HCL AppScanの製品情報（特徴・導入事例）

HCL AppScanのITreview最新受賞実績

• 
  Grid Award 2024 Winter Webセキュリティ部門 Leader

  受賞結果を見る
• 
  Grid Award 2025 Summer 脆弱性診断ツール/サービス部門 High Performer

  受賞結果を見る

※Grid Awardの受賞実績は「総合部門」での受賞結果のみ表示しています

HCL AppScanの機能一覧

HCL AppScanの生成AI機能一覧

HCL AppScanは、生成AI機能として、以下の機能を搭載しています。

HCL AppScanを導入して得られた効果やメリット

ツールは導入するだけでなく、その後どんな影響があったのかが一番重要となります。 では、HCL AppScanを導入することでどんな効果や、メリットがあるのでしょうか？実際に投稿されたレビューからその一部をご紹介します。

非公開ユーザー
ソフトウェア・SI｜ITアーキテクト｜1000人以上｜IT管理者｜契約タイプ 有償利用
企業所属 確認済
投稿日： 2024年11月13日
社内のWebセキュリティ対策のベースアップに繋がっています。
Webセキュリティ,脆弱性診断ツール/サービスで利用
良いポイント
脆弱性診断の高度なスキルがなかったとしても網羅性の高い診断ができるため、各プロジェクトの担当者自身で診断実施ができています。そのため、大きな組織であっても一部のメンバに診断業務が集中せずにツール展開ができています。アプリケーション診断を組織全体で推進する立場としては心強いツールです。
改善してほしいポイント
動的パラメータや同じテストごとにシステム状態が変化するケースのシナリオ作成に工夫を求められることがあり、手動診断ほどではないものの、使用者には一定のスキル(教育)が必要となっています。こちらがツール側で改善されればコストの低減につながるかもしれません。また、スキャン自体に時間がかかってしまうことがあり、診断状況を把握できる情報も少なく、診断が正しく動作しているか確認しづらいことがあります。加えて、シナリオに従って忠実に診断するため、不十分なテストシナリオであっても実行されてしまい、診断の妥当性に気付けないケースもあります。これらがツール側で解決されれば、診断手順のミスなどに気づきやすくなり、作業負担の軽減につながると思います。他のクラウドサービス等でも言えることですが、ツールのバージョン更新に応じて頻繁にUIが変更されるため、社内向けの利用マニュアルなどを修正する頻度が高く、運用の負担になっています。UI変更の頻度を押さえていただくとツールを組織内展開する立場としては助かります。
どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？
ブラックボックス検査のため言語依存がなくHTTPに対応していれば診断できる点やアプリケーションの仕様に合わせたテストシナリオが柔軟に用意できる点から幅広いwebアプリケーションの診断が可能で、さらに、UIが使いやすく日本語レポートもサポートされているため、プロジェクト担当者のスキルにも極端に依存せず、大きな組織内でWebアプリケーション診断を浸透させる取組みに大きく貢献しています。具体的には、社内のWebアプリケーション開発でAppScanが対応できるアプリケーションは必ず診断するようにルール化までできています。
検討者へお勧めするポイント
脆弱性診断の高度なスキルがなかったとしても網羅性の高い診断ができ、組織内での診断必須化など、社内におけるwebセキュリティ対策のベースアップに大きく貢献しています。
続きを開く
• 0コメント
• レビューをシェア
  
• 0 参考になった
非公開ユーザー
インフォコム株式会社｜ソフトウェア・SI｜その他情報システム関連職｜300-1000人未満｜ユーザー（利用者）｜契約タイプ 有償利用
企業所属 確認済
投稿日： 2024年10月28日
Webサービスに対するセキュリティチェック
Webセキュリティ,脆弱性診断ツール/サービスで利用
良いポイント
優れている点・好きな機能
1. 探査機能
2. スキャン結果レポートの見やすさ
その理由
1. URLを指定するだけで探査できるため、主に初めてスキャンをかけるサービスで有用
　 セキュリティテストを実施する段階で対象ページの抜け漏れを抑制することができる
2. 重要度（色）や問題の数（横棒グラフ）がグラフィカルに示されているため、関係者への説明が行いやすい
　 また、修正前後の比較も行いやすい
改善してほしいポイント
欲しい機能・分かりづらい点
1. スキャン対象が決定したとき（自動探査を含む）にトラフィック量がどの程度になるか確認したい
2. スキャン見込み時間の改善
その理由
1. AppScan⇔スキャン対象間のインフラに対しての影響度を確認し、関係者と調整をしやすくしたいため
2. テスト工数算出やクラウド上での実行も考慮したコスト最適化を行いたいため
どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？
セキュリティを考慮したテストをスムーズに行うことができている
レポートを活用して優先順位を付けてWebサービスの修正を行うことができている
続きを開く
• 0コメント
• レビューをシェア
  
• 0 参考になった
非公開ユーザー
その他｜社内情報システム（その他）｜100-300人未満｜IT管理者｜契約タイプ 有償利用
企業所属 確認済
投稿日： 2024年09月30日
深い探査と脆弱性対応のしやすさで群を抜く検査ツール
Webセキュリティ,脆弱性診断ツール/サービスで利用
良いポイント
優れている点・好きな機能
・マルチステップ操作で、正しい操作をしたときのみ到達できる深い階層を探査
・検査レポートだけでなく、AppScanの操作画面内で発見された脆弱性判定の根拠が追求できる
その理由
・入力フォームに特定の値を与えることで順番に次のステップに進むような、きめ細かいシナリオを指定できる。
・実際に攻撃したリクエストやレスポンスのヘッダーとボディが確認できるので、脆弱性と判定された根拠が、文章だけでなく値で追及することができる。
　そのため他のツールを使って攻撃を再現できるので、開発部門への説明に説得力が増す。
改善してほしいポイント
欲しい機能・分かりづらい点
・マルチステップのシナリオ作成が、検査対象によっては工夫が必要（時には不可の場合もある？）
・
その理由
・アクセスごとに動的に変動する値を入力しなければならない、一度試験すると状態が変わってしまって再検査が難しいなどのシステムの検査では、シナリオ作成が非常に難しい。
・場合によっては、検査対象に検査のための修正を加える必要がある。
・SSOなど外部システムとの連携が必要な場合は、検査のときだけは認証をスキップするなど修正が必要と思われる。
どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？
ほぼすべての社内システム、Webサイトの公開条件に、AppScanの検査をクリアすることとしている。
脆弱性検査は保険業界などで代理店として営業する際に必須の条件になる。
代理店登録時や監査では、ツール名と定期的な検査実績を提示することで、確実な運用体制であることを示すことができる。
実際に、AppScanで検査し脆弱性対応をしたシステムで情報漏洩などの問題は起きていない。
発見された脆弱性を評価し対策を検討する際、攻撃のヘッダーとボディが見られることがとても役に立つ。
脆弱性と判断する根拠も応答のヘッダー・ボディで明快に示されるので、対応の要不要の判断が明確に行える。
検討者へお勧めするポイント
とにかく設定が細かくできる。
発見された脆弱性への対応が容易。
続きを開く
• 0コメント
• レビューをシェア
  
• 0 参考になった