Welcome
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
電子メール通知
電子メール通知を使用して、スキャンの進捗状況、結果、追加された新しい CVE およびその他の AppScan イベントに関する事前通知を通知します。このトピックでは、通知設定の構成、アセットグループ、アプリケーションとトリガーの選択、および配信オプションの管理方法について説明します。

作業の開始
HCL AppScan on Cloud の資料にようこそ。この資料では、このサービスのインストール、保守、使用に関する情報を参照できます。
ナビゲーション
このセクションでは、AppScan on Cloud のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
- ユーザー
  ユーザー管理により、重要なアプリケーションを資産グループに割り当てて特定のユーザーをそうしたグループに追加することで、そのようなアプリケーションへのアクセスを制御することができます。
- アプリケーション
  アプリケーションは、同じプロジェクトに関連するスキャンのコレクションです。Web サイト、デスクトップ・アプリ、モバイル・アプリ、Web サービス、アプリの任意のコンポーネントなどが対象になる可能性があります。「アプリケーション」では、リスクを評価したり、傾向を把握したり、プロジェクトが業界や組織のポリシーに準拠していることを確認したりできます。
- DevOps
  ソフトウェア開発ライフサイクルの ASoC の組み込み用ツール。
- 電子メール通知
  電子メール通知を使用して、スキャンの進捗状況、結果、追加された新しい CVE およびその他の AppScan イベントに関する事前通知を通知します。このトピックでは、通知設定の構成、アセットグループ、アプリケーションとトリガーの選択、および配信オプションの管理方法について説明します。
- 個人スキャン
  個人スキャンは、アプリケーション全体のスキャン・データ (問題など) やコンプライアンスに影響を与えることなく、開発中のアプリケーションの相対的なセキュリティーを評価する方法です。
- スキャン状況
- 監査証跡
  監査証跡 (「組織」 > 「監査証跡」) は、ユーザー・アクティビティを記録します。
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
インタラクティブ監視
ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。「スキャンとセッション」ページでは、カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
AppScan モデルコンテキスト・プロトコル (MCP) サーバー
AppScan MCP サーバーは、HCL AppScan on Cloud を、AI で動作する開発環境およびエージェントと直接統合します。モデルコンテキスト・プロトコル (MCP) を実装することで、LLM (Claude や VS Code で実行されるモデルなど) が SAST、DAST、SCA、および IAST の結果などのセキュリティーデータに安全にアクセスできるようになり、問題のトリアージ、調査結果の分析、自然言語を使用したワークフローの自動化に役立ちます。
トラブルシューティング
サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
よくある質問および参照
よくある質問、製品ライフサイクル (SDLC) への ASoC の統合に関する情報、および ASoC API 資料。

電子メール通知

電子メール通知を使用して、スキャンの進捗状況、結果、追加された新しい CVE およびその他の AppScan イベントに関する事前通知を通知します。このトピックでは、通知設定の構成、アセットグループ、アプリケーションとトリガーの選択、および配信オプションの管理方法について説明します。

電子メール通知設定へのアクセス

ASoC ホームページで、ユーザー名を選択して「アカウント設定」 > 「電子メール通知」に移動します。

電子メール通知を有効にする

デフォルトでは、作成したすべてのスキャンに対して、監視およびアラートの電子メール通知が有効になっています。

注: これまでは、スキャンの作成中に電子メール通知を有効にすることができました。このオプションは廃止されましたが、下位互換性は API レベルでサポートされています。

アプリケーション通知の作成

アセットグループとトリガー条件でフィルタリングされたアプリケーション固有の通知を作成します。

ウィンドウの右上隅にある「通知の作成」をクリックします。
必要に応じて、すべてのアセットグループを選択するか、特定のアセットグループを選択します。
この通知ルールが適用されるアプリケーションを選択します。
1 つ以上のトリガーを選択してください。
1. スキャン失敗: スキャンが失敗した場合にユーザーに通知します。
2. スキャン完了: スキャンが完了するとユーザーに通知します。
3. プロアクティブなアラート: 以前にスキャンしたライブラリーで新しい CVE が検出された場合に、ユーザーに自動的に通知します (SCA スキャンのみ)。
「作成」をクリックします。通知トリガーが作成され、トリガー条件が満たされると、電子メールがユーザーの電子メールアドレスに送信されます。