当者、マネージャー、CISO に送信します。セキュリティー情報は広範囲にわたる場合がありますが、必要に応じてフィルタリングできます。
修復
お客様のセキュリティー・チームは、リスクの判別と脆弱性の優先順位付けを行った後、修復プロセスを開始できます。
再スキャン
最初のスキャンの後で問題を修正したら、再び同じアプリケーションを複数回スキャンすると前の結果を上書きできるため、ダッシュボードには常に最新の結果が表示されます。(新規のスキャンを開始せずに) 再スキャンを行うと、再スキャンにより前のスキャンは上書きされます。
IAST スキャン結果
インタラクティブ (IAST) スキャン・エントリーには、前回のスキャンが開始された後の結果が示されます。
トラブルシューティング
サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
AppScan Presence のトラブルシューティング
AppScan Presence の操作中に検出されたエラーに対するトラブルシューティング・タスク。
静的分析のトラブルシューティング
静的分析に関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
よくある質問および参照
よくある質問、製品ライフサイクル (SDLC) への ASoC の統合に関する情報、および ASoC API 資料。
よくある質問
よくある質問について説明します。
脅威クラスと CWE
ASoC でテスト済みの問題の脅威クラスとそのクラスに関連する CWE 番号を記載したテーブル。
CSV
形式このセクションでは、応答データを CSV 形式で保存する方法について説明します。