SaaS型Webアプリ診断ツール「AeyeScan」を運営している株式会社エーアイセキュリティラボが、セキュリティテストの自動化、脆弱性診断の内製化、AI/機械学習などの技術情報の共有を目的とした記事です。
AeyeScanの情報はこちら https://www.aeyescan.jp
エーアイセキュリティラボの情報はこちら、https://www.aeyesec.jp

こんにちは。株式会社エーアイセキュリティラボ　カスタマーサクセス担当　日髙です。
今回は、Googleデータポータルを利用して、AeyeScanの日々の診断データの可視化をおこなっていきたいと思います。

なぜスキャン結果の可視化が必要?

AeyeScanなどの脆弱性診断ツールの結果レポートは、診断した時点での結果を報告するレポートです。
そのため、定期的に診断を実施している場合、脆弱性検出数の増減や検出箇所の推移などを把握しようとすると、レポートなどから情報を収集し、別途取りまとめる作業が必要となります。
組織によっては、経営層にサマリーレポートの提出を求められるケースもありますので、情報を横断的にみて分析できる仕組みは重要です。

今回ご紹介するスキャン結果を可視化する仕組みによって、一定期間の脆弱性検出数の増減や、管理しているWebサイト全体の脆弱性の傾向などを分析が容易になります。

Googleデータポータルの紹介

Googleデータポータルとは、スプレッドシートなどのデータを表やグラフなどで可視化することができるツールです。

スプレッドシートのデータ以外にもGoogle アナリティクスのデータや各種データベース（Microsoft SQL Server、MySQL、PostgreSQL）と直接接続することも可能です。

Gmailアカウントがあれば無料で利用することができます。

概要

今回は、AeyeScanのAPI（スキャン情報のリストを取得）とGASを利用して、スプレッドシートに日々の脆弱性の検出結果を記録していき、そのデータをGoogleデータポータルにて、可視化するという仕組みを作っていきます。

この仕組みにより、AeyeScanにログインすることなく簡単にAeyeScanのスキャン結果を確認することが可能です。

それでは、早速作っていきましょう！

GASによるスキャン情報取得

APIキー作成

AeyeScanのAPIを実行するためにAPIキーを作成します。
APIキーはAeyeScanのメニューバーの「アカウント管理」→「APIキー管理」から作成できます。

今回はAPIからデータの取得のみを行うため、書き込み・実行権限は「読み取り」に設定します。
作成したAPIキーとトークンは後から確認できないため、安全な場所に保管してください。

スプレッドシートの用意

次に、スプレッドシートを用意します。
以下のリンクからスプレッドシートを開き、メニューバーの「ファイル」→「コピーを作成」からご利用のGoogle Driveにファイルをコピーしてください。以下、コピーされたファイルを編集していきます。

GASの実行イメージ

スプレッドシートを確認すると以下の項目が表示されています。

A列の取得日には、スキャン情報の取得日（GASを実行した日時）が設定されます。
B列以降は、スキャン情報取得APIで取得した内容が表示されます。

GASを実行すると以下のように更新されます。

GASが実行される度に、スプレッドシートの最終行にデータを追加していきます。

GASの編集

GASを編集し、動作の確認を行います。
編集する箇所は2か所です。

メニューバーの「ツール」→「スクリプトエディタ」を開き、スクリプトの8, 9行目のXXXXXの部分を作成したAPIキーとAPIトークンの値にそれぞれ置き換えてファイルを保存します。

GASの動作確認

「スクリプトエディタ」にて、GASを実行して、データの取得を行います。

トリガーの設定

データが取得できることを確認できたら、最後に、GASのトリガーを作成します。
「スクリプトエディタ」を開き、サイドバーから「トリガー」を選択して「トリガーの追加」を押します。

以下の画像のようなウィンドウが表示されるので、トリガーの設定を行います。
今回は、1日に一回データを更新する設定にするので、「時間主導型」、「日付ベースのタイマー」、「午前7時～8時」に設定します。

ここで、はじめてトリガーを追加する際には以下のような警告が表示されます。

これは、このスクリプトがGoogle Drive内のスプレッドシートの参照と編集と、外部サービス(AeyeScan)への接続を行うことに対しての警告です。

必ず本スクリプトと警告の内容を理解したうえで続行してください。

以上で「GASによりスキャン情報取得」の設定は完了です。

Googleデータポータルで表示

次に「Googleデータポータル」にアクセスして、設定を行っていきます。
以下のURLにアクセスします。

データソースの取得

まずは、データソースの取得を行います。
データソースとは、データポータルに表示するデータの元となるデータを表しています。
今回の場合は、これまでの手順で用意したスプレッドシートがデータソースとなります。

画面左上の「作成」ボタンをクリックし、「データソース」を選択します。

一覧から「Googleスプレッドシート」を選択します。

①「スプレッドシート」欄で対象のスプレッドシートを選択します。
②「ワークシート」欄にシート名が表示されるので、対象のシートを選択します。
③オプションの「先頭行をヘッダーとして使用する」にチェックが入っていることを確認します。
④画面右上の「接続」ボタンをクリックします。

接続が完了すると以下の画面が表示され、スプレッドシートから取得したデータのフィールド名とデータタイプが表示されます。

この画面から不要なフィールドの削除やデータタイプの変更も可能です。

今回の場合は、特に変更は不要です。

以上で、データソースの設定は完了です。

レポートの作成

次に、レポートの作成を行います。
レポートの作成では、表やグラフを追加して、どんな状態でデータを表示するかを設定していきます。

先ほどのデータソースの画面の右上の「レポートを作成」をクリックします。

以下のように表グラフが画面に表示されます。

表グラフの設定

まずは、既に読み込まれている表グラフに対して設定を行っていきます。
①表グラフをクリック
②画面右側の「グラフ」の「SETUP」欄に選択したグラフに対する設定内容が表示されます。

「SETUP」欄は以下のように設定します。

データソース
データの取得元となるデータソースを選択します。
期間のディメンション
データタイプが日付の項目を設定可能です。
設定することにより、日付によってデータをフィルタすることが可能です。
今回の場合は、「取得日」を設定します。
ディメンション
データをグループ化するための条件となる値です。
設定することにより、グループ化されて、表に表示されます。
今回の場合は、「スキャンID」「スキャン名」「トップURL」「ステータス」を設定します。
指標
ディメンションに設定された値でグループ化されたデータを集計するための項目です。
設定することにより、集計が行われて、表に表示されます。
今回の場合は、「Critical」「High」「Medium」「Low」「Info」を設定します。