HCL AppScanの価格（料金・費用）

改善してほしいポイント

製品自体の使い勝手の点ではありませんがライセンスのアクティベーションに少々手こずりました。
手順が分かりづらいのもあるのですがHCL SOFTWAREの製品を他にも利用しているためアカウントの紐づけ間違えてしまい修正が必要になりました。最終的にサポートの方に対応していただきリカバリできました。

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

自動スキャンは診断知識がなくても必要項目を数点登録して実行するだけで推奨修正内容を含め、必要十分な診断レポートを出力してくれるので開発部門から依頼を受けて診断を実行する立場としては自動スキャン機能は大変重宝しています。

検討者へお勧めするポイント

脆弱性診断の初心者でも使いやすいと製品と思います。

改善してほしいポイント

動的パラメータや同じテストごとにシステム状態が変化するケースのシナリオ作成に工夫を求められることがあり、手動診断ほどではないものの、使用者には一定のスキル(教育)が必要となっています。こちらがツール側で改善されればコストの低減につながるかもしれません。また、スキャン自体に時間がかかってしまうことがあり、診断状況を把握できる情報も少なく、診断が正しく動作しているか確認しづらいことがあります。加えて、シナリオに従って忠実に診断するため、不十分なテストシナリオであっても実行されてしまい、診断の妥当性に気付けないケースもあります。これらがツール側で解決されれば、診断手順のミスなどに気づきやすくなり、作業負担の軽減につながると思います。他のクラウドサービス等でも言えることですが、ツールのバージョン更新に応じて頻繁にUIが変更されるため、社内向けの利用マニュアルなどを修正する頻度が高く、運用の負担になっています。UI変更の頻度を押さえていただくとツールを組織内展開する立場としては助かります。

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

ブラックボックス検査のため言語依存がなくHTTPに対応していれば診断できる点やアプリケーションの仕様に合わせたテストシナリオが柔軟に用意できる点から幅広いwebアプリケーションの診断が可能で、さらに、UIが使いやすく日本語レポートもサポートされているため、プロジェクト担当者のスキルにも極端に依存せず、大きな組織内でWebアプリケーション診断を浸透させる取組みに大きく貢献しています。具体的には、社内のWebアプリケーション開発でAppScanが対応できるアプリケーションは必ず診断するようにルール化までできています。

検討者へお勧めするポイント

脆弱性診断の高度なスキルがなかったとしても網羅性の高い診断ができ、組織内での診断必須化など、社内におけるwebセキュリティ対策のベースアップに大きく貢献しています。

改善してほしいポイント

欲しい機能・分かりづらい点
1. スキャン対象が決定したとき（自動探査を含む）にトラフィック量がどの程度になるか確認したい
2. スキャン見込み時間の改善
その理由
1. AppScan⇔スキャン対象間のインフラに対しての影響度を確認し、関係者と調整をしやすくしたいため
2. テスト工数算出やクラウド上での実行も考慮したコスト最適化を行いたいため

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

セキュリティを考慮したテストをスムーズに行うことができている
レポートを活用して優先順位を付けてWebサービスの修正を行うことができている