インストールと管理のガイド

IBM Security AppScan Source
バージョン 9.0.0.1
インストールと管理のガイド
IBM Security AppScan Source
バージョン 9.0.0.1
インストールと管理のガイド
(C) Copyright IBM Corp. and its licensors 2003, 2014. All Rights Reserved.
IBM、IBM ロゴおよび ibm.com は、世界の多くの国で登録された International Business Machines Corporation の商標です。 他の製
品名およびサービス名等は、それぞれ IBM または各社の商標である場合があります。 現時点での IBM の商標リストについて
は、http://www.ibm.com/legal/copytrade.shtml をご覧ください。 Linux は、Linus Torvalds の米国およびその他の国における商標で
す。 Microsoft、Windows、Windows NT および Windows ロゴは、Microsoft Corporation 米国およびその他の国における商標です。
Unix は The Open Group の米国およびその他の国における登録商標です。 Java およびすべての Java 関連の商標およびロゴは
Oracle やその関連会社の米国およびその他の国における商標または登録商標です。
このプログラムには下記の製品が含まれています。 Jacorb 2.3.0、Copyright 1997-2006 The JacORB project および
XOM1.0d22、Copyright 2003 Elliotte Rusty Harold 各製品は Gnu Library GeneralPublic License (LGPL) の下で使用できます。この
ライセンス文書は、このプログラムに付属する特記事項ファイルに含まれています。
目次
第 1 章 IBM Security AppScan Source
の概要 . . . . . . . . . . . . . . . 1
AppScan Source の新機能 . . . . . . . . . . 2
AppScan Source バージョン 9.0.0.1 の新機能 . . 2
AppScan Source バージョン 9.0 の新機能. . . . 3
AppScan Source のバージョン 8.7 からバージョン
9.0 へのマイグレーション . . . . . . . . . . 5
重要な概念 . . . . . . . . . . . . . . . 7
分類 . . . . . . . . . . . . . . . . 8
ワークフロー . . . . . . . . . . . . . 8
AppScan Source のデプロイメント・モデル . . . . 9
標準デスクトップ・デプロイメント . . . . . 11
小規模ワークグループ・デプロイメント . . . . 12
エンタープライズ・ワークグループ・デプロイメ
ント . . . . . . . . . . . . . . . . 14
米国政府の規制の準拠 . . . . . . . . . . . 16
AppScan Source とアクセシビリティー . . . . . 18
第 2 章 システム要件およびインストール
の前提条件 . . . . . . . . . . . . . 21
AppScan Source 言語サポート . . . . . . . . 21
Linux での AppScan Source for Analysis および
AppScan Source for Development (Eclipse プラグイ
ン) コンポーネントの前提条件 . . . . . . . . 23
第 3 章 インストール・シナリオの例 . . 25
必要なすべてのコンポーネントを 1 台のマシンにイ
ンストールする . . . . . . . . . . . . .
IBM Rational License Server のインストール . .
IBM Security AppScan Enterprise Server のインス
トール . . . . . . . . . . . . . . .
AppScan Source のインストール . . . . . .
AppScan Source へのログイン . . . . . . .
複数マシン環境での AppScan Source コンポーネン
トのインストール . . . . . . . . . . . .
マシン A への IBM Rational License Server のイ
ンストール . . . . . . . . . . . . .
マシン B への IBM Security AppScan Enterprise
Server のインストール . . . . . . . . . .
マシン C への AppScan Source クライアント製
品のインストール . . . . . . . . . . .
マシン D への AppScan Source データベース の
インストール . . . . . . . . . . . . .
AppScan Source へのログイン . . . . . . .
AppScan Source のインストールおよび既存の
AppScan Enterprise Server との統合 . . . . . .
AppScan Source のインストール . . . . . .
AppScan Source へのログイン . . . . . . .
AppScan Source のアップグレード . . . . . . .
© Copyright IBM Corp. 2003, 2014
26
26
28
30
35
36
36
38
40
43
47
48
48
53
54
バージョン 8.0.x 以前の Rational AppScan Source
Edition からバージョン 8.6.x へのマイグレーション .
IBM Rational License Server のインストール . .
Rational AppScan Enterprise Server のインストー
ル . . . . . . . . . . . . . . . .
Rational AppScan Source Edition のアップグレー
ド . . . . . . . . . . . . . . . .
Rational AppScan Source Edition へのログイン . .
57
58
60
62
64
第 4 章 拡張インストールおよびアクティ
ベーションのトピック. . . . . . . . . 65
インストール・ウィザードの開始 . . . . . . . 67
インストールとユーザー・データ・ファイルの場所 68
AppScan Source データ・ディレクトリーの変更
69
AppScan Enterprise Server の概要 . . . . . . . 71
データベースのインストールおよび AppScan
Enterprise Server への接続の構成 . . . . . . . 72
IBM solidDB のインストールおよび構成. . . . 72
既存の Oracle データベースへのインストール . . 77
AppScan Enterprise Server への AppScan Source
データベースの登録 . . . . . . . . . . 84
AppScan Source データベースのバックアップ . . 86
AppScan Source IBM solidDB データベースのリ
ストア . . . . . . . . . . . . . . . 87
OS X への AppScan Source のインストール . . . 87
AppScan Source for Development のインストール . . 90
AppScan Source for Development (Eclipse、IBM
Worklight、および Rational Application Developer
for WebSphere Software (RAD) のプラグイン) . . 91
AppScan Source for Development Plug-in for
Visual Studio のインストール . . . . . . . 97
AppScan Source for Automation のインストール . . 98
構文 . . . . . . . . . . . . . . . 100
フィックスパック・インストール. . . . . . . 100
第 5 章 AppScan Source インストー
ルのカスタマイズ . . . . . . . . . . 103
カスタム・インストールまたはサイレント・インス
トールの作成 . . . . . . . . . . . . .
インストール構成ウィザードを起動する . . .
カスタム・インストール構成ウィザードの使用
カスタム・インストールまたはサイレント・インス
トールの実行 . . . . . . . . . . . . .
例 : カスタム・インストールを介した AppScan
Source のインストール . . . . . . . . . .
103
104
105
107
108
第 6 章 AppScan Source サイレン
ト・インストーラー . . . . . . . . . 111
カスタム・インストールまたはサイレント・インス
トールの作成 . . . . . . . . . . . . . 111
iii
インストール構成ウィザードを起動する . . .
カスタム・インストール構成ウィザードの使用
カスタム・インストールまたはサイレント・インス
トールの実行 . . . . . . . . . . . . .
例 : インストール・フレームワークを介した
AppScan Source のサイレント・インストール . .
第 7 章 ソフトウェアのアクティブ化
ライセンス・ファイルのインポート .
フローティング・ライセンスの使用 .
ライセンスの表示 . . . . . . .
.
.
.
.
.
.
.
.
.
123
124
Automation Server のユーザー・アカウントの作
成 . . . . . . . . . . . . . . . .
AppScan Enterprise Server への Rational AppScan
Source Edition for Core ユーザーのマイグレーシ
ョン . . . . . . . . . . . . . . .
ユーザー・アクティビティーの監査 . . . . . .
AppScan Source 製品からの AppScan Enterprise
Server へのログイン . . . . . . . . . . .
パスワードの変更 . . . . . . . . . . .
AppScan Enterprise Server の SSL 証明書 . . .
LDAP 統合 . . . . . . . . . . . . . .
AppScan Source に公開するためのアプリケーショ
ンおよびプロジェクトの登録 . . . . . . . .
AppScan Source アプリケーションおよびプロジェ
クト・ファイル. . . . . . . . . . . . .
ポート構成 . . . . . . . . . . . . . .
デフォルトのオープン・ポート . . . . . .
ポート転送構成. . . . . . . . . . . .
IBM solidDB ポートの変更 . . . . . . . .
インストール後の IBM solidDB ユーザー・パスワ
ードの変更 . . . . . . . . . . . . . .
126
特記事項. . . . . . . . . . . . . . 143
127
索引 . . . . . . . . . . . . . . . 147
111
113
115
116
117
.
.
.
. 118
. 118
. 119
第 8 章 システムからの AppScan
Source の削除 . . . . . . . . . . . 121
Microsoft Windows プラットフォームからの削除
Linux プラットフォームからの削除 . . . . .
OS X のプラットフォームからの削除 . . . .
121
. 121
. 121
第 9 章 AppScan Source の管理 . . . 123
ユーザー・アカウントおよび許可. . . . . . .
AppScan Source ユーザーの作成 . . . . . . .
AppScan Enterprise Server ユーザーの自動ログイ
ンを構成 . . . . . . . . . . . . . .
AppScan Enterprise Server ユーザー作成のための
要件 . . . . . . . . . . . . . . .
iv
IBM Security AppScan Source: インストールと管理のガイド
127
127
128
129
129
130
131
131
131
134
134
135
135
135
第 1 章 IBM Security AppScan Source の概要
IBM® Security AppScan® Source は、ソフトウェア・セキュリティーに携わる組織内
のすべてのユーザーに対して、最大の価値を提供します。 セキュリティー・アナリ
スト、品質保証の専門家、開発者、および経営幹部は、AppScan Source 製品を使用
することにより、必要な機能、柔軟性、能力を自分のデスクトップ環境で実現する
ことができます。
製品セットには、以下のものが含まれています。
v AppScan Source for Analysis: アプリケーションとプロジェクトの構成、コード
のスキャン、分析、トリアージ、優先度の高い脆弱性に対するアクションを実施
するためのワークベンチです。
v AppScan Source for Automation: AppScan Source ワークフローの主要なステッ
プを自動化し、ソフトウェア開発ライフサイクルを通じてビルド環境にセキュリ
ティーを統合します。
v AppScan Source for Development: Developer プラグインは、AppScan Source for
Analysis のさまざまな機能を Microsoft Visual Studio、Eclipse ワークベンチ、
Rational® Application Developer for WebSphere® Software (RAD) に統合します。
これにより、ソフトウェア開発者が、開発プロセスで脆弱性を検出し、対応でき
ます。Eclipse プラグインを使用することで、ソース・コードをスキャンしてセキ
ュリティーの脆弱性を検出したり、オプションで品質リスクをスキャンしたり、
AppScan Source コマンド行インターフェース (CLI)および AppScan Source for
Automation で品質スキャンを実行するための品質ルール構成ファイルを作成した
りできます。さらに、Eclipse プラグインを使用して IBM Worklight® プロジェク
トをスキャンできます。
組織内での AppScan Source の価値をより高めるために、各製品には以下のコンポ
ーネントが組み込まれています。
v AppScan Source セキュリティー・ナレッジ・データベース: それぞれの脆弱性に
関するコンテキスト内情報です。脆弱性の根本原因、リスクの重大度、実施可能
な修復アドバイスに関する正確な説明を提供します。
v AppScan Enterprise Server: AppScan Source のほとんどの製品およびコンポーネ
ントは、AppScan Enterprise Server と通信を行う必要があります。通信を行わず
に ローカル・モード で AppScan Source for Development を使用できますが、カ
スタム・ルール、共有スキャン構成、および共有フィルターなどの機能は使用不
可になります。
このサーバーは、ユーザーの集中管理機能と、AppScan Source データベースを介
して評価を共有するメカニズムを提供します。このサーバーには、オプションの
Enterprise Console コンポーネントも含まれています。管理者がこのコンポーネン
トをインストールしている場合は、評価を AppScan Source for
Analysis、AppScan Source for Automation、および AppScan Source コマンド行イ
ンターフェース (CLI) からそのコンポーネントに公開できます。 Enterprise
Console は、評価を処理するためのさまざまなツール (レポート作成機能、問題管
理、傾向分析、およびダッシュボードなど) を提供します。
© Copyright IBM Corp. 2003, 2014
1
注:
– AppScan Enterprise Server は、OS X ではサポートされていません。
– 基本サーバー・ライセンスを保有している場合、サーバーがアクセスを受け入
れる AppScan 製品からの接続は、同時に最大 10 個までです。プレミアム・
サーバー・ライセンスを保有している場合は、許容される接続数に制限はあり
ません。
重要: スキャン中は、AppScan Enterprise Server と AppScan Source のクライアン
ト (AppScan Source for Development 以外) はいずれも、AppScan Source データ
ベース (solidDB® または Oracle のいずれか) への直接接続が必要です。
この「ソフトウェア・オファリング」は、Cookie もしくはその他のテクノロジーを
使用して個人情報を収集することはありません。
翻訳済みの言語
AppScan Source ユーザー・インターフェースは、以下の言語で参照できます。
v 英語
v ブラジル・ポルトガル語
v 中国語 (簡体字)
v 中国語 (繁体字)
v ドイツ語
v スペイン語
v フランス語
v イタリア語
v 日本語
v 韓国語
AppScan Source の新機能
このトピックでは、AppScan Source に追加された新機能について説明します。
AppScan Source バージョン 9.0.0.1 の新機能
v 『新規プラットフォームと統合ソリューションのサポート』
v 『JavaScript ステートメント・グラフの改善』
新規プラットフォームと統合ソリューションのサポート
AppScan Source バージョン 9.0.0.1 では以下のとおりです。
v Visual Studio 2013 プロジェクト・ファイルを Windows 上でスキャンすることが
できます。また、AppScan Source for Development (Visual Studio プラグイン) を
Windows 上の Visual Studio 2013 に適用することができます。
JavaScript ステートメント・グラフの改善
「トレース」ビューの JavaScript ステートメントに、着目したコード (あれば) の
セクションが含まれるようになりました。
2
IBM Security AppScan Source: インストールと管理のガイド
AppScan Source バージョン 9.0 の新機能
v 『新規プラットフォームと統合ソリューションのサポート』
v
4 ページの『IBM Worklight 統合』
v
4 ページの『AppScan Enterprise Server なしで AppScan Source for Development
を使用』
v
4 ページの『オプションの AppScan Source for Development Eclipse プラグイン
品質コンポーネント』
v
4 ページの『AppScan Source for Automation のフローティング・ライセンス・オ
プション』
v
4 ページの『拡張スキャン・サポートと新規スキャン・サポート』
v
5 ページの『United States Government Configuration Baseline (USGCB) を使用す
るように構成されている Windows 7 マシン』
v
5 ページの『バージョン 9.0 において非推奨の品質分析機能』
新規プラットフォームと統合ソリューションのサポート
AppScan Source バージョン 9.0 では、以下のオペレーティング・システムがサポー
トされています。
v Microsoft Windows 8 Professional および Enterprise
v Microsoft Windows 8.1 Professional および Enterprise
v Microsoft Windows Server 2012 R2 Datacenter、Standard、および Essentials の各
エディション
v Red Hat Enterprise Linux バージョン 6 Update 5
さらに、以下もサポートされるようになりました。
v OS X: AppScan Source for Development Eclipse プラグイン は OS X でサポー
トされるようになりました。
– Eclipse バージョン 3.6、3.7、3.8、4.2、4.2.x、4.3、4.3.1、および 4.3.2 プロジ
ェクト・ファイルおよびワークスペース (Java™ と IBM Worklight のみ) をス
キャンできます。また、AppScan Source for Development (Eclipse プラグイン)
を Eclipse のこれらのバージョンに適用できます。
– Rational Application Developer for WebSphere Software (RAD) バージョン 9.0
と 9.1 のプロジェクト・ファイルおよびワークスペース (Java と IBM
Worklight のみ) をスキャンできます。また、AppScan Source for Development
(Eclipse プラグイン) を RAD バージョン 9.0 および 9.0.1 に適用できます。
– AppScan Source for Development Eclipse プラグイン の Xcode プロジェクト
をスキャンできるようになりました。
v Windows および Linux: Rational Application Developer for WebSphere Software
(RAD) バージョン 8.5.5 と 9.1 のプロジェクト・ファイルおよびワークスペース
(Java と IBM Worklight のみ) をスキャンできます。また、AppScan Source for
Development (Eclipse プラグイン) を RAD バージョン 8.5.5 および 9.0.1 に適用
できます。
第 1 章 IBM Security AppScan Source の概要
3
v Eclipse バージョン 4.3.1 および 4.3.2 のプロジェクト・ファイルおよびワークス
ペース (Java と IBM Worklight のみ) をスキャンできます。また、AppScan
Source for Development (Eclipse プラグイン) を Eclipse のこれらのバージョンに
適用できます。
v Rational Team Concert™ バージョン 4.0.5 および 4.0.6 が、サポート対象の障害
追跡システムになりました。
v Objective-C 用 Xcode 5.0 (iOS アプリケーションのみ) は OS X でのサポート対
象のコンパイラーになりました。
IBM Worklight 統合
AppScan Source for Development Eclipse プラグイン は IBM Worklight を統合しま
した。AppScan Source for Development と IBM Worklight が、Eclipse ベースの環
境にインストールされると、Worklight プロジェクト、アプリケーション、環境、お
よび HTML ファイルをスキャンするオプションが提示されます。
AppScan Enterprise Server なしで AppScan Source for
Development を使用
AppScan Source バージョン 9.0 では、AppScan Enterprise Server なしで AppScan
Source for Development プラグインを使用できます。サーバー・モードでは、以前
の製品バージョンと同様にサーバーに接続してスキャンの実行および共有データへ
のアクセスを行います。新しい ローカル・モード では、 AppScan Source for
Development は、サーバーに接続せずに実行します。そのため、フィルター、スキ
ャン構成、およびカスタム・ルールなどの共有項目にはアクセスできません。
重要: ローカル・モード でフローティング・ライセンスを使用する場合には、
AppScan Source for Development を使用できるようにするためにライセンス・サー
バーに接続する必要があります。
オプションの AppScan Source for Development Eclipse プラグ
イン 品質コンポーネント
AppScan Source バージョン 9.0 では、AppScan Source for Development Eclipse プ
ラグイン 品質コンポーネントは、オプションのインストールとして提供されていま
す。
AppScan Source for Automation のフローティング・ライセン
ス・オプション
AppScan Source バージョン 9.0 では、AppScan Source for Automation にフローテ
ィング・ライセンス・オプションがあります。
拡張スキャン・サポートと新規スキャン・サポート
v JavaScript をスキャンするときのパフォーマンスが改善されました。
v Android KitKat (4.4) がサポートされるようになりました。
v AppScan Source は、アプリケーション・プログラミング・インターフェース
(API) (Worklight、 Cordova、HTML5、JQuery、および JQuery Mobile) を使用す
るアプリケーションのスキャンをサポートするようになりました。
4
IBM Security AppScan Source: インストールと管理のガイド
United States Government Configuration Baseline (USGCB) を
使用するように構成されている Windows 7 マシン
AppScan Source は、USGCB 仕様で構成されている Windows 7 マシンのアプリケ
ーションのスキャンをサポートしています。
注: USGCB 仕様で構成されているマシンでは、AppScan Source は、障害追跡シス
テムと、HP Quality Center または Rational ClearQuest® との統合をサポートしてい
ません。
バージョン 9.0 において非推奨の品質分析機能
Java および C++ コードの品質分析機能は、AppScan Source バージョン 9.0 では非
推奨です。これらの機能は、今回のバージョンでは引き続き使用できますが、将来
のバージョンではサポートされないか、使用不可になります。
AppScan Source のバージョン 8.7 からバージョン 9.0 へのマイグレー
ション
このトピックには、AppScan Source バージョン 8.8 で行われた変更についてのマイ
グレーション情報が記載されています。 AppScan Source バージョン 8.7 からバー
ジョン 9.0 にアップグレードする場合、バージョン 8.8 からバージョン 9.0 へのマ
イグレーションを説明するトピックに加えて、この一連のマイグレーションの説明
も参照してください。
v 『検出結果の分類の変更点』
v
6 ページの『スキャン範囲を改善するデフォルト設定の変更』
v
7 ページの『旧バージョンからの AppScan Source 定義済みフィルターの復元』
検出結果の分類の変更点
AppScan Source バージョン 8.8 では、検出結果の分類が変更されました。この表で
は、従来の分類と新しい分類の対応を示します。
表 1. 検出結果の分類の変更点
AppScan Source バージョン 8.8 より前の検
出結果の分類
AppScan Source バージョン 8.8 での分類
脆弱性
決定的セキュリティー検出結果
タイプ I 例外
要注意セキュリティー検出結果
タイプ II 例外
スキャン範囲検出結果
これらの変更の例は、「脆弱性マトリックス」ビューで確認できます。
第 1 章 IBM Security AppScan Source の概要
5
バージョン 8.8 では、ビューは次のようになります。
スキャン範囲を改善するデフォルト設定の変更
AppScan Source バージョン 8.8 では、次のような変更が行われました。
v scan.ozsettings 内の show_informational_findings のデフォルト値が、true
から false に変更されました。
v ipva.ozsettings 内の wafl_globals_tracking のデフォルト値が、false から
true に変更されました。この設定により、AppScan Source はフレームワーク・
ベース・アプリケーションの異なるコンポーネント間のデータ・フロー (例え
ば、コントローラーからビューへのデータ・フローなど) を検出することができ
ます。
この show_informational_findings の変更により、重大度レベル「情報」の検出結
果がデフォルトでは評価に含まれなくなります。
6
IBM Security AppScan Source: インストールと管理のガイド
注: これらの設定の値を明示的に設定しないスキャン構成をバージョン 8.8 より前
に作成していた場合、スキャン構成は新しいデフォルト値を使用するようになりま
す。
旧バージョンからの AppScan Source 定義済みフィルターの復元
AppScan Source バージョン 8.8 では、より有用なスキャン結果が得られるように定
義済みフィルターが改善されました。 AppScan Source の旧バージョンからの定義
済みフィルターを引き続き使用する必要がある場合は (アーカイブ・フィルターの
リストは 137 ページの『AppScan Source 定義済みフィルター (バージョン 8.7.x 以
前)』に記載されています)、 138 ページの『アーカイブ定義済みフィルターの復元』
の指示のとおりに行ってください。
重要な概念
AppScan Source の使用または管理を開始する前に、AppScan Source の基本的な概
念についてよく理解しておく必要があります。ここでは、AppScan Source の基本的
な用語と概念について定義します。これ以降の章では、こうした用語と概念の定義
が繰り返して出てきます。この定義を参照することにより、これらの用語と概念が
AppScan Source for Analysis ではどのような意味を持つのかを理解することができ
ます。
AppScan Source for Analysis は、ソース・コードをスキャン して脆弱性を検出し、
検出結果 を生成します。検出結果とは、スキャンによって検出された脆弱性のこと
です。スキャンの結果は、評価 と呼ばれます。バンドル は、個別の検出結果の名
前付きコレクションであり、アプリケーションと共に保管されます。
アプリケーション、アプリケーションの属性、およびプロジェクトは、AppScan
Source for Analysis で作成および編成されます。
v アプリケーション: アプリケーションには、1 つ以上のプロジェクトと関連する
属性が格納されます。
v プロジェクト: プロジェクトは、一連のファイル (ソース・コードを含む) とそれ
らの関連情報 (構成データなど) で構成されます。 プロジェクトは常にアプリケ
ーションの一部となります。
v 属性: 属性は、スキャン結果を意味のあるグループ (所属別、プロジェクト・リー
ダー別など) に編成するのに役立つ、アプリケーションの特性です。 属性は
AppScan Source for Analysis で定義します。
AppScan Source for Analysis の主な機能は、ソース・コードをスキャンして脆弱性
を分析することです。評価データによって提供される脆弱性についてのソース・コ
ードの分析情報には、以下のようなものがあります。
v 重大度: リスクのレベルを示すための値 (高、中、低)。
v 脆弱性タイプ: SQL 注入やバッファー・オーバーフローなどの脆弱性カテゴリ
ー。
v ファイル: 検出結果が存在するコード・ファイル。
v API/ソース: API と API に渡される引数を表示する脆弱な呼び出し。
v メソッド: 脆弱な呼び出しが作成される関数またはメソッド。
v 位置: 脆弱な API が記述されているコード・ファイル内の行番号と列番号。
第 1 章 IBM Security AppScan Source の概要
7
v 分類: セキュリティー検出結果またはスキャン範囲検出結果。詳しくは、『分
類』を参照してください。
分類
検出結果は AppScan Source によって分類され、セキュリティーまたはスキャン範
囲のどちらに関する検出結果であるかが示されます。セキュリティー検出結果は、
実際に起きている、または起きる可能性があるセキュリティーの脆弱性を表してい
ます。一方、スキャン範囲検出結果は、スキャンの適応範囲を広げるために構成の
どのエリアを改善できるかを表しています。
各検出結果は、以下のいずれかの分類 に振り分けられます。
v 決定的セキュリティー検出結果: 本来意図されていない動作を攻撃者がアプリケ
ーションに実行させるおそれがあることを表す、明確な設計違反、実装違反、ま
たはポリシー違反が含まれている検出結果。
こうした攻撃は、データ、システム、リソースの無許可アクセス、盗難、破損を
招く可能性があります。決定的セキュリティー検出結果はすべて詳細に記述さ
れ、脆弱性条件の具体的な基本パターンが識別されて示されます。
v 要注意セキュリティー検出結果: 追加の情報や調査が必要な、脆弱性が生じてい
る疑いのある条件を示す検出結果。不適切に使用されると脆弱性が発生するおそ
れのあるコード要素または構造。
要注意の検出結果は、決定的に脆弱性と判断できない不明な状況が存在するとい
う点で、決定的検出結果とは異なります。この不明条件の例としては、ソース・
コードが提供されていない動的要素やライブラリー関数を使用していることなど
があります。したがって、要注意の検出結果を確定するか却下するか判断するに
は、もう 1 段階詳しい調査が必要となります。
v スキャン範囲検出結果: スキャンの適応範囲を広げるために構成のどのエリアを
改善できるかを表す検出結果 (例えば、逸失シンクの検出結果)。
注: 場合によっては、セキュリティー検出結果でもスキャン範囲検出結果でもない
分類を示すために「なし」という分類が使用されることがあります。
ワークフロー
インストール、デプロイメント、ユーザー管理が完了したら、AppScan Source ワー
クフローの基本ステップは以下のようになります。
1. セキュリティー要求の設定: 管理者またはセキュリティーの専門家が、脆弱性と
重大度の判定方法を定義します。
2. アプリケーションの構成: アプリケーションとプロジェクトを編成します。
3. スキャン: ターゲット・アプリケーションに対して分析を実行し、脆弱性を特定
します。
4. 結果のトリアージおよび分析: セキュリティーを担当するスタッフが、分析結果
を調査して修復ワークフローの優先順位付けを行い、実際の脆弱性と潜在的な脆
弱性を切り分けます。これにより、重大な問題に関するトリアージを即座に開始
することができます。最初に修正する必要のある問題を切り分けます。
8
IBM Security AppScan Source: インストールと管理のガイド
5. ナレッジベース・データベースのカスタマイズ: AppScan Source セキュリティ
ー・ナレッジ・データベース をカスタマイズして、内部ポリシーに対応しま
す。
6. スキャン結果の公開: スキャン結果を AppScan Source データベースに追加する
か、または AppScan Enterprise Console に公開します。
7. 修復タスクの割り当て: 脆弱性の解決のため、開発チームに障害問題を割り当て
ます。
8. 問題の解決: コードの書き換え、問題部分の削除、またはセキュリティー機能の
追加により、脆弱性を解消します。
9. 修正の検証: コードを再スキャンして、脆弱性が排除されたことを確認します。
ᵓᡂ
$SS6FDQ6RXUFH
IRU$QDO\VLV
ࢫ࢟ࣕࣥ
$SS6FDQ6RXUFHIRU$QDO\VLV
$SS6FDQ6RXUFHIRU$XWRPDWLRQ
$SS6FDQ6RXUFHIRU'HYHORSPHQW
ࣔࢽࢱ࣮
(QWHUSULVH&RQVROH
ࢺࣜ࢔࣮ࢪ
$SS6FDQ
6RXUFHIRU
$QDO\VLV
$SS6FDQ(QWHUSULVH6HUYHU
ಟ᚟
$SS6FDQ6RXUFHIRU$QDO\VLV
$SS6FDQ6RXUFHIRU5HPHGLDWLRQ
$SS6FDQ6RXUFHIRU'HYHORSPHQW
๭ࡾᙜ࡚
$SS6FDQ
6RXUFHIRU
$QDO\VLV
AppScan Source のデプロイメント・モデル
このセクションでは、3 種類のデプロイメント・モデルと、各モデルを構成するコ
ンポーネントについて説明します。
AppScan Source 製品 (AppScan Enterprise Server と併用) は、さまざまな組織要件
に対応するために、複数のデプロイメント・オプションをサポートします。製品ソ
リューションはクライアント・コンポーネントとサーバー・コンポーネントからな
り、各コンポーネントは特定の目的で使用されます。 すべてのコンポーネントが必
要になるデプロイメント・モデルもあれば、少数のコンポーネントのみが必要にな
るデプロイメント・モデルもあります。 さらに、情報技術ポリシーによっては、特
定のサーバー・コンポーネントを別個のコンピューターにデプロイすることが必要
な場合もあれば、すべてのコンポーネントを 1 台のコンピューターにデプロイする
ことが必要な場合もあります。
このセクションでは、以下の 3 種類のデプロイメント・モデルについて説明しま
す。
v
11 ページの『標準デスクトップ・デプロイメント』
第 1 章 IBM Security AppScan Source の概要
9
v
12 ページの『小規模ワークグループ・デプロイメント』
v
14 ページの『エンタープライズ・ワークグループ・デプロイメント』
これらのモデルを組み合わせたものが、ニーズに最も適したデプロイメントである
場合もあります。 以下の表に、デプロイされる各 AppScan Source 製品またはコン
ポーネントの概要を示します。
コンポーネント
説明
AppScan Source for Analysis
優先度の高い脆弱性の分析、切り分け、処置
を行うワークベンチ。 セキュリティー・ア
ナリスト、QA 管理者、開発管理者は、短時
間で結果を得ることができます。 AppScan
Source for Analysis は AppScan Enterprise
Server と通信する必要があります。
AppScan Source for Development
コード行レベルでの脆弱性の修復に重点を置
いた IDE 統合型コンポーネント。 AppScan
Source for Development は、ソース・コード
をスキャンする際に AppScan Enterprise
Server のみと通信します。
AppScan Source データベース
AppScan Source セキュリティー・ナレッ
ジ・データベースのデータ、評価データ、お
よびアプリケーション/プロジェクト・インベ
ントリーが保持される、すぐに使用可能なデ
ータベース。
重要: スキャン中は、AppScan Enterprise
Server と AppScan Source のクライアント
(AppScan Source for Development 以外) はい
ずれも、AppScan Source データベース
(solidDB または Oracle のいずれか) への直
接接続が必要です。
AppScan Source for Automation
ソフトウェア開発ライフサイクル (SDLC) に
おいて、AppScan Source ワークフローの主
要な側面を自動化し、スキャンをビルド環境
に統合します。 Automation Server は、スキ
ャン、評価の公開、およびレポートの生成の
要求を処理します。 このコンポーネントは
サービス/デーモンとして動作し、AppScan
Enterprise Server と通信する必要がありま
す。
AppScan Source コマンド行インターフェー
ス (CLI) クライアント
AppScan Source for Automation が提供する機
能に加え、統合、自動化、およびスクリプト
記述を有効にする各種の AppScan Source 機
能に、コマンド行からアクセスできます。
CLI は AppScan Enterprise Server と通信す
る必要があります。
表内の各コンポーネントは、AppScan Enterprise Server と通信する必要がありま
す。このサーバーは、ユーザーの集中管理機能と、AppScan Source データベースを
介して評価を共有するメカニズムを提供します。さらに、管理者が AppScan
10
IBM Security AppScan Source: インストールと管理のガイド
Enterprise Server の Enterprise Console コンポーネントをインストールしている場合
は、Enterprise Console に評価を公開することができます。 Enterprise Console は、
評価を処理するためのさまざまなツール (レポート作成機能、問題管理、傾向分
析、およびダッシュボードなど) を提供します。
標準デスクトップ・デプロイメント
標準デスクトップ・デプロイメントは、小規模組織の AppScan Source シングル・
ユーザーや、オンサイトとオフサイトの両方でセキュリティー評価を行うセキュリ
ティー・アナリスト/監査員を対象としています。 このデプロイメントでは、障害追
跡システムの統合やビルド統合 (AppScan Source for Automation を使用する) がな
いことを前提としています。このデプロイメント・モデルは、1 台のコンピュータ
ー (ノートブックなど) にインストールされた 2 つの AppScan Source コンポーネ
ント、つまり AppScan Source for Analysis (クライアント) と AppScan Enterprise
Server で構成されます。 デスクトップ・デプロイメント・モデルは、AppScan
Source を多数のコンピューターにデプロイできることや、チームの作業内容に応じ
て最適化できることよりも、スキャン結果と個人の生産性および利便性に重点を置
いています。
このモデルでは、ユーザーは AppScan Enterprise Server に対して AppScan Source
の管理アカウントを使用して認証を行います。LDAP ディレクトリー・サーバーの
統合は想定されていません。 このモデルでは、コンピューター上のソース・コント
ロール管理クライアントがソース・コードにアクセスするか、コンピューターにソ
ース・コードが格納されていることを前提としています。
標準デスクトップ・デプロイメントは、モバイルで利用する監査員に最適です。例
えば、監査員がオンサイトで作業した後、一部の仕事を自宅に戻ってから、または
移動中に終わらせたい場合などに適しています。 AppScan Source for Analysis と
AppScan Enterprise Server が稼働しているノートブックにオフサイトでログインし
た監査員は、ソース・コードと保存されている評価にアクセスできます。その後、
監査員がオンサイトの作業に戻ったときに、ソース・コントロール・システムに再
接続することで、修正したソースを社内のリポジトリーに戻すことができます。 こ
のモデルを使用すると、評価結果のすべての詳細が含まれた証跡レポート を生成で
きます。
以下の図に、クライアント・コンポーネントとサーバー・コンポーネントが同一の
コンピューター上にある標準デスクトップ・デプロイメントを示します。
第 1 章 IBM Security AppScan Source の概要
11
ࢯ࣮ࢫ࣭ࢥࣥࢺ࣮ࣟࣝ⟶⌮ࢡࣛ࢖࢔ࣥࢺ
$SS6FDQ
6RXUFHIRU
$QDO\VLV
$SS6FDQ
6RXUFHIRU
'HYHORSPHQW
$SS6FDQ
6RXUFH
&RPPDQG/LQH
&OLHQW
ࣈࣛ࢘ࢨ࣮
ࢧ࣮ࣂ࣮
(QWHUSULVH
&RQVROH
$SS6FDQ(QWHUSULVH6HUYHU
ࢹ࣮ࢱ࣮࣋ࢫ࣭
ࢧ࣮ࣂ࣮
$SS6FDQ6RXUFH
ࢹ࣮ࢱ࣮࣋ࢫ
小規模ワークグループ・デプロイメント
小規模ワークグループ・デプロイメントは、アプリケーション・デプロイメントに
関する IT コンプライアンス・ガイドラインが多くない、小規模から中規模のチー
ムに最適です。
このモデルでは、AppScan Source サーバー・コンポーネントが専用のコンピュータ
ーに配置されます。このコンピューターは、一般に、AppScan Source クライアン
ト・コンポーネントが稼働しているコンピューターと同じサブネットに配置されま
す。 このモデルでは、ローカルの AppScan Source 管理者が AppScan Source ユー
ザー・アカウントを管理し、社内の LDAP ディレクトリー・サーバーが統合されて
いないことを想定しています。 さらに、コンピューター上のソース・コントロール
管理クライアントがソース・コードにアクセスするか、またはコンピューター上に
ソースのコピーも存在していることを前提としています。
このモデルを使用すると、デプロイメントにかかる手間や管理を最小限に抑えてチ
ーム・コラボレーションを実現できます。 このデプロイメント・モデルでは、以下
のような構成になることを理解することが重要です。
12
IBM Security AppScan Source: インストールと管理のガイド
v セキュリティー・アナリストと開発者は、AppScan Enterprise Server に接続しま
す。
v 監査員/マネージャーは、Web ブラウザーを介して AppScan Enterprise Server の
Enterprise Console コンポーネントに接続します。
v AppScan Source サーバー・コンポーネントは、ソース・コードにアクセスできる
専用コンピューター上で稼働します。
小規模ワークグループ・デプロイメントのインストールは、ネットワーク上の複数
のコンピューターで AppScan Source コンポーネントを実行するのに必要なクライ
アント・コンポーネントおよびサーバー・コンポーネントで構成されます。
サーバー・コンポーネント
v AppScan Source データベース
v AppScan Source for Automation
クライアント・コンポーネント
v AppScan Source for Analysis
v AppScan Source コマンド行インターフェース
v AppScan Source for Development for Eclipse、 RAD、Worklight (デフォルトでは
未選択)
v Windows のみ: AppScan Source for Development for Visual Studio 2008(デフォル
トでは未選択)(このオプションは、インストーラーがご使用のシステム上に
Microsoft Visual Studio 2008 を検出した場合のみ使用可能)
v Windows のみ: AppScan Source for Development for Visual Studio 2010(デフォル
トでは未選択)(このオプションは、インストーラーがご使用のシステム上に
Microsoft Visual Studio 2010 を検出した場合のみ使用可能)
v Windows のみ: AppScan Source for Development for Visual Studio 2012(デフォル
トでは未選択)(このオプションは、インストーラーがご使用のシステム上に
Microsoft Visual Studio 2012 を検出した場合のみ使用可能)
以下の図に、AppScan Source コンポーネントの小規模ワークグループ・デプロイメ
ントを示します。
第 1 章 IBM Security AppScan Source の概要
13
ࢭ࢟ࣗࣜࢸ࢕࣮࣭࢔ࢼࣜࢫࢺ
$SS6FDQ
6RXUFHIRU
$QDO\VLV
ࢯ࣮ࢫ࣭
ࢥࣥࢺ࣮࣭ࣟࣝ
ࢡࣛ࢖࢔ࣥࢺ
㛤Ⓨ⪅
࣐ࢿ࣮ࢪ࣮ࣕ
⟶⌮⪅
$SS6FDQ
6RXUFHIRU
'HYHORSPHQW
$SS6FDQ
6RXUFHIRU
$QDO\VLV
ࢯ࣮ࢫ࣭
ࢥࣥࢺ࣮࣭ࣟࣝ
ࢡࣛ࢖࢔ࣥࢺ
ࣈࣛ࢘ࢨ࣮
ࢯ࣮ࢫ࣭
ࢥࣥࢺ࣮࣭ࣟࣝ
ࢡࣛ࢖࢔ࣥࢺ
ࢯ࣮ࢫ࣭
ࢥࣥࢺ࣮࣭ࣟࣝ
ࢧ࣮ࣂ࣮
ࣅࣝࢻ࣭ࢧ࣮ࣂ࣮
(QWHUSULVH
&RQVROH
$SS6FDQ6RXUFHࢧ࣮ࣂ࣮
$SS6FDQ
6RXUFHIRU
$XWRPDWLRQ
ࢯ࣮ࢫ࣭ࢥࣥࢺ࣮࣭ࣟࣝ
ࢡࣛ࢖࢔ࣥࢺ
ࢹ࣮ࢱ࣮࣋ࢫ࣭ࢧ࣮ࣂ࣮
$SS6FDQ6RXUFH
ࢹ࣮ࢱ࣮࣋ࢫ
$SS6FDQ(QWHUSULVH6HUYHU
エンタープライズ・ワークグループ・デプロイメント
エンタープライズ・ワークグループ・デプロイメントは、組織の考慮事項に準拠す
る必要がある、大規模組織内の中規模から大規模のチームを対象としています。こ
のデプロイメントは、組織に以下の要件がある場合に適しています。
v Web アプリケーションのクラスタリングやロード・バランシングなどの、IT ガ
バナンスおよびコンプライアンスのガイドラインに準拠する必要がある場合。
v データベースをデータ・センターに配置して自動バックアップするなど、社内リ
ソースを最大限に活用する場合。
v いくつかのファイアウォール内でコンポーネントを実行し、何らかの形式のポー
ト転送を必要とする場合。
このデプロイメント・モデルでは、社内に LDAP ディレクトリー・サーバーがある
ことと、AppScan Source を使用するための認証で、このディレクトリー・サーバー
を介した資格情報の検証が必要となることを想定しています。 また、コンピュータ
ー上のソース・コントロール管理クライアントを介してソース・コードにアクセス
できるか、コンピューターにソースが格納されていることと、障害追跡システムが
統合されていることを前提としています。
一般に、組織はビルド・プロセスとの統合によってアプリケーションのスキャンを
自動化するため、AppScan Source for Automation のデプロイメントが必要となりま
す。このモデルでは、Oracle などのデータベース・サーバーでエンタープライズ環
境が標準化されている可能性もあります。
14
IBM Security AppScan Source: インストールと管理のガイド
一般的なエンタープライズ・ワークグループ・デプロイメントには、以下のような
特性があります。
v セキュリティー・アナリストと開発者は、AppScan Enterprise Server に接続しま
す。
v 監査員は、Web ブラウザーを介して AppScan Enterprise Server の Enterprise
Console コンポーネントに接続します。
v AppScan Source サーバー・コンポーネントは、IT ガバナンスおよびコンプライ
アンスのガイドラインに従って、異なるコンピューター上で稼働します。
– Enterprise Console はロード・バランシングされた中央の Web アプリケーショ
ン・サーバー・クラスター上に置かれ、Automation Server は 1 つ以上のビル
ド・サーバー上で稼働します。
– データ・センターには Oracle Database サーバーが含まれます。
v Automation Server はビルド・システムにデプロイされます。
v AppScan Enterprise Server はユーザー認証のために LDAP ディレクトリー・サー
バーと通信します。
v AppScan Enterprise Server および AppScan Source のクライアントは、データ・
センターでホストされる AppScan Source データベースに接続します (また、
Oracle などの特定のデータベースが必要な可能性があります)。
v ソース・コントロール・クライアントが、適切なすべてのコンピューター上のソ
ース・コードにアクセスします。
v AppScan Source for Analysis は、同じコンピューター上の障害追跡システム・ク
ライアントと統合されます。
以下の図に、エンタープライズ・ワークグループ環境における AppScan Source コ
ンポーネントのデプロイメントを示します。
第 1 章 IBM Security AppScan Source の概要
15
㛤Ⓨ⪅
ࢭ࢟ࣗࣜࢸ࢕࣮࣭࢔ࢼࣜࢫࢺ
$SS6FDQ
6RXUFHIRU
$QDO\VLV
ࢯ࣮ࢫ࣭
ࢥࣥࢺ࣮࣭ࣟࣝ
ࢡࣛ࢖࢔ࣥࢺ
㞀ᐖ㏣㊧
ࢩࢫࢸ࣒࣭
ࢡࣛ࢖࢔ࣥࢺ
࣐ࢿ࣮ࢪ࣮ࣕ
⟶⌮⪅
$SS6FDQ
6RXUFHIRU
'HYHORSPHQW
$SS6FDQ
6RXUFHIRU
$QDO\VLV
ࢯ࣮ࢫ࣭
ࢥࣥࢺ࣮࣭ࣟࣝ
ࢡࣛ࢖࢔ࣥࢺ
ࣈࣛ࢘ࢨ࣮
ࢯ࣮ࢫ࣭
ࢥࣥࢺ࣮࣭ࣟࣝ
ࢡࣛ࢖࢔ࣥࢺ
㞀ᐖ㏣㊧
ࢩࢫࢸ࣒࣭
ࢡࣛ࢖࢔ࣥࢺ
$SS6FDQ6RXUFHࢧ࣮ࣂ࣮
ࢯ࣮ࢫ࣭
ࢥࣥࢺ࣮࣭ࣟࣝ
ࢧ࣮ࣂ࣮
(QWHUSULVH
&RQVROH
$SS6FDQ(QWHUSULVH6HUYHU
㞀ᐖ㏣㊧
ࢩࢫࢸ࣒࣭
ࢧ࣮ࣂ࣮
ࢹ࣮ࢱ࣭ࢭࣥࢱ࣮
2UDFOH'DWDEDVH
ࢧ࣮ࣂ࣮
ࣅࣝࢻ࣭ࢧ࣮ࣂ࣮
ࢯ࣮ࢫ࣭
ࢥࣥࢺ࣮࣭ࣟࣝ
ࢡࣛ࢖࢔ࣥࢺ
$FWLYH'LUHFWRU\
ࢧ࣮ࣂ࣮
$XWRPDWLRQ
6HUYHU
$SS6FDQ6RXUFH
ࢹ࣮ࢱ࣮࣋ࢫ
$SS6FDQ6RXUFH
ࢹ࣮ࢱ࣮࣋ࢫ
米国政府の規制の準拠
米国政府によるセキュリティーおよび情報技術の規制への準拠は、営業における障
害を取り除く上で役立ちます。また、これにより IBM が自社製品を業界内で最も
セキュアなものにするべく取り組んでいるというプルーフ・ポイント (証明) を、世
界中の見込み客に提示することができます。このトピックでは、AppScan Source が
サポートする標準とガイドラインのリストを示します。
v 『インターネット・プロトコル・バージョン 6 (IPv6)』
v
17 ページの『連邦情報処理標準 (FIPS)』
v
17 ページの『米国連邦情報・技術局 (NIST) Special Publication (SP) 800-131a』
v
18 ページの『United States Government Configuration Baseline (USGCB) を使用す
るように構成されている Windows 7 マシン』
インターネット・プロトコル・バージョン 6 (IPv6)
AppScan Source は IPv6 に対応していますが、次の例外があります。
v IPv6 数値アドレスの入力がサポートされておらず、代わりにホスト名を入力する
必要があります。 IPv4 数値アドレスの入力はサポートされています。
16
IBM Security AppScan Source: インストールと管理のガイド
v IRational Team Concert に接続する場合は、IPv6 はサポートされません。
連邦情報処理標準 (FIPS)
AppScan Source でサポートされている Windows プラットフォームおよび Linux プ
ラットフォーム上では、AppScan Source は、FIPS 140-2 認定済み暗号化モジュール
と承認済みアルゴリズムを使用することで、FIPS 140-2 に対応しています。
AppScan Source でサポートされている OS X プラットフォームの場合、FIPS 140-2
モードで操作するには、手動ステップが必要です。
AppScan Source の FIPS 準拠に関する背景情報、および AppScan Source FIPS
140-2 モードを有効および無効にする方法については、次の技術情報を参照してく
ださい。
v Operating AppScan Source version 8.7 or later in FIPS 140-2 mode on OS X (OS
X における FIPS 140-2 モードでの AppScan Source バージョン 8.7 以降の操作)
v How to enable/disable/verify FIPS 140-2 mode in AppScan Source (Linux and
Windows)(AppScan Source (Linux および Windows) で FIPS 140-2 モードの有効
化/無効化/検証を行う方法)
v Background information about AppScan Source version 8.7 or later FIPS 140-2
support (Appscan Source バージョン 8.7 以降の FIPS 140-2 サポートに関する背
景情報)
米国連邦情報・技術局 (NIST) Special Publication (SP) 800-131a
NIST SP 800-131A ガイドラインは、暗号鍵管理に関する指示を提供します。次の
ようなガイドラインが含まれます。
v 鍵管理の手順。
v 暗号アルゴリズムの使用方法。
v 使用するアルゴリズムとその最小強度。
v セキュア通信のための鍵の長さ。
政府機関と金融機関は、NIST SP 800-131A ガイドラインを使用して、製品が指定
されたセキュリティー要件に準拠していることを確認します。
NIST SP 800-131A は、AppScan Source が FIPS 140-2 モードで動作している場合
のみサポートされます。AppScan Source FIPS 140-2 モードの有効化と無効化につい
ては、『連邦情報処理標準 (FIPS)』を参照してください。
重要: 接続先の AppScan Enterprise Server で NIST 800-131a 準拠が有効になってい
る場合は、トランスポート層セキュリティー (TLS) V1.2 を強制するように
AppScan Source を設定する必要があります。トランスポート層セキュリティー
(TLS) V1.2 が強制されない場合、サーバーへの接続は失敗します。
v AppScan Source データベースをインストールしていない場合 (例えば、クライア
ント・コンポーネントのみをインストールしている場合) は、
<data_dir>¥config¥ounce.ozsettings を変更することによってトランスポート層
セキュリティー (TLS) V1.2 を強制することができます (<data_dir> は、ご使用
の AppScan Source プログラム・データの場所です。詳しくは、 68 ページの『イ
ンストールとユーザー・データ・ファイルの場所』 を参照してください。)。こ
のファイルで、以下の設定を見つけます。
第 1 章 IBM Security AppScan Source の概要
17
<Setting
name="tls_protocol_version"
read_only="false"
default_value="0"
value="0"
description="Minor Version of the TLS Connection Protocol"
type="text"
display_name="TLS Protocol Version"
display_name_id=""
available_values="0:1:2"
hidden="false"
force_upgrade="false"
/>
この設定で、value="0" を value="2" に変更して、ファイルを保存します。
v AppScan Source データベースをインストールしている場合は、AppScan Source
と Enterprise Server の両方をインストールした後、IBM Security AppScan
Enterprise Server データベース構成ツールでトランスポート層セキュリティー
(TLS) V1.2 を強制します。
United States Government Configuration Baseline (USGCB) を
使用するように構成されている Windows 7 マシン
AppScan Source は、USGCB 仕様で構成されている Windows 7 マシンのアプリケ
ーションのスキャンをサポートしています。
注: USGCB 仕様で構成されているマシンでは、AppScan Source は、障害追跡シス
テムと、HP Quality Center または Rational ClearQuest との統合をサポートしてい
ません。
AppScan Source とアクセシビリティー
アクセシビリティーは、動作に制限があったり、視力が限られていたりする物理的
な身体障害を持つユーザーに影響があります。 アクセシビリティー問題は、ソフト
ウェア製品を正常に使用できなくする可能性があります。 このトピックでは、
AppScan Source の既知のアクセシビリティー問題の概要と、その回避策を示しま
す。
AppScan Source インストーラーでの JAWS スクリーン読み取り
ソフトウェアの使用
AppScan Source インストーラーを実行するときに Freedom Scientific JAWS
(http://www.freedomscientific.com/products/fs/jaws-product-page.asp) を使用するには、
Java Access Bridge を AppScan Source JVM にインストールする必要があります。
これにより、インストーラー・パネルのラベルとコントロールを JAWS で正しく読
み上げることができるようになります。
v Java Access Bridge (ダウンロード・リンクおよびインストール手順を含む) につ
いては、http://www.oracle.com/technetwork/java/javase/tech/index-jsp-136191.html を
参照してください。
v Java Access Bridge をインストールするための InstallAnywhere の要件について
は、http://kb.flexerasoftware.com/selfservice/documentLink.do?externalID=Q200311 を
参照してください。
18
IBM Security AppScan Source: インストールと管理のガイド
説明テキストがあるユーザー・インターフェース・パネルでの JAWS
スクリーン読み取りソフトウェアの使用
AppScan Source ユーザー・インターフェースの多くの部分には、説明テキストが含
まれています。 ほとんどの場合、この説明テキストを読み取るためには、JAWS の
Insert+B キー・ストロークを使用する必要があります。
第 1 章 IBM Security AppScan Source の概要
19
20
IBM Security AppScan Source: インストールと管理のガイド
第 2 章 システム要件およびインストールの前提条件
AppScan Source コンポーネントを実行するには、ご使用のコンピューターが
http://www.ibm.com/support/docview.wss?uid=swg27027486 に示す (製品ごとの) 最小
要件を満たしている必要があります。
AppScan Source 言語サポートについて詳しくは、『AppScan Source 言語サポー
ト』 を参照してください。
AppScan Source 言語サポート
このトピックでは、AppScan Source でスキャンできる言語のリストを示します。
v 『Windows での言語サポート』
v
22 ページの『Linux での言語サポート』
v
22 ページの『OS での言語サポート』
Windows での言語サポート
IBM Security AppScan Source for Analysis、IBM Security AppScan Source for
Automation、および IBM Security AppScan Source コマンド行インターフェース
(CLI) は、以下の言語のスキャンをサポートします。
v C/C++
v COBOL
v ColdFusion
v Java (Android API のサポートを含む)
v JavaServer Pages (JSP)
v JavaScript
v Perl
v PHP (バージョン 4.x および 5.x)
v PL/SQL
v T-SQL
v .NET (C#、ASP.NET、VB.NET) - Microsoft .NET Framework バージョン
2.0、3.0、3.5、4.0、および 4.5
v ASP (JavaScript/VBScript)
v Visual Basic 6
注: PHP、Visual Basic 6、および Classic ASP では、ISO-8859-1 (西ヨーロッパ)、
UTF-8、および UTF-16 文字セットのみがサポートされます。
AppScan Source for Development Visual Studio プラグイン は、C/C++ および .NET
(C#、ASP.NET、VB.NET) のスキャンをサポートします。
AppScan Source for Development Eclipse プラグイン (Eclipse または IBM Rational
Application Developer for WebSphere Software (RAD) に適用可能) は、Java
© Copyright IBM Corp. 2003, 2014
21
(Android API のサポートを含む)、JavaServer Pages (JSP)、および IBM Worklight
のプロジェクトのスキャンをサポートします。
Linux での言語サポート
IBM Security AppScan Source for Analysis、IBM Security AppScan Source for
Automation、および IBM Security AppScan Source コマンド行インターフェース
(CLI) は、以下の言語のスキャンをサポートします。
v C/C++
v COBOL
v ColdFusion
v Java (Android API のサポートを含む)
v JavaServer Pages (JSP)
v JavaScript
v Perl
v PHP (バージョン 4.x および 5.x)
v PL/SQL
v T-SQL
注: PHP では、ISO-8859-1 (西ヨーロッパ)、UTF-8、および UTF-16 文字セットの
みがサポートされます。
AppScan Source for Development Eclipse プラグイン (Eclipse または IBM Rational
Application Developer for WebSphere Software (RAD) に適用可能) は、Java
(Android API のサポートを含む)、JavaServer Pages (JSP)、および IBM Worklight
のプロジェクトのスキャンをサポートします。
OS での言語サポート
IBM Security AppScan Source for Analysis、IBM Security AppScan Source for
Automation、および IBM Security AppScan Source コマンド行インターフェース
(CLI) は、以下の言語のスキャンをサポートします。
v Xcode プロジェクト内の Objective-C
v Java (Android API のサポートを含む)
v JavaServer Pages (JSP)
v JavaScript
AppScan Source for Development Eclipse プラグイン (Eclipse または IBM Rational
Application Developer for WebSphere Software (RAD) に適用可能) は、Java
(Android API のサポートを含む)、JavaServer Pages (JSP)、および IBM Worklight
のプロジェクトのスキャンをサポートします。
22
IBM Security AppScan Source: インストールと管理のガイド
Linux での AppScan Source for Analysis および AppScan Source
for Development (Eclipse プラグイン) コンポーネントの前提条件
Linux 上の Eclipse では、ブラウザー・ベースのコンテンツをレンダリングするた
めに、サード・パーティー・コンポーネントをインストールする必要があります。
このコンポーネントがないと、AppScan Source for Analysis および AppScan Source
for Development Eclipse プラグインは、ログイン後にハングしたり、製品使用中に
障害が発生したりするなどの症状を示す可能性があります。
この前提条件についての情報は、http://www.eclipse.org/swt/faq.php#browserwebkitgtk
で参照できます。
v 『Linux 上の AppScan Source for Analysis でブラウザー・ベースのコンテンツを
使用可能にする』
v 『Linux で Eclipse バージョン 3.7 以降にインストールされている AppScan
Source for Development でブラウザー・ベースのコンテンツを使用可能にする』
v
24 ページの『Linux で Eclipse バージョン 3.6 以前にインストールされている
AppScan Source for Development でブラウザー・ベースのコンテンツを使用可能
にする』
Linux 上の AppScan Source for Analysis でブラウザー・ベース
のコンテンツを使用可能にする
AppScan Source for Analysis は Eclipse 上に構築されているため、この問題による
影響を受けます。
この問題を修正するために推奨される方法は、32 ビット版または i686 版の
WebKitGTK 1.2.0 以降をインストールすることです。パッケージを入手してインス
トールするために適切な方法をシステム管理者に相談してください。これは、シス
テムによっては、yum install webkitgtk.i686 を発行するだけで行えます。
WebKitGTK をインストールできない場合、Mozilla XULRunner 1.8 の 32 ビット・
バージョンをインストールできます。 このオプションでは、環境変数に以下の更新
を行う必要があるかもしれません。
v MOZILLA_FIVE_HOME を XULRunner のインストール場所に設定します。
v LD_LIBRARY_PATH の末尾または先頭に $MOZILLA_FIVE_HOME を追加して更新しま
す。
Linux で Eclipse バージョン 3.7 以降にインストールされている
AppScan Source for Development でブラウザー・ベースのコンテ
ンツを使用可能にする
この問題を修正するために推奨される方法は、32 ビット版または i686 版の
WebKitGTK 1.2.0 以降をインストールすることです。パッケージを入手してインス
トールするために適切な方法をシステム管理者に相談してください。これは、シス
テムによっては、yum install webkitgtk.i686 を発行するだけで行えます。
WebKitGTK をインストールできない場合、Mozilla XULRunner 1.8 の 32 ビット・
バージョンをインストールできます。 このオプションでは、環境変数に以下の更新
を行う必要があるかもしれません。
第 2 章 システム要件およびインストールの前提条件
23
v MOZILLA_FIVE_HOME を XULRunner のインストール場所に設定します。
v LD_LIBRARY_PATH の末尾または先頭に $MOZILLA_FIVE_HOME を追加して更新しま
す。
Linux で Eclipse バージョン 3.6 以前にインストールされている
AppScan Source for Development でブラウザー・ベースのコンテ
ンツを使用可能にする
32 ビット版の Mozilla XULRunner バージョン 1.8 をインストールする必要があり
ます (バージョン 1.8.0.4 はほとんどの環境で作動します。https://
developer.mozilla.org/en-US/docs/XULRunner_1.8.0.4_Release_Notes を参照してくださ
い)。XULRunner をインストールした後、環境変数に以下の更新を行う必要がある
かもしれません。
v MOZILLA_FIVE_HOME を XULRunner のインストール場所に設定します。
v LD_LIBRARY_PATH の末尾または先頭に $MOZILLA_FIVE_HOME を追加して更新しま
す。
24
IBM Security AppScan Source: インストールと管理のガイド
第 3 章 インストール・シナリオの例
AppScan Source をインストールする際には、適切なインストール・ワークフローに
従う必要があります。以下のトピックでは、いくつかのインストール・シナリオ例
におけるワークフローについて説明します。
重要:
v AppScan Source で必要なコンポーネントをインストールする前に、そのコンポー
ネントがご使用のオペレーティング・システムをサポートしていることを確認す
るため、コンポーネントのシステム要件を参照してください。
v これらのシナリオは OS X には適用されません。
AppScan Source は以下のキー・コンポーネントで構成されます。これらのコンポー
ネントは、インストールすべき順序に従ってリストされています。
v Rational License Server: これは、AppScan Enterprise Server ライセンス・アプリ
ケーションで必要とされます。 また、AppScan Source フローティング・ライセ
ンスの適用にも使用されます (ただし、AppScan Source ローカル・ライセンス・
ファイルの適用には使用されません)。
v AppScan Enterprise Server: AppScan Source のすべての製品およびコンポーネント
は、AppScan Enterprise Server と通信を行う必要があります。インストール後
に、AppScan Enterprise Server ライセンスがインポートされた Rational License
Server を指定します。
v AppScan Source 製品イメージ: これには、AppScan Source for Analysis、AppScan
Source for Automation、AppScan Source for Development、および AppScan Source
for Remediation が含まれます。インストール後に、AppScan Source データベー
ス の接続先となる AppScan Enterprise Server を指定します。 また、AppScan
Source のフローティング・ライセンスを使用する場合には、AppScan Source ラ
イセンスがインポートされた Rational License Server を指定します。
これらのシナリオにおける説明では、以下のことが想定されています。
v すべてのコンポーネントが Microsoft Windows にインストールされる。いくつか
の説明では Linux の場合の基本的な設定および情報が提供されますが、メインの
シナリオ・ワークフローは Windows についてのみ示されます。
v AppScan Source コンポーネントをインストールするマシン上での管理特権が付与
されている。
v AppScan Enterprise Server のユーザー管理フィーチャーのみをインストールす
る。
v AppScan Source データベースとして IBM solidDB を使用する。
v AppScan Enterprise Server のアクティブ化にはフローティング・ライセンスが使
用され、AppScan Source コンポーネントのアクティブ化にはローカル・ライセン
ス・ファイルが使用される。
v 26 ページの『必要なすべてのコンポーネントを 1 台のマシンにインストールす
る』
© Copyright IBM Corp. 2003, 2014
25
v
36 ページの『複数マシン環境での AppScan Source コンポーネントのインストー
ル』
v
48 ページの『AppScan Source のインストールおよび既存の AppScan Enterprise
Server との統合』
v
57 ページの『バージョン 8.0.x 以前の Rational AppScan Source Edition からバ
ージョン 8.6.x へのマイグレーション』
必要なすべてのコンポーネントを 1 台のマシンにインストールする
このシナリオでは、すべてのコンポーネントが 1 台のマシンにインストールされま
す。コンポーネント接続の構成時には、localhost 設定が適用されます。
このタスクについて
このシナリオは、次の 4 つのセクションに分かれます。
v 『IBM Rational License Server のインストール』
v
28 ページの『IBM Security AppScan Enterprise Server のインストール』
v
30 ページの『AppScan Source のインストール』
v
35 ページの『AppScan Source へのログイン』
IBM Rational License Server のインストール
Rational License Server は、AppScan Enterprise Server ライセンスをホスティングす
るために使用されます。これは、AppScan Source フローティング・ライセンスのホ
スティングにも使用できますが、これについては、以下の説明では取り上げませ
ん。
このタスクについて
サポート対象バージョンの Rational License Server が既にインストールされている
場合には、Rational License Server のインストールに関する説明の部分をスキップし
て、「License Key Administrator」の起動およびライセンスのインポートに関する
説明の部分に進むことができます。 サポートされている Rational License Server の
バージョンについては、AppScan Enterprise Server システム要件
(http://www.ibm.com/support/docview.wss?uid=swg27027541) および AppScan Source
システム要件 (http://www.ibm.com/support/docview.wss?uid=swg27027486) に説明され
ています。
手順
1. Rational License Key Server イメージ (AppScan Source 製品 DVD にあるか、
または IBM パスポート・アドバンテージ で AppScan Source eAssembly の一
部としてダウンロードされています) を見つけます。
2. イメージをローカル・ドライブに解凍し、生成されたディレクトリーで
RLKSSERVER_SETUP¥disk1¥launchpad.exe を実行します。
3. Rational License Server インストーラーで、「IBM Rational License Key
Server のインストールまたは更新」をクリックします。
4. IBM Installation Manager がまだシステムにインストールされていない場合に
は、インストール用に起動されます。
26
IBM Security AppScan Source: インストールと管理のガイド
a. 「パッケージのインストール」ウィザードの最初のページで 「IBM
Installation Manager」チェック・ボックスとその下のすべての項目のチェッ
ク・ボックスが選択されていることを確認します。 「次へ」をクリックし
ます。
b. 「ライセンス」ページで、ご使用条件を読みます。 ご使用条件の条項に同
意するときは、「使用条件の条項に同意します」をクリックし、「次へ」を
クリックします。
c. 「位置」ページでインストール・ディレクトリーを指定して「次へ」をクリ
ックします。
d. インストールされる内容の概要が「概要」ページに表示されます。 選択内
容を変更する場合は、「戻る」をクリックして、前のページに戻ります。イ
ンストールの選択内容に問題がなければ、「インストール」をクリックしま
す。
e. インストールが完了したら、「Installation Manager の再起動」をクリック
します。 これによって Installation Manager が起動し、インストールできる
ようになります。
5. 「パッケージのインストール」ウィザードの最初のページで、「IBM Rational
License Key Server」チェック・ボックスとその下のすべての項目のチェック・
ボックスが選択されていることを確認します。 「次へ」をクリックします。
6. 「前提条件」ページで、すべてのアプリケーションを閉じてアンチウィルス・
ソフトウェアを無効にするように指示されます。 これらの予防タスクを完了し
てから「次へ」をクリックします。
7. 「ライセンス」ページで、ご使用条件を読みます。 ご使用条件の条項に同意す
るときは、「使用条件の条項に同意します」をクリックし、「次へ」をクリッ
クします。
8. 「位置」ページでインストール・ディレクトリーを指定して「次へ」をクリッ
クします。
9. 必要に合わせて「パッケージ・グループ」ページへの入力を行います (例え
ば、Installation Manager を使用するのが初めてであり、既存のパッケージ・グ
ループがない場合には、デフォルト設定のままにしてください)。 「次へ」を
クリックします。
10. 「翻訳」選択ページで、インストールする各国語を選択します。 「次へ」をク
リックします。
11. 「フィーチャー」ページで、すべてのフィーチャーが選択されていることを確
認し、「次へ」をクリックします。
12. インストールされる内容の概要が「概要」ページに表示されます。 選択内容を
変更する場合は、「戻る」をクリックして、前のページに戻ります。インスト
ールの選択内容に問題がなければ、「インストール」をクリックします。
13. インストールが完了したら、「終了」をクリックして IBM Installation Manager
を閉じます。
14. Windows の「スタート」メニューからIBM Rational License Key Administrator
を起動します (「すべてのプログラム」メニューから「IBM Rational」 >
「License Key Administrator」を起動します)。
15. IBM Rational License Key Administrator が開始されると、「License Key
Administrator」ウィザードでプロンプトが出されます (このウィザードが自動的
第 3 章 インストール・シナリオの例
27
に開かない場合には、メインメニューから「ライセンス・キー (License
Keys)」 > 「ライセンス・キー・ウィザード (License Key Wizard)」を選択し
ます)。 このウィザードで「Rational ライセンス・ファイルをインポート」を
選択して「次へ」をクリックします。
16. 「ライセンス・ファイルのインポート」パネルで「参照」をクリックして、
AppScan Enterprise Server ライセンス・ファイルにナビゲートします。 参照ダ
イアログ・ボックスでそのファイルを開き、「インポート」をクリックしま
す。
17. インポートする 1 つまたは複数のライセンスを確認すると、「ライセンス・サ
ーバーの再起動」ダイアログ・ボックスが開きます。 「はい」をクリックし
て、ライセンス・サーバーを再始動します。 ライセンス・サーバー・サービス
が開始できない場合には、Windows のサービス管理ツールを開きます。 この
ツールで、「FLEXlm License Manager」を見つけて開始します。
IBM Security AppScan Enterprise Server のインストール
手順
1. AppScan Enterprise Server イメージ (AppScan Source 製品 DVD にあるか、ま
たは IBM パスポート・アドバンテージ で AppScan Source eAssembly の一部
としてダウンロードされています) を見つけます。 AppScan Enterprise Server
について詳しくは、「IBM Security AppScan Source インストールと管理のガイ
ド」内の 71 ページの『AppScan Enterprise Server の概要』のトピックを参照
してください。
2. イメージをローカル・ドライブに解凍し、生成されたディレクトリーで
AppScanEnterpriseServerSetup_<version>.exe を見つけて実行します。
3. インストーラーのウェルカム・パネルが開いたら、「次へ」をクリックし、ア
ップグレードに関する注意事項を読んで「次へ」をクリックします。
4. 「ご使用条件」パネルで、ご使用条件を読みます。 ご使用条件の条項に同意す
るときは、「使用条件の条項に同意します」をクリックし、「次へ」をクリッ
クします。
5. 「出力先フォルダー」パネルでインストール・ディレクトリーを指定し、「次
へ」をクリックします。
6. 「プログラムのインストール準備の完了」パネルでは、インストールを続行す
ることも、インストールの設定を変更する場合に前のインストール・パネルに
戻ることもできます。 選択内容を変更する場合は、「戻る」をクリックして、
前のページに戻ります。 インストールの選択内容に問題がなければ、「インス
トール」をクリックします。
7. サーバーのインストールが完了したら、「セットアップ・ウィザードの完了」
パネルは、有効な SSL 証明書を使用してサーバーを保護する方法を説明するヘ
ルプにリンクします。 有効な SSL 証明書をインストールすることが推奨され
ます (これは、この段階でも、インストールの完了後でも実行できます)。 「起
動構成ウィザードの起動」が選択されていることを確認し、「終了」をクリッ
クして、「構成」パネルに進みます。
8. 「サーバー構成ウィザード」のようこそパネルが開いたら、「次へ」をクリッ
クします。
28
IBM Security AppScan Source: インストールと管理のガイド
9. 「ライセンス・サーバー」パネルの「ライセンス・サーバー」フィールドに
localhost (またはローカル・マシンの完全修飾ホスト名を入力) と入力して、
「次へ」をクリックします。
10. 「サーバー・コンポーネント」パネルに、構成できる 2 つのコンポーネントが
リストされます。 最初の「ユーザー管理」は、AppScan Source のために必要
です。 2 番目の 「Enterprise Console」は、高度な評価管理のためのサーバー
を使用するために用意されています。 このフィーチャーは、AppScan Source
を使用する場合にはオプションであり、高度な評価管理のためのサーバーを使
用しないときには選択解除する必要があります。 このフィーチャーを選択する
と、サーバーをインストールする際に、ここで説明されていない前提条件およ
び設定が必要になります。 インストールする 1 つ以上のプログラム・フィー
チャーを選択した後で、「次へ」をクリックします。
11. 「インスタンス名」パネルで、構成するインスタンスの名前を指定します。
12. 「認証メカニズム」パネルで、Windows 認証または Jazz™ Team Server 認証の
どちらを使用するか選択できます。Microsoft Active Directory LDAP サーバー
による LDAP 認証を使用する場合は、「Windows による認証 (Authenticate
via Windows)」を選択します。その他すべての LDAP サーバーでは、「Jazz
Team Server による認証 (Authenticate via Jazz Team Server)」を選択しま
す。
13. 「サービス・アカウント」パネルで、AppScan Enterprise Server サービスを実
行するマシンのドメイン、ユーザー名、およびパスワードを入力します。
14. 「データベース接続」パネルで、データベース・サーバーの名前とデータベー
スの名前を入力します。 AppScan Enterprise Serverは、SQL Server のデータベ
ースを作成する際には、その照合を自動的に構成します。
注: 既存のデータベースをアップグレードしている場合、「データベース暗号
化の変更」パネルが開きます。データベースが存在する SQL Server を保護す
る方法について詳しくは、「ヘルプ」をクリックします。 Transparent Data
Encryption を有効にしない場合は、チェック・ボックスを選択すると構成を続
行できます。
15. Jazz Team Server 認証のみ: Jazz Team Server 認証を選択した場合、次のパネ
ルでサーバーの管理者パスワードを指定して、作成される Jazz Team Server を
構成することができます。
a. AppScan Enterprise Server をインストールするマシンの完全修飾ホスト名を
入力します。
b. デフォルトでは、管理パスワードは ADMIN です。サーバーを初めて構成
する場合は、デフォルト値を使用してログインします。パスワードを変更す
るように求めるプロンプトが表示されます。このパネルのパスワード・フィ
ールドで新規パスワードを指定することが推奨されます。 前にサーバーを
構成して、デフォルトのパスワードを変更した場合は、そのパスワードを入
力します。
c. パスワード・プロンプトを処理したら、「次へ」をクリックして、Jazz
Team Server の構成を開始します。このプロセスには数分かかる場合があり
ます。
注:
第 3 章 インストール・シナリオの例
29
v このフィールドに localhost を指定することはできません。
v このプロセスが失敗した場合には、Windows のサービス管理ツールを開
きます。 ツール内で、AppScan Enterprise Server – Tomcat を見つけ、
実行中でない場合は開始します。 その後で、インストール・パネルで
「次へ」をクリックして、Jazz Team Server の公開 URI の作成を再度試
みます。
ヒント: インストール中に、「JTS に接続できませんでした (could not
contact JTS)」というエラー・メッセージを受け取った場合には、URI 作成
プロセスがタイムアウトになっている可能性があります。 少し待ってから
「次へ」をクリックし直すと、問題が解決することがあります。
16. 「サーバー証明書」パネルでは、組織固有の証明書を選択します。この手順に
よって、ご使用の環境にセキュアな Enterprise Server をデプロイすることがで
きます。
17. 「製品管理者」パネルでは、製品の管理者としてユーザーを指定します。この
ユーザーは、別途ライセンス交付を受けます。 製品管理者ライセンスを再度割
り当てる場合は、構成ウィザードを再実行する必要があります。
18. インストールが完了したら、「指定完了」パネルで「終了」をクリックしま
す。 構成が完了したら、「構成完了」パネルで「終了」をクリックします。
次のタスク
Enterprise Server をインストールする前に AppScan Source がインストールされてい
た場合には、Enterprise Server に データベースを登録する必要があります。これを
行うためのユーティリティーが AppScan Source に含まれています。これに関する
情報は、AppScan Source の「インストールと管理のガイド」の 84 ページの
『AppScan Enterprise Server への AppScan Source データベースの登録』のトピッ
クに記載されています。
Enterprise Server をアンインストールする必要がある場合は、インストールし直す前
にインストール・ディレクトリーを削除する必要があります。
AppScan Source のインストール
手順
1. IBM Security AppScan Source 製品の zip ファイルを見つけます (AppScan
Source メディア・パックにあるか、またはIBM パスポート・アドバンテージで
AppScan Source eAssembly の一部としてダウンロードした電子イメージにあり
ます)。
2. イメージをローカル・ドライブに解凍し、生成されたディレクトリーで
setup.exe を見つけて実行します。インストール・ウィザードの起動に関する
詳細は、「IBM Security AppScan Source インストールと管理のガイド」の 67
ページの『インストール・ウィザードの開始』のトピックに記載されていま
す。
注: AppScan Source ファミリーの製品ごとにイメージがあります。 setup.exe
ファイルは、これらの zip イメージのルートにあります。
3. インストール・パネルに表示される各国語を選択できる画面が表示されます。
言語を選択し、「OK」をクリックして続行してください。
30
IBM Security AppScan Source: インストールと管理のガイド
4. インストール・ウィザードを起動すると、「ようこそ - インストール・ウィザ
ード」パネルが開き、現在開いているアプリケーションをすべて終了すること
を勧めるメッセージが表示されます。 「次へ」をクリックして、インストール
手順を開始します。
5. 「コンポーネントの選択」インストール・パネルで、インストールするコンポ
ーネントを選択します。AppScan Source コンポーネントは、サーバー・コンポ
ーネントとクライアント・コンポーネントに分けられます。
a. AppScan Source サーバー・コンポーネントをインストールするには、「サ
ーバー・コンポーネントの選択」を選択し、インストールするコンポーネン
トを選択します。
v AppScan Source データベース
v AppScan Source for Automation
b. AppScan Source クライアント・コンポーネントをインストールするには、
「クライアント・コンポーネントの選択」を選択し、インストールするコン
ポーネントを選択します。
v AppScan Source for Analysis
v AppScan Source コマンド行インターフェース
v AppScan Source for Development for Eclipse、 RAD、Worklight (デフォル
トでは未選択)
v Windows のみ: AppScan Source for Development for Visual Studio
2008(デフォルトでは未選択)(このオプションは、インストーラーがご使用
のシステム上に Microsoft Visual Studio 2008 を検出した場合のみ使用可
能)
v Windows のみ: AppScan Source for Development for Visual Studio
2010(デフォルトでは未選択)(このオプションは、インストーラーがご使用
のシステム上に Microsoft Visual Studio 2010 を検出した場合のみ使用可
能)
v Windows のみ: AppScan Source for Development for Visual Studio
2012(デフォルトでは未選択)(このオプションは、インストーラーがご使用
のシステム上に Microsoft Visual Studio 2012 を検出した場合のみ使用可
能)
デフォルトでは、「クライアント・コンポーネントの選択」を選択する場
合、AppScan Source for Development プラグイン・コンポーネントが選択解
除されて、それ以外のすべてのコンポーネントが選択されています。
インストールしたいコンポーネントを選択したら、「次へ」をクリックして次
のインストール・パネルに進みます。
6. 「サーバー接続」パネルで、接続先の AppScan Enterprise Server を記述するオ
プションを選択します。
v 「このマシンで見つかったインスタンスを使用する」: このオプションは、
互換性のあるバージョンの AppScan Enterprise Server がこのマシンで検出さ
れた場合に表示されます。 AppScan Source を使用する際にその Enterprise
Server に接続する場合には、このオプションを選択してください。
v 「AppScan Enterprise Server の互換性のあるローカル・インスタンスを今
すぐインストールする」: このオプションは、互換性のないバージョンの
第 3 章 インストール・シナリオの例
31
AppScan Enterprise Server がこのマシンで検出された場合に表示されます。
互換性のあるバージョンの Enterprise Server をこのマシンにインストールす
る場合には、このオプションを選択して「次へ」をクリックしてください。
次のインストール・パネルで、Enterprise Server をダウンロードするための
オプションが示されます。
v 「AppScan Enterprise Server のローカル・インスタンスを今すぐインスト
ールする」: このオプションは、AppScan Enterprise Server がこのマシンで検
出されなかった場合に表示されます。 Enterprise Server をこのマシンにイン
ストールする場合には、このオプションを選択して「次へ」をクリックしま
す。次のインストール・パネルで、Enterprise Server をダウンロードするた
めのオプションが示されます。
v 「リモートの AppScan Server インスタンスに接続する」: このオプション
を選択すると、リモートの AppScan Enterprise Server をテストして、
AppScan Source への接続に使用できることを確認できます。サーバー接続を
テストするには、以下のフィールドにデータを入力します。
– AppScan Enterprise Server: 既存の URL 形式で、ご使用のリモート
AppScan Enterprise Server インスタンスのホスト名を指定します。
– ユーザー ID: AppScan Enterprise Server ユーザー ID を指定します。
– パスワード: AppScan Enterprise Server ユーザー ID のパスワードを指定
します。
サーバー設定を入力したら、「接続のテスト」をクリックして、AppScan
Source との接続にそのサーバーを使用できることを確認します。
v 「サーバーを指定せずに続行する」: サーバーを指定しないで先に進む場合
には、このオプションを選択します。
重要: 接続先の Enterprise Server で NIST 800-131a 準拠が有効になっている場
合は、サーバーへの接続をテストできません。この場合には、サーバーを指定
せずに進んでください。AppScan Source および Enterprise Server のインストー
ル完了後に、 84 ページの『AppScan Enterprise Server への AppScan Source デ
ータベースの登録』の説明に従ってください。その際に必ず「TLSv1.2 を強
制」オプションを適用してください。
「次へ」をクリックして、次のインストール・パネルに進みます。
注: 「サーバー接続」パネルの選択内容で、互換性がないか、存在しない
AppScan Enterprise Server のインストール済み環境を想定している場合は、
「サーバーのインストール」パネルが開きます。このパネルで、Enterprise
Server のダウンロード・オプションが順に示されます。
7. 「インストール・ターゲットの指定」ページで、インストール・ディレクトリ
ーを指定します。オペレーティング・システムごとのデフォルトのディレクト
リーは、次のとおりです。
v 32 ビット・バージョンの Microsoft Windows:
<SYSTEMDRIVE>:¥Program Files¥IBM¥AppScanSource
v 64 ビット・バージョンの Microsoft Windows:
<SYSTEMDRIVE>:¥Program Files (x86)¥IBM¥AppScanSource
32
IBM Security AppScan Source: インストールと管理のガイド
v Linux: root ユーザーの場合は、インストール・ウィザードによって
/opt/ibm/appscansource にソフトウェアがインストールされます。 root ユ
ーザーではない場合は、デフォルトでは <home_directory>/AppScan_Source
にインストールされる AppScan Source for Development Eclipse プラグイン
をインストールできます。
v OS X: /Applications/AppScanSource.app
重要:
v インストール・ディレクトリー名には、英文字のみを含めることができま
す。非英文字を含む名前があるフォルダーは許可されません。
v Windows にインストールする場合、AppScan Source コンポーネントをイン
ストールするには管理者特権が付与されている必要があります。
v Linux にインストールする場合、AppScan Source サーバー・コンポーネント
をインストールするには、root 特権が必要です。
「次へ」をクリックして、次のインストール・パネルに進みます。
8. 「サーバー・コンポーネントの選択」ページで IBM Security AppScan Source
データベース・コンポーネントをインストール対象として選択した場合は、
「データベース選択」パネルが表示されます。 このページで、以下のいずれか
を選択します。
v solidDB のインストール
v 既存の Oracle 11g Server にデータベースをインストール
solidDB のインストール、または既存の Oracle データベースへのインストール
について詳しくは、「IBM Security AppScan Source インストールと管理のガイ
ド」の 72 ページの『データベースのインストールおよび AppScan Enterprise
Server への接続の構成』のトピックを参照してください。
「次へ」をクリックして、次のインストール・パネルに進みます。
9. 「データベース選択」パネルで solidDB データベースのインストールを選択し
た場合は、「IBM solidDB 管理ユーザーの構成」パネルのプロンプトが出され
ます。 このパネルで、solidDB データベース管理者アカウントを構成します。
デフォルトのデータベース管理者のユーザー名とパスワードはどちらも dba で
す。 このユーザー名は変更できませんが、パスワードは変更できます。
注: 製品のインストールを完了した後にユーザー・パスワードを変更する方法
については、 135 ページの『インストール後の IBM solidDB ユーザー・パスワ
ードの変更』を参照してください。
「次へ」をクリックして、次のインストール・パネルに進みます。
10. 「IBM solidDB AppScan Source ユーザーの構成」パネルでは、solidDB
AppScan Source データベースのユーザー・アカウントを構成できます。 デフ
ォルト・ユーザー名 ounce とデフォルト・パスワード ounce はそのままでも
構いません。 AppScan Source データベースに対して読み取り/書き込みを行う
コンポーネントはすべてこのアカウントを使用します。
注:
第 3 章 インストール・シナリオの例
33
v ユーザー名とパスワードを変更した場合は、IBM サポート担当員が AppScan
Source データベースにアクセスする必要がある場合に備えて、新しい構成を
記録しておいてください。
v 製品のインストールを完了した後にユーザー・パスワードを変更する方法に
ついては、 135 ページの『インストール後の IBM solidDB ユーザー・パス
ワードの変更』を参照してください。
「次へ」をクリックして、次のインストール・パネルに進みます。
11. 言語パックの選択パネルで、インストールする言語パックを選択します。 言語
パックをインストールすると、AppScan Source のユーザー・インターフェース
は、オペレーティング・システムがそのロケールで動作している場合、その言
語で表示されます。
デフォルトでは、「英語」が選択されています (これは選択解除できません)。
インストール・ウィザードが英語以外の各国語で表示されている場合 (つま
り、インストール・ウィザードの「ようこそ」パネルで英語以外の言語を選択
した場合)、このパネルでもその言語が選択されます (しかし、選択解除できま
す)。
インストールする言語パックを選択したら、「次へ」をクリックして次のイン
ストール・パネルに進みます。
注: 特定の言語パックをインストールしない場合、インストール後にその言語
を追加することはできません。
12. ご使用条件の条項を確認して同意したら、「次へ」をクリックして続行しま
す。
13. 先に進む前に、インストール・オプションの概要を確認します。 選択内容を変
更する場合は、「前へ」をクリックして、前のページに戻ります。インストー
ルの選択内容に問題がなければ、「インストール」をクリックします。インス
トーラーによって、ハード・ディスクにファイルがコピーされます。
Linux サーバー・インストールの場合のみ: ファイルをコピーしたら、デーモ
ン・ユーザーを特定する必要があります。 デフォルト・ユーザー「ounce」を
作成する場合は「ユーザー 'ounce' を作成」を選択し、既存のユーザーで実行
する場合は「既存のユーザーで実行」を選択します。 (インストールでこのユ
ーザーの存在が検証されます。選択されたユーザーには有効なシェルが必要と
なることに注意してください。)
インストール中に「キャンセル」をクリックすると、そのタイミングにかかわ
らず、すべてのコンポーネントがアンインストールされます。
14. 「IBM Security AppScan Enterprise Server の構成」パネルで、データベースが
AppScan Enterprise Server に接続できるようにするための設定を指定します。
デフォルトでは、データベースとサーバーが同じマシンにデフォルト設定でイ
ンストールされており、サーバーは Jazz Team Server 認証用に構成されている
と想定した値が、このインストール・パネルに事前に入力されています。
v サーバーが Windows 認証用に構成されている場合は、「AppScan
Enterprise Server を今すぐ構成 」チェック・ボックスを選択し、サーバー
34
IBM Security AppScan Source: インストールと管理のガイド
にアカウントを追加したときに使用した Windows 資格情報を入力してくだ
さい (ユーザー ID はフォーマット <host name>¥<user id> を使用する必要
があります)。
v このインストール・シナリオで、サーバーを Jazz Team Server 認証用に構成
している場合、デフォルトの設定はサーバー管理 「パスワード」を除いて正
しいはずです。 AppScan Enterprise Server のインストール中にデフォルト・
パスワードを変更した場合には、「AppScan Enterprise Server を今すぐ構
成」チェック・ボックスを選択してから、「パスワード」フィールドにパス
ワードを入力してください。
注: 「データベース・ホスト名」フィールドの入力内容は必ず、インストーラ
ーを実行しているマシンの完全修飾ホスト名にしてください。 この値は、イン
ストール時にこのフィールドに事前に入力されます。事前に入力された値が誤
っている場合に限って変更してください。
注: このサーバーは、AppScan Source に組み込まれているユーティリティーを
使用して、インストール後に構成することもできます。これに関する説明は、
「IBM Security AppScan Source インストールと管理のガイド」の 84 ページの
『AppScan Enterprise Server への AppScan Source データベースの登録』のト
ピックに記載されています。
「次へ」をクリックして、次のインストール・パネルに進みます。
15. 「インストール完了」パネルでは、「IBM Security AppScan Source License
Manager の起動」を選択することにより、インストール・ウィザードの終了後
にただちに製品のアクティブ化を開始することができます。 「完了」をクリッ
クして標準インストールを完了し、インストール・ウィザードを終了します。
16. License Manager ユーティリティーで、以下のようにします。
a. ライセンス・ファイルを適用するには、「インポート」をクリックしてから
ダウンロード済みの AppScan Source ライセンスを参照します。
b. フローティング・ライセンスを適用するには、「ライセンス・サーバーの構
成」をクリックしてから「追加」をクリックします。フローティング・ライ
センスを格納しているホスト・マシンに関する情報を入力します。
追加のアクティベーション手順については、 117 ページの『第 7 章 ソフトウ
ェアのアクティブ化』を参照してください。
AppScan Source へのログイン
このタスクについて
ログイン時に入力を求められるフィールドの説明については、下記のセクションを
参照してください。 詳しくは、「IBM Security AppScan Source インストールと管
理のガイド」の 129 ページの『AppScan Source 製品からの AppScan Enterprise
Server へのログイン』のトピックを参照してください。
手順
v ユーザー ID: ユーザー ID を指定します。
v パスワード: ご使用のユーザー ID のパスワードを指定します。
第 3 章 インストール・シナリオの例
35
v AppScan Enterprise Server: 既存の URL 形式で、ご使用の AppScan Enterprise
Server インスタンスのホスト名を指定します。このインストール・シナリオで
は、https://localhost:9443/asc/ または localhost と指定します。
複数マシン環境での AppScan Source コンポーネントのインストール
AppScan Source コンポーネントは複数のマシンにインストールすることができま
す。 このシナリオでは、コンポーネントは複数マシン環境にデプロイされます。
Rational License Server、AppScan Enterprise Server、AppScan Source クライアント
製品、および AppScan Source データベース が、すべて異なるマシンにインストー
ルされます。
このタスクについて
このシナリオは、以下の 5 つのセクションに分かれています。
v 『マシン A への IBM Rational License Server のインストール』
v
38 ページの『マシン B への IBM Security AppScan Enterprise Server のインス
トール』
v
40 ページの『マシン C への AppScan Source クライアント製品のインストー
ル』
v
43 ページの『マシン D への AppScan Source データベース のインストール』
v
47 ページの『AppScan Source へのログイン』
マシン A への IBM Rational License Server のインストール
Rational License Server は、AppScan Enterprise Server ライセンスをホスティングす
るために使用されます。これは、AppScan Source フローティング・ライセンスのホ
スティングにも使用できますが、これについては、以下の説明では取り上げませ
ん。
このタスクについて
サポート対象バージョンの Rational License Server が既にインストールされている
場合には、Rational License Server のインストールに関する説明の部分をスキップし
て、「License Key Administrator」の起動およびライセンスのインポートに関する
説明の部分に進むことができます。 サポートされている Rational License Server の
バージョンについては、AppScan Enterprise Server システム要件
(http://www.ibm.com/support/docview.wss?uid=swg27027541) および AppScan Source
システム要件 (http://www.ibm.com/support/docview.wss?uid=swg27027486) に説明され
ています。
手順
1. Rational License Key Server イメージ (AppScan Source 製品 DVD にあるか、
または IBM パスポート・アドバンテージ で AppScan Source eAssembly の一
部としてダウンロードされています) を見つけます。
2. イメージをローカル・ドライブに解凍し、生成されたディレクトリーで
RLKSSERVER_SETUP¥disk1¥launchpad.exe を実行します。
36
IBM Security AppScan Source: インストールと管理のガイド
3. Rational License Server インストーラーで、「IBM Rational License Key
Server のインストールまたは更新」をクリックします。
4. IBM Installation Manager がまだシステムにインストールされていない場合に
は、インストール用に起動されます。
a. 「パッケージのインストール」ウィザードの最初のページで 「IBM
Installation Manager」チェック・ボックスとその下のすべての項目のチェッ
ク・ボックスが選択されていることを確認します。 「次へ」をクリックし
ます。
b. 「ライセンス」ページで、ご使用条件を読みます。 ご使用条件の条項に同
意するときは、「使用条件の条項に同意します」をクリックし、「次へ」を
クリックします。
c. 「位置」ページでインストール・ディレクトリーを指定して「次へ」をクリ
ックします。
d. インストールされる内容の概要が「概要」ページに表示されます。 選択内
容を変更する場合は、「戻る」をクリックして、前のページに戻ります。イ
ンストールの選択内容に問題がなければ、「インストール」をクリックしま
す。
e. インストールが完了したら、「Installation Manager の再起動」をクリック
します。 これによって Installation Manager が起動し、インストールできる
ようになります。
5. 「パッケージのインストール」ウィザードの最初のページで、「IBM Rational
License Key Server」チェック・ボックスとその下のすべての項目のチェック・
ボックスが選択されていることを確認します。 「次へ」をクリックします。
6. 「前提条件」ページで、すべてのアプリケーションを閉じてアンチウィルス・
ソフトウェアを無効にするように指示されます。 これらの予防タスクを完了し
てから「次へ」をクリックします。
7. 「ライセンス」ページで、ご使用条件を読みます。 ご使用条件の条項に同意す
るときは、「使用条件の条項に同意します」をクリックし、「次へ」をクリッ
クします。
8. 「位置」ページでインストール・ディレクトリーを指定して「次へ」をクリッ
クします。
9. 必要に合わせて「パッケージ・グループ」ページへの入力を行います (例え
ば、Installation Manager を使用するのが初めてであり、既存のパッケージ・グ
ループがない場合には、デフォルト設定のままにしてください)。 「次へ」を
クリックします。
10. 「翻訳」選択ページで、インストールする各国語を選択します。 「次へ」をク
リックします。
11. 「フィーチャー」ページで、すべてのフィーチャーが選択されていることを確
認し、「次へ」をクリックします。
12. インストールされる内容の概要が「概要」ページに表示されます。 選択内容を
変更する場合は、「戻る」をクリックして、前のページに戻ります。インスト
ールの選択内容に問題がなければ、「インストール」をクリックします。
13. インストールが完了したら、「終了」をクリックして IBM Installation Manager
を閉じます。
第 3 章 インストール・シナリオの例
37
14. Windows の「スタート」メニューからIBM Rational License Key Administrator
を起動します (「すべてのプログラム」メニューから「IBM Rational」 >
「License Key Administrator」を起動します)。
15. IBM Rational License Key Administrator が開始されると、「License Key
Administrator」ウィザードでプロンプトが出されます (このウィザードが自動的
に開かない場合には、メインメニューから「ライセンス・キー (License
Keys)」 > 「ライセンス・キー・ウィザード (License Key Wizard)」を選択し
ます)。 このウィザードで「Rational ライセンス・ファイルをインポート」を
選択して「次へ」をクリックします。
16. 「ライセンス・ファイルのインポート」パネルで「参照」をクリックして、
AppScan Enterprise Server ライセンス・ファイルにナビゲートします。 参照ダ
イアログ・ボックスでそのファイルを開き、「インポート」をクリックしま
す。
17. インポートする 1 つまたは複数のライセンスを確認すると、「ライセンス・サ
ーバーの再起動」ダイアログ・ボックスが開きます。 「はい」をクリックし
て、ライセンス・サーバーを再始動します。 ライセンス・サーバー・サービス
が開始できない場合には、Windows のサービス管理ツールを開きます。 この
ツールで、「FLEXlm License Manager」を見つけて開始します。
マシン B への IBM Security AppScan Enterprise Server のイ
ンストール
手順
1. AppScan Enterprise Server イメージ (AppScan Source 製品 DVD にあるか、ま
たは IBM パスポート・アドバンテージ で AppScan Source eAssembly の一部
としてダウンロードされています) を見つけます。 AppScan Enterprise Server
について詳しくは、「IBM Security AppScan Source インストールと管理のガイ
ド」内の 71 ページの『AppScan Enterprise Server の概要』のトピックを参照
してください。
2. イメージをローカル・ドライブに解凍し、生成されたディレクトリーで
AppScanEnterpriseServerSetup_<version>.exe を見つけて実行します。
3. インストーラーのウェルカム・パネルが開いたら、「次へ」をクリックし、ア
ップグレードに関する注意事項を読んで「次へ」をクリックします。
4. 「ご使用条件」パネルで、ご使用条件を読みます。 ご使用条件の条項に同意す
るときは、「使用条件の条項に同意します」をクリックし、「次へ」をクリッ
クします。
5. 「出力先フォルダー」パネルでインストール・ディレクトリーを指定し、「次
へ」をクリックします。
6. 「プログラムのインストール準備の完了」パネルでは、インストールを続行す
ることも、インストールの設定を変更する場合に前のインストール・パネルに
戻ることもできます。 選択内容を変更する場合は、「戻る」をクリックして、
前のページに戻ります。 インストールの選択内容に問題がなければ、「インス
トール」をクリックします。
7. サーバーのインストールが完了したら、「セットアップ・ウィザードの完了」
パネルは、有効な SSL 証明書を使用してサーバーを保護する方法を説明するヘ
ルプにリンクします。 有効な SSL 証明書をインストールすることが推奨され
38
IBM Security AppScan Source: インストールと管理のガイド
ます (これは、この段階でも、インストールの完了後でも実行できます)。 「起
動構成ウィザードの起動」が選択されていることを確認し、「終了」をクリッ
クして、「構成」パネルに進みます。
8. 「サーバー構成ウィザード」のようこそパネルが開いたら、「次へ」をクリッ
クします。
9. 「ライセンス・サーバー」パネルで、IBM Rational License Server がインスト
ールおよび構成されたマシンの完全修飾ホスト名 (例えば、
MachineA.mydomain.com) を指定し、「次へ」をクリックします。
10. 「サーバー・コンポーネント」パネルに、構成できる 2 つのコンポーネントが
リストされます。 最初の「ユーザー管理」は、AppScan Source のために必要
です。 2 番目の 「Enterprise Console」は、高度な評価管理のためのサーバー
を使用するために用意されています。 このフィーチャーは、AppScan Source
を使用する場合にはオプションであり、高度な評価管理のためのサーバーを使
用しないときには選択解除する必要があります。 このフィーチャーを選択する
と、サーバーをインストールする際に、ここで説明されていない前提条件およ
び設定が必要になります。 インストールする 1 つ以上のプログラム・フィー
チャーを選択した後で、「次へ」をクリックします。
11. 「インスタンス名」パネルで、構成するインスタンスの名前を指定します。
12. 「認証メカニズム」パネルで、Windows 認証または Jazz Team Server 認証の
どちらを使用するか選択できます。Microsoft Active Directory LDAP サーバー
による LDAP 認証を使用する場合は、「Windows による認証 (Authenticate
via Windows)」を選択します。その他すべての LDAP サーバーでは、「Jazz
Team Server による認証 (Authenticate via Jazz Team Server)」を選択しま
す。
13. 「サービス・アカウント」パネルで、AppScan Enterprise Server サービスを実
行するマシンのドメイン、ユーザー名、およびパスワードを入力します。
14. 「データベース接続」パネルで、データベース・サーバーの名前とデータベー
スの名前を入力します。 AppScan Enterprise Serverは、SQL Server のデータベ
ースを作成する際には、その照合を自動的に構成します。
注: 既存のデータベースをアップグレードしている場合、「データベース暗号
化の変更」パネルが開きます。データベースが存在する SQL Server を保護す
る方法について詳しくは、「ヘルプ」をクリックします。 Transparent Data
Encryption を有効にしない場合は、チェック・ボックスを選択すると構成を続
行できます。
15. Jazz Team Server 認証のみ: Jazz Team Server 認証を選択した場合、次のパネ
ルでサーバーの管理者パスワードを指定して、作成される Jazz Team Server を
構成することができます。
a. IBM Security AppScan Enterprise Server をインストールするマシンの完全修
飾ホスト名 (例えば、MachineB.mydomain.com) を入力します。
b. デフォルトでは、管理パスワードは ADMIN です。サーバーを初めて構成
する場合は、デフォルト値を使用してログインします。パスワードを変更す
るように求めるプロンプトが表示されます。このパネルのパスワード・フィ
ールドで新規パスワードを指定することが推奨されます。 前にサーバーを
構成して、デフォルトのパスワードを変更した場合は、そのパスワードを入
力します。
第 3 章 インストール・シナリオの例
39
c. パスワード・プロンプトを処理したら、「次へ」をクリックして、Jazz
Team Server の構成を開始します。このプロセスには数分かかる場合があり
ます。
注: このプロセスが失敗した場合には、Windows のサービス管理ツールを開
きます。 ツール内で、AppScan Enterprise Server – Tomcat を見つけ、実
行中でない場合は開始します。 その後で、インストール・パネルで「次
へ」をクリックして、Jazz Team Server の公開 URI の作成を再度試みま
す。
ヒント: インストール中に、「JTS に接続できませんでした (could not
contact JTS)」というエラー・メッセージを受け取った場合には、URI 作成
プロセスがタイムアウトになっている可能性があります。 少し待ってから
「次へ」をクリックし直すと、問題が解決することがあります。
16. 「サーバー証明書」パネルでは、組織固有の証明書を選択します。この手順に
よって、ご使用の環境にセキュアな Enterprise Server をデプロイすることがで
きます。
17. 「製品管理者」パネルでは、製品の管理者としてユーザーを指定します。この
ユーザーは、別途ライセンス交付を受けます。 製品管理者ライセンスを再度割
り当てる場合は、構成ウィザードを再実行する必要があります。
18. インストールが完了したら、「指定完了」パネルで「終了」をクリックしま
す。 構成が完了したら、「構成完了」パネルで「終了」をクリックします。
次のタスク
Enterprise Server をインストールする前に AppScan Source がインストールされてい
た場合には、Enterprise Server に データベースを登録する必要があります。これを
行うためのユーティリティーが AppScan Source に含まれています。これに関する
情報は、AppScan Source の「インストールと管理のガイド」の 84 ページの
『AppScan Enterprise Server への AppScan Source データベースの登録』のトピッ
クに記載されています。
Enterprise Server をアンインストールする必要がある場合は、インストールし直す前
にインストール・ディレクトリーを削除する必要があります。
マシン C への AppScan Source クライアント製品のインストー
ル
このタスクについて
AppScan Source クライアント製品および AppScan Source データベースをインスト
ールする順序は自由です。 データベースをインストールする前にクライアント製品
をインストールすることも、逆の順序でインストールすることもできます。
手順
1. IBM Security AppScan Source 製品の zip ファイルを見つけます (AppScan
Source メディア・パックにあるか、またはIBM パスポート・アドバンテージで
AppScan Source eAssembly の一部としてダウンロードした電子イメージにあり
ます)。
40
IBM Security AppScan Source: インストールと管理のガイド
2. イメージをローカル・ドライブに解凍し、生成されたディレクトリーで
setup.exe を見つけて実行します。インストール・ウィザードの起動に関する
詳細は、「IBM Security AppScan Source インストールと管理のガイド」の 67
ページの『インストール・ウィザードの開始』のトピックに記載されていま
す。
注: AppScan Source ファミリーの製品ごとにイメージがあります。 setup.exe
ファイルは、これらの zip イメージのルートにあります。
3. インストール・パネルに表示される各国語を選択できる画面が表示されます。
言語を選択し、「OK」をクリックして続行してください。
4. インストール・ウィザードを起動すると、「ようこそ - インストール・ウィザ
ード」パネルが開き、現在開いているアプリケーションをすべて終了すること
を勧めるメッセージが表示されます。 「次へ」をクリックして、インストール
手順を開始します。
5. 「コンポーネントの選択」インストール・パネルでは、「クライアント・コン
ポーネントの選択」を選択してから、インストールするコンポーネントを選択
します。
v AppScan Source for Analysis
v AppScan Source コマンド行インターフェース
v AppScan Source for Development for Eclipse、 RAD、Worklight (デフォルト
では未選択)
v Windows のみ: AppScan Source for Development for Visual Studio 2008(デフ
ォルトでは未選択)(このオプションは、インストーラーがご使用のシステム上
に Microsoft Visual Studio 2008 を検出した場合のみ使用可能)
v Windows のみ: AppScan Source for Development for Visual Studio 2010(デフ
ォルトでは未選択)(このオプションは、インストーラーがご使用のシステム上
に Microsoft Visual Studio 2010 を検出した場合のみ使用可能)
v Windows のみ: AppScan Source for Development for Visual Studio 2012(デフ
ォルトでは未選択)(このオプションは、インストーラーがご使用のシステム上
に Microsoft Visual Studio 2012 を検出した場合のみ使用可能)
デフォルトでは、「クライアント・コンポーネントの選択」を選択する場合、
AppScan Source for Development プラグイン・コンポーネントが選択解除され
て、それ以外のすべてのコンポーネントが選択されています。
インストールしたいコンポーネントを選択したら、「次へ」をクリックして次
のインストール・パネルに進みます。
6. 「インストール・ターゲットの指定」ページで、インストール・ディレクトリ
ーを指定します。オペレーティング・システムごとのデフォルトのディレクト
リーは、次のとおりです。
v 32 ビット・バージョンの Microsoft Windows:
<SYSTEMDRIVE>:¥Program Files¥IBM¥AppScanSource
v 64 ビット・バージョンの Microsoft Windows:
<SYSTEMDRIVE>:¥Program Files (x86)¥IBM¥AppScanSource
v Linux: root ユーザーの場合は、インストール・ウィザードによって
/opt/ibm/appscansource にソフトウェアがインストールされます。 root ユ
第 3 章 インストール・シナリオの例
41
ーザーではない場合は、デフォルトでは <home_directory>/AppScan_Source
にインストールされる AppScan Source for Development Eclipse プラグイン
をインストールできます。
v OS X: /Applications/AppScanSource.app
重要:
v インストール・ディレクトリー名には、英文字のみを含めることができま
す。非英文字を含む名前があるフォルダーは許可されません。
v Windows にインストールする場合、AppScan Source コンポーネントをイン
ストールするには管理者特権が付与されている必要があります。
v Linux にインストールする場合、AppScan Source サーバー・コンポーネント
をインストールするには、root 特権が必要です。
「次へ」をクリックして、次のインストール・パネルに進みます。
7. 言語パックの選択パネルで、インストールする言語パックを選択します。 言語
パックをインストールすると、AppScan Source のユーザー・インターフェース
は、オペレーティング・システムがそのロケールで動作している場合、その言
語で表示されます。
デフォルトでは、「英語」が選択されています (これは選択解除できません)。
インストール・ウィザードが英語以外の各国語で表示されている場合 (つま
り、インストール・ウィザードの「ようこそ」パネルで英語以外の言語を選択
した場合)、このパネルでもその言語が選択されます (しかし、選択解除できま
す)。
インストールする言語パックを選択したら、「次へ」をクリックして次のイン
ストール・パネルに進みます。
注: 特定の言語パックをインストールしない場合、インストール後にその言語
を追加することはできません。
8. ご使用条件の条項を確認して同意したら、「次へ」をクリックして続行しま
す。
9. 先に進む前に、インストール・オプションの概要を確認します。 選択内容を変
更する場合は、「前へ」をクリックして、前のページに戻ります。インストー
ルの選択内容に問題がなければ、「インストール」をクリックします。インス
トーラーによって、ハード・ディスクにファイルがコピーされます。
Linux サーバー・インストールの場合のみ: ファイルをコピーしたら、デーモ
ン・ユーザーを特定する必要があります。 デフォルト・ユーザー「ounce」を
作成する場合は「ユーザー 'ounce' を作成」を選択し、既存のユーザーで実行
する場合は「既存のユーザーで実行」を選択します。 (インストールでこのユ
ーザーの存在が検証されます。選択されたユーザーには有効なシェルが必要と
なることに注意してください。)
インストール中に「キャンセル」をクリックすると、そのタイミングにかかわ
らず、すべてのコンポーネントがアンインストールされます。
10. 「インストール完了」パネルでは、「IBM Security AppScan Source License
Manager の起動」を選択することにより、インストール・ウィザードの終了後
42
IBM Security AppScan Source: インストールと管理のガイド
にただちに製品のアクティブ化を開始することができます。 「完了」をクリッ
クして標準インストールを完了し、インストール・ウィザードを終了します。
11. License Manager ユーティリティーで、以下のようにします。
a. ライセンス・ファイルを適用するには、「インポート」をクリックしてから
ダウンロード済みの AppScan Source ライセンスを参照します。
b. フローティング・ライセンスを適用するには、「ライセンス・サーバーの構
成」をクリックしてから「追加」をクリックします。フローティング・ライ
センスを格納しているホスト・マシンに関する情報を入力します。
追加のアクティベーション手順については、 117 ページの『第 7 章 ソフトウ
ェアのアクティブ化』を参照してください。
マシン D への AppScan Source データベース のインストール
このタスクについて
AppScan Source クライアント製品および AppScan Source データベースをインスト
ールする順序は自由です。 データベースをインストールする前にクライアント製品
をインストールすることも、逆の順序でインストールすることもできます。
手順
1. IBM Security AppScan Source 製品の zip ファイルを見つけます (AppScan
Source メディア・パックにあるか、またはIBM パスポート・アドバンテージで
AppScan Source eAssembly の一部としてダウンロードした電子イメージにあり
ます)。
2. イメージをローカル・ドライブに解凍し、生成されたディレクトリーで
setup.exe を見つけて実行します。インストール・ウィザードの起動に関する
詳細は、「IBM Security AppScan Source インストールと管理のガイド」の 67
ページの『インストール・ウィザードの開始』のトピックに記載されていま
す。
注: AppScan Source ファミリーの製品ごとにイメージがあります。 setup.exe
ファイルは、これらの zip イメージのルートにあります。
3. インストール・パネルに表示される各国語を選択できる画面が表示されます。
言語を選択し、「OK」をクリックして続行してください。
4. インストール・ウィザードを起動すると、「ようこそ - インストール・ウィザ
ード」パネルが開き、現在開いているアプリケーションをすべて終了すること
を勧めるメッセージが表示されます。 「次へ」をクリックして、インストール
手順を開始します。
5. 「コンポーネントの選択」インストール・パネルでは、「サーバー・コンポー
ネントの選択」 を選択してから、AppScan Source データベース が選択されて
いることを確認します。「次へ」をクリックして、次のインストール・パネル
に進みます。
6. 「サーバー接続」パネルで、接続先の AppScan Enterprise Server を記述するオ
プションを選択します。
v 「このマシンで見つかったインスタンスを使用する」: このオプションは、
互換性のあるバージョンの AppScan Enterprise Server がこのマシンで検出さ
第 3 章 インストール・シナリオの例
43
れた場合に表示されます。 AppScan Source を使用する際にその Enterprise
Server に接続する場合には、このオプションを選択してください。
v 「AppScan Enterprise Server の互換性のあるローカル・インスタンスを今
すぐインストールする」: このオプションは、互換性のないバージョンの
AppScan Enterprise Server がこのマシンで検出された場合に表示されます。
互換性のあるバージョンの Enterprise Server をこのマシンにインストールす
る場合には、このオプションを選択して「次へ」をクリックしてください。
次のインストール・パネルで、Enterprise Server をダウンロードするための
オプションが示されます。
v 「AppScan Enterprise Server のローカル・インスタンスを今すぐインスト
ールする」: このオプションは、AppScan Enterprise Server がこのマシンで検
出されなかった場合に表示されます。 Enterprise Server をこのマシンにイン
ストールする場合には、このオプションを選択して「次へ」をクリックしま
す。次のインストール・パネルで、Enterprise Server をダウンロードするた
めのオプションが示されます。
v 「リモートの AppScan Server インスタンスに接続する」: このオプション
を選択すると、リモートの AppScan Enterprise Server をテストして、
AppScan Source への接続に使用できることを確認できます。サーバー接続を
テストするには、以下のフィールドにデータを入力します。
– AppScan Enterprise Server: 既存の URL 形式で、ご使用のリモート
AppScan Enterprise Server インスタンスのホスト名を指定します。
– ユーザー ID: AppScan Enterprise Server ユーザー ID を指定します。
– パスワード: AppScan Enterprise Server ユーザー ID のパスワードを指定
します。
サーバー設定を入力したら、「接続のテスト」をクリックして、AppScan
Source との接続にそのサーバーを使用できることを確認します。
v 「サーバーを指定せずに続行する」: サーバーを指定しないで先に進む場合
には、このオプションを選択します。
重要: 接続先の Enterprise Server で NIST 800-131a 準拠が有効になっている場
合は、サーバーへの接続をテストできません。この場合には、サーバーを指定
せずに進んでください。AppScan Source および Enterprise Server のインストー
ル完了後に、 84 ページの『AppScan Enterprise Server への AppScan Source デ
ータベースの登録』の説明に従ってください。その際に必ず「TLSv1.2 を強
制」オプションを適用してください。
「次へ」をクリックして、次のインストール・パネルに進みます。
注: 「サーバー接続」パネルの選択内容で、互換性がないか、存在しない
AppScan Enterprise Server のインストール済み環境を想定している場合は、
「サーバーのインストール」パネルが開きます。このパネルで、Enterprise
Server のダウンロード・オプションが順に示されます。
7. 「インストール・ターゲットの指定」ページで、インストール・ディレクトリ
ーを指定します。オペレーティング・システムごとのデフォルトのディレクト
リーは、次のとおりです。
v 32 ビット・バージョンの Microsoft Windows:
44
IBM Security AppScan Source: インストールと管理のガイド
<SYSTEMDRIVE>:¥Program Files¥IBM¥AppScanSource
v 64 ビット・バージョンの Microsoft Windows:
<SYSTEMDRIVE>:¥Program Files (x86)¥IBM¥AppScanSource
v Linux: root ユーザーの場合は、インストール・ウィザードによって
/opt/ibm/appscansource にソフトウェアがインストールされます。 root ユ
ーザーではない場合は、デフォルトでは <home_directory>/AppScan_Source
にインストールされる AppScan Source for Development Eclipse プラグイン
をインストールできます。
v OS X: /Applications/AppScanSource.app
重要:
v インストール・ディレクトリー名には、英文字のみを含めることができま
す。非英文字を含む名前があるフォルダーは許可されません。
v Windows にインストールする場合、AppScan Source コンポーネントをイン
ストールするには管理者特権が付与されている必要があります。
v Linux にインストールする場合、AppScan Source サーバー・コンポーネント
をインストールするには、root 特権が必要です。
「次へ」をクリックして、次のインストール・パネルに進みます。
8. 「サーバー・コンポーネントの選択」ページで IBM Security AppScan Source
データベース・コンポーネントをインストール対象として選択した場合は、
「データベース選択」パネルが表示されます。 このページで、「solidDB のイ
ンストール」ラジオ・ボタンを選択し、「次へ」をクリックして次のインスト
ール・パネルに進みます。
9. 「データベース選択」パネルで solidDB データベースのインストールを選択し
た場合は、「IBM solidDB 管理ユーザーの構成」パネルのプロンプトが出され
ます。 このパネルで、solidDB データベース管理者アカウントを構成します。
デフォルトのデータベース管理者のユーザー名とパスワードはどちらも dba で
す。 このユーザー名は変更できませんが、パスワードは変更できます。
注: 製品のインストールを完了した後にユーザー・パスワードを変更する方法
については、 135 ページの『インストール後の IBM solidDB ユーザー・パスワ
ードの変更』を参照してください。
「次へ」をクリックして、次のインストール・パネルに進みます。
10. 「IBM solidDB AppScan Source ユーザーの構成」パネルでは、solidDB
AppScan Source データベースのユーザー・アカウントを構成できます。 デフ
ォルト・ユーザー名 ounce とデフォルト・パスワード ounce はそのままでも
構いません。 AppScan Source データベースに対して読み取り/書き込みを行う
コンポーネントはすべてこのアカウントを使用します。
注:
v ユーザー名とパスワードを変更した場合は、IBM サポート担当員が AppScan
Source データベースにアクセスする必要がある場合に備えて、新しい構成を
記録しておいてください。
第 3 章 インストール・シナリオの例
45
v 製品のインストールを完了した後にユーザー・パスワードを変更する方法に
ついては、 135 ページの『インストール後の IBM solidDB ユーザー・パス
ワードの変更』を参照してください。
「次へ」をクリックして、次のインストール・パネルに進みます。
11. 言語パックの選択パネルで、インストールする言語パックを選択します。 言語
パックをインストールすると、AppScan Source のユーザー・インターフェース
は、オペレーティング・システムがそのロケールで動作している場合、その言
語で表示されます。
デフォルトでは、「英語」が選択されています (これは選択解除できません)。
インストール・ウィザードが英語以外の各国語で表示されている場合 (つま
り、インストール・ウィザードの「ようこそ」パネルで英語以外の言語を選択
した場合)、このパネルでもその言語が選択されます (しかし、選択解除できま
す)。
インストールする言語パックを選択したら、「次へ」をクリックして次のイン
ストール・パネルに進みます。
注: 特定の言語パックをインストールしない場合、インストール後にその言語
を追加することはできません。
12. ご使用条件の条項を確認して同意したら、「次へ」をクリックして続行しま
す。
13. 先に進む前に、インストール・オプションの概要を確認します。 選択内容を変
更する場合は、「前へ」をクリックして、前のページに戻ります。インストー
ルの選択内容に問題がなければ、「インストール」をクリックします。インス
トーラーによって、ハード・ディスクにファイルがコピーされます。
Linux サーバー・インストールの場合のみ: ファイルをコピーしたら、デーモ
ン・ユーザーを特定する必要があります。 デフォルト・ユーザー「ounce」を
作成する場合は「ユーザー 'ounce' を作成」を選択し、既存のユーザーで実行
する場合は「既存のユーザーで実行」を選択します。 (インストールでこのユ
ーザーの存在が検証されます。選択されたユーザーには有効なシェルが必要と
なることに注意してください。)
インストール中に「キャンセル」をクリックすると、そのタイミングにかかわ
らず、すべてのコンポーネントがアンインストールされます。
14. 「IBM Security AppScan Enterprise Server の構成」パネルで、データベースが
AppScan Enterprise Server に接続できるようにするための設定を指定します。
「AppScan Enterprise Server を今すぐ構成」チェック・ボックスを選択して、
以下の設定を行います。
v AppScan Enterprise Server: ご使用の AppScan Enterprise Server インスタン
スの URL を指定します (例: https://MachineB.mydomain.com:9443/asc))。
v ユーザー ID: AppScan Enterprise Server ユーザー ID を指定します。 デフ
ォルトでは、ユーザー ID は ADMIN です。これはサーバーが Jazz Team
Server 認証用に構成されている場合のデフォルトです (サーバーのインスト
ール中またはインストール後にユーザー ID を変更した場合は、この値を変
更してください)。 サーバーが Windows 認証用に構成されている場合は、サ
46
IBM Security AppScan Source: インストールと管理のガイド
ーバーにアカウントを追加したときに使用した Windows のユーザー ID を
入力してください (ユーザー ID にはフォーマット <host name>¥<user id>
を使用する必要があります)。
v パスワード: AppScan Enterprise Server ユーザー ID のパスワードを指定しま
す。
v データベース・ホスト名: AppScan Source データベースをインストールした
マシンの完全修飾ホスト名を指定します (例: MachineD.mydomain.com)。
注: このフィールドの入力内容は必ず、インストーラーを実行しているマシ
ンの完全修飾ホスト名にしてください。 この値は、インストール時にこのフ
ィールドに事前に入力されます。事前に入力された値が誤っている場合に限
って変更してください。
注: このサーバーは、AppScan Source に組み込まれているユーティリティーを
使用して、インストール後に構成することもできます。これに関する説明は、
「IBM Security AppScan Source インストールと管理のガイド」の 84 ページの
『AppScan Enterprise Server への AppScan Source データベースの登録』のト
ピックに記載されています。
「次へ」をクリックして、次のインストール・パネルに進みます。
15. 「インストール完了」パネルでは、「IBM Security AppScan Source License
Manager の起動」を選択することにより、インストール・ウィザードの終了後
にただちに製品のアクティブ化を開始することができます。 「完了」をクリッ
クして標準インストールを完了し、インストール・ウィザードを終了します。
16. License Manager ユーティリティーで、以下のようにします。
a. ライセンス・ファイルを適用するには、「インポート」をクリックしてから
ダウンロード済みの AppScan Source ライセンスを参照します。
b. フローティング・ライセンスを適用するには、「ライセンス・サーバーの構
成」をクリックしてから「追加」をクリックします。フローティング・ライ
センスを格納しているホスト・マシンに関する情報を入力します。
追加のアクティベーション手順については、 117 ページの『第 7 章 ソフトウ
ェアのアクティブ化』を参照してください。
AppScan Source へのログイン
このタスクについて
ログイン時に入力を求められるフィールドの説明については、下記のセクションを
参照してください。 詳しくは、「IBM Security AppScan Source インストールと管
理のガイド」の 129 ページの『AppScan Source 製品からの AppScan Enterprise
Server へのログイン』のトピックを参照してください。
手順
v ユーザー ID: ユーザー ID を指定します。
v パスワード: ご使用のユーザー ID のパスワードを指定します。
第 3 章 インストール・シナリオの例
47
v AppScan Enterprise Server: 既存の URL 形式で、ご使用の AppScan Enterprise
Server インスタンスのホスト名を指定します。このインストール・シナリオで
は、AppScan Enterprise Server がインストールされているマシンの完全修飾ホス
ト名を指定します。
ヒント: 完全修飾ホスト名を入力してもうまくいかない場合には、ホスト・マシ
ンの IP アドレスを入力してみてください。
AppScan Source のインストールおよび既存の AppScan Enterprise
Server との統合
このシナリオでは、AppScan Source コンポーネントが 1 台のマシンにインストー
ルされ、既存の AppScan Enterprise Server に接続するように構成されます。
このタスクについて
このシナリオは、次の 2 つのセクションに分かれます。
v 『AppScan Source のインストール』
v
53 ページの『AppScan Source へのログイン』
AppScan Source のインストール
手順
1. IBM Security AppScan Source 製品の zip ファイルを見つけます (AppScan
Source メディア・パックにあるか、またはIBM パスポート・アドバンテージで
AppScan Source eAssembly の一部としてダウンロードした電子イメージにあり
ます)。
2. イメージをローカル・ドライブに解凍し、生成されたディレクトリーで
setup.exe を見つけて実行します。インストール・ウィザードの起動に関する
詳細は、「IBM Security AppScan Source インストールと管理のガイド」の 67
ページの『インストール・ウィザードの開始』のトピックに記載されていま
す。
注: AppScan Source ファミリーの製品ごとにイメージがあります。 setup.exe
ファイルは、これらの zip イメージのルートにあります。
3. インストール・パネルに表示される各国語を選択できる画面が表示されます。
言語を選択し、「OK」をクリックして続行してください。
4. インストール・ウィザードを起動すると、「ようこそ - インストール・ウィザ
ード」パネルが開き、現在開いているアプリケーションをすべて終了すること
を勧めるメッセージが表示されます。 「次へ」をクリックして、インストール
手順を開始します。
5. 「コンポーネントの選択」インストール・パネルで、インストールするコンポ
ーネントを選択します。AppScan Source コンポーネントは、サーバー・コンポ
ーネントとクライアント・コンポーネントに分けられます。
a. AppScan Source サーバー・コンポーネントをインストールするには、「サ
ーバー・コンポーネントの選択」を選択し、インストールするコンポーネン
トを選択します。
v AppScan Source データベース
48
IBM Security AppScan Source: インストールと管理のガイド
v AppScan Source for Automation
b. AppScan Source クライアント・コンポーネントをインストールするには、
「クライアント・コンポーネントの選択」を選択し、インストールするコン
ポーネントを選択します。
v AppScan Source for Analysis
v AppScan Source コマンド行インターフェース
v AppScan Source for Development for Eclipse、 RAD、Worklight (デフォル
トでは未選択)
v Windows のみ: AppScan Source for Development for Visual Studio
2008(デフォルトでは未選択)(このオプションは、インストーラーがご使用
のシステム上に Microsoft Visual Studio 2008 を検出した場合のみ使用可
能)
v Windows のみ: AppScan Source for Development for Visual Studio
2010(デフォルトでは未選択)(このオプションは、インストーラーがご使用
のシステム上に Microsoft Visual Studio 2010 を検出した場合のみ使用可
能)
v Windows のみ: AppScan Source for Development for Visual Studio
2012(デフォルトでは未選択)(このオプションは、インストーラーがご使用
のシステム上に Microsoft Visual Studio 2012 を検出した場合のみ使用可
能)
デフォルトでは、「クライアント・コンポーネントの選択」を選択する場
合、AppScan Source for Development プラグイン・コンポーネントが選択解
除されて、それ以外のすべてのコンポーネントが選択されています。
インストールしたいコンポーネントを選択したら、「次へ」をクリックして次
のインストール・パネルに進みます。
6. 「サーバー接続」パネルで、接続先の AppScan Enterprise Server を記述するオ
プションを選択します。
v 「このマシンで見つかったインスタンスを使用する」: このオプションは、
互換性のあるバージョンの AppScan Enterprise Server がこのマシンで検出さ
れた場合に表示されます。 AppScan Source を使用する際にその Enterprise
Server に接続する場合には、このオプションを選択してください。
v 「AppScan Enterprise Server の互換性のあるローカル・インスタンスを今
すぐインストールする」: このオプションは、互換性のないバージョンの
AppScan Enterprise Server がこのマシンで検出された場合に表示されます。
互換性のあるバージョンの Enterprise Server をこのマシンにインストールす
る場合には、このオプションを選択して「次へ」をクリックしてください。
次のインストール・パネルで、Enterprise Server をダウンロードするための
オプションが示されます。
v 「AppScan Enterprise Server のローカル・インスタンスを今すぐインスト
ールする」: このオプションは、AppScan Enterprise Server がこのマシンで検
出されなかった場合に表示されます。 Enterprise Server をこのマシンにイン
ストールする場合には、このオプションを選択して「次へ」をクリックしま
す。次のインストール・パネルで、Enterprise Server をダウンロードするた
めのオプションが示されます。
第 3 章 インストール・シナリオの例
49
v 「リモートの AppScan Server インスタンスに接続する」: このオプション
を選択すると、リモートの AppScan Enterprise Server をテストして、
AppScan Source への接続に使用できることを確認できます。サーバー接続を
テストするには、以下のフィールドにデータを入力します。
– AppScan Enterprise Server: 既存の URL 形式で、ご使用のリモート
AppScan Enterprise Server インスタンスのホスト名を指定します。
– ユーザー ID: AppScan Enterprise Server ユーザー ID を指定します。
– パスワード: AppScan Enterprise Server ユーザー ID のパスワードを指定
します。
サーバー設定を入力したら、「接続のテスト」をクリックして、AppScan
Source との接続にそのサーバーを使用できることを確認します。
v 「サーバーを指定せずに続行する」: サーバーを指定しないで先に進む場合
には、このオプションを選択します。
重要: 接続先の Enterprise Server で NIST 800-131a 準拠が有効になっている場
合は、サーバーへの接続をテストできません。この場合には、サーバーを指定
せずに進んでください。AppScan Source および Enterprise Server のインストー
ル完了後に、 84 ページの『AppScan Enterprise Server への AppScan Source デ
ータベースの登録』の説明に従ってください。その際に必ず「TLSv1.2 を強
制」オプションを適用してください。
「次へ」をクリックして、次のインストール・パネルに進みます。
注: 「サーバー接続」パネルの選択内容で、互換性がないか、存在しない
AppScan Enterprise Server のインストール済み環境を想定している場合は、
「サーバーのインストール」パネルが開きます。このパネルで、Enterprise
Server のダウンロード・オプションが順に示されます。
7. 「インストール・ターゲットの指定」ページで、インストール・ディレクトリ
ーを指定します。オペレーティング・システムごとのデフォルトのディレクト
リーは、次のとおりです。
v 32 ビット・バージョンの Microsoft Windows:
<SYSTEMDRIVE>:¥Program Files¥IBM¥AppScanSource
v 64 ビット・バージョンの Microsoft Windows:
<SYSTEMDRIVE>:¥Program Files (x86)¥IBM¥AppScanSource
v Linux: root ユーザーの場合は、インストール・ウィザードによって
/opt/ibm/appscansource にソフトウェアがインストールされます。 root ユ
ーザーではない場合は、デフォルトでは <home_directory>/AppScan_Source
にインストールされる AppScan Source for Development Eclipse プラグイン
をインストールできます。
v OS X: /Applications/AppScanSource.app
重要:
v インストール・ディレクトリー名には、英文字のみを含めることができま
す。非英文字を含む名前があるフォルダーは許可されません。
v Windows にインストールする場合、AppScan Source コンポーネントをイン
ストールするには管理者特権が付与されている必要があります。
50
IBM Security AppScan Source: インストールと管理のガイド
v Linux にインストールする場合、AppScan Source サーバー・コンポーネント
をインストールするには、root 特権が必要です。
「次へ」をクリックして、次のインストール・パネルに進みます。
8. 「サーバー・コンポーネントの選択」ページで IBM Security AppScan Source
データベース・コンポーネントをインストール対象として選択した場合は、
「データベース選択」パネルが表示されます。 このページで、以下のいずれか
を選択します。
v solidDB のインストール
v 既存の Oracle 11g Server にデータベースをインストール
solidDB のインストール、または既存の Oracle データベースへのインストール
について詳しくは、「IBM Security AppScan Source インストールと管理のガイ
ド」の 72 ページの『データベースのインストールおよび AppScan Enterprise
Server への接続の構成』のトピックを参照してください。
「次へ」をクリックして、次のインストール・パネルに進みます。
9. 「データベース選択」パネルで solidDB データベースのインストールを選択し
た場合は、「IBM solidDB 管理ユーザーの構成」パネルのプロンプトが出され
ます。 このパネルで、solidDB データベース管理者アカウントを構成します。
デフォルトのデータベース管理者のユーザー名とパスワードはどちらも dba で
す。 このユーザー名は変更できませんが、パスワードは変更できます。
注: 製品のインストールを完了した後にユーザー・パスワードを変更する方法
については、 135 ページの『インストール後の IBM solidDB ユーザー・パスワ
ードの変更』を参照してください。
「次へ」をクリックして、次のインストール・パネルに進みます。
10. 「IBM solidDB AppScan Source ユーザーの構成」パネルでは、solidDB
AppScan Source データベースのユーザー・アカウントを構成できます。 デフ
ォルト・ユーザー名 ounce とデフォルト・パスワード ounce はそのままでも
構いません。 AppScan Source データベースに対して読み取り/書き込みを行う
コンポーネントはすべてこのアカウントを使用します。
注:
v ユーザー名とパスワードを変更した場合は、IBM サポート担当員が AppScan
Source データベースにアクセスする必要がある場合に備えて、新しい構成を
記録しておいてください。
v 製品のインストールを完了した後にユーザー・パスワードを変更する方法に
ついては、 135 ページの『インストール後の IBM solidDB ユーザー・パス
ワードの変更』を参照してください。
「次へ」をクリックして、次のインストール・パネルに進みます。
11. 言語パックの選択パネルで、インストールする言語パックを選択します。 言語
パックをインストールすると、AppScan Source のユーザー・インターフェース
は、オペレーティング・システムがそのロケールで動作している場合、その言
語で表示されます。
第 3 章 インストール・シナリオの例
51
デフォルトでは、「英語」が選択されています (これは選択解除できません)。
インストール・ウィザードが英語以外の各国語で表示されている場合 (つま
り、インストール・ウィザードの「ようこそ」パネルで英語以外の言語を選択
した場合)、このパネルでもその言語が選択されます (しかし、選択解除できま
す)。
インストールする言語パックを選択したら、「次へ」をクリックして次のイン
ストール・パネルに進みます。
注: 特定の言語パックをインストールしない場合、インストール後にその言語
を追加することはできません。
12. ご使用条件の条項を確認して同意したら、「次へ」をクリックして続行しま
す。
13. 先に進む前に、インストール・オプションの概要を確認します。 選択内容を変
更する場合は、「前へ」をクリックして、前のページに戻ります。インストー
ルの選択内容に問題がなければ、「インストール」をクリックします。インス
トーラーによって、ハード・ディスクにファイルがコピーされます。
Linux サーバー・インストールの場合のみ: ファイルをコピーしたら、デーモ
ン・ユーザーを特定する必要があります。 デフォルト・ユーザー「ounce」を
作成する場合は「ユーザー 'ounce' を作成」を選択し、既存のユーザーで実行
する場合は「既存のユーザーで実行」を選択します。 (インストールでこのユ
ーザーの存在が検証されます。選択されたユーザーには有効なシェルが必要と
なることに注意してください。)
インストール中に「キャンセル」をクリックすると、そのタイミングにかかわ
らず、すべてのコンポーネントがアンインストールされます。
14. 「IBM Security AppScan Enterprise Server の構成」パネルで、データベースが
AppScan Enterprise Server に接続できるようにするための設定を指定します。
デフォルトでは、データベースとサーバーが同じマシンにデフォルト設定でイ
ンストールされており、サーバーは Jazz Team Server 認証用に構成されている
と想定した値が、このインストール・パネルに事前に入力されています。 事前
に入力されている設定値が誤っている場合は、「AppScan Enterprise Server を
今すぐ構成」チェック・ボックスを選択して、以下の設定を行います。
v AppScan Enterprise Server: ご使用の AppScan Enterprise Server インスタン
スの URL を指定します。
v ユーザー ID: AppScan Enterprise Server ユーザー ID を指定します。 デフ
ォルトでは、ユーザー ID は ADMIN です。これはサーバーが Jazz Team
Server 認証用に構成されている場合のデフォルトです (サーバーのインスト
ール中またはインストール後にユーザー ID を変更した場合は、この値を変
更してください)。 サーバーが Windows 認証用に構成されている場合は、サ
ーバーにアカウントを追加したときに使用した Windows のユーザー ID を
入力してください (ユーザー ID にはフォーマット <host name>¥<user id>
を使用する必要があります)。
v パスワード: AppScan Enterprise Server ユーザー ID のパスワードを指定しま
す。
v データベース・ホスト名: AppScan Source データベース をインストールし
たマシンのホスト名を指定します。
52
IBM Security AppScan Source: インストールと管理のガイド
注: このフィールドの入力内容は必ず、インストーラーを実行しているマシ
ンの完全修飾ホスト名にしてください。 この値は、インストール時にこのフ
ィールドに事前に入力されます。事前に入力された値が誤っている場合に限
って変更してください。
注: このサーバーは、AppScan Source に組み込まれているユーティリティーを
使用して、インストール後に構成することもできます。これに関する説明は、
「IBM Security AppScan Source インストールと管理のガイド」の 84 ページの
『AppScan Enterprise Server への AppScan Source データベースの登録』のト
ピックに記載されています。
「次へ」をクリックして、次のインストール・パネルに進みます。
15. 「インストール完了」パネルでは、「IBM Security AppScan Source License
Manager の起動」を選択することにより、インストール・ウィザードの終了後
にただちに製品のアクティブ化を開始することができます。 「完了」をクリッ
クして標準インストールを完了し、インストール・ウィザードを終了します。
16. License Manager ユーティリティーで、以下のようにします。
a. ライセンス・ファイルを適用するには、「インポート」をクリックしてから
ダウンロード済みの AppScan Source ライセンスを参照します。
b. フローティング・ライセンスを適用するには、「ライセンス・サーバーの構
成」をクリックしてから「追加」をクリックします。フローティング・ライ
センスを格納しているホスト・マシンに関する情報を入力します。
追加のアクティベーション手順については、 117 ページの『第 7 章 ソフトウ
ェアのアクティブ化』を参照してください。
AppScan Source へのログイン
このタスクについて
ログイン時に入力を求められるフィールドの説明については、下記のセクションを
参照してください。 詳しくは、「IBM Security AppScan Source インストールと管
理のガイド」の 129 ページの『AppScan Source 製品からの AppScan Enterprise
Server へのログイン』のトピックを参照してください。
手順
v ユーザー ID: ユーザー ID を指定します。
v パスワード: ご使用のユーザー ID のパスワードを指定します。
v AppScan Enterprise Server: 既存の URL 形式で、ご使用の AppScan Enterprise
Server インスタンスのホスト名を指定します。AppScan Enterprise Server が同じ
マシンにある場合は、https://localhost:9443/asc/ または localhost を指定し
ます。 AppScan Enterprise Server がリモート・マシンにある場合は、それがイン
ストールされているマシンの完全修飾ホスト名を指定します。
ヒント: 完全修飾ホスト名を入力してもうまくいかない場合には、ホスト・マシ
ンの IP アドレスを入力してみてください。
第 3 章 インストール・シナリオの例
53
AppScan Source のアップグレード
手順
1. インストールの説明に従って AppScan Enterprise Server をアップグレードしま
す。 サーバーについて詳しくは、 71 ページの『AppScan Enterprise Server の
概要』を参照してください。
2. IBM Security AppScan Source 製品の zip ファイルを見つけます (AppScan
Source メディア・パックにあるか、またはIBM パスポート・アドバンテージで
AppScan Source eAssembly の一部としてダウンロードした電子イメージにあり
ます)。
3. イメージをローカル・ドライブに解凍し、生成されたディレクトリーで
setup.exe を見つけて実行します。インストール・ウィザードの起動に関する
詳細は、「IBM Security AppScan Source インストールと管理のガイド」の 67
ページの『インストール・ウィザードの開始』のトピックに記載されていま
す。
注: AppScan Source ファミリーの製品ごとにイメージがあります。 setup.exe
ファイルは、これらの zip イメージのルートにあります。
4. インストール・パネルに表示される各国語を選択できる画面が表示されます。
言語を選択し、「OK」をクリックして続行してください。
5. インストール・ウィザードを起動すると、「ようこそ - インストール済み環境
のアップグレード・ウィザード」パネルが開き、現在開いているアプリケーシ
ョンをすべて終了することを勧めるメッセージが表示されます。 「次へ」をク
リックして先に進みます。
6. 既存のインストール済み環境に AppScan Source データベースが存在する場
合、「サーバー接続」パネルが表示され、次にデータベースのアップグレード
と保守のパネルが表示されます。
7. 「サーバー接続」パネルで、接続先の AppScan Enterprise Server を記述するオ
プションを選択します。
v 「このマシンで見つかったインスタンスを使用する」: このオプションは、
互換性のあるバージョンの AppScan Enterprise Server がこのマシンで検出さ
れた場合に表示されます。 AppScan Source を使用する際にその Enterprise
Server に接続する場合には、このオプションを選択してください。
v 「AppScan Enterprise Server の互換性のあるローカル・インスタンスを今
すぐインストールする」: このオプションは、互換性のないバージョンの
AppScan Enterprise Server がこのマシンで検出された場合に表示されます。
互換性のあるバージョンの Enterprise Server をこのマシンにインストールす
る場合には、このオプションを選択して「次へ」をクリックしてください。
次のインストール・パネルで、Enterprise Server をダウンロードするための
オプションが示されます。
v 「AppScan Enterprise Server のローカル・インスタンスを今すぐインスト
ールする」: このオプションは、AppScan Enterprise Server がこのマシンで検
出されなかった場合に表示されます。 Enterprise Server をこのマシンにイン
ストールする場合には、このオプションを選択して「次へ」をクリックしま
す。次のインストール・パネルで、Enterprise Server をダウンロードするた
めのオプションが示されます。
54
IBM Security AppScan Source: インストールと管理のガイド
v 「リモートの AppScan Server インスタンスに接続する」: このオプション
を選択すると、リモートの AppScan Enterprise Server をテストして、
AppScan Source への接続に使用できることを確認できます。サーバー接続を
テストするには、以下のフィールドにデータを入力します。
– AppScan Enterprise Server: 既存の URL 形式で、ご使用のリモート
AppScan Enterprise Server インスタンスのホスト名を指定します。
– ユーザー ID: AppScan Enterprise Server ユーザー ID を指定します。
– パスワード: AppScan Enterprise Server ユーザー ID のパスワードを指定
します。
サーバー設定を入力したら、「接続のテスト」をクリックして、AppScan
Source との接続にそのサーバーを使用できることを確認します。
v 「サーバーを指定せずに続行する」: サーバーを指定しないで先に進む場合
には、このオプションを選択します。
重要: 接続先の Enterprise Server で NIST 800-131a 準拠が有効になっている場
合は、サーバーへの接続をテストできません。この場合には、サーバーを指定
せずに進んでください。AppScan Source および Enterprise Server のインストー
ル完了後に、 84 ページの『AppScan Enterprise Server への AppScan Source デ
ータベースの登録』の説明に従ってください。その際に必ず「TLSv1.2 を強
制」オプションを適用してください。
「次へ」をクリックして、次のインストール・パネルに進みます。
注: 「サーバー接続」パネルの選択内容で、互換性がないか、存在しない
AppScan Enterprise Server のインストール済み環境を想定している場合は、
「サーバーのインストール」パネルが開きます。このパネルで、Enterprise
Server のダウンロード・オプションが順に示されます。
8. 次のインストール・パネルで、インストール中に データベース が更新される
こと、およびその更新に約 30 分かかる可能性があることが示されます。 デー
タベース のアップグレード中には、インストールを取り消したりコンピュータ
ーの電源を遮断したりしないでください。「次へ」をクリックします。
9. データベースの保守を容易にするために、solidDB AppScan Source データベー
ス・ユーザー・アカウントの資格情報を入力し、データベースのアップグレー
ドを続行する準備が整ったら「次へ」をクリックします。
10. 言語パックの選択パネルで、インストールする言語パックを選択します。 言語
パックをインストールすると、AppScan Source のユーザー・インターフェース
は、オペレーティング・システムがそのロケールで動作している場合、その言
語で表示されます。
デフォルトでは、「英語」が選択されています (これは選択解除できません)。
インストール・ウィザードが英語以外の各国語で表示されている場合 (つま
り、インストール・ウィザードの「ようこそ」パネルで英語以外の言語を選択
した場合)、このパネルでもその言語が選択されます (しかし、選択解除できま
す)。
インストールする言語パックを選択したら、「次へ」をクリックして次のイン
ストール・パネルに進みます。
第 3 章 インストール・シナリオの例
55
注: 特定の言語パックをインストールしない場合、インストール後にその言語
を追加することはできません。
11. ご使用条件の条項を確認して同意したら、「次へ」をクリックして続行しま
す。
12. 先に進む前に、インストール・オプションの概要を確認します。 選択内容を変
更する場合は、「前へ」をクリックして、前のページに戻ります。インストー
ルの選択内容に問題がなければ、「インストール」をクリックします。インス
トーラーによって、ハード・ディスクにファイルがコピーされます。
Linux サーバー・インストールの場合のみ: ファイルをコピーしたら、デーモ
ン・ユーザーを特定する必要があります。 デフォルト・ユーザー「ounce」を
作成する場合は「ユーザー 'ounce' を作成」を選択し、既存のユーザーで実行
する場合は「既存のユーザーで実行」を選択します。 (インストールでこのユ
ーザーの存在が検証されます。選択されたユーザーには有効なシェルが必要と
なることに注意してください。)
インストール中に「キャンセル」をクリックすると、そのタイミングにかかわ
らず、すべてのコンポーネントがアンインストールされます。
13. 「IBM Security AppScan Enterprise Server の構成」パネルで、データベースが
AppScan Enterprise Server に接続できるようにするための設定を指定します。
デフォルトでは、データベースとサーバーが同じマシンにデフォルト設定でイ
ンストールされており、サーバーは Jazz Team Server 認証用に構成されている
と想定した値が、このインストール・パネルに事前に入力されています。 事前
に入力されている設定値が誤っている場合は、「AppScan Enterprise Server を
今すぐ構成」チェック・ボックスを選択して、以下の設定を行います。
v AppScan Enterprise Server: ご使用の AppScan Enterprise Server インスタン
スの URL を指定します。
v ユーザー ID: AppScan Enterprise Server ユーザー ID を指定します。 デフ
ォルトでは、ユーザー ID は ADMIN です。これはサーバーが Jazz Team
Server 認証用に構成されている場合のデフォルトです (サーバーのインスト
ール中またはインストール後にユーザー ID を変更した場合は、この値を変
更してください)。 サーバーが Windows 認証用に構成されている場合は、サ
ーバーにアカウントを追加したときに使用した Windows のユーザー ID を
入力してください (ユーザー ID にはフォーマット <host name>¥<user id>
を使用する必要があります)。
v パスワード: AppScan Enterprise Server ユーザー ID のパスワードを指定しま
す。
v データベース・ホスト名: AppScan Source データベース をインストールし
たマシンのホスト名を指定します。
注: このフィールドの入力内容は必ず、インストーラーを実行しているマシ
ンの完全修飾ホスト名にしてください。 この値は、インストール時にこのフ
ィールドに事前に入力されます。事前に入力された値が誤っている場合に限
って変更してください。
注: このサーバーは、AppScan Source に組み込まれているユーティリティーを
使用して、インストール後に構成することもできます。これに関する説明は、
56
IBM Security AppScan Source: インストールと管理のガイド
「IBM Security AppScan Source インストールと管理のガイド」の 84 ページの
『AppScan Enterprise Server への AppScan Source データベースの登録』のト
ピックに記載されています。
「次へ」をクリックして、次のインストール・パネルに進みます。
14. 「インストール完了」パネルでは、「IBM Security AppScan Source License
Manager の起動」を選択することにより、インストール・ウィザードの終了後
にただちに製品のアクティブ化を開始することができます。 「完了」をクリッ
クして標準インストールを完了し、インストール・ウィザードを終了します。
15. License Manager ユーティリティーで、以下のようにします。
a. ライセンス・ファイルを適用するには、「インポート」をクリックしてから
ダウンロード済みの AppScan Source ライセンスを参照します。
b. フローティング・ライセンスを適用するには、「ライセンス・サーバーの構
成」をクリックしてから「追加」をクリックします。フローティング・ライ
センスを格納しているホスト・マシンに関する情報を入力します。
追加のアクティベーション手順については、 117 ページの『第 7 章 ソフトウ
ェアのアクティブ化』を参照してください。
タスクの結果
AppScan Source バージョン 8.7 では、アプリケーション・データはインストール・
ディレクトリー以外の場所に保管されます。 AppScan Source バージョン 8.6.x 以
前からアップグレードする場合、既存のアプリケーション・データは 68 ページの
『デフォルトの AppScan Source データ・ディレクトリー』 に移動されます。さら
に、既存の (バージョン 8.7 より前の) アプリケーション・データのバックアップ
は、<data_dir>/upgrade_backup (<data_dir> は、ご使用の AppScan Source プログ
ラム・データの場所です。詳しくは、 68 ページの『インストールとユーザー・デー
タ・ファイルの場所』 を参照してください。) に保管されます。
AppScan Source バージョン 9.0 では、AppScan Source for Development Eclipse プ
ラグイン は OS X でサポートされています。OS X 上の AppScan Source バージ
ョン 8.8.x 以前からアップグレードする場合、アップグレードの完了後に AppScan
Source for Development 機能を Eclipse 環境にインストールできるようになります
(これらの機能を使用するには、適切なライセンスが必要です)。AppScan Source for
Development を Eclipse 環境にインストールする方法については、 92 ページの
『AppScan Source for Development (Eclipse プラグイン) を Eclipse およびサポート
されている Eclipse ベースの製品に適用』 を参照してください。
バージョン 8.0.x 以前の Rational AppScan Source Edition からバージ
ョン 8.6.x へのマイグレーション
バージョン 8.5 より前の Rational AppScan Source Edition (現在では AppScan
Source という名称になっています) には Rational AppScan Source Edition for Core
が組み込まれていました。このサーバー・ベースの製品は、共有情報のための中央
リポジトリーを備えていました。 バージョン 8.5 では、Rational AppScan Source
Edition for Core は Rational AppScan Enterprise Server (現在では AppScan
第 3 章 インストール・シナリオの例
57
Enterprise Server という名称になっています) によって置き換えられました。このシ
ナリオでは、バージョン 8.0.x 以前からバージョン 8.6.x へのアップグレードにつ
いて説明します。
このタスクについて
このシナリオは、以下の 4 つのセクションに分かれています。
v 『IBM Rational License Server のインストール』
v
60 ページの『Rational AppScan Enterprise Server のインストール』
v
62 ページの『Rational AppScan Source Edition のアップグレード』
v
64 ページの『Rational AppScan Source Edition へのログイン』
IBM Rational License Server のインストール
バージョン 8.5 より前では、Rational License Server は Rational AppScan Source
Edition フローティング・ライセンスをホスティングするためにのみ必要でした。
バージョン 8.5 からは、Rational AppScan Enterprise Server ライセンスをホスティ
ングするために Rational License Server が必要になりました。
このタスクについて
サポート対象バージョンの Rational License Server が既にインストールされている
場合には、Rational License Server のインストールに関する説明の部分をスキップし
て、「License Key Administrator」の起動およびライセンスのインポートに関する
説明の部分に進むことができます。 サポートされている Rational License Server の
バージョンについては、AppScan Enterprise Server システム要件
(http://www.ibm.com/support/docview.wss?uid=swg27027541) および AppScan Source
システム要件 (http://www.ibm.com/support/docview.wss?uid=swg27027486) に説明され
ています。
手順
1. Rational License Key Server イメージ (Rational AppScan Source Edition 製品
DVD にあるか、または IBM パスポート・アドバンテージ で Rational
AppScan Source Edition eAssembly の一部としてダウンロードされています) を
見つけます。
2. イメージをローカル・ドライブに解凍し、生成されたディレクトリーで
RLKSSERVER_SETUP¥disk1¥launchpad.exe を実行します。
3. Rational License Server インストーラーで、「IBM Rational License Key
Server のインストールまたは更新」をクリックします。
4. IBM Installation Manager がまだシステムにインストールされていない場合に
は、インストール用に起動されます。
a. 「パッケージのインストール」ウィザードの最初のページで 「IBM
Installation Manager」チェック・ボックスとその下のすべての項目のチェッ
ク・ボックスが選択されていることを確認します。 「次へ」をクリックし
ます。
b. 「ライセンス」ページで、ご使用条件を読みます。 ご使用条件の条項に同
意するときは、「使用条件の条項に同意します」をクリックし、「次へ」を
クリックします。
58
IBM Security AppScan Source: インストールと管理のガイド
c. 「位置」ページでインストール・ディレクトリーを指定して「次へ」をクリ
ックします。
d. インストールされる内容の概要が「概要」ページに表示されます。 選択内
容を変更する場合は、「戻る」をクリックして、前のページに戻ります。イ
ンストールの選択内容に問題がなければ、「インストール」をクリックしま
す。
e. インストールが完了したら、「Installation Manager の再起動」をクリック
します。 これによって Installation Manager が起動し、インストールできる
ようになります。
5. 「パッケージのインストール」ウィザードの最初のページで、「IBM Rational
License Key Server」チェック・ボックスとその下のすべての項目のチェック・
ボックスが選択されていることを確認します。 「次へ」をクリックします。
6. 「前提条件」ページで、すべてのアプリケーションを閉じてアンチウィルス・
ソフトウェアを無効にするように指示されます。 これらの予防タスクを完了し
てから「次へ」をクリックします。
7. 「ライセンス」ページで、ご使用条件を読みます。 ご使用条件の条項に同意す
るときは、「使用条件の条項に同意します」をクリックし、「次へ」をクリッ
クします。
8. 「位置」ページでインストール・ディレクトリーを指定して「次へ」をクリッ
クします。
9. 必要に合わせて「パッケージ・グループ」ページへの入力を行います (例え
ば、Installation Manager を使用するのが初めてであり、既存のパッケージ・グ
ループがない場合には、デフォルト設定のままにしてください)。 「次へ」を
クリックします。
10. 「翻訳」選択ページで、インストールする各国語を選択します。 「次へ」をク
リックします。
11. 「フィーチャー」ページで、すべてのフィーチャーが選択されていることを確
認し、「次へ」をクリックします。
12. インストールされる内容の概要が「概要」ページに表示されます。 選択内容を
変更する場合は、「戻る」をクリックして、前のページに戻ります。インスト
ールの選択内容に問題がなければ、「インストール」をクリックします。
13. インストールが完了したら、「終了」をクリックして IBM Installation Manager
を閉じます。
14. Windows の「スタート」メニューからIBM Rational License Key Administrator
を起動します (「すべてのプログラム」メニューから「IBM Rational」 >
「License Key Administrator」を起動します)。
15. IBM Rational License Key Administrator が開始されると、「License Key
Administrator」ウィザードでプロンプトが出されます (このウィザードが自動的
に開かない場合には、メインメニューから「ライセンス・キー (License
Keys)」 > 「ライセンス・キー・ウィザード (License Key Wizard)」を選択し
ます)。 このウィザードで「Rational ライセンス・ファイルをインポート」を
選択して「次へ」をクリックします。
第 3 章 インストール・シナリオの例
59
16. 「ライセンス・ファイルのインポート」パネルで「参照」をクリックして、
Rational AppScan Enterprise Server ライセンス・ファイルにナビゲートします。
参照ダイアログ・ボックスでそのファイルを開き、「インポート」をクリック
します。
17. インポートする 1 つまたは複数のライセンスを確認すると、「ライセンス・サ
ーバーの再起動」ダイアログ・ボックスが開きます。 「はい」をクリックし
て、ライセンス・サーバーを再始動します。 ライセンス・サーバー・サービス
が開始できない場合には、Windows のサービス管理ツールを開きます。 この
ツールで、「FLEXlm License Manager」を見つけて開始します。
Rational AppScan Enterprise Server のインストール
手順
1. Rational AppScan Enterprise Server イメージ (Rational AppScan Source Edition
製品 DVD にあるか、または IBM パスポート・アドバンテージ で Rational
AppScan Source Edition eAssembly の一部としてダウンロードされています) を
見つけます。 Rational AppScan Enterprise Server について詳しくは、「IBM
Rational AppScan Source Edition インストールと管理のガイド」内の 71 ページ
の『AppScan Enterprise Server の概要』のトピックを参照してください。
2. イメージをローカル・ドライブに解凍し、生成されたディレクトリーで
CI455ML¥AppScanEnterpriseServerSetup_8.5.exe を見つけて実行します。
3. インストーラーのウェルカム・パネルが開いたら、「次へ」をクリックし、ア
ップグレードに関する注意事項を読んで「次へ」をクリックします。
4. 「ご使用条件」パネルで、ご使用条件を読みます。 ご使用条件の条項に同意す
るときは、「使用条件の条項に同意します」をクリックし、「次へ」をクリッ
クします。
5. 「出力先フォルダー」パネルでインストール・ディレクトリーを指定し、「次
へ」をクリックします。
6. 前にインストールしたバージョンの AppScan Enterprise Server からアップグレ
ードする場合、または Enterprise Server を削除したが、バックアップ・ファイ
ルは削除していなくて、再インストールしようとしている場合、「以前の Jazz
設定の復元」パネルにより、「以前の Jazz 設定の復元」と「新しい Jazz イン
スタンスから開始」のいずれかを選択するように求めるプロンプトが表示され
ます。 デフォルト設定である「以前の Jazz 設定の復元」のままにすることが
推奨されます。 「新しい Jazz インスタンスから開始」を選択すると、
AppScan Source データベースへの接続を再構成する必要があります。パネルを
完了したら、「次へ」をクリックします。
7. 「プログラムのインストール準備の完了」パネルでは、インストールを続行す
ることも、インストールの設定を変更する場合に前のインストール・パネルに
戻ることもできます。 選択内容を変更する場合は、「戻る」をクリックして、
前のページに戻ります。 インストールの選択内容に問題がなければ、「インス
トール」をクリックします。
8. サーバーのインストールが完了したら、「セットアップ・ウィザードの完了」
パネルは、有効な SSL 証明書を使用してサーバーを保護する方法を説明するヘ
ルプにリンクします。 有効な SSL 証明書をインストールすることが推奨され
60
IBM Security AppScan Source: インストールと管理のガイド
ます (これは、この段階でも、インストールの完了後でも実行できます)。 「起
動構成ウィザードの起動」が選択されていることを確認し、「終了」をクリッ
クして、「構成」パネルに進みます。
9. 「サーバー構成ウィザード」のようこそパネルが開いたら、「次へ」をクリッ
クします。
10. 「ライセンス・サーバー」パネルで、IBM Rational License Server がインスト
ールおよび構成されたマシンの完全修飾ホスト名を指定します。 IBM Rational
License Server がローカルにインストールされている場合には、「ライセンス・
サーバー」フィールドに localhost と入力することができます。 「次へ」を
クリックします。
11. 「サーバー・コンポーネント」パネルに、構成できる 2 つのコンポーネントが
リストされます。 最初の「ユーザー管理」は、AppScan Source のために必要
です。 2 番目の 「Enterprise Console」は、高度な評価管理のためのサーバー
を使用するために用意されています。 このフィーチャーは、AppScan Source
を使用する場合にはオプションであり、高度な評価管理のためのサーバーを使
用しないときには選択解除する必要があります。 このフィーチャーを選択する
と、サーバーをインストールする際に、ここで説明されていない前提条件およ
び設定が必要になります。 インストールする 1 つ以上のプログラム・フィー
チャーを選択した後で、「次へ」をクリックします。
12. Jazz Team Server 認証のみ: Jazz Team Server 認証を選択した場合、次のパネ
ルでサーバーの管理者パスワードを指定して、作成される Jazz Team Server を
構成することができます。
a. AppScan Enterprise Server をインストールするマシンの完全修飾ホスト名を
入力します。
b. デフォルトでは、管理パスワードは ADMIN です。サーバーを初めて構成
する場合は、デフォルト値を使用してログインします。パスワードを変更す
るように求めるプロンプトが表示されます。このパネルのパスワード・フィ
ールドで新規パスワードを指定することが推奨されます。 前にサーバーを
構成して、デフォルトのパスワードを変更した場合は、そのパスワードを入
力します。
c. パスワード・プロンプトを処理したら、「次へ」をクリックして、Jazz
Team Server の構成を開始します。このプロセスには数分かかる場合があり
ます。
注:
v このフィールドに localhost を指定することはできません。
v このプロセスが失敗した場合には、Windows のサービス管理ツールを開
きます。 ツール内で、AppScan Enterprise Server – Tomcat を見つけ、
実行中でない場合は開始します。 その後で、インストール・パネルで
「次へ」をクリックして、Jazz Team Server の公開 URI の作成を再度試
みます。
ヒント: インストール中に、「JTS に接続できませんでした (could not
contact JTS)」というエラー・メッセージを受け取った場合には、URI 作成
プロセスがタイムアウトになっている可能性があります。 少し待ってから
「次へ」をクリックし直すと、問題が解決することがあります。
第 3 章 インストール・シナリオの例
61
13. インストールが完了したら、「指定完了」パネルで「終了」をクリックしま
す。 構成が完了したら、「構成完了」パネルで「終了」をクリックします。
次のタスク
Enterprise Server をインストールする前に AppScan Source がインストールされてい
た場合には、Enterprise Server に データベースを登録する必要があります。これを
行うためのユーティリティーが AppScan Source に含まれています。これに関する
情報は、AppScan Source の「インストールと管理のガイド」の 84 ページの
『AppScan Enterprise Server への AppScan Source データベースの登録』のトピッ
クに記載されています。
Enterprise Server をアンインストールする必要がある場合は、インストールし直す前
にインストール・ディレクトリーを削除する必要があります。
Rational AppScan Source Edition のアップグレード
手順
1. Rational AppScan Source Edition 製品の zip ファイルを見つけます (Rational
AppScan Source Edition メディア・パックにあるか、またはIBM パスポート・
アドバンテージで Rational AppScan Source Edition eAssembly の一部としてダ
ウンロードした電子イメージにあります)。
2. イメージをローカル・ドライブに解凍し、生成されたディレクトリーで
setup.exe を見つけて実行します。インストール・ウィザードの起動に関する
詳細は、「IBM Rational AppScan Source Edition インストールと管理のガイ
ド」の 67 ページの『インストール・ウィザードの開始』のトピックに記載さ
れています。
注: Rational AppScan Source Edition ファミリーの製品ごとにイメージがありま
す。 setup.exe ファイルは、これらの zip イメージのルートにあります。
3. インストール・パネルに表示される各国語を選択できる画面が表示されます。
言語を選択し、「OK」をクリックして続行してください。
4. インストール・ウィザードを起動すると、「ようこそ - インストール済み環境
のアップグレード・ウィザード」パネルが開き、現在開いているアプリケーシ
ョンをすべて終了することを勧めるメッセージが表示されます。 「次へ」をク
リックして先に進みます。
5. 次のインストール・パネルで、インストール中に データベース が更新される
こと、およびその更新に約 30 分かかる可能性があることが示されます。 デー
タベース のアップグレード中には、インストールを取り消したりコンピュータ
ーの電源を遮断したりしないでください。「次へ」をクリックします。
6. データベースの保守を容易にするために、solidDB AppScan Source データベー
ス・ユーザー・アカウントの資格情報を入力し、データベースのアップグレー
ドを続行する準備が整ったら「次へ」をクリックします。
7. 言語パックの選択パネルで、インストールする言語パックを選択します。 言語
パックをインストールすると、Rational AppScan Source Edition のユーザー・イ
ンターフェースは、オペレーティング・システムがそのロケールで動作してい
る場合、その言語で表示されます。
62
IBM Security AppScan Source: インストールと管理のガイド
デフォルトでは、「英語」が選択されています (これは選択解除できません)。
インストール・ウィザードが英語以外の各国語で表示されている場合 (つま
り、インストール・ウィザードの「ようこそ」パネルで英語以外の言語を選択
した場合)、このパネルでもその言語が選択されます (しかし、選択解除できま
す)。
インストールする言語パックを選択したら、「次へ」をクリックして次のイン
ストール・パネルに進みます。
注: 特定の言語パックをインストールしない場合、インストール後にその言語
を追加することはできません。
8. ご使用条件の条項を確認して同意したら、「次へ」をクリックして続行しま
す。
9. 先に進む前に、インストール・オプションの概要を確認します。 選択内容を変
更する場合は、「前へ」をクリックして、前のページに戻ります。インストー
ルの選択内容に問題がなければ、「インストール」をクリックします。インス
トーラーによって、ハード・ディスクにファイルがコピーされます。
Linux サーバー・インストールの場合のみ: ファイルをコピーしたら、デーモ
ン・ユーザーを特定する必要があります。 デフォルト・ユーザー「ounce」を
作成する場合は「ユーザー 'ounce' を作成」を選択し、既存のユーザーで実行
する場合は「既存のユーザーで実行」を選択します。 (インストールでこのユ
ーザーの存在が検証されます。選択されたユーザーには有効なシェルが必要と
なることに注意してください。)
インストール中に「キャンセル」をクリックすると、そのタイミングにかかわ
らず、すべてのコンポーネントがアンインストールされます。
10. 「Rational AppScan Enterprise Server の構成」パネルで、データベースが
Rational AppScan Enterprise Server に接続できるようにするための設定を指定し
ます。デフォルトでは、このインストール・パネルに、データベースとサーバ
ーが同じマシンにデフォルト設定でインストールされていると想定した値が事
前に入力されています。 事前に入力されている設定値が誤っている場合は、
「AppScan Enterprise Server を今すぐ構成」チェック・ボックスを選択して、
以下の設定を行います。
v AppScan Enterprise Server: ご使用の Rational AppScan Enterprise Server イ
ンスタンスの URL を指定します。
v ユーザー ID: Rational AppScan Enterprise Server ユーザー ID を指定しま
す。 デフォルトでは、ユーザー ID は ADMIN です。 サーバーのインスト
ール中またはインストール後にユーザー ID を変更した場合は、この値を変
更してください。
v パスワード: Rational AppScan Enterprise Server ユーザー ID のパスワードを
指定します。 デフォルトでは、パスワードは ADMIN です。 サーバーのイ
ンストール中またはインストール後にパスワードを変更した場合は、この値
を変更してください。
v データベース・ホスト名: Rational AppScan Source Edition データベースをイ
ンストールしたマシンのホスト名を指定します。
第 3 章 インストール・シナリオの例
63
注: このフィールドの入力内容は必ず、インストーラーを実行しているマシ
ンの完全修飾ホスト名にしてください。 この値は、インストール時にこのフ
ィールドに事前に入力されます。事前に入力された値が誤っている場合に限
って変更してください。
注: このサーバーは、Rational AppScan Source Edition に組み込まれているユー
ティリティーを使用して、インストール後に構成することもできます。これに
関する説明は、「IBM Security AppScan Source インストールと管理のガイド」
の 84 ページの『AppScan Enterprise Server への AppScan Source データベー
スの登録』のトピックに記載されています。
「次へ」をクリックして、次のインストール・パネルに進みます。
11. 「インストール完了」パネルでは、「IBM Rational AppScan Source Edition
License Manager の起動」を選択することにより、インストール・ウィザード
の終了後にただちに製品のアクティブ化を開始することができます。 「完了」
をクリックして標準インストールを完了し、インストール・ウィザードを終了
します。
12. License Manager ユーティリティーで、以下のようにします。
a. ライセンス・ファイルを適用するには、「インポート」をクリックしてから
ダウンロード済みの AppScan Source ライセンスを参照します。
b. フローティング・ライセンスを適用するには、「ライセンス・サーバーの構
成」をクリックしてから「追加」をクリックします。フローティング・ライ
センスを格納しているホスト・マシンに関する情報を入力します。
追加のアクティベーション手順については、 117 ページの『第 7 章 ソフトウ
ェアのアクティブ化』を参照してください。
次のタスク
旧バージョンの IBM Rational AppScan Source Edition からアップグレードする場合
は、ユーザーを Rational AppScan Enterprise Server にマイグレーションできます。
これに関する説明は、「IBM Security AppScan Source インストールと管理のガイ
ド」の 127 ページの『AppScan Enterprise Server への Rational AppScan Source
Edition for Core ユーザーのマイグレーション』のトピックに記載されています。
Rational AppScan Source Edition へのログイン
このタスクについて
ログイン時に入力を求められるフィールドの説明については、下記のセクションを
参照してください。 詳しくは、「IBM Security AppScan Source インストールと管
理のガイド」の 129 ページの『AppScan Source 製品からの AppScan Enterprise
Server へのログイン』のトピックを参照してください。
手順
v ユーザー ID: ユーザー ID を指定します。
v パスワード: ご使用のユーザー ID のパスワードを指定します。
v AppScan Enterprise Server: 既存の URL 形式で、ご使用の AppScan Enterprise
Server インスタンスのホスト名を指定します。このインストール・シナリオで
は、https://localhost:9443/asc/ または localhost と指定します。
64
IBM Security AppScan Source: インストールと管理のガイド
第 4 章 拡張インストールおよびアクティベーションのトピック
このセクションでは、拡張インストール・オプションおよびアクティブ化手順につ
いて説明します。
AppScan Source ソフトウェアは、IBM パスポート・アドバンテージ からダウンロ
ードされるか、またはメディア・パックとして購入されます。 アクティベーショ
ン・ライセンスは、IBM Rational License Key Center から取得します。
Windows、Linux、および OS X では自己解凍型インストール・ファイルが使用可能
です。これらのインストール・ファイルによって、以下の設定ファイルが生成され
ます。
v Windows: setup.exe
v Linux: setup.bin.gz
v OS X: setup.dmg
インストール・ウィザードを使用すると、その指示に従って、インストール先のオ
ペレーティング・システムでサポートされているすべての AppScan Source コンポ
ーネントをすぐに使用可能な状態でインストールできます。
インストールが完了したら、最後のインストール・パネルからオプションでアクテ
ィブ化 License Manager を起動できます。または、後で製品をアクティブ化するこ
ともできます。
重要: ソフトウェアを使用するには、その前にソフトウェアをアクティブ化する必
要があります。
AppScan Source コンポーネントをインストールするには、ご使用の環境およびデプ
ロイメントの要件について十分理解していることが必要です (詳細は 9 ページの
『AppScan Source のデプロイメント・モデル』 を参照)。例えば、リモートの
AppScan Enterprise Server に接続していないノートブック・コンピューター上で
AppScan Source for Analysis を実行するには、AppScan Source for Analysis と
AppScan Enterprise Server をそのノートブックにインストールする必要がありま
す。
標準デスクトップ
標準デスクトップ・インストール環境は、ネットワークから切断されているときで
も AppScan Source for Analysis を単一コンピューター上で実行するために必要なク
ライアント・コンポーネントとサーバー・コンポーネントで構成されます (このイ
ンストール・タイプは、AppScan Enterprise Server もコンピューターにインストー
ルする必要があります)。標準デスクトップ・インストールのコンポーネント・オプ
ションは、以下のとおりです。
v サーバー・コンポーネント:
– AppScan Source データベース
– AppScan Source for Automation
© Copyright IBM Corp. 2003, 2014
65
v クライアント・コンポーネント:
– AppScan Source for Analysis
– AppScan Source コマンド行インターフェース
– AppScan Source for Development for Eclipse、 RAD、Worklight (デフォルトで
は未選択)
– Windows のみ: AppScan Source for Development for Visual Studio 2008(デフォ
ルトでは未選択)(このオプションは、インストーラーがご使用のシステム上に
Microsoft Visual Studio 2008 を検出した場合のみ使用可能)
– Windows のみ: AppScan Source for Development for Visual Studio 2010(デフォ
ルトでは未選択)(このオプションは、インストーラーがご使用のシステム上に
Microsoft Visual Studio 2010 を検出した場合のみ使用可能)
– Windows のみ: AppScan Source for Development for Visual Studio 2012(デフォ
ルトでは未選択)(このオプションは、インストーラーがご使用のシステム上に
Microsoft Visual Studio 2012 を検出した場合のみ使用可能)
サーバー
インストール対象として選択できるサーバー・コンポーネントは以下のとおりで
す。
v AppScan Source データベース
v AppScan Source for Automation
クライアント
インストール対象として選択できるクライアント・コンポーネントは以下のとおり
です。
v AppScan Source for Analysis
v AppScan Source コマンド行インターフェース
v AppScan Source for Development for Eclipse、 RAD、Worklight (デフォルトでは
未選択)
v Windows のみ: AppScan Source for Development for Visual Studio 2008(デフォル
トでは未選択)(このオプションは、インストーラーがご使用のシステム上に
Microsoft Visual Studio 2008 を検出した場合のみ使用可能)
v Windows のみ: AppScan Source for Development for Visual Studio 2010(デフォル
トでは未選択)(このオプションは、インストーラーがご使用のシステム上に
Microsoft Visual Studio 2010 を検出した場合のみ使用可能)
v Windows のみ: AppScan Source for Development for Visual Studio 2012(デフォル
トでは未選択)(このオプションは、インストーラーがご使用のシステム上に
Microsoft Visual Studio 2012 を検出した場合のみ使用可能)
66
IBM Security AppScan Source: インストールと管理のガイド
インストール・ウィザードの開始
AppScan Source のインストール・ウィザードは Microsoft Windows および Linux
オペレーティング・システム上で動作します。
インストールを開始するには、以下の手順を実行します。
v Microsoft Windows: setup.exe を実行します。
v Linux: setup.bin を実行します。
v OS X の場合: setup.dmg を開いて、setup アプリケーションを実行します
ウィザードにより、ネットワーク・ポートが使用可能かどうかがチェックされま
す。 競合が検出された場合は、インストールを終了する必要があります。 必要な
ポートについて詳しくは、 134 ページの『ポート構成』を参照してください。
インストール・ウィザードを初めて起動すると、インストール・パネルに表示され
る各国語を選択できる画面が表示されます。 言語を選択し、「OK」をクリックし
て続行してください。
インストール・ウィザードを起動すると、「ようこそ - インストール・ウィザー
ド」パネルが開き、現在開いているアプリケーションをすべて終了することを勧め
るメッセージが表示されます。「次へ」をクリックして、インストール手順を開始
します (インストール・ファイルの場所については 68 ページの『インストールと
ユーザー・データ・ファイルの場所』 を参照してください)。
注: Rational AppScan Source Edition for Portfolio Manager バージョン 7.0 がインス
トールされている場合、インストール・ウィザードを使用して Rational AppScan
Source Edition バージョン 7.0 をそれ以上のバージョンにアップグレードすると、
インストール・プロセスによって Rational AppScan Source Edition for Portfolio
Manager バージョン 7.0 がコンピューターから削除されます。 この製品の削除に
進む前に、Rational AppScan Source Edition データベースのバックアップを作成する
ことをお勧めします (Rational AppScan Source Edition for Portfolio Manager バージ
ョン 7.0 の再インストールが後で必要になった場合、このデータベース・バックア
ップを使用して Rational AppScan Source Edition バージョン 7.0 を復元できま
す)。
AppScan Source バージョン 8.x のインストールでは、Rational AppScan Source
Edition for Portfolio Manager バージョン 7.0 がコンピューターから削除される前
に、プロンプトが出されます。 このときに、Rational AppScan Source Edition とと
もにインストールされた IBM solidDB のバックアップを自動的に作成するオプショ
ンを選択することができます。このオプションを選択すると、バックアップは
<install_dir>¥solidDB¥com.ouncelabs.db.<timestamp> (<install_dir> は
AppScan Source インストール済み環境がある場所です) に保存されます。例えば、
Windows (32 ビット) の場合、バックアップはデフォルトで C:¥Program
Files¥IBM¥AppScan Source¥solidDB¥com.ouncelabs.db.<timestamp> に保存されま
す。
ご使用のデータに Oracle データベースを使用している場合は、AppScan Source バ
ージョン 8.x にアップグレードする前に、データベースを手動でバックアップする
必要があります。データベースの手動バックアップについては、 86 ページの
『AppScan Source データベースのバックアップ』を参照してください。
第 4 章 拡張インストールおよびアクティベーションのトピック
67
solidDB データベースをリストアするには、 87 ページの『AppScan Source IBM
solidDB データベースのリストア』の説明に従ってください。
インストールとユーザー・データ・ファイルの場所
AppScan Source をインストールすると、ユーザー・データ・ファイルおよび構成フ
ァイルは、インストール・ディレクトリー以外の場所に保管されます。
v 『デフォルトのインストール場所』
v 『デフォルトの AppScan Source データ・ディレクトリー』
v
69 ページの『AppScan Source 一時ファイルの場所』
デフォルトのインストール場所
AppScan Source をインストールすると、ソフトウェアは以下のいずれかのデフォル
トの場所に配置されます。
v 32 ビット・バージョンの Microsoft Windows:
<SYSTEMDRIVE>:¥Program Files¥IBM¥AppScanSource
v 64 ビット・バージョンの Microsoft Windows:
<SYSTEMDRIVE>:¥Program Files (x86)¥IBM¥AppScanSource
v Linux: root ユーザーの場合は、インストール・ウィザードによって
/opt/ibm/appscansource にソフトウェアがインストールされます。 root ユーザ
ーではない場合は、デフォルトでは <home_directory>/AppScan_Source にインス
トールされる AppScan Source for Development Eclipse プラグインをインストー
ルできます。
v OS X: /Applications/AppScanSource.app
重要:
v インストール・ディレクトリー名には、英文字のみを含めることができます。非
英文字を含む名前があるフォルダーは許可されません。
v Windows にインストールする場合、AppScan Source コンポーネントをインスト
ールするには管理者特権が付与されている必要があります。
v Linux にインストールする場合、AppScan Source サーバー・コンポーネントをイ
ンストールするには、root 特権が必要です。
デフォルトの AppScan Source データ・ディレクトリー
AppScan Source データは、構成ファイル、サンプル・ファイル、およびログ・ファ
イルなどの項目からなります。AppScan Source をインストールすると、データ・フ
ァイルはデフォルトで以下の場所に配置されます。
v Microsoft Windows: <SYSTEMDRIVE>:¥ProgramData¥IBM¥AppScanSource
注: ProgramData¥ は隠しフォルダーです。このフォルダーを表示するには、エク
スプローラーの表示設定を変更して、隠しファイルと隠しフォルダーが表示され
るようにする必要があります。
v Linux: /var/opt/ibm/appscansource
v OS X: /Users/Shared/AppScanSource
68
IBM Security AppScan Source: インストールと管理のガイド
AppScan Source データ・ディレクトリーの場所を変更する方法については、
『AppScan Source データ・ディレクトリーの変更』を参照してください。
AppScan Source 一時ファイルの場所
AppScan Source 操作のなかには、一時ファイルが作成されるものがあります。これ
らの一時ファイルは、デフォルトで以下の場所に保管されます。
v Microsoft Windows: <SYSTEMDRIVE>:¥ProgramData¥IBM¥AppScanSource¥temp
注: ProgramData¥ は隠しフォルダーです。このフォルダーを表示するには、エク
スプローラーの表示設定を変更して、隠しファイルと隠しフォルダーが表示され
るようにする必要があります。
v Linux: /var/opt/ibm/appscansource/temp
v OS X: /Users/Shared/AppScanSource/temp
一時ファイルの場所は、常に、AppScan Source データ・ディレクトリー内の temp
ディレクトリーになります。データ・ディレクトリーを変更することにより、一時
ファイルの場所を変更できます。変更方法については、『AppScan Source データ・
ディレクトリーの変更』を参照してください。これによって、ユーザーが選択した
データ・ディレクトリーに temp が配置されます。
AppScan Source データ・ディレクトリーの変更
ハード・ディスク・スペースを管理するために、AppScan Source データ・ディレク
トリーの場所を変更することができます。AppScan Source のインストール後に、こ
のトピックに記載されている手順に従って、データ・ディレクトリーの場所を変更
できます。
始める前に
このタスクを実行する前に、すべての AppScan Source クライアント・アプリケー
ションを終了またはシャットダウンしていることを確認してください。AppScan
Source クライアント・アプリケーションには、以下のものがあります。
v AppScan Source for Analysis
v AppScan Source for Development (Eclipse または Visual Studio プラグイ
ン)(Windows および Linux でのみサポートされます)
v AppScan Source コマンド行インターフェース (CLI)
v AppScan Source for Automation
また、AppScan Source for Automation をインストールしている場合は、Automation
Server が以下のようにしてシャットダウンされていることを確認してください。
v Windows の場合は、IBM Security AppScan Source Automation サービスを停止
します。
v Linux の場合は、次のコマンドを実行します: /etc/init.d/ounceautod stop
v OS X の場合は、次のコマンドを実行します: launchctl stop
com.ibm.appscan.autod
第 4 章 拡張インストールおよびアクティベーションのトピック
69
手順
1. APPSCAN_SOURCE_SHARED_DATA=<data_dir> 環境変数を定義します。ここで、
<data_dir> は AppScan Source データを保管する場所です。
注:
v <data_dir> の場所は、AppScan Source がインストールされているマシンと同
じマシン上の既存の完全な絶対パスでなければなりません。
v <data_dir> ディレクトリー名には、英文字のみを含めることができます。非
英文字を含む名前があるフォルダーは許可されません。
2. AppScan Source のインストール時に作成されたデフォルトのデータ・ディレク
トリーを見つけます (データ・ディレクトリーのデフォルトの場所については、
68 ページの『デフォルトの AppScan Source データ・ディレクトリー』を参照し
てください)。
3. デフォルト・データ・ディレクトリーのコンテンツを、環境変数で指定した
<data_dir> の場所にコピーまたは移動します。
4. AppScan Source for Automation を Linux 上にインストールしている場合の
み、以下を行います。
a. /etc/init.d/ounceautod ファイルを編集します。
b. 以下の行を見つけます。
su - ounce -c
’export LD_LIBRARY_PATH="/opt/IBM/AppScan_Source/bin":$LD_LIBRARY_PATH &&
cd "/opt/IBM/AppScan_Source/bin" &&
"/opt/IBM/AppScan_Source/bin/ounceautod" -s’ >>
"/var/opt/ibm/appscansource/logs/ounceautod_output.log" 2>&1 &
この行を以下の行に置き換えます。
su - ounce -c
’export APPSCAN_SOURCE_SHARED_DATA=<new data directory path here> &&
export LD_LIBRARY_PATH="/opt/IBM/AppScan_Source/bin":$LD_LIBRARY_PATH &&
cd "/opt/IBM/AppScan_Source/bin" &&
"/opt/IBM/AppScan_Source/bin/ounceautod" -s’ >>
"<new data directory path here>/logs/ounceautod_output.log" 2>&1 &
注: 上記のコマンドは、1 行で入力してください。
c. /etc/init.d/ounceautod ファイルを保存します。
次のタスク
AppScan Source for Automation をインストールしている場合は、以下のようにして
Automation Server を開始します。
v Windows の場合は、IBM Security AppScan Source Automation サービスを開始
します。
v Linux の場合は、次のコマンドを実行します: /etc/init.d/unceautod start
v OS X の場合は、次のコマンドを実行します: launchctl start
com.ibm.appscan.autod
70
IBM Security AppScan Source: インストールと管理のガイド
AppScan Enterprise Server の概要
AppScan Enterprise Server は、AppScan Source を使用するために必要な、別個にイ
ンストール可能なコンポーネントです。各 AppScan Source 製品およびコンポーネ
ントは、AppScan Enterprise Server と通信できる必要があります。このサーバー
は、ユーザーの集中管理機能と、AppScan Source データベースを介して評価を共有
するメカニズムを提供します。さらに、管理者が AppScan Enterprise Server の
Enterprise Console コンポーネントをインストールしている場合は、Enterprise
Console に評価を公開することができます。 Enterprise Console は、評価を処理する
ためのさまざまなツール (レポート作成機能、問題管理、傾向分析、およびダッシ
ュボードなど) を提供します。
AppScan Enterprise Server を実行するために必要なハードウェアおよびソフトウェ
アについては詳しくは、http://www.ibm.com/support/docview.wss?uid=swg27027541 を
参照してください。
基本的なインストール手順は 25 ページの『第 3 章 インストール・シナリオの
例』に記載されています。 インストール手順について詳しくは、AppScan Enterprise
Server の「計画およびインストール・ガイド」を参照してください。
AppScan Source と併用する場合、AppScan Enterprise Server には、AppScan Source
インストール・ウィザードによってインストールされた IBM solidDB データベー
ス・サーバー、または AppScan Source インストール・ウィザードによって
AppScan Source のスキーマとデータが適用された既存の Oracle データベース・サ
ーバーが必要です。
重要: 接続先の AppScan Enterprise Server で NIST 800-131a 準拠が有効になってい
る場合は、トランスポート層セキュリティー (TLS) V1.2 を強制するように
AppScan Source を設定する必要があります。トランスポート層セキュリティー
(TLS) V1.2 が強制されない場合、サーバーへの接続は失敗します。
v AppScan Source データベースをインストールしていない場合 (例えば、クライア
ント・コンポーネントのみをインストールしている場合) は、
<data_dir>¥config¥ounce.ozsettings を変更することによってトランスポート層
セキュリティー (TLS) V1.2 を強制することができます (<data_dir> は、ご使用
の AppScan Source プログラム・データの場所です。詳しくは、 68 ページの『イ
ンストールとユーザー・データ・ファイルの場所』 を参照してください。)。こ
のファイルで、以下の設定を見つけます。
<Setting
name="tls_protocol_version"
read_only="false"
default_value="0"
value="0"
description="Minor Version of the TLS Connection Protocol"
type="text"
display_name="TLS Protocol Version"
display_name_id=""
available_values="0:1:2"
hidden="false"
force_upgrade="false"
/>
この設定で、value="0" を value="2" に変更して、ファイルを保存します。
第 4 章 拡張インストールおよびアクティベーションのトピック
71
v AppScan Source データベースをインストールしている場合は、AppScan Source
と Enterprise Server の両方をインストールした後、IBM Security AppScan
Enterprise Server データベース構成ツールでトランスポート層セキュリティー
(TLS) V1.2 を強制します。
IBM Security AppScan Enterprise Server データベース構成ツールについては、 84 ペ
ージの『AppScan Enterprise Server への AppScan Source データベースの登録』を
参照してください。
データベースのインストールおよび AppScan Enterprise Server への接
続の構成
AppScan Source には、AppScan Source インストール・ウィザードによってインス
トールされた IBM solidDB データベース・サーバーか、AppScan Source インスト
ール・ウィザードによって AppScan Source のスキーマとデータが適用された既存
の Oracle データベース・サーバーが必要です。 データベースには、AppScan
Source セキュリティー・ナレッジ・データベースのデータ、評価データ、およびア
プリケーション/プロジェクト・インベントリーが保持されます。データベース・サ
ーバーのインストールおよび構成のオプションの概要について、このトピックで説
明します。
重要: スキャン中は、AppScan Enterprise Server と AppScan Source のクライアント
(AppScan Source for Development 以外) はいずれも、AppScan Source データベース
(solidDB または Oracle のいずれか) への直接接続が必要です。
注: AppScan Source サーバー・コンポーネント (AppScan Source データベース な
ど) は、OS X でサポートされていません。
solidDB のインストールおよび構成
インストール・プロセス時、データベースをインストールしてから、AppScan
Enterprise Server がデータベースと接続できるように、solidDB ログイン設定を指定
します。このシナリオのインストール方法については、『IBM solidDB のインスト
ールおよび構成』を参照してください。
既存の Oracle データベースへのインストール
AppScan Source データベースのスキーマとデータを、既存の Oracle データベース
に適用します。 インストール・プロセスで、Oracle データベースのログイン設定を
指定して、AppScan Enterprise Server がデータベースに接続できるようにします。
このシナリオのインストール方法については、 77 ページの『既存の Oracle データ
ベースへのインストール』を参照してください。
IBM solidDB のインストールおよび構成
このタスクについて
このタスク・トピックでは、solidDB および AppScan Enterprise Server をインスト
ールし、構成する手順について説明します。
72
IBM Security AppScan Source: インストールと管理のガイド
手順
1. インストールの説明に従って AppScan Enterprise Server をインストールしま
す。 サーバーについて詳しくは、 71 ページの『AppScan Enterprise Server の
概要』を参照してください。
2. IBM Security AppScan Source 製品の zip ファイルを見つけます (AppScan
Source メディア・パックにあるか、またはIBM パスポート・アドバンテージで
AppScan Source eAssembly の一部としてダウンロードした電子イメージにあり
ます)。
3. イメージをローカル・ドライブに解凍し、生成されたディレクトリーで
setup.exe を見つけて実行します。インストール・ウィザードの起動に関する
詳細は、「IBM Security AppScan Source インストールと管理のガイド」の 67
ページの『インストール・ウィザードの開始』のトピックに記載されていま
す。
注: AppScan Source ファミリーの製品ごとにイメージがあります。 setup.exe
ファイルは、これらの zip イメージのルートにあります。
4. 「コンポーネントの選択」インストール・パネルでは、「サーバー・コンポー
ネントの選択」 を選択してから、AppScan Source データベース が選択されて
いることを確認します。「次へ」をクリックして、次のインストール・パネル
に進みます。
5. 「サーバー接続」パネルで、接続先の AppScan Enterprise Server を記述するオ
プションを選択します。
v 「このマシンで見つかったインスタンスを使用する」: このオプションは、
互換性のあるバージョンの AppScan Enterprise Server がこのマシンで検出さ
れた場合に表示されます。 AppScan Source を使用する際にその Enterprise
Server に接続する場合には、このオプションを選択してください。
v 「AppScan Enterprise Server の互換性のあるローカル・インスタンスを今
すぐインストールする」: このオプションは、互換性のないバージョンの
AppScan Enterprise Server がこのマシンで検出された場合に表示されます。
互換性のあるバージョンの Enterprise Server をこのマシンにインストールす
る場合には、このオプションを選択して「次へ」をクリックしてください。
次のインストール・パネルで、Enterprise Server をダウンロードするための
オプションが示されます。
v 「AppScan Enterprise Server のローカル・インスタンスを今すぐインスト
ールする」: このオプションは、AppScan Enterprise Server がこのマシンで検
出されなかった場合に表示されます。 Enterprise Server をこのマシンにイン
ストールする場合には、このオプションを選択して「次へ」をクリックしま
す。次のインストール・パネルで、Enterprise Server をダウンロードするた
めのオプションが示されます。
v 「リモートの AppScan Server インスタンスに接続する」: このオプション
を選択すると、リモートの AppScan Enterprise Server をテストして、
AppScan Source への接続に使用できることを確認できます。サーバー接続を
テストするには、以下のフィールドにデータを入力します。
– AppScan Enterprise Server: 既存の URL 形式で、ご使用のリモート
AppScan Enterprise Server インスタンスのホスト名を指定します。
– ユーザー ID: AppScan Enterprise Server ユーザー ID を指定します。
第 4 章 拡張インストールおよびアクティベーションのトピック
73
– パスワード: AppScan Enterprise Server ユーザー ID のパスワードを指定
します。
サーバー設定を入力したら、「接続のテスト」をクリックして、AppScan
Source との接続にそのサーバーを使用できることを確認します。
v 「サーバーを指定せずに続行する」: サーバーを指定しないで先に進む場合
には、このオプションを選択します。
重要: 接続先の Enterprise Server で NIST 800-131a 準拠が有効になっている場
合は、サーバーへの接続をテストできません。この場合には、サーバーを指定
せずに進んでください。AppScan Source および Enterprise Server のインストー
ル完了後に、 84 ページの『AppScan Enterprise Server への AppScan Source デ
ータベースの登録』の説明に従ってください。その際に必ず「TLSv1.2 を強
制」オプションを適用してください。
「次へ」をクリックして、次のインストール・パネルに進みます。
注: 「サーバー接続」パネルの選択内容で、互換性がないか、存在しない
AppScan Enterprise Server のインストール済み環境を想定している場合は、
「サーバーのインストール」パネルが開きます。このパネルで、Enterprise
Server のダウンロード・オプションが順に示されます。
6. 「インストール・ターゲットの指定」ページで、インストール・ディレクトリ
ーを指定します。オペレーティング・システムごとのデフォルトのディレクト
リーは、次のとおりです。
v 32 ビット・バージョンの Microsoft Windows:
<SYSTEMDRIVE>:¥Program Files¥IBM¥AppScanSource
v 64 ビット・バージョンの Microsoft Windows:
<SYSTEMDRIVE>:¥Program Files (x86)¥IBM¥AppScanSource
v Linux: root ユーザーの場合は、インストール・ウィザードによって
/opt/ibm/appscansource にソフトウェアがインストールされます。 root ユ
ーザーではない場合は、デフォルトでは <home_directory>/AppScan_Source
にインストールされる AppScan Source for Development Eclipse プラグイン
をインストールできます。
v OS X: /Applications/AppScanSource.app
重要:
v インストール・ディレクトリー名には、英文字のみを含めることができま
す。非英文字を含む名前があるフォルダーは許可されません。
v Windows にインストールする場合、AppScan Source コンポーネントをイン
ストールするには管理者特権が付与されている必要があります。
v Linux にインストールする場合、AppScan Source サーバー・コンポーネント
をインストールするには、root 特権が必要です。
「次へ」をクリックして、次のインストール・パネルに進みます。
7. 「サーバー・コンポーネントの選択」ページで IBM Security AppScan Source
データベース・コンポーネントをインストール対象として選択した場合は、
74
IBM Security AppScan Source: インストールと管理のガイド
「データベース選択」パネルが表示されます。 このページで、「solidDB のイ
ンストール」ラジオ・ボタンを選択し、「次へ」をクリックして次のインスト
ール・パネルに進みます。
8. 「データベース選択」パネルで solidDB データベースのインストールを選択し
た場合は、「IBM solidDB 管理ユーザーの構成」パネルのプロンプトが出され
ます。 このパネルで、solidDB データベース管理者アカウントを構成します。
デフォルトのデータベース管理者のユーザー名とパスワードはどちらも dba で
す。 このユーザー名は変更できませんが、パスワードは変更できます。
注: 製品のインストールを完了した後にユーザー・パスワードを変更する方法
については、 135 ページの『インストール後の IBM solidDB ユーザー・パスワ
ードの変更』を参照してください。
「次へ」をクリックして、次のインストール・パネルに進みます。
9. 「IBM solidDB AppScan Source ユーザーの構成」パネルでは、solidDB
AppScan Source データベースのユーザー・アカウントを構成できます。 デフ
ォルト・ユーザー名 ounce とデフォルト・パスワード ounce はそのままでも
構いません。 AppScan Source データベースに対して読み取り/書き込みを行う
コンポーネントはすべてこのアカウントを使用します。
注:
v ユーザー名とパスワードを変更した場合は、IBM サポート担当員が AppScan
Source データベースにアクセスする必要がある場合に備えて、新しい構成を
記録しておいてください。
v 製品のインストールを完了した後にユーザー・パスワードを変更する方法に
ついては、 135 ページの『インストール後の IBM solidDB ユーザー・パス
ワードの変更』を参照してください。
「次へ」をクリックして、次のインストール・パネルに進みます。
10. 言語パックの選択パネルで、インストールする言語パックを選択します。 言語
パックをインストールすると、AppScan Source のユーザー・インターフェース
は、オペレーティング・システムがそのロケールで動作している場合、その言
語で表示されます。
デフォルトでは、「英語」が選択されています (これは選択解除できません)。
インストール・ウィザードが英語以外の各国語で表示されている場合 (つま
り、インストール・ウィザードの「ようこそ」パネルで英語以外の言語を選択
した場合)、このパネルでもその言語が選択されます (しかし、選択解除できま
す)。
インストールする言語パックを選択したら、「次へ」をクリックして次のイン
ストール・パネルに進みます。
注: 特定の言語パックをインストールしない場合、インストール後にその言語
を追加することはできません。
11. ご使用条件の条項を確認して同意したら、「次へ」をクリックして続行しま
す。
12. 先に進む前に、インストール・オプションの概要を確認します。 選択内容を変
更する場合は、「前へ」をクリックして、前のページに戻ります。インストー
第 4 章 拡張インストールおよびアクティベーションのトピック
75
ルの選択内容に問題がなければ、「インストール」をクリックします。インス
トーラーによって、ハード・ディスクにファイルがコピーされます。
Linux サーバー・インストールの場合のみ: ファイルをコピーしたら、デーモ
ン・ユーザーを特定する必要があります。 デフォルト・ユーザー「ounce」を
作成する場合は「ユーザー 'ounce' を作成」を選択し、既存のユーザーで実行
する場合は「既存のユーザーで実行」を選択します。 (インストールでこのユ
ーザーの存在が検証されます。選択されたユーザーには有効なシェルが必要と
なることに注意してください。)
インストール中に「キャンセル」をクリックすると、そのタイミングにかかわ
らず、すべてのコンポーネントがアンインストールされます。
13. 「IBM Security AppScan Enterprise Server の構成」パネルで、データベースが
AppScan Enterprise Server に接続できるようにするための設定を指定します。
デフォルトでは、データベースとサーバーが同じマシンにデフォルト設定でイ
ンストールされており、サーバーは Jazz Team Server 認証用に構成されている
と想定した値が、このインストール・パネルに事前に入力されています。 事前
に入力されている設定値が誤っている場合は、「AppScan Enterprise Server を
今すぐ構成」チェック・ボックスを選択して、以下の設定を行います。
v AppScan Enterprise Server: ご使用の AppScan Enterprise Server インスタン
スの URL を指定します。
v ユーザー ID: AppScan Enterprise Server ユーザー ID を指定します。 デフ
ォルトでは、ユーザー ID は ADMIN です。これはサーバーが Jazz Team
Server 認証用に構成されている場合のデフォルトです (サーバーのインスト
ール中またはインストール後にユーザー ID を変更した場合は、この値を変
更してください)。 サーバーが Windows 認証用に構成されている場合は、サ
ーバーにアカウントを追加したときに使用した Windows のユーザー ID を
入力してください (ユーザー ID にはフォーマット <host name>¥<user id>
を使用する必要があります)。
v パスワード: AppScan Enterprise Server ユーザー ID のパスワードを指定しま
す。
v データベース・ホスト名: AppScan Source データベース をインストールし
たマシンのホスト名を指定します。
注: このフィールドの入力内容は必ず、インストーラーを実行しているマシ
ンの完全修飾ホスト名にしてください。 この値は、インストール時にこのフ
ィールドに事前に入力されます。事前に入力された値が誤っている場合に限
って変更してください。
注: このサーバーは、AppScan Source に組み込まれているユーティリティーを
使用して、インストール後に構成することもできます。これに関する説明は、
「IBM Security AppScan Source インストールと管理のガイド」の 84 ページの
『AppScan Enterprise Server への AppScan Source データベースの登録』のト
ピックに記載されています。
「次へ」をクリックして、次のインストール・パネルに進みます。
14. 「インストール完了」パネルでは、「IBM Security AppScan Source License
Manager の起動」を選択することにより、インストール・ウィザードの終了後
76
IBM Security AppScan Source: インストールと管理のガイド
にただちに製品のアクティブ化を開始することができます。 「完了」をクリッ
クして標準インストールを完了し、インストール・ウィザードを終了します。
15. License Manager ユーティリティーで、以下のようにします。
a. ライセンス・ファイルを適用するには、「インポート」をクリックしてから
ダウンロード済みの AppScan Source ライセンスを参照します。
b. フローティング・ライセンスを適用するには、「ライセンス・サーバーの構
成」をクリックしてから「追加」をクリックします。フローティング・ライ
センスを格納しているホスト・マシンに関する情報を入力します。
追加のアクティベーション手順については、 117 ページの『第 7 章 ソフトウ
ェアのアクティブ化』を参照してください。
既存の Oracle データベースへのインストール
このタスク・トピックでは、AppScan Source データベースのスキーマとデータを、
既存の Oracle データベースにインストールする手順について説明します。 Oracle
スキーマを作成するには、AppScan Source インストーラーを、Oracle データベース
がインストールされているマシンか、Oracle フルクライアントがインストールされ
ているマシンで実行する必要があります (インストーラーが Oracle の sqlplus お
よび sqlldr の各ユーティリティーにアクセスできる必要があります)。
手順
1. インストールの説明に従って AppScan Enterprise Server をインストールしま
す。 サーバーについて詳しくは、 71 ページの『AppScan Enterprise Server の
概要』を参照してください。
2. IBM Security AppScan Source 製品の zip ファイルを見つけます (AppScan
Source メディア・パックにあるか、またはIBM パスポート・アドバンテージで
AppScan Source eAssembly の一部としてダウンロードした電子イメージにあり
ます)。
3. イメージをローカル・ドライブに解凍し、生成されたディレクトリーで
setup.exe を見つけて実行します。インストール・ウィザードの起動に関する
詳細は、「IBM Security AppScan Source インストールと管理のガイド」の 67
ページの『インストール・ウィザードの開始』のトピックに記載されていま
す。
注: AppScan Source ファミリーの製品ごとにイメージがあります。 setup.exe
ファイルは、これらの zip イメージのルートにあります。
4. 「コンポーネントの選択」インストール・パネルでは、「サーバー・コンポー
ネントの選択」 を選択してから、AppScan Source データベース が選択されて
いることを確認します。「次へ」をクリックして、次のインストール・パネル
に進みます。
5. 「サーバー接続」パネルで、接続先の AppScan Enterprise Server を記述するオ
プションを選択します。
v 「このマシンで見つかったインスタンスを使用する」: このオプションは、
互換性のあるバージョンの AppScan Enterprise Server がこのマシンで検出さ
れた場合に表示されます。 AppScan Source を使用する際にその Enterprise
Server に接続する場合には、このオプションを選択してください。
第 4 章 拡張インストールおよびアクティベーションのトピック
77
v 「AppScan Enterprise Server の互換性のあるローカル・インスタンスを今
すぐインストールする」: このオプションは、互換性のないバージョンの
AppScan Enterprise Server がこのマシンで検出された場合に表示されます。
互換性のあるバージョンの Enterprise Server をこのマシンにインストールす
る場合には、このオプションを選択して「次へ」をクリックしてください。
次のインストール・パネルで、Enterprise Server をダウンロードするための
オプションが示されます。
v 「AppScan Enterprise Server のローカル・インスタンスを今すぐインスト
ールする」: このオプションは、AppScan Enterprise Server がこのマシンで検
出されなかった場合に表示されます。 Enterprise Server をこのマシンにイン
ストールする場合には、このオプションを選択して「次へ」をクリックしま
す。次のインストール・パネルで、Enterprise Server をダウンロードするた
めのオプションが示されます。
v 「リモートの AppScan Server インスタンスに接続する」: このオプション
を選択すると、リモートの AppScan Enterprise Server をテストして、
AppScan Source への接続に使用できることを確認できます。サーバー接続を
テストするには、以下のフィールドにデータを入力します。
– AppScan Enterprise Server: 既存の URL 形式で、ご使用のリモート
AppScan Enterprise Server インスタンスのホスト名を指定します。
– ユーザー ID: AppScan Enterprise Server ユーザー ID を指定します。
– パスワード: AppScan Enterprise Server ユーザー ID のパスワードを指定
します。
サーバー設定を入力したら、「接続のテスト」をクリックして、AppScan
Source との接続にそのサーバーを使用できることを確認します。
v 「サーバーを指定せずに続行する」: サーバーを指定しないで先に進む場合
には、このオプションを選択します。
重要: 接続先の Enterprise Server で NIST 800-131a 準拠が有効になっている場
合は、サーバーへの接続をテストできません。この場合には、サーバーを指定
せずに進んでください。AppScan Source および Enterprise Server のインストー
ル完了後に、 84 ページの『AppScan Enterprise Server への AppScan Source デ
ータベースの登録』の説明に従ってください。その際に必ず「TLSv1.2 を強
制」オプションを適用してください。
「次へ」をクリックして、次のインストール・パネルに進みます。
注: 「サーバー接続」パネルの選択内容で、互換性がないか、存在しない
AppScan Enterprise Server のインストール済み環境を想定している場合は、
「サーバーのインストール」パネルが開きます。このパネルで、Enterprise
Server のダウンロード・オプションが順に示されます。
6. 「インストール・ターゲットの指定」ページで、インストール・ディレクトリ
ーを指定します。オペレーティング・システムごとのデフォルトのディレクト
リーは、次のとおりです。
v 32 ビット・バージョンの Microsoft Windows:
<SYSTEMDRIVE>:¥Program Files¥IBM¥AppScanSource
v 64 ビット・バージョンの Microsoft Windows:
78
IBM Security AppScan Source: インストールと管理のガイド
<SYSTEMDRIVE>:¥Program Files (x86)¥IBM¥AppScanSource
v Linux: root ユーザーの場合は、インストール・ウィザードによって
/opt/ibm/appscansource にソフトウェアがインストールされます。 root ユ
ーザーではない場合は、デフォルトでは <home_directory>/AppScan_Source
にインストールされる AppScan Source for Development Eclipse プラグイン
をインストールできます。
v OS X: /Applications/AppScanSource.app
重要:
v インストール・ディレクトリー名には、英文字のみを含めることができま
す。非英文字を含む名前があるフォルダーは許可されません。
v Windows にインストールする場合、AppScan Source コンポーネントをイン
ストールするには管理者特権が付与されている必要があります。
v Linux にインストールする場合、AppScan Source サーバー・コンポーネント
をインストールするには、root 特権が必要です。
「次へ」をクリックして、次のインストール・パネルに進みます。
7. 「サーバー・コンポーネントの選択」ページで IBM Security AppScan Source
データベース・コンポーネントをインストール対象として選択した場合は、
「データベース選択」パネルが表示されます。 このページで、「既存の
Oracle 11g Server にデータベースをインストール」ラジオ・ボタンを選択し、
「次へ」をクリックして次のインストール・パネルに進みます。
8. 「サーバー・コンポーネントの選択」ページで IBM Security AppScan Source
データベース・コンポーネントをインストール対象として選択し、「データベ
ース選択」ページで「既存の Oracle 11g サーバーへのデータベースのインス
トール」を選択した場合は、「Oracle Database サーバー」パネルが表示されま
す。 このページでは、以下のことを指定します。
v 「Oracle ホーム」: Oracle がインストールされている場所を指定します。
v 「Oracle TNS ロケーション」: tnsnames.ora ファイルが存在する場所で
す。これは、デフォルトで <oracle_home>¥network¥admin です (ここで、
<oracle_home> は Oracle がインストールされている場所です。
v 「Oracle サービス名/SID」: 接続文字列または TNS 別名を指定します (例
えば、//<hostname>:<port>/<OracleServiceName> など)。 TNS 別名を指定
するには、AppScan Enterprise Server を構成する必要があります。詳しく
は、 84 ページの『Oracle TNS 別名の構成』を参照してください。
v 「システム・ユーザー名」: インストールの実行に使用する Oracle ユーザー
を指定します。 このユーザー名は、他のユーザーを作成する権限を持ってい
る必要があります。 デフォルト値は system です。
v 「システム・パスワード」: 「システム・ユーザー名」のユーザーのパスワ
ードを指定します。
v 「接続のテスト」: このボタンをクリックして、指定されているデータベー
ス設定および資格情報が正しいことを確認します。
v 「AppScan ユーザー名」: 作成する AppScan Source データベース ユーザー
を指定します。 デフォルト値は ounce です。
第 4 章 拡張インストールおよびアクティベーションのトピック
79
v 「AppScan パスワード」: 「AppScan ユーザー名」のユーザーのパスワード
を指定します。 デフォルト値は ounce です。
v 「ダイレクト・データ・ロード」チェック・ボックス: これを選択した場合
は、初期の AppScan Source データが Oracle Direct Load によってロードさ
れます。 このチェック・ボックスはデフォルトで選択されています。
v 「Sysdba ユーザー」: 「ダイレクト・データ・ロード」チェック・ボックス
が選択されている場合は、sysdba 特権を持つユーザーを指定します。デフォ
ルト値は sysdba です。
v 「Sysdba パスワード」: 「Sysdba ユーザー」のパスワードを指定します。
v 「SqlPlus のパス」: ディスク上の sqlplus 実行可能ファイルのパスを指定
します。 これは、インストール中に sql スクリプトを実行する際に使用さ
れます。 デフォルト値は sqlplus です。 sqlplus 実行可能ファイルがシス
テム・パス上にある場合は、絶対パスにする必要はありません。
v 「Sqlldr のパス」: ディスク上の sqlldr 実行可能ファイルのパスを指定し
ます。 これは、インストール中にデータをロードする際に使用されます。
デフォルト値は sqlldr です。 sqlldr 実行可能ファイルがシステム・パス
上にある場合は、絶対パスにする必要はありません。
重要: これらの設定を使用してインストールを完了すると、新しいスキーマお
よび AppScan Source データベース・ユーザーが、ご使用の Oracle データベー
スに自動的にインストールされます。 AppScan Source データベース・ユーザ
ーを手動で作成する必要はありません。
注:
v インストールの一環として、既存の Oracle データベースに AppScan Source
データベース After completing an installation スキーマとデータをインストー
ルした場合は、その後に、<data_dir>¥logs¥core_exceptions.log
(<data_dir> は、ご使用の AppScan Source プログラム・データの場所で
す。詳しくは、 68 ページの『インストールとユーザー・データ・ファイルの
場所』 を参照してください。) を参照して、インストール・エラーが発生し
ていないことを確認してください。
v AppScan Enterprise Server を Oracle データベースに接続している場合は、デ
ータベースの作成時に文字セットを UTF-8 (通常、これはデフォルトの文字
セットではありません) に設定する必要があります。
v AppScan Source のインストールには Oracle Instant Client (OCI) ライブラリ
ーが必要ですが、これらはインストールされません。詳しくは、 82 ページの
『Oracle Client (OCI) ライブラリーのインストール』を参照してください。
v 「Oracle 接続文字列」として TNS 別名を指定した場合は、
core_exceptions.log ファイルに以下のエラーが表示される可能性がありま
す。Unable to process the database transaction. Error: ORA-12154 (こ
のメッセージには、Oracle データベースからのエラー・テキストが付随する
場合があります)。この問題を解決するには、以下のいずれかのタスクを実行
します。
– Oracle tnsnames.ora ファイルを <install_dir>¥bin (<install_dir> は
AppScan Source インストール済み環境がある場所です) にコピーします。
80
IBM Security AppScan Source: インストールと管理のガイド
– <data_dir>¥config¥ounce.ozsettings (<data_dir> は、ご使用の
AppScan Source プログラム・データの場所です。詳しくは、 68 ページの
『インストールとユーザー・データ・ファイルの場所』 を参照してくだ
さい。) を開きます。このファイルで、tns_admin 設定を見つけて、
Oracle の tnsnames.ora ファイルが含まれたディレクトリーを指すように
値を変更します。ファイルへの変更内容を保存します。
「次へ」をクリックして、次のインストール・パネルに進みます。
9. 言語パックの選択パネルで、インストールする言語パックを選択します。 言語
パックをインストールすると、AppScan Source のユーザー・インターフェース
は、オペレーティング・システムがそのロケールで動作している場合、その言
語で表示されます。
デフォルトでは、「英語」が選択されています (これは選択解除できません)。
インストール・ウィザードが英語以外の各国語で表示されている場合 (つま
り、インストール・ウィザードの「ようこそ」パネルで英語以外の言語を選択
した場合)、このパネルでもその言語が選択されます (しかし、選択解除できま
す)。
インストールする言語パックを選択したら、「次へ」をクリックして次のイン
ストール・パネルに進みます。
注: 特定の言語パックをインストールしない場合、インストール後にその言語
を追加することはできません。
10. ご使用条件の条項を確認して同意したら、「次へ」をクリックして続行しま
す。
11. 先に進む前に、インストール・オプションの概要を確認します。 選択内容を変
更する場合は、「前へ」をクリックして、前のページに戻ります。インストー
ルの選択内容に問題がなければ、「インストール」をクリックします。インス
トーラーによって、ハード・ディスクにファイルがコピーされます。
Linux サーバー・インストールの場合のみ: ファイルをコピーしたら、デーモ
ン・ユーザーを特定する必要があります。 デフォルト・ユーザー「ounce」を
作成する場合は「ユーザー 'ounce' を作成」を選択し、既存のユーザーで実行
する場合は「既存のユーザーで実行」を選択します。 (インストールでこのユ
ーザーの存在が検証されます。選択されたユーザーには有効なシェルが必要と
なることに注意してください。)
インストール中に「キャンセル」をクリックすると、そのタイミングにかかわ
らず、すべてのコンポーネントがアンインストールされます。
12. 「IBM Security AppScan Enterprise Server の構成」パネルで、データベースが
AppScan Enterprise Server に接続できるようにするための設定を指定します。
デフォルトでは、データベースとサーバーが同じマシンにデフォルト設定でイ
ンストールされており、サーバーは Jazz Team Server 認証用に構成されている
と想定した値が、このインストール・パネルに事前に入力されています。 事前
に入力されている設定値が誤っている場合は、「AppScan Enterprise Server を
今すぐ構成」チェック・ボックスを選択して、以下の設定を行います。
v AppScan Enterprise Server: ご使用の AppScan Enterprise Server インスタン
スの URL を指定します。
第 4 章 拡張インストールおよびアクティベーションのトピック
81
v ユーザー ID: AppScan Enterprise Server ユーザー ID を指定します。 デフ
ォルトでは、ユーザー ID は ADMIN です。これはサーバーが Jazz Team
Server 認証用に構成されている場合のデフォルトです (サーバーのインスト
ール中またはインストール後にユーザー ID を変更した場合は、この値を変
更してください)。 サーバーが Windows 認証用に構成されている場合は、サ
ーバーにアカウントを追加したときに使用した Windows のユーザー ID を
入力してください (ユーザー ID にはフォーマット <host name>¥<user id>
を使用する必要があります)。
v パスワード: AppScan Enterprise Server ユーザー ID のパスワードを指定しま
す。
v データベース・ホスト名: AppScan Source データベース をインストールし
たマシンのホスト名を指定します。
注: このフィールドの入力内容は必ず、インストーラーを実行しているマシ
ンの完全修飾ホスト名にしてください。 この値は、インストール時にこのフ
ィールドに事前に入力されます。事前に入力された値が誤っている場合に限
って変更してください。
注: このサーバーは、AppScan Source に組み込まれているユーティリティーを
使用して、インストール後に構成することもできます。これに関する説明は、
「IBM Security AppScan Source インストールと管理のガイド」の 84 ページの
『AppScan Enterprise Server への AppScan Source データベースの登録』のト
ピックに記載されています。
「次へ」をクリックして、次のインストール・パネルに進みます。
13. 「インストール完了」パネルでは、「IBM Security AppScan Source License
Manager の起動」を選択することにより、インストール・ウィザードの終了後
にただちに製品のアクティブ化を開始することができます。 「完了」をクリッ
クして標準インストールを完了し、インストール・ウィザードを終了します。
14. License Manager ユーティリティーで、以下のようにします。
a. ライセンス・ファイルを適用するには、「インポート」をクリックしてから
ダウンロード済みの AppScan Source ライセンスを参照します。
b. フローティング・ライセンスを適用するには、「ライセンス・サーバーの構
成」をクリックしてから「追加」をクリックします。フローティング・ライ
センスを格納しているホスト・マシンに関する情報を入力します。
追加のアクティベーション手順については、 117 ページの『第 7 章 ソフトウ
ェアのアクティブ化』を参照してください。
Oracle Client (OCI) ライブラリーのインストール
AppScan Source のインストールでは、Oracle Client (OCI) ライブラリーはインスト
ールされません。 Oracle データベースを使用して AppScan Source をデプロイする
場合は、データベースと通信するために、AppScan Source 製品を実行するすべての
クライアント・マシンに Oracle クライアントがインストールされている必要があり
ます。 インストール済みの Oracle クライアントを使用するには、このトピックの
説明に従って、AppScan Source がクライアント・ライブラリーを検出できるように
することが必要です。 インストールが完了した後、
<data_dir>¥logs¥scanner_exceptions.log (Windows の場合) または
82
IBM Security AppScan Source: インストールと管理のガイド
<data_dir>/logs/scanner_exceptions.log (Linux の場合) (<data_dir> は、ご使用
の AppScan Source プログラム・データの場所です。詳しくは、 68 ページの『イン
ストールとユーザー・データ・ファイルの場所』 を参照してください。) に接続エ
ラーが示される場合、Oracle Client ライブラリーが見つからないことが原因である
可能性があります。Linux の場合は、libclntsh.so が見つからなかったことがこの
エラーで示されます。 Windows の場合は、ociw32.dll が見つからなかったことが
示されます。
Oracle クライアントがまだインストールされていない場合は、
http://www.oracle.com/technology/tech/oci/instantclient/index.html から Oracle Client を
ダウンロードできます。
Oracle スキーマを作成するには、AppScan Source インストーラーを、Oracle データ
ベースがインストールされているマシンか、Oracle フルクライアントがインストー
ルされているマシンのいずれかで実行する必要があります。これは、インストーラ
ーが Oracle sqlplus ユーティリティーおよび sqlldr ユーティリティーにアクセス
できるようにするために必要です。
Linux の場合
シンボリック・リンクがシステム上に存在しない場合は、$Oracle_Home¥lib ディレ
クトリー内に作成する必要があります。このリンクは libclntsh.so と呼ばれて、
このファイルの特定のバージョンを指す必要があります。 例:
v Oracle バージョン 11 クライアント: lrwxrwxrwx 1 oracle oracle
63
Oct 2 14:16 libclntsh.so -> /u01/app/oracle/home/lib/libclntsh.so.11.1
v Oracle バージョン 10 クライアント: lrwxrwxrwx 1 oracle oracle
63
Oct 2 14:16 libclntsh.so -> /u01/app/oracle/home/lib/libclntsh.so.10.1
また、libclntsh.so を含むディレクトリーが、インストーラーの実行前に
$LD_LIBRARY_PATH に含まれていなければなりません。
NLS_LANG および ORA_NLS10 (または ORA_NLS11) 環境変数の値も設定することが必
要な場合があります。 例:
export NLS_LANG=AMERICAN_AMERICA.AL32UTF8
export ORA_NLS10=$ORACLE_HOME/nls/data
これらの変数については、Oracle の資料を参照してください。
Automation Server: AppScan Source for Automation Server を使用している場合
は、/etc/init.d/ounceautod 開始スクリプトを編集して、ounceautod デーモンの
ユーザー・アカウントの $LD_LIBRARY_PATH 内に Oracle Client ライブラリーが確実
に含まれるようにすることが必要な場合があります。
Windows の場合
%ORACLE_HOME%/bin ディレクトリーが PATH 環境変数に含まれていなければなりま
せん。
第 4 章 拡張インストールおよびアクティベーションのトピック
83
Oracle Instant Client
Oracle Instant Client がサポートされるのは、AppScan Source スキーマが適用されて
いる既存の Oracle データベースに接続している場合のみです。
v Linux の場合: libclntsh.so シンボリック・リンクを Oracle Instant Client ライ
ブラリーと同じディレクトリーに作成する必要があり、そのディレクトリーが
$LD_LIBRARY_PATH に含まれていなければなりません。
注: Oracle Instant Client の Basic Lite バージョンを使用する場合は、ORA_NLS10
(または ORA_NLS11) 変数を設定してはなりません。
v Windows の場合: Oracle Instant Client の .dll ファイルが PATH にあることを確
認してください。
Oracle TNS 別名の構成
AppScan Source のインストール中に Oracle データベースへの接続を構成するとき
は、Oracle 接続文字列の代わりに TNS 別名を使用できます。 そのためには、この
トピックの説明に従って AppScan Enterprise Server を構成する必要があります。
このタスクについて
詳しくは、「AppScan Enterprise Serverと連携するための AppScan Source Oracle デ
ータベースの構成」トピック (http://www.ibm.com/support/knowledgecenter/SSW2NF/
welcome) を参照してください。
AppScan Enterprise Server への AppScan Source データベー
スの登録
有効な設定値が入力されていれば、AppScan Source のインストール中に AppScan
Source データベースが自動的にサーバーに登録されます。 しかし、データベースの
登録が完了しない場合や失敗する場合は、このトピックの説明に従って登録を完了
してください。
AppScan Source には、データベースをサーバーに登録できるユーティリティーが組
み込まれています。このツールは、<install_dir>¥bin¥appscanserverdbmgr.bat
(<install_dir> は AppScan Source インストール済み環境がある場所です) または
<install_dir>/bin/appscanserverdbmgr.sh (Linux の場合) です。 データベース/
サーバー接続に問題がある場合は、(サーバーおよびクライアントのコンポーネント
をインストールした後に) コマンド・プロンプトで以下のパラメーターを指定して
このツールを実行できます。
84
IBM Security AppScan Source: インストールと管理のガイド
表 2. appscanserverdbmgr.bat パラメーター
IBM Security AppScan
Enterprise Server データベ
ース構成グラフィカル・ユー
ザー・インターフェースでの
同等の指定
パラメーター
説明
なし
以下に示されているような
AppScan Enterprise Server お
よび AppScan Source データ
ベースの構成情報の入力およ
び検証を行えるグラフィカ
ル・ユーザー・インターフェ
ースを起動します。
-s
AppScan Enterprise Server イ
ンスタンスの URL。
https://localhost:9443/
asc/ など。
サーバー URL
-u
AppScan Enterprise Server お
よび AppScan Source データ
ベース・ユーザー ID。
ユーザー ID
-p
AppScan Enterprise Server お Password
よび AppScan Source データ
ベース・ユーザー ID のパス
ワード。
-forceTLSv12
AppScan Enterprise Server で TLSv1.2 を強制
NIST 800-131a 準拠が有効に
なっている場合にのみ、この
設定を true に指定します
(そうしないと、サーバー接続
が失敗します)。 AppScan
Enterprise Server で NIST
800-131a 準拠が有効になって
いない場合は、この設定を
false に指定します。
-dbClient
ご使用の AppScan Source デ
ータベースが IBM solidDB
である場合には、1 を指定し
ます。 Oracle である場合は
2 を指定します。
IBM SolidDB または Oracle
-dbConnString
データベース接続文字列
("Driver={IBM solidDB 7.0
32-bit - (ANSI)}" など)。
接続文字列
Oracle データベースを実行す
る場合、 84 ページの『Oracle
TNS 別名の構成』に従って
サーバーを構成してあれば、
TNS 別名を指定できます。
第 4 章 拡張インストールおよびアクティベーションのトピック
85
表 2. appscanserverdbmgr.bat パラメーター (続き)
IBM Security AppScan
Enterprise Server データベ
ース構成グラフィカル・ユー
ザー・インターフェースでの
同等の指定
パラメーター
説明
-dbConnInfo
データベース接続情報 ("tcp
myhostname.mydomain.com
2315" など)。
注: 完全修飾ホスト名ではな
く localhost を指定する
と、データベースに接続でき
るのはローカル・マシンのユ
ーザーのみになります。
接続情報
-dbUserid
データベース・ユーザー・ア
カウントのユーザー ID。
データベース・ユーザー ID
-dbPassword
データベース・ユーザー・ア Password
カウントのユーザー ID のパ
スワード。
グラフィカル・ユーザー・インターフェースを使用している場合は、AppScan
Enterprise Server セクション内のすべての項目を入力した後、「接続の検証」をクリ
ックします。項目を検証したら、AppScan Source データベース・セクション内の項
目に入力して、「接続の検証」をクリックします。データベース項目を検証した
ら、「変更を適用」をクリックしてデータベースをサーバーに登録します。
AppScan Source データベースのバックアップ
定常的なバックアップ手順に従うことにより、AppScan Source データベースのデー
タが失われないように保護することをお勧めします。 AppScan Source の新バージ
ョンにアップグレードする前や、旧バージョンを削除する前に AppScan Source デ
ータベース をバックアップしてください。
Oracle データベースをバックアップする場合は、Oracle データベース管理者にお問
い合わせください。
IBM solidDB データベースを手動でバックアップおよびリストアする方法について
は、http://www.ibm.com/support/docview.wss?rs=3457&uid=swg27017392 に示されてい
る「IBM solidDB 管理者ガイド」を参照してください。
注: AppScan Source バージョン 7.0 からバージョン 8.5 にアップグレードする場合
は、Rational AppScan Source Edition for Portfolio Manager バージョン 7.0 をコンピ
ューターから削除する前に、AppScan Source と共にインストールされている
solidDB のバックアップを、オプションで自動的に作成することができます。この
オプションを選択すると、バックアップは、
<install_dir>¥solidDB¥com.ouncelabs.db.<timestamp> (Windows の場合) または
<install_dir>/solidDB/com.ouncelabs.db.<timestamp> (Linux の場合)
(<install_dir> は AppScan Source インストール済み環境がある場所です) に保存
86
IBM Security AppScan Source: インストールと管理のガイド
されます。例えば、Windows (32 ビット) の場合、バックアップはデフォルトで
C:¥Program Files¥IBM¥AppScan Source¥solidDB¥com.ouncelabs.db.<timestamp> に
保存されます。
AppScan Source IBM solidDB データベースのリストア
バックアップした solidDB データベースをリストアするには、このタスク・トピッ
クの説明に従ってください。
手順
1. IBM Security AppScan Source DB サービスを停止します。
2. <install_dir>¥soliddb¥logs (Windows の場合) または <install_dir>/
soliddb/logs (Linux の場合) (<install_dir> は AppScan Source インストール
済み環境がある場所です) を見つけます。そのディレクトリー内のすべてのファ
イルを削除します。
3. データベース・バックアップを <install_dir>¥solidDB¥appscansrc (Windows
の場合) または <install_dir>/solidDB/appscansrc (Linux の場合) にコピーし
ます。
4. IBM Security AppScan Source DB サービスを始動します。
OS X への AppScan Source のインストール
このトピックでは、setup アプリケーションを OS X にインストールする方法を説
明します。
手順
1. インストール・ウィザードを開始します。
2. OS X へインストールする場合は、管理者パスワードが必要です。管理者パス
ワードを入力するには、「認証」パネル内の鍵のアイコンをクリックしてくだ
さい。
3. インストール・パネルに表示される各国語を選択できる画面が表示されます。
言語を選択し、「OK」をクリックして続行してください。
4. インストール・ウィザードを起動すると、「ようこそ - インストール・ウィザ
ード」パネルが開き、現在開いているアプリケーションをすべて終了すること
を勧めるメッセージが表示されます。 「次へ」をクリックして、インストール
手順を開始します。
5. 「コンポーネントの選択」インストール・パネルで、インストールするコンポ
ーネントを選択します。AppScan Source コンポーネントは、サーバー・コンポ
ーネントとクライアント・コンポーネントに分けられます。
a. AppScan Source サーバー・コンポーネントをインストールするには、「サ
ーバー・コンポーネントの選択」を選択し、インストールするコンポーネン
トを選択します。
v AppScan Source データベース
v AppScan Source for Automation
b. AppScan Source クライアント・コンポーネントをインストールするには、
「クライアント・コンポーネントの選択」を選択し、インストールするコン
ポーネントを選択します。
第 4 章 拡張インストールおよびアクティベーションのトピック
87
v AppScan Source for Analysis
v AppScan Source コマンド行インターフェース
v AppScan Source for Development for Eclipse、 RAD、Worklight (デフォル
トでは未選択)
v Windows のみ: AppScan Source for Development for Visual Studio
2008(デフォルトでは未選択)(このオプションは、インストーラーがご使用
のシステム上に Microsoft Visual Studio 2008 を検出した場合のみ使用可
能)
v Windows のみ: AppScan Source for Development for Visual Studio
2010(デフォルトでは未選択)(このオプションは、インストーラーがご使用
のシステム上に Microsoft Visual Studio 2010 を検出した場合のみ使用可
能)
v Windows のみ: AppScan Source for Development for Visual Studio
2012(デフォルトでは未選択)(このオプションは、インストーラーがご使用
のシステム上に Microsoft Visual Studio 2012 を検出した場合のみ使用可
能)
デフォルトでは、「クライアント・コンポーネントの選択」を選択する場
合、AppScan Source for Development プラグイン・コンポーネントが選択解
除されて、それ以外のすべてのコンポーネントが選択されています。
インストールしたいコンポーネントを選択したら、「次へ」をクリックして次
のインストール・パネルに進みます。
6. 「インストール・ターゲットの指定」ページで、インストール・ディレクトリ
ーを指定します。OS X 上でのデフォルトのディレクトリー
は、/Applications/AppScanSource.app です。
重要:
v インストール・ディレクトリー名には、英文字のみを含めることができま
す。非英文字を含む名前があるフォルダーは許可されません。
「次へ」をクリックして、次のインストール・パネルに進みます。
7. AppScan Source for Automation コンポーネントをインストール対象として選択
した場合は、「IBM Security AppScan Source for Automation の構成」パネルが
表示されます。 このページでは、以下のことを指定します。
v ホスト名: Automation Server の接続先の AppScan Enterprise Server のホスト
名またはIP アドレス
v ユーザー名: Automation Server が要求を処理するために使用する AppScan
Source ユーザー。
v パスワード: AppScan Source ユーザーのパスワード。
v パスワードの確認: パスワードを確認します。
「次へ」をクリックして、次のインストール・パネルに進みます。
注: インストール時にユーザー名とパスワードを指定しなかった場合は、イン
ストール後に、コマンド行からログイン資格情報を指定して、AppScan Source
88
IBM Security AppScan Source: インストールと管理のガイド
ユーザーとして実行するように AppScan Source for Automation を構成する必
要があります。詳しくは、「IBM Security AppScan Source Utilities ユーザー・
ガイド」を参照してください。
8. 言語パックの選択パネルで、インストールする言語パックを選択します。 言語
パックをインストールすると、AppScan Source のユーザー・インターフェース
は、オペレーティング・システムがそのロケールで動作している場合、その言
語で表示されます。
デフォルトでは、「英語」が選択されています (これは選択解除できません)。
インストール・ウィザードが英語以外の各国語で表示されている場合 (つま
り、インストール・ウィザードの「ようこそ」パネルで英語以外の言語を選択
した場合)、このパネルでもその言語が選択されます (しかし、選択解除できま
す)。
インストールする言語パックを選択したら、「次へ」をクリックして次のイン
ストール・パネルに進みます。
注: 特定の言語パックをインストールしない場合、インストール後にその言語
を追加することはできません。
9. ご使用条件の条項を確認して同意したら、「次へ」をクリックして続行しま
す。
10. 先に進む前に、インストール・オプションの概要を確認します。 選択内容を変
更する場合は、「前へ」をクリックして、前のページに戻ります。インストー
ルの選択内容に問題がなければ、「インストール」をクリックします。インス
トーラーによって、ハード・ディスクにファイルがコピーされます。
Linux サーバー・インストールの場合のみ: ファイルをコピーしたら、デーモ
ン・ユーザーを特定する必要があります。 デフォルト・ユーザー「ounce」を
作成する場合は「ユーザー 'ounce' を作成」を選択し、既存のユーザーで実行
する場合は「既存のユーザーで実行」を選択します。 (インストールでこのユ
ーザーの存在が検証されます。選択されたユーザーには有効なシェルが必要と
なることに注意してください。)
インストール中に「キャンセル」をクリックすると、そのタイミングにかかわ
らず、すべてのコンポーネントがアンインストールされます。
11. 「インストール完了」パネルでは、「IBM Security AppScan Source License
Manager の起動」を選択することにより、インストール・ウィザードの終了後
にただちに製品のアクティブ化を開始することができます。 「完了」をクリッ
クして標準インストールを完了し、インストール・ウィザードを終了します。
12. License Manager ユーティリティーで、以下のようにします。
a. ライセンス・ファイルを適用するには、「インポート」をクリックしてから
ダウンロード済みの AppScan Source ライセンスを参照します。
b. フローティング・ライセンスを適用するには、「ライセンス・サーバーの構
成」をクリックしてから「追加」をクリックします。フローティング・ライ
センスを格納しているホスト・マシンに関する情報を入力します。
追加のアクティベーション手順については、 117 ページの『第 7 章 ソフトウ
ェアのアクティブ化』を参照してください。
第 4 章 拡張インストールおよびアクティベーションのトピック
89
タスクの結果
AppScan Source for Automation をインストールしたにも関わらず、「構成」インス
トール・パネルに指定したユーザー・アカウントが存在しない場合、(インストール
後に) AppScan Enterprise Server、AppScan Source for Analysis、または AppScan
Source コマンド行インターフェース (CLI) を使用して手動でユーザー・アカウント
を作成する必要があります。 AppScan Source for Automation の機能に完全にアク
セスできるようにするには、このユーザー・アカウントに以下の許可が必要です。
v アプリケーションおよびプロジェクトの管理
– 登録
– スキャン
v 評価管理
– 評価の保存
– 評価の公開
重要: OS X へのインストール後、システム・ホスト名が解決できない場合は、
AppScan Source が起動できないことがあります。この場合、以下の警告を含むメッ
セージが表示されます。
WARNING: "IOP00710208: (INTERNAL) Unable to determine local
hostname from InetAddress.getLocalHost().getHostName()"
これは、AppScan Source がプロセス間通信に依存しているために発生します。プロ
セス間通信では、localhost とご使用のシステム・ホスト名を IP アドレスに解決
することが必要です。
この問題を解決するには、nslookup 端末コマンドを使用して、localhost とご使用
のシステム・ホスト名を解決できることを確認してください。解決できない場合、
解決できるようにするもう 1 つの方法として、/etc/hosts ファイルを変更して そ
の localhost とホスト名を組み込む方法があります。/etc/hosts ファイルでは、以
下のような操作を行います。
v ホスト名の 127.0.0.1 へのマッピングを含める
v localhost の 127.0.0.1 へのマッピングを含める
AppScan Source for Development のインストール
AppScan Source for Development プラグインは、標準の AppScan Source インスト
ール・ウィザードによりご使用のコンピューターにインストールされます。
AppScan Source 製品を新しい製品バージョンにアップグレードし、アップグレード
を AppScan Source for Development Eclipse プラグインに適用する場合は、ご使用
の Eclipse または Eclipse ベースの製品からプラグインを最初にアンインストール
する必要があります。 AppScan Source をアップグレードした後で、更新されたプ
ラグインを Eclipse またはサポートされる Eclipse ベースの製品にインストールし
直すことができます。 このことについての説明は、
94 ページの『以前にインストールしたバージョンの AppScan Source for
Development Eclipse プラグイン の新しい製品バージョンへのアップグレード』に
記載されています。
90
IBM Security AppScan Source: インストールと管理のガイド
AppScan Source 製品をフィックスパック・アップグレードの一部としてアップグレ
ードする場合は、アップグレードの前にプラグインをアンインストールする必要は
ありません。 フィックスパックのインストール (およびアップグレードされた
AppScan Source for Development プラグインの適用) についての説明は、 100 ペー
ジの『フィックスパック・インストール』に記載されています。
AppScan Source for Development (Eclipse、IBM Worklight、
および Rational Application Developer for WebSphere
Software (RAD) のプラグイン)
Eclipse または Rational Application Developer for WebSphere Software (RAD) 用の
AppScan Source for Development プラグインをインストールする場合は、これらの
プラグインをコンピューターにインストールした後、ご使用のワークベンチに適用
する必要があります。
AppScan Source for Development Eclipse プラグイン を適用するかどうかは、一部
の Eclipse ツール (Graphical Editing Framework (GEF) および Draw2d) を適用する
かどうかによって決まります。 AppScan Source for Development にサポートされて
いる Eclipse のほとんどのバージョンには、これらの機能が含まれています。含ま
れていない場合は、AppScan Source for Developmentのインストール前に、適切な
eclipse.org の更新サイトを使用して、これらのコンポーネントを Eclipse 環境に
インストールしてください。インストールされていないと、AppScan Source for
Development プラグインの Eclipse への適用中にエラーが発生する場合がありま
す。
AppScan Source 製品を新しい製品バージョンにアップグレードし、アップグレード
を AppScan Source for Development Eclipse プラグインに適用する場合は、ご使用
の Eclipse または Eclipse ベースの製品からプラグインを最初にアンインストール
する必要があります。 AppScan Source をアップグレードした後で、更新されたプ
ラグインを Eclipse またはサポートされる Eclipse ベースの製品にインストールし
直すことができます。 このことについての説明は、
94 ページの『以前にインストールしたバージョンの AppScan Source for
Development Eclipse プラグイン の新しい製品バージョンへのアップグレード』に
記載されています。
AppScan Source 製品をフィックスパック・アップグレードの一部としてアップグレ
ードする場合は、アップグレードの前にプラグインをアンインストールする必要は
ありません。 フィックスパックのインストール (およびアップグレードされた
AppScan Source for Development プラグインの適用) についての説明は、 100 ペー
ジの『フィックスパック・インストール』に記載されています。
注:
AppScan Source for Development (Eclipse プラグイン) で何らかのアクション (スキ
ャンの起動やログインが必要なアクションの開始など) を実行しようとすると、次
のエラー・メッセージ (あるいは類似のエラー・メッセージ) が表示される可能性が
あります。
ネイティブ・ライブラリー shared-win32-x64.dll にリンクできません。
ご使用のシステムに適した Microsoft Visual C++ 2010 再頒布可能パッケージの
インストールが必要な場合があります。
第 4 章 拡張インストールおよびアクティベーションのトピック
91
64 ビットの Java Runtime Environment を実行している場合、このエラーは通常 64
ビットの Microsoft Visual C++ ランタイム・ライブラリーが使用不可であることを
意味します。この問題を解決するには、Microsoft Visual C++ 2010 再頒布可能パッ
ケージをインストールしてください。http://www.microsoft.com/en-ca/download/
details.aspx?id=14632 で入手可能です。
Eclipse および Rational Application Developer for WebSphere
Software (RAD) 用プラグインのインストール
このタスクについて
AppScan Source クライアントのインストールには、Eclipse および Rational
Application Developer for WebSphere Software (RAD) コンポーネント用の AppScan
Source for Development プラグインも含まれます。このインストールでは、Eclipse
の更新と、開発環境へのプラグインの追加も必要となります。
手順
1. インストール・ウィザードを開始します。
2. クライアント・コンポーネントのリストから「AppScan Source for Development
for Eclipse、 RAD、Worklight」を選択します。
「次へ」をクリックして、次のインストール・パネルに進みます。
重要: AppScan Source for Development プラグインをインストールした後、
Eclipse または Application Developer IDE から機能を更新する必要があります。
3. 言語パックの選択パネルで、インストールする言語パックを選択します。 言語
パックをインストールすると、AppScan Source のユーザー・インターフェース
は、オペレーティング・システムがそのロケールで動作している場合、その言語
で表示されます。
デフォルトでは、「英語」が選択されています (これは選択解除できません)。
インストール・ウィザードが英語以外の各国語で表示されている場合 (つまり、
インストール・ウィザードの「ようこそ」パネルで英語以外の言語を選択した場
合)、このパネルでもその言語が選択されます (しかし、選択解除できます)。
インストールする言語パックを選択したら、「次へ」をクリックして次のインス
トール・パネルに進みます。
注: 特定の言語パックをインストールしない場合、インストール後にその言語を
追加することはできません。
4. ご使用条件の条項を確認して同意したら、「次へ」をクリックして続行します。
5. ファイルをコピーする前に、インストール・オプションの概要を確認します。
「インストール」をクリックします。 インストーラーによって、ハード・ディ
スクにファイルがコピーされます。
AppScan Source for Development (Eclipse プラグイン) を
Eclipse およびサポートされている Eclipse ベースの製品に適用
Eclipse および Eclipse ベースの製品には、新しいソフトウェアをインストールする
機能が組み込まれています。この機能を使用すると、インストールを更新したり、
92
IBM Security AppScan Source: インストールと管理のガイド
インストールに追加するプラグインを参照したりすることができます。 このトピッ
クに示す手順で、AppScan Source for Development プラグイン を Eclipse バージョ
ン 3.6、3.7、3.8、4.2、4.2.x、4.3、4.3.1、および 4.3.2 および RAD バージョン
8.0.x、8.5、8.5.1、9.0、および 9.0.1 (Windows および Linux 上) または RAD バー
ジョン 9.0 および 9.0.1 (OS X 上) に適用する方法を説明します。
手順
1. ワークベンチのメイン・メニュー・バーから、「ヘルプ」 > 「新規ソフトウェ
アのインストール」を選択します。
2. 「インストール (Install)」ダイアログ・ボックスの「使用可能なソフトウェア」
ページで、「追加」をクリックします。
3. 「サイトの追加」ダイアログ・ボックス (一部のバージョンの Eclipse では「リ
ポジトリーの追加」という名前) で、「名前」フィールドに更新サイトの名前を
指定します。
4. 以下の指示に従ってサイトを追加してください。ご使用のオペレーティング・シ
ステムによって異なります。
a. Windows および Linux の場合: 「ローカル」をクリックします。「フォルダ
ーの参照」ダイアログ・ボックスで、AppScan Source インストール・ディレ
クトリーにナビゲートします ( 68 ページの『デフォルトのインストール場
所』 を参照してください)。「OK」をクリックして「サイトの追加」ダイア
ログ・ボックスに戻り、「OK」をクリックして更新サイトを追加します。
b. OS X の場合: 「ロケーション」フィールドで、file:/Applications/
AppScanSource.app/ と入力し、「OK」をクリックして更新サイトを追加し
ます。
5. 新しいサイトがリストに表示されます。 インストール・シナリオに応じて、次
のようにこのページに入力します。
v 完全製品インストールの後でプラグインを適用する: 「IBM Security
AppScan Source Security Analysis Feature｣ローカル・サイトの横のチェッ
ク・ボックスを選択します。
AppScan Source for Development Eclipse プラグイン を適用するかどうかは、
一部の Eclipse ツール (Graphical Editing Framework (GEF) および Draw2d)
を適用するかどうかによって決まります。 AppScan Source for Development
にサポートされている Eclipse のほとんどのバージョンには、これらの機能が
含まれています。含まれていない場合は、AppScan Source for Developmentの
インストール前に、適切な eclipse.org の更新サイトを使用して、これらの
コンポーネントを Eclipse 環境にインストールしてください。インストールさ
れていないと、AppScan Source for Development プラグインの Eclipse への適
用中にエラーが発生する場合があります。
v フィックスパック・インストールの後でプラグインを適用する:
– 以前のバージョンのプラグインを既に適用している開発環境にプラグイン
を適用する場合は、「IBM Security AppScan Source Security Analysis
Feature｣ローカル・サイトの横のチェック・ボックスを選択します。
– プラグインがまだ含まれていない開発環境にプラグインを適用する場合
は、上記の『完全製品インストールの後でプラグインを適用する』の説明
に従ってください。
第 4 章 拡張インストールおよびアクティベーションのトピック
93
注: 「IBM Security AppScan Source Security Analysis Feature｣ローカル・サ
イトには、適用するフィックスパック・バージョンのクライアント・フィーチ
ャーが含まれている必要があります。この機能がない場合、ローカル・サイト
の更新または再作成が必要になることがあります。
「次へ」をクリックして、次のインストール・パネルに進みます。
6. 「インストールの詳細」ページで、インストールされる項目を確認して、「次
へ」をクリックします。
7. 「ライセンスの確認」ページで、ライセンス契約に同意して「終了」をクリック
します。
8. プロンプトが出されたら、Eclipse を再始動します。 インストールが完了する
と、「セキュリティー分析」メニューが表示されます。初めて AppScan Source
アクションを使用しようとすると、AppScan Enterprise Server を使用するかどう
かを尋ねるメッセージが開きます。サーバーを使用しない場合、フィルター、ス
キャン構成、およびカスタム・ルールなどの共有項目にアクセスできません。
この設定は後から「全般設定」で変更できます。
AppScan Source for Development の追加のインストール要件
AppScan Source for Development Eclipse プラグインには、追加の構成が必要です。
1. AppScan Source for Development Plug-in for Eclipse では、Java ランタイム環境
(JRE) バージョン 1.5 以上が必要です。 ご使用の環境が参照している JRE がこ
の要件を満たしていない場合は、Eclipse インストール・ディレクトリーにある
eclipse.ini を編集して、この要件を満たす JRE を参照するようにしてくださ
い。 eclipse.ini ファイルに対するこの変更については、
http://wiki.eclipse.org/Eclipse.ini の「Specifying the JVM」セクションを参照してく
ださい。
2. Linux 上の AppScan Source for Development Plug-in for Eclipse (Eclipse または
RAD) では、AppScan Source インストール・ディレクトリーを
LD_LIBRARY_PATH に追加する必要があります。 例えば、bash シェルを使用する
場合は、~/.bashrc の初期設定に以下の行を追加します。
export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/opt/ibm/appscansource
以前にインストールしたバージョンの AppScan Source for
Development Eclipse プラグイン の新しい製品バージョンへのアッ
プグレード
AppScan Source for Development Eclipse プラグイン を製品の新規バージョンにア
ップグレードするには、コンピューターから現在のプラグインを削除するか無効に
してから、新規バージョンをインストールする必要があります。
このタスクについて
このタスクでは、さまざまなレベルの Eclipse および Rational Application Developer
for WebSphere Software (RAD) をアップグレードして、AppScan Source for
Development Eclipse プラグイン を適用するプロセスについて説明します (完全製品
インストール)。
重要: このトピックは、フィックスパックのアップグレードには適用されません。
AppScan Source 製品をフィックスパック・アップグレードの一部としてアップグレ
94
IBM Security AppScan Source: インストールと管理のガイド
ードする場合は、アップグレードの前にプラグインをアンインストールする必要は
ありません。 フィックスパックのインストール (およびアップグレードされた
AppScan Source for Development プラグインの適用) についての説明は、 100 ペー
ジの『フィックスパック・インストール』に記載されています。
Eclipse および Rational Application Developer for WebSphere Software (RAD) の
アップグレード:
手順
1. 実行しているワークベンチに応じて、ワークベンチのメイン・メニュー・バーか
ら「ヘルプ」 > 「<product name> について」を選択します (ここで <product
name> は、アップグレードしている Eclipse ベースの製品名です) 。
2. 「情報」ダイアログ・ボックスで、「インストールの詳細」をクリックします。
3. 「詳細」ダイアログ・ボックスで、以前にインストールしたバージョンの
AppScan Source に対して追加したコンポーネントを複数選択します。
4. 「アンインストール」をクリックします。
5. アンインストール手順の完了時に、ワークベンチを再始動するように求めるプロ
ンプトが出された場合は、再始動します。
6.
92 ページの『AppScan Source for Development (Eclipse プラグイン) を Eclipse
およびサポートされている Eclipse ベースの製品に適用』のステップを実行し
て、新しい開発者用プラグインを適用します。
7. オプション: 96 ページの『AppScan Source for Development (Eclipse プラグイ
ン) 品質コンポーネントを Eclipse およびサポートされている Eclipse ベースの
製品に適用』のステップを実行して、オプションの品質コンポーネントを適用し
ます。
AppScan Source for Development(Eclipse および Rational
Application Developer for WebSphere Software (RAD) のプラグ
イン) - オプションの品質コンポーネント
Eclipse または Rational Application Developer for WebSphere Software (RAD) の
AppScan Source for Development プラグインを Windows または Linux にインスト
ールした後、オプションの品質分析コンポーネントのインストールを選択できま
す。このコンポーネントは、コード・レビュー、ソフトウェア・メトリック、およ
びデータ・フロー分析のためのに豊富な分析ルールのセットを提供します。
注: 品質スキャンは OS X ではサポートされません。
AppScan Source for Development 品質コンポーネントのインストールは、セキュリ
ティー分析コンポーネントをインストールした後に行う必要があります。
AppScan Source for Development 品質コンポーネントの適用には、Eclipse 開発プラ
ットフォームのインストールおよび Eclipse CDT の適用が必要です。AppScan
Source for Development 品質コンポーネントのインストール前に、これらの要件が
満たされていることを確認してください。要件が満たされていないと、AppScan
Source for Development 品質コンポーネントの Eclipse への適用中にエラーが発生す
る場合があります。
第 4 章 拡張インストールおよびアクティベーションのトピック
95
AppScan Source for Development (Eclipse プラグイン) 品質コンポーネントを
Eclipse およびサポートされている Eclipse ベースの製品に適用:
AppScan Source for Development (Eclipse プラグイン) 品質コンポーネントは、セキ
ュリティー・コンポーネントと同じ方法で適用されます。
手順
1. ワークベンチのメイン・メニュー・バーから、「ヘルプ」 > 「新規ソフトウェ
アのインストール」を選択します。
2. 「インストール (Install)」ダイアログ・ボックスの「使用可能なソフトウェア」
ページで、「追加」をクリックします。
3. 「サイトの追加」ダイアログ・ボックスで、「名前」フィールドに更新サイトの
名前を指定し、「ローカル」をクリックします。
注: 一部のバージョンの Eclipse では、このダイアログ・ボックスは「リポジト
リーの追加」という名前になります。
4. 「フォルダーの参照」ダイアログ・ボックスで、<install_dir>¥quality
(<install_dir> は AppScan Source インストール済み環境がある場所です) にナ
ビゲートします。「OK」をクリックして「サイトの追加」ダイアログ・ボック
スに戻り、「OK」をクリックして更新サイトを追加します。
5. 新しいサイトがリストに表示されます。 インストール・シナリオに応じて、次
のようにこのページに入力します。
v 完全製品インストールの後でプラグインを適用する: 「AppScan Source 品質
分析」 ローカル・サイトの横のチェック・ボックスを選択して、必要なコン
ポーネントのチェック・ボックスをすべて選択します。
AppScan Source for Development 品質コンポーネントの適用には、Eclipse 開
発プラットフォームのインストールおよび Eclipse CDT の適用が必要です。
AppScan Source for Development 品質コンポーネントのインストール前に、こ
れらの要件が満たされていることを確認してください。要件が満たされていな
いと、AppScan Source for Development 品質コンポーネントの Eclipse への適
用中にエラーが発生する場合があります。
v フィックスパック・インストールの後でプラグインを適用する:
– 以前のバージョンのプラグインを既に適用している開発環境にプラグイン
を適用する場合は、「AppScan Source 品質分析」 ローカル・サイトの横
のチェック・ボックスを選択して、必要なコンポーネントのチェック・ボ
ックスをすべて選択します。
– プラグインがまだ含まれていない開発環境にプラグインを適用する場合
は、上記の『完全製品インストールの後でプラグインを適用する』の説明
に従ってください。
注: 「AppScan Source 品質分析」ローカル・サイトには、適用するフィック
スパックのクライアント・フィーチャーが含まれている必要があります。この
機能がない場合、ローカル・サイトの更新または再作成が必要になることがあ
ります。
「次へ」をクリックして、次のインストール・パネルに進みます。
96
IBM Security AppScan Source: インストールと管理のガイド
6. 「インストールの詳細」ページで、インストールされる項目を確認して、「次
へ」をクリックします。
7. 「ライセンスの確認」ページで、ライセンス契約に同意して「終了」をクリック
します。
8. プロンプトが出されたら、Eclipse を再始動します。
AppScan Source for Development Plug-in for Visual Studio
のインストール
このタスクについて
重要: AppScan Source for Development Plug-in for Visual Studio をインストールす
る前に、Visual Studio 2008、Visual Studio 2010、または Visual Studio 2012 がコン
ピューターにインストールされている必要があります。AppScan Source for
Development plug-in for Visual Studio は Windows でのみサポートされています。
AppScan Source のセットアップ・ウィザードによって、前に示したいずれかのバー
ジョンの Visual Studio がインストール済みであることが検出された場合は、その
Visual Studio バージョンに対応する AppScan Source for Development プラグインが
インストール・オプションとして表示されます。
手順
1. Visual Studio が閉じられていることを確認してください。 Visual Studio は、
AppScan Source for Development のインストール中に稼働している場合、そのイ
ンストールが完了したら再始動する必要があります。
2. インストール・ウィザードを開始します。
3. クライアント・コンポーネントのリストから適切なバージョンのプラグインを選
択します。
v AppScan Source for Development for Visual Studio 2008
v AppScan Source for Development for Visual Studio 2010
v AppScan Source for Development for Visual Studio 2008
注:
v インストール・ウィザードを実行しているマシンにインストールされている
Visual Studio のバージョンに対応するオプションのみ選択可能です。 例え
ば、Visual Studio 2008 と Visual Studio 2010 はクライアント・マシン上にあ
るが、Visual Studio 2012 はない場合、インストール・ウィザードで選択でき
るのは、「AppScan Source for Development for Visual Studio 2008」および
「AppScan Source for Development for Visual Studio 2010」をインストール
するオプションのみです。
v インストール・ウィザードが検出した Visual Studio のバージョンが複数ある
場合は、複数のバージョンに対してプラグインをインストールすることを選択
できます。
「次へ」をクリックして、次のインストール・パネルに進みます。
第 4 章 拡張インストールおよびアクティベーションのトピック
97
4. 言語パックの選択パネルで、インストールする言語パックを選択します。 言語
パックをインストールすると、AppScan Source のユーザー・インターフェース
は、オペレーティング・システムがそのロケールで動作している場合、その言語
で表示されます。
デフォルトでは、「英語」が選択されています (これは選択解除できません)。
インストール・ウィザードが英語以外の各国語で表示されている場合 (つまり、
インストール・ウィザードの「ようこそ」パネルで英語以外の言語を選択した場
合)、このパネルでもその言語が選択されます (しかし、選択解除できます)。
インストールする言語パックを選択したら、「次へ」をクリックして次のインス
トール・パネルに進みます。
注: 特定の言語パックをインストールしない場合、インストール後にその言語を
追加することはできません。
5. ご使用条件の条項を確認して同意したら、「次へ」をクリックして続行します。
6. ファイルをコピーする前に、インストール・オプションの概要を確認します。
「インストール」をクリックします。 インストーラーによって、ハード・ディ
スクにファイルがコピーされます。
AppScan Source for Automation のインストール
このタスクについて
AppScan Source for Automation は、インストール・パッケージに含まれるオプショ
ン・コンポーネントです。
重要: AppScan Source for Automation をインストールするには、root/管理者特権が
必要です。
手順
1. インストール・ウィザードを開始します。
2. 「サーバー・コンポーネントの選択」を選択し、インストールするコンポーネン
トとして「AppScan Source for Automation」を選択します。
「次へ」をクリックして、次のインストール・パネルに進みます。
3. インストール・ディレクトリーを指定します。
v 32 ビット・バージョンの Microsoft Windows:
<SYSTEMDRIVE>:¥Program Files¥IBM¥AppScanSource
v 64 ビット・バージョンの Microsoft Windows:
<SYSTEMDRIVE>:¥Program Files (x86)¥IBM¥AppScanSource
v Linux: root ユーザーの場合は、インストール・ウィザードによって
/opt/ibm/appscansource にソフトウェアがインストールされます。 root ユー
ザーではない場合は、デフォルトでは <home_directory>/AppScan_Source に
インストールされる AppScan Source for Development Eclipse プラグインをイ
ンストールできます。
v OS X: /Applications/AppScanSource.app
98
IBM Security AppScan Source: インストールと管理のガイド
「次へ」をクリックして、次のインストール・パネルに進みます。
4. 「IBM Security AppScan Source for Automation の構成」パネルで、以下のよう
に指定します。
v ホスト名: Automation Server の接続先の AppScan Enterprise Server のホスト
名またはIP アドレス
v ユーザー名: Automation Server が要求を処理するために使用する AppScan
Source ユーザー。
v パスワード: AppScan Source ユーザーのパスワード。
v パスワードの確認: パスワードを確認します。
「次へ」をクリックして、次のインストール・パネルに進みます。
注: インストール時にユーザー名とパスワードを指定しなかった場合は、インス
トール後に、コマンド行からログイン資格情報を指定して、AppScan Source ユ
ーザーとして実行するように AppScan Source for Automation を構成する必要が
あります。詳しくは、「IBM Security AppScan Source Utilities ユーザー・ガイ
ド」を参照してください。
5. 言語パックの選択パネルで、インストールする言語パックを選択します。 言語
パックをインストールすると、AppScan Source のユーザー・インターフェース
は、オペレーティング・システムがそのロケールで動作している場合、その言語
で表示されます。
デフォルトでは、「英語」が選択されています (これは選択解除できません)。
インストール・ウィザードが英語以外の各国語で表示されている場合 (つまり、
インストール・ウィザードの「ようこそ」パネルで英語以外の言語を選択した場
合)、このパネルでもその言語が選択されます (しかし、選択解除できます)。
インストールする言語パックを選択したら、「次へ」をクリックして次のインス
トール・パネルに進みます。
注: 特定の言語パックをインストールしない場合、インストール後にその言語を
追加することはできません。
6. ご使用条件の条項を確認して同意したら、「次へ」をクリックして続行します。
7. ファイルをコピーする前に、インストール・オプションの概要を確認します。
8. インストールを行うには、以下の設定が必要です。
v AppScan Enterprise Server: AppScan Source for Automation の接続先の
AppScan Enterprise Server のホスト名または IP アドレス。
v ユーザー名: AppScan Source for Automation が要求を処理するために使用する
AppScan Source ユーザー。
v パスワード: 「ユーザー名」フィールドで指定したユーザーのパスワード。
v パスワードの確認: パスワードを確認します。
9. 「次へ」をクリックしてファイルをインストールし、「完了」をクリックしてイ
ンストールを完了します。
第 4 章 拡張インストールおよびアクティベーションのトピック
99
タスクの結果
AppScan Source ユーザー・アカウントがまだ存在しない場合は、それを「AppScan
Source for Automation の構成」インストール・パネルで指定し、(インストール後
に) AppScan Enterprise Server、AppScan Source for Analysis、または AppScan
Source コマンド行インターフェース (CLI)を使用して手動で作成する必要がありま
す。 AppScan Source for Automation の機能に完全にアクセスできるようにするに
は、このユーザー・アカウントに以下の許可が必要です。
v アプリケーションおよびプロジェクトの管理
– 登録
– スキャン
v 評価管理
– 評価の保存
– 評価の公開
構文
Windows の場合: <install_dir>¥bin¥ounceautod.exe -u <user name> -p
<password> --persist
Linux および OS X の場合: <install_dir>/bin/ounceautod -u <user name> -p
<password> --persist
ここで:
v <install_dir> は AppScan Source インストール済み環境がある場所です.
v -u <user name> は、要求の処理時に Automation Server が認証に使用する
AppScan Source ユーザーです。 必要な許可がこのユーザーに付与されている必
要があります。
v -p <password> は、パスワードのユーザーです。 ユーザー名を指定する場合は、
パスワードも指定する必要があります。
v --persist は、ログイン資格情報をディスクに保存します。 指定されたユーザー
名とパスワードを使用して、暗号化された鍵ファイルが作成されます。
ユーザー名とパスワードを指定したら、以下のようにして Automation Server を開
始できます。
v Windows の場合、IBM Security AppScan Source for Automation サービスを開
始します。
v Linux の場合、コマンド /etc/init.d/ounceautod start を実行してデーモンを
開始します。
v OS X の場合は、次のコマンドを実行します: launchctl start
com.ibm.appscan.autod
フィックスパック・インストール
AppScan Source フィックスパックは、デルタ・インストーラーによって提供されま
す。AppScan Source フィックスパックを適用するには、このヘルプ・トピックの説
明に従ってください。
100
IBM Security AppScan Source: インストールと管理のガイド
このタスクについて
重要: フィックスパック・インストーラーを使用してカスタム・インストールを作
成することはできません。
手順
1. フィックスパック・インストール実行可能ファイルをダウンロードし、起動しま
す。
v Microsoft Windows:
– setup.exe を実行し、インストール・ウィザードを起動します。
– サイレント・インストールを実行するには、コマンド・プロンプトで
setup.exe -i silent -D$LICENSE_ACCEPTED$="true" を発行します。ここ
で、
- -i silent パラメーターは、サイレント・インストールの実行を指示す
るために使用します。
- -D$LICENSE_ACCEPTED$="true" パラメーターは、製品ライセンスへの同
意を指示します。
v Linux: コマンド・プロンプトから以下のいずれかを発行します。
– インストール・ウィザードを起動する場合は、setup.bin コマンドを発行
します。
– サイレント・インストールを実行するには、setup.bin -i silent
-D$LICENSE_ACCEPTED$="true" を発行します。ここで、
- -i silent パラメーターは、サイレント・インストールの実行を指示す
るために使用します。
- -D$LICENSE_ACCEPTED$="true" パラメーターは、製品ライセンスへの同
意を指示します。 インストールの実行に使用されるシェルによって
は、-D¥$LICENSE_ACCEPTED¥$="true" を発行して、このパラメーターを
エスケープしなければならない場合があります。
v OS X の場合: setup.dmg を開いて setup app を実行します。
注: フィックスパックのサイレント・インストールは、OS X 上ではサポート
されていません。
インストール・ウィザードを使用してインストールする場合は、残りのステップ
を完了します。
2. インストール・ウィザードを初めて起動すると、インストール・パネルに表示さ
れる各国語を選択できる画面が表示されます。 言語を選択し、「OK」をクリッ
クして続行してください。
3. 表示されている推奨事項に注意しながら、「ようこそ - インストール済み環境
のアップグレード・ウィザード」パネルを読みます。 「次へ」をクリックして
先に進みます。
4. 「設定の確認」パネルで、先に進む前にインストール情報の概要を確認してか
ら、「インストール」をクリックしてフィックスパックを適用します。
5. AppScan Source データベース が含まれているインストール済み環境をアップグ
レードする場合、データベース更新のインストール・パネルが表示されます (フ
ィックスパックにデータベース・アップグレードが含まれている場合)。このパ
第 4 章 拡張インストールおよびアクティベーションのトピック
101
ネルに、データベース・ユーザー・アカウントの資格情報を入力し、「開始」を
クリックします。データベースのアップグレードが完了したら、「次へ」をクリ
ックします。
注:
v solidDB のアップグレード: データベースのアップグレード中に、既存のデー
タベースのバックアップが作成されます。データベースのアップグレードが失
敗した場合、インストーラーがバックアップに戻すため、データベースのアッ
プグレードを再始動できます (既存のデータベースに問題がありアップグレー
ドできない場合には、その問題を解決してから、データベースのアップグレー
ドを再始動できます)。
v Oracle のアップグレード: データベースのアップグレードが失敗した場合、イ
ンストーラーにより、データベースのアップグレードを再始動できます (既存
のデータベースに問題がありアップグレードできない場合には、その問題を解
決してから、データベースのアップグレードを再始動できます)。
6. 「インストール完了」パネルでメッセージを確認し、「完了」をクリックしま
す。インストールの完了後には、システムを再起動することをお勧めします。
次のタスク
Windows または Linux の場合、ご使用の開発環境に AppScan Source for
Development Eclipse プラグインが含まれている場合は、フィックスパックのインス
トール後にこれらのプラグインをワークベンチに適用する必要があります。このこ
とについての説明は、以下のトピックに記載されています。
v
102
92 ページの『AppScan Source for Development (Eclipse プラグイン) を Eclipse
およびサポートされている Eclipse ベースの製品に適用』
IBM Security AppScan Source: インストールと管理のガイド
第 5 章 AppScan Source インストールのカスタマイズ
カスタム・インストール・ウィザードを使用するために、インストールをカスタマ
イズしたり、あるいは製品をサイレント・インストールするためにカスタム・イン
ストーラーを作成することができます。
注: フィックスパックの適用時は、カスタム・インストールを作成することはでき
ません。このセクションは、フィックスパックのインストールには適用されませ
ん。フィックスパックのサイレント・インストールを実行する方法については、
100 ページの『フィックスパック・インストール』を参照してください。
全社的な導入において。AppScan Source の管理者は、特定のユーザー・クラスに合
わせてインストールをカスタマイズできます。 カスタム・インストールの作成で
は、使用できるコンポーネントの制限や選択、およびインストール属性のデフォル
ト値の定義などを行います。
カスタム・インストール・ウィザードを使用すると、サイレント・インストールを
含めて、カスタム・インストールを必要な数だけ作成できます。 組織内のすべての
ユーザーが AppScan Source 製品をインストールする方法を、管理および標準化で
きます。
大規模な組織全体に AppScan Source を導入する場合は、まずネットワーク・サー
バー上にインストールした後で、この中央の管理ポイントからインストールを開始
するようにユーザーに指示するのが最も効率的です。
カスタム・インストールまたはサイレント・インストールの作成
AppScan Source には、グラフィカルなインストール構成ウィザードが組み込まれて
います。管理者はこれを使用して、サイレント (非対話式) インストールやカスタ
ム・グラフィカル・インストールを作成できます。
管理者がインストーラーを実行してカスタム・インストールを作成すると、新しい
構成プロパティー・ファイルが生成されます。 このプロパティー・ファイルを、次
に AppScan Source インストーラーで使用できます。
インストール構成ウィザードでは、既存の構成ファイルを変更したり、新しい構成
ファイルを作成したりすることができます。 ウィザードでは、以下の事項を定義す
ることで、インストールをカスタマイズできます。
v 対話式インストールか、サイレント・インストールか
v インストールに使用可能なコンポーネント (対話式インストールでのみ選択可
能)。
v デフォルトのコンポーネントの選択 (対話式インストールでのみ選択可能)。
v 必須、すなわち自動的にインストールされるコンポーネント。
v デフォルト・インストール・フォルダー。
v インストールするデフォルト言語パック。
© Copyright IBM Corp. 2003, 2014
103
v 使用するライセンス・ファイルまたはライセンス・サーバー。
v AppScan Source for Automation で使用するユーザー・アカウント (これがインス
トール用のコンポーネントまたは使用可能コンポーネントとして選択されている
場合)
注: カスタムのサイレント・インストールを作成した場合、トルコ語の言語ロケー
ルで実行すると失敗します (例: tr および tr_TR)。
インストール構成ウィザードを起動する
このトピックでは、インストール構成ウィザード (カスタム・インストール・ファ
イルやサイレント・インストール・ファイルの作成に使用されるウィザード) の起
動方法について説明します。
このタスクについて
管理者は環境変数 OUNCE_CONFIG_FILE を定義し、それをインストール構成設定を保
持するプロパティー・ファイルにポイントして、構成ツールを開始します。このフ
ァイルは、カスタム・インストールやサイレント・インストールの実行に使用され
ます。
注: OUNCE_CONFIG_FILE を設定するときは、値にスペースが含まれている場合で
も、値を引用符で囲まないでください。
手順
v Windows システムの場合は、以下のコマンドを発行します。
set OUNCE_CONFIG_FILE=<path>
setup.exe
ここで <path> は、インストール設定が含まれるプロパティー・ファイルの完全
修飾パスとファイル名です。例えば、set
OUNCE_CONFIG_FILE=C:¥install.properties を発行すると、インストール設定が
そのファイルに保存されます。
v Linux システムの場合:
export OUNCE_CONFIG_FILE=<path>
./setup.bin
ここで <path> は、インストール設定が含まれるプロパティー・ファイルの完全
修飾パスとファイル名です。
v OS X システムの場合:
1. 以下のコマンドを AppScan Source setup.dmg ファイルに対して発行します。
hdiutil attach setup.dmg -shadow
これによって、setup.app ディレクトリーが /Volumes/AppScanSource ディレ
クトリーに抽出されます。また、setup.dmg.shadow ファイルが作成されま
す。このファイルはインストール完了後に削除する必要があります。
2. プロパティー・ファイルの作成を開始するために、以下のコマンドを実行しま
す。
export OUNCE_CONFIG_FILE=<path>
./setup.app
104
IBM Security AppScan Source: インストールと管理のガイド
ここで <path> は、インストール設定が含まれるプロパティー・ファイルの完
全修飾パスとファイル名です。OS X でのファイル名は install.properties
でなければならないことに注意してください。
3. installer.properties を /Volumes/AppScanSource/setup.app/Contents/
Resources ディレクトリーにコピーします。
タスクの結果
ファイル名が存在しており、有効である場合、カスタム・ウィザードはそのファイ
ル内のプロパティーをデフォルト・プロパティーとして使用します。 既存のファイ
ル名または新規のファイル名を使用して構成を保存できます。 ファイル名が存在し
ない場合、ウィザードは AppScan Source のデフォルト・プロパティーを使用しま
す。構成の保存時には、指定されたファイル名がデフォルトとして表示されます。
カスタム・インストール構成ウィザードの使用
カスタム・インストール・ウィザードが表示され、AppScan Source インストールに
使用する構成ファイルをこれから作成することが示されます。
このタスクについて
Windows システムでカスタム・インストール・ウィザードを実行する場合は、Linux
デーモンのユーザー・ステップが表示されます。 Windows インストールで最終版
の構成ファイルが使用される場合は、この値が無視されます。
手順
1. 「サイレント・インストール・オプション」パネルで、インストールをサイレン
ト・インストールとして実行するかどうかを指定して、インストール・ タイプ
を構成します。 対話式カスタム・インストールを作成する場合は、「いいえ」
を選択してください。
注: カスタムのサイレント・インストールを作成した場合、トルコ語の言語ロケ
ールで実行すると失敗します (例: tr および tr_TR)。
「次へ」をクリックして、次のインストール・パネルに進みます。
2. 対話式のカスタム・インストールのみ: 対話式のカスタム・インストーラーを作
成する場合 (「サイレント・インストール・オプション」パネルで「いいえ」が
選択されている場合)、以下の 3 つの「コンポーネントの選択」パネルの設定を
完了する必要があります。
a. 最初のパネルでは、対話式のカスタム・インストールで使用可能な (または表
示される) AppScan Source コンポーネントを選択します。
v AppScan Source for Automation
v AppScan Source for Analysis
v AppScan Source コマンド行インターフェース
v AppScan Source for Development for Visual Studio 2012
v AppScan Source for Development for Visual Studio 2010
v AppScan Source for Development for Visual Studio 2008
v AppScan Source for Development for Eclipse、 RAD、Worklight
第 5 章 AppScan Source インストールのカスタマイズ
105
注: ターゲット・オペレーティング・システムが選択したコンポーネントをサ
ポートしていない場合や、選択したコンポーネントがシステムに存在しない
ソフトウェアに依存する場合は、コンポーネントを選択してもインストール
では無視されます。 例えば、サポートされるバージョンの Microsoft Visual
Studio がインストールされていないシステムに、カスタム・インストーラー
を使用してインストールする場合、インストール対象として AppScan Source
for Development for Visual Studio 2012を選択しても、カスタム・インストー
ラーのデプロイ時に無視されます。
残りの「コンポーネントの選択」パネルを使用すると、インストール・パネ
ルに表示するコンポーネントをデフォルトで選択するかどうか、有効にする
かどうか (有効ではないコンポーネントはインストーラーのデプロイ時にグレ
ー表示されて選択できません) を指定することができます。例えば、コンポー
ネントのインストールを強制実施するカスタム・インストーラーを希望する
場合があります。これを行うには、コンポーネントをデフォルトで選択状態
にする一方で、有効にはしません。
コンポーネントを使用可能に設定したにも関わらず、デフォルトで選択状態
にせず有効にしない場合は、そのコンポーネントはインストールされません
(グレー表示されてインストール用に選択できません)。
「次へ」をクリックして、次のインストール・パネルに進みます。
b. 次の「コンポーネントの選択」パネルには、対話式のカスタム・インストー
ルで使用可能になるよう選択されたコンポーネントのみ表示されます。この
パネルでは、使用可能なコンポーネントのうち、どのコンポーネントをデフ
ォルトで選択状態にするかを指定します。 「次へ」をクリックして、次のイ
ンストール・パネルに進みます。
c. カスタム・インストールでユーザーが選択または選択解除できるコンポーネ
ントを指定します。 コンポーネントを無効にすると、そのコンポーネントの
インストールが必須になります (それがデフォルトで選択状態になるよう設定
されている場合に限ります)。「次へ」をクリックして、次のインストール・
パネルに進みます。
3. サイレント・カスタム・インストールのみ: サイレント・カスタム・インストー
ラーを作成する場合 (「サイレント・インストール・オプション」パネルで「は
い」が選択されている場合)、サイレント・インストーラーがインストールする
AppScan Source コンポーネントを選択します。
v AppScan Source for Automation
v AppScan Source for Analysis
v AppScan Source コマンド行インターフェース
v AppScan Source for Development for Visual Studio 2012
v AppScan Source for Development for Visual Studio 2010
v AppScan Source for Development for Visual Studio 2008
v AppScan Source for Development for Eclipse、 RAD、Worklight
注: ターゲット・オペレーティング・システムが選択したコンポーネントをサポ
ートしていない場合や、選択したコンポーネントがシステムに存在しないソフト
ウェアに依存する場合は、コンポーネントを選択してもインストールでは無視さ
106
IBM Security AppScan Source: インストールと管理のガイド
れます。 例えば、サポートされるバージョンの Microsoft Visual Studio がイン
ストールされていないシステムに、カスタム・インストーラーを使用してインス
トールする場合、インストール対象として AppScan Source for Development for
Visual Studio 2012を選択しても、カスタム・インストーラーのデプロイ時に無視
されます。
4. ターゲット・インストール・ディレクトリーを選択します。 サイレント・イン
ストールの場合は、これがインストール・ディレクトリーになります。 対話式
インストールの場合は、これがデフォルト値になります。
ヒント: 既存の構成ファイルを使用してウィザードを実行する場合は、このファ
イルから値が読み取られ、デフォルト値として使用されます。
「次へ」をクリックして、次のインストール・パネルに進みます。
5. 「ライセンス・ファイルの指定」パネルで、ライセンス・ファイルの場所を指定
するか、ライセンス・サーバーのホスト名とポートを指定します。 「次へ」を
クリックして、次のインストール・パネルに進みます。
6. 「プロパティー・ファイルの指定」パネルで、ターゲット・プロパティー・ファ
イルの名前と場所を指定します。 ウィザードが既存の構成ファイルを使用する
場合は、デフォルトのパス名が表示されます。 ファイル名を変更して、新しい
構成ファイルを作成できます。
Linux サーバーでのインストールのみ: AppScan Source デーモンを実行する
Linux ユーザーを指定します。ファイルをコピーした後に、サービス・ユーザー
を指定する必要があります。 デフォルト・ユーザー「ounce」を作成する場合は
「ユーザー 'ounce' の作成」を選択し、既存のユーザーで実行する場合は「既存
のユーザーで実行」を選択します。 (インストールではこのユーザーが検証され
ます。 選択されたユーザーには有効なシェルが必要となることに注意してくだ
さい。)
「次へ」をクリックして、プロパティー・ファイルを保存します。
カスタム・インストールまたはサイレント・インストールの実行
このトピックでは、コマンド行からのカスタム・インストールやサイレント・イン
ストールの実行方法をプラットフォーム別に説明します。
始める前に
カスタム・インストールを作成できるウィザードを起動する場合 ( 104 ページの
『インストール構成ウィザードを起動する』を参照)、OUNCE_CONFIG_FILE 環境変数
を作成します。カスタム・インストールを実行する前に、この環境変数が削除され
ていることを確認してください。
手順
v Windows システムの場合は、以下のコマンドを発行します。
setup.exe -f c:¥install.properties
v Linux システムの場合:
setup.bin -f /usr/local/share/my_configs/custom_install.properties
v OS X システムの場合:
第 5 章 AppScan Source インストールのカスタマイズ
107
1. 次のコマンドを発行します。
sudo open /Volumes/AppScanSource/setup.app/Contents/MacOS/setup.app
2.
104 ページの『インストール構成ウィザードを起動する』での説明に従ってプ
ロパティー・ファイルを作成する場合、AppScan Source setup.dmg ファイル
のボリュームが作成されています。インストールの完了後、次のコマンドを発
行して、このボリュームを切り離してください。
hdiutil detach /Volumes/AppScanSource
注: インストール時には、「設定」アイコンがドックに表示されます。このア
イコンが表示されなくなると、インストールが完了しています。
3.
104 ページの『インストール構成ウィザードを起動する』 での説明に従っ
て、プロパティー・ファイルを作成する場合、setup.dmg.shadow が作成され
ています。このファイルを削除するには、次のコマンドを実行します。
rm -f setup.dmg.shadow
例 : カスタム・インストールを介した AppScan Source のインストール
以下の例で、カスタム・インストール・ウィザードのデプロイ方法について説明し
ます。
このタスクについて
情報技術 (IT) 部門が、特定のユーザーを対象としてインストール・オプションを制
限または管理したいと考えています。
カスタム・インストールを作成する前に、管理者はユーザーがアクセス権限を持つ
ファイル・サーバーに AppScan Source Software インストール・ファイルを配置し
ます。また、IT 部門では、各ユーザー・タイプで必要とされる各種の AppScan
Source 製品に基づいて、いくつかの異なるインストール構成を特定する作業も行い
ます。
カスタム・インストールで AppScan Source をインストールするには、以下の手順
を実行します。
手順
1. IT 部門が、AppScan Source インストール CD または FTP ダウンロードから、
適切なコンテンツをファイル・サーバーにコピーします。
2. IT 部門が、カスタム・インストール・ウィザードを使用して、必要なインスト
ール・タイプ (例えば AppScan Source for Development や AppScan Source for
Analysis) ごとに、必要なインストール構成ファイルを作成します。
3. IT 部門が、共有パブリック・フォルダーに構成ファイルを格納します。
4. IT 部門が、対象となるユーザーに E メールを送信します。 この E メールに
は、クリックすると対象ユーザーに適した AppScan Source インストールが開始
されるハイパーリンクが含まれています。
5. ユーザーが E メールを受信し、該当する AppScan Source 製品のインストール
場所へのリンクを確認します。
108
IBM Security AppScan Source: インストールと管理のガイド
6. ユーザーが、E メール内のハイパーリンクからインストールを開始します。 例
えば、このハイパーリンクをクリックすると、IT 部門が用意した .bat ファイ
ルまたはスクリプトが実行されて、setup -f install.properties が適切に呼び
出されます。
7. AppScan Source のインストールが開始されて、IT 部門のカスタム・インストー
ル構成で定義されているデフォルトの (ただし変更可能な) オプションが表示さ
れます。 (これには、「コンポーネントの選択」ウィザード・ページが含まれま
す。)
タスクの結果
このインストールが完了すると、以下のようになります。
v 適切な AppScan Source 製品がデスクトップにインストールされます。
v デフォルトのホスト・サーバーが識別されます。
v ライセンス・ファイルがターゲット・コンピューターにコピーされます (オプシ
ョン)。
第 5 章 AppScan Source インストールのカスタマイズ
109
110
IBM Security AppScan Source: インストールと管理のガイド
第 6 章 AppScan Source サイレント・インストーラー
AppScan Source カスタム・インストール・ウィザードは、サイレント・インストー
ラーの作成に使用されます。
AppScan Source インストールのカスタマイズについては、 103 ページの『第 5 章
AppScan Source インストールのカスタマイズ』を参照してください。
注: フィックスパックの適用時は、カスタム・インストールを作成することはでき
ません。このセクションは、フィックスパックのインストールには適用されませ
ん。フィックスパックのサイレント・インストールを実行する方法については、
100 ページの『フィックスパック・インストール』を参照してください。
カスタム・インストールまたはサイレント・インストールの作成
AppScan Source には、グラフィカルなインストール構成ウィザードが組み込まれて
います。管理者はこれを使用して、サイレント (非対話式) インストールやカスタ
ム・グラフィカル・インストールを作成できます。
管理者がインストーラーを実行してカスタム・インストールを作成すると、新しい
構成プロパティー・ファイルが生成されます。 このプロパティー・ファイルを、次
に AppScan Source インストーラーで使用できます。
インストール構成ウィザードでは、既存の構成ファイルを変更したり、新しい構成
ファイルを作成したりすることができます。 ウィザードでは、以下の事項を定義す
ることで、インストールをカスタマイズできます。
v 対話式インストールか、サイレント・インストールか
v インストールに使用可能なコンポーネント (対話式インストールでのみ選択可
能)。
v デフォルトのコンポーネントの選択 (対話式インストールでのみ選択可能)。
v 必須、すなわち自動的にインストールされるコンポーネント。
v デフォルト・インストール・フォルダー。
v インストールするデフォルト言語パック。
v 使用するライセンス・ファイルまたはライセンス・サーバー。
v AppScan Source for Automation で使用するユーザー・アカウント (これがインス
トール用のコンポーネントまたは使用可能コンポーネントとして選択されている
場合)
注: カスタムのサイレント・インストールを作成した場合、トルコ語の言語ロケー
ルで実行すると失敗します (例: tr および tr_TR)。
インストール構成ウィザードを起動する
このトピックでは、インストール構成ウィザード (カスタム・インストール・ファ
イルやサイレント・インストール・ファイルの作成に使用されるウィザード) の起
動方法について説明します。
© Copyright IBM Corp. 2003, 2014
111
このタスクについて
管理者は環境変数 OUNCE_CONFIG_FILE を定義し、それをインストール構成設定を保
持するプロパティー・ファイルにポイントして、構成ツールを開始します。このフ
ァイルは、カスタム・インストールやサイレント・インストールの実行に使用され
ます。
注: OUNCE_CONFIG_FILE を設定するときは、値にスペースが含まれている場合で
も、値を引用符で囲まないでください。
手順
v Windows システムの場合は、以下のコマンドを発行します。
set OUNCE_CONFIG_FILE=<path>
setup.exe
ここで <path> は、インストール設定が含まれるプロパティー・ファイルの完全
修飾パスとファイル名です。例えば、set
OUNCE_CONFIG_FILE=C:¥install.properties を発行すると、インストール設定が
そのファイルに保存されます。
v Linux システムの場合:
export OUNCE_CONFIG_FILE=<path>
./setup.bin
ここで <path> は、インストール設定が含まれるプロパティー・ファイルの完全
修飾パスとファイル名です。
v OS X システムの場合:
1. 以下のコマンドを AppScan Source setup.dmg ファイルに対して発行します。
hdiutil attach setup.dmg -shadow
これによって、setup.app ディレクトリーが /Volumes/AppScanSource ディレ
クトリーに抽出されます。また、setup.dmg.shadow ファイルが作成されま
す。このファイルはインストール完了後に削除する必要があります。
2. プロパティー・ファイルの作成を開始するために、以下のコマンドを実行しま
す。
export OUNCE_CONFIG_FILE=<path>
./setup.app
ここで <path> は、インストール設定が含まれるプロパティー・ファイルの完
全修飾パスとファイル名です。OS X でのファイル名は install.properties
でなければならないことに注意してください。
3. installer.properties を /Volumes/AppScanSource/setup.app/Contents/
Resources ディレクトリーにコピーします。
タスクの結果
ファイル名が存在しており、有効である場合、カスタム・ウィザードはそのファイ
ル内のプロパティーをデフォルト・プロパティーとして使用します。 既存のファイ
ル名または新規のファイル名を使用して構成を保存できます。 ファイル名が存在し
ない場合、ウィザードは AppScan Source のデフォルト・プロパティーを使用しま
す。構成の保存時には、指定されたファイル名がデフォルトとして表示されます。
112
IBM Security AppScan Source: インストールと管理のガイド
カスタム・インストール構成ウィザードの使用
カスタム・インストール・ウィザードが表示され、AppScan Source インストールに
使用する構成ファイルをこれから作成することが示されます。
このタスクについて
Windows システムでカスタム・インストール・ウィザードを実行する場合は、Linux
デーモンのユーザー・ステップが表示されます。 Windows インストールで最終版
の構成ファイルが使用される場合は、この値が無視されます。
手順
1. 「サイレント・インストール・オプション」パネルで、インストールをサイレン
ト・インストールとして実行するかどうかを指定して、インストール・ タイプ
を構成します。 対話式カスタム・インストールを作成する場合は、「いいえ」
を選択してください。
注: カスタムのサイレント・インストールを作成した場合、トルコ語の言語ロケ
ールで実行すると失敗します (例: tr および tr_TR)。
「次へ」をクリックして、次のインストール・パネルに進みます。
2. 対話式のカスタム・インストールのみ: 対話式のカスタム・インストーラーを作
成する場合 (「サイレント・インストール・オプション」パネルで「いいえ」が
選択されている場合)、以下の 3 つの「コンポーネントの選択」パネルの設定を
完了する必要があります。
a. 最初のパネルでは、対話式のカスタム・インストールで使用可能な (または表
示される) AppScan Source コンポーネントを選択します。
v AppScan Source for Automation
v AppScan Source for Analysis
v AppScan Source コマンド行インターフェース
v AppScan Source for Development for Visual Studio 2012
v AppScan Source for Development for Visual Studio 2010
v AppScan Source for Development for Visual Studio 2008
v AppScan Source for Development for Eclipse、 RAD、Worklight
注: ターゲット・オペレーティング・システムが選択したコンポーネントをサ
ポートしていない場合や、選択したコンポーネントがシステムに存在しない
ソフトウェアに依存する場合は、コンポーネントを選択してもインストール
では無視されます。 例えば、サポートされるバージョンの Microsoft Visual
Studio がインストールされていないシステムに、カスタム・インストーラー
を使用してインストールする場合、インストール対象として AppScan Source
for Development for Visual Studio 2012を選択しても、カスタム・インストー
ラーのデプロイ時に無視されます。
残りの「コンポーネントの選択」パネルを使用すると、インストール・パネ
ルに表示するコンポーネントをデフォルトで選択するかどうか、有効にする
かどうか (有効ではないコンポーネントはインストーラーのデプロイ時にグレ
ー表示されて選択できません) を指定することができます。例えば、コンポー
第 6 章 AppScan Source サイレント・インストーラー
113
ネントのインストールを強制実施するカスタム・インストーラーを希望する
場合があります。これを行うには、コンポーネントをデフォルトで選択状態
にする一方で、有効にはしません。
コンポーネントを使用可能に設定したにも関わらず、デフォルトで選択状態
にせず有効にしない場合は、そのコンポーネントはインストールされません
(グレー表示されてインストール用に選択できません)。
「次へ」をクリックして、次のインストール・パネルに進みます。
b. 次の「コンポーネントの選択」パネルには、対話式のカスタム・インストー
ルで使用可能になるよう選択されたコンポーネントのみ表示されます。この
パネルでは、使用可能なコンポーネントのうち、どのコンポーネントをデフ
ォルトで選択状態にするかを指定します。 「次へ」をクリックして、次のイ
ンストール・パネルに進みます。
c. カスタム・インストールでユーザーが選択または選択解除できるコンポーネ
ントを指定します。 コンポーネントを無効にすると、そのコンポーネントの
インストールが必須になります (それがデフォルトで選択状態になるよう設定
されている場合に限ります)。「次へ」をクリックして、次のインストール・
パネルに進みます。
3. サイレント・カスタム・インストールのみ: サイレント・カスタム・インストー
ラーを作成する場合 (「サイレント・インストール・オプション」パネルで「は
い」が選択されている場合)、サイレント・インストーラーがインストールする
AppScan Source コンポーネントを選択します。
v AppScan Source for Automation
v AppScan Source for Analysis
v AppScan Source コマンド行インターフェース
v AppScan Source for Development for Visual Studio 2012
v AppScan Source for Development for Visual Studio 2010
v AppScan Source for Development for Visual Studio 2008
v AppScan Source for Development for Eclipse、 RAD、Worklight
注: ターゲット・オペレーティング・システムが選択したコンポーネントをサポ
ートしていない場合や、選択したコンポーネントがシステムに存在しないソフト
ウェアに依存する場合は、コンポーネントを選択してもインストールでは無視さ
れます。 例えば、サポートされるバージョンの Microsoft Visual Studio がイン
ストールされていないシステムに、カスタム・インストーラーを使用してインス
トールする場合、インストール対象として AppScan Source for Development for
Visual Studio 2012を選択しても、カスタム・インストーラーのデプロイ時に無視
されます。
4. ターゲット・インストール・ディレクトリーを選択します。 サイレント・イン
ストールの場合は、これがインストール・ディレクトリーになります。 対話式
インストールの場合は、これがデフォルト値になります。
ヒント: 既存の構成ファイルを使用してウィザードを実行する場合は、このファ
イルから値が読み取られ、デフォルト値として使用されます。
「次へ」をクリックして、次のインストール・パネルに進みます。
114
IBM Security AppScan Source: インストールと管理のガイド
5. 「ライセンス・ファイルの指定」パネルで、ライセンス・ファイルの場所を指定
するか、ライセンス・サーバーのホスト名とポートを指定します。 「次へ」を
クリックして、次のインストール・パネルに進みます。
6. 「プロパティー・ファイルの指定」パネルで、ターゲット・プロパティー・ファ
イルの名前と場所を指定します。 ウィザードが既存の構成ファイルを使用する
場合は、デフォルトのパス名が表示されます。 ファイル名を変更して、新しい
構成ファイルを作成できます。
Linux サーバーでのインストールのみ: AppScan Source デーモンを実行する
Linux ユーザーを指定します。ファイルをコピーした後に、サービス・ユーザー
を指定する必要があります。 デフォルト・ユーザー「ounce」を作成する場合は
「ユーザー 'ounce' の作成」を選択し、既存のユーザーで実行する場合は「既存
のユーザーで実行」を選択します。 (インストールではこのユーザーが検証され
ます。 選択されたユーザーには有効なシェルが必要となることに注意してくだ
さい。)
「次へ」をクリックして、プロパティー・ファイルを保存します。
カスタム・インストールまたはサイレント・インストールの実行
このトピックでは、コマンド行からのカスタム・インストールやサイレント・イン
ストールの実行方法をプラットフォーム別に説明します。
始める前に
カスタム・インストールを作成できるウィザードを起動する場合 ( 104 ページの
『インストール構成ウィザードを起動する』を参照)、OUNCE_CONFIG_FILE 環境変数
を作成します。カスタム・インストールを実行する前に、この環境変数が削除され
ていることを確認してください。
手順
v Windows システムの場合は、以下のコマンドを発行します。
setup.exe -f c:¥install.properties
v Linux システムの場合:
setup.bin -f /usr/local/share/my_configs/custom_install.properties
v OS X システムの場合:
1. 次のコマンドを発行します。
sudo open /Volumes/AppScanSource/setup.app/Contents/MacOS/setup.app
2.
104 ページの『インストール構成ウィザードを起動する』での説明に従ってプ
ロパティー・ファイルを作成する場合、AppScan Source setup.dmg ファイル
のボリュームが作成されています。インストールの完了後、次のコマンドを発
行して、このボリュームを切り離してください。
hdiutil detach /Volumes/AppScanSource
注: インストール時には、「設定」アイコンがドックに表示されます。このア
イコンが表示されなくなると、インストールが完了しています。
第 6 章 AppScan Source サイレント・インストーラー
115
3.
104 ページの『インストール構成ウィザードを起動する』 での説明に従っ
て、プロパティー・ファイルを作成する場合、setup.dmg.shadow が作成され
ています。このファイルを削除するには、次のコマンドを実行します。
rm -f setup.dmg.shadow
例 : インストール・フレームワークを介した AppScan Source のサイレ
ント・インストール
以下の例で、サイレント・インストールのデプロイ方法について説明します。
このタスクについて
情報技術 (IT) 部門が、インストール・フレームワークを介してクライアント・コン
ポーネントをサイレント・インストールしたいと考えています。
クライアントのカスタム・インストールを作成する前に、AppScan Source 管理者
は、インストール・フレームワークがアクセス権限を持つファイル・サーバーにイ
ンストール・ファイルを配置します。 また、IT 部門では、各ユーザー・タイプで
必要とされる各種の AppScan Source コンポーネントに基づいて、いくつかの異な
るインストール構成を特定する作業も行います。
カスタム・サイレント・インストールで AppScan Source をインストールするに
は、以下の手順を実行します。
手順
1. IT 部門が、AppScan Source インストール CD または FTP ダウンロードから、
適切なコンテンツをファイル・サーバーにコピーします。
2. IT 部門が、カスタム・インストール・ウィザードを使用して、必要なインスト
ール・タイプ (例えば AppScan Source for Development や AppScan Source for
Analysis) ごとに、必要なインストール構成ファイルを作成します。
3. IT 部門が、共有パブリック・フォルダーに構成ファイルを格納します。
4. IT 部門が、AppScan Source インストールを認識するようにインストール・フレ
ームワークを構成し、適切なコマンド行呼び出しとインストール構成 をインス
トール・フレームワークに関連付けます。
5. ユーザーが、(デスクトップ上で) インストール・フレームワーク・クライアント
を介して更新を確認します。適切な (ユーザー固有の) AppScan Source 製品がイ
ンストール・リストに表示されます。
6. ユーザーが、インストール・フレームワーク・クライアントを介してインストー
ルを開始します。
7. AppScan Source がユーザーのデスクトップ・コンピューターにサイレント・イ
ンストールされます。
タスクの結果
このインストールが完了すると、以下のようになります。
v 適切な AppScan Source 製品がデスクトップにインストールされ、AppScan
Enterprise Server に接続するように構成されます。
v ライセンス・ファイルがターゲット・コンピューターにコピーされます。
116
IBM Security AppScan Source: インストールと管理のガイド
第 7 章 ソフトウェアのアクティブ化
AppScan Source 製品を使用する前に、ご使用のソフトウェアをアクティブ化する必
要があります。 AppScan Source には License Manager ユーティリティーが用意さ
れており、それを使用して、クライアント・マシン上でライセンス情報をロードお
よび更新することができます。 このユーティリティーを使用することで、現在のラ
イセンス状態を確認することができます。また、ライセンス・ファイルをインポー
トしたり、ライセンス・サーバーでフローティング・ライセンスを使用したりする
ことで、ユーティリティーから製品をアクティブ化することもできます。License
Manager を起動すると、それまでにロードされたライセンスがすべてスキャンされ
ます。
AppScan Source 製品のインストール後、これをアクティブ化する方法は 3 とおり
あります。
v 製品のインストール・ウィザードから、License Manager ユーティリティーを起動
します (インストールの完了後)。
v License Manager ユーティリティーは、製品のインストール後に、以下のようにし
て起動できます。
– Windows では、「スタート」メニューからユーティリティーを起動します
(「すべてのプログラム」メニューから、「IBM Security AppScan Source」 >
「AppScan Source License Manager」を起動します)。
– Linux で、<install_dir>/bin (<install_dir> は AppScan Source インストー
ル済み環境がある場所です) を見つけたら、コマンド ./licensemgr.sh を発行
することで licensemgr.sh を実行してください。
– OSX では、/Applications/AppScanSource.app/bin を検索し、
./licensemgr.sh コマンドを発行して licensemgr.sh を実行してください。
v 製品を起動します。 製品を使用するためのライセンスがまだ適用されていない場
合、製品を使用するにはライセンスを適用する必要があることを通知するメッセ
ージが表示されます。 このメッセージで「OK」をクリックすると、License
Manager ユーティリティーが開きます。
AppScan Source 製品のライセンスの取得および適用に関する詳細については、
http://www.ibm.com/support/docview.wss?uid=swg21405482 を参照してください。
注:
v コマンド行ユーザー・インターフェースを使用して製品をアクティブ化する場
合、インストール・ウィザードまたは Windows の「スタート」メニューから
License Manager ユーティリティーを起動する必要があります。最初にソフトウェ
アのアクティブ化を行わずに、コマンド行インターフェースを使用して製品を使
用しようとすると、License Manager ユーティリティーでソフトウェアをアクティ
ブ化するよう求めるエラー・メッセージが表示されます。
v 最初にライセンスを適用せずに、AppScan Enterprise Server を実行している場
合、サーバーに接続しようとしたときにエラー・メッセージが表示されます。
© Copyright IBM Corp. 2003, 2014
117
v AppScan Source for Development の機能を最大限に利用するには、それ自体のラ
イセンスとともに、AppScan Source for Remediation のライセンスを適用する必
要があります。
ライセンス・ファイルのインポート
このタスク・トピックでは、AppScan Source のライセンス・ファイルのインポート
手順について説明します。
手順
1. AppScan Source のライセンス・ファイルのファイル拡張子は .upd または .txt
です。 ローカル・ファイル・システムまたはマッピングされたドライブ上でラ
イセンスが使用可能であることを確認してください。
2. 「ライセンスのインポート」をクリックします。
3. 「ライセンス・ファイルのインポート」ダイアログ・ボックスを使用して、ライ
センス・ファイルを参照します。 ライセンス・ファイルを選択して、「OK」を
クリックします。
注: OS X でライセンス・ファイルを参照する場合、「ライセンス・ファイルの
インポート」ダイアログ・ボックスのコンテンツが表示されなくなることがあり
ます (フォルダーは開きますが、コンテンツは表示されません)。これを回避する
には、異なるフォルダーを選択してから、表示したいコンテンツが含まれるフォ
ルダーを再度選択してください。
4. 「ライセンス・ファイルが正常にインポートされました」というメッセージが表
示されたら、「OK」をクリックしてアクティブ化を完了します。
5. License Manager を閉じます。これで、インストール済み製品の起動時に、この
ライセンスが使用されるようになります。
フローティング・ライセンスの使用
このタスク・トピックでは、フローティング・ライセンスのアクティブ化の対象と
なるライセンス・サーバー (複数可) を構成する手順について説明します。
手順
1. 「ライセンス・サーバーの構成」をクリックして、「ライセンス・サーバーの構
成」ダイアログ・ボックスを開きます。
2. 「追加」をクリックします。
3. 「ホスト名」と「ポート」にライセンス・サーバーのホスト名とポートを入力
し、「変更の保存」をクリックします。複数のライセンス・サーバーを追加する
場合は、このステップを繰り返します。
注: ライセンス・サーバーのデフォルト・ポートは 27000 です。 別のポートで
ライセンス・サーバーを実行するよう設定した場合のみ、この値を編集してくだ
さい。
4. ライセンス・サーバーを追加した後、そのホスト名またはポートを編集する必要
がある場合は、リストから該当するサーバーを選択します。 これにより、「ホ
118
IBM Security AppScan Source: インストールと管理のガイド
スト名」と「ポート」フィールドに値が表示されます。 これらの設定を編集し
たら、「変更の保存」をクリックして、ライセンス・サーバー設定に変更内容を
保存します。
5. 複数のライセンス・サーバーを追加した場合は、このダイアログ・ボックス内の
リストに表示される順序でライセンス・サーバーがスキャンされます。 AppScan
Source 機能のフローティング・ライセンスが検出された場合は、フローティン
グ・ライセンスのスキャンが停止します。サーバーをスキャンする順序を変更す
るには、リスト内で移動したいサーバーを選択し、「上」または「下」をクリッ
クします。
6. すべてのライセンス・サーバーを構成したら、「OK」をクリックします。
タスクの結果
ダイアログ・ボックスが閉じると、構成済みのライセンス・サーバーで AppScan
Source 機能のフローティング・ライセンスが検索されます。 検出されたフローティ
ング・ライセンスは、License Manager のライセンス・リストに表示されます。
ライセンス・サーバーに変更を加えた場合は、「更新」をクリックして、License
Manager が現在のライセンス・サーバー情報にアクセスできるようにします。
フローティング・ライセンス・サーバーの構成が終了したら、License Manager を閉
じます。これで、インストール済み製品の起動時に、これらのライセンスが使用さ
れるようになります。
注: AppScan Source のフローティング・ライセンスは、Rational License Server バ
ージョン 8 以降でホストされる必要があります。 それより低いレベルの Rational
License Server でホストされると、License Manager にはそれらのライセンスが表示
されますが、AppScan Source はそれらを使用できません。
AppScan Source for Development を使用するチームでは、フローティング・スキャ
ン・ライセンスをユーザー・インターフェースから直接リリースできるので、他の
チーム・メンバーがライセンスを必要とするときにはその獲得が可能です。ローカ
ル・モード には、「ライセンスのスキャンの解除」アクションがあります。一方、
サーバー・モード では、ライセンスは「サーバーからログアウト」アクションの一
環として解除されます。ライセンスのリリース後は、スキャンの開始時に (ライセ
ンスが使用可能な場合は) ライセンスが自動的に再度取得されます。
ライセンスの表示
License Manager ユーティリティーのライセンス・リストには、以下のものが表示さ
れます。
v ライセンス (複数可) が適用される AppScan Source 製品および機能 (他の IBM
製品のライセンスは、このユーティリティーには表示されません)。
v ライセンス・タイプ: フローティング・ライセンスかノードロック・ライセンス
(インポートされたライセンス・ファイルを示す) のいずれかになります。
v ライセンスの有効期限: ライセンスの残り日数が表示されます。 日数が 365 日
を超える場合は、ライセンスの有効期限に単に「有効」と示されます。
v 指定されたすべてのサーバー上で使用可能なライセンスの合計数。
第 7 章 ソフトウェアのアクティブ化
119
120
IBM Security AppScan Source: インストールと管理のガイド
第 8 章 システムからの AppScan Source の削除
AppScan Source は、Windows コントロール・パネルから削除するか、Linux または
OS X のアンインストール・スクリプトを使用して削除することができます。
AppScan Source のアンインストールでは、インストール済みの Oracle データベー
スの削除やバックアップは行われません。 Oracle インスタンスから AppScan
Source ユーザーを削除することは、手動のデータベース管理タスクです。
このタスクについて
v 『Microsoft Windows プラットフォームからの削除』
v 『Linux プラットフォームからの削除』
v 『OS X のプラットフォームからの削除』
Microsoft Windows プラットフォームからの削除
手順
1. プログラムの削除には、「コントロール・パネル」オプションを使用します。例
えば、Windows 7 では、「コントロール パネル」の「プログラムと機能」オプ
ションを選択します。
2. 適切なアクションを選択して、インストールされているプログラムのリストか
ら、「IBM Security AppScan Source」を削除します。
Linux プラットフォームからの削除
Linux にインストールする場合、実行すると AppScan Source を削除できるスクリ
プトが作成されます。
このタスクについて
アンインストールを行う場合は、インストール時と同じユーザーでアンインストー
ルする必要があります。 Linux 上に root としてソフトウェアをインストールした
場合は、root としてアンインストールする必要があります。
手順
1. <install_dir>/Uninstall_AppScan/AppScan_Uninstaller (<install_dir> は
AppScan Source インストール済み環境がある場所です) というスクリプトを見つ
けます。
2. このスクリプトを (sudo を使用して) 実行すると、製品の削除に使用されるウィ
ザードが表示されます。
OS X のプラットフォームからの削除
OS X にインストールする場合、実行すると AppScan Source を削除できるスクリ
プトが作成されます。
© Copyright IBM Corp. 2003, 2014
121
このタスクについて
アンインストールを行う場合は、インストール時と同じユーザーでアンインストー
ルする必要があります。
手順
1. <install_dir>/Uninstall_AppScan/AppScan_Uninstaller.sh (<install_dir> は
AppScan Source インストール済み環境がある場所です) というスクリプトを見つ
けます。
2. このスクリプトを (sudo を使用して) 実行すると、製品の削除に使用されるウィ
ザードが表示されます。
122
IBM Security AppScan Source: インストールと管理のガイド
第 9 章 AppScan Source の管理
このセクションでは、ユーザー管理、許可、アプリケーションとプロジェクトの登
録、およびポート構成について説明します。
AppScan Source 管理者は、AppScan Enterprise Server および AppScan Source の製
品をデプロイおよびインストールし、適切な特権および許可を指定してユーザーを
作成 (または AppScan Enterprise Server ユーザーの自動ログインを構成) する必要
があります。これらの作業を行うためには、管理者は、各ユーザーのロールと、必
要なデプロイメント・モデルについて把握していなければなりません。 また、他の
システム (障害追跡システムやディレクトリー・サーバーなど) を AppScan Source
および AppScan Enterprise Server と統合する必要があるかどうかについても、管理
者は確認する必要があります。
AppScan Source for Analysis および AppScan Enterprise Server のインストール構
成、サーバーへの接続方法、および各ユーザーが使用可能な機能を理解することも
重要です。 例えば、管理者は、AppScan Source アプリケーションおよびプロジェ
クトの構成方法や、それらの登録および公開方法について熟知している必要があり
ます。 詳細については、IBM Security AppScan Source for Analysis ユーザー・ガイ
ド を参照してください。
AppScan Source ユーザーは、AppScan Enterprise Server に同時に存在することがで
きます。あるいは、サーバーへのアクセスを許可しないユーザーを作成する必要が
ある場合は、該当するユーザーを AppScan Source ユーザーとしてローカルに作成
することができます。
ユーザー・アカウントおよび許可
AppScan Source ユーザーがスキャンまたは結果のトリアージを開始するには、管理
者がユーザー・アカウントを作成し、そのアカウントに許可を割り当てる必要があ
ります。
AppScan Source ユーザー許可は AppScan Source データベース に保存されてお
り、ユーザーが AppScan Enterprise Server にログインする時に適用されます。ロー
カル・モード で AppScan Source for Development を実行するユーザーは、完全な
AppScan Source 許可を持っています。
ユーザーの作成時、そのユーザーにロールを設定し、そのユーザーが使用可能な許
可を識別します。許可は、そのユーザーに許可される AppScan Source タスクを識
別します。 特に許可の一部として識別されないタスクは、すべてのユーザーが実行
できます。
注: ユーザー ID は変更できません。 ユーザー・アカウントを削除し、同じユーザ
ー ID でユーザーを再作成する必要があります。
© Copyright IBM Corp. 2003, 2014
123
許可グループ
許可
アプリケーションおよびプロジェクトの管理
登録 (アプリケーションとプロジェクトの登
録および登録抹消)
スキャン
登録済み項目の表示
属性の管理
属性の適用
評価管理
公開された評価の削除
評価の保存
評価の公開
公開された評価の表示
ナレッジベース・データベース管理
カスタム・ルールの管理
パターンの管理
管理
ユーザーの管理
AppScan Enterprise 設定の管理
フィルターの管理
共有フィルターの管理
スキャン構成
共有構成の管理 (スキャン構成の共有および
共有スキャン構成の編集/削除)
AppScan Source ユーザーの作成
AppScan Source ユーザーは、AppScan Enterprise Server ユーザー・リポジトリーお
よび AppScan Source データベース に含めることができます。また、サーバー上に
ユーザー・アカウントを持つことができないユーザーを使用したい場合には、それ
らのユーザーを代わりに AppScan Source ユーザーとして、AppScan Source データ
ベース 内に作成することができます。 AppScan Enterprise Server に存在するユー
ザーを、新規 AppScan Source ユーザーとして作成することもできます。
このタスクについて
AppScan Source ライセンスおよび個々のユーザー許可は、AppScan Source for
Analysis、 AppScan Source for Automation (Automation Server)、 AppScan Source
for Development (開発者プラグイン)、および AppScan Source コマンド行インター
フェース (CLI) へのアクセスを制御します。ユーザー・アカウントの追加、削除、
および編集や、システム・ライセンスに関する情報の表示を行うことができます。
ユーザーを作成および変更する際、必要に応じて、許可も割り当てます。
ユーザーは、AppScan Source for Analysis ユーザー・インターフェース、または
CLI で作成することができます (CLI でユーザーを作成する方法について詳しく
は、IBM Security AppScan Source Utilities ユーザー・ガイド を参照してくださ
い)。 AppScan Source for Analysis ユーザー・インターフェースで、AppScan
Enterprise Server ユーザーの自動ログインを設定することもできます ( 126 ページの
『AppScan Enterprise Server ユーザーの自動ログインを構成』 を参照してくださ
い)。
124
IBM Security AppScan Source: インストールと管理のガイド
AppScan Source for Analysis のユーザー・インターフェースでユーザーを作成する
には、以下の手順を実行します。
手順
1. AppScan Source for Analysis の「管理」メニューから、「ユーザーの管理」をク
リックします。
2. 「ユーザーの管理」ダイアログ・ボックスに、既存の AppScan Source ユーザー
がリストされます。 AppScan Enterprise Server ユーザー・リポジトリーに存在
するユーザーは、ローカルの AppScan Source データベースおよび AppScan
Enterprise Server に存在します。 AppScan Source リポジトリーに存在するユー
ザーは、AppScan Source データベースのみに存在します。
3. 「ユーザーの追加」をクリックして、「ユーザーの追加」ダイアログ・ボックス
を開きます。
4. デフォルトでは、新規ユーザーは AppScan Source データベースおよび AppScan
Enterprise Server に作成されます。ユーザーを AppScan Source データベース の
みに作成するには、「AppScan Source リポジトリーにユーザーを保管」チェッ
ク・ボックスを選択します。
5. 「AppScan Source リポジトリーにユーザーを保管」を選択しない場合は、「ユ
ーザー ID」、ユーザーの「名前」 (最大 255 文字)、および「E メール」を入
力します。 これらは必須フィールドです。 ユーザーが既に AppScan Enterprise
Server に存在する場合は、「ユーザーの検索」をクリックし、追加するユーザー
を「既存のユーザーの検索」ダイアログ・ボックスで選択し、「OK」をクリッ
クします。これにより、「既存のユーザーの検索」ダイアログ・ボックスが閉
じ、「ユーザーの追加」ダイアログ・ボックスの必須フィールドが設定されま
す。
注: AppScan Enterprise Server ユーザーによって使用される資格情報は、常に、
AppScan Source へのログイン時に使用される資格情報と同じです。いずれかの
製品で資格情報を変更すると、その変更が、もう一方の製品で自動的に有効にな
ります。
注: 場合によっては、AppScan Enterprise Server ユーザーを作成できないことが
あります。詳しくは、 127 ページの『AppScan Enterprise Server ユーザー作成の
ための要件』を参照してください。
6. 「AppScan Source リポジトリーにユーザーを保管」を選択した場合は、「ユー
ザー ID」を入力した後、ユーザーのパスワードを入力します (確認のために 2
回入力してください。パスワードは 6 文字から 16 文字までです)。これらは必
須フィールドです。 オプションで、ユーザーの「名前」 (最大 255 文字) およ
び「E メール」を追加することもできます。
7. 許可ツリーを展開し、ユーザーの許可を示すチェック・ボックスを選択します。
8. 「OK」をクリックして、ユーザーを作成します。 ユーザーを AppScan
Enterprise Server に作成する場合、ユーザーのパスワードは、自動的にユーザー
ID と同じになるように設定されます。 各ユーザーは、このパスワードをできる
だけ早く変更する必要があります (説明については、 129 ページの『パスワード
の変更』を参照してください)。
第 9 章 AppScan Source の管理
125
タスクの結果
このトピックで説明した設定を使用して、ユーザーを編集することもできます。そ
の場合は、「ユーザーの管理」ダイアログ・ボックスでユーザーを選択して「ユー
ザーの編集」をクリックします。 同様に、ユーザーを選択して「ユーザーの削除」
をクリックすることにより、ユーザーを削除できます。
AppScan Enterprise Server ユーザーの自動ログインを構成
デフォルトでは、AppScan Enterprise Server ユーザーは AppScan Source にログイ
ンすることができ、自動的に AppScan Source ユーザーになります。このトピック
の説明に従い、AppScan Source for Analysis ユーザー・インターフェースで、この
フィーチャーを構成することができます。
手順
1. AppScan Source for Analysis の「管理」メニューから、「ユーザーの管理」をク
リックします。
2. 「ユーザーの管理」ダイアログ・ボックスで、「AppScan Enterprise Server ユ
ーザーのログインを構成」リンクをクリックします。
3. 「AppScan Enterprise Server ユーザーのログインを構成」ダイアログ・ボックス
では、このフィーチャーを有効にして、AppScan Enterprise Server ユーザーの初
期の許可を設定できます。
v デフォルトでは、AppScan Enterprise Server ユーザーは AppScan Source にロ
グインすることができます。このフィーチャーを無効にするには、「AppScan
Enterprise Server ユーザーによるログインを許可」チェック・ボックスを選
択解除します。
v デフォルトでは、AppScan Enterprise Server ユーザーは AppScan Source への
ログイン時には以下の許可を持っています。
– 登録
– スキャン
– 登録済み項目の表示
– 属性の管理
– 属性の適用
– 評価の保存
許可ツリーを展開し、AppScan Enterprise Server ユーザーに適した初期設定を
示すチェック・ボックスを選択します。使用可能なすべての許可のリストにつ
いては 123 ページの『ユーザー・アカウントおよび許可』 を参照してくださ
い。
4. 「OK」をクリックして、「AppScan Enterprise Server ユーザーのログインを構
成」ダイアログ・ボックスを閉じてから「ユーザーの管理」ダイアログ・ボック
スを閉じてください。
タスクの結果
AppScan Enterprise Server ユーザーが初めて AppScan Source にログインすると、
AppScan Enterprise Server へのログインに使用したものと同じ認証資格情報を持つ
126
IBM Security AppScan Source: インストールと管理のガイド
AppScan Source ユーザー・アカウントが作成されます。このアカウントは作成後に
変更できます (例えばその許可の変更など)。
このフィーチャーを無効にする場合、 124 ページの『AppScan Source ユーザーの作
成』 の説明に従って、AppScan Enterprise Server ユーザーを手動で作成する必要が
あります。
AppScan Enterprise Server ユーザー作成のための要件
ユーザーを AppScan Enterprise Server ユーザー・リポジトリーに追加できない場合
があります。 その原因としては、サーバー上に必要な JazzAdmins 許可が欠落して
いること (Jazz 認証を使用して構成されている場合)、あるいはサーバー構成に読み
取り専用ユーザー・リポジトリーが含まれていること (例えば、LDAP や Windows
認証) などが考えられます。このどちらの場合でも「ユーザーの追加」ダイアロ
グ・ボックスに、この問題について警告するメッセージが表示されます。
既存の AppScan Source ユーザーの AppScan Enterprise Server ユーザーは、「ユー
ザーの検索」フィーチャーを使用すると、引き続き作成できます。あるいは、
AppScan Source リポジトリーに新規ユーザーを作成できます。
新規 AppScan Enterprise Server ユーザーを作成するには、システム管理者に依頼し
て JazzAdmins 許可を取得してください。あるいは、LDAP ユーザー・ディレクト
リーに新規ユーザーを作成することを依頼するか、Windows 認証を使用している場
合は Active Directory サーバーに新規ユーザーを作成することを依頼してくださ
い。
Automation Server のユーザー・アカウントの作成
Automation Server を使用するためにはユーザー・アカウントが必要です。このユー
ザー・アカウントは、インストール時に、またはインストール後にコマンド行を使
用して、Automation Server に登録しなければなりません。 対応する AppScan
Source ユーザー・アカウントも、インストール後に AppScan Source for Analysis
または AppScan Source コマンド行インターフェース (CLI) を使用して手動で作成
する必要があります。このトピックでは、AppScan Source for Analysis を使用して
このアカウントを作成する方法を説明します。
手順
1. 新規ユーザーの作成方法については、 124 ページの『AppScan Source ユーザー
の作成』 の説明に従ってください。あるいは、AppScan Enterprise Server ユー
ザーの自動作成を有効にしてください ( 126 ページの『AppScan Enterprise Server
ユーザーの自動ログインを構成』 を参照してください)。
2. Automation Server を使用するすべてのユーザーには、必ず Automation Server ロ
グインに指定した同じユーザー名およびパスワードを指定してください。その他
の設定 (許可など) は、必要に応じて指定することができます。
AppScan Enterprise Server への Rational AppScan Source
Edition for Core ユーザーのマイグレーション
旧バージョンの Rational AppScan Source Edition からアップグレードする場合は、
ユーザーを AppScan Enterprise Server にマイグレーションできます。
第 9 章 AppScan Source の管理
127
手順
1. AppScan Source for Analysis のユーザー・インターフェースからユーザーを変更
するには、以下のようにします。
a. ワークベンチのメインメニューで、「管理」 > 「ユーザーの管理」を選択し
ます。
b. 「ユーザーの管理」ダイアログ・ボックスに、現在の Rational AppScan
Source Edition for Core ユーザーが、「ユーザー・リポジトリー」が
「AppScan Source」になった状態でリストされます。 サーバーにマイグレ
ーションするユーザーを選択し、「ユーザーの編集」をクリックします。
c. 「ユーザーの編集」ダイアログ・ボックスで、「AppScan Source ユーザー・
リポジトリー」チェック・ボックスを選択解除した後、すべての必須フィー
ルド (「ユーザー ID」、「名前」、および「E メール」) が入力されている
ことを確認します。 このダイアログ・ボックスでの入力に関する詳しい説明
は、 124 ページの『AppScan Source ユーザーの作成』を参照してください。
d. 「OK」をクリックして、ユーザーを AppScan Enterprise Server にマイグレ
ーションします。「ユーザーの管理」ダイアログ・ボックスに戻ると、その
ユーザーの「ユーザー・リポジトリー」に「AppScan Enterprise Server」と
示されます。
2. AppScan Source のコマンド行インターフェースからユーザーを変更するには、
以下のようにします。
a. オプション: listusers コマンドを実行し、ユーザーのリストを表示します。
現在「AppScan Source」ユーザー・リポジトリーに存在するユーザーには
local のマークが付いています。
b. local パラメーターを false に設定して、ユーザーに対して moduser コマ
ンドを実行します。
c. AppScan Source コマンド行インターフェース (CLI) コマンドについて詳しく
は、オンライン・ヘルプ、または IBM Security AppScan Source Utilities ユー
ザー・ガイド の AppScan Source コマンド行インターフェース (CLI) セクシ
ョンを参照してください。
タスクの結果
ユーザーのパスワードは、ユーザー ID と同じになるように自動的に設定されます
(例えば、ユーザー ID が jsmith の場合は、パスワードは jsmith になります。以
前の Rational AppScan Source Edition for Core パスワードは保持されません)。各ユ
ーザーは、このパスワードをできるだけ早く変更する必要があります (説明につい
ては、 129 ページの『パスワードの変更』を参照してください)。
LDAP 認証を使用するように AppScan Enterprise Server が構成されている場合、パ
スワードは組織の LDAP インフラストラクチャーによって管理されます。
ユーザー・アクティビティーの監査
AppScan Source は、ユーザー・アクティビティーを監査するための便利な機能を提
供します。 「監査」ビューでは、AppScan Enterprise Server に対する認証、新規ユ
ーザーの作成、データベースでの新規ルールの作成などのイベントが記録されま
す。
128
IBM Security AppScan Source: インストールと管理のガイド
「監査」ビューを開くには、メインメニューから「管理」 > 「監査」を選択しま
す。
注: 「監査」ビューを使用するには「ユーザーの管理」許可が必要です。適切な許
可なくビューを開くと、エラーになります。AppScan Source 許可については、 123
ページの『ユーザー・アカウントおよび許可』を参照してください。
AppScan Source 製品からの AppScan Enterprise Server へのログイン
ほとんどの AppScan Source 製品とコンポーネントでは、AppScan Enterprise Server
への接続が必要です。このサーバーは、ユーザーの集中管理機能と、AppScan
Source データベースを介して評価を共有するメカニズムを提供します。
AppScan Source for Analysis を起動すると、ログインするように求めるプロンプト
が出されます。 サーバー・モード で AppScan Source for Development を実行する
場合、スキャンの起動、スキャン構成の表示、またはパスワード変更など、サーバ
ーへのアクセスが必要なアクションを初めて開始する際には、ログインするための
プロンプトが表示されます。
AppScan Source for Analysis では、ログイン時に以下の情報が要求されます。
v ユーザー ID: ご使用のユーザー ID を指定します (アカウントのセットアップに
応じて、AppScan Enterprise Server と AppScan Source データベースの両方に存
在するユーザー ID を指定するか、または AppScan Source データベースのみに
存在するユーザー ID を指定します)。
v パスワード: ご使用のユーザー ID のパスワードを指定します。
v AppScan Enterprise Server: ご使用の AppScan Enterprise Server インスタンスの
URL を指定します。
AppScan Source for Development では、ログイン時に以下の情報が要求されます。
v サーバー URL: ご使用の AppScan Enterprise Server インスタンスの URL を指
定します。
v ユーザー ID: ご使用のユーザー ID を指定します (アカウントのセットアップに
応じて、AppScan Enterprise Server と AppScan Source データベースの両方に存
在するユーザー ID を指定するか、または AppScan Source データベースのみに
存在するユーザー ID を指定します)。
v パスワード: ご使用のユーザー ID のパスワードを指定します。
ログイン・アクションは、AppScan Source for Automation または AppScan Source
コマンド行インターフェース (CLI) を実行する際にも必要です。詳しくは、「IBM
Security AppScan Source Utilities ユーザー・ガイド」を参照してください。
AppScan Enterprise Server の SSL 証明書については、 130 ページの『AppScan
Enterprise Server の SSL 証明書』を参照してください。
パスワードの変更
このトピックでは、パスワードの変更手順について説明します。 LDAP 認証または
Windows 認証を使用するように AppScan Enterprise Server が構成されている場合、
この機能は使用できません。
第 9 章 AppScan Source の管理
129
手順
1. メインメニューから「管理」 > 「パスワード変更」を選択します。
2. 以前のパスワードを入力します。
3. 新規パスワードを入力し、確認します。
4. 「OK」をクリックして、パスワードを変更します。
注: AppScan Enterprise Server ユーザーによって使用される資格情報は、常に、
AppScan Source へのログイン時に使用される資格情報と同じです。いずれかの
製品で資格情報を変更すると、その変更が、もう一方の製品で自動的に有効にな
ります。
AppScan Enterprise Server の SSL 証明書
AppScan Enterprise Server のインストール時に、有効な SSL 証明書を使用するよう
に構成する必要があります。これを行なわないと、AppScan Source for Analysis ま
たは AppScan Source コマンド行インターフェース (CLI) - あるいは Windows お
よび Linux 上の AppScan Source for Development からサーバーにログインすると
きに、「信頼できない接続」というメッセージが表示されます。
SSL 証明書の保管場所
永続的に受け入れられた証明書は、<data_dir>¥config¥cacertspersonal と
<data_dir>¥config¥cacertspersonal.pem (<data_dir> は、ご使用の AppScan
Source プログラム・データの場所です。詳しくは、 68 ページの『インストールとユ
ーザー・データ・ファイルの場所』 を参照してください。) に保管されます。証明
書を永続的に保管する必要がなくなった場合は、これら 2 つのファイルを削除して
ください。
AppScan Source for Automation と SSL 証明書の検証
デフォルトでは、AppScan Source for Automation の使用時に、証明書が自動的に受
け入れられます。この動作は、Automation Server 構成ファイル
(<data_dir>¥config¥ounceautod.ozsettings (<data_dir> は、ご使用の AppScan
Source プログラム・データの場所です。詳しくは、 68 ページの『インストールとユ
ーザー・データ・ファイルの場所』 を参照してください。)) の
ounceautod_accept_ssl 設定によって決まります。この設定を編集して、
value="true" を value="false" に設定すると、SSL 検証が試行され、無効な証明
書が検出された場合、AppScan Enterprise Console に対するログインや公開は失敗し
てエラーが出力されます。
AppScan Source コマンド行インターフェース (CLI) と SSL 証明
書の検証
デフォルトでは、CLI login コマンドを使用すると、SSL 検証が試行され、無効な
証明書が検出された場合 (別の AppScan Source クライアント製品でログインしたと
きに、証明書を永続的に受け入れていない場合) は AppScan Enterprise Console へ
のログインまたは公開がエラーとなって失敗します。この動作は、login コマンド
の実行時にオプションの -acceptssl パラメーターを使用することにより変更でき
ます。このパラメーターを使用すると、SSL 証明書が自動的に受け入れられます。
130
IBM Security AppScan Source: インストールと管理のガイド
LDAP 統合
LDAP ユーザーがまだ AppScan Source ユーザー・リポジトリーに存在しない場
合、その LDAP ユーザーを AppScan Enterprise Server ユーザー・リポジトリーに
追加することはできません。 LDAP を介して認証される AppScan Source ユーザー
を追加するには、LDAP リポジトリーを使用するように AppScan Enterprise Server
ユーザー・リポジトリーを構成しておく必要があります。これについては、AppScan
Enterprise Server の「計画およびインストール・ガイド」を参照してください。
LDAP 認証を使用していて、LDAP ユーザー・グループに属していない AppScan
Source ユーザーを追加するときは、「ユーザーの追加」ダイアログ・ボックスで
「AppScan Source リポジトリーへのユーザーの保管」チェック・ボックスを選択
することにより、ローカルの AppScan Source ユーザー・リポジトリーにユーザー
を作成します。作成手順については、 124 ページの『AppScan Source ユーザーの作
成』を参照してください。
AppScan Source に公開するためのアプリケーションおよびプロジェクト
の登録
アプリケーション/プロジェクトの登録および評価結果の公開を行うことで、重要な
セキュリティー・データをチーム内で共有できるようになります (評価は AppScan
Source データベースに公開されます)。適切な特権および許可を持つユーザーは、
AppScan Source for Analysis を使用して、これらの評価結果にアクセスできます。
一部の実装環境では、アプリケーション/プロジェクトの登録および評価結果の公開
は、管理者の責任で行うタスクです。 その他の実装環境では、これらはプロジェク
ト・リーダー/セキュリティー・アナリストの責任で行うタスクです。 これらのタス
クを実施する必要がある担当者のみに限定して許可を与えることをお勧めします。
AppScan Source アプリケーションおよびプロジェクト・ファイル
AppScan Source のアプリケーションおよびプロジェクトには、スキャンおよびトリ
アージのカスタマイズに必要な構成情報を保守する対応ファイルがあります。プロ
ジェクトをビルドするために必要な構成情報 (依存関係やコンパイラー・オプショ
ンなど) は、AppScan Source がプロジェクトを正常にスキャンするために必要な構
成情報と非常に似ているため、これらのファイルはソース・コードと同じディレク
トリーに配置することをお勧めします。 ベスト・プラクティスとしては、これらの
ファイルをソース・コントロール・システムで管理する方法が挙げられます。
サポートされるビルド統合ツール (Ounce/Ant、または Ounce/Maven など) を使用し
て AppScan Source アプリケーション・ファイルおよびプロジェクト・ファイルを
生成する場合、これらを開発チーム間で共有できるように、ビルド自動化処理の一
環としてソース・コントロール・システムでこれらのファイルを更新することをお
勧めします。 開発者が、ソース・コントロール・システムでファイルのローカル・
ビューを更新すると、AppScan Source のアプリケーション・ファイルおよびプロジ
ェクト・ファイルも更新されます。これにより、チーム全体が、一貫性のあるファ
イル・セットを使用して作業できます。
第 9 章 AppScan Source の管理
131
AppScan Source for Analysis で作成されたアプリケーションおよびプロジェクトに
は、それぞれ .paf および .ppf という拡張子が付けられます。 これらのファイル
は、AppScan Source for Analysis ユーザー・インターフェースまたはサポートされ
ている AppScan Source ユーティリティーを使用してアプリケーションあるいはプ
ロジェクトを手動で作成して構成するときに生成されます。
Windows では、Microsoft ソリューションおよびプロジェクトを AppScan Source
for Analysis にインポートすると、それらに対応するファイル (拡張子は .gaf およ
び .gpf) が作成されます。
OS X では、Xcode ディレクトリーおよびプロジェクトを AppScan Source for
Analysis にインポートすると、それらに対応するファイル (拡張子は
.xcodeproj.gaf および .xcodeproj.gpf) が作成されます。
注: Eclipse Importer を Eclipse または Rational Application Developer for
WebSphere Software (RAD) ワークスペースで実行すると、AppScan Source は、
.ewf および .epf という拡張子の中間ファイルを作成します。これらのファイル
は、AppScan Source for Analysis への初回インポート時、および後でスキャンを実
行するときに必要です。
表 3. AppScan Source ファイル
AppScan Source ファイル拡張子
説明
ppf
v AppScan Source プロジェクト・ファイル
v AppScan Source for Analysis またはサポー
トされている AppScan Source ユーティリ
ティーでプロジェクトを作成するときに生
成されます。
v 名前はユーザー指定
paf
v AppScan Source アプリケーション・ファ
イル
v AppScan Source for Analysis またはサポー
トされている AppScan Source ユーティリ
ティーでアプリケーションを作成するとき
に生成されます。
v 名前はユーザー指定
gaf
v Microsoft ソリューションをインポートす
る場合に生成される AppScan Source アプ
リケーション・ファイル
v カスタム・アプリケーション情報 (除外設
定やバンドルなど) を保持するために使用
されます。
v インポートするワークスペースまたはソリ
ューションの名前が採用されます。 例:
d:¥my_apps¥myapp.sln
d:¥my_apps¥myapp.sln.gaf
132
IBM Security AppScan Source: インストールと管理のガイド
表 3. AppScan Source ファイル (続き)
AppScan Source ファイル拡張子
説明
gpf
v Microsoft プロジェクトをインポートする
場合に生成される AppScan Source プロジ
ェクト・ファイル
v カスタム・プロジェクト情報 (パターンや
除外設定など) を保持するために使用され
ます。
v インポートするプロジェクトの名前が採用
されます。例:
d:¥my_projects¥myproject.vcproj
d:¥my_projects¥myproject.vcproj.gpf
.xcodeproj.gaf
v Xcode ディレクトリーをインポートする場
合に生成される AppScan Source アプリケ
ーション・ファイル
v カスタム・アプリケーション情報 (除外設
定やバンドルなど) を保持するために使用
されます。
v インポートするワークスペースまたはソリ
ューションの名前が採用されます。 例:
/Users/myUser/myProject.xcodeproj
/Users/myUser/myProject.xcodeproj.gaf
.xcodeproj.gpf
v Xcode プロジェクトをインポートする場合
に生成される AppScan Source プロジェク
ト・ファイル
v カスタム・プロジェクト情報 (パターンや
除外設定など) を保持するために使用され
ます。
v インポートするプロジェクトの名前が採用
されます。例:
/Users/myUser/myProject.xcodeproj
/Users/myUser/myProject.xcodeproj.gpf
ewf
v Eclipse ワークスペース・ファイル
v Eclipse ワークスペースを AppScan Source
にインポートするときに生成されます。
v Eclipse エクスポーターが Eclipse ワーク
スペース内の情報に基づいてファイルを作
成し、AppScan Source がそのファイルを
インポートします。
第 9 章 AppScan Source の管理
133
表 3. AppScan Source ファイル (続き)
AppScan Source ファイル拡張子
説明
epf
v Eclipse プロジェクト・ファイル
v Eclipse プロジェクトを AppScan Source
にインポートするときに生成されます。
v Eclipse エクスポーターが Eclipse プロジ
ェクト内の情報に基づいてファイルを作成
し、AppScan Source がそのファイルをイ
ンポートします。
ポート構成
AppScan Source 製品を導入するには、これらのコンポーネントがインストールされ
るコンピューター上で特定のポートが開かれている必要があります。 『デフォルト
のオープン・ポート』の表は、ポートの使用法に関する情報を示しています。 各ポ
ートを構成可能です。
デフォルトのオープン・ポート
リモート通信用のデフォルトのオープン・ポート
ポート
コンポーネント
プロトコル
443 および 9443
AppScan Enterprise Server
HTTPS
2315
IBM solidDB
solidDB
ローカル・ホスト・アクセス用のデフォルトのオープン・ポート
ポート
コンポーネント
プロトコル
443 および 9443
AppScan Enterprise Server
HTTPS
13194-13294
AppScan Source for Analysis
IIOP
AppScan Source for
Automation
IIOP
(この範囲内の 1 つのポート
のみ使用)
13205
ライセンス・サーバーのポート
AppScan Source に対するフローティング・ライセンスのサービス提供は、Rational
License Key Server を使用して行われます。ファイアウォールを介して、または別
のネットワークから AppScan Source フローティング・ライセンスを使用するに
は、多少の手動構成が必要です。 Rational License Key Server 上で lmgrd および
ibmratl ベンダー・デーモン用に License Manager ポートを構成し、次に、
AppScan Source ポートに加えてこれらの両方のポートをオープン/転送する必要があ
ります。詳しくは、Rational License Key Server の資料を参照してください。 デフ
134
IBM Security AppScan Source: インストールと管理のガイド
ォルトでは、lmgrd ポートは 27000 に設定され、ibmratl ベンダー・デーモン・ポ
ートは動的に割り振られます。
ポート転送構成
ポート転送環境で作動させるには、AppScan Source システム・プロパティーの構成
を変更する必要があります。 該当する設定の変更方法について詳しくは、IBM サ
ポート担当員にお問い合わせください。
IBM solidDB ポートの変更
このタスクについて
solidDB 通信ポート番号を変更するには、AppScan Source データベース をインスト
ールしたマシンにアクセスし、このトピックの手順に従ってください。
重要: solidDB ポートを変更する場合は、appscanserverdbmgr ツールを実行して、
更新後のデータベースの場所をサーバーに登録する必要があります。 このツールに
ついては、 84 ページの『AppScan Enterprise Server への AppScan Source データベ
ースの登録』を参照してください。
手順
1. <install_dir>¥solidDB¥appscansrc¥solid.ini (Windows の場合) または
<install_dir>/soliddb/appscansrc/solid.ini (Linux の場合) (<install_dir>
は AppScan Source インストール済み環境がある場所です) を開きます。このフ
ァイルで、NETWORK NAME 設定を見つけてそのポート番号値を変更します。 例え
ば、Windows 上にデータベースがインストールされていて、そのポート番号を
12345 に変更したい場合は、Listen=tcpip 2315, nmpipe SOLID ; Windows
(Windows 上の設定のデフォルト値) を見つけて、その値を Listen=tcpip
12345, nmpipe SOLID ; Windows に変更します。 ファイルへの変更内容を保存
します。
2. <data_dir>¥config¥database.ozsettings (Windows の場合) または
<data_dir>/config/database.ozsettings ( Linux の場合) (<data_dir> は、ご
使用の AppScan Source プログラム・データの場所です。詳しくは、 68 ページ
の『インストールとユーザー・データ・ファイルの場所』 を参照してくださ
い。) を開きます。このファイルで、db_connection_information 設定を見つけ
てそのポート番号値を変更します。 例えば、ポート番号を 12345 に変更する場
合は、value="tcp localhost 2315" を見つけて、その値を value="tcp
localhost 12345" に変更します。 ファイルへの変更内容を保存します。
3. IBM Security AppScan Source DB サービスを再始動します。
インストール後の IBM solidDB ユーザー・パスワードの変更
製品のインストール時に IBM solidDB データベースをインストールする場合は、
solidDB のユーザーおよび管理ユーザーの資格情報を構成する必要があります。 デ
フォルトで、solidDB ユーザーの設定は、ユーザー名が ounce、パスワードが
ounce です。デフォルトのデータベース管理者のユーザー名とパスワードはどちら
も dba です。
第 9 章 AppScan Source の管理
135
このタスクについて
これら 2 つのユーザー・アカウントのいずれかのパスワードを変更するには、この
トピックで紹介している以下の手順に従います。
重要: solidDB ポートを変更する場合は、appscanserverdbmgr ツールを実行して、
更新後のデータベースの場所をサーバーに登録する必要があります。 このツールに
ついては、 84 ページの『AppScan Enterprise Server への AppScan Source データベ
ースの登録』を参照してください。
手順
1. コマンド・プロンプトで、<install_dir>¥solidDB¥bin (<install_dir> は
AppScan Source インストール済み環境がある場所です) にディレクトリーを移動
します。
2. コマンド solsql.exe "tcp 2315" (Windows の場合) または solsql "tcp 2315"
(Linux の場合) を発行します。
3. Username の入力を求めるプロンプトが出されたら、現在構成されている
solidDB 管理ユーザー名を入力します。 これは、デフォルトでは dba です。
4. Password の入力を求めるプロンプトが出されたら、現在構成されている
solidDB 管理パスワードを入力します。 これは、デフォルトでは dba です。
5. コマンド alter user <db_username> identified by <new_password>; を発行し
ます。 このコマンドの説明は以下のとおりです。
v <db_username> は、パスワードを変更する solidDB ユーザーです。 solidDB
ユーザー・パスワードを変更することも、solidDB 管理ユーザー・パスワード
を変更することもできます。
v <new_password> は、<db_username> に対して設定する新しいパスワードで
す。
例えば、デフォルトの管理ユーザー・パスワードを newpassword123 に変更する
場合は、コマンド alter user dba identified by newpassword123; を発行しま
す。
6. solidDB ユーザーのパスワード変更を完了させるために、コマンド commit
work; を発行してから、コマンド exit; を発行します。
7. オプション: このステップは、solidDB ユーザー・パスワードを変更した場合に
のみ、実行する必要があります。 solidDB 管理ユーザー・パスワードを変更す
る場合は、このステップは実行しないでください。 solidDB ユーザー・パスワ
ードを変更したら、AppScan Source データベースに登録されているパスワード
を変更する必要があります。
a. コマンド・プロンプトを開き、ディレクトリーを <install_dir>¥bin
(<install_dir> は AppScan Source インストール済み環境がある場所です)
に移動します。
b. Windows の場合は、コマンド OunceServer.exe -a <new_password> を発行
します。 Linux の場合は、コマンド ounceserverd -a <new_password> を発
行します。 いずれの場合も、<new_password> は、上記の手順で solidDB ユ
ーザー・パスワードを変更したときに指定した新しいパスワードです。
136
IBM Security AppScan Source: インストールと管理のガイド
AppScan Source 定義済みフィルター (バージョン 8.7.x 以前)
このトピックでは、AppScan Source バージョン 8.7.x 以前に含まれていた定義済み
フィルターのリストを示します。
これらのフィルターにアクセスする必要がある場合は、 138 ページの『アーカイブ
定義済みフィルターの復元』の説明のとおりに行います。
! - 厳選テスト
このフィルターは、最も危険な脆弱性カテゴリーのいずれかに属する検出結果とマ
ッチングします。外部ネットワーク通信ソースから発信される検出結果のみが含ま
れます。このフィルターは、リスクの高い検出結果を特定するための開始点を絞り
込んで提供します。このフィルターに含まれる具体的なカテゴリーは、以下のとお
りです。
Vulnerability.BufferOverflow
Vulnerability.BufferOverflow.FormatString
Vulnerability.PathTraversal
Vulnerability.CrossSiteScripting
Vulnerability.CrossSiteScripting.Reflected
Vulnerability.CrossSiteScripting.Stored
Vulnerability.Injection
Vulnerability.Injection.LDAP
Vulnerability.Injection.SQL
Vulnerability.Injection.OS
Vulnerability.Injection.XML
Vulnerability.Injection.XPath
高優先度 - 外部通信
このフィルターは、アプリケーションの外部からネットワーク経由で発信された検
出結果にマッチングします。このフィルターは、いずれかの
Technology.Communications ソースから発信された検出結果にマッチングします。
高優先度 - 重要なタイプ
このフィルターは、CrossSiteScripting や Injection.SQL など、いくつかの最も
危険な脆弱性カテゴリーに属する検出結果を含みます。このフィルターに含まれる
具体的なカテゴリーは、以下のとおりです。
Vulnerability.AppDOS
Vulnerability.Authentication.Credentials.Unprotected
Vulnerability.Authentication.Entity
Vulnerability.BufferOverflow
Vulnerability.BufferOverflow.FormatString
Vulnerability.CrossSiteScripting
Vulnerability.CrossSiteScripting.Reflected
Vulnerability.CrossSiteScripting.Stored
Vulnerability.Injection
Vulnerability.Injection.LDAP
Vulnerability.Injection.OS
Vulnerability.Injection.SQL
Vulnerability.Injection.XML
Vulnerability.Injection.XPath
Vulnerability.PathTraversal
第 9 章 AppScan Source の管理
137
低優先度 - テスト・コード
このフィルターは、テスト・コードからの検出結果を含みます。このフィルターの
具体的なタイプには、次のものが含まれます。
Vulnerability.Quality.TestCode
ノイズ - コピーのような操作
このフィルターは、コピーのような操作からの検出結果を含みます。データの取得
元のソースは信頼できることもできないこともありますが、データに対して実行さ
れるアクションは信頼できる場合、コピーのような操作に分類されます。
次のパターンが検索されます。
Technology.Database --> Vulnerability.Injection.SQL
Mechanism.SessionManagement --> Mechanism.SessionManagement
Technology.XML, Technology.XML.DOM, Technology.XML.Schema,
Technology.XML.XPath --> Vulnerability.AppDOS.XML,
Vulnerability.Injection.XML
ノイズ - ロギングの問題
このフィルターは、エラー処理に関連した検出結果を含みます。検出結果は、ロギ
ング・メカニズムのエラー処理ルーチンから発生する問題です。次のパターンがマ
ッチングします。
Mechanism.ErrorHandling -->
Vulnerability.Logging, Vulnerability.Logging.Forge, Vulnerability.Logging.Required
ノイズ - 低重大度
このフィルターは、重大度の低い検出結果を含みます。すべての分類が含まれま
す。
ノイズ - 信頼できるソース
このフィルターは、信頼できるソースからの検出結果を含みます。ソースが
java.lang.System.getProperty.* である検出結果のみがこのフィルターに含まれま
す。
アーカイブ定義済みフィルターの復元
このタスクで説明する手順を実行することにより、バージョン 8.8 より前の
AppScan Source で提供されていた定義済みフィルターを再び製品に追加できます。
単一のマシンに復元した後は、ユーザーが作成するフィルターと同じ方法で管理で
きます (例えば、複数のクライアント間で共有できます)。
このタスクについて
アーカイブ定義済みフィルターは、<data_dir>¥archive¥filters (<data_dir> は、
ご使用の AppScan Source プログラム・データの場所です。詳しくは、 68 ページの
『インストールとユーザー・データ・ファイルの場所』 を参照してください。) に
あります。
138
IBM Security AppScan Source: インストールと管理のガイド
手順
1. <data_dir>¥archive¥filters 内で、復元するフィルターを見つけます (AppScan
Source フィルターには .off ファイル拡張子が付いています)。
2. フィルターを <data_dir>¥scanner_filters にコピーします。
3. AppScan Source を再始動します。
次のタスク
フィルターを管理する方法については (復元したアーカイブ・フィルターを含む)、
『「フィルター・エディター」ビューでのフィルターの作成および管理』を参照し
てください。
「フィルター・エディター」ビューでのフィルターの作成および管理
このビューでは、フィルターの作成、編集、保存、削除、および管理を行うことが
できます。AppScan Source for Analysis を使用している場合、フィルターを共有し
たり、他のユーザーに共有されているフィルターにアクセスしたりすることができ
ます。AppScan Source for Development では、サーバー・モード を使用しており、
AppScan Enterprise Server にログインしている場合、共有フィルターにアクセスで
きます。
手順
1.
140 ページの『「フィルター・エディター」ビュー』のツールバーで、「新規」
をクリックします。新規フィルターにつく名前は Untitled<-number> (最初のタ
イトルのない新規フィルターは Untitled、次のタイトルのない新規フィルター
は Untitled-1、以下同様) です。
注: AppScan Source for Development (Visual Studio プラグイン) では、このビュ
ーは「フィルターの編集」ウィンドウの一部です。
2. カテゴリーを展開し、必要なフィルター基準を選択します。
3. 「保存」または「名前を付けて保存」をクリックします。
4. フィルターに名前を付け、「OK」をクリックします。フィルター・リストの
Untitled<-number> が、新規フィルター名に置き換わります。
次のタスク
フィルターを適用するには、「フィルター・エディター」ビューのドロップダウ
ン・メニューでフィルターを選択します。
注: 「脆弱性マトリックス」ビューの外部で適用されるフィルターは、「脆弱性マ
トリックス」ビューには影響を及ぼさない場合があります。フィルターが「脆弱性
マトリックス」ビューに反映されるようにするには、「脆弱性マトリックス」ビュ
ーの「フィルターに掛けた検出結果の数を表示」ツールバー・ボタンを選択する必
要があります。
フィルターは、リスト内でフィルターを選択してから操作することによって、「フ
ィルター・エディター」ビュー内で直接管理できます。あるいは、「フィルターの
第 9 章 AppScan Source の管理
139
管理」をクリックして「フィルターの管理」ダイアログ・ボックスを開くことがで
き、このダイアログ・ボックスに、保存されたフィルターのリストが表示されま
す。
v フィルターの変更:「フィルター・エディター」ビューまたは「フィルターの管
理」ダイアログ・ボックスでフィルターを選択し、そのフィルター・ルールを変
更して、変更内容を保存します。
注: 組み込みフィルターは、変更または削除できません。
v フィルターの削除:「フィルター・エディター」ビューまたは「フィルターの管
理」ダイアログ・ボックスでフィルターを選択し、「削除」をクリックします。
「フィルターの管理」ダイアログ・ボックスで、複数のフィルターを選択し、
「削除」をクリックしてそれらを一度に削除することができます。
v 別のフィルターからのフィルターの作成: フィルターを変更し、「名前を付けて
保存」をクリックして、新しい名前のフィルターとして保存することができま
す。こうすることで、既存のフィルターの設定をベースとして新規フィルターを
作成できます。この操作は、「フィルター・エディター」ビューおよび「フィル
ターの管理」ダイアログ・ボックスの両方で実行できます。
ヒント: これと同じ操作は、フィルターを開き、「名前を付けて保存」操作を使
用して新しい名前で保存することによっても実行できます。その後、新規フィル
ターを開いて変更できます。この方式を選択すると、組み込みフィルターの 1 つ
から新規フィルターを作成できます。
v フィルター設定の復帰: フィルターのプロパティーを変更したが、それらの変更
を元に戻したい場合は、「復帰」をクリックして、フィルターを最後に保存され
た設定に戻します。このアクションは、「フィルター・エディター」ビューおよ
び「フィルターの管理」ダイアログ・ボックスの両方で実行できます。ダイアロ
グ・ボックスで、変更が保存されていないフィルターが複数ある場合、「復帰」
をクリックすると、変更が保存されていないすべての選択されたフィルターが、
保存された設定に戻されます。
v フィルターの共有 (AppScan Source for Analysis のみ): 共有フィルターを作成す
るには、フィルター・エディターでフィルターを開き、「フィルター・エディタ
ー」ビューのツールバーで「フィルターの共有」をクリックします。
注: 共有フィルターを変更、削除、または作成するには、「共有フィルターの管
理」許可が必要です。許可の設定については、「IBM Security AppScan Source イ
ンストールと管理のガイド」を参照してください。
「フィルター・エディター」ビュー
「フィルター・エディター」ビューでは、現在選択されているフィルターを、
AppScan Source ビューよりもきめ細かく操作することができます。このビューは、
フィルタリングが可能なすべての基準で構成されています。
注: AppScan Source for Development (Visual Studio プラグイン) では、このビュー
は「フィルターの編集」ウィンドウの一部です。
140
IBM Security AppScan Source: インストールと管理のガイド
ヒント: 「フィルター・エディター」ビューの「トレース」セクションでは、トレ
ース項目の上にカーソルを移動すると、項目の詳細が表示されます。
第 9 章 AppScan Source の管理
141
142
IBM Security AppScan Source: インストールと管理のガイド
特記事項
(C) Copyright IBM Corporation 2003, 2014.
本書の一部は、以下に基づいています。Design Patterns: Elements of Reusable
Object-Oriented Software, by Erich Gamma, Richard Helm, Ralph Johnson and John
Vlissides, Copyright (C) 1995 by Addison-Wesley Publishing Company, Inc. All rights
reserved.
本書は米国 IBM が提供する製品およびサービスについて作成したものであり、本
書に記載の製品、サービス、または機能が日本においては提供されていない場合が
あります。 日本で利用可能な製品、サービス、および機能については、日本 IBM
の営業担当員にお尋ねください。 本書で IBM 製品、プログラム、またはサービス
に言及していても、その IBM 製品、プログラム、またはサービスのみが使用可能
であることを意味するものではありません。 これらに代えて、IBM の知的所有権
を侵害することのない、機能的に同等の製品、プログラム、またはサービスを使用
することができます。 ただし、IBM 以外の製品とプログラムの操作またはサービ
スの評価および検証は、お客様の責任で行っていただきます。
IBM は、本書に記載されている内容に関して特許権 (特許出願中のものを含む) を
保有している場合があります。本書の提供は、お客様にこれらの特許権について実
施権を許諾することを意味するものではありません。 実施権についてのお問い合わ
せは、書面にて下記宛先にお送りください。
〒103-8510
東京都中央区日本橋箱崎町19番21号
日本アイ・ビー・エム株式会社
法務・知的財産
知的財産権ライセンス渉外
以下の保証は、国または地域の法律に沿わない場合は、適用されません。 IBM お
よびその直接または間接の子会社は、本書を特定物として現存するままの状態で提
供し、商品性の保証、特定目的適合性の保証および法律上の瑕疵担保責任を含むす
べての明示もしくは黙示の保証責任または保証条件は適用されないものとします。
国または地域によっては、法律の強行規定により、保証責任の制限が禁じられる場
合、強行規定の制限を受けるものとします。
この情報には、技術的に不適切な記述や誤植を含む場合があります。 本書は定期的
に見直され、必要な変更は本書の次版に組み込まれます。 IBM は予告なしに、随
時、この文書に記載されている製品またはプログラムに対して、改良または変更を
行うことがあります。
本書において製造元所有以外の Web サイトに言及している場合がありますが、便
宜のため記載しただけであり、決してそれらの Web サイトを推奨するものではあ
りません。 それらの Web サイトにある資料は、この IBM 製品の資料の一部では
ありません。それらの Web サイトは、お客様の責任でご使用ください。
© Copyright IBM Corp. 2003, 2014
143
IBM は、お客様が提供するいかなる情報も、お客様に対してなんら義務も負うこと
のない、自ら適切と信ずる方法で、使用もしくは配布することができるものとしま
す。
本プログラムのライセンス保持者で、(i) 独自に作成したプログラムとその他のプロ
グラム (本プログラムを含む) との間での情報交換、および (ii) 交換された情報の
相互利用を可能にすることを目的として、本プログラムに関する情報を必要とする
方は、下記に連絡してください。
Intellectual Property Dept. for Rational Software
IBM Corporation
20 Maguire Road
Lexington, Massachusetts 02421-3112
U.S.A.
本プログラムに関する上記の情報は、適切な使用条件の下で使用することができま
すが、有償の場合もあります。
本書で説明されているライセンス・プログラムまたはその他のライセンス資料は、
IBM 所定のプログラム契約の契約条項、IBM プログラムのご使用条件、またはそれ
と同等の条項に基づいて、IBM より提供されます。
この文書に含まれるいかなるパフォーマンス・データも、管理環境下で決定された
ものです。 そのため、他の操作環境で得られた結果は、異なる可能性があります。
一部の測定が、開発レベルのシステムで行われた可能性がありますが、その測定値
が、一般に利用可能なシステムのものと同じである保証はありません。 さらに、一
部の測定値が、推定値である可能性があります。 実際の結果は、異なる可能性があ
ります。 お客様は、お客様の特定の環境に適したデータを確かめる必要がありま
す。
IBM 以外の製品に関する情報は、その製品の供給者、出版物、もしくはその他の公
に利用可能なソースから入手したものです。 IBM は、それらの製品のテストは行
っておりません。したがって、他社製品に関する実行性、互換性、またはその他の
要求については確証できません。 IBM 以外の製品の性能に関する質問は、それら
の製品の供給者にお願いします。
IBM の将来の方向または意向に関する記述については、予告なしに変更または撤回
される場合があり、単に目標を示しているものです。
本書には、日常の業務処理で用いられるデータや報告書の例が含まれています。 よ
り具体性を与えるために、それらの例には、個人、企業、ブランド、あるいは製品
などの名前が含まれている場合があります。 これらの名称はすべて架空のものであ
り、名称や住所が類似する企業が実在しているとしても、それは偶然にすぎませ
ん。
著作権使用許諾
本書には、様々なオペレーティング・プラットフォームでのプログラミング手法を
例示するサンプル・アプリケーション・プログラムがソース言語で掲載されていま
す。 お客様は、サンプル・プログラムが書かれているオペレーティング・プラット
フォームのアプリケーション・プログラミング・インターフェースに準拠したアプ
144
IBM Security AppScan Source: インストールと管理のガイド
リケーション・プログラムの開発、使用、販売、配布を目的として、いかなる形式
においても、IBM に対価を支払うことなくこれを複製し、改変し、配布することが
できます。 このサンプル・プログラムは、あらゆる条件下における完全なテストを
経ていません。 従って IBM は、これらのサンプル・プログラムについて信頼性、
利便性もしくは機能性があることをほのめかしたり、保証することはできません。
それぞれの複製物、サンプル・プログラムのいかなる部分、またはすべての派生的
創作物にも、次のように、著作権表示を入れていただく必要があります。
(C) (お客様の会社名) (年). このコードの一部は、IBM Corp. のサンプル・プログラ
ムから取られています。 (C) Copyright IBM Corp. 2003, 2011.
この情報をソフトコピーでご覧になっている場合は、写真やカラーの図表は表示さ
れない場合があります。
商標
http://www.ibm.com/legal/copytrade.shtmlを参照してください。
特記事項
145
146
IBM Security AppScan Source: インストールと管理のガイド
索引
日本語, 数字, 英字, 特殊文字の
順に配列されています。なお, 濁
音と半濁音は清音と同等に扱われ
ています。
アクティブ化
Microsoft Windows
OS X 87
setup.bin
67
パスワード
バンドル
ビュー
65
setup.bin.gz
65
setup.exe 65
Visual Studio Plug-in
［ア行］
［ハ行］
インストール (続き)
フィルター・エディター
評価
97
インターネット・プロトコル・バージョン
117
6
16
140
7
フィルター
共有 139
作成
アプリケーション (application)
定義 7
「フィルター・エディター」ビュー
での 139
アプリケーションおよびプロジェクトの登
［カ行］
録 131
アンインストール 121
一般的なインストール・シナリオ
カスタム・インストール 103
カスタム・インストール・ウィザード
25
既存の AppScan Enterprise Server との
統合 48
すべてのコンポーネントを 1 台のマシ
ンにインストール 26
バージョン 8.0.x 以前の Rational
AppScan Source Edition からバージ
ョン 8.6.x へのマイグレーション
103, 105, 111, 113
共有フィルター 139
許可 123, 124
検出結果
分類 8
複数マシン環境での AppScan Source
コンポーネントのインストール 36
インストール
カスタム 103
既存の Oracle データベース 77
構成 123
サイレント 103, 111
データの場所 23, 68
変更 69
ファイルの場所 23, 68
AppScan Enterprise Server 71, 72
AppScan Source
フィックスパック 101
AppScan Source for Automation 98
AppScan Source for Development 90
AppScan Source for Development
Plug-in for Eclipse 92
AppScan Source for Development
Plug-in for Visual Studio 97
AppScan Source データベース 72
register 84
Developer Plug-in 93, 94
品質コンポーネント 96
Eclipse 品質プラグイン 95
Eclipse プラグイン 91, 94
IBM solidDB パスワードの変更 136
IBM solidDB ポートの変更 135
Linux サーバー 105, 113
107, 115
決定的 8
スキャン範囲
要注意 8
139
140
8
米国連邦情報・技術局
ポート 134
［サ行］
サイレント・インストール
システム要件 21
137
アクセス 138
フィルターの作成
フィルター・エディター
プロジェクト
定義 7
分類
コマンド行
カスタム・インストール
ounceautod 98
定義済みアーカイブ
「フィルター・エディター」ビュー
58
© Copyright IBM Corp. 2003, 2014
124
7
103, 111
新機能 2
脆弱性
定義 7
製品 1
属性
定義 7
デフォルト
転送 135
16
134
［マ行］
マイグレーション
バージョン 8.7 からバージョン 9.0
5
［ヤ行］
［タ行］
デフォルトのインストール・ディレクトリ
ー 23, 67, 68
デプロイメント 9, 108, 116
エンタープライズ・ワークグループ
14
小規模ワークグループ 12
標準デスクトップ 11
［ナ行］
ナレッジベース・データベース
ユーザー
監査 129
ユーザーの管理 124
AppScan Enterprise Server ユーザーの
自動ログイン 126
Automation Server ユーザー 127
ユーザー名 124
ユーザー・アカウント 123
マイグレーション 128
［ラ行］
1
連邦情報処理標準
16
147
［ワ行］
L
ワークフロー
LDAP
8
127, 131
License Manager
ライセンス
A
117
インポート
表示
AppScan Enterprise Server
フローティング
パスワード変更 130
SSL 証明書 130
アンインストール
129
setup.sh
setup.bin.gz
1
Microsoft Windows 21
アンインストール 121
AppScan Source for Automation
98
インストール 98
構文 100
AppScan Source for Development プラグイ
ン 92
AppScan Source solidDB 86, 87
AppScan Source インストール・ウィザー
1
AppScan Source セキュリティー・ナレッ
ジ・データベース 1
AppScan Source データベースのバックア
ップ 86
AppScan Source データベースのリストア
87
AppScan Source ファイル
epf 131
ewf 131
gaf 131
gpf 131
paf 131
ppf 131
N
NIST
16
O
OCI ライブラリー
Oracle 86
F
アンインストール
122
ounceautod 98
Ounce/Ant 131
Ounce/Make 131
Ounce/Maven Plug-in 131
OUNCE_CONFIG_FILE 104, 107, 112,
115
S
67, 92
V
16
Visual Studio
サポート対象システム 97
Visual Studio のサポート対象システム
97
J
JRE バージョン 1.5 の要件 91, 94, 95
148
83
16
I
IPv6
83
Oracle Client ライブラリー
OS X
setup.sh
FIPS
65
M
概念 7
for Automation 1
for Development 1
ド 65
AppScan Source 製品
67, 92
Linux インストール
パスワード変更 130
SSL 証明書 130
for Analysis
121
Eclipse プラグインのインストール
91, 94
18
製品ファミリー 1
AppScan Enterprise Server へのログイ
ン
118
Linux
AppScan Source
アクセシビリティー問題
118
119
IBM Security AppScan Source: インストールと管理のガイド
Printed in Japan