ホーム
構成
ご使用のアプリケーションと希望するテストの種類に最も当てはまる設定を選択して、スキャンを構成します。
ビュー
テスト・オプション
追加のテスト・オプション。
Azure OpenAIの設定
Dynamic Application Security Testing（DAST）におけるIntelligent Finding Analytics（IFA）は、誤検知を減らし、テスト結果を向上させることでエラーページの検出を強化します。HCL AppScan DASTは、エラーページを特定するためにヒューリスティックおよび包括的な方法を使用しています。Gen AIは、エラーを確認しエッジケースを処理するために選択的に使用され、これにより精度が向上し、スキャン時間が短縮されます。

ようこそ
HCL AppScan Standard バージョン 10.9.0 のドキュメントへようこそ。
はじめに
このセクションでは、ウィザードを使用したスキャンのセットアップを含む、基本的な製品の機能および手順について簡単に紹介します。
構成
ご使用のアプリケーションと希望するテストの種類に最も当てはまる設定を選択して、スキャンを構成します。
- プリセット
  プリセットでは、特定のタイプのスキャンに必要なメイン構成ビューが提供されます。
- ビュー
  - 開始 URL およびドメイン
    スキャンの開始 URL、および含める必要のある追加のサーバーとドメインを構成します。
  - API
    Web API をスキャンするには、API タイプと探査方法を定義し、テストするドメインを指定します。
  - 除外されるパスおよびファイル
    アプリケーションの特定のパスや、特定タイプのファイルを無視するように AppScan を構成できます。
  - マルチステップ操作
    その他の方法では到達できない可能性があるアプリケーションの特定の部分に到達するために必要なマルチステップ操作を記録および管理します。
  - ログイン管理
    AppScan® にアプリケーションへのログイン方法を示します。
  - API キー
    AppScan Standard は、API キーを必要とする API をスキャンするための API 認証をサポートします。
  - 多要素認証（MFA）
    ワンタイム・パスワードまたはセキュリティーの質問 (多要素認証) を使用するように、AppScan® を構成します。
  - HTTP 認証
    サーバー側の認証およびクライアント側の証明書の追加 (アプリケーションで必要とされる場合)
  - AWS 認証
    AWS 設定を構成します。
  - 通信およびプロキシー
    通信タイムアウトおよびプロキシー・サーバー設定の構成
  - パラメーター、Cookie、およびヘッダー
    スキャンから除外するセッション ID およびリスト・パラメーターを識別します。
  - 自動フォーム入力
    スキャン中にアプリケーションにフォームを入力するために有効なパラメーター値を AppScan® へ指定します。
  - エラー・ページ
    AppScan® が応答内容、パス (またはその両方) 内でエラー・ページを認識できるようにするストリングまたは正規表現を追加することで、アプリケーションのエラー・ページの識別機能を強化します。これにより、AppScan がエラー・ページを効果的に認識して処理できるようになり、セキュリティ・スキャンの全体的な精度が向上します。
  - 探査オプション
    AppScan がアプリケーションの探査に使用する探査方法 (アクション・ベース、要求ベース、またはその両方) と、その他の基本的な探査設定と詳細な探査設定を定義します。
  - テスト・ポリシーと最適化
    テスト中にアプリケーションに送信されるテストのコレクションを定義します (テスト・ポリシー)。また、詳細なスキャンよりも迅速なスキャンを優先する場合に、製品のライフサイクルでスキャンを高速化するための最適化を適用します。
  - 環境定義
    環境定義は必須ではありませんが、AppScan® でスキャン中に関連性のないテストを送信することを安全に抑制できるようになります。その結果、スキャンをさらに高速かつ正確に実施できます。CVSS 3.1 環境スコアをカスタマイズすると、スキャン結果の精度が向上します。
  - テスト・オプション
    追加のテスト・オプション。
    - Azure OpenAIの設定
      Dynamic Application Security Testing（DAST）におけるIntelligent Finding Analytics（IFA）は、誤検知を減らし、テスト結果を向上させることでエラーページの検出を強化します。HCL AppScan DASTは、エラーページを特定するためにヒューリスティックおよび包括的な方法を使用しています。Gen AIは、エラーを確認しエッジケースを処理するために選択的に使用され、これにより精度が向上し、スキャン時間が短縮されます。
  - 拡張構成
    このビューを使用すると、多くの詳細設定にアクセスできます。このビューは、経験のある AppScan ユーザーのみ、または問題をトラブルシューティングするためにサポート・チームから指示された場合にのみ使用してください。
  - カスタムスクリプト
    AppScan を使用してカスタム・スクリプトを DAST スキャンに統合し、HTTP 要求と応答を動的に操作して、セキュリティー・テストの柔軟性と有効性を強化します。
  - 権限拡張
    異なるユーザー権限を使用したスキャンを比較して、特権リソースに非特権ユーザーがアクセスできるかどうかを確認します。
  - コンテンツ・ベースのビュー
    URL ベースのツリーが、単に 1 つまたは 2 つの URL の下の長いリストになる場合に、アプリケーション・ツリーの論理構造を定義できます。これは必須ではありませんが、結果に移動しやすくなります。
- SCAN ファイルの構造
  AppScan Standard SCAN ファイルの基本的な構造について説明します。
- スキャン・テンプレート
  スキャン・テンプレートとは、再使用できるように保存された単なるスキャン構成です。
- スキャン中の構成の変更
Intelligent Finding Analytics (IFA)
Intelligent Finding Analytics（IFA）は、人工知能（AI）と機械学習（ML）を活用してデータを分析し、パターンを発見し、予測を行うことで、最終的にデータを実行可能なインサイトに変換します。IFAは、通常のデータ分析を超えて、より深い意味を見出し、賢明な決定を下すために高度な手法を駆使します。
マニュアル探査
マニュアル探査を使用すると、実行中にフィールドおよびフォームを入力しながらアプリケーションの特定の部分を探査することができます。この方法を使用することで、サイトの特定のエリアが確実にカバーされ、AppScan では、すべてのフォームへの正しい入力に必要な情報を得ることができます。
スキャン
スキャンの開始方法、スキャン中に何が行われるか、探査ステージの手動による操作方法、スキャン結果のエクスポート方法について説明します。
Data (データ)
データ・ビューには、スキャンの探査のステージ中にサイトの構造に関する情報が取り込まれます。
問題
「問題」ビューでは、スキャンの結果にアクセスできます。結果を概略レベルで表示することも、特定のテストまたはオブジェクトを選択して詳細にアクセスすることもできます。これらの詳細には、修正方法、要求/応答、および問題が発生したテスト・バリアント間の差が含まれます。問題の重大度を操作したり、(修正ありまたは修正なしで) テストを再送したり、問題に基づいたレポートを作成したりできます。
レポート
ツール
このセクションでは、HCL AppScan Standard が提供する追加ツールの使用法を説明します。
統合
このセクションでは、その他のアプリケーションと AppScan Standard との統合について説明します。
ベスト・プラクティス
このセクションでは、上級ユーザー向けのベスト・プラクティスおよびユース・ケースについて説明します。
よくある質問とトラブルシューティング
CLI
このセクションでは、コマンド行インターフェースを使って使用できる構文およびオプションを説明しています。
参照
メニューおよびツールバーの概要および用語集

Azure OpenAIを使用したエラーページ検出

Dynamic Application Security Testing（DAST）におけるIntelligent Finding Analytics（IFA）は、誤検知を減らし、テスト結果を向上させることでエラーページの検出を強化します。HCL AppScan DASTは、エラーページを特定するためにヒューリスティックおよび包括的な方法を使用しています。Gen AIは、エラーを確認しエッジケースを処理するために選択的に使用され、これにより精度が向上し、スキャン時間が短縮されます。

Azure OpenAIを構成し、エラーページ検出を改善するための手順に従ってください。

「構成」 > 「テスト・オプション」 > 「Azure OpenAI の構成」に移動します。

次の形式でエンドポイントを入力します。https://{azure_openai_endpoint}/openai/deployments/{deployment_name}/chat/completions

表 1. エンドポイント・エレメント
エレメント	説明	例
`{azure_openai_endpoint}`	Azure ポータルの「キーとエンドポイント」セクションの「エンドポイント」フィールドの値に置き換えます。	`https://aoairesource.openai.azure.com`
`{deployment_name}`	モデルを配置したときにデプロイメント用に選択したカスタム名に対応します。この値は、Azure ポータルの Azure OpenAI Studio から取得できます。注: Azure OpenAI のテストは、GPT-4o (バージョン 2024-08-06) を使用して実施されました。この特定のモデルとバージョンを使用して、障害を回避することをお勧めします。	`GPT-4o`
エンドポイントの例: `https://aoairesource.openai.azure.com/openai/deployments/GPT-4o/chat/completions`

API キーを入力します。この値は、Azure ポータルからリソースを確認するときに、「キーとエンドポイント」セクションに表示されます。KEY1 または KEY2 を使用できます。

注意: 誤記やエラーを検出する検証がないため、「エンドポイント」と「API キー」の両方の値が正しいことを確認してください。
「適用」をクリックして、構成を保存します。
結果: Azure OpenAI エンドポイントと API キーが構成されました。

次に行う操作: 通常どおり、AppScan でスキャンを開始します。