このマニュアルでは、「レポートの作成・ダウンロード機能」の使い方を説明します。
本機能は、スキャン結果を可視化し、社内外への報告や対策の優先順位付けに活用できます。
レポートの種類
- サマリレポート
- アセットのセキュリティ状況を包括的に評価し、検知結果の傾向を分析したレポートです。セキュリティ状況を素早く把握したい場合にお使いください。
- レポートには、「検知」「要対応」ステータスの検知結果が出力されます。
- Webアプリスキャン 結果一覧
- Webアプリスキャンの結果一覧をCSVでまとめたレポートです。精査対応や対策の管理に活用できます。
- スキャン結果一覧のCSVと、URL一覧のCSVの2ファイルが出力されます。
- スキャン結果一覧のCSVでは、「検知」「要対応」ステータスの検知結果が出力されます。
- URL一覧のCSVでは、スキャン対象外のURLを含む全URLを出力します。
- プラットフォームスキャン 結果一覧
- プラットフォームスキャンの結果一覧をCSVでまとめたレポートです。精査対応や対策の管理に活用できます。
- ※ エンタープライズプランを契約しているテナントでのみ利用可能です。
レポートの出力単位
- アセット全体のレポート
- 全てのスキャン結果を統合したアセット全体のスキャン結果をもとに、上記3種類のレポートを出力します。
- スキャン個別のレポート
- 特定のスキャンのスキャン結果をもとに、上記3種類のレポートを出力します。
※ スキャン個別のレポートは、以下の場合出力できません。
- 自動スキャンの設定で、検査しない(巡回のみ実施)を選択している場合。
- スキャンが実行中の場合。
レポート出力手順
アセット全体のレポート
① アセットの「レポート」メニューを選択します。
② 「作成」ボタンをクリックします。
※ レポート作成が完了するまで待ちます。数分程度かかる場合がございます。
③ レポートの作成が完了すると、レポート作成日時が表示されます。
④ 「ダウンロード」ボタンをクリックします。
⑤ レポートが格納されたzipファイルがダウンロードされます。
※ 各レポート同じ手順でダウンロード可能です。
スキャン個別のレポート
① スキャンログ詳細の「レポート」ボタンをクリックし、スキャン個別のレポート画面に遷移します。
② 「作成」ボタンをクリックします。
※ レポート作成が完了するまで待ちます。数分程度かかる場合がございます。
その後の手順は、アセット全体のレポートと同様の手順です。
レポートの構成
サマリレポート
- 診断条件
- 診断対象アセット
- 全体評価
- Web アプリケーション
- Web アプリケーション診断結果
- 診断結果概要
- IPA 安全なWebサイトの作り方に基づく評価
- 検出された脆弱性の詳細
- プラットフォーム診断結果
- 注意レベル評価基準
- 診断結果概要
- 検出された注意事項の詳細
- 付録
- 診断実施済みのURL 一覧
※ スキャン個別のレポートでは、スキャンがキャンセルされた場合、キャンセルされたURLも診断実施済みのURLに含まれます。
Webアプリスキャン 結果一覧
Webアプリスキャン 結果一覧 CSV
| 項目 | 説明 |
|---|---|
ID | 各レコードに割り振られた一意の数字 |
脆弱性ID | 各脆弱性に対してVexCloudとして定めたID |
脆弱性名 | 脆弱性の具体的な名称やタイトル |
危険度 | 脆弱性の深刻度レベルで、Critical(緊急)、High(高)、Medium(中)、Low(低)、Info(情報)の5段階に分かれる。 |
URLID | 各URLに割り振られた一意の識別番号 |
URL名 | ユーザーがURLに対して設定した名前(デフォルトはURLのパス) |
メソッド | HTTPリクエストのメソッド |
URL | 脆弱性が検知された具体的なURL |
パラメータ | 脆弱性に関連するHTTPパラメータ名 |
パラメータ位置 | パラメータの存在する箇所 |
元値 | 脆弱性検知時に使用された元のパラメータ値 |
変更値 | 脆弱性を検知するために使用されたテスト値 |
検知理由 | 脆弱性が検知された理由や根拠 |
| 検知日時(JST) | 脆弱性が検知された日(日本時間) |
ステータス | 脆弱性の管理ステータス。「検知(detection)」または「要対応(remediation_required)」を示す。 |
脆弱性解説ファイルパス | 同梱された脆弱性の詳細解説ファイルの保存場所 |
URL一覧 CSV
| 項目 | 説明 |
|---|---|
ID | 各URLに割り振られた一意の識別番号 |
メソッド | HTTPリクエストのメソッド |
URL | 具体的なURL |
URL名 | ユーザーがURLに対して設定した名前(デフォルトはURLのパス) |
種別 | HTTPリクエストの種別(リソースタイプ)。 xmlhttprequest: Webブラウザがサーバーと非同期通信を行う際に発生するHTTPリクエスト。 main_frame: ブラウザのURLバーに表示される、一般的なページの読み込みの際に発生するHTTPリクエスト。 |
スキャン対象 | URLがスキャン対象かどうかを示す。対象の場合は「Y」、対象でない場合は「N」。 |
最終スキャン日時 (JST) | URLに対して最後にスキャンが行われた日時 |
プラットフォームスキャン 結果一覧
| 項目 | 説明 |
|---|---|
実施日 | プラットフォーム検査を実施した日付 |
FQDN | プラットフォーム検査の対象となるFQDN |
ホスト | サーバーのホスト名部分 |
ポート | プラットフォーム検査の対象となるネットワークポート番号 |
サービス | 対象のポートで稼働しているネットワークサービスの種類 |
プロダクト | 対象のポートで稼働しているソフトウェアの製品名 |
バージョン | 対象のポートで稼働しているソフトウェアのバージョン |
SSL/TLS証明書有無 | サーバーが有効なSSL/TLS証明書を保持しているかどうか。ある場合は「Y」、ない場合は「N」。 |
発行先 | 証明書が発行されたドメイン名 |
SAN(サブジェクト代替名) | 発行先以外で証明書が有効なドメイン名やIPアドレス |
発行元 | 証明書を発行した認証局(Certificate Authority)の名称 |
有効期限 | 証明書が有効な期間の終了日時 |
署名アルゴリズム | 証明書のデジタル署名に使用された暗号アルゴリズム |
公開鍵長 | 証明書の公開鍵の長さ(ビット数) |
自己署名 | 認証局ではなく自分で署名した証明書かどうか。署名している場合は「Y」、署名していない場合は「N」。 |
リネゴシエーション | 暗号化セッションが存在する状態で、クライアント・サーバ間で新しく暗号化セッションを張りなおす機能を有しているかどうか。ある場合は「Y」、ない場合は「N」。 |
セキュアなリネゴシエーション | リネゴシエーションが脆弱性が存在しないセキュアな方式かどうか。セキュアである場合は「Y」、セキュアでない場合は「N」。 |
利用可能なSSL/TLSプロトコル | サーバーが対応しているSSL/TLSのバージョン |
利用可能な暗号スイート | サーバーが使用可能な暗号化方式の組み合わせ |