生成AI機能
0
アプリケーションセキュリティの統合ソリューションHCL AppScan
AI を活用して開発から運用までアプリケーションセキュリティの脆弱性を診断、開発作業をサポートします
DAST:動的診断【AppScan Standard】
Webサーバー/Web APIサーバーへの脆弱性診断が可能な動的診断ソリューション。ツールに不慣れな方でも利用しやすい親切設計で、ナビゲーションにそって最低限の情報を入力するだけで診断ができます。一方で、細かな設定や診断のカスタマイズもでき、プロフェッショナルユーザーのニーズにも対応しています。
発見された問題を、重大度別、問題箇所別などに切り替えて表示できるため、素早く問題ごとの詳細や修正方法をご確認いただけます。また、問題の再現や、レポート形式での出力にも対応しています。
SAST:静的診断【AppSan Source】
アプリケーションのソースコードを解析し、問題ごとに詳細や修正方法を確認できます。AIを活用し、誤検出や「攻撃されそうもないシナリオ」を大幅に削減、重要な脆弱性に優先して対応できるようにします。
多くの開発言語に対応しています。以下でご確認ください。https://help.hcltechsw.com/appscan/ASoC/ja/src_language_support.html
CI/CD統合による自動化を実現するためのエディションやオプションもご用意しています。
【AppScan Enterprise】
AppScan StandardやAppScan Source、さらにはHCL AppScan以外のツールも含めて脆弱性診断の結果を集約し、可視化します。組織にあるアプリケーションをリスト化し、全体のセキュリティ脆弱性診断状況をまとめて見たり、アプリケーションごとに問題への対応状況の変化をチェックしたりできます。
DAST、IASTのオプションを追加すると、AppScan Enterprise自身がDAST、IAST診断サーバーとして動作し、その診断結果を一元化してご覧いただけます。
【ASoC - AppScan on Cloud】
オンプレミスAppScan製品と同じエンジンの脆弱性診断機能(DAST、SAST、IAST)を一つのプラットフォームで、SaaSとして提供します。AIでDAST、SAST、IASTの異なる技術による診断結果を分析し、それぞれの相関関係を可視化します。
利用しているオープンソース・ライブラリをリスト化し、脆弱性のあるライブラリの有無を確認するSCAが含まれており、SBOMレポートの出力もできます。
(SCAの提供はクラウド版のみ)
【HCL AppSan 360°】
ASoC(AppScan on Cloud)と同等の機能をクラウドネイティブアーキテクチャで提供します。オンプレミスおよびマネージドクラウドで運用いただけるので、「ASoCを使いたいけれどSaaSは嫌だ」というお客様にも、ASoCと同じ機能のプラットフォームを自社専用でお持ちいただけます。
2024年7月現在、DASTとSASTの機能をご利用いただけます。今後、SCAとIASTの機能の追加を予定しています。
HCL AppScan 担当ディレクター
株式会社エイチシーエル・ジャパン
HCL AppScanは、信頼されるWebアプリケーションセキュリティとして高く評価されているソリューションです。経済産業省が公表する「情報セキュリティサービス基準」でも、サービスの品質が確保されていることを示す基準の1つとして、Web アプリケーション脆弱性診断においてHCL AppScanを使用して診断を行うことが推奨されています。HCL AppScan の全機能を無料で体験できるトライアルもご用意していますので、お気軽にお問合せください。
■ 無料トライアル
https://www.hcljapan.co.jp/software/trial/appscan/standard/
■ お問合せ
https://www.hcljapan.co.jp/software/contact-me/
■ HCL AppScanニューズレター配信登録
https://bit.ly/4ckSVme
HCL AppScanとは、株式会社エイチシーエル・ジャパンが提供しているWebセキュリティ、脆弱性診断ツール/サービス、IAST、SAST/DAST製品。ITreviewでのユーザー満足度評価は4.0となっており、レビューの投稿数は19件となっています。
※Grid Awardの受賞実績は「総合部門」での受賞結果のみ表示しています
HCL AppScanのITreviewユーザーの満足度は現在4.0となっており、同じWebセキュリティのカテゴリーに所属する製品では9位、脆弱性診断ツール/サービスのカテゴリーに所属する製品では8位、IASTのカテゴリーに所属する製品では2位、SAST/DASTのカテゴリーに所属する製品では4位、となっています。
| バッジ | 満足度 | 大企業 | 中堅企業 | 中小企業 |
|---|---|---|---|---|
| - | 4.0 | 4.0 | 4.2 | 3.7 |
| レーダーチャート | 価格 | 使いやすさ | サポート品質 | 導入のしやすさ | 機能への満足度 | 管理のしやすさ |
|---|---|---|---|---|---|---|
|
|
3.6 | 4.0 | 4.1 | 3.5 | 3.9 | 3.5 |
※ 2026年03月18日時点の集計結果です
HCL AppScanは、Webセキュリティの製品として、以下の機能を搭載しています。
セキュリティ監視
アプリケーションなどの処理/機能、ユーザーのアクセシビリティー、トラフィックフローにおける異常、データ改ざんなどを検出する
ネットワーク制御
ネットワークのプロビジョニング、コンテンツの配信、負荷の分散、トラフィック管理を行う
アプリケーション層制御
アプリケーション制御要求、管理プロトコル、認証ポリシーなどのユーザー設定可能なルールを提供し、セキュリティを強化する
ログとレポート
トラブルシューティングや監査をサポートするためのログレポートを提供する
問題追跡
セキュリティ上の問題発生時に原因を追跡し、解消を図るためのさまざまなプロセスを支援する
HCL AppScanは、脆弱性診断ツール/サービスの製品として、以下の機能を搭載しています。
Web検査
Webアプリケーションの可用性/稼働率などの観点からセキュリティを評価する
コンプライアンス監視
データの品質を監視し、違反または誤用などについて警告する
リスク分析
セキュリティリスク、脆弱性、攻撃や違反のコンプライアンスへの影響を識別、スコア付け、及び優先順位付けを行う
HCL AppScanは、生成AI機能として、以下の機能を搭載しています。
その他
アプリケーションの静的解析で発生するノイズや誤検出を大幅に削減(トリアージ)することで、開発段階での脆弱性診断をスムーズにする機能。
ツールは導入するだけでなく、その後どんな影響があったのかが一番重要となります。 では、HCL AppScanを導入することでどんな効果や、メリットがあるのでしょうか?実際に投稿されたレビューからその一部をご紹介します。
非公開ユーザー
機械器具|宣伝・マーケティング|1000人以上|ユーザー(利用者)|契約タイプ 有償利用
良いポイント
OWASP Top10 や一般的なセキュリティリスクをしっかりカバー点や、自動テストだけでなく手動での詳細解析にも対応し、検出漏れが少ない点がよいと思います。
改善してほしいポイント
審査結果として危険度は出るが、ビジネスへの影響度を考慮した優先順位付けが弱いです。例えば「ユーザー情報漏洩リスク」など、具体的な影響内容が分かる表現を強化してほしいです。
どのような課題解決に貢献しましたか?どのようなメリットが得られましたか?
セキュリティ知識の属人化の解消できました。以前は特定のメンバーが時間をかけてチェックしていましたが、本ツールに任せることで属人化を解消でき、時間短縮にもなっています。
非公開ユーザー
ソフトウェア・SI|ITアーキテクト|1000人以上|IT管理者|契約タイプ 有償利用
社内のWebセキュリティ対策のベースアップに繋がっています。
良いポイント
脆弱性診断の高度なスキルがなかったとしても網羅性の高い診断ができるため、各プロジェクトの担当者自身で診断実施ができています。そのため、大きな組織であっても一部のメンバに診断業務が集中せずにツール展開ができています。アプリケーション診断を組織全体で推進する立場としては心強いツールです。
改善してほしいポイント
動的パラメータや同じテストごとにシステム状態が変化するケースのシナリオ作成に工夫を求められることがあり、手動診断ほどではないものの、使用者には一定のスキル(教育)が必要となっています。こちらがツール側で改善されればコストの低減につながるかもしれません。また、スキャン自体に時間がかかってしまうことがあり、診断状況を把握できる情報も少なく、診断が正しく動作しているか確認しづらいことがあります。加えて、シナリオに従って忠実に診断するため、不十分なテストシナリオであっても実行されてしまい、診断の妥当性に気付けないケースもあります。これらがツール側で解決されれば、診断手順のミスなどに気づきやすくなり、作業負担の軽減につながると思います。他のクラウドサービス等でも言えることですが、ツールのバージョン更新に応じて頻繁にUIが変更されるため、社内向けの利用マニュアルなどを修正する頻度が高く、運用の負担になっています。UI変更の頻度を押さえていただくとツールを組織内展開する立場としては助かります。
どのような課題解決に貢献しましたか?どのようなメリットが得られましたか?
ブラックボックス検査のため言語依存がなくHTTPに対応していれば診断できる点やアプリケーションの仕様に合わせたテストシナリオが柔軟に用意できる点から幅広いwebアプリケーションの診断が可能で、さらに、UIが使いやすく日本語レポートもサポートされているため、プロジェクト担当者のスキルにも極端に依存せず、大きな組織内でWebアプリケーション診断を浸透させる取組みに大きく貢献しています。具体的には、社内のWebアプリケーション開発でAppScanが対応できるアプリケーションは必ず診断するようにルール化までできています。
検討者へお勧めするポイント
脆弱性診断の高度なスキルがなかったとしても網羅性の高い診断ができ、組織内での診断必須化など、社内におけるwebセキュリティ対策のベースアップに大きく貢献しています。
非公開ユーザー
インフォコム株式会社|ソフトウェア・SI|その他情報システム関連職|300-1000人未満|ユーザー(利用者)|契約タイプ 有償利用
良いポイント
優れている点・好きな機能
1. 探査機能
2. スキャン結果レポートの見やすさ
その理由
1. URLを指定するだけで探査できるため、主に初めてスキャンをかけるサービスで有用
セキュリティテストを実施する段階で対象ページの抜け漏れを抑制することができる
2. 重要度(色)や問題の数(横棒グラフ)がグラフィカルに示されているため、関係者への説明が行いやすい
また、修正前後の比較も行いやすい
改善してほしいポイント
欲しい機能・分かりづらい点
1. スキャン対象が決定したとき(自動探査を含む)にトラフィック量がどの程度になるか確認したい
2. スキャン見込み時間の改善
その理由
1. AppScan⇔スキャン対象間のインフラに対しての影響度を確認し、関係者と調整をしやすくしたいため
2. テスト工数算出やクラウド上での実行も考慮したコスト最適化を行いたいため
どのような課題解決に貢献しましたか?どのようなメリットが得られましたか?
セキュリティを考慮したテストをスムーズに行うことができている
レポートを活用して優先順位を付けてWebサービスの修正を行うことができている
ITreviewに参加しよう!
会員登録でもっと便利に
レビューを通じて社会貢献
製品掲載で顧客を呼び込む
