AI 設定の構成

AppScan Enterprise を Microsoft Azure OpenAI サービスと統合して、 Intelligent Finding Analytics (IFA) を有効にし、スキャン結果の精度を向上させます。

始める前に

始める前に、以下の要件を満たしていることを確認してください。

  • AppScan Enterprise の管理者権限を持っている必要があります。
  • アクティブな Microsoft Azure OpenAI アカウントから以下のものを取得している必要があります。
    • Azure OpenAI リソース名。
    • モデルのデプロイメント名。
    • API キー (Azure ポータルのリソースの キーと エンドポイント セクションにある KEY1 または KEY2)。
  • AppScan Standard と AppScan Enterprise が同じホストマシンに インストールされているデプロイメントシナリオでは、AI 構成設定が共有されます。1つの 製品 (例えば、AppScan Standard) で AI 構成が有効になっている場合、それは 自動的に認識され、もう1つの製品 (例えば、AppScan Enterprise) で実行されるスキャンに 適用されます (逆も同様です)。

このタスクについて

この機能により、動的アプリケーションセキュリティテスト (DAST) の Intelligent Finding Analytics (IFA) が有効になります。生成 AI を統合することで、スキャナーはアプリケーションのエラーページをより正確に確認し、エッジケースを処理できるようになるため、誤検知が減少し、スキャン結果全体の精度が向上します。

これはすべてのスキャンに対するシステム全体の設定です。これらの設定を構成した後、 スキャンの実行中にこの機能を無効にすることはできません。

重要:
AppScan の Azure OpenAI 統合は、GPT-5.0 を含む Chat Completions API を使用するモデルをサポートしています。GPT-4.x のような以前のモデルとの下位互換性は維持されていますが、Microsoft Azure はそれらを積極的に廃止しています。最適なパフォーマンスと継続的なサービスを維持するために、アクティブでサポートされているモデルを確実にデプロイしてください。
Cost:
Azure OpenAI サービスを使用すると、トークンの使用量に基づいてコストが発生します。コスト効率を維持するために、定期的に Azure アカウントを監視してください。
Rate limiting:
スキャン中、大量の リクエストが Azure OpenAI サービスに送信されます。これらのリクエストが Azure サービスのクォータを超えた場合、Azure は一時的に接続をスロットリング (レート制限) する可能性があります。これは 予期される動作であり、関連するメッセージがスキャンログに表示される場合があります。リクエストが 頻繁にスロットリングされる場合、スキャンですべての分析に AI 機能を使用できなくなり、 最終的なスキャン結果に影響を与える可能性があります。
Validation rules:

入力する値は、以下の基準を満たす必要があります。

エンドポイント:

  • https:// で始まる有効な URL である必要があります。
  • 20 ~ 255 文字である必要があります。

デプロイメントモデル:

  • 2 ~ 255 文字である必要があります。

API キー:

  • 英数字 (文字と数字のみ) である必要があります。
  • 30 ~ 255 文字である必要があります。

手順

  1. 管理 ビューに移動します。
  2. 左側のナビゲーションペインで、一般 設定 をクリックします。
  3. AI 設定 セクションで、 管理 をクリックします。
    AI 設定の構成 ページが開きます。
  4. エンドポイント ボックスに、Azure OpenAI サービスのベース URL を入力します。

    URL は次の形式である必要があります。

    https://{your-resource-name}.openai.azure.com
    重要:
    ベース URL のみを入力してください。/openai/deployments/ などの パス情報を追加しないでください。システムは必要な リソースパスを自動的に構築します。
  5. デプロイメントモデル ボックスに、Azure OpenAI Studio で モデルをデプロイしたときに選択したカスタム名を入力します。
    注:
    デプロイメントの正確な名前を入力する必要があります。
  6. API キー ボックスに、API キーを入力します。
  7. 完了 をクリックします。

タスクの結果

完了 をクリックすると、AppScan Enterprise は Azure OpenAI への接続を 確認します。認証情報が有効な場合、構成が 保存され、AppScan Enterprise は以降のすべてのスキャンで拡張エラーページ検出のために このサービスを使用します。エンドポイント、デプロイメントモデル、または API キーが正しくない場合、 エラーが発生し、構成は保存されません。有効な認証情報が後で 期限切れになった場合、スキャンは標準のエラーページ検出メカニズムを使用して完了し、 AI 支援による検出はスキップされます。