エージェントのユースケース

次のセクションでは、Tenable Agents のさまざまなユースケースについて説明します。

モバイルの分散型ワークフォース

Tenable では、モバイルワークフォース用にエージェントをデプロイすることを推奨しています。エージェントを使用すれば、デバイスをスキャンするために従業員が VPN を使って組織の本社ネットワークに接続する必要がなくなるためです。このシナリオで WAN または VPN 接続でアクティブスキャンを実行すると、リンク速度が遅くなったり、暗号化オーバーヘッドが高くなったり、リンクの安定性に問題が発生したりする可能性があります。しかし、エージェントを使用するとスキャン時間が数時間から数分に短縮されます。

モバイルワークフォースをサポートするために、Tenable では次のことを推奨しています。

  • マネージャーを DMZ にデプロイし、エージェントが通信に使用できる公開 IP アドレスを割り当てます。エージェントとマネージャー間のすべての通信は、TLS 暗号化通信を介して行われます。

  • エージェントスキャンに適切なスキャンウィンドウを設定します。スキャンウィンドウとは、エージェントがスキャンを実行し、その結果をマネージャーに報告する期間のことです。エージェントは、スキャンウィンドウが破棄された後に送信されたスキャンリクエストや結果を破棄し、システムを未スキャンとしてマークします。

    このアプローチにより、正確なセキュリティデータを確保すると同時に、重複する無関係なスキャンの必要性を減らすことができます。たとえば、従業員が 2 週間休暇を取った場合、休暇開けにキューで待機している 14 回分のスキャンを (その従業員のシステムがオフラインだった日につき 1 回) 行う必要はありません。

高遅延ネットワーク

Tenable Nessus ネットワークスキャンでは、スキャナーをスキャンターゲットの資産の近くに配置し、WAN 全体をスキャンしないようにするのがベストプラクティスでした。しかしこの戦略は、ターゲット資産にローカルの Tenable Nessus サーバーがないデプロイメントシナリオでは難しいことが判明しています。航行中の船、モバイルの軍事作戦、高遅延および低帯域幅のエリアなどがそうです。これらのネットワークは、通常、衛星接続に依存しています。フルアクティブスキャンの実行時に、ポート、プロトコル、サービススキャンが生むネットワーク負荷により、サテライト接続が簡単にダウンしてしまう場合もあります。

Tenable Agents は、スキャンに関連するネットワークトラフィックを大幅に最小化することで、この問題を解決することができます。

Tenable Agents の使用時に送信されるデータには、3 つのタイプがあります。

  • コマンドとコントロールのデータ — マネージャーから Tenable Agents に送信されるデータです。ローカルスキャンのタスクを実行するために必要な、誰が、何を、いつ、どこで、どのように関する情報を示します。このデータは、ネットワークを通過する最小のデータセットです。
  • 結果データ — スキャン設定により、結果データのサイズは異なります。経験的に、コンプライアンススキャンは脆弱性スキャンよりも大きくなります。このデータは、マネージャーに送信され、集計されます。アップデートデータは、Tenable Agents を使用して送信される最大のデータタイプです。
  • アップデート — Tenable Agent をインストールして Tenable Nessus Manager にリンクすると、エージェントはプラグインのフルセットをダウンロードします。初回のフルダウンロードが完了すると、エージェントは増分のプラグインアップデートのみをダウンロードします。ネットワークでコンテンツの差分のみを取得するこのアプローチは、進行中のネットワークトラフィックを大幅に削減します。また、System Center Configuration Manager (SCCM) や Yellowdog Updater Modified (YUM) などのパッチ管理システムによって、またはマネージャー自体を介して、コードのアップデートを処理することもできます。

要塞化されたシステム

エンタープライズ環境にあるシステムをスキャンする方法として、Tenable Nessus Professional などのスキャナーを使用したアクティブネットワークスキャンが長い間好まれてきました。アクティブスキャンはリモートで行われ、主要なサービスへのアクセスを必要とします (リモートレジストリへのアクセスなど)。しかしこれらは、システム要塞化の一環としてたいてい無効になっています。システムの要塞化により、アクティブスキャンによって収集されるデータが実際に制限される場合があるのです。この問題は、主要なサービスの列挙に認証情報スキャンが必要なことからさらに複雑になります。主要なデータセットにアクセスするには、昇格した権限 (root、ローカル管理者、またはドメイン管理者) が必要です。多くのセキュリティ専門家は、ネットワークでこれらの昇格された権限の使用を推奨していません。ドメインコントローラーなどさらに価値の高いターゲットでは、さらに注意する必要があります。

Tenable Agents は、システムレベルで動作するため、昇格した権限や追加のアカウントを必要としません。エージェントを使用すれば、セキュリティを低下させることなく要塞化されたシステムをスキャンできる低リスクアプローチが可能になります。システムレベルでスキャンしながらも、認証情報の必要性は効果的に排除できます。