ようこそ
HCL AppScan Standard バージョン 10.10.0 のドキュメントへようこそ。
はじめに
このセクションでは、ウィザードを使用したスキャンのセットアップを含む、基本的な製品の機能および手順について簡単に紹介します。
新機能
このセクションでは、AppScan Standard の最新バージョンに関する、最新機能、機能強化、修正、今後の重要な変更および廃止について説明します。強力なセキュリティー体制を維持するために、これらの情報を常に把握しておく必要があります。
システム要件
ここでは、 を実行するマシンAppScan Standardに必要な最低限のハードウェアとソフトウェアの概要を示します。
インストール
インストール・ウィザードにより、簡単で迅速なインストールを実行できます。
HCL ライセンス
HCLは My HCLSoftware (MHS) ポータルを通じてソフトウェアのダウンロードとライセンス供与を管理しています。
自動スキャンの仕組み
このトピックでは、スキャンの「ステージ」と「フェーズ」の違いについて説明します。
Web アプリケーションと API の探査方法
このトピックでは、AppScan によるテストの前にサイトを探査するために使用可能なさまざまな方法について説明しています。
Web アプリケーションの自動スキャン・ワークフロー
簡単な Web アプリケーションの自動スキャン・ワークフローを提供します。
Web API 自動スキャン・ワークフロー
Web API の自動スキャンの簡単なワークフローを提供します。
ホーム画面
AppScan Standard のロード時に開くホーム画面で使用可能なオプションを説明します。
メイン画面のツアー
AppScan のメイン画面 (「問題」ビュー) の構成要素、およびすべてのメニューとツールバーについて説明します。
チュートリアル
この簡単なチュートリアルでは、スキャン構成ウィザードを使用した単純なアプリケーション・スキャンの構成、スキャンの実行、および結果の確認を行う手順を順番に示します。
サンプル・ファイル
サンプル・ファイルは、AppScan の使用感、およびスキャン結果がどのように表示されるかを確認するのに役立ちます。
構成
ご使用のアプリケーションと希望するテストの種類に最も当てはまる設定を選択して、スキャンを構成します。
プリセット
プリセットでは、特定のタイプのスキャンに必要なメイン構成ビューが提供されます。
SCAN ファイルの構造
AppScan Standard SCAN ファイルの基本的な構造について説明します。
スキャン・テンプレート
スキャン・テンプレートとは、再使用できるように保存された単なるスキャン構成 です。
Intelligent Findings Analytics (IFA)
Intelligent Finding Analytics (IFA) は、人工知能 (AI) と機械学習 (ML) を使用してデータを分析し、パターンを発見し、予測を行い、最終的にデータを実用的な洞察に変換します。IFA では、高度な方法を使用してより深い意味を見つけ、よりスマートな意思決定を行うことで、通常のデータ分析にとどまらない結果を出しています。
DAST LLM スキャナー
攻撃者に悪用される前に、機密情報の開示、プロンプト・インジェクション、データ窃取、ツール悪用、コンテンツ・ポリシー違反などがないか、アプリケーション内の大規模言語モデル (LLM) 機能を動的にテストします。チャット・エンドポイント、検索拡張生成 (RAG) パイプライン、その他の LLM コンポーネントをターゲットとして AppScan を構成し、再現可能な検出結果を完全なトランスクリプトと是正措置のガイダンスと合わせてレビューします。
よりスマートなエラー・ページ検出を実現する AI
Dynamic Application Security Testing (DAST) の Intelligent Finding Analytics (IFA) は、誤検出を低減し、テスト結果を向上させることで、エラー・ページの検出を強化します。HCL AppScan DAST は、ヒューリスティックで包括的な方法を使用してエラー・ページを特定します。Gen AI がエラーを確認してエッジ・ケースを処理するために選択的に採用されることになり、精度が向上し、スキャン時間が最小限に抑えられます。
マニュアル探査
マニュアル探査を使用すると、実行中にフィールドおよびフォームを入力しながらアプリケーションの特定の部分を探査することができます。この方法を使用することで、サイトの特定のエリアが確実にカバーされ、AppScan では、すべてのフォームへの正しい入力に必要な情報を得ることができます。
ブラウザーの使用
Web アプリケーションを対象にしたマニュアル探査の場合、通常、組み込みの AppScan ブラウザーを使用できます。必要に応じて、外部ブラウザーを使用できます。
外部クライアントの使用
携帯電話、シミュレーター、エミュレーターを使用して、RESTful や その他の非 SOAP Web API (セキュリティ・エンベロープを必要としないSOAP API) のマニュアル探査を行うことができます。AppScan は、その外部トラフィック・レコーダーにドメインおよび要求を表示し、入力から適切なテストを作成します。
スキャン
スキャンの開始方法、スキャン中に何が行われるか、探査ステージの手動による操作方法、スキャン結果のエクスポート方法について説明します。
Data (データ)
データ・ビューには、スキャンの探査のステージ中にサイトの構造に関する情報が取り込まれます。
問題
「問題」ビューでは、スキャンの結果にアクセスできます。結果を概略レベルで表示することも、特定のテストまたはオブジェクトを選択して詳細にアクセスすることもできます。これらの詳細には、修正方法、要求/応答、および問題が発生したテスト・バリアント間の差が含まれます。問題の重大度を操作したり、(修正ありまたは修正なしで) テストを再送したり、問題に基づいたレポートを作成したりできます。
レポート・レイアウトのカスタマイズ
「レポート作成」ダイアログ・ボックスの「レポート・レイアウトのカスタマイズ」オプションを使用して、レポートの外観をカスタマイズできます。この機能はオプションです。デフォルトのレイアウトを使用してレポートを作成して問題ありません。
レポートの表示と保存
レポートはさまざまな形式で生成、表示、保存できます。
部分レポートの作成
レポートを作成する URL またはフォルダーを右クリックすることで、スキャン結果のサブセットのセキュリティー・レポートまたはテンプレートに基づくレポートを作成できます。
前のバージョンのレポート・テンプレート
いくつかの業界標準テンプレートおよびコンプライアンス・テンプレートについては、前のバージョンが「Old Versions」フォルダーに保存されています。
セキュリティー・レポート
セキュリティー・レポートには、検出されたセキュリティー問題に関する情報が出力され、ユーザーは必要なコンテンツ・タイプに応じて各種テンプレートから選択することができます。
コンプライアンス・レポート
コンプライアンス・レポートは、コンプライアンス・レポートと業界標準のレポートで構成されています。コンプライアンス・レポートを利用すると、ユーザーのアプリケーションが、特定の規制や法的標準に準拠しているかどうかが分かります。業界標準のレポートを利用すると、ユーザーのアプリケーションが、選択した業界の委員会の標準に準拠しているかどうかが分かります。
差分分析レポート
「差分分析」レポートでは、2 組のスキャン結果が比較され、URL とそこで発見されたセキュリティー問題の差異が示されます。
テンプレートに基づくレポート
「レポート作成」ダイアログ・ボックスの「テンプレートに基づく」タブでは、ユーザーが必要とするデータのみを指定して、ユーザーが定義する文書フォーマット設定で、Microsoft® Word DOC および DOCX 形式のレポートを作成できます。
ツール
このセクションでは、HCL AppScan Standard が提供する追加ツールの使用法を説明します。
「オプション」ダイアログ・ボックス
このセクションでは、AppScan をカスタマイズするために、「オプション」ダイアログ・ボックス (「ツール」>「オプション」) から制御できるオプションについて説明します。
パワー・ツール
AppScan は 5 つのユーティリティー (パワー・ツール) にアクセスします。各パワー・ツールは、アプリケーションのセキュリティーを管理したり、 AppScan を使用する際に役立つ特定の機能を提供します。
ログ
ログは、トラブルシューティングに役立ちます。
検索結果
すべてのビューで特定のデータについて「結果リスト」をフィルタリングすることができます。
統合
このセクションでは、その他のアプリケーションと AppScan Standard との統合について説明します。
AppScan on Cloud
このセクションでは、クラウド上のアプリケーションをスキャンするために、AppScan Standard が HCL AppScan on Cloud と対話する方法について説明します。
AppScan 360°
このセクションでは、AppScan Standard と HCL AppScan 360° の連携方法について説明します。
AppScan Enterprise
このセクションでは、AppScan Standard 版と Enterprise 版の相互作用について説明します。
自動化フレームワーク
QA 自動化フレームワーク (Selenium など) のために記述されたスクリプトを使用して、AppScan スキャンでマニュアル探査記録を作成することができます。
ベスト・プラクティス
このセクションでは、上級ユーザー向けのベスト・プラクティスおよびユース・ケースについて説明します。
上級ユーザー用のワークフロー
このワークフローは、Web セキュリティー分野の経験を持つユーザーが、さらに詳細なスキャンを実行する場合に役立ちます。
パラメーター・ベースの移動を使用するサイト
単一の URL を使用してすべてのページにアクセスできるサイトでは、特定のスキャン構成が必要です。
ライブ実稼働環境のスキャン
AppScan を使用してライブ・サイトをスキャンする前に、以下のリスクと提案について考慮してください。
テストの最適化の理解
このセクションでは、テストの最適化の動作と、テストの最適化を開発ライフサイクルに組み込むための最善の方法について説明します。
よくある質問
このトピックでは、一般的なアプリケーションについての質問を扱います。
外部トラフィック・レコーダーによって記録できない
外部デバイスが適切に構成されている場合、AppScan の外部ログイン・レコーダーと外部トラフィック・レコーダーは、ユーザーがそのデバイスから送信するトラフィックを、送信ごとに表示します。このセクションでは、そのように表示されない場合の対処方法を提示しています。
ログインのトラブルシューティング
「スキャン構成」 > 「ログイン管理」ビューでのセッション検出の問題のトラブルシューティングのヒント。
マルチステップ操作のトラブルシューティング
アクション・ベースのマルチステップ操作のトラブルシューティングに関するいくつかの提案。
セッション外のトラブルシューティング
セッション外の問題のトラブルシューティングについていくつか提案します。
Postman コレクションを使用したスキャン
Postman コレクションを使用したスキャンのトラブルシューティングに関するいくつかの提案です。
サーバーが応答していない
サーバーが応答しない場合のトラブルシューティングについていくつか提案します。
拡張サポート・モード
拡張サポート・モードでは、AppScan のすべてのアクティビティーがログに記録されます。問題のある手順のトラブルシューティングのため、それらのログをパッキングしてサポート・プロバイダーに送信することができます。
デフォルト・ブラウザーの変更
標準装備のブラウザー以外のブラウザーを使用するように AppScan を構成することができます。
ログ
このセクションでは、スキャン・ログ・メッセージについて説明します (「表示」>「スキャン・ログ」)
CLI
このセクションでは、コマンド行インターフェースを使って使用できる構文およびオプションを説明しています。
参照
メニューおよびツールバーの概要および用語集
ブラウザーのツールバー
アプリケーション応答に関するスクリーン・ショットの表示および保存に使用される、組み込みの AppScan® ブラウザーのツールバー上のアイコン。
アクセシビリティー
AppScan Standard は、特別な能力を持つユーザーがアプリケーションを効果的にナビゲートして操作できるようにする機能をサポートすることで、アクセシビリティーを確保し、全体的な使いやすさとアクセシビリティー規格への準拠を強化します。
一時ファイル
AppScan® が通常の操作中に一時ファイルを保存する場所と、その場所の変更方法を説明します。
用語集
この用語集は、AppScan® Standard のユーザー・インターフェースおよび資料で使用されている用語と頭字語について説明します。
WebSocket のサポート
AppScan は、特別な設定を必要とせずに、スキャン中に自動的に検出し適切なテストを実行することで、データ交換に JSON または XML メッセージを使用する WebSocket プロトコルをシームレスに処理します。
CWE サポート
共通脆弱性タイプ一覧 (Common Weakness Enumeration) は、公的に認識されているソフトウェアの脆弱性に関する一般名を提供する業界標準のリストです。以下に示す CWE の ID と、その親 ID または子 ID が、現在のバージョンの AppScan Standard でサポートされています。