セキュリティー・レポート

セキュリティー・レポートには、検出されたセキュリティー問題に関する情報が出力され、ユーザーは必要なコンテンツ・タイプに応じて各種テンプレートから選択することができます。

このタスクについて


「セキュリティー・レポート」アイコン

スキャン全体をカバーするセキュリティー・レポートを作成できます。また、アプリケーション・ツリー内の特定の URL またはフォルダーに関するレポートも作成できます。

各レポート・テンプレートは、組織内の異なる対象者に対応したコンテンツ・トピックで構成されています。トピックには、各ビュー (セキュリティー問題、修復タスク、アプリケーション・データ) からのスキャン結果が含まれており、結果が意味する内容、結果が適切な理由、およびその修正方法が、印刷に適したフォーマットで、読みやすく、簡単に理解できるように出力されます。

セキュリティー・レポートのオプション

以下の表は、「セキュリティー・レポート」ダイアログ・ボックスのオプションを要約したものです。

オプション

説明

テンプレート

以降の表で示すように、右側ペインのチェック・ボックスを選択/選択解除することで、レポート用のテンプレートのいずれかを選択するか、独自のテンプレートを定義します。
  • デフォルト: 概要と問題情報が含まれている中レベルのレポート。バリアントの詳細は含まれていません。
  • 概要: Web アプリケーションで検出されたセキュリティー上のリスクの重要部分の概要と、スキャン結果の統計 (表およびチャートの形式)。
  • 詳細: 概要に加えて、セキュリティー問題、推奨される修正方法、修復タスク、およびアプリケーション・データが含まれる詳細レポート。
  • 修復タスク: スキャンで検出された問題に対応することを意図したアクション。
  • 開発者: セキュリティー問題、バリアント、修正方法。「概要」または「修復タスク」のセクションはありません。
  • QA: セキュリティー問題、修正方法、アプリケーション・データ。バリアントの詳細情報、「概要」、「修復タスク」の各セクションはありません。
  • サイト・インベントリー: アプリケーション・データのみ。
  • カスタム・テンプレート: このオプションでは、チェック・ボックスを使用して必要なレポートを定義し、「テンプレートとして作成」をクリックしてカスタム・セキュリティー・レポート・テンプレートを作成することができます。テンプレートを保存すると、その後はユーザー・インターフェースとコマンド行インターフェースの両方からテンプレートを使用してレポートを作成できます。
    • テンプレートとして保存: 現在のセキュリティー・レポート構成をカスタム・テンプレートとして保存します。
    • テンプレートの削除: 現在のカスタム・テンプレートを削除します。

最低重大度

レポートに含める問題の最も低い重大度レベルを選択します。

テスト・タイプ

レポートに含めるテスト結果のタイプを選択します。すべて、アプリケーション、インフラストラクチャまたは サード・パーティー・ウェブ・コンポーネントテスト。

ソート基準

タイプまたは URL ごとに問題をソートするかどうかを選択します。

問題ごとのバリアントの数を制限します

現在の詳細レベルがレポートの受信者に対して有用でないと考えられる場合、問題別にリストされるバリアントの数を制限して、レポートの長さを短くすることができます。

各問題の後に改ページを追加する

この設定は、PDF 出力にのみ適用されます。これにより、レポートが読みやすくなります。

完了時に表示

このチェック・ボックスを選択すると、レポートの生成後にレポートが適切なビューアーで開かれます。
注: これは、生成されたレポートを開くことができるプログラムをインストールしている場合にのみ機能します。

いずれかのテンプレートをベースとして選択したら、レポートに出力する情報のフィールドを選択または選択解除することで、各レポートの構成をカスタマイズできます。これを行うと、テンプレート名が「カスタム」に変更されます。

セキュリティー・レポートのセクション

以下の表は、さまざまなセキュリティー・レポートの標準的なコンテンツを要約したものです。すべての場合で実際のコンテンツは、必要に応じて「レポート・コンテンツ」ペインのチェック・ボックスを選択または選択解除することで、変更できます。
注: 詳細レポートは全体で数百ページになることがあるため、レポートの対象者に関係するセクションだけを出力するようにしてください。

レポート・セクション

説明

概要

スキャンに関するいくつかの全般情報を示す短いセクション。検出された問題 (高、中、低、および情報) の全体数や、ログイン設定の詳細などが含まれます。このセクションは、すべてのレポートに含まれます。

要約

スキャン (またはレポートに含まれるスキャンの一部) に関する以下の情報を要約した一連の表:
  • 問題のタイプ (各タイプについて検出された問題の数や、その重大度など)
  • 脆弱性のある URL (URL ごとの問題の数やタイプなど)
  • 推奨される修正
  • セキュリティー上のリスク
  • 原因
  • WASC 脅威の分類

セキュリティー問題

アプリケーションで検出された問題

  • 基本アクセス以下のいずれのチェック・ボックスも選択しなかった場合、基本情報のみが含まれます。
  • 追加: スクリーン・キャプチャーなど、より詳細な情報が含まれます (「問題情報」タブの内容に類似)。
  • バリアント: 特定のバリアント情報が含まれます。
    • 要求/応答
    • 差: オリジナルの要求とテスト要求の間の差分 (詳細ペイン >「要求/応答」タブを参照)

アドバイザリーと推奨される修正

検出された問題の技術的な説明と、それを修正するための推奨事項。
注: .NET、Java EE、および PHP 環境に固有の推奨される修正を含めるには、「ツール」>「オプション」>「設定」に移動し、必要なオプションを選択します。

修復タスク

検出された問題に基づき、サイト・セキュリティーを改善するための推奨タスク。1 つのタスクで複数の問題を解決できる場合もあります。

アプリケーション・データ

ユーザーの Web アプリケーションで AppScan が検出したデータのリスト: アプリケーション URL、スクリプト・パラメーター、リンク切れ、コメント、JavaScript、Cookie、およびフィルタリングされた URL。

手順

  1. レポートの基本とするスキャン・コンテンツを選択します。
    • スキャン全体に対するレポートを作成するには、「ツール」>「レポート」>「セキュリティー・レポート」をクリックします。
    • スキャンに含まれていた特定の URL またはフォルダーのレポートを作成するには、アプリケーション・ツリーでノードを右クリックし、「このノードのレポート」>「セキュリティー」を選択します。
  2. 右側ペインのチェック・ボックスを選択/選択解除することで、関連するテンプレートを選択するか、独自のレポート・コンテンツを定義します。
  3. 必要なオプションを選択します。
  4. 将来の利用のために構成を保存するには、「テンプレートとして保存」をクリックしてテンプレートに一意の名前をつけてください。
  5. レポートのレイアウトをカスタマイズするには、「レイアウト」タブをクリックします。詳しくは、レポート・レイアウトの構成を参照してください。
  6. 必要な出力フォーマットを選択してください: PDF、HTML、TXT、RTF、XML。
  7. 「レポートの保存」をクリックします。