生成AI機能
0
非公開ユーザー
電気・電子機器|品質管理|1000人以上|ユーザー(利用者)|契約タイプ 有償利用
良いポイント
脆弱性を広くカバーしてくれ、また実績のある名の通ったツールであることで、ベース診断としての安心感はある。
不明点はサポートセンターで的確に答えてくれる。
改善してほしいポイント
レポートから脆弱性の内容や対策の詳細がもう少し分かり易くなるよう、改善の余地があると思います。
ログイン認証やパラメータの認識など、正しくテストできるか、工夫やスキルが必要な印象があります(他のツールも同様だと思いますが)
どのような課題解決に貢献しましたか?どのようなメリットが得られましたか?
社内での開発中の診断に活用していますが、リードタイムの短縮や突発案件への柔軟な対応が可能になりました。
非公開ユーザー
電気|社内情報システム(企画・計画・調達)|1000人以上|IT管理者
この製品・サービスの良いポイントは何でしょうか?
webアプリケーションやコンテンツの脆弱性調査ツールとして実績があり取り扱うことができる技術者も多いところ。
改善してほしいポイントは何でしょうか?
海外製のツールでありレポーティングでは考慮が必要であり、また昨今は脆弱性の数も多く結果の分析にある程度のスキルが求められる印象です。
どのようなビジネス課題を解決できましたか?あるいは、どのようなメリットが得られましたか?
定期的な脆弱性調査での使用実績があります。他ツールに比べより安全サイドに倒した結果となる印象で検出数が多い。
検討者にお薦めするポイントがあれば記入ください
独自開発したアプリケーションは、ツールだけでは検出しきれない場合もあり、当該のツールと手動を組合せた診断サービスを提供する会社もありますのでご検討ください。
非公開ユーザー
株式会社Glory|電気・電子機器|社内情報システム(開発・運用管理)|1000人以上|ユーザー(利用者)|契約タイプ 有償利用
良いポイント
優れている点・好きな機能
・使いやすいUIとレポート機能
・継続的な更新と最新の脅威への対応
その理由
・ユーザーフレンドリーなインターフェースとカスタマイズ可能なレポート機能が特徴です。セキュリティの状況を一目で確認できる。
・定期的にアップデートしており、最新の脆弱性や攻撃手法に対応できるように維持されています。これにより、最新のセキュリティ要件やコンプライアンスにも準拠することが容易です。
改善してほしいポイント
欲しい機能・分かりづらい点
・パフォーマンスとスキャン速度
・誤検知(False Positives)の削減
その理由
・AppScanのスキャンは、特に大規模なアプリケーションや複雑な環境では時間がかかる場合があります。開発サイクルが短くなる現代のDevOps環境では、スキャン速度の向上が求められます。スキャン中のシステムリソースの消費も大きいため、軽量化や並列処理の最適化が改善点です。
・他のセキュリティツール同様、AppScanでも誤検知(False Positives)が発生することがあります。これにより、実際には問題ない箇所に対して修正作業が発生し、開発者の負担を増加させる可能性があります。誤検知の精度向上や、より高度なフィルタリング機能の強化が求められます。
どのような課題解決に貢献しましたか?どのようなメリットが得られましたか?
解決できた課題・具体的な効果
・アプリケーションに存在するセキュリティの脆弱性を手動で検出するのは非常に時間がかかる
課題に貢献した機能・ポイント
・開発初期段階でセキュリティの問題を発見し、修正コストを低減することに貢献しています。
・開発中のコードに潜む脆弱性を事前に防ぐことができています。
非公開ユーザー
広告・販促|営業・販売・サービス職|50-100人未満|ユーザー(利用者)
良いポイント
開発後のリリース前のプログラムに対してアプリを実行するだけで、アプリの脆弱性に加えて、気が付きにくいサーバー側の設定ミスなども検視ができる。リスク管理の観点から専門業者に依頼をする費用をアプリで検査をすることで大きく下げることが可能。
改善してほしいポイント
海外製なので検知結果に対しての読解にかなり時間がかかる。スキルがあまり高くないので読んで対応する方法が分からないことが多い。
どのような課題解決に貢献しましたか?どのようなメリットが得られましたか?
情報セキュリティーの監査において必ず自社で開発したアプリケーションの脆弱性診断を定期的に行うことになっています。しかしながら脆弱性診断のスキルは自社は低いので高額な費用をかけて外部業者に依頼をして対応をしていました。HCL AppScanを利用してからはすでに検査した項目として診断項目削減できるので外注費用が削減できました。
非公開ユーザー
ソフトウェア・SI|社内情報システム(CIO・マネージャ)|1000人以上|IT管理者
この製品・サービスの良いポイントは何でしょうか?
リリース前のWebアプリケーションに対し実行することで、脆弱性診断をきちんとやってくれる点です。有名なツールですし使いやすい方なので社内のエンジニアも広く使える操作性の良さも良い点です。
改善してほしいポイントは何でしょうか?
診断後の結果がもっと分かりやすいといいです。専門的な分野ではありますが、日々更新される脆弱性情報と原因と対策を理解するのに、それなりのスキルが必要であるため、レポートが分かりやすいと良いです。
どのようなビジネス課題を解決できましたか?あるいは、どのようなメリットが得られましたか?
脆弱性診断は外部に頼むとなかなかの価格になりますが、AppScanを導入したことでコストメリットが大きく出ました。また、エンジニアが自分で使える環境にしているため、AppScanを通じて脆弱性に対する意識も変わってきたように思います。
非公開ユーザー
ソフトウェア・SI|社内情報システム(その他)|1000人以上|ユーザー(利用者)
この製品・サービスの良いポイントは何でしょうか?
Webアプリケーションに対して実行することで、自動的に脆弱性を発見してレポートしてくれる。ログインなどが必要なWebアプリケーションでも使用できる。
改善してほしいポイントは何でしょうか?
ログイン処理などが正しく設定されていなくても、スキャンを走らせることはできてしまう。意図したテストが実施できているのか、やや不安になるので、確実に意図したテストが実行されているか簡単に確認できる機能があるとよい。
どのようなビジネス課題を解決できましたか?あるいは、どのようなメリットが得られましたか?
新規に作成したWebアプリケーションについては、このツールを使うことである程度の実装上の問題を洗い出すことができている。
非公開ユーザー
ソフトウェア・SI|ITアーキテクト|1000人以上|IT管理者|契約タイプ 有償利用
社内のWebセキュリティ対策のベースアップに繋がっています。
良いポイント
脆弱性診断の高度なスキルがなかったとしても網羅性の高い診断ができるため、各プロジェクトの担当者自身で診断実施ができています。そのため、大きな組織であっても一部のメンバに診断業務が集中せずにツール展開ができています。アプリケーション診断を組織全体で推進する立場としては心強いツールです。
改善してほしいポイント
動的パラメータや同じテストごとにシステム状態が変化するケースのシナリオ作成に工夫を求められることがあり、手動診断ほどではないものの、使用者には一定のスキル(教育)が必要となっています。こちらがツール側で改善されればコストの低減につながるかもしれません。また、スキャン自体に時間がかかってしまうことがあり、診断状況を把握できる情報も少なく、診断が正しく動作しているか確認しづらいことがあります。加えて、シナリオに従って忠実に診断するため、不十分なテストシナリオであっても実行されてしまい、診断の妥当性に気付けないケースもあります。これらがツール側で解決されれば、診断手順のミスなどに気づきやすくなり、作業負担の軽減につながると思います。他のクラウドサービス等でも言えることですが、ツールのバージョン更新に応じて頻繁にUIが変更されるため、社内向けの利用マニュアルなどを修正する頻度が高く、運用の負担になっています。UI変更の頻度を押さえていただくとツールを組織内展開する立場としては助かります。
どのような課題解決に貢献しましたか?どのようなメリットが得られましたか?
ブラックボックス検査のため言語依存がなくHTTPに対応していれば診断できる点やアプリケーションの仕様に合わせたテストシナリオが柔軟に用意できる点から幅広いwebアプリケーションの診断が可能で、さらに、UIが使いやすく日本語レポートもサポートされているため、プロジェクト担当者のスキルにも極端に依存せず、大きな組織内でWebアプリケーション診断を浸透させる取組みに大きく貢献しています。具体的には、社内のWebアプリケーション開発でAppScanが対応できるアプリケーションは必ず診断するようにルール化までできています。
検討者へお勧めするポイント
脆弱性診断の高度なスキルがなかったとしても網羅性の高い診断ができ、組織内での診断必須化など、社内におけるwebセキュリティ対策のベースアップに大きく貢献しています。
非公開ユーザー
インフォコム株式会社|ソフトウェア・SI|その他情報システム関連職|300-1000人未満|ユーザー(利用者)|契約タイプ 有償利用
良いポイント
優れている点・好きな機能
1. 探査機能
2. スキャン結果レポートの見やすさ
その理由
1. URLを指定するだけで探査できるため、主に初めてスキャンをかけるサービスで有用
セキュリティテストを実施する段階で対象ページの抜け漏れを抑制することができる
2. 重要度(色)や問題の数(横棒グラフ)がグラフィカルに示されているため、関係者への説明が行いやすい
また、修正前後の比較も行いやすい
改善してほしいポイント
欲しい機能・分かりづらい点
1. スキャン対象が決定したとき(自動探査を含む)にトラフィック量がどの程度になるか確認したい
2. スキャン見込み時間の改善
その理由
1. AppScan⇔スキャン対象間のインフラに対しての影響度を確認し、関係者と調整をしやすくしたいため
2. テスト工数算出やクラウド上での実行も考慮したコスト最適化を行いたいため
どのような課題解決に貢献しましたか?どのようなメリットが得られましたか?
セキュリティを考慮したテストをスムーズに行うことができている
レポートを活用して優先順位を付けてWebサービスの修正を行うことができている
非公開ユーザー
医薬品・化粧品|その他モノづくり関連職|1000人以上|ユーザー(利用者)
良いポイント
◇簡単に利用できるインターフェースが優れており、操作が非常に簡単です。
◇細かい設定ができ、ユーザーは診断方法をカスタマイズできます。
◇大規模なアプリケーションにも対応しており、脆弱性診断が迅速かつ正確に実行されます。
改善してほしいポイント
◇初めて利用したときに、UIの操作方法が分かりにくくて慣れるまで時間がかかりました。
◇結果の解釈について、より詳細な説明があればいいなと思います。
◇検査時間が長く、大規模なアプリケーションを診断する場合には、時間がかかってしまいます。
どのような課題解決に貢献しましたか?どのようなメリットが得られましたか?
HCL AppScantを利用することで、私は自分のウェブアプリケーションが潜在的な脆弱性を持っているかどうかを素早く判断することができました。特に、細かい設定ができることにより、私は自分のアプリケーションに特化したテストを行うことができ、結果を最適化することができました。また、結果はカスタマイズ可能で、問題の優先順位を判断することができます。これらの機能により、私はアプリケーションのセキュリティに対する自信を得ることができ、より安心してアプリケーションをリリースすることができました。
非公開ユーザー
情報通信・インターネット|営業・販売・サービス職|300-1000人未満|ユーザー(利用者)|契約タイプ 有償利用
良いポイント
Webアプリケーションの脆弱性と、インフラの設定ミスや既知の問題を自動で検知してくれるため、時間とコストの削減面でかなり助かっています。
脆弱性の指摘だけではなく、修正方法を提示し、レポートを作成してくれる点も良いです。
改善してほしいポイント
相性の問題かもしれませんが、アプリケーションに直接アクセスし脆弱性を診断する動的解析をする際に、重くなりアプリケーションの使い勝手が悪くなります。
どのような課題解決に貢献しましたか?どのようなメリットが得られましたか?
今までは、大型アップデートや数ヶ月に1度見直す程度でした。しかし、ウイルスの被害が年々増えているため見直しを強化しました。
実際手動でやるとかなり時間がかかり、人手を雇うにもかなりのコストがかかるため導入しました。
実際、人件費に比べるとかなりコストパフォーマンスは良く、レポート機能により何処を改善すべきかまでも教えてくれるため非常に助かっています。
検討者へお勧めするポイント
インフラ管理者がいない会社で、管理システムがない場合はコスパと使い勝手の良さからお勧めです。
ITreviewに参加しよう!
会員登録でもっと便利に
レビューを通じて社会貢献
製品掲載で顧客を呼び込む
