ようこそ
HCL AppScan Enterprise 10.0.8 の資料へようこそ。ここでは、HCL AppScan Enterprise をインストール、保守、および使用する方法に関する情報を見つけることができます。
AppScan® Enterprise のアクセシビリティー機能
アクセシビリティー機能は、運動障害または視覚障害など身体に障害を持つお客様が、IT 製品を快適に使用できるように支援します。
製品に関する一般情報を説明します。
アプリケーション・セキュリティー管理
セキュリティーの目的は、貴重な資産を保護することです。組織が所有する最も重要な資産のいくつかは、知的財産、戦略計画、顧客データなど、情報の形をとるものです。この情報を保護することは、組織の業務の継続、競争力の維持、および法規制要件への適合に不可欠です。
AppScan® Enterprise のコンポーネント
HCL® AppScan® Enterprise を使用すると、組織は、アプリケーション・セキュリティー・リスクを軽減し、アプリケーション・セキュリティー・プログラム管理の取り組みを強化し、規制コンプライアンスを達成することができます。セキュリティー・チームと開発チームは、アプリケーション・ライフサイクル全体にわたってコラボレーションし、ポリシーを確立し、テストのスケールを調整することができます。エンタープライズ・ダッシュボードでは、業務への影響に基づいてアプリケーション資産の分類と優先順位付けを行い、高リスクの領域を特定することにより、修復作業の効率を最大限に高めることができます。アプリケーション・セキュリティー・プログラムの進行状況のモニターに役立つパフォーマンス・メトリックが提供されます。
AppScan Enterprise に付属の AppScan Standard コンポーネント
以下の表では、AppScan Enterprise に付属の AppScan Standard コンポーネントの製品バージョンを追跡します。
アプリケーション・セキュリティー管理の概要
自分のロールに応じて、製品のさまざまな分野から開始することができます。
既知の問題と回避策
既知の問題と回避策を示します。
非推奨の機能
AppScan® Enterprise の前のリリースからマイグレーションする場合は、このリリースで推奨されなくなった各種の機能に注意する必要があります。
製品のインストール方法について説明します。
デプロイメントとインストールの計画
使用する構成は、ソフトウェアの処理方法、組織や Web サイトまたはアプリケーションの構造、情報の配布方法などのさまざまな要素によって決まります。現行リリースをインストールする前に、ハードウェア要件およびソフトウェア要件、ライセンス交付、およびその他のデプロイメントの考慮事項に関する情報を検討してください。
プリインストール・タスク
AppScan® Enterprise をインストールする前に、ご使用のシステムを準備して構成する必要があります。
インストール・タスク
このセクションでは、AppScan® Enterprise のインストール手順について説明します。
インストール後のタスク
AppScan® Enterprise をインストールした後、以下のポストインストール・タスクを実行します。
製品のアップグレード方法について説明します。
前のバージョンからのアップグレード時における製品の変更点
前のバージョンからのアップグレード時に、ご使用のスキャンまたはレポート・データに影響を与える可能性がある変更点について説明します。アップグレード・プロセスを理解するために、必ずすべてのトピックをお読みください。
フィックスパックのインストール
フィックスパックは FNO からダウンロードして入手できます。
Jazz™ Team Server から WebSphere® Liberty への置き換え - よくある質問
v9.0.1 以降の AppScan® Enterprise では、インストール占有スペースを削減し、ユーザー認証コンポーネントとしての Rational® Jazz™ Team Server (Jazz Team Server) を削除する、アーキテクチャーの再設計が採り入れられています。
AppScan Enterprise での Jazz Team Server ユーザーの Liberty へのマイグレーション
Liberty 認証方式を使用するように Jazz Team ユーザーをマイグレーションするには、v9.0.1 以上へのアップグレードを開始する前に、コマンドを使用して、ユーザーの .csv ファイルをエクスポートします。その後、以下の 2 つの方法のうち、いずれかの方法に従って、同じユーザーが AppScan Enterprise v9.0.1 以上にアクセスできるように、それらのユーザーを Liberty に登録することができます。
最新バージョンの AppScan Enterprise へのアップグレード
最新バージョンの AppScan Enterprise へのアップグレードを正常に実行するために、このトピックをよくお読みください。
AppScan® Enterprise のための SQL Server データベースの構成
AppScan® Enterprise Server を構成する際には、SQL Server に関する情報が必要です。AppScan 構成時の時間を節約するために、最初に SQL Server を構成してください。SQL Server を新規バージョンにアップグレードする場合も、同様に以下の手順に従ってください。
証明書ストア内の証明書と Liberty 併用
この手順では、Liberty 証明書を使用して IIS を保護する方法を説明します。
Oracle データベースへの AppScan® Source LDAP 接続のアップグレード
LDAP 設定 (サーバー名や別名など) を変更する場合、あるいは AppScan® Enterprise Server を別のコンピューターに移動する場合には、asc.properties ファイルを更新して、それらの変更を反映する必要があります。
WebSphere Liberty プロファイルでの FIPS 140-2 または NIST SP800-131a の有効化
以下のいずれかの手順を使用して、WebSphere Liberty プロファイルで FIPS 140-2 または NIST SP800-131a を有効にします。
製品の他のソリューションとの統合方法について説明します。
IBM Security QRadar との統合
製品を IBM Security QRadar と統合する方法について説明します。
QA 自動化システムとの統合
製品を QA 自動化システムと統合する方法について説明します。
障害追跡システムとの統合
製品を障害追跡システムと統合する方法について説明します。
REST API およびプラグインを使用した製品の拡張方法について説明します。
REST API
AppScan Enterprise の REST API について説明します。
製品を使用するためのベスト・プラクティスについて説明します。
コンテンツ・スキャンのベスト・プラクティス
コンテンツ・ジョブがスキャンするアプリケーションで使用中のテクノロジーを判別し、それぞれのタイプについて以下のベスト・プラクティスを参照します。
実稼働環境でセキュリティー・スキャンを実行する際のベスト・プラクティス
実稼働環境におけるセキュリティー・スキャンの実行は、リスクがあります。しかし、実稼働環境のスキャンが必要な場合もあります。例えば、監査要件に準拠するため、サイトがハッキングされたかどうかを検出するため、またはセキュリティー・スキャンの統合に SDLC プロセスが用いられていることを検証するためなどです。
パフォーマンスのためのベスト・プラクティス
スキャン・エンジンは、1000 を超えるさまざまなテストを実施し、それらを複数回実行します。
よくある質問
このトピックでは、一般的なアプリケーションについての質問を扱います。
製品の構成方法について説明します。
ユーザー設定の構成
要件に合わせて個別設定できる設定がいくつかあります。
Enterprise Console の構成
Enterprise Console は、管理、項目の構成、およびレポート作成をサポートする、メインのユーザー・インターフェースです。
ログ保持期間プロパティーの構成
スキャン実行中に生成されたログ・ファイルは、一定の期間、サーバーに保存されます。そのようなログ・ファイルがサーバーによって保持される時間制限をログ保持期間と言います。この保持期間が経過すると、これらのログ・ファイルは古くなり、サーバーのメモリー空間を冗長に占有します。AppScan Enterprise で時間制限をログ保持期間として設定し、この事前設定された期間が経過した後に、そのようなログ・ファイルを自動的に削除することができます。
製品の管理方法について説明します。
ユーザー、グループ、アクセス許可の管理
ユーザー・グループとアクセス権限を管理する方法について説明します。
Enterprise Console および AppScan Server のログ・ファイルの構成およびダウンロード
管理者は、Enterprise Console および AppScan Server のログ・ファイルの設定を構成し、それらを問題のトラブルシューティングに必要なときにダウンロードすることができます。この機能を使用すると、Enterprise Console や AppScan Server がインストールされているコンピューターのファイル・システムを検索する必要がなくなります。
AppScan Enterprise での ASE AdminUtil ツールを使ったサービス・アカウント・パスワードのリセット
AdminUtil ツールを使用すると、ユーザーは AppScan Enterprise Server と DAST Scanner で構成ウィザードを再実行しなくても、パスワードをリセットできます。このユーティリティーは、対話モードとサイレント・モードの 2 つのモードで実行できます。対話モードによるサービス・アカウント・パスワードのリセットについて詳しくは、「サイレント・モードの ASE AdminUtil ツールによる AppScan Enterprise でのサービス・アカウント・パスワードのリセット」を参照してください。
サイレント・モードの AppScan Enterprise での ASE AdminUtil ツールを使ったサービス・アカウント・パスワードのリセット
AppScan Enterprise (ASE) AdminUtil ツールを使用すると、サービス・アカウント・パスワードをリセットするために、ユーザーが AppScan Enterprise Server、IAST Communication Service、DAST Scanner、データベース・サービス、警告サービスで構成ウィザードを再実行することを回避できます。このユーティリティーを対話モードとサイレント・モードの 2 つのモードで実行することで、これを達成できます。対話モードによるサービス・アカウント・パスワードのリセットについて詳しくは、「ASE AdminUtil ツールによる AppScan Enterprise でのサービス・アカウント・パスワードのリセット」を参照してください。
AppScan Enterprise 使用状況のモニター
「アクティビティー・ログ」レポートを作成して、AppScan Enterprise を使用しているユーザーおよびそのユーザーが AppScan Enterprise で実行していることを判別できます。レポートには、変更を行ったユーザーと変更が行われた時間がリストされています。ログは常にアクティビティーを記録しているため、ユーザーはレポートを作成するだけで済みます。「アクティビティー・ログ」レポートを作成できるのは管理者のみですが、どのユーザーに対しても、レポート・パックのプロパティーの一部としてレポートに対するアクセス権限を与えることができます。他のユーザーが「アクティビティー・ログ」レポートを見ることを望まない場合は、レポート・パックの「ユーザーおよびグループ」ページで「他のすべてのユーザー」を「No Access」に変更します。
アクティビティー・ログ
アクティビティー・ログを使用して、AppScan Enterprise を使用しているユーザーおよびそのユーザーが AppScan Enterprise で実行していることを判別できます。アクティビティー・ログには、変更を行ったユーザーと変更が行われた時間がリストされています。これは、セキュリティー監査で、ユーザーによって実行された可能性のある許可されていないアクティビティーまたは異常なアクティビティーを検出する場合に役立ちます。管理者のみがアクティビティー・ログを表示できます。デフォルトでは、アクティビティー・ログ・データは 1 年間保持されます。
サーバーの管理
製品管理者は、各サーバーが最適なパフォーマンスになるよう管理する責任があります。
スキャン・キューの管理
現在実行中または実行を待機中のスキャン・ジョブの状況を確認し、主要なスキャン・ジョブを実行する優先順位付けを行うことができます。例えば、時間依存の成果物 (休日の特売品など) の一部であるスキャン・ジョブがあるとします。それらのジョブをキューの先頭に移動することで、確実にスケジュール内でのそのジョブの優先順位を最初にすることができます。
セキュリティー・ルールの更新
セキュリティー・ルールは、AppScan® Enterprise リリースの一部として更新されます。セキュリティー・ルールのバージョンおよびリリースの日付は、AppScan Enterprise のメインメニューの「バージョン情報」リンクから確認することができます。
AppScan Standard からのユーザー定義テストのインポート
AppScan® Standard は、何千ものテストのデータベースを提供しています。ただし、ご使用の Web アプリケーションが固有の問題を抱えている場合や、問題を解決するための独自のアドバイザリーを書き込みたい場合、独自のテストを作成できます。それらのテストは、AppScan のテストのデータベースに保存され、組み込まれます。それらは *.udt ファイルとしてエクスポートして AppScan Enterprise にインポートすることも可能です。
SQL Server データベースの保守
SQL Server データベースの保守には、SQL Server のアップグレード、SQL データベースのバックアップ、ログ・ファイルの構成、データベースの使用法が含まれています。
セキュリティー・テストの準備
AppScan Enterprise でセキュリティー・テストを準備する方法について説明します。
スキャン・テンプレートの作成
AppScan Enterprise でスキャン・テンプレートを作成する方法について説明します。
以下のワークフローに従って、組織内のアプリケーション・セキュリティー・リスクを管理してください。
ステップ 1: アプリケーション・インベントリーの作成
アプリケーション・インベントリーの作成方法を説明します。
ステップ 2: 脆弱性に関するアプリケーションのテスト
アプリケーション内で特定された脆弱性のテスト方法を説明します。
ステップ 3: リスクの判別と脆弱性の優先順位付け
アプリケーション内で特定されたリスクを判別して、脆弱性の優先順位付けをする方法について説明します。
ステップ 4: リスクの修復
アプリケーション内で特定されたリスクの修復方法を説明します。
ステップ 5: 進行状況の測定とコンプライアンスの実証
進行状況の測定とコンプライアンスの実証方法について説明します。
HCL® ソフトウェアの問題の理解、分離、解決に役立つように、このトラブルシューティングおよびサポートの情報には、HCL 製品と一緒に提供される問題判別リソースの使い方の指示が含まれています。
問題のトラブルシューティング
トラブルシューティングは問題を解決するための系統的アプローチです。トラブルシューティングの目標は、何かが予期したとおりに働かない理由を判断し、問題を解決する方法を明白にすることです。
テンプレート:HCL® サポートへのお問い合わせ
HCL® サポートでは、製品の問題に関する支援や、よくある質問への回答、製品の問題のユーザーによる解決のための支援を提供します。
Dynamic Analysis Scanner のトラブルシューティング
Dynamic Analysis Scanner のトラブルシューティングについて説明します。
Enterprise Server のトラブルシューティング
Enterprise Server のトラブルシューティングについて説明します。
メッセージ
内部的な製品のメッセージ、スキャン・ログのメッセージ、および Web サービスのメッセージは、保守容易性のためのコードについて説明します。
製品の参照情報を確認します。
ウィザード・トピックの設定
ウィザード・トピックの設定について説明します。
フォルダー・エクスプローラーのトピック
フォルダー・エクスプローラーのトピックについて説明します。
レポートを使用したトリアージ
レポートは、ジョブの実行後に自動的に生成されます。このレポートを使用することで、組織にとって重要な問題の管理を、Enterprise Console のワークフローおよび組織の他のプロセスのワークフローの両方でサポートされる方法で行うことができます。