Detecting Error Pages with AI in HCL AppScan DAST 10.7.0 の翻訳版です。
AIを活用したエラーページの検出 - HCL AppScan DAST 10.7.0
2024年10月26日
著者: Adam Cave / Product Marketing Manager, HCL AppScan
動的アプリケーションセキュリティ テスト (DAST) は、実行中の Web アプリケーションをスキャンして外部攻撃をシミュレートすることでセキュリティの脆弱性を特定するブラック ボックス テスト手法です。これは、Web サイトをクロールして誤った入力を挿入し、アプリケーションが予期しないデータや誤ったデータを処理する方法を観察することによって行われます。このような誤入力はエラー ページの表示をトリガーする必要があります。エラーページが表示されない場合、ページが機密情報を公開していたり、不適切なエラー処理による潜在的な脆弱性が存在する可能性があります。
HCL AppScan DAST には、これらの種類の脆弱性を検証するための 2 つの主な方法があります。1 つのケースでは、DAST エンジンは、何を探すべきかについてトレーニングされており、ヒューリスティックを使用して、脆弱性を示すエラー メッセージの一般的なパターンを認識します。これらには、一般的なデータベース エラー メッセージ (MySQL または SQL Server エラーなど) や、潜在的なセキュリティ問題としてフラグを付ける必要がある「null 参照」、「構文エラー」、「例外」などの特定のキーワードやフレーズが含まれます。
さらに、DAST は 2 番目の方法として、何を探すべきかをトレーニングするのではなく、すべての誤った入力を調べます。この 2 番目のプロセスでは、特にエラー ページの検出が重要な役割を果たします。誤った入力はエラー ページの表示をトリガーするはずです。トリガーされない場合は、結果が脆弱性と見なされます。しかし、エラーページの中には、エラー メッセージがあまり目立たなかったり、通常のページと非常によく似ているなど、エラーページとして認識するのが難しいエッジ ケースがあります。スキャンでこれらの兆候が見落とされると、エラーページが表示されない応答と誤って解釈され、誤検知が発生する可能性があります。つまりスキャンの結果として、存在しない潜在的な脆弱性や情報の誤った取り扱いが報告されてしまいます。
HCL AppScan バージョン 10.7.0 以降、DAST テクノロジーは Gen AI を活用して、これらのエッジ ケースに固有のリスクを軽減できるようになりました。簡単に言うと、特定のページにエラーがユーザーに表示されるかどうかを尋ねるプロンプトが AI に送信されます。顧客から提起された問題に関する実際のテストに基づくと、AI はエッジ ケースでのエラー検出において優れた実績があり、HCL AppScan DAST ヒューリスティックを補完します。
スキャン時間の増加を最小限に抑えるために、スキャン ルールでエラー ページの検出が必要な場合のみ AI にクエリが送信されます。その場合でも、HCL AppScan DAST がヒューリスティックを使用してエラー ページを検出できなかった場合に限りクエリが送信されます。HCL AppScan が AI の助けを借りずに応答をエラーとして検出できた場合、誤検出はほとんど、もしくはまったくないため、検証は必要ありません。
図: HCL AppScan Standard (DAST ツール) の AI 構成を示すスクリーンショット (注: お客様は独自の LLM エンドポイントとトークンを提供する必要があります。)
HCL AppScan は、主に静的アプリケーションセキュリティ テスト (SAST) での誤検出を減らすために、何年も前から AI をテスト ツールに組み込んできました。DAST エンジンでの Gen AI のこの新しい採用と、より迅速な修復のための新しい AutoFix 機能での使用は、どちらも最先端のイノベーションであり、HCL AppScan をアプリケーションセキュリティ テストのグローバル リーダーとして定義しています。
HCL AppScan バージョン 10.7.0 の追加更新の詳細については、こちらをご覧ください。また、今すぐ当社にご連絡いただき、アプリケーションセキュリティ体制の改善と Digital+ 経済におけるビジネス リスクの軽減をどのように支援できるかご確認ください。