動的分析により、コストのかかる侵害や悪意のある攻撃を防止します。AIを活用したDASTは、開発ライフサイクルの早い段階、つまり本番環境に到達する前に、稼働中のアプリケーションとAPIの脆弱性をスキャンします。
開発サイクルのどの段階でも自動化された DAST を組み込むことで、最も複雑なアプリケーションに対処し、リスクを評価し、より正確に、より短時間で脆弱性を管理および解決できるようになります。
開発者向け DAST
開発者向け DAST
DASTは、事前設定されたワークフロー、テストの最適化、特定のエンドポイントを対象としたスキャン、増分スキャンを提供します。IDE、CI/CDパイプライン、DTSツールにセキュリティを統合する開発者に最適です。Jenkins、Azure DevOps、GitHubなどのプラグインを使用することで、開発者は修正を検証し、検出結果を相関させ、安全なコードを自信を持ってメインブランチにプロモートできます。
HCL AppScan DAST は、開発者に特定のアクティビティトラフィックの確認とセキュリティ調査結果の承認および相関分析機能を提供します。ユニットレベルの DAST インテリジェンステスター (AUDIT) は、特定のエンドポイントを対象としたターゲットスキャンをサポートしているため、開発者は開発中に IDE 内で直接、早期の脆弱性検出と軽量スキャンを実行できます。
Web API スキャン
Web API スキャン
Postman コレクション ファイル、OpenAPI の説明、記録されたトラフィック、または HCL AppScan と主要な API テスト ツールとのシームレスな統合を使用して、すべての Web API の自動スキャンにより脆弱性の範囲を拡大します。
DASTのIFA
DASTのIFA
AIを活用し、Intelligent Findings Analytics(IFA)でDASTスキャンの速度と精度を向上させます。IFAはGenAIを統合し、エラーページをより効果的に検出・検証することで、誤検知を削減し、隠れた脆弱性を発見します。
IFAテスト最適化機能では、開発ニーズに合わせてスキャン速度と深度を4段階の最適化レベルで調整できます。10倍高速化で70%の精度、または2倍高速化で97%の精度からお選びいただけます。お好みに合わせてお選びください。
増分スキャンとアクションベーススキャン
増分スキャンとアクションベーススキャン
増分スキャンでは、テストをソースコードの新しい部分、または以前のスキャンで問題が見つかった部分のみに制限することで時間を節約します。
アクションベースのスキャンでは、組み込みブラウザを使用して、ユーザーと同じようにアプリケーションを探索/クロールし、従来のトラフィック ビューではなく、アプリケーションのユーザー ビューを提供します。
脆弱なサードパーティ製コンポーネントの検出
脆弱なサードパーティ製コンポーネントの検出
ハッカーは、アプリケーションに組み込まれている可能性のある、広く利用されているライブラリ内の周知の脆弱性を標的にします。DAST と、脆弱なサードパーティ製コンポーネントの検出機能を併用することで、より包括的な脆弱性検出が可能になり、既知の脆弱性があるサードパーティ製ライブラリを識別 (フィンガープリント) し、その検出結果を DAST の結果と共に確認することができます。
OWASP Top 10 & OWASP API Security Top 10
OWASP Top 10 & OWASP API Security Top 10
OWASP Foundation は、アプリケーションセキュリティを調査しガイダンスを提供するコミュニティー主導のオープンソース・プロジェクトを先導しています。HCL AppScan DAST 技術によって、当社は最も一般的な脆弱性とセキュリティ上のリスクに対する 100% カバレッジを両方の重要なベンチマークにおいて提供しています。
ユーザー定義のテスト
独自のカスタム・ユーザールールを作成して、アプリケーション固有の問題やエラーを特定します。望ましくないコンテンツや行動についてトラフィックを調査し、ペイロードを作成して問題を示すリフレクション型行動を検索し、さらに既知のブラインド攻撃がないか、外部サーバーによる検証も行います。
マルチステップ操作
記録されたマルチステップ操作とアクション・ベースのマルチステップ操作は、アプリケーションの複雑な論理シーケンスのテストを可能にします。特定の状態の特定のページをテストする前に複雑な一連の作業を遂行する必要がある場合は、いつでもシーケンスを正しい状態で再生できます。
HCL AppScan Domain Name Server (ADNS)
ADNS を利用し、DAST を使用して非リフレクション型脆弱性を検出します。リモートコマンド実行などの脆弱性は、標準的な DAST 手法では検出が困難です。ADNS を活用して 1 回限りのドメインの解決を試みることにより、検出困難な問題も検出できます。
クロスサイト・スクリプティング (XSS) アナライザー
XSS アナライザーは世界で唯一の体系的 XSS 検出モジュールです。ペイロードオプション数は驚異の 5 億件を誇り、平均でわずか 17 のテストでほぼ 100% の精度でクロスサイト・スクリプティング脆弱性を確認または低減できます。
セキュリティとコンプライアンスのレポート
XML & CSV レポートを生成して外部ツールと共有できます。PDF または HTML レポートを作成して開発チームやその他のセキュリティアナリストと共有できます。数十のコンプライアンスレポートや業界標準レポートも作成可能です。
特権エスカレーション
アプリケーションのロールベースのアクセスと権限を HCL AppScan の特権エスカレーションコンポーネントを使用してテストします。2 つ以上の異なるロールからのスキャンを使用して、HCL AppScan は低権限のユーザーからアプリケーションの制限された場所まですべてのアクセスコントロール・エラーのレポートを生成します。
サードパーティとインフラストラクチャのテスト
コードはサードパーティのライブラリやコンポーネントに依存しています。これらをテストするには、利用可能な数千もの CVE (共通脆弱性識別子) テストや、サーバー構成、SSL/TLS チャネルなどを確認するインフラストラクチャテストを使用します。
関連リソース
HCL AppScan DAST による幅広いアプリケーションセキュリティー・カバレッジと脆弱なサードパーティー・コンポーネントの検出
