新機能
このセクションでは、AppScan Standard の最新バージョンに関する、最新機能、機能強化、修正、今後の重要な変更および廃止について説明します。強力なセキュリティー体制を維持するために、これらの情報を常に把握しておく必要があります。
HCL AppScan Standard の新機能
- HCL AppScan Standard 10.10.0 の新機能
- HCL AppScan Standard 10.9.0 の新機能
- HCL AppScan Standard 10.8.0 の新機能
- HCL AppScan Standard 10.7.0 の新機能注: バージョン 10.6.0 以前はサポート終了 (EOS) となっており、ドキュメントから削除されています。
HCL AppScan Standard 10.10.0 の新機能
2025 年 11 月
- DAST LLM スキャナー: 攻撃者より先に LLM の弱点を把握AppScan Dynamic Application Security (DAST) を使用してお使いの大規模言語モデル (LLM) を保護します。DAST は、機密情報の開示、プロンプト・インジェクション、誤情報などの重大な脆弱性を特定するように特別に設計されています。
- カスタム・スクリプト: エディターの機能強化には、オートコンプリート機能の強化が含まれます。これらの機能強化により、JavaScript のメソッドやタイプが追加され、新しいワードの開始やピリオドの入力などのアクティベーション・トリガーが追加されました。
- マルチステップの機能強化: ユーザー・インターフェイスが改良され、ユーザー・エクスペリエンスが向上しています。再生済み要求 (生データとブラウザー) を表示し、記録済みの要求と再生済みの要求を比較するトラブルシューティング・オプションが追加されました。このオプションは、シーケンス検証後にのみ使用できます。
- コンプライアンス・レポート
- 新規レポート:
- OWASP Top 10 for LLM Applications 2025
- [カナダ] - ITSG-33 業界標準レポート
- 更新されたレポート:
- 国際標準化機構規格 - ISO 27001:2022
- 国際標準化機構規格 - ISO 27002:2022
- クレジット・カード業界データ・セキュリティー基準 (PCI DSS) - V4.0.1
- NIST Special Publication 800-53 - 5.2.0
- [EU] 欧州議会および理事会による 2016/679 規定 (GDPR)
- [米国] 医療保険サービス (HIPAA)
- コンプライアンス・レポートに推奨される修正の詳細が追加されました。
- 新規レポート:
- マスキングの機能強化: AppScan 全体のマスキング機能が強化され、機密情報をより一貫して保護できます。
- 自動ログインの機能強化: AppScan は、Angular アプリケーションをより確実にクロールし、まれなログイン記録の失敗を修正するとともに、再生失敗後の 2 回目の試行の間に遅延を追加して、全体的な成功率を向上させます。
- AngularJS フレームワークを使用するシングル・ページ・アプリケーション (SPA) スキャンのサポートが改善されました。
フィックスとセキュリティー更新
このリリースの新しいセキュリティー・ルールには、以下が含まれます。
- COOP - Cross-Origin-Opener-Policy (COOP) ヘッダーが存在しない、または安全でない
- CORP - Cross-Origin-Resource-Policy (CORP) ヘッダーが存在しない、または安全でない
- COEP - Cross-Origin-Embedder-Policy (COEP) ヘッダーが存在しない、または安全でない
- attCSPAPI - CSP の「frame-ancestors」ディレクティブ (API エンドポイント用) が存在しない、または安全でない
- attApacheOFBizRCECVE202445195 - Apache OFBiz RCE for CVE-2024-45195
- attApacheOFBizRCECVE202445507 - Apache OFBiz RCE for CVE-2024-45507
- attSpringFrameworkPathTraversalCVE202438816 - Spring Framework Path Traversal CVE-2024-38816 および CVE-2024-38819
- attWordpressPiePluginAuthenticationBypassCVE202534077 - Wordpress Pie Register Insufficient Authentication CVE-2025-34077
- attWordPressKubioPathTraversalCVE20252294 - Wordpress Kubio AI Page Builder plugin Path Traversal CVE-2025-2294
- 脆弱なコンポーネント・データベースをバージョン 1.8 に更新しました
このリリースの修正、新規または更新されたセキュリティー・ルール、および RFE の完全なリストについては、AppScan Standard の修正リストを参照してください。
このリリースで変更
- AI 構成を「テスト・オプション」から「ツール」 > 「オプション」 > 「AI 構成」に移動しました。
- セキュリティーを向上させるために、次の構成が削除されました。
- 拡張スキャン構成
- ログのサニタイズ
- レポートのサニタイズ
- 機密データの暗号化
- 「ツール」オプション
- EncryptPdfReportData
- 拡張スキャン構成
- 外部ブラウザーを使用したログインとマルチステップの記録で、アクション・ベースの記録がサポートされるようになりました。
- AppScan Connect: ASoC ユーザーは、スキャン・ファイルとともに問題を ASoC に公開できるようになりました。これにより、新しいスキャンを作成する代わりに再スキャンが可能になり、時間とリソースを節約できます。
- URL 制限が 1024 文字から 4096 文字に変更されました。
- Web API ウィザード (OpenAPI) 拡張機能が削除されました。
- バージョン 10.6.0 以前の AppScan Standard は、2025 年 6 月 30 日にサポート終了 (EOS) となりました。これらのバージョンのドキュメントは、公開ドキュメント・サイトでは入手できません。
- Microsoft® Windows® 10 のサポートが削除されました。
- Windows 2025 のサポート。
今後の変更
- レポート・コンポーネントは製品レベル (UI/AppScanCMD) でのみ使用可能になり、SDK レベルでは使用できません。
HCL AppScan Standard 10.9.0 の新機能
2025 年 7 月
注意: HCL AppScan Standard 10.9.1 の新しいバージョンが利用可能です。このアップデートには、複数の Chromium の脆弱性に対するセキュリティー修正プログラムとその他の改善が含まれています。このバージョンにアップグレードすることをお勧めします。詳細については、「修正リスト」および 10.9.0 のマニュアルを参照してください。
2025 年 6 月
- 次のアップデートによりカスタム・スクリプトが強化されました。
- コードエディター: 使いやすさ向上のため、構文チェックを改善し、オートコンプリート機能を強化しました。
- マルチステップ操作: カスタム・スクリプトを使用してパラメーターを動的に調整するためのサポートが追加されました。
- 動的フォーム入力パラメーター: フォーム入力での動的パラメーターのサポートを導入しました。
- データ交換に JSON または XML メッセージを使用する WebSocket プロトコルのサポート。
- コンプライアンス・レポートの更新:
- [米国] DISA の Application Security and Development STIG。V6R3
- CWE 上位 25 の最も危険なソフトウェアの脆弱性 2024
- 自動ログインの改善: AppScan は、自動ログインをより正確に実行できるようになり、全体的な成功率が向上しました。
- AppScan Unit-level DAST Intelligence Tester (AUDIT): 開発者中心の DAST アプローチにより、開発者は、特定のエンドポイントでターゲットを絞ったスキャンを効率的に実行し、SDLC の早期段階で脆弱性を検出して、IDE 内でシームレスに統合することができます。詳細については、AppScan Unit-level DAST Intelligence Tester (AUDIT) の記事を参照してください。
このリリースの新しいセキュリティー・ルールには、以下が含まれます。
- attWordpressGalleryPluginPathTraversalCVE20233279 - Wordpress Gallery Plugin Path Traversal CVE-2023-3279
- attWordPressBackupMigrationplugincve20235737 - WordPress Backup and Migration plugin Broken Access CVE-2023-5737
- attMobileMouseRCECVE202331902 - Mobile Mouse Remote Command Execution CVE-2023-31902
- attOpenWireApacheServerRCECVE202346604 - OpenWire Apache Server RCE for CVE-2023-46604
- attApacheHugeGraphRCECVE202427348 - Apache HugeGraph RCE CVE-2024-27348 attApacheOFBizRCECVE202438856 - Apache OFBiz RCE for CVE-2024-38856 attCactiRCECVE202425641 - Cacti RCE CVE-2024-25641
- attLMSBlindSqlInjectionTimeoutCVE20248529 - Wordpress Learnpress Plugin SQL Injection CVE-2024-8529
- attWordPressUltimateExporterRCECVE202456278 - Wordpress Ultimate Exporter RCE for CVE-2024-56278
- JwtWeakSecretKey -弱い JWT シークレット・キーを検出
- 脆弱なコンポーネント・データベースをバージョン 1.7 に更新しました
このリリースの修正、新規または更新されたセキュリティー・ルール、および RFE の完全なリストについては、AppScan Standard の修正リストを参照してください。
このリリースで変更
アクセシビリティー: 製品のアクセシビリティーを向上させるための大幅な強化。主な更新内容には次のものがあります。
- キーボードによるナビゲーション: キーボード・ショートカットとキーボードを使用したナビゲーションを容易にする機能の改善。
- スクリーン・リーダーのサポート: UI 要素へのアクセスを確保するための互換性の強化。
- カラー・コントラスト: コントラスト比を高めて視認性を向上。
- フォント・サイズ: 最大 200% まで拡大できるアクセシビリティーの強化。
- 包括的な VPAT 評価が完了し、セクション 508 や WCAG のようなアクセシビリティー規格への準拠が文書化されています。詳細については、「アクセシビリティー」を参照してください。
今後の変更
- バージョン 10.6.0 以前の AppScan Standard は、2025 年 6 月にサポート終了 (EOS) となります。サポート終了前に利用可能な最新バージョンに更新することをお勧めします。
- Microsoft® Windows® 10 および Microsoft® Windows® Server 2019 は、主要サポート期間が終了したため、AppScan の将来のバージョンではサポートが削除されます。
- Web API ウィザード (OpenAPI) 拡張機能は、AppScan の将来のバージョンで削除される予定です。
- レポート・コンポーネントは製品レベル (UI/AppScanCMD) でのみ使用可能になり、SDK レベルでは使用できません。
HCL AppScan Standard 10.8.0 の新機能
2025 年 4 月
注意: HCL AppScan Standard 10.8.1 の新しいバージョンが利用可能です。このアップデートには、ゼロデイ脆弱性 CVE-2025-2783 に対する修正プログラムとその他の改善が含まれています。このバージョンにアップグレードすることをお勧めします。詳細については、「修正リスト」と 10.8.0 のマニュアルを参照してください。10.8.1 に関するマニュアルの更新はありません。
2025 年 2 月
- AppScan Standard は、My HCLSoftware (MHS) からのみダウンロードしてください。
- HCL MHS ベースのライセンス: アップグレードする前に、MHS ライセンスをダウンロードまたは設定してください。FlexNet Operations Portal (FNO) からのすべての使用権が MHS に移行されます。新しいデプロイメントを MHS に作成し、お使いのライセンスを割り当ててアクティブ化してください。FNO でアクティブ化されたデバイスと製品は、動作しなくなります。ライセンス交付管理プラットフォームのみが変更されます。ライセンス・メトリックの変更や、FNO から MHS に移行するライセンスの追加料金は発生しません。MHS を使用してライセンスをセットアップする方法の詳細については、「クラウドまたはローカル・ライセンス・サーバーを使用したフローティング ライセンスのセットアップ」および「ノードロック・ライセンスのセットアップ」を参照してください。ライセンスを設定する方法に関するビデオ・チュートリアル:
- 自動更新: My HCLSoftware (MHS) と接続するための API キーを構成することにより、AppScan に新しい更新を自動的に適用する新機能です。詳しくは、「自動更新」を参照してください。
- カスタム・スクリプト: AppScan の組み込み JavaScript ランタイムを使用して、DAST スキャンに動的な挙動を追加します。スキャン中、AppScan は、要求が送信される前、または応答が受信された後に、カスタム・スクリプトを実行できます。スクリプトは HTTP 要求および応答ごとに実行されます。
- スキャン構成全体で「正規表現」ダイアログを再設計して、操作性を向上させました。
- 「ツール」 > 「オプション」 > 「記録プロキシー」から AppScan SSL 証明書セクションにアクセスするオプションを復元しました。
- URL を使用して Postman コレクションに対してスキャンが構成されている場合、再スキャンはその URL から最新の Postman コンテンツを取得します。
- 「ホスト/スキーム/ポートの変更」オプションを使用すると、ノイズとマークされた問題はノイズのままとなり、スキャン結果には再表示されません。
- DAST エンジンでの自動ログイン検出を強化しました。
フィックスとセキュリティー更新
このリリースの新しいセキュリティー・ルールには、以下が含まれます。
- attAppMetricsDataExposed - アプリケーション・メトリクス・エンドポイントの公開
- attWordPressPluginXSSCVE20237246 - WordPress プラグインのクロスサイト・スクリプティング CVE20237246
- attAtlassianConfluenceBrokenAccessCVE202322515 - Atlassian Confluence の アクセス制御の不備 CVE 2023 22515
- SriValidation - SRI 整合性チェックの検証
- CSP ルール - CSP 評価の修正により、17 件の新しいコンテンツ・セキュリティ・ポリシーの問題を検出
- 脆弱なコンポーネント・データベースをバージョン 1.6 に更新しました
このリリースの修正、新規または更新されたセキュリティー・ルール、および RFE の完全なリストについては、AppScan Standard の修正リストを参照してください。
このリリースで変更
- FlexNet Operations Portal (FNO) が廃止され、サポートが終了します。
今後の変更
- バージョン 10.6.0 以前の AppScan Standard は、2025 年 6 月にサポート終了 (EOS) となります。サポート終了前に利用可能な最新バージョンに更新することをお勧めします。
- Web API ウィザード (OpenAPI) 拡張機能は、AppScan の将来のバージョンで削除される予定です。
HCL AppScan Standard 10.7.0 の新機能
2024 年 10 月
- Azure OpenAI 構成では、テスト結果を絞り込むための追加フィルターを実装することで、精度が向上します。
- API スキャン・ワークフローは、自動ログイン・サポートを含む優れたユーザー体験を提供するように再設計されています。
- 新しいコンプライアンス・レポート:
- [EU] Digital Operational Resilience Act (DORA)
- OWASP Application Security Verification Standard
- 次のコンプライアンス・レポートが更新されました:
- [米国] DISA アプリケーションのセキュリティーと導入 STIG V6 リリース 1
- メイン・ツールバーからのレポート作成機能が再設計され、アクセシビリティーと使いやすさが向上しました。コンプライアンス・レポートおよび業界標準のレポートは、コンプライアンス・レポートとしてマージされます。
- AppScan Standard のダウンロードは、FlexNet Operations Portal (FNO) および My HCL Software (MHS) から入手できます。新しい MHS ポータルは将来のリリースで使用されるため、実際に試すことができます。
- 複数の「スキャン構成」ダイアログの操作性を向上させるために、次のような一連の機能強化および再設計が行われています。
- 構成プリセット
- ログイン管理
- カスタム・パラメーターの編集
- API
フィックスとセキュリティー更新
このリリースの新しいセキュリティー・ルールには、以下が含まれます。
- attJiraCVE202014179 - CVE-2020-14179 の検出
- 脆弱なコンポーネント・データベースをバージョン 1.5 に更新しました
- さらに、精度を向上させるために、AI を活用して多くのルールが変更されました。
このリリースの修正、新規または更新されたセキュリティー・ルール、および RFE の完全なリストについては、AppScan Standard の修正リストを参照してください。
このリリースで変更
- HCLSoftware 製品は、ライセンスの取得と管理において変更が進行中です。詳細については、「ライセンス変更のお知らせ」のブログ投稿を参照してください。
- 以前は SSL サイトからのトラフィックを記録するために使用されていた AppScan SSL 証明書をインストールするオプションを削除しました。
今後の変更
- バージョン 10.6.0 以前の AppScan Standard は、2025 年 6 月にサポート終了 (EOS) となります。サポート終了前に利用可能な最新バージョンに更新することをお勧めします。
- Web API ウィザード (OpenAPI) 拡張機能は、AppScan の将来のバージョンで削除される予定です。