「AppScan(アップスキャン)」という脆弱性スキャンツールを知らない本誌読者は恐らく少ないだろう。筆者ももちろん例外ではない。しかし、私がペネトレーションテストに取り組み始めた頃のAppScanといえば、フリーのスキャンツール「Paros」と同程度の信頼性しかなかった上に、価格が高いツール、もっぱらそんなネガティブなイメージを持っていたことを告白しよう。それから早6年が経過した訳だが、AppScanをペネトレーションテストの現場で見かけることは随分多くなっている実感がある。
一方で、効果的なツールを使って診断を自動化したり、社内で内製化したいというニーズは社会的に高まっている。AppScanは、どの程度この需要に応えることができるだろうか。今回筆者は、日本IBM社の協力を得て、そんな筆者の疑問を検証する機会を得たので、詳しくレポートすることにする。長文ご容赦願いたい。

AppScanは、パターンしか見えていないので、当然誤検知は存在する。たとえば、SQLサーバのエラーメッセージを問題点と判断したりする。ただし、取材協力の日本IBM社によれば、誤検知が大量に出ることは無いそうだ。いずれにしても指摘された問題は開発者が一個ずつ確認することになるので、誤検知の問題はそれほど大きくないはずだ。(つづく)

https://www.netsecurity.ne.jp/3_15027.html