米国政府の規制の準拠

米国政府のセキュリティーおよび情報技術に関する規制を順守することは、販売の障害をなくすことにつながります。また、これにより HCL® が自社製品を業界内で最もセキュアなものにするべく取り組んでいるということを、世界中の見込み客に実証することができます。このトピックでは、AppScan® Source がサポートする規格とガイドラインについて示します。

インターネット・プロトコル・バージョン 6 (IPv6)

AppScan® Source は IPv6 に対して有効ですが、以下の例外があります。

  • IPv6 の数値アドレスの入力はサポートされておらず、代わりにホスト名を入力する必要があります。IPv4 の数値アドレスの入力はサポートされています。
  • Rational Team Concert に接続する場合は、IPv6 はサポートされません。

連邦情報処理標準 (Federal Information Processing Standard) (FIPS)

AppScan® Source でサポートされている Windows プラットフォームおよび Linux プラットフォーム上では、AppScan® Source は、FIPS 140-2 の認定済み暗号モジュールと承認されたアルゴリズムを使用することで、FIPS 出版物 140-2 に対応しています。

AppScan® Source FIPS 準拠に関する背景情報を学習し、AppScan® Source FIPS 140-2 モードを有効および無効にする方法を確認するには、以下の技術情報を参照してください。

米国連邦情報・技術局 (NIST) Special Publication (SP) 800-131a

NIST SP 800-131A ガイドラインは、暗号鍵管理に関する指針を示しています。このガイドラインには、以下の内容が含まれています。

  • 鍵管理の手順。
  • 暗号アルゴリズムの使用方法。
  • 使用するアルゴリズムとそのアルゴリズムの最小強度。
  • セキュア通信のための鍵の長さ。

政府機関および金融機関は、NIST SP 800-131A ガイドラインを使用して、製品が指定のセキュリティー要件に準拠していることを確認します。

NIST SP 800-131A は、AppScan® Source が FIPS 140-2 モードで作動している場合のみサポートされます。AppScan® Source FIPS 140-2 モードを有効および無効にする方法については、連邦情報処理標準 (Federal Information Processing Standard) (FIPS) を参照してください。

重要:
接続先の AppScan® Enterprise Server の NIST 800-131a コンプライアンスが有効になっている場合、Transport Layer Security V1.2 を適用するように AppScan® Source を設定する必要があります。Transport Layer Security V1.2 が適用されていない場合、サーバーに接続できません。
  • AppScan® Source Database をインストールしていない場合 (クライアント・コンポーネントのみをインストールしている場合など)、<data_dir>\config\ounce.ozsettings(<data_dir>AppScan® Source プログラム・データの場所です。説明は インストールとユーザー・データ・ファイルの場所) を変更して Transport Layer Security V1.2 を適用できます。このファイルで、以下の設定を見つけます。
    <Setting
    		 name="tls_protocol_version"
    		 read_only="false"
    		 default_value="0"
    		 value="0"
    		 description="Minor Version of the TLS Connection Protocol"
    		 type="text"
    		 display_name="TLS Protocol Version"
    		 display_name_id=""
    		 available_values="0:1:2"
    		 hidden="false"
    		 force_upgrade="false"
    	/>

    設定で value="0"value="2" に変更し、ファイルを保存します。

  • AppScan® Source Database をインストールしている場合は、AppScan® SourceEnterprise Server の両方をインストールした後に、HCL® AppScan® Enterprise Server データベース構成ツールでトランスポート層セキュリティー V1.2 を適用します。

Windows United States Government Configuration Baseline (USGCB) を使用するように構成されているマシン

AppScan® Source では、USGCB 仕様で構成されている Windows マシンでアプリケーションをスキャンできます。

注: USGCB 仕様で構成されているマシンでは、AppScan® Source は、障害追跡システムと、HP Quality Center または Rational® ClearQuest® との統合をサポートしていません。