Welcome
構成
ご使用のアプリケーションと希望するテストの種類に最も当てはまる設定を選択して、スキャンを構成します。
ビュー
除外されるパスおよびファイル
アプリケーションの特定のパスや、特定タイプのファイルを無視するように AppScan を構成することができます。

ようこそ
HCL AppScan Standard バージョン 10.11.0 のドキュメントへようこそ。
はじめに
このセクションでは、ウィザードを使用したスキャンのセットアップを含む、基本的な製品の機能および手順について簡単に紹介します。
構成
ご使用のアプリケーションと希望するテストの種類に最も当てはまる設定を選択して、スキャンを構成します。
- プリセット
  プリセットでは、特定のタイプのスキャンに必要なメイン構成ビューが提供されます。
- ビュー
  - 開始 URL およびドメイン
    スキャンの開始 URL、および含める必要のある追加のサーバーとドメインを構成します。
  - API
    Web API をスキャンするには、API タイプと探査方法を定義し、テストするドメインを指定します。
  - 除外されるパスおよびファイル
    アプリケーションの特定のパスや、特定タイプのファイルを無視するように AppScan を構成することができます。
    - パスの除外
      アプリケーション内の特定のパスをスキャンから除外します。
    - 特定のフォルダーへのスキャンの制限
      除外および例外を使用して、スキャンの範囲を制限します。
    - ファイルの除外
      特定のタイプのファイルをスキャンから除外します。
  - マルチステップ操作
    その他の方法では到達できない可能性があるアプリケーションの特定の部分に到達するために必要なマルチステップ操作を記録および管理します。
  - 大規模言語モデル (Large Language Model/LLM)
    機密情報の開示、プロンプト・インジェクション、データ窃取、ツール悪用、コンテンツ・ポリシー違反などのリスクがないか、アプリケーション内の大規模言語モデル (LLM) 機能を動的にテストするように AppScan を構成します。チャット・エンドポイント、検索拡張生成 (RAG) パイプライン、その他の LLM コンポーネントをターゲットとして、再現可能な検出結果を完全なトランスクリプトと修復のガイダンスと合わせてレビューします。
  - ログイン管理
    AppScan® にアプリケーションへのログイン方法を示します。
  - API キー
    AppScan Standard は、API キーを必要とする API をスキャンするための API 認証をサポートします。
  - 多要素認証 (MFA)
    ワンタイム・パスワードまたはセキュリティーの質問 (多要素認証) を使用するように、AppScan® を構成します。
  - HTTP 認証
    サーバー側の認証およびクライアント側の証明書の追加 (アプリケーションで必要とされる場合)
  - AWS 認証
    AWS 設定を構成します。
  - 通信およびプロキシー
    通信タイムアウトおよびプロキシー・サーバー設定の構成
  - パラメーター、Cookie、およびヘッダー
    スキャンから除外するセッション ID およびリスト・パラメーターを識別します。
  - 自動フォーム入力
    スキャン中にアプリケーションにフォームを入力するために有効なパラメーター値を AppScan® へ指定します。
  - エラー・ページ
    AppScan® が応答内容、パス (またはその両方) 内でエラー・ページを認識できるようにするストリングまたは正規表現を追加することで、アプリケーションのエラー・ページの識別機能を強化します。これにより、AppScan がエラー・ページを効果的に認識して処理できるようになり、セキュリティ・スキャンの全体的な精度が向上します。
  - 探査オプション
    AppScan がアプリケーションの探査に使用する探査方法 (アクション・ベース、要求ベース、またはその両方) と、その他の基本的な探査設定と詳細な探査設定を定義します。
  - テスト・ポリシーと最適化
    テスト中にアプリケーションに送信されるテストのコレクション (テスト・ポリシー) を定義します。また、詳細なスキャンよりも迅速なスキャンを優先する製品のライフサイクルで、スキャンを高速化するための最適化を適用します。
  - 環境定義
    環境定義は必須ではありませんが、AppScan® でスキャン中に関連性のないテストを送信することを安全に抑制できるようになります。その結果、スキャンをさらに高速かつ正確に実施できます。CVSS 3.1 環境スコアをカスタマイズすると、スキャン結果の精度が向上します。
  - テスト・オプション
    追加のテスト・オプション。
  - 拡張構成
    このビューを使用すると、多くの詳細設定にアクセスできます。このビューは、経験のある AppScan ユーザーのみ、または問題をトラブルシューティングするためにサポート・チームから指示された場合にのみ使用してください。
  - カスタム・スクリプト
    カスタム・スクリプトを使用すると、DAST スキャンをより動的に実行できます。JavaScript を追加することで、スキャン中に HTTP 要求と応答を操作することができます。これは、要求がサーバーに送信される前、または応答が受信された後のいずれかに行うことができます。
  - アクセス制御の不備 (Broken access control)
    異なるユーザー権限で実行されたセッションのスキャン結果を比較して、特権ユーザー用に予約されたリソースが特権ユーザー以外のユーザーにアクセスできるかどうかを判断します。これにより、アクセス制御の不備、特に、権限の低いユーザーが保護されたデータや機能にアクセスできるようになる、権限の昇格を特定できます。
  - コンテンツ・ベースのビュー
    URL ベースのツリーが、単に 1 つまたは 2 つの URL の下の長いリストになる場合に、アプリケーション・ツリーの論理構造を定義できます。これは必須ではありませんが、結果に移動しやすくなります。
- SCAN ファイルの構造
  AppScan Standard SCAN ファイルの基本的な構造について説明します。
- スキャン・テンプレート
  スキャン・テンプレートとは、再使用できるように保存された単なるスキャン構成です。
- スキャン中の構成の変更
Intelligent Findings Analytics (IFA)
Intelligent Finding Analytics (IFA) は、人工知能 (AI) と機械学習 (ML) を使用してデータを分析し、パターンを発見し、予測を行い、最終的にデータを実用的な洞察に変換します。IFA では、高度な方法を使用してより深い意味を見つけ、よりスマートな意思決定を行うことで、通常のデータ分析にとどまらない結果を出しています。
マニュアル探査
マニュアル探査を使用すると、実行中にフィールドおよびフォームを入力しながらアプリケーションの特定の部分を探査することができます。この方法を使用することで、サイトの特定のエリアが確実にカバーされ、AppScan では、すべてのフォームへの正しい入力に必要な情報を得ることができます。
スキャン
スキャンの開始方法、スキャン中に何が行われるか、探査ステージの手動による操作方法、スキャン結果のエクスポート方法について説明します。
Data (データ)
データ・ビューには、スキャンの探査のステージ中にサイトの構造に関する情報が取り込まれます。
問題
「問題」ビューでは、スキャンの結果にアクセスできます。結果を概略レベルで表示することも、特定のテストまたはオブジェクトを選択して詳細にアクセスすることもできます。これらの詳細には、修正方法、要求/応答、および問題が発生したテスト・バリアント間の差が含まれます。問題の重大度を操作したり、(修正ありまたは修正なしで) テストを再送したり、問題に基づいたレポートを作成したりできます。
レポート
ツール
このセクションでは、HCL AppScan Standard が提供する追加ツールの使用法を説明します。
統合
このセクションでは、その他のアプリケーションと AppScan Standard との統合について説明します。
ベスト・プラクティス
このセクションでは、上級ユーザー向けのベスト・プラクティスおよびユース・ケースについて説明します。
よくある質問とトラブルシューティング
CLI
このセクションでは、コマンド行インターフェースを使って使用できる構文およびオプションを説明しています。
参照
メニューおよびツールバーの概要および用語集

除外されるパスおよびファイル

アプリケーションの特定のパスや、特定タイプのファイルを無視するように AppScan を構成することができます。

ただし、除外対象には重要な脆弱性が含まれていることがあるため、除外の適用は慎重に行う必要があります。ここで行う変更は、「構成」>「探査オプション」>「探査方法」で構成されるアクション・ベースの探査ではなく、要求ベースの探査にのみ適用されます。


設定	詳細
除外されるパス	URL (絶対パス。クエリーを含む場合がある) または正規表現を「除外または包含するパス」リストに追加することにより、自動探査ステージの有効範囲をフィルタリングできます。詳細については、次を参照パスの除外
除外されるファイル	スキャン中に特定タイプのファイルを無視するように AppScan を構成することができます。例えば、グラフィック・ファイルを除外すると、スキャンはより高速に実行されます。ただし、除外するファイルには重要な問題が含まれている場合があるため、ファイルの除外は慎重に行う必要があります。詳細については、次を参照ファイルの除外

開始 URL フォルダーへのスキャンの制限