HCL AppScanの評判・口コミ 全19件

改善してほしいポイント

動的パラメータや同じテストごとにシステム状態が変化するケースのシナリオ作成に工夫を求められることがあり、手動診断ほどではないものの、使用者には一定のスキル(教育)が必要となっています。こちらがツール側で改善されればコストの低減につながるかもしれません。また、スキャン自体に時間がかかってしまうことがあり、診断状況を把握できる情報も少なく、診断が正しく動作しているか確認しづらいことがあります。加えて、シナリオに従って忠実に診断するため、不十分なテストシナリオであっても実行されてしまい、診断の妥当性に気付けないケースもあります。これらがツール側で解決されれば、診断手順のミスなどに気づきやすくなり、作業負担の軽減につながると思います。他のクラウドサービス等でも言えることですが、ツールのバージョン更新に応じて頻繁にUIが変更されるため、社内向けの利用マニュアルなどを修正する頻度が高く、運用の負担になっています。UI変更の頻度を押さえていただくとツールを組織内展開する立場としては助かります。

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

ブラックボックス検査のため言語依存がなくHTTPに対応していれば診断できる点やアプリケーションの仕様に合わせたテストシナリオが柔軟に用意できる点から幅広いwebアプリケーションの診断が可能で、さらに、UIが使いやすく日本語レポートもサポートされているため、プロジェクト担当者のスキルにも極端に依存せず、大きな組織内でWebアプリケーション診断を浸透させる取組みに大きく貢献しています。具体的には、社内のWebアプリケーション開発でAppScanが対応できるアプリケーションは必ず診断するようにルール化までできています。

検討者へお勧めするポイント

脆弱性診断の高度なスキルがなかったとしても網羅性の高い診断ができ、組織内での診断必須化など、社内におけるwebセキュリティ対策のベースアップに大きく貢献しています。

改善してほしいポイント

欲しい機能・分かりづらい点
1. スキャン対象が決定したとき（自動探査を含む）にトラフィック量がどの程度になるか確認したい
2. スキャン見込み時間の改善
その理由
1. AppScan⇔スキャン対象間のインフラに対しての影響度を確認し、関係者と調整をしやすくしたいため
2. テスト工数算出やクラウド上での実行も考慮したコスト最適化を行いたいため

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

セキュリティを考慮したテストをスムーズに行うことができている
レポートを活用して優先順位を付けてWebサービスの修正を行うことができている

改善してほしいポイント

欲しい機能・分かりづらい点
・マルチステップのシナリオ作成が、検査対象によっては工夫が必要（時には不可の場合もある？）
・
その理由
・アクセスごとに動的に変動する値を入力しなければならない、一度試験すると状態が変わってしまって再検査が難しいなどのシステムの検査では、シナリオ作成が非常に難しい。
・場合によっては、検査対象に検査のための修正を加える必要がある。
・SSOなど外部システムとの連携が必要な場合は、検査のときだけは認証をスキップするなど修正が必要と思われる。

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

ほぼすべての社内システム、Webサイトの公開条件に、AppScanの検査をクリアすることとしている。
脆弱性検査は保険業界などで代理店として営業する際に必須の条件になる。
代理店登録時や監査では、ツール名と定期的な検査実績を提示することで、確実な運用体制であることを示すことができる。
実際に、AppScanで検査し脆弱性対応をしたシステムで情報漏洩などの問題は起きていない。

発見された脆弱性を評価し対策を検討する際、攻撃のヘッダーとボディが見られることがとても役に立つ。
脆弱性と判断する根拠も応答のヘッダー・ボディで明快に示されるので、対応の要不要の判断が明確に行える。

検討者へお勧めするポイント

とにかく設定が細かくできる。
発見された脆弱性への対応が容易。

改善してほしいポイント

欲しい機能・分かりづらい点
・パフォーマンスとスキャン速度
・誤検知（False Positives）の削減
その理由
・AppScanのスキャンは、特に大規模なアプリケーションや複雑な環境では時間がかかる場合があります。開発サイクルが短くなる現代のDevOps環境では、スキャン速度の向上が求められます。スキャン中のシステムリソースの消費も大きいため、軽量化や並列処理の最適化が改善点です。
・他のセキュリティツール同様、AppScanでも誤検知（False Positives）が発生することがあります。これにより、実際には問題ない箇所に対して修正作業が発生し、開発者の負担を増加させる可能性があります。誤検知の精度向上や、より高度なフィルタリング機能の強化が求められます。

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

解決できた課題・具体的な効果
・アプリケーションに存在するセキュリティの脆弱性を手動で検出するのは非常に時間がかかる
課題に貢献した機能・ポイント
・開発初期段階でセキュリティの問題を発見し、修正コストを低減することに貢献しています。
・開発中のコードに潜む脆弱性を事前に防ぐことができています。

改善してほしいポイント

製品自体の使い勝手の点ではありませんがライセンスのアクティベーションに少々手こずりました。
手順が分かりづらいのもあるのですがHCL SOFTWAREの製品を他にも利用しているためアカウントの紐づけ間違えてしまい修正が必要になりました。最終的にサポートの方に対応していただきリカバリできました。

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

自動スキャンは診断知識がなくても必要項目を数点登録して実行するだけで推奨修正内容を含め、必要十分な診断レポートを出力してくれるので開発部門から依頼を受けて診断を実行する立場としては自動スキャン機能は大変重宝しています。

検討者へお勧めするポイント

脆弱性診断の初心者でも使いやすいと製品と思います。

改善してほしいポイント

◇初めて利用したときに、UIの操作方法が分かりにくくて慣れるまで時間がかかりました。
◇結果の解釈について、より詳細な説明があればいいなと思います。
◇検査時間が長く、大規模なアプリケーションを診断する場合には、時間がかかってしまいます。

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

HCL AppScantを利用することで、私は自分のウェブアプリケーションが潜在的な脆弱性を持っているかどうかを素早く判断することができました。特に、細かい設定ができることにより、私は自分のアプリケーションに特化したテストを行うことができ、結果を最適化することができました。また、結果はカスタマイズ可能で、問題の優先順位を判断することができます。これらの機能により、私はアプリケーションのセキュリティに対する自信を得ることができ、より安心してアプリケーションをリリースすることができました。

改善してほしいポイント

欲しい機能・分かりづらい点
・脆弱性診断の精度は比較的に高いと思うが、古いサイトだと誤検知が多い気がする
・スキャン時の動作が結構重くて、PCのスペック要求が高い

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

解決できた課題・具体的な効果
・今までは別のスキャンツールを使っていたが、レポート機能がなくて、診断後のレポートは手動で作成していた。AppScanでは、自動的に診断レポートを作成してくれるので、作業の工数削減ができた。

改善してほしいポイント

欲しい機能・分かりづらい点
・サイトの複雑さにもよるが、スキャンのスピードはあんまり速くないので、大きいサイトで何時間もかかったことある。

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

解決できた課題・具体的な効果
・去年より脆弱性診断についての問い合わせが増えた。最初はすべて手動で対応していたが、テンプレートとスケジュール機能の併用によって、脆弱性診断業務が楽になった。

改善してほしいポイント

欲しい機能・分かりづらい点
・PaaS上に構築された自社アプリケーションに対する脆弱性検査において、PaaS基盤毎にテンプレートが用意されると良いと思います。

その理由
・同一のPaaS基盤では、検査手順が同じようになることが考えられ、それがテンプレートされていると、検査準備が簡略化できるから

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

解決できた課題・具体的な効果
・ウェブアプリケーションの脆弱性検査を、短時間で、準備負荷をかけずに実施できるようになりました
・
課題に貢献した機能・ポイント
・新しく追加されたテストの最適化、差分スキャンの機能は、課題解決に貢献しています
・

検討者へお勧めするポイント

セットアップもしやすく、非常に優れた脆弱性検査ツールになります。
カスタマーサポートも手厚く、専門性を持ったご担当者にご対応いただけます。