セキュリティー・テスト・ポリシー

セキュリティー・テスト・ポリシーは、セキュリティー・テストの定義済みセットです。ユーザーがセキュリティー・スキャンを実行するには、サーバー・グループとテスト・ポリシーの両方がユーザーにあらかじめ割り当てられている必要があります。

管理者には、テスト・ポリシーへの明示的なアクセス権限を付与する必要はありません。また、サーバー・グループに割り当てる必要もありません。使用可能なテスト・ポリシーには以下の 2 つのタイプがあります。

  • Simple security test policy では、テストの概要を定義します。単純テスト・ポリシーは、AppScan® Enterprise Server で作成および編集でき、サーバー・グループに割り当てることができます。
  • Advanced security test policy は、より細かいレベルでテストを定義します。詳細テスト・ポリシーは、AppScan® 7.7 以上からインポートでき、サーバー・グループに割り当てることができます。ただし、それらのプロパティーを編集することはできません。
    • アプリケーションのみ: 安全でないテストとポート・リスナー・テストを除くすべてのアプリケーション・レベルのテストを含みます。
    • 完全一致: すべての AppScan® テストを含みます。
    • デフォルト: 安全でないテストとポート・リスナー・テストを除くすべてのテストを含みます。
    • 開発者必需テスト: 検出の確率が高いアプリケーション ・テストとして選択されたものを含みます。これは、時間が制限されているときにサイトを評価する場合に役立ちます。
    • インフラストラクチャーのみ: 安全でないテストとポート・リスナー・テストを除くすべてのインフラストラクチャー・レベルのテストを含みます。
    • 安全でないテスト: すべての安全でないテスト (サーバーの安定度に影響を与える可能性があるテスト) を含みます。
    • OWASP Top 10 - 2021: 侵襲的テストとポート リスナー テストを除くすべてのテストが含まれます。
    • OWASP Top 10 API Security Risks - 2023: 侵襲的テストとポート リスナー テストを除くすべてのテストが含まれます。
    • 実動サイト: サイトに損害を与える可能性がある安全でないテストや、他のユーザーに対するサービス妨害の原因となる可能性があるテストを除外します。
    • 厳選テスト: 検出の確率が高いテストとして選択されたものを含みます。これは、時間が制限されているときにサイトを評価する場合に役立ちます。
    • サード・パーティーのみ: 安全でないテストとポート・リスナー・テストを除くすべてのサード・パーティー・レベルのテストを含みます。
    • Web サービス (非推奨): 安全でないテストとポート・リスナー・テストを除くすべての SOAP 関連のテストを含みます。

AppScan Standard の FAQ から

Web サービス、厳選テスト、および開発者必需テストのテスト・ポリシーが削除された場合に置き換えることができるテスト・ポリシー
  • バージョン 10.0.5 では、今後のリリースで 3 つのテスト・ポリシーを削除することが発表されました。以下の方法でも、同様の結果が得られます。これらのポリシーを使用する場合は、提案されている代替手段を使用することが勧められています。
    現在のポリシー 提案されている代替手段
    Web サービス デフォルト

    デフォルトのテスト・ポリシーは Web サービスをカバーするようになっているため、別のポリシーは必要ありません。

    厳選テスト デフォルト

    デフォルトのポリシーは、最も高速の「テストの最適化」設定とともに使用します。

    開発者必需テスト デフォルト

    「アプリケーションのみ」ポリシーは、より高速の「テストの最適化」設定のいずれかとともに使用します。