本文へスキップ

HCL AppScan

Webアプリケーションの脆弱性診断・検出・監査ソリューション。さまざまなテスト手法をカバーします。

製品・ソリューションに
関するお問い合わせ

概要

HCL AppScan は、Webアプリケーションや Webサービスに潜む脆弱性を診断・検出し、その個所の特定と修正に関する情報を提供します。

2022年ガートナー マジック・クアドラントのアプリケーション・セキュリティ・テスティング部門でリーダーに選出されており、経済産業省にて定義された「情報セキュリティサービス基準」においても、Webアプリケーション脆弱性診断に使用するツールとして明記されています。

概要イメージ

ソリューション詳細

1. HCL AppScan Standard

概要

Webアプリケーションに対して疑似的な攻撃をすることでの動的診断を行うツールです。

HCL AppScan Standard ロゴ

詳細

  • 提供形態:
    • Windowsアプリケーションとしてオンプレミスでのツール提供です。(ローカルPC、仮想デスクトップ、IaaS環境での利用も可能)
  • スキャン対象:
    • テスト環境もしくは実稼働中のWebアプリケーションやWebサービスをスキャンします。
  • 解析技術:
    • Webアプリケーションの稼働サイトを解析し、疑似攻撃により脆弱性問題を発見します。
  • 結果と出力:
    • 脆弱性と判断されたHTTPリクエストおよびレスポンスの箇所と内容を表示するとともに、検出された脆弱性の解説と対応案を提示します。(OASPTop10などの業界標準に則ったレポート形式での結果出力が可能)

Web動的診断ツールが必要なお客様の例

  • WebサイトおよびWebアプリケーション運用ご担当、またはセキュリティご担当のお客様
  • 外部の脆弱性診断サービスをご利用のお客様

AppScan Standardで解決できる例

  • なりすましや情報漏洩に繋がる危険な弱点を発見します。
  • 膨大な検出結果を機械学習に基づくフィルタリングにより、重要度を分類します。
  • オンデマンドな脆弱性検査のためいつでも何度でも診断可能で、外部診断サービスにかかる長い時間と高額な費用を削減でき、アプリケーションのリリースサイクルを短くしてもより安全性を高めることができます。
  • 検出された結果の解説や対策方法を提示し、業界標準に則ったレポートを作成します。
  • ブラックボックスとして Webアプリケーションを検査するため、インフラの種類や開発言語などに依存しません。

2. HCL AppScan Source

概要

主要な開発言語(Android / iOS モバイル・ネイティブ・アプリ言語も含む)に対応した、ソースコードレベルでの静的な脆弱性診断ツールです。

HCL AppScan Source ロゴ

詳細

  • 提供形態:
    • Windows/Linuxに導入可能なツールです。
      オンプレミス環境だけでなく、仮想環境や IaaS上へのインストールや、仮想デスクトップでの利用も可能で、コマンドライン版も提供してます。
  • スキャン対象:
    • C/C++/Javaなどの各種開発言語、PHP/Perlなどのスクリプト言語、Objective-C/Swiftなどのモバイルアプリケーション開発言語をスキャンします。
  • 解析技術:
    • データフロー解析による汚染解析とパターン・マッチングを行います。
  • 結果と出力:
    • 問題のあるコード箇所およびソースからシンクへのフローを表示します。

ソースコード診断ツールが必要なお客様の例

  • 動的診断のみを行い、脆弱性発見時の手戻り工数が増大しているお客様
  • 開発ライフサイクル全体でのセキュリティ脆弱性診断と対策を検討されているお客様

AppScan Sourceで解決できる例

  • 脆弱性診断の早期フェーズでの実施(シフトレフト)により、修正工数や手戻り工数を軽減します。
  • 動的診断とソースコード静的診断とのクロスチェック効果があります。
  • リーズナブルな単価で繰り返し診断が可能です。
  • CIツールへの組み込み等により自動化でき、DevOps への組み込みに最適です。
  • ソースコードを網羅的に診断することでコード カバレージを向上し、診断漏れを防止します。

3. HCL AppScan Enterprise

概要

企業全体のアプリケーションのセキュリティ検査や対応状況を管理する、統合アプリケーションセキュリティ管理ソリューションです。

HCL AppScan Enterprise ロゴ

AppScan Enterpriseで解決できる例

  • 脆弱性リスクの高いアプリケーションなど、様々な視点でレポートします。
  • 企業全体のアプリケーションのセキュリティ検査や対応状況を可視化します。
  • AppScan製品だけでなく他社ツールの診断結果など、任意のセキュリティ検査結果(CSV形式)をインポートします。
  • スケーラブルなサーバーベースのソリューションです。
  • Webでの利用や、DASTおよびIASTを実行可能です。

4. HCL AppScan on Cloud

概要

DAST/SAST/IAST の各種アプリケーションのセキュリティ検査を SaaS で提供します。オープンソースライブラリのための SCA (ソフトウェア構成分析)もオプションで利用可能です。

HCL AppScan on Cloud ロゴ

AppScan on Cloudで解決できる例

  • ソースコードはアップロード時に暗号化され、任意のタイミングでクラウド上から削除も可能です。
  • アプリケーションのセキュリティ検査や対応状況を可視化します。
  • 小規模な脆弱性診断ニーズに対応した価格形態です。(少ない検査回数、対象アプリケーションが少ないなど)
    ※大規模な脆弱性診断ニーズに対応したライセンス形態もあり

5. HCL AppScan 360˚

概要

各種アプリケーションのセキュリティ検査を SaaS で提供する HCL AppScan on Cloud(ASoC)と同等の機能を、コンテナ環境として提供します。*
組織の運用に合わせてオンプレミス、プライベート/パブリッククラウドのマルチ環境に対応します。CI/CDパイプラインへの統合も可能です。

*現時点ではSAST機能のみ(今後ASoCのすべてのテスト機能を実装予定)

詳細

  • 多様な展開オプション:
    • オンプレミス、プライベート/パブリッククラウドにフレキシブルに展開でき、要件に応じた最適なテスト環境を構築可能です。
  • 静的解析(SAST):
    • ソースコードの脆弱性を検出し、開発プロセス初期にリスクを管理します。
  • 統合セキュリティテスティング:
    • リリースを予定しているDAST、IAST、SCA機能を含むセキュリティ・テスティングを一元管理することで、効率的なセキュリティ運用を実現します。

関連情報

外部サイト情報

導入プロセス

  1. Step 1
    お問い合わせ
  2. Step 2
    ヒアリング
  3. Step 3
    ご相談
  4. Step 4
    ご利用開始
  5. Step 5
    導入支援

NI+C Pによる堅実なサポート

エヌアイシー・パートナーズ(NI+C P)は、IBM商品のVAD(付加価値ディストリビューター)として前身事業から20年以上の実績があります。
豊富な知識と経験で、貴社のビジネスニーズに合わせた最適な提案とスムーズな導入をお約束いたします。

Contact Us

お客様の業務課題に応じ、最適なソリューションの組み合わせをご提案いたします。
各種お問い合わせや案件のご相談も、こちらより承ります。

お問い合わせ・ご相談