Tenable Nessus でのウェブアプリケーションスキャン

Tenable Nessus Expert では、ウェブアプリケーションスキャン (WAS) を利用できます。Tenable Nessus でウェブアプリケーションスキャンを使用すると、従来の Tenable Nessus スキャナー、Tenable Nessus AgentsTenable Nessus Network Monitor ではスキャンできないウェブアプリケーションの脆弱性をスキャンし、対処することができます。

注意: 以下のプラットフォームは、Tenable Nessus のウェブアプリケーションスキャンをサポートしていません。

  • Docker をサポートしない任意のホストシステム

  • ARM ベースのプロセッサーを使用するホスト (例: AArch64 Linux ディストリビューション、Apple Silicon システム)

仮想ホストでの Docker サポートの詳細については、Docker ドキュメントを参照してください。

注意: Tenable Nessus Expert で一度に実行できるウェブアプリケーションスキャンは 1 つのみです。

注意: Tenable Nessus がオフラインのときは、Tenable Nessus Expert ウェブアプリケーションスキャンプラグインを更新できません。

ライセンス

Tenable Nessus Expert のウェブアプリケーションスキャンのライセンスを取得した場合、90 日間で最大 5 つの異なるウェブアプリケーション URL をスキャンすることができます。

Tenable Nessus は、URL のフルパスではなく、ホスト名とポート (FQDN:port) のみを使用して WAS ライセンスを追跡するようになりました。たとえば、次のターゲットが 1 つのライセンス FQDN としてカウントされます。

  • https://example.com/welcome

  • https://example.com/welcome/get-started

  • https://example.com/welcome/get-started/create-new-user

ターゲットの URL に対してウェブアプリケーションスキャンを 90 日間実行しなかった場合、Tenable Nessus はライセンスからその URL を削除し、その URL は URL 上限でカウントされなくなります。ウェブアプリケーションスキャンデータを削除しても、URL はライセンスから削除されません。

Tenable の担当者に連絡して、追加の URL を購入することができます。

前提条件

Tenable Nessus Expert でウェブアプリケーションスキャンを有効にする前に、Tenable Nessus ホストに Docker バージョン 20.0.0 以降をインストールする必要があります。

Tenable Nessus でウェブアプリケーションスキャンを有効にする

  1. 左側のナビゲーションペインの [Resources] (リソース) で、[Web App Scanning] (ウェブアプリケーションスキャン) をクリックします。

    [Web Application Scanning (WAS)] (ウェブアプリケーションスキャン (WAS)) ページが表示されます。[WAS requirements and information] (WAS の要件と情報) セクションに、Docker が Tenable Nessus ホストにインストールされているかどうかと、インストールされている場合はそのバージョンが表示されます。また、ウェブアプリケーションスキャンが Tenable Nessus ホストにダウンロードされているかどうか、および現在のウェブアプリケーションスキャンのプラグインセットを確認できます。

  2. [Enable Web Application Scanning] (ウェブアプリケーションスキャンを有効にする) チェックボックスを選択します。

  3. [Save] (保存) をクリックします。

    Tenable Nessus はウェブアプリケーションスキャンのダウンロードを開始します。

    ウェブアプリケーションスキャンのダウンロードが完了すると、[WAS requirements and information] (WAS の要件と情報) のセクションに、ウェブアプリケーションスキャンがダウンロードされたことが示されます (次の図を参照)。これで、Tenable Nessus のスキャンユーザーインターフェースにウェブアプリスキャンテンプレートが表示され、ウェブアプリケーションスキャンを実行できるようになります。

    ヒント: ウェブアプリケーションスキャンがインストールされている場合、[WAS Image Last Checked] (WAS イメージの最終チェック) フィールドの横にある をクリックすることで、Tenable Nessus を最新の Tenable Web App Scanning バージョンに更新できます。

    Tenable Nessus Expert とウェブアプリケーションスキャンのインストール方法の詳細は、「Web App Scanning in Nessus Expert 10.6」 (Nessus Expert 10.6 におけるウェブアプリケーションスキャン) のビデオをご覧ください。

次の手順