.jpg)
カスタムスクリプトの導入:HCL AppScan DASTにおける新たな柔軟性の提供
2025/6/13 - 読み終える時間: 2 分
Introducing Custom Scripts: A New Level of Flexibility in HCL AppScan DASTの翻訳版です。
2025年2月28日
Kamal Kumar Chandrashekar
HCL AppScan シニアプロダクトマネージャー
現代のアプリケーションは、そのアーキテクチャや脆弱性が複雑かつ個別性が高く、セキュリティテストにおいても柔軟かつ特化したアプローチが求められます。
従来の動的アプリケーションセキュリティテスト(DAST)ツールは、こうした多様で複雑なユースケースに適応する柔軟性に欠けるため、潜在的な脆弱性を見逃してしまうことがあります。
この課題に対応するために、HCL AppScanは新機能「カスタムスクリプト」を提供します。
この機能は、アプリケーションのセキュリティテスト※英語ページに遷移しますにおいて、リクエストやレスポンスを動的に変更できるようにするもので、特定のユースケースに応じた柔軟なスキャン調整を可能にします。
この機能は HCL AppScan Standard および HCL AppScan Enterprise の両製品で利用可能であり、HCL AppScanがアプリケーションとどのようにやり取りを行うかを細かく調整できるようになることで、テストの網羅性と精度を大きく向上させます。
カスタムスクリプトの役割
アプリケーションごとに固有のユースケースが存在し、それらすべてを自動的にカバーすることは難しいのが現実です。
そのため、DAST設定をユースケースに応じて調整する必要がありますが、標準で用意されている(OOB:Out-of-the-Box)設定では対応できないケースもあります。
こうした背景から、カスタムスクリプトはDASTの機能を柔軟に拡張し、アプリケーションのさまざまなユースケースを包括的にカバーするための柔軟性を提供する新機能です。
HCL AppScanにはJavaScriptの実行環境が組み込まれており、リクエスト送信前やレスポンス受信後にカスタムコードを実行できます。
この追加機能により、より柔軟で包括的なセキュリティ検証が可能になります。
カスタムスクリプトの仕組み
カスタムスクリプトは、特定のニーズに合わせて挙動を調整し、DASTスキャンの動作と結果の精度を向上させることができます。
たとえば、リクエストヘッダーの操作、ロジックの注入、データの加工、動的トークンの処理など、カスタムスクリプトを使用すると、きめ細かいカスタマイズが可能になり、より正確で効率的なスキャンが可能になります。
この機能は、アプリケーション本体を変更することなく、さまざまなシナリオにおけるスキャンの挙動をきめ細かく制御できます。
代表的なユースケースは以下の通りです。
- ハッシュベースメッセージ認証コード(HMAC)の計算
- 独自のログイン方式への対応(HTTPパラメータ/ヘッダーの調整など)
- ランダム値の送信
たとえば、アプリケーションが複雑な認証トークンを使用していたり、特定のセッション管理が必要な場合、リクエストを送信する前にスクリプトによってこれらの要素をプログラム的に生成・操作できます。
これにより、HCL AppScanがアプリケーションと正しくやり取りできるようになり、これまでテストが困難または不可能だった機能にも対応可能となります。
カスタムスクリプトの設定方法
例:リクエスト前スクリプト
たとえば、リクエスト送信前に処理を行う「Pre-request Script」のように、各種イベントに応じてカスタムスクリプトを設定することができます。
レスポンスを受信した後にも、HCL AppScanの標準チェックだけでなく、より高度な分析処理をカスタムスクリプトで実行することが可能です。
レスポンスから必要なデータを抽出し、それを加工することで、テストの網羅性をさらに高められます。
こうした双方向の処理機能により、セキュリティチームは現代のアプリケーションの動的な性質に応じたテスト戦略を採用できるようになり、より包括的なカバレッジを提供し、静的スキャンでは見逃されがちな脆弱性の検出にも貢献します。
カスタムスクリプトの主な利点
カスタムスクリプトの最大の強みは、スキャンプロセスに対する柔軟性と精密な制御が可能である点です。画一的なスキャンから脱却し、業務要件に沿ったテストが実現します。
- ユースケースに最適化されたテスト:アプリケーションごとの独自仕様や挙動に対応し、より正確で有用なスキャン結果を取得可能
- 的を絞ったスキャンで対応を迅速化:ビジネス上重要な領域にフォーカスすることで、脆弱性の検出と修正が迅速に行える
- アプリケーション全体を網羅:複雑なワークフローや特殊な処理も含め、見逃しのないセキュリティテストが可能
- 動的なリクエスト・レスポンス処理:リアルタイムでの調整により、動的認証、カスタムヘッダー、または時間依存のデータといった複雑な仕様にも対応
結論
アプリケーションセキュリティテストの未来は、より動的で適応性があり、そしてインテリジェントなものへと進化しています。HCL AppScanのカスタムスクリプト機能は、その方向に向けた大きな一歩です。
セキュリティ専門家の皆さまに、調査の課題を克服し、テストプロセスをきめ細かく調整するための高度な制御手段を提供することで、より一層のセキュリティ強化を支援します。
HCL AppScanの業界最先端ソリューションとともに、アプリケーションセキュリティテストの新たなレベルをぜひご体験ください。
Search
Categories
- Aftermarket Cloud (2)
- AppScan (184)
- BigFix (200)
- Cloud (14)
- Cloud サービス (1)
- Collaboration (625)
- Commerce (23)
- Customer Data Platform (1)
- Data Management (3)
- DevOps (223)
- Discover (2)
- Domino (1)
- General (237)
- News (11)
- Others (4)
- SX (1)
- Total Experience (14)
- Unica (172)
- Volt MX (75)
- Workload Automation (20)
- Z (48)