概要

HCL AppScan は、Webアプリケーションや Webサービスに潜む脆弱性を診断・検出し、その個所の特定と修正に関する情報を提供します。

2022年ガートナー マジック・クアドラントのアプリケーション・セキュリティ・テスティング部門でリーダーに選出されており、経済産業省にて定義された「情報セキュリティサービス基準」においても、Webアプリケーション脆弱性診断に使用するツールとして明記されています。

詳細（4タイプのソリューション）

1. HCL AppScan Standard

概要

Webアプリケーションに対して疑似的な攻撃をすることでの動的診断を行うツールです。

詳細

• 提供形態：
  • Windowsアプリケーションとしてオンプレミスでのツール提供。（ローカルPC、仮想デスクトップ、IaaS環境での利用も可能）
• スキャン対象：
  • テスト環境もしくは実稼働中の Webアプリケーションや Webサービス。
• 解析技術：
  • Webアプリケーションの稼働サイトを解析し、疑似攻撃により脆弱性問題を発見。
• 結果と出力：
  • 脆弱性と判断された HTTPリクエストおよびレスポンスの箇所と内容を表示するとともに、検出された脆弱性の解説と対応案を提示。
    OASPTop10 などの業界標準に則ったレポート形式での結果出力が可能。

Web動的診断ツールが必要なお客様の例

• WebサイトおよびWebアプリケーション運用ご担当、またはセキュリティご担当のお客様
• 外部の脆弱性診断サービスをご利用のお客様

AppScan Standardで解決できる例

• なりすましや情報漏洩に繋がる危険な弱点を発見します。
• 膨大な検出結果を機械学習に基づくフィルタリングにより、重要度を分類します。
• オンデマンドな脆弱性検査が可能になるためいつでも何度でも診断ができ、外部診断サービス利用時にかかる長い時間と高額な費用を削減できます。
  その結果、アプリケーションのリリースサイクルを短くしても脆弱性診断ができ、より安全性を高められます。
• 検出された結果の解説や対策方法を提示し、業界標準に則ったレポートを作成します。
• ブラックボックスとして Webアプリケーションを検査するため、インフラの種類や開発言語などに依存しません。

2. HCL AppScan Source

概要

主要な開発言語（Android / iOS モバイル・ネイティブ・アプリ言語も含む）に対応した、ソースコードレベルでの静的な脆弱性診断ツールです。

詳細

• 提供形態：
  • Windows/Linuxに導入可能なツール提供。
    オンプレミス環境だけでなく、仮想環境や IaaS上へのインストールや、仮想デスクトップでの利用も可能。
    コマンドライン版も提供。
• スキャン対象：
  • C/C++/Java などの各種開発言語、PHP/Perl などのスクリプト言語、Objective-C/Swift などのモバイルアプリケーション開発言語。
• 解析技術：
  • データフロー解析による汚染解析とパターン マッチング。
• 結果と出力：
  • 問題のあるコード箇所およびソースからシンクへのフローを表示。

ソースコード診断ツールが必要なお客様の例

• 動的診断のみを行い、脆弱性発見時の手戻り工数が増大しているお客様
• 開発ライフサイクル全体でのセキュリティ脆弱性診断と対策を検討されているお客様

AppScan Sourceで解決できる例

• 脆弱性診断の早期フェーズでの実施（シフトレフト）により、修正工数や手戻り工数を軽減します。
• 動的診断とソースコード静的診断とのクロスチェック効果があります。
• リーズナブルな単価で繰り返し診断が可能です。
• CIツールへの組み込み等により自動化でき、DevOps への組み込みに最適です。
• ソースコードを網羅的に診断することでコード カバレージを向上し、診断漏れを防止します。

3. HCL AppScan Enterprise

概要

企業全体のアプリケーションのセキュリティ検査や対応状況を管理する、統合アプリケーションセキュリティ管理ソリューションです。

AppScan Enterpriseで解決できる例

• 脆弱性リスクの高いアプリケーションなど、様々な視点でレポートします。
• 企業全体のアプリケーションのセキュリティ検査や対応状況を可視化します。
• AppScan製品だけでなく他社ツールの診断結果など、任意のセキュリティ検査結果（CSV形式）をインポートします。
• スケーラブルなサーバーベースのソリューションです。
• Web での利用や、DAST および IAST を実行可能です。

4. HCL AppScan on Cloud

概要

DAST/SAST/IAST の各種アプリケーションセキュリティテストを SaaS で提供します。
オープンソースライブラリの脆弱性を発見する SCA もオプションで利用可能です。

AppScan on Cloudで解決できる例

• ソースコードはアップロード時に暗号化され、任意のタイミングでクラウド上から削除も可能です。
• アプリケーションのセキュリティ検査や対応状況を可視化します。
• 小規模な脆弱性診断ニーズに対応した価格形態です。（少ない検査回数、対象アプリケーションが少ないなど）
  ※大規模な脆弱性診断ニーズに対応したライセンス形態もあり

お問い合わせ

当製品、パートナー契約に関するお問い合わせは以下のボタンよりお願いいたします。

関連情報

「HCL」製品

• HCL Notes/Domino
  – メール、チャット、アプリケーション、ディレクトリ、アクセス管理など業務に必要な要素をすべて搭載したアプリケーション プラットフォームです。
• HCL BigFix
  – エンドポイント管理ツールに必須な機能をすべて兼ね備えているツールです。
• HCL Volt MX
  – ID管理、統合、オーケストレーション、ビジネスプロセスの自動化、およびルール管理のための堅牢なサービスを供えています。
• HCL Unica
  – あらゆる顧客の行動データを活用し、シナリオに基づいたマルチチャネルキャンペーンを実現します。

外部サイト情報

• HCL AppScan（製品情報）