レポートを配布、共有、エクスポートする

レポートを設定する場合、その情報を利用する方法および読者対象に関するオプションがいくつかあります。レポートへのアクセスを1人に、または任意のユーザーグループに制限可能です。慎重に扱うべき情報を含むレポートのセクションを制限して、特定のユーザーに対してのみ表示することが可能です。レポートのユーザーへの配布方法を制御可能であり、電子メールで送信または特定のディレクトリに保存できます。レポート情報を外部データベースにエクスポートする場合、データエクスポートに関連する特定のプロパティを指定できます。

詳細については以下のセクションをご参照ください：

• レポート所有者と作業する
• レポートの共有を管理する
• ユーザーにレポート共有の許可を与える
• レポート・セクションを制限する
• スキャンデータを外部データベースにエクスポートする
• データウェアハウス設定を設定する

レポート所有者と作業する

レポートが生成されたら、グローバル管理者および指名されたレポート所有者のみが当該レポートをレポートページで見ることができます。また、レポートのコピーをレポート所有者のディレクトリに保存することも可能です。レポート所有者のディレクトリにレポートを保存するをご参照ください。

グローバル管理者である場合、レポートのオーナーシップをユーザーリストの1つに割り当てることができます。

グローバル管理者ではない場合、自動的にあなたがレポート所有者になります。

レポート所有者のディレクトリにレポートを保存する

本アプリケーションによりレポートが生成されると、当該レポートはセキュリティ・コンソールホスト上のレポートディレクトリに保存されます：

[installation_directory]/nsc/reports/[user_name]/

当該レポートのコピーを、レポート所有者のユーザーディレクトリ内に保存するよう、設定することも可能です。 これは当該レポートフォルダのサブディレクトリであり、レポート所有者のユーザー名が付けられています。

1. レポートを作成パネルの詳細設定を設定...をクリックします。 
2. レポートファイルストレージをクリックします。

レポートファイルストレージ

3. レポート所有者の名前をディレクトリフィールド$(install_dir)/nsc/reports/$(user) に入力します。（ユーザー）をレポート所有者の名前に置き換えます。

文字列（string）リテラル、変数、またはこれらの組み合わせを利用して、ディレクトリパスを作成可能です。

利用できる主な変数は以下の通りです：

• $(date)：レポートが作成された日付。形式はyyyy-MM-dd
• $(time)：レポートが作成された時刻。形式はHH-mm-ss
• $(user)：レポート所有者のユーザー名
• $(report_name)：レポートの名前。レポートを作成パネルの一般セクションで作成される

パスを作成しレポートを実行すると、本アプリケーションにより、レポート所有者のユーザーディレクトリおよびサブディレクトリパスが作成されます。当該パスは出力ページで指定されたものです。このサブディレクトリは、レポートコピーを含む16進数識別子により別のディレクトリとなります。

例えば、パスwindows_scans/$(date) を指定する場合、新規に作成されたレポートに以下でアクセスできます：

reports/[report_owner]/windows_scans/$(date)/[hex_number]/[report_file_name]

レポートの分類および整理に役立つパス命名表記法の設計を検討してください。これは特に、多数のレポートのコピーを保存する場合に有用です。

レポートを共有するもう1つのオプションは、電子メール経由での配布です。左ナビゲーションコラム内のディストリビューションリンクをクリックして、配布ページに移動します。レポートの共有を管理するをご参照ください。

レポートの共有を管理する

各レポートには指名された所有者がいます。グローバル管理者がレポートを作成する場合、彼/彼女がレポート所有者を選択します。その他のユーザーがレポートを作成する場合、彼/彼女が自動的に新規レポートの所有者となります。

コンソール・ウェブ・インターフェース内で、レポートおよび当該レポートの生成インスタンスを見ることができるのは、レポート所有者またはグローバル管理者のみです。ただし、レポート所有者にレポートのインスタンスをその他の個人と電子メール/分散型URL経由で共有する能力を与えることが可能です。これにより、重要なセキュリティ関連のアップデートを利害関係者のターゲットグループに提供するという、レポート所有者の能力が向上します。例えばレポート所有者が、内部IT部門のメンバーに特定のサーバーセットに関する脆弱性データを閲覧してもらい、改善タスクを優先順位付けしてから検証したいと考えているとします。

注意: このレポート共有許可は潜在的に、本来アクセス権を持たない複数の個人がアセットデータを閲覧できるようになる、ということを意味します。

管理者向けのレポート共有の管理手順は、2通りあります：

• 分散型レポートURLリンクをクリックしたユーザーを適切なポータルへとリダイレクトするようアプリケーションを設定する
• ユーザーにレポート共有の許可を与える

注意: レポート所有者がレポートのアクセスリストを作成し、そのレポートをコピーする場合、当該コピーは元のレポートのアクセスリストを保持しません。所有者は、コピーされたレポート用に新しいアクセスリストを作成する必要があります。

レポート共有許可を与えられたレポート所有者は、レポートアクセスリストの作成と、レポート共有設定を設定できます。

URLリダイレクトを設定する

デフォルトでは、共有レポートのURLはセキュリティ・コンソールへと送信されます。分散型レポートURLリンクをクリックしたユーザーを適切なポータルへとリダイレクトするには、oem.xml configurationファイルに要素を追加しなければなりません。

要素reportLinkURLにはaltURLと呼ばれる属性が含まれており、これにより、リダイレクト先を指定できます。

リダイレクトURLを指定するには：

1. [product_installation-directory]/nsc/confにあるoem.xmlファイルを開きます。ファイルが存在しない場合、作成可能です。ブランディングガイドをご参照ください（技術サポートにリクエスト可能）。

注意: oem.xmlファイルの作成する場合、必ず始まりをタグで、終わりをタグで指定します。

2. レポートのサブ要素を追加・編集して、適切な宛先に設定されたaltURL属性を持つreportLinkURL要素を含めます。例は以下の通りです：

<reports>

<reportEmail>

<reportSender>account@exampleinc.com</reportSender>

<reportSubject>${report-name}

</reportSubject>

<reportMessage type="link">あなたのレポート (${report-name}) は${report-date}: ${report-url}に生成されました

</reportMessage>

<reportMessage type="file">あなたのレポート (${report-name}) は${report-date}に生成されました.添付ファイルをご参照ください。

</reportMessage>

<reportMessage type="zip">あなたの(${report-name})は${report-dateに生成されました}.添付zipファイルをご参照ください。

</reportMessage>

</reportEmail>

<reportLinkURL altURL="base_url.net/directory_path${variable}?loginRedir="/>

</reports>

3. oem.xmlファイルを保存して閉じます。
4. アプリケーションを再起動します。

ユーザーにレポート共有の許可を与える

グローバル管理者は自動的に、レポートを共有する許可を有しています。また彼らは、この許可を他のユーザーまたはロールに割り当てできます。

許可を新規ユーザーに割り当てるには、以下のステップを行います。

1. 管理ページで、ユーザーの横の作成リンクをクリックします。

（任意）ユーザーページに移動して新規ユーザーをクリックします。

2. 希望に応じて新規ユーザーのアカウント設定を設定します。
3. ユーザー設定パネルのロールリンクをクリックします。
4. ロールページのドロップダウンリストからカスタムロールを選択します。
5. 許可ユーザーをレポートに追加を選択します。

希望に応じてその他の許可を選択します。

6. アカウントの設定が終了したら、保存をクリックします。

既存のユーザーに許可を割り当てるには、以下の手順を利用します：

1. 管理ページに移動して、ユーザーの横の管理リンクをクリックします。

（任意）ユーザーページに移動して、リストされたアカウントの1つの編集アイコンをクリックします。

2. ユーザー設定パネルのロールリンクをクリックします。
3. ロールページのドロップダウンリストからカスタムロールを選択します。
4. ユーザーをレポートに追加とラベル付けされたチェックボックスを選択します。

希望に応じてその他の許可を選択します。

注意:  またグローバル管理することによって、ユーザはこの権限を付与することができます。

5. アカウントの設定が終了したら、保存をクリックします。

レポートアクセスリストを作成する

あなたがグローバル管理者である場合、またはレポートを共有する許可を与えられている場合、レポート作成時にユーザーのアクセスリストを作成できます。これらのユーザーはレポートの閲覧のみが可能です。編集またはコピーはできません。

ウェブベース・インターフェースを利用してレポートアクセスリストを作成する

ウェブベース・インターフェースによりレポートアクセスリストを作成するには、以下のステップを行います：

1. レポートを作成パネルの詳細設定を設定...をクリックします。 
2. アクセスをクリックします。

あなたがグローバル管理者またSuper-User許可を有している場合、レポート所有者を選択可能です。そうでない場合は、あなたが自動的にレポート所有者となります。

レポートアクセス

3. ユーザーを追加をクリックしてレポートアクセスリストのユーザーを選択します。

ユーザーアカウントのリストが現れます。

4. 希望のユーザーのチェックボックスをそれぞれ選択します。または最上部のチェックボックスを選択して、すべてのユーザーを選択します。
5. Doneをクリックします。

選択したユーザーが、レポートアクセスリストに表示されます。

注意: レポートアクセスリストへのユーザーの追加は、本来アクセス権のない複数の個人がアセットデータを閲覧できるようになる、ということを意味します。

6. 共有の設定を含め、レポートの設定が終了したら、レポートを実行をクリックします。

ウェブベース・インターフェースを利用してレポート共有設定を設定する

注意: URLを参照する前に、URLリダイレクト設定をしなければなりません。

アクセスリストを閲覧できるよう電子メールを送信して、またはURLを配布して、レポートを共有可能です。

レポートを共有するには、以下の手順を利用します：

1. レポートを作成パネルの詳細設定を設定...をクリックします。 
2. ディストリビューションをクリックします。

レポート配布

3. 送信者の電子メールアドレスおよびSMTPリレーサーバーを入力します。例えば、電子メール送信者アドレス：j_smith@example.comおよびSMTPリレーサーバー：mail.server.com。

SMTPリレーサーバーはいくつの理由から必要となる場合があります。例えば、ファイアウォールによりアプリケーションがネットワークのメールサーバーにアクセスできない場合があります。SMTPリレーサーバーフィールドを空欄にしておくと、アプリケーションはレポート送信に適したメールサーバーを検索します。SMTPサーバーを利用できない場合、セキュリティ・コンソールは電子メールを送信せず、ログファイルにエラーがレポートされます。

4. チェックボックスを選択して、レポート所有者宛てにレポートを送信します。
5. チェックボックスを選択して、レポートアクセスリストに載っているユーザー宛てにレポートを送信します。
6. レポート送信方法を以下から選択します：URL、File、Zipアーカイブ。
7. （任意）チェックボックスを選択して、レポートアクセスリストに載っていないユーザー宛てにレポートを送信します。



追加のレポート受信者

8. （任意）チェックボックスを選択して、レポート内のアセットへのアクセス権を持つすべてのユーザー宛てにレポートを送信します。

レポートアクセスリストへのユーザーの追加は、本来アクセス権のない複数の個人がアセットデータを閲覧できるようになる、ということを意味します。

9. 受信者の電子メールをその他の受信者フィールドに入力します。

注意: レポートアクセスリストに載っていないユーザーには、URLを配布できません。

10. レポート送信方法を以下から選択します：ファイルまたはZipアーカイブ。
11. 共有の設定を含め、レポートの設定が終了したら、レポートを実行をクリックします。

APIを利用してレポートアクセスリストを作成し、レポート共有設定を設定する

注意: 本トピックでは、レポートアクセスリストの作成およびレポート共有の設定に関連する、API要素について説明します。API v1.1および拡張版API v1.2の使用についての取扱説明については、ヘルプ内のサポートページからダウンロード可能な、APIガイドをご参照ください。

アクセスリスト作成の要素は、API v1.1の一部であるReportSave APIの一部です：

• ReportConfigのユーザーサブ要素により、レポートアクセスリストに追加するユーザーのIDを指定できます。

電子メール受信者のアドレスを1ラインにつき1つ入力します。

• ReportConfigの配信サブ要素により、sendToAclAs属性を使用して選択したユーザー宛てのレポートの配布方法を指定可能です。

可能な値は、ファイル、zip、またはurlなどです。

レポートアクセスリストを作成するには：

注意: ユーザーおよび彼らのIDのリストを取得するには、拡張版API v1.2の一部である、MultiTenantUserListing APIを使用します。

1. セキュリティ・コンソールにログオンします。

APIおよびサンプルLoginRequestへのアクセスに関する一般情報については、ヘルプ内のサポートページからダウンロード可能な、APIガイドのセクション、API概要をご参照ください。

2. レポートアクセスリストに追加するユーザーIDおよび配布方法を、ReportSave APIを使用して指定します。XMLの例は以下の通りです：

3. 実行すべきタスクが他にない場合、ログオフします。

LogoutRequestの例については、APIガイドをご参照ください。

ReportSave APIに関する追加の詳細情報については、APIガイドをご参照ください。

レポート・セクションを制限する

各レポートは、製品に同梱されているプリセット・テンプレートまたは組織内のユーザーにより作成されたカスタムテンプレートの、いずれかに基づいています。テンプレートは1つまたは複数のセクションから成ります。各セクションには情報のサブセットが含まれており、スキャンデータを特定の方法で見ることができます。

組織内のセキュリティポリシーにより、特定のレポート・セクションをどのユーザー向けに表示可能とするか、またはどのユーザーが特定のセクションをもつレポートを作成可能であるかを、制御しなければならない場合があります。例えば、会社が承認されたスキャンベンダー（ASV）である場合、ペイメントカード業界（PCI）関連のスキャンデータを取り込むセクションがあるレポートは、指名のユーザーグループのみが作成できるようにしたいと考えるかもしません。レポート内のどのセクションが制限されているかは、APIを利用して特定可能です（APIガイドのセクションSiloProfileConfigをご参照ください）。

レポート・セクションの制限には2つの手順があります：

• APIで制限を設定する

注意: グローバル管理者のみがこれらの手順を実行可能です。

• ユーザーに制限セクションへのアクセス権を与える

APIでレポート・セクションに関する制限を設定する

サブ要素RestrictedReportSectionsは、新規サイロのSiloProfileCreate API、および既存サイロのSiloProfileUpdate APIの一部です。サブ要素RestrictedReportSectionが含まれており、文字列（String）の値が制限するレポート・セクションの名前になっています。

以下の例では、ベースライン比較のレポート・セクションが制限されます。

1. アプリケーションにログオンします。

APIおよびサンプルLoginRequestへのアクセスに関する一般情報については、ヘルプ内のサポートページからダウンロード可能な、API v1.1ガイドのセクション、API概要をご参照ください。

2. 制限するレポート・セクションを特定します。この
   SiloProfileUpdateRequest のXML例には、RestrictedReportSections
   要素が含まれます。

3. 実行すべきタスクが他にない場合、ログオフします。

注意: 制限されたレポート・セクションを確認するには、SiloProfileConfig APIを使用します。APIガイドをご参照ください。

LogoutRequestの例については、APIガイドをご参照ください。

ベースライン比較のセクションが、これで制限されました。レポートを生成する際、制限された項目の権限を持つユーザーには、以下の影響があります：

• 彼らはベースライン比較を、カスタム・レポート・テンプレート作成時に含めることができるセクションの1つとして閲覧可能です。
• 彼らは、ベースライン比較のセクションを含むレポートを作成可能です。

本制限には、制限されたセクションを持つレポートの作成許可を有していないユーザーについて、以下の影響が付随します：

• これらのユーザーはベースライン比較を、カスタム・レポート・テンプレート作成時に含めることができるセクションの1つとして閲覧できなくなります。
• これらのユーザーがベースライン比較のセクションを含むレポートの生成を試みると、彼らには許可がない旨を伝えるエラーメッセージが表示されます。

SiloProfile APIに関する追加の詳細情報については、APIガイドをご参照ください。

ユーザーに制限レポート作成を許可する

グローバル管理者は自動的に、制限レポートを作成する許可を有しています。また彼らは、この許可をその他のユーザーに割り当てできます。

新規ユーザーに許可を割り当てるには：

1. 管理ページで、ユーザーの横の作成リンクをクリックします。

（任意）ユーザーページに移動して新規ユーザーをクリックします。

2. 希望に応じて新規ユーザーのアカウント設定を設定します。
3. ユーザー設定パネルのロールをクリックします。

コンソールにロールページが表示されます。

4. ドロップダウンリストからカスタムロールを選択します。
5. 制限レポートを生成とラベル付けされたチェックボックスを選択します。
6. 希望に応じてその他の許可を選択します。
7. アカウントの設定が終了したら、保存をクリックします。

注意: またグローバル管理することによって、ユーザはこの権限を付与することができます。

許可を既存ユーザーに割り当てるには、以下のステップを行います。

1. 管理ページに移動して、ユーザーの横の管理リンクをクリックします。

または

2. （任意）ユーザーページに移動して、リストされたアカウントの1つの編集アイコンをクリックします。
3. ユーザー設定パネルのロールリンクをクリックします。

コンソールにロールページが表示されます。

4. ドロップダウンリストからカスタムロールを選択します。
5. 制限レポートを生成とラベル付けされたチェックボックスを選択します。
6. 希望に応じてその他の許可を選択します。
7. アカウントの設定が終了したら、保存をクリックします。

スキャンデータを外部データベースにエクスポートする

データベースエクスポートをレポート形式として選択している場合、レポート設定：出力ページに、スキャンデータをデータベースに転送するための専用フィールドが含まれます。

これらのフィールドに情報をタイプする前に、JDBC準拠データベースを設定しなければなりません。Oracle、MySQL、またはMicrosoft SQL Server内で、管理者権限を持つnexposeと呼ばれる新規データベースを作成します。

1. レポートを作成パネルのデータベースエクスポートテンプレートを選択すると現れる、データベース設定セクションに移動します。
2. データベースサーバーのIPアドレスおよびポートを入力します。
3. データベースサーバーのIPアドレスを入力します。
4. サーバーポートを入力します（デフォルト以外を指定する場合）。
5. データベースの名前を入力します。
6. 当該データベースのログオン用の管理者ユーザー名およびパスワードを入力します。
7. データベースをチェックして、アプリケーションによるスキャン完了後に、スキャンデータが表に投入されたか確認します。

データウェアハウス設定を設定する

注意: 現在、本ウェアハウス機能はPostgreSQLデータベースのみをサポートしています。

ウェアハウス設定を設定して、スキャンデータを保存またはPostgreSQLデータベースにエクスポートできます。本機能を利用して、内部レポートシステム統合ためのより豊富なスキャンデータを取得可能です。

注意: エクスポート可能なデータ量の都合により、ウェアハウスプロセス完了には時間が長くかかります。

これは技術的に開発段階の機能であり、今後の拡張が見込まれています。

データウェアハウス設定を設定するには：

1. 管理ページのデータウェアハウスの横の管理をクリックします。
2. データベースサーバー設定をデータベースページに入力します。
3. スケジュールページに移動して、チェックボックスを選択しデータエクスポートを有効化します。

また、本機能をいつでも無効にできます。

4. 自動エクスポートを開始する日付/時刻を選択します。
5. エクスポートを繰り返す間隔を選択します。
6. 保存をクリックします。