動的解析により、コストが高くつくデータ侵害や悪意のあるハッキングの脅威を最小限に抑えます。当社の DAST 技術なら、実稼働環境に移行する前の開発ライフサイクルの中に、稼働中のアプリケーションや API をスキャンして潜在的な脆弱性がないか確認できます。
開発のあらゆる段階で自動化 DAST を組み込むことで、アプリケーションの Web 実装前に、複雑度の高いアプリケーションに取り組み、リスクを評価し、脆弱性の管理と解決を支援することができます。
開発者向け DAST
開発者向け DAST
基本スキャンのため事前構成されたワークフローからテストの最適化やインクリメンタルスキャンまで、HCL AppScan DAST はこのパワフルなスキャンエンジンを直接 IDE、CI/CD パイプライン、DTS 環境に統合したい開発者にとって最適です。Jenkins、Azure DevOps、GitHub といったおなじみのツール向けプラグインはほんの序の口です。HCL AppScan DAST は開発者に、特定のアクティビティトラフィックを監視し、セキュリティに関する検出結果を承認して相関させる機能を提供します。開発者はセキュリティをユニットテストに統合し、DAST を使用してセキュリティ修正を再現して検証できます。こうした機能すべてによって、ユーザーは迅速かつ確実に自社のコードベースをメインブランチにプロモートできます。
Web API スキャン
Web API スキャン
Web API すべてを自動でスキャンすることで、脆弱性対応の範囲を迅速に拡大できます。Postman コレクションファイル、Open API 記述、トラフィック記録の使用や、HCL AppScan と主要な API テストツールとのシームレスな統合を活用することで実行できます。
インクリメンタルスキャンとテストの最適化
インクリメンタルスキャンとテストの最適化
当社独自のインクリメンタルスキャン機能を活用すれば、時間とリソースを節約できます。この機能はテストの範囲をソースコードの新規部分や過去のスキャンで発見された問題のある部分に制限できます。
HCL のテスト最適化スライダーを使用して、ソフトウェア開発ライフサイクル (SDLC) の各フェーズでのテスト時間を微調整します。このスライダーには、問題検出率とスキャンスピードとのトレードオフを制御する最適化レベルが 4 つあります。10 倍の高速化で 70% の精度を、2 倍の高速化で 97% の精度を選ぶことができます。
アクション・ベースのスキャンとログイン管理
アクション・ベースのスキャンとログイン管理
組み込みブラウザーを使用して、ユーザーがするようにアプリケーションを探索/クロールすると、従来のトラフィック側の視点ではなくユーザー側の視点からアプリケーションを知ることができます。
クロールと同様に、ユーザーログインではユーザーが実行したアクションを再現する必要があります。このアクションは組み込みレコーダーまたはブラウザー拡張機能のアクティビティレコーダーを使用して記録されます。この記録によってアプリケーションロジックを処理するため、さらに正確にアプリケーションを実行できるようになります。さらに高度な機能がワンタイムパスワードやサードパーティ認証をサポートします。
脆弱なサードパーティ製コンポーネントの検出
脆弱なサードパーティ製コンポーネントの検出
ハッカーは、アプリケーションに組み込まれている可能性のある、広く利用されているライブラリ内の周知の脆弱性を標的にします。DAST と、脆弱なサードパーティ製コンポーネントの検出機能を併用することで、より包括的な脆弱性検出が可能になり、既知の脆弱性があるサードパーティ製ライブラリを識別 (フィンガープリント) し、その検出結果を DAST の結果と共に確認することができます。
OWASP Top 10 & OWASP API Security Top 10
OWASP Top 10 & OWASP API Security Top 10
OWASP Foundation は、アプリケーションセキュリティを調査しガイダンスを提供するコミュニティー主導のオープンソース・プロジェクトを先導しています。HCL AppScan DAST 技術によって、当社は最も一般的な脆弱性とセキュリティ上のリスクに対する 100% カバレッジを両方の重要なベンチマークにおいて提供しています。
ユーザー定義のテスト
独自のカスタム・ユーザールールを作成して、アプリケーション固有の問題やエラーを特定します。望ましくないコンテンツや行動についてトラフィックを調査し、ペイロードを作成して問題を示すリフレクション型行動を検索し、さらに既知のブラインド攻撃がないか、外部サーバーによる検証も行います。
マルチステップ操作
記録されたマルチステップ操作とアクション・ベースのマルチステップ操作は、アプリケーションの複雑な論理シーケンスのテストを可能にします。特定の状態の特定のページをテストする前に複雑な一連の作業を遂行する必要がある場合は、いつでもシーケンスを正しい状態で再生できます。
HCL AppScan ドメイン名サーバー (ADNS)
ADNS を利用し、DAST を使用して非リフレクション型脆弱性を検出します。リモートコマンド実行などの脆弱性は、標準的な DAST 手法では検出が困難です。ADNS を活用して 1 回限りのドメインの解決を試みることにより、検出困難な問題も検出できます。
クロスサイト・スクリプティング (XSS) アナライザー
XSS アナライザーは世界で唯一の体系的 XSS 検出モジュールです。ペイロードオプション数は驚異の 5 億件を誇り、平均でわずか 17 のテストでほぼ 100% の精度でクロスサイト・スクリプティング脆弱性を確認または低減できます。
セキュリティとコンプライアンスのレポート
XML & CSV レポートを生成して外部ツールと共有できます。PDF または HTML レポートを作成して開発チームやその他のセキュリティアナリストと共有できます。数十のコンプライアンスレポートや業界標準レポートも作成可能です。
特権エスカレーション
アプリケーションのロールベースのアクセスと権限を HCL AppScan の特権エスカレーションコンポーネントを使用してテストします。2 つ以上の異なるロールからのスキャンを使用して、HCL AppScan は低権限のユーザーからアプリケーションの制限された場所まですべてのアクセスコントロール・エラーのレポートを生成します。
サードパーティとインフラストラクチャのテスト
コードはサードパーティのライブラリやコンポーネントに依存しています。これらをテストするには、利用可能な数千もの CVE (共通脆弱性識別子) テストや、サーバー構成、SSL/TLS チャネルなどを確認するインフラストラクチャテストを使用します。
関連リソース
HCL AppScan DAST による幅広いアプリケーションセキュリティー・カバレッジと脆弱なサードパーティー・コンポーネントの検出
