AppScan® Enterprise コンポーネント

HCL® AppScan® Enterprise を使用すると、組織はアプリケーション セキュリティ リスクを軽減し、アプリケーション セキュリティ プログラム管理イニシアチブを強化し、規制遵守を達成できます。セキュリティ チームと開発チームは協力し、ポリシーを確立し、アプリケーション ライフサイクル全体にわたってテストを拡張できます。エンタープライズ ダッシュボードは、ビジネスへの影響に基づいてアプリケーション資産を分類して優先順位を付け、リスクの高い領域を特定することで、修復作業を最大限に活用できるようにします。アプリケーション セキュリティ プログラムの進行状況を監視するのに役立つパフォーマンス メトリックが提供されます。

この図は、統合を含む AppScan® Enterprise エコシステムを示しています。

AppScan Enterprise エコシステム

SQL Server データベース

SQL Server データベースは、ジョブ中に収集された統計、スキャン ログ、アクティビティ イベントのポーリングなどの情報の中央リポジトリであり、Enterprise Console と Dynamic Analysis Scanner のテスト エージェント間の通信手段です。サーバーまたはスキャナーのどちらをインストールするかに関係なく、環境にインストールした SQL Server 上にデータベースを作成します。最初にこれを構成して、AppScan® Enterprise Server が構成中に必要とする重要な情報が準備され、利用可能になるようにする必要があります。データベースには次のデータが含まれます:

  • エージェントによって収集されたすべてのデータ
  • レポート データに適用されるスコープに関する情報
  • 要約された履歴レポート データ
  • エージェントの構成、スケジュール、ステータス、およびアラート情報
  • ユーザー構成と権限情報

AppScan® Enterprise Server

このコンポーネントは、次のものから構成されます:
  • ユーザー管理: Enterprise Server のユーザー管理コンポーネントは、LDAP ユーザー認証に使用されます。
    注:
    AppScan® Source ユーザーの場合は、Enterprise Server に公開した結果の相関レポートを表示する場合を除き、インストールする必要があるのはこれだけです。その場合は、Enterprise Console もインストールする必要があります。
  • Enterprise Console: Enterprise Console は、Web ブラウザーを介してユーザー インターフェイスとレポートを提供します。これはメイン ユーザー インターフェイスであり、管理、スキャン構成、レポート作成をサポートします。要件に応じて、単一のサーバーに Enterprise Console のインスタンスを 1 つまたは複数インストールできます。

[モニター] ビューには、アクセス権を持つアプリケーションのみが表示されます。ダッシュボード チャートは、ポートフォリオを構成する Web アプリケーションのさまざまなメトリックと傾向を追跡します。



[ダッシュボード] タブには、ビジネス ポートフォリオの全体像が表示されます。ダッシュボードの下部で、チャートを選択してさらに調査します。
  • セキュリティ リスク評価 (傾向): アプリケーション リスクを経時的に追跡します。 カテゴリのチェックボックスをオンにして、表示するコンテンツを表示します。詳細については、チャートのセクションにマウスを移動してください。
  • ビジネス ユニット別のセキュリティ リスク評価: ビジネス ユニット別にアプリケーション リスク管理の優先順位を設定します。詳細については、チャートのセクションにマウスを移動してください。トリアージ プロセスを続行するには、[ポートフォリオ] タブをクリックしてください。
  • テスト ステータス (傾向): テスト ステータスを追跡します。カテゴリのチェックボックスをオンにして、表示するコンテンツを表示します。詳細については、チャートのセクションにマウスを移動してください。
  • 未解決の問題 (傾向): 未解決の問題の数を表示します。詳細については、チャートのセクションにマウスを移動してください。
  • 未解決の問題のあるアプリケーション (傾向): 未解決の問題のあるアプリケーションの数を追跡します。詳細については、チャートのセクションにマウスを移動してください。
  • 重大度別の未解決の問題 (傾向): 時間の経過に伴う、重大、高、中、低の問題の数を追跡します。カテゴリのチェックボックスをオンにして、表示するコンテンツを表示します。詳細については、チャートのセクションにマウスを移動してください。
  • アプリケーション別のスキャンの傾向: 過去 2 年間に作成されたすべてのスキャンの傾向グラフが表示されます。X 軸は、スキャンの実行日またはインポート日を表します。Y 軸は、インポートされたスキャンを含む、アプリケーションに関連付けられたスキャン数を表します。グラフには、スキャンが作成またはインポートされた月の傾向が表示されます。
    注:
    SAST スキャンの場合、履歴データを保存するように構成されている場合、同じ名前の各インポートは個別のスキャンとして扱われます。
  • 上位の問題タイプ (アプリ): 上位の問題タイプを含むポートフォリオ内のアプリケーションの数が表示されます。詳細については、チャートのセクションにマウスを移動してください。ポートフォリオ タブをクリックして、トリアージ プロセスを続行します。
  • OWASP トップ 10: 最も重大な 10 個の Web アプリケーション セキュリティ リスクに一致する問題を含むアプリケーションを識別します。詳細については、チャート セクションにマウスを移動します。ポートフォリオ タブをクリックして、トリアージ プロセスを続行します。
  • CWE/SANS トップ 25: CWE トップ 25 の最も危険なプログラミング エラーに一致する問題を含むアプリケーションを識別します。詳細については、チャート セクションにマウスを移動します。ポートフォリオ タブをクリックして、トリアージ プロセスを続行します。
  • 問題の重大度 (最大): 問題の重大度の最高レベルでアプリケーションを識別します。詳細については、チャート セクションにマウスを移動します。トリアージ プロセスを続行するには、ポートフォリオ タブをクリックしてください。
  • ビジネス ユニット別の問題の重大度 (最大): ビジネス ユニット別に、問題の重大度が最も高いレベルでアプリケーションを識別します。詳細については、チャートのセクションにマウスを移動してください。トリアージ プロセスを続行するには、ポートフォリオ タブをクリックしてください。

動的分析スキャナー

スキャナーは、次の 2 つのサービスで構成されます:
  • エージェント サービスとエージェント: エージェント サービスは、実行するジョブがあるかどうか SQL Server データベースを監視します。エージェントは、実行するジョブがある場合にエージェント サービスによって作成される Windows プロセスです。ローカル データベース ファイルは、各スキャンの開始時に作成されます。ローカル データベースがあると、中央の SQL データベースのリソース負荷が解放されるため、パフォーマンスとスケーラビリティが向上します。ローカル データベースには、スキャナーが実行する各ジョブの情報が保持され、スキャンが完了すると、データがメインの SQL Server データベースに送信されます。アラートが構成されている場合、アラート サービスは、ジョブ中に特定のイベントが発生したときに、関連するユーザーに通知します。
    注:
    1. コンテンツ エージェントとインフラストラクチャ エージェントは、一度に 1 つのジョブのみを実行できます。ただし、1 つのスキャナで複数のエージェントを同時に実行できます。同じタイプのジョブを 1 台のコンピュータで同時に複数実行できます。各ジョブは独自のエージェント プロセスで実行されます。
    2. 実行中のジョブの数には、現在後処理中またはレポート生成中のジョブが含まれるため、実行中のジョブの数はスキャナに割り当てられているエージェントの最大数を超えることがあります。これらのジョブは、スキャナ上のエージェントを使用しません。
    3. ブラックアウト期間に中断されたジョブの数がスキャナ上の使用可能なエージェントの数を超える場合、ブラックアウト期間に中断されたジョブが、次のジョブを実行するときに優先されます。
  • アラート サービス: アラート サービスは、適切な通知デバイスにアラートを送信する役割を担います。エージェントとエージェント サービスは必要な数だけ使用できますが、データベースごとにインストールできるアラート サービスは 1 つだけです。