利点と制限

エージェントスキャンとネットワークスキャンには、資産を検出し、ネットワーク上の脆弱性を分析する際に、それぞれ独自の利点と制限があります。

簡単に言えば、ネットワークスキャンは Tenable Nessus スキャナーから始まり、スキャン対象のホストに到達しますが、エージェントスキャンはネットワークの場所や接続性に関係なくホストで実行され、ネットワーク接続の再開時にその結果をマネージャー (例: Tenable Nessus Manager または Tenable Vulnerability Management) に報告します。

ネットワークスキャンが現在の環境と要件に十分である場合は、エージェントを使用する必要はないかもしれません。ただしほとんどの企業には、ネットワーク全体を完全に可視化できるように、エージェントとネットワークスキャンを組み合わせて使用することを Tenable は推奨しています。

自社のテクノロジーインフラに最適なスキャン戦略を設計する際は、利用可能なスキャンテクノロジーのそれぞれの違いを理解することが重要です。以降のセクションでは、各スキャン方式の利点と制限について説明します。

認証なしのネットワークスキャン

認証なしのネットワークスキャン (非認証スキャンとも呼ばれる) は、システム権限なしでシステムのセキュリティを評価するための一般的な方法です。非認証スキャンは、ホストの漏洩したポート、プロトコル、サービスを列挙し、攻撃者がネットワークを危険にさらす可能性のある脆弱性と設定ミスを特定します。

利点

  • 従来のエンタープライズ環境での大規模な評価に最適です。
  • 外部の攻撃者がネットワーク侵入に悪用する可能性のある脆弱性を発見します (悪意のある攻撃者目線で脆弱性を発見します)。
  • 制限によりエージェントが実行できないネットワークベースのプラグインを実行します。
  • 認証情報の総当たり攻撃などのターゲットを決めた操作を実行できます。

制限

  • 他への影響があります。つまり、テストしているネットワーク、デバイス、またはアプリケーションに悪影響を与える場合があります。
  • 詳細なパッチ情報などのクライアント側の脆弱性を検出しません。
  • 常にネットワークには接続されていない一時的なデバイスは、スキャンの対象とならない場合があります。

認証されたネットワークスキャン

認証スキャンとも呼ばれる認証ネットワークスキャンでは、認証されていないスキャンよりも詳細な情報が得られます。このスキャンの場合、認証情報を使用してシステムおよびアプリケーションにログインし、必要なパッチや誤った設定の正確なリストを出力します。

認証スキャンは、バージョン番号を含め、インストールされているソフトウェアを直接検索するため、次のような項目を評価できます。

  • ソフトウェアの脆弱性の特定
  • パスワードポリシーの評価
  • USB デバイスの列挙
  • ウイルス対策ソフトウェア設定のチェック

デバイスへの影響を最小限に抑えて、これらのタスクをすべて実行します。

利点

  • スキャンはネットワーク全体ではなくホスト自体で実行されるため、消費するリソースは非認証スキャンよりもはるかに少なくなります。
  • 他への影響がありません。つまり、テストしているネットワーク、デバイス、アプリケーションに悪影響を与えません。
  • より正確な結果 (ホストにインストールされているソフトウェアとパッチの完全な列挙) が出力されます。
  • クライアント側のソフトウェアの脆弱性が明らかになります。

制限

  • スキャンされる各ホストの認証情報を管理する必要があります。
    • 大規模な企業の場合、認証スキャンを安全に実行するために必要な適切な権限とアクセス権を持つサービスアカウントの作成が大変な場合があります。
    • パスワードローテーション要件により、管理がさらに複雑になる可能性があります。

    注意: は、Tenable 主要なパスワード保管場所やパスワードマネージャーと統合することにより、認証済みネットワークスキャンのこの制限を緩和します。

  • 常にネットワークに接続されているとは限らない一時的なデバイスは、スキャンの対象となりません。

エージェントスキャン

Tenable Agent スキャンは、ホストにローカルでインストールされている、軽量で必要なスペースの少ないプログラムを使用します。Tenable Agents は脆弱性、コンプライアンス、システムデータを収集し、それらの情報を Tenable Nessus Manager または Tenable Vulnerability Management に分析のために報告します。Tenable Agents は、システムおよびネットワークへの影響を最小限に抑えるように設計されているため、エンドユーザーを混乱させることなく、すべてのホストに直接アクセスできるという利点があります。

利点

  • 広いスキャン範囲と継続的なセキュリティを提供
    • ネットワークベースのスキャンを実行することが実用的ではないまたは可能でない場所にもデプロイできます。
    • インターネットに断続的に接続する、ネットワーク外の資産やエンドポイント (ノートパソコンなど) を評価できます。Tenable Agents は、ネットワークの場所に関係なくデバイスをスキャンし、結果をマネージャーに報告できます。
  • 認証情報の管理が不要
    • 実行にホストの認証情報を必要としません。そのため、認証情報が変更されたときにスキャン設定の認証情報を手動で更新したり、管理者、スキャンチーム、企業内で認証情報を共有したりする必要はありません。
    • ドメインコントローラー、DMZ、認証局 (CA) ネットワークなど、リモートの認証アクセスが望ましくない場所にもデプロイできます。
  • 効率的
    • ネットワークスキャンのオーバーヘッドを全体的に削減できます。
    • ローカルホストリソースに依存するので、パフォーマンスオーバーヘッドが最小ですみます。
    • ネットワーク帯域幅の必要量が減ります。これは、低速ネットワークで接続されているリモート設備にとって重要です。
    • セグメント化されたネットワークまたは複雑なネットワーク上にあるスキャンシステムの課題を排除します。
    • Tenable Agents は再起動やエンドユーザーの操作なしで自動的にアップデートできるため、メンテナンスが最小ですみます。
    • ネットワークにほとんど影響を与えずに大規模な同時並行エージェントスキャンを実行できます。
  • デプロイメントとインストールが簡単
    • すべての主要なオペレーティングシステムに Tenable Agents をインストールして操作できます。
    • ノートパソコンなどの一時的なエンドポイントを含め、どこにでも Tenable Agents をインストールできます。
    • Microsoft の System Center Configuration Manager (SCCM) などのソフトウェア管理システムを使用して Tenable Agents をデプロイできます。

制限

エージェントはネットワークチェックを実行するように設計されていません。そのため、エージェントスキャンのみをデプロイする場合、特定のプラグイン項目はチェックまたは取得できません。ネットワークスキャンとエージェントベースのスキャンを組み合わせれば、このギャップを埋めることができます。

  • エージェントは、DB サーバーへのログイン、デフォルトの認証情報 (総当たり) の試行、トラフィック関連の列挙など、リモート接続を通じてのみ実行できる操作を実行できません。

  • エージェントがスキャン前にプラグインの更新を完了する十分な時間がない状況 (エージェントホストがオフになっている場合など) では、エージェントは古いプラグインセットを使用してスキャンを実行できます。これは、スケジュールされたスキャンがプラグイン更新の完了前に開始された場合、スケジュールされたスキャンがプラグインの更新よりも優先される可能性があるためです。