HCL AppScanの評判・口コミ 全18件

改善してほしいポイント

欲しい機能・分かりづらい点
・ログイン情報記録

その理由
・Webサーバが暗号化用のSALTを用いてログイン方法を用いる際に、SALTが毎回変わる場合、Appscanを使ってログインできなくなる。（SALT値を固定にすればできます）
SALT値が変わってもログイン記録できるようにしてほしいです。

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

Appscanが生成したレポートをそのまま設計部門に提供することによって、レポート内容通りに修正してもらえました。脆弱性の詳細を説明する手間が省けます。

改善してほしいポイント

欲しい機能・分かりづらい点
・マルチステップのシナリオ作成が、検査対象によっては工夫が必要（時には不可の場合もある？）
・
その理由
・アクセスごとに動的に変動する値を入力しなければならない、一度試験すると状態が変わってしまって再検査が難しいなどのシステムの検査では、シナリオ作成が非常に難しい。
・場合によっては、検査対象に検査のための修正を加える必要がある。
・SSOなど外部システムとの連携が必要な場合は、検査のときだけは認証をスキップするなど修正が必要と思われる。

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

ほぼすべての社内システム、Webサイトの公開条件に、AppScanの検査をクリアすることとしている。
脆弱性検査は保険業界などで代理店として営業する際に必須の条件になる。
代理店登録時や監査では、ツール名と定期的な検査実績を提示することで、確実な運用体制であることを示すことができる。
実際に、AppScanで検査し脆弱性対応をしたシステムで情報漏洩などの問題は起きていない。

発見された脆弱性を評価し対策を検討する際、攻撃のヘッダーとボディが見られることがとても役に立つ。
脆弱性と判断する根拠も応答のヘッダー・ボディで明快に示されるので、対応の要不要の判断が明確に行える。

検討者へお勧めするポイント

とにかく設定が細かくできる。
発見された脆弱性への対応が容易。

改善してほしいポイント

製品自体の使い勝手の点ではありませんがライセンスのアクティベーションに少々手こずりました。
手順が分かりづらいのもあるのですがHCL SOFTWAREの製品を他にも利用しているためアカウントの紐づけ間違えてしまい修正が必要になりました。最終的にサポートの方に対応していただきリカバリできました。

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

自動スキャンは診断知識がなくても必要項目を数点登録して実行するだけで推奨修正内容を含め、必要十分な診断レポートを出力してくれるので開発部門から依頼を受けて診断を実行する立場としては自動スキャン機能は大変重宝しています。

検討者へお勧めするポイント

脆弱性診断の初心者でも使いやすいと製品と思います。

改善してほしいポイント

欲しい機能・分かりづらい点
・脆弱性診断の精度は比較的に高いと思うが、古いサイトだと誤検知が多い気がする
・スキャン時の動作が結構重くて、PCのスペック要求が高い

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

解決できた課題・具体的な効果
・今までは別のスキャンツールを使っていたが、レポート機能がなくて、診断後のレポートは手動で作成していた。AppScanでは、自動的に診断レポートを作成してくれるので、作業の工数削減ができた。

改善してほしいポイント

欲しい機能・分かりづらい点
・サイトの複雑さにもよるが、スキャンのスピードはあんまり速くないので、大きいサイトで何時間もかかったことある。

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

解決できた課題・具体的な効果
・去年より脆弱性診断についての問い合わせが増えた。最初はすべて手動で対応していたが、テンプレートとスケジュール機能の併用によって、脆弱性診断業務が楽になった。

改善してほしいポイント

昨今のWebアプリケーションは進化しすぎてしまい、非常に複雑化しました。
同じ事を実現するのに無数の実装方法があり、必要な設定も同じだけあります。
端的に言えばログイン(認証)です。独自の認証方式から、各認証プロバイダの複雑な認証。はては多要素認証や端末認証まであります。いたちごっこともなりますが多様な認証に追随し続けてほしいと思います。

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

動的診断は基本的にはテストケースの量で質を担保するテストとなります。
例えば診断対象が10画面でそれぞれに10個のパラメータがあった場合
各パラメーターに対して数百パターンのテストが必要です。(クロスサイトスクリプティングだけでも100パターン以上必要)
つまり10×10×200としても2万パターンのテストを自動的に実行することが可能です。

検討者へお勧めするポイント

製品比較の際は「アプリケーションの仕様通りに診断できているか」をご確認ください。
せっせとテストして脆弱性が出なかったとしても、ひたすらエラー画面を叩いているだけだったら何の意味もありません。

改善してほしいポイント

動的パラメータや同じテストごとにシステム状態が変化するケースのシナリオ作成に工夫を求められることがあり、手動診断ほどではないものの、使用者には一定のスキル(教育)が必要となっています。こちらがツール側で改善されればコストの低減につながるかもしれません。また、スキャン自体に時間がかかってしまうことがあり、診断状況を把握できる情報も少なく、診断が正しく動作しているか確認しづらいことがあります。加えて、シナリオに従って忠実に診断するため、不十分なテストシナリオであっても実行されてしまい、診断の妥当性に気付けないケースもあります。これらがツール側で解決されれば、診断手順のミスなどに気づきやすくなり、作業負担の軽減につながると思います。他のクラウドサービス等でも言えることですが、ツールのバージョン更新に応じて頻繁にUIが変更されるため、社内向けの利用マニュアルなどを修正する頻度が高く、運用の負担になっています。UI変更の頻度を押さえていただくとツールを組織内展開する立場としては助かります。

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

ブラックボックス検査のため言語依存がなくHTTPに対応していれば診断できる点やアプリケーションの仕様に合わせたテストシナリオが柔軟に用意できる点から幅広いwebアプリケーションの診断が可能で、さらに、UIが使いやすく日本語レポートもサポートされているため、プロジェクト担当者のスキルにも極端に依存せず、大きな組織内でWebアプリケーション診断を浸透させる取組みに大きく貢献しています。具体的には、社内のWebアプリケーション開発でAppScanが対応できるアプリケーションは必ず診断するようにルール化までできています。

検討者へお勧めするポイント

脆弱性診断の高度なスキルがなかったとしても網羅性の高い診断ができ、組織内での診断必須化など、社内におけるwebセキュリティ対策のベースアップに大きく貢献しています。

改善してほしいポイント

欲しい機能・分かりづらい点
1. スキャン対象が決定したとき（自動探査を含む）にトラフィック量がどの程度になるか確認したい
2. スキャン見込み時間の改善
その理由
1. AppScan⇔スキャン対象間のインフラに対しての影響度を確認し、関係者と調整をしやすくしたいため
2. テスト工数算出やクラウド上での実行も考慮したコスト最適化を行いたいため

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

セキュリティを考慮したテストをスムーズに行うことができている
レポートを活用して優先順位を付けてWebサービスの修正を行うことができている

改善してほしいポイント

◇初めて利用したときに、UIの操作方法が分かりにくくて慣れるまで時間がかかりました。
◇結果の解釈について、より詳細な説明があればいいなと思います。
◇検査時間が長く、大規模なアプリケーションを診断する場合には、時間がかかってしまいます。

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

HCL AppScantを利用することで、私は自分のウェブアプリケーションが潜在的な脆弱性を持っているかどうかを素早く判断することができました。特に、細かい設定ができることにより、私は自分のアプリケーションに特化したテストを行うことができ、結果を最適化することができました。また、結果はカスタマイズ可能で、問題の優先順位を判断することができます。これらの機能により、私はアプリケーションのセキュリティに対する自信を得ることができ、より安心してアプリケーションをリリースすることができました。