NIAP に準拠する Tenable Nessus Agent の設定

Tenable Nessus AgentNational Information Assurance Partnership (NIAP) 標準に適合させる必要がある場合、関連する設定が NIAP 標準に準拠するように Tenable Nessus Agent を設定できます。

始める前に

  • Tenable Nessus AgentTenable Nessus Manager にリンクされている場合は、Tenable Nessus Manager の CA 証明書が custom_CA.inc または known_CA.inc にあることを確認してください。
  • Tenable Nessus Agent がインストールされているホストのオペレーティングシステムが提供するフルディスク暗号化機能が有効になっていることを確認します。

NIAP に準拠するよう Tenable Nessus Agent を設定するには、次の手順に従います。

  1. コマンドラインインターフェースからエージェントにアクセスします。
  2. コマンドラインインターフェースを使用して NIAP モードを有効にします。
    • コマンドラインで、次のコマンドを入力します。

      nessuscli fix --set niap_mode=enforcing

      Linux の例

      /opt/nessus_agent/sbin/nessuscli fix --set niap_mode=enforcing

    Tenable Nessus Agent は以下を実行します。

    注意: Tenable Nessus Agent が NIAP モードの場合、Tenable Nessus AgentNIAP モードのままである限り、Tenable Nessus Agent は以下の設定をオーバーライドします。NIAP モードを無効にすると、Tenable Nessus Agent は以前の設定に戻ります。

    • SSL モード (ssl_mode) を TLS 1.2 (niap) でオーバーライドします。

    • SSL 暗号リスト (ssl_cipher_list) の設定を、NIAP 準拠の暗号 (niap) でオーバーライドします。そうすると、次の暗号が設定されます。

      • ECDHE-RSA-AES128-SHA256

      • ECDHE-RSA-AES128-GCM-SHA256

      • ECDHE-RSA-AES256-SHA384

      • ECDHE-RSA-AES256-GCM-SHA384

    • 厳格な証明書検証を使用します。

      • 中間証明書に CA 拡張がない場合、証明書チェーンを許可しません。

      • 署名 CA 証明書を使用して、サーバー証明書を認証します。

      • ログインにクライアント証明書認証を使用する際に、クライアント証明書を認証します。

      • Online Certificate Status Protocol (OCSP) を使用して、CA 証明書の失効ステータスをチェックします。証明書が取り消されると、証明書は無効としてマークされます。応答がない場合、証明書は無効としてマークされず、他の方法で有効な場合はその使用が許可されます。

      • 証明書に、known_CA.inc にある有効で信頼できる CA があることを確認します。Tenable Vulnerability Management および plugins.nessus.org の CA 証明書は、プラグインディレクトリの known_CA.inc にすでにあります。

      • Tenable Nessus Manager にリンクされている場合は、Tenable Nessus Manager の CA 証明書が custom_CA.inc または known_CA.inc にあることを確認してください。

    • エージェント通信およびデータベース暗号化で最新の検証済み FIPS モジュールを強制実行します。FIPS モジュールはスキャン暗号化に影響しません。

      注意: NIAP モードを強制実行せずに、エージェント nessuscli ユーティリティから FIPS モジュールを強制実行することができます。詳細は、Tenable Nessus Agent CLI コマンドを参照してください。