AppScan Standard

IBM Security AppScan Standard は、Webアプリケーションに潜む脆弱性を検査するテストツールです。AppScanが生成したテスト用のHTTPリクエストをハッカー視点で送信することにより、自社内でもタイムリーな脆弱性診断が可能となります。自動化されたセキュリティテストにより、手作業での診断に比べてテスト時間・コストを大幅に削減、またWeb診断に必要なオプション機能も豊富に搭載しています。脆弱性の指摘だけでなく、修正方法のアドバイザリーもレポートとして提供、お客様のWebセキュリティ対策を強力にサポートします。

IBM Security AppScan Standard

操作手順

以下の4つの手順で検査を行います。

スキャン設定
テスト項目の選択やテスト対象となるWebサイトを登録します。
探査
Webサイトを巡回することで、テストアイテムを自動で生成します。
テスト
生成されたテストアイテムを自動で実行。結果を表示します。ユーザーがテスト結果の詳細を検証するメニューもあります。
レポート
担当者別(経営層向け、開発者向け)に応じたレポートが生成されます。

Dynamic Application Security Testing

特徴

1. 操作しやすいインターフェース

  • 日本語表示でシンプルなインターフェース
    全ての画面が日本語のインターフェースとなっており、メニュー項目や各種説明もシンプルな表示となっているため直観的でわかりやすい検査が可能です。
  • ウィザード形式での設定作業
    テスト項目やテストに必要な各種設定を指示にそって容易に設定することができます(ウィザード形式)。
    また、テスト項目や各種設定のテンプレートもあらかじめ用意されているため、テストの種類や安全性・重要度に応じた設定も簡単に行うことができます。
  • 検査結果の詳細表示
    検出された脆弱性は重大度別・カテゴリ別に表示され、テストを実施した際のリクエスト・レスポンスや各脆弱性のアドバイザリー、検出した論拠に関する詳細な情報を確認することができます。

AppScanの検査結果画面

2. 高い検査精度と豊富なオプション機能

  • セッション管理機能
    画面遷移が固定されるアプリケーションや、厳密なセッション管理を行っているアプリケーションへの検査を行う場合、画面遷移やログイン手順を記録させることで正確な検査が可能となります。
  • JavaScriptの分析機能 (JavaScript Analyzer)
    JavaScriptコードの静的解析機能により、動的なWeb脆弱性診断ツールでは検査が難しいクライアントサイドのJavaScript検査が可能です。
  • アクションベース再生
    ログイン手順の再生方法を速度に優れる要求ベース再生と、再現性に優れるアクションベース再生の2タイプから選択することが可能です。
    • 要求ベース再生…手順をトラフィックとして記録し、HTTPリクエストとして送信することで高速な再生が可能です。
    • アクションベース再生…手順をブラウザ操作として記録し、ブラウザ操作をエミュレートすることで正確な再生が可能です。


  • マルウェアテストの実施
    巡回したデータを解析することで、マルウェアの感染やマルウェアのリンクがwebサイトに存在しないかを確認することが可能です。
  • 権限拡張検査
    アプリケーションの許可モデルをテストする権限拡張テストは、保護対象のリソースの中から不十分なアクセス権を持つユーザーがアクセスできる可能性のあるリソースを検出します。

3. 充実したレポート機能

AppScan Standard 充実したレポート機能

  • 概要
    CVSSをベースとし、重大度を「高」「中」「低」「情報」の4段階で分類で一覧表示します。全体の状況を把握するのに役立ちます。任意の重大度以上のみレポートに出力といったことも可能です。

レポート例:概要

  • 問題情報
    検出した脆弱性がなぜ危険なのかを解説します。攻撃結果が画面に表示される脆弱性の場合はスクリーンショットを表示します。

レポート例:問題情報

  • アドバイザリー
    技術的な視点から脆弱性を解説します。開発者が脆弱性を理解し、修正や再発予防に役立ちます。

レポート例:問題情報

システム&ソフトウェア要件

AppScan Standard バージョン9.0.3.7の要件です

プロセッサ Core 2 Duo 2GHz (またはこれと同等のプロセッサ)
メモリ 4GB RAM以上
HDD 30GB以上の空き領域
ネットワーク 100Mbpsのネットワークカード
OS Windows 7/8/8.1/10/2008 R2/2012/2012 R2
ブラウザー Microsoft Internet Explorer 11
その他 Microsoft .NET Framework 4.5.2
AppScanは、International Business Machines Corporationの米国および他の国々における登録商標です。
本文中に記載されている会社名および製品名はそれぞれ各社の商標、または登録商標です。

AppScanに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ネットワークセキュリティ事業部
    セキュリティ営業部
    セキュリティプロダクツ営業2課

    03-4405-7814

メールでのお問い合わせ
watchfire@techmatrix.co.jp

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。