AppScan: IAST を活用してアプリケーション・セキュリティ・テスト・プログラムを強化する
2020/8/26 - 読み終える時間: ~1 分

セキュリティーテストの完全性を高める HCL AppScan on Cloud (ASoC) のインタラクティブ・アプリケーション・セキュリティ・テスト (IAST) についての記事 [Leverage IAST to Empower Your Application Security Testing Program]() の翻訳版です。

AppScan: IAST を活用してアプリケーション・セキュリティ・テスト・プログラムを強化する

2020年8月24日

著者: Lalitha Prasad / Group Technical Specialist (SME)

画像の説明

インタラクティブ・アプリケーション・セキュリティ・テスト (IAST) の重要な価値提案は、アプリケーション・セキュリティ・テストを初期段階でSDLCに統合し、開発プロセスの後期に発見されるセキュリティ問題の数を減らすことを可能にするシフトレフトの実践を可能にすることです。このブログでは、HCL AppScan の IAST ソリューションを調査し、それが SDLC にどのように統合されるかを学びます。

私のテストは完了していますか?

長年にわたり、基本的なアプリケーションセキュリティ保護は、動的アプリケーションセキュリティテスト (DAST) と静的アプリケーションセキュリティテスト (SAST) のアプローチで構成されていました。この 2 つのテスト手法は互いに補完し合っていましたが、テスターにとっては、常に口うるさい質問がありました。「自分の分析は本当に完了しているのか」。

ご存知のように、それぞれのテスト手法には限界があります。DAST は実行中のアプリケーションのテストに対応し、潜在的な攻撃者の視点をシミュレートします。一方、セキュリティアナリストや開発者は、総合的なASTを実施して、誤検出がほとんどないか、あるいは全くないようにしたいと考えています。それはどのようにして実現できるのでしょうか?

HCL AppScan on Cloud IAST の世界へ

HCL AppScan on Cloud (ASoC) IAST は、誤検出を最小限に抑え、シフト・レフト戦略の拡大を支援することで、ASTプログラムを強化します。AppScan IAST はスキャナの代わりに、アプリケーション・サーバ内で計測されるモニタリング・エージェントです。その名が示すように、IAST はアプリケーション内で対話的に動作し、QA/DAST プロセス中でもアプリケーションと対話しながら、「ソース」から「シンク」までのすべてを監視します。

IASTはアプリケーションサーバ内で計測されているため、トランザクションデータベースの呼び出し、データフロー、ファイルシステムへのアクセス活動などをすべて監視することができます。IASTは、脆弱性を発見した場合には、明確なトレースコールとリクエストで警告します。これにより、あなたとあなたの開発者は、セキュリティ問題をすぐに特定して修正することができるようになります。

さらに、HCL ASoC IASTは、クリックすることなくインストールすることができます。アプリケーションサーバに IAST を設置するだけで、アプリケーションを監視し、潜在的な脆弱性についてテスターに警告する準備が整います。

詳細

どのようなツールでもそうですが、IASTには利点と限界があります。IASTとその多くの機能の詳細については、私の最近のホワイトペーパーをダウンロードしてください。また、ホワイトペーパーには、クロスサイトスクリプティング (XSS) の脆弱性を特定して修正する方法の実例が掲載されています。

また、HCL AppScan on Cloud をご自身でテストドライブするには、ここをクリックしてください。

Search

Categories

このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。

Tags

Academy Accelerate Accelerator Actian Ambassador AoC AppDev Pack AppScan ASoC BigFix BigFix Workspace CAA Clara Client Applicatin Access Cloud Native Commerce Common Local License Server Compass Connections Connnections CVE-2021-44228 DevOpes Velocity DevOps DevOps Code ClearCase DevOps Code RealTime DevOps Deploy DevOps.Launch.AppScan DevOps Model RealTim DevOps Model RealTime DevOps Plan DevOps Test DevOps Velocity Digital Experience Discover Domino Domino Leap Domino Volt Domino管理者アップデート認定試験対策 DQL DRYiCE DX Enterprise Integrator event General HCAA HCL Ambassador HCL Ambassadors HCL Domino REST API HCL OneTest Embedded HCL Z and I Emulator HCL Z and I Emulator for Transformation HCLSoftware U Hero history HTMO iControl iNotes IZSAM KEEP Launch Launch.DevOps Leap Link MarvelClient nds2019 ndv12beta Noets/Domino Nomad Nomad Mobile Nomad Web notes Notes/Domino notes-domino-9-10-limited-supportability-as-of-202204 Notes/Domino V12 Notes/Domion notescons Now OneDB OneTest OnTime REST RTist SafeLinx Sametime SoFy Total Experience Traveler Traveler for Microsoft Outlook Unica Unica Discover Unica Interact UrbanCode Deploy UrbanCode Velocity Velocity Verse VersionVault Volt Volt MX Volt MX Go Volt MX サンプルアプリ Wordload Automation Workload Automation youtube Z Z Abend Investigator Z and I Emulator Z and I Emulator for Transformation Z and I Emulator for Web Z and I Emulator for Web Client Z Asset Optimizer Z Data Tools Z Software Asset Manager ZAI ZAO ZIE ZIE for Transformation ZIE for Web ZIE for Windows ZIET ZIETrans ZIEWeb イベント ガイド クラウド サポート サポート技術情報 サポート終了 セキュリティ セキュリティー セキュリティー脆弱性 テクてく Lotus 技術者夜会 ニュース ノーツコンソーシアム パートナー ライセンス 九州地区 Notes パートナー会 出荷日 研修