スキャンテンプレート
スキャンテンプレートを使用して、所属企業のカスタムポリシーを作成できます。その後、Tenable のスキャンテンプレートまたはカスタムポリシーの設定に基づいてスキャンを実行できます。詳細は、ポリシーの作成を参照してください。
スキャンまたはポリシーの初回作成時には、[Scan Templates](スキャンテンプレート) セクションまたは [Policy Templates] (ポリシーテンプレート) セクションがそれぞれ表示されます。Tenable Nessus は、スキャンに使用するセンサーに応じて、スキャナーとエージェントに個別のテンプレートを用意しています。
- エージェントテンプレート (Tenable Nessus Manager のみ)
カスタムポリシーがある場合は、[User Defined] (ユーザー定義) タブに表示されます。
Tenable が提供するスキャンテンプレートを設定する場合、変更できるのはそのスキャンテンプレートタイプに含まれる設定のみです。ユーザー定義スキャンテンプレートを作成すると、スキャン用のカスタム設定セットを変更できます。
スキャナーとエージェントテンプレートのすべての設定の説明については、設定 を参照してください。
注意: プラグインが別のシステムと通信するために認証や設定を必要とする場合、そのプラグインはエージェントで使用できません。これには以下のような例があります。
- パッチ管理
- モバイルデバイス管理
- クラウドインフラ監査
- 認証が必要となるデータベースチェック
スキャナーテンプレート
Tenable Nessus には、3 つのスキャナーテンプレートカテゴリがあります。
-
Discovery (検出) — Tenable では、検出スキャンを使用して、ネットワーク上にあるホストを確認し、関連する情報 (IP アドレス、FQDN、オペレーティングシステム、開いているポートなど) がある場合は、それらも確認することを推奨しています。ホストのリストを取得した後、各脆弱性スキャンでターゲットにするホストを選択できます。
-
脆弱性 — Tenable では、所属企業の標準的な日常のスキャンニーズのほとんどで、脆弱性スキャンテンプレートを使用することを推奨しています。Tenable は、特定の脆弱性または脆弱性のグループに対してネットワークをスキャンできる脆弱性スキャンテンプレートも公開しています。Tenable は Tenable Nessus スキャンテンプレートライブラリを頻繁に更新し、Log4Shell などの一般的に関心を集めている最新の脆弱性を検出するテンプレートを追加しています。
-
コンプライアンス - Tenable では、設定スキャンテンプレートを使用して、ホスト設定がさまざまな業界標準に準拠しているかどうかをチェックすることを推奨しています。コンプライアンススキャンは、設定スキャンと呼ばれることもあります。コンプライアンススキャンが実行できるチェック事項については、コンプライアンス および SCAP 設定 を参照してください。
次の表では、利用可能なスキャナーテンプレートについて説明します。
ヒント: Tenable Nessus ユーザーインターフェースでは、検索ボックスを使用してテンプレートを素早く見つけることができます。
| テンプレート | [Description] (説明) |
|---|---|
| Discovery (検出) | |
| Attack Surface Discovery (アタックサーフェスの検出) | (Tenable Nessus Expert のみ) Bit Discovery を使用して、上位ドメインのリストをスキャンし、サブドメインと DNS 関連のデータを抽出します。詳細は、Bit Discovery でアタックサーフェス検出スキャンを作成するを参照してください。 |
|
Host Discovery (ホスト検出) |
Performs a simple scan to discover live hosts and open ports. このスキャンを起動して、ネットワーク上のホストと該当する関連情報 (IP アドレス、FQDN、オペレーティングシステム、開いているポートなど) を確認します。ホストのリストを取得した後、各脆弱性スキャンでターゲットにするホストを選択できます。 Tenable では、Tenable Network Monitor などのパッシブネットワーク監視のない企業がこのスキャンを毎週実行し、ネットワーク上の新しい資産を検出することを推奨しています。 注意: 検出スキャンによって特定された資産は、ライセンスに対してカウントされません。 |
| Ping-Only Discovery (Ping のみの検出) | 最小限のネットワークトラフィックでライブホストを検出するためのシンプルなスキャン。 |
| 脆弱性 | |
|
基本的なネットワークスキャン |
Performs a full system scan that is suitable for any host. Use this template to scan an asset or assets with all of Nessus's plugins enabled. For example, you can perform an internal vulnerability scan on your organization's systems. |
| 認証情報の検証 |
A lightweight scan template used to verify that host credential pairs for Windows and Unix successfully authenticate to scan targets. Use this scan template to quickly diagnose credential pair issues in your network. |
| Advanced Scan (詳細なスキャン) |
The most configurable scan type. You can configure this scan template to match any policy. This template has the same default settings as the basic scan template, but it allows for additional configuration options. 注意: 詳細なスキャンテンプレートを使えば、高速チェックや低速チェックなどのカスタム設定をして、より詳細にスキャンすることができますが、設定を誤ると、資産の停止やネットワークの飽和が引き起こされる場合があります。詳細なテンプレートは注意深く使用してください。
Note: Tenable automatically updates this template with any newly-released plugin families in which plugins rely on network traffic for detection. |
| Advanced Dynamic Scan (詳細な動的スキャン) |
プラグインファミリーまたは個別のプラグインを手動で選択する代わりに、動的プラグインフィルターを設定できる、推奨事項のない詳細なスキャンです。Tenable が新しいプラグインをリリースすると、お使いのフィルターに一致するプラグインがスキャンまたはポリシーに自動的に追加されます。これにより、新しいプラグインがリリースされたときにスキャンを最新の状態に維持しながら、特定の脆弱性に合わせてスキャンを調整することが可能になります。 |
|
Malware Scan (マルウェアスキャン) |
Scans for malware on Windows and Unix systems. Tenable Nessus は、許可リストとブロックリストを組み合わせたアプローチを使用してマルウェアを検出し、既知の良好なプロセスを監視し、既知の不良プロセスに警告を発し、未知のプロセスに「詳細な調査が必要」のフラグを立てることで両者の間のカバレッジギャップを特定します。 |
| Nessus 10.8.0 / 10.8.1 Agent のリセット | Tenable Agents のバージョン 10.8.0 および 10.8.1 をスキャンして検索、リセット、更新します。詳細については、Tenable Agent 10.8.2 リリースノートのアップグレードノートを参照してください。 |
| モバイルデバイススキャン |
(Tenable Nessus Manager のみ) Assesses mobile devices via Microsoft Exchange or an MDM. このテンプレートを使用して、対象のモバイルデバイスにインストールされているものをスキャンし、インストールされているアプリケーションまたはアプリケーションバージョンの脆弱性を報告します。 モバイルデバイススキャンプラグインにより、モバイルデバイス管理 (MDM) に登録されているデバイスから、および Microsoft Exchange Server の情報が保管されている Active Directory サーバーから情報を取得できます。
|
|
Credentialed Patch Audit (認証パッチ監査) |
Authenticates hosts and enumerates missing updates. このテンプレートを認証情報とともに使用して、Tenable Nessus にホストへの直接アクセスを与え、ターゲットとなるホストをスキャンし、欠落しているパッチ更新を列挙します。 |
| Active Directory Starter Scan |
Scans for misconfigurations in Active Directory. このテンプレートを使用して、Active Directory をチェックし、Kerberoasting 攻撃、脆弱な Kerberos の暗号化、Kerberos 事前認証の検証、有効期限のないアカウントパスワード、制約のない委任、null セッション、Kerberos KRBTGT、危険な信頼関係、プライマリグループ ID の整合性、空白のパスワードがないかを調べます。 |
| AI の検出 | AI、LLM、ML 関連の脆弱性をスキャンします。 |
| リモートのモニタリングと管理 | リモートのモニタリングと管理に使用されている環境内の資産を特定します。リモートのモニタリングと管理の資産は、リモートコントロールでシステムへのローカルアクセスを取得するためにサイバー攻撃の標的となることがよくあります。 |
| コンプライアンス | |
| Audit Cloud Infrastructure (クラウドインフラ監査) |
Audits the configuration of third-party cloud services. このテンプレートを使用して、監査するサービスの認証情報を提供すると、Amazon Web Service (AWS)、Google Cloud Platform、Microsoft Azure、Rackspace、Salesforce.com、Zoom の設定をスキャンできます。 |
|
Internal PCI Network Scan (内部 PCI ネットワークスキャン) |
Performs an internal PCI DSS (11.2.1) vulnerability scan. このテンプレートでは、PCI コンプライアンス要件を満たす継続的な脆弱性管理プログラム向けの内部 (PCI DSS 11.2.1) スキャン要件に準拠するために使用可能なスキャンが作成されます。これらのスキャンを使用して、継続的に脆弱性を管理したり、結果が合格またはクリーン (問題解消) となるまで再スキャンを実行したりすることができます。不足しているパッチとクライアント側の脆弱性を列挙するために認証情報を提供することができます。 注意: PCI DSS では、スキャンの結果が合格または「クリーン」である証拠を少なくとも四半期に 1 度提供することが義務付けられています。また、ネットワークに重大な変更を加えた後にもスキャンを実行する必要があります (PCI DSS 11.2.3)。 |
| MDM Config Audit (MDM 設定監査) |
Audits the configuration of mobile device managers. MDM 設定監査テンプレートは、パスワード要件、リモートワイプ設定、テザリングや Bluetooth などの安全でない機能の使用など、さまざまな MDM 脆弱性についてレポートします。 |
| Offline Config Audit (オフライン設定監査) |
Audits the configuration of network devices. オフライン設定監査により、Tenable Nessus はネットワーク経由のスキャンや認証情報を使用することなく、ホストをスキャンできます。企業のポリシーが、セキュリティ上の理由から、デバイスをスキャンしたり、ネットワーク上のデバイスの認証情報を取得したりすることを許可していない場合があります。オフライン設定監査では、ホストからのホスト設定ファイルを使用してスキャンします。これらのファイルをスキャンすることで、ホストを直接スキャンすることなく、デバイスの設定が監査に準拠しているかを確認できます。 Tenable では、オフライン設定監査を使用して、安全なリモートアクセスをサポートしていないデバイスや、スキャナーがアクセスできないデバイスをスキャンすることを推奨しています。 |
|
PCI 四半期外部スキャン |
PCI で義務付けられている四半期ごとの外部スキャンを実行します。 このテンプレートを使用すると、PCI DSS の四半期スキャンの要件を満たす外部スキャン (PCI DSS 11.2.2) をシミュレーションできます。ただし、このテンプレートのスキャン結果を Tenable に送信して PCI 検証を行うことはできません。Tenable Vulnerability Management のお客様だけが、PCI スキャンの結果を Tenable に送信して、PCI ASV 検証を受けることができます。 |
|
ポリシーコンプライアンス監査 |
Audits system configurations against a known baseline.
Note: The maximum number of audit files you can include in a single Policy Compliance Auditing scan is limited by the total runtime and memory that the audit files require. Exceeding this limit may lead to incomplete or failed scan results. To limit the possible impact, Tenable recommends that audit selection in your scan policies be targeted and specific for the scan's scope and compliance requirements. コンプライアンスチェックにより、Windows オペレーティングシステムのパスワードの複雑さ、システム設定、レジストリ値などのカスタムセキュリティポリシーに対して監査を行うことができます。Windows システムの場合、コンプライアンス監査は、Windows ポリシーファイルで記述できるものの大部分をテストできます。Unix システムの場合、コンプライアンス監査では、実行中のプロセス、ユーザーセキュリティポリシー、ファイルのコンテンツがテストされます。 |
|
SCAP および OVAL 監査 |
Audits systems using SCAP and OVAL definitions. アメリカ国立標準技術研究所 (NIST) の Security Content Automation Protocol (SCAP) は、政府機関における脆弱性管理とポリシーコンプライアンスのためのポリシーです。OVAL、CVE、CVSS、CPE、FDCCポリシーなど、複数のオープンスタンダードおよびポリシーが使用されています。
|
エージェントテンプレート (Tenable Nessus Manager のみ)
Tenable Nessus Manager には、2 つのエージェントテンプレートカテゴリがあります。
-
脆弱性 — Tenable では、所属企業の標準的な日常のスキャンニーズのほとんどで、脆弱性スキャンテンプレートを使用することを推奨しています。
-
コンプライアンス - Tenable では、設定スキャンテンプレートを使用して、ホスト設定がさまざまな業界標準に準拠しているかどうかをチェックすることを推奨しています。コンプライアンススキャンは、設定スキャンと呼ばれることもあります。コンプライアンススキャンが実行できるチェック事項については、コンプライアンス および SCAP 設定 を参照してください。
次の表では、利用可能なエージェントテンプレートについて説明します。
ヒント: Tenable Nessus ユーザーインターフェースでは、検索ボックスを使用してテンプレートを素早く見つけることができます。