Tenable Nessus Expert のウェブアプリケーションスキャンの使用開始

Tenable は、Tenable Nessus 10.6 のリリースで、ウェブアプリケーションスキャン機能を Tenable Nessus Expert に追加しました。Tenable Nessus Expert でウェブアプリケーションスキャンの使用を開始するにあたり、知っておくべき情報を以下に示します。この機能を適切に使用するために知っておくべき情報が含まれていますので、すでに Tenable のクラウドベースのアプリケーションスキャナーをご利用いただいたことがある方も、この概要を最後までお読みください。

Tenable Nessus Expert ユーザーインターフェースを使ったウェブアプリケーションスキャンの詳細は、Tenable Nessus でのウェブアプリケーションスキャンウェブアプリケーションスキャンの作成を参照してください。

システムおよびハードウェア要件

Tenable Nessus 自体はホストオペレーティングシステムに直接インストールされますが、Tenable Nessus Expert のウェブスキャナー部分は Docker イメージとして同じホストにインストールされます。インストールするには、ホストに Docker バージョン 20.0.0 以降がインストールされている必要があります。ホストに Docker がインストールされていない場合、ウェブアプリケーションスキャナーは実行できません (Tenable Nessus のその他すべての機能は、Docker がインストールされていなくても想定通りに動作します)。

ホストに Docker をインストールしたり、Docker のシステム要件を確認したりするには、https://docs.docker.com/ を参照してください。Docker がホストにインストールされると、ホストに Tenable Nessus 10.6 以降をインストールまたはアップグレードできます (Tenable Nessus をインストールまたはアップグレードした後に Docker をインストールすることもできます)。

次の表は、Tenable Nessus Expert のウェブアプリケーションスキャンのハードウェア要件を示しています。

ハードウェア 最小要件
プロセッサー 2 GHz コア x 8 以上
RAM

> 8 GB

Tenable では、最適なパフォーマンスを実現するため 16 GB RAM の使用を推奨しています。

ディスク容量

40 GB 以上 (ホストオペレーティングシステムで使用する容量は含まれていません)

全体的な使用状況 (スキャン結果、プラグイン更新、ログなど) によって必要なディスク容量は次第に増加します。

注意: 以下のプラットフォームは、Tenable Nessus のウェブアプリケーションスキャンをサポートしていません。

  • Docker をサポートしない任意のホスト

  • ARM ベースのプロセッサーを使用するホスト (例: AArch64 Linux ディストリビューション、Apple Silicon システム)

仮想ホストでの Docker サポートの詳細については、Docker ドキュメントを参照してください。

インストールに関する注意事項

Tenable Nessus Expert のウェブアプリケーションスキャンをインストールするには、Tenable Nessus でのウェブアプリケーションスキャン を参照してください。

以下のインストールに関する注意事項に加えて、「Web App Scanning in Nessus Expert 10.6」 (Nessus Expert 10.6 におけるウェブアプリケーションスキャン) のビデオで Tenable Nessus Expert とウェブアプリケーションスキャンのインストール方法をご確認ください。

  • ウェブアプリケーションスキャンを有効にするには、ホストに Docker がインストール済みであることを Tenable Nessus Expert が検出できる必要があります。

    Windows システムでは、Tenable Nessus Expert が Docker のインストール状況を検出するには、Docker Desktop を管理者として実行する必要があります (Docker Desktop アイコンを右クリックし、[Run as administrator] (管理者として実行) を選択します)。Docker Desktop をカスタムディレクトリパスにインストールした場合、Windows 上の Tenable Nessus Expert はインスタンスを検出できないことがあります。この場合は、Nessuscli ユーティリティを使用して、Docker バイナリがホストシステムのディレクトリパスのどこに存在するかを Tenable Nessus Expert に通知します。たとえば、Windows ホストを実行していて、Docker 実行可能ファイルが次の場所に保存されているとします。

    C:\Program Files\Docker\Docker\Resources\bin\docker.exe

    次のコマンドを管理者として実行します。

    nessuscli fix --set global.path_to_docker="C:\Program Files\Docker\Docker\resources\bin\docker.exe"

    Docker バイナリに Linux ファイルパスを追加することで、Linux システムでもこれと同じコマンドを使用できます。

    次に、Tenable Nessus サービスを再起動し、ログインしてウェブアプリケーションスキャンの有効化を完了します。

  • 既存の Docker イメージに Tenable Nessus ウェブアプリケーションスキャンをインストールしないでください。ウェブアプリケーションスキャナーが Docker イメージ上にすでに存在する状態で、別の Docker イメージ内で Docker アプリケーションを実行することはサポートされていないため、パフォーマンスが低下します。

  • Tenable Nessus ウェブアプリケーションスキャンは、ARM プロセッサーでは実行されません (AArch64 Linux または macOS Apple Silicon プロセッサーなど)。

  • Tenable Nessus がオフラインのときは、Tenable Nessus Expert ウェブアプリケーションスキャンプラグインを更新できません。

ベストプラクティス

  • ウェブアプリケーションの複雑さにかかわらず、スキャナーがその機能を最大限に発揮できる設定をするには、アプリケーションに関する知識が必要です。Tenable では、ウェブアプリケーション開発者と協力して、特定のアプリケーションアーキテクチャに適したスキャン設定を使用することを推奨しています。

  • スキャンの設定によってはウェブアプリケーションスキャンがアプリケーションに影響を及ぼす可能性があるため、Tenable では、可能であれば、まずウェブアプリケーションのミラーイメージをスキャンすることを推奨しています。これにより、さまざまなスキャン設定を使用した場合のアプリケーションへの影響を判断できます。

  • 本番環境のアプリケーションを直接スキャンする場合、Tenable では、お客様の組織でスケジュールされたメンテナンス期間内に限定してウェブスキャンを実行することを推奨しています。

  • ほとんどの場合、セキュリティ担当者が脆弱性評価の対象となるウェブアプリケーションを特定します。ただし、担当者も環境内にデプロイされているウェブアプリケーションをすべて認識しているわけではありません。Tenable では、まず候補となるウェブアプリケーションを特定するためのスキャンを実行することを推奨しています。これにより、スキャン対象の候補となるウェブアプリケーションのリストを作成できます。このリストをもとに、システム管理者やウェブアプリケーション開発者を交えて、総合的なウェブアプリケーションの脆弱性評価が必要なホストかどうかを判断できます。詳細については、ネットワーク内のウェブアプリケーションホストの識別に関するビデオ「How to Detect Web Applications with Nessus」 (Nessus を使ったウェブアプリケーションの検出方法) をご覧ください。

ウェブアプリケーションスキャンテンプレート

Tenable Nessus Expert のウェブアプリケーションスキャナーには、7 つのスキャンテンプレートが含まれています。

  • API スキャンテンプレート

  • ウェブアプリケーション設定監査テンプレート

  • Log4Shell 検出テンプレート

  • ウェブアプリケーションの概要テンプレート

  • PCI ASV テンプレート

  • 汎用ウェブアプリケーションスキャンテンプレート

  • SSL TLS 監査スキャン

  • クイックウェブアプリケーションスキャンテンプレート

ほとんどの場合、一般的な企業のセキュリティ要件を満たすスキャン結果を得られるよう、Tenable では次のスキャンテンプレートを記載の順にご利用いただくよう推奨しています。

  1. SSL TLS

    ウェブアプリケーションを対象とした SSL TLS スキャンの設定と起動については、「Web App SSL and TLS Scanning in Nessus Expert 10.6」 (Nessus Expert 10.6 におけるウェブアプリケーションの SSL および TLS スキャン) のビデオをご覧ください。

  2. ウェブアプリケーション設定監査

    ウェブアプリケーションを対象としたウェブアプリケーション設定監査スキャンの設定と起動については、「Web App Config Audit Scanning in Nessus Expert 10.6」 (Nessus Expert 10.6 におけるウェブアプリケーション設定監査スキャン) のビデオをご覧ください。

  3. ウェブアプリケーションの概要

    ウェブアプリケーションを対象としたウェブアプリケーションの概要スキャンの設定と起動については、「Web App Overview Scanning in Nessus Expert 10.6」 (Nessus Expert 10.6 におけるウェブアプリケーションの概要スキャン) のビデオをご覧ください。

  4. スキャン

    スキャンテンプレートを使ったウェブアプリケーションのスキャンについては、「Web App Scan in Nessus Expert 10.6」 (Nessus Expert 10.6 におけるウェブアプリケーションスキャン) のビデオをご覧ください。

ウェブアプリケーションスキャン結果の表示と解釈については、「Web App Vulnerability Analysis in Nessus Expert 10.6」 (Nessus Expert 10.6 におけるウェブアプリケーション脆弱性分析) のビデオをご覧ください。

Tenable Nessus ウェブアプリケーションスキャンテンプレートに関するその他のドキュメントは、スキャンテンプレートを参照してください。

役立つナレッジベース記事

Tenable Nessus Expert のウェブアプリケーションスキャナーは、Tenable Vulnerability Management および Tenable Core + Tenable Web App Scanning で利用できる Tenable のウェブアプリケーションスキャナーと同じエンジンを使用します。以下のナレッジベースの記事はこれらの他製品に関連するものもありますが、記事で取り上げられているトピックは Tenable Nessus のウェブアプリケーションスキャンにも当てはまります。