Tenable Nessus でのウェブアプリケーションスキャン
Tenable Nessus Expert では、ウェブアプリケーションスキャン (WAS) を利用できます。Tenable Nessus でウェブアプリケーションスキャンを使用すると、従来の Tenable Nessus スキャナー、Tenable Nessus Agents、Tenable Nessus Network Monitor ではスキャンできないウェブアプリケーションの脆弱性をスキャンし、対処することができます。
注意: 以下のプラットフォームは、Tenable Nessus のウェブアプリケーションスキャンをサポートしていません。
-
Docker をサポートしない任意のホストシステム
-
ARM ベースのプロセッサーを使用するホスト (例: AArch64 Linux ディストリビューション、Apple Silicon システム)
仮想ホストでの Docker サポートの詳細については、Docker ドキュメントを参照してください。
注意: Tenable Nessus Expert で一度に実行できるウェブアプリケーションスキャンは 1 つのみです。
注意: Tenable Nessus がオフラインのときは、Tenable Nessus Expert ウェブアプリケーションスキャンプラグインを更新できません。
ライセンス
Tenable Nessus Expert のウェブアプリケーションスキャンのライセンスを取得した場合、90 日間で最大 5 つの異なるウェブアプリケーション URL をスキャンすることができます。
Tenable Nessus は、URL のフルパスではなく、ホスト名とポート (FQDN:port) のみを使用して WAS ライセンスを追跡するようになりました。たとえば、次のターゲットが 1 つのライセンス FQDN としてカウントされます。
-
https://example.com/welcome
-
https://example.com/welcome/get-started
-
https://example.com/welcome/get-started/create-new-user
ターゲットの URL に対してウェブアプリケーションスキャンを 90 日間実行しなかった場合、Tenable Nessus はライセンスからその URL を削除し、その URL は URL 上限でカウントされなくなります。ウェブアプリケーションスキャンデータを削除しても、URL はライセンスから削除されません。
Tenable の担当者に連絡して、追加の URL を購入することができます。
前提条件
Tenable Nessus Expert でウェブアプリケーションスキャンを有効にする前に、Tenable Nessus ホストに Docker バージョン 20.0.0 以降をインストールする必要があります。
Tenable Nessus でウェブアプリケーションスキャンを有効にする
-
左側のナビゲーションペインの [Resources] (リソース) で、[Web App Scanning] (ウェブアプリケーションスキャン) をクリックします。
[Web Application Scanning (WAS)] (ウェブアプリケーションスキャン (WAS)) ページが表示されます。[WAS requirements and information] (WAS の要件と情報) セクションに、Docker が Tenable Nessus ホストにインストールされているかどうかと、インストールされている場合はそのバージョンが表示されます。また、ウェブアプリケーションスキャンが Tenable Nessus ホストにダウンロードされているかどうか、および現在のウェブアプリケーションスキャンのプラグインセットを確認できます。
-
[Enable Web Application Scanning] (ウェブアプリケーションスキャンを有効にする) チェックボックスを選択します。
-
[Save] (保存) をクリックします。
Tenable Nessus はウェブアプリケーションスキャンのダウンロードを開始します。
ウェブアプリケーションスキャンのダウンロードが完了すると、[WAS requirements and information] (WAS の要件と情報) のセクションに、ウェブアプリケーションスキャンがダウンロードされたことが示されます (次の図を参照)。これで、Tenable Nessus のスキャンユーザーインターフェースにウェブアプリスキャンテンプレートが表示され、ウェブアプリケーションスキャンを実行できるようになります。
ヒント: ウェブアプリケーションスキャンがインストールされている場合、[WAS Image Last Checked] (WAS イメージの最終チェック) フィールドの横にある をクリックすることで、Tenable Nessus を最新の Tenable Web App Scanning バージョンに更新できます。
Tenable Nessus Expert とウェブアプリケーションスキャンのインストール方法の詳細は、「Web App Scanning in Nessus Expert 10.6」 (Nessus Expert 10.6 におけるウェブアプリケーションスキャン) のビデオをご覧ください。
次の手順