NIAP に準拠する Tenable Nessus の設定

企業が Tenable Nessus のインスタンスを National Information Assurance Partnership (NIAP) 基準に適合させることを要求する場合、関連する設定が NIAP 基準に準拠するように Tenable Nessus を設定できます。

始める前に

  • Tenable Nessus にログインするために SSL 証明書を使用して SSL 証明書にログインしている場合は、サーバーとクライアントの証明書が NIAP に準拠していることを確認してください。CA が署名した独自の証明書を使用することも、Tenable Nessus を使用して ログイン用の Nessus SSL 証明書を作成する することもできます。

  • Tenable Nessus をインストールしたホストのオペレーティングシステムが提供するフルディスク暗号化機能が有効になっていることを確認します。

NIAP に準拠するよう Tenable Nessus を設定するには

  1. Tenable Nessus のインスタンスにログインします。

  2. コマンドラインインターフェースを使用して NIAP モードを有効にします。

    1. コマンドラインインターフェースから Tenable Nessus にアクセスします。

    2. コマンドラインで、次のコマンドを入力します。

      nessuscli fix --set niap_mode=enforcing

      Linux の例

      /opt/nessus/sbin/nessuscli fix --set niap_mode=enforcing

    Tenable Nessus は以下を実行します。

    注意: Tenable Nessus が NIAP モードの場合、Tenable Nessus が NIAP モードのままである限り、Tenable Nessus は以下の設定をオーバーライドします。NIAP モードを無効にすると、Tenable Nessus は以前の設定に戻ります。

    • SSL モード (ssl_mode_preference) を TLS 1.2 (niap) オプションでオーバーライドします。
    • SSL 暗号リスト (ssl_cipher_list) の設定を、次の暗号を設定する NIAP 承認された暗号 (niap) 設定でオーバーライドします。
      • ECDHE-RSA-AES128-SHA256
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-AES256-GCM-SHA384
    • 厳格な証明書検証を使用します。
      • 中間証明書に CA 拡張がない場合、証明書チェーンを許可しません。
      • 署名 CA 証明書を使用して、サーバー証明書を認証します。
      • ログインにクライアント証明書認証を使用する際に、クライアント証明書を認証します。
      • Online Certificate Status Protocol (OCSP) を使用して、CA 証明書の失効ステータスをチェックします。証明書が取り消されると、Tenable Nessus は証明書を無効としてマークします。応答がない場合、Tenable Nessus は証明書を無効としてマークしません。

      • 証明書に、known_CA.inc にある有効で信頼できる CA があることを確認してください。Tenable Vulnerability Management および plugins.nessus.org の CA 証明書は、プラグインディレクトリの known_CA.inc にすでにあります。

      • known_CA.inc にないカスタム CA 証明書を使用する場合は、プラグインディレクトリにある custom_CA.inc にコピーしてください。

    • Tenable Nessus 通信およびデータベース暗号化に対して最新の検証済み FIPS モジュールを適用します。FIPS モジュールはスキャン暗号化に影響しません。

      注意: NIAP モードを適用することなく nessuscli から FIPS モジュールを適用できます。詳細は、修正コマンドを参照してください。

データベースの暗号化

暗号化されたデータベースをデフォルトの形式 (OFB-128) から NIAP 準拠の暗号化 (XTS-AES-128) に変換できます。

NIAP モードの Tenable Nessus では、デフォルトの形式 (OFB-128) でデータベースを読み取ることができます。

暗号化されたデータベースを NIAP 準拠の暗号化に変換するには

  1. Tenable Nessus を停止します
  2. 前の手順で説明されているように、NIAP モードを有効にします。

  3. 次のコマンドを入力してください。

    nessuscli security niapconvert

    Tenable Nessus は、暗号化されたデータベースを XTS-AES-128 形式に変換します。