コンプライアンス対応レポート
コンプライアンス対応レポートは、脆弱性に対応したことを証明するもので、アプリケーションの最新の情報に基づいてPDF形式で作成されます。このPDFレポートによって、コンプライアンスや監査要件に対応できます。
2023年11月7日以降、本レポートが旧来のセキュリティ基準レポートに代わるものとなります。コンプライアンス対応レポートは、セキュリティ基準レポートと同様の情報を提供します。コンプライアンス要件への対応や緊急な対策が必要な箇所を特定するのに役立ちます。
注記
このレポートは作成してから7日後に期限切れになります。この期限が切れるとレポートはContrastサーバから削除されます。
コンプライアンス対応レポートには、以下の情報が含まれます。
レポート作成時に使用したフィルタの設定項目の一覧
アプリケーションのセキュリティ対応状況の概要
カスタムコードおよびオープンソースライブラリに対する脆弱性の評価。既存の組織でCVSS 3.1が有効になっていない場合、オープンソースの脆弱性に重大(critical)の深刻度は表示されないことに注意してください。これを有効にするには、サポートにお問い合わせください。
セキュリティ評価の指標としてのルートカバレッジ
セキュリティ基準の評価(オプション)、アプリケーションでオープン中の脆弱性の詳細情報(オプション)
評価方法や用語を説明する付録
開始する前に
コンプライアンス対応レポートには、以下の制限があります。
1,350件の脆弱性(詳細を含める場合)
18,000件の脆弱性(詳細を含めない場合)
15,000ルート(観測情報を含める場合)
30,000ルート(観測情報を含めない場合)
レポートが上記の制限を超えると、エラーメッセージが表示され、レポートは生成されません。その場合は、レポートの選択項目を変更して、レポートの情報量を減らしてください。
コンプライアンス対応レポートの作成手順
Contrast Webインターフェイスのナビゲーションバーでアプリケーションを選択します。
アプリケーションの一覧からアプリケーション名をクリックします。
アプリケーションページの右上にあるレポートアイコン(
)をクリックします。ドロップダウンで、コンプライアンス対応レポートを生成を選択します。
「コンプライアンス対応レポート」の画面で、レポートに含める脆弱性、環境およびオプションでセキュリティ基準を選択します。
デフォルトで、全ての脆弱性と全ての環境が選択されていますが、フィールドをクリックして選択項目を絞り込むことができます。生成されるレポートにセキュリティ基準のセクションを含める場合は、セキュリティ基準から追加したい基準を選択します。
オプションで、オープン中の脆弱性の情報と観測されたルートの情報を含めるかを選択できます。
次の表は、コンプライアンスレポートの作成時に指定できるカテゴリの概要です。
カテゴリ
デフォルト
フィルターオプション
脆弱性
全て
ステータス(報告済、疑わしい、確認済、問題無し、修復済、修正完了、修復済 - 自動検証)
深刻度(注意、低、中、高、重大)
Assessルール
脆弱性の詳細
含めない
脆弱性の詳細を含めるにはチェックボックスを選択
ルートの観測情報
含めない
ルートの観測情報を含めるにはチェックボックスを選択
環境
全て
開発環境
QA
本番環境
セキュリティ基準
指定なし
DISA ASD STIG
IPA - 7.0
OWASP 2013 Top 10
OWASP 2017 Top 10
OWASP 2021 Top 10
OWASP Top10 API脆弱性 2019
PCI DSS - 2.0
PCI DSS - 3.0
PCI DSS - 3.2.1
PCI DSS - 4.0
作成を選択します。
Contrastでレポートが生成されると、通知パネルにダウンロードリンクが表示されます。
リンクを選択すると、レポートをダウンロードできます。