ACME 社のケーススタディ

ACME 社は、単一の Tenable Security Center インスタンスを使用して 40 個のスキャナーを管理し、約 1,200 店舗のネットワーク脆弱性評価を毎月実行していました。

ACME 社は、既存の運用モデルをアップデートして、Tenable Agents を利用して約 70,000 個の資産の評価結果を収集したいと考えていました。ACME 社は、Tenable Vulnerability Management プラットフォームを使用するハイブリッドアプローチを実装し、エージェントスキャン操作を管理し、エージェントスキャン結果を Tenable Security Center にインポートして、ネットワークとエージェントの両方の評価結果を統合して分析とレポート作成を行いました。

このケーススタディは、ACME 社が Tenable Agents のデプロイを進める際に実装された、設定に関する主な考慮事項をハイライトしています。

目的

Tenable Agent プロジェクトの成功を測定するために ACME 社が定めた主な目標は、ストアインフラ全体でエージェントを利用して詳細な資産データを収集するのと同時に、リモートネットワークスキャンで経験していた現在のネットワーク遅延を軽減することでした。

スキャン範囲

  • 全店舗の資産に対するローカルホストスキャンを、エージェントを使用して実装し、現在の非認証ネットワークアクティブスキャンよりも詳細な脆弱性評価結果を、本部のデータセンターから店舗に提供する。
  • エージェントスキャンを使用して ACME 社のネットワークへの影響を軽減し、より頻繁にスキャンを実行できるようにする。

ソリューション

このエンタープライズ環境には、Tenable Vulnerability ManagementTenable Security Center のハイブリッドデプロイメントが使用されました。エージェントのスキャン操作には Tenable Vulnerability Management が必要でした。高度な分析とレポートには既存の Tenable Security Center インフラが使用されました。Tenable Vulnerability Management をエージェントスキャン操作に利用することで、ACME 社はオンプレミスのソフトウェアやハードウェアを必要とせずに、多数のエージェントと資産に合わせて自動的にスケールできます。

ACME 社は、既存の Tenable Security Center インフラを利用して、エージェントスキャンデータを Tenable Vulnerability Management から Tenable Security Center にインポートし、統合されたレポート作成と分析を行うことで、脆弱性管理プログラムの目標を達成しました。環境をレポート (Tenable Security Center) と運用 (Tenable Vulnerability Management) の 2 つの層に分割するこのソリューションにより、ACME 社はプラットフォームのデータ取得機能に影響を与えずに、エンドユーザーのレポートエクスペリエンスを最適化することができました。

Tenable Agent 運用層 (Tenable Vulnerability Management)

運用層 (Tenable Vulnerability Management) の主な目的は、エージェント管理とエージェントスキャンの操作を実行することでした。

実行される機能

次のプロセスと使用が運用層 (Tenable Vulnerability Management) で行われます。

  • デプロイされたエージェントは Tenable Vulnerability Management にリンクしています。
  • エージェントは、エージェントグループに編成されています。インストールプロセス中に、エージェントをエージェントグループに割り当てることができます。
  • エージェントスキャンは、エージェントグループを介してエージェントから評価結果を取得するために確立されます。
  • Tenable Vulnerability Management によって、エージェントのプラグインとバージョンのアップデートが自動的に適用されます。
  • お客様は、エージェントのバージョンアップデートの自動適用をオプトアウトできます。

考慮事項

  • エージェントは、ACME 社の社内ソフトウェア配布プロセス (この場合は SCCM) を使用してデプロイされました。
  • エージェントグループに含まれるエージェントは、グループあたり 20,000 以下です (推奨は 10,000)。各エージェントグループのエージェント数を制限することで、Tenable Security Center がスキャン結果を正常にインポートできるようになります。この制限は、Tenable Security Center がデプロイメントの一部である場合にのみ適用されます。
  • エージェントスキャンは、1 回につき 1 つのエージェントグループに制限されていました。
  • エージェントグループのメンバーシップは、企業の目的に応じて、機能的なゾーン (場所、ロールなど) 別に確立されました。
  • ACME 社は、エージェントデプロイメントの問題 (インストールの失敗、リンクの失敗など) を帯域外 (ログクライアント、スクリプトなど) で監視しました。
  • エージェントはローカルの脆弱性評価のみを実行し、ネットワークベースの評価 (SSL または CGI ネットワークベースの評価など) は行っていません。
  • エージェントが https://cloud.tenable.com と通信できるように、ネットワークとファイヤーウォールが設定されました。

層の設計

設計の前提条件は、以下の通りです。

  • ACME 社は、社内プロセスとツールを利用して、Tenable Agent ソフトウェアをデプロイします。
  • ACME 社は 50〜70 のエージェントグループを確立します。
  • ACME 社は 50~70 のエージェントスキャンを設定します。

レポート層 (Tenable Security Center)

レポート層の主な目的は、Tenable Agent の運用層 (Tenable Vulnerability Management) から収集されたデータの一元的な分析とレポート作成を可能にすることでした。ダッシュボード、分析、レポート、および Assurance Report Card がこの層で利用されます。

実行される機能

次のプロセスと使用がレポート層で行われます (Tenable Security Center)。

  • Tenable Vulnerability Management が「エージェント対応」スキャナーとして Tenable Security Center に追加されました。
  • Tenable Security Center のエージェントスキャンは、Tenable Vulnerability Management からエージェントスキャン結果を取得するように設定されました。
  • Tenable Security Center の分析、ダッシュボード、レポート、および Assurance Report Card が、すべての評価タイプ (エージェントおよびネットワークスキャン) で利用されました。

考慮事項

  • Tenable は、Tenable Vulnerability Management がエージェントから評価結果を収集する同じ日に、Tenable Vulnerability Management からエージェントのスキャン結果を取得するように Tenable Security Center を設定することを ACME 社に推奨しました。このように設定すると、Tenable Security Center が確実に適切な検出日をキャプチャできるようになります。
  • Tenable Security Center はエージェントの結果をサポートするために追加のデータリポジトリを必要としました。リポジトリはそれぞれ 50,000 個程度の資産しか処理できないため、Tenable は ACME 社がエージェントの結果用に Tenable Security Center で 2 つの新しいリポジトリを確立することを推奨しました。
  • Tenable Security Center 5.7 で導入されたエージェント固有のリポジトリは、エージェント UUID を利用して、結果を Tenable Security Center にインポートする際の一意性をより適切に追跡できるようになっています。
  • ACME 社は、エージェントスキャン結果のインポートから生じた追加データのために CPU/RAM/HDD がさらに必要かどうかを判断するため、現在の Tenable Security Center ハードウェア設定でフル分析を実行する必要がありました。

層の設計

設計の前提条件は、以下の通りです。

  • ACME 社は、エージェントのスキャン結果を保存する 2 つのリポジトリを確立します。
  • ACME 社は、50 〜 70 のエージェントスキャンを確立して、Tenable Vulnerability Management からエージェントスキャン結果を取得します。
  • ACME 社は、2 つの新しいリポジトリ間で各エージェントスキャンの取得を均等に分散します。
  • ACME 社は現在のインフラを評価し、CPU/RAM/HDD がさらに必要かどうかを判断します。