HCL AppScanの評判・口コミ 全18件

改善してほしいポイント

欲しい機能・分かりづらい点
1. スキャン対象が決定したとき（自動探査を含む）にトラフィック量がどの程度になるか確認したい
2. スキャン見込み時間の改善
その理由
1. AppScan⇔スキャン対象間のインフラに対しての影響度を確認し、関係者と調整をしやすくしたいため
2. テスト工数算出やクラウド上での実行も考慮したコスト最適化を行いたいため

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

セキュリティを考慮したテストをスムーズに行うことができている
レポートを活用して優先順位を付けてWebサービスの修正を行うことができている

改善してほしいポイント

欲しい機能・分かりづらい点
・マルチステップのシナリオ作成が、検査対象によっては工夫が必要（時には不可の場合もある？）
・
その理由
・アクセスごとに動的に変動する値を入力しなければならない、一度試験すると状態が変わってしまって再検査が難しいなどのシステムの検査では、シナリオ作成が非常に難しい。
・場合によっては、検査対象に検査のための修正を加える必要がある。
・SSOなど外部システムとの連携が必要な場合は、検査のときだけは認証をスキップするなど修正が必要と思われる。

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

ほぼすべての社内システム、Webサイトの公開条件に、AppScanの検査をクリアすることとしている。
脆弱性検査は保険業界などで代理店として営業する際に必須の条件になる。
代理店登録時や監査では、ツール名と定期的な検査実績を提示することで、確実な運用体制であることを示すことができる。
実際に、AppScanで検査し脆弱性対応をしたシステムで情報漏洩などの問題は起きていない。

発見された脆弱性を評価し対策を検討する際、攻撃のヘッダーとボディが見られることがとても役に立つ。
脆弱性と判断する根拠も応答のヘッダー・ボディで明快に示されるので、対応の要不要の判断が明確に行える。

検討者へお勧めするポイント

とにかく設定が細かくできる。
発見された脆弱性への対応が容易。

改善してほしいポイント

欲しい機能・分かりづらい点
・パフォーマンスとスキャン速度
・誤検知（False Positives）の削減
その理由
・AppScanのスキャンは、特に大規模なアプリケーションや複雑な環境では時間がかかる場合があります。開発サイクルが短くなる現代のDevOps環境では、スキャン速度の向上が求められます。スキャン中のシステムリソースの消費も大きいため、軽量化や並列処理の最適化が改善点です。
・他のセキュリティツール同様、AppScanでも誤検知（False Positives）が発生することがあります。これにより、実際には問題ない箇所に対して修正作業が発生し、開発者の負担を増加させる可能性があります。誤検知の精度向上や、より高度なフィルタリング機能の強化が求められます。

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

解決できた課題・具体的な効果
・アプリケーションに存在するセキュリティの脆弱性を手動で検出するのは非常に時間がかかる
課題に貢献した機能・ポイント
・開発初期段階でセキュリティの問題を発見し、修正コストを低減することに貢献しています。
・開発中のコードに潜む脆弱性を事前に防ぐことができています。

改善してほしいポイント

製品自体の使い勝手の点ではありませんがライセンスのアクティベーションに少々手こずりました。
手順が分かりづらいのもあるのですがHCL SOFTWAREの製品を他にも利用しているためアカウントの紐づけ間違えてしまい修正が必要になりました。最終的にサポートの方に対応していただきリカバリできました。

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

自動スキャンは診断知識がなくても必要項目を数点登録して実行するだけで推奨修正内容を含め、必要十分な診断レポートを出力してくれるので開発部門から依頼を受けて診断を実行する立場としては自動スキャン機能は大変重宝しています。

検討者へお勧めするポイント

脆弱性診断の初心者でも使いやすいと製品と思います。

改善してほしいポイント

◇初めて利用したときに、UIの操作方法が分かりにくくて慣れるまで時間がかかりました。
◇結果の解釈について、より詳細な説明があればいいなと思います。
◇検査時間が長く、大規模なアプリケーションを診断する場合には、時間がかかってしまいます。

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

HCL AppScantを利用することで、私は自分のウェブアプリケーションが潜在的な脆弱性を持っているかどうかを素早く判断することができました。特に、細かい設定ができることにより、私は自分のアプリケーションに特化したテストを行うことができ、結果を最適化することができました。また、結果はカスタマイズ可能で、問題の優先順位を判断することができます。これらの機能により、私はアプリケーションのセキュリティに対する自信を得ることができ、より安心してアプリケーションをリリースすることができました。

改善してほしいポイント

欲しい機能・分かりづらい点
・脆弱性診断の精度は比較的に高いと思うが、古いサイトだと誤検知が多い気がする
・スキャン時の動作が結構重くて、PCのスペック要求が高い

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

解決できた課題・具体的な効果
・今までは別のスキャンツールを使っていたが、レポート機能がなくて、診断後のレポートは手動で作成していた。AppScanでは、自動的に診断レポートを作成してくれるので、作業の工数削減ができた。

改善してほしいポイント

欲しい機能・分かりづらい点
・サイトの複雑さにもよるが、スキャンのスピードはあんまり速くないので、大きいサイトで何時間もかかったことある。

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

解決できた課題・具体的な効果
・去年より脆弱性診断についての問い合わせが増えた。最初はすべて手動で対応していたが、テンプレートとスケジュール機能の併用によって、脆弱性診断業務が楽になった。

改善してほしいポイント

欲しい機能・分かりづらい点
・PaaS上に構築された自社アプリケーションに対する脆弱性検査において、PaaS基盤毎にテンプレートが用意されると良いと思います。

その理由
・同一のPaaS基盤では、検査手順が同じようになることが考えられ、それがテンプレートされていると、検査準備が簡略化できるから

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

解決できた課題・具体的な効果
・ウェブアプリケーションの脆弱性検査を、短時間で、準備負荷をかけずに実施できるようになりました
・
課題に貢献した機能・ポイント
・新しく追加されたテストの最適化、差分スキャンの機能は、課題解決に貢献しています
・

検討者へお勧めするポイント

セットアップもしやすく、非常に優れた脆弱性検査ツールになります。
カスタマーサポートも手厚く、専門性を持ったご担当者にご対応いただけます。

改善してほしいポイント

昨今のWebアプリケーションは進化しすぎてしまい、非常に複雑化しました。
同じ事を実現するのに無数の実装方法があり、必要な設定も同じだけあります。
端的に言えばログイン(認証)です。独自の認証方式から、各認証プロバイダの複雑な認証。はては多要素認証や端末認証まであります。いたちごっこともなりますが多様な認証に追随し続けてほしいと思います。

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

動的診断は基本的にはテストケースの量で質を担保するテストとなります。
例えば診断対象が10画面でそれぞれに10個のパラメータがあった場合
各パラメーターに対して数百パターンのテストが必要です。(クロスサイトスクリプティングだけでも100パターン以上必要)
つまり10×10×200としても2万パターンのテストを自動的に実行することが可能です。

検討者へお勧めするポイント

製品比較の際は「アプリケーションの仕様通りに診断できているか」をご確認ください。
せっせとテストして脆弱性が出なかったとしても、ひたすらエラー画面を叩いているだけだったら何の意味もありません。