スキャンテンプレート

スキャンテンプレートを使用して、所属企業のカスタムポリシーを作成できます。その後、Tenable のスキャンテンプレートまたはカスタムポリシーの設定に基づいてスキャンを実行できます。詳細は、ポリシーの作成を参照してください。

スキャンまたはポリシーの初回作成時には、[Scan Templates](スキャンテンプレート) セクションまたは [Policy Templates] (ポリシーテンプレート) セクションがそれぞれ表示されます。Tenable Nessus は、スキャンに使用するセンサーに応じて、スキャナーとエージェントに個別のテンプレートを用意しています。

カスタムポリシーがある場合は、[User Defined] (ユーザー定義) タブに表示されます。

Tenable が提供するスキャンテンプレートを設定する場合、変更できるのはそのスキャンテンプレートタイプに含まれる設定のみです。ユーザー定義スキャンテンプレートを作成すると、スキャン用のカスタム設定セットを変更できます。

スキャナーとエージェントテンプレートのすべての設定の説明については、設定 を参照してください。

注意: プラグインが別のシステムと通信するために認証や設定を必要とする場合、そのプラグインはエージェントで使用できません。これには以下のような例があります。

  • パッチ管理
  • モバイルデバイス管理
  • クラウドインフラ監査
  • 認証が必要となるデータベースチェック

スキャナーテンプレート

Tenable Nessus には、3 つのスキャナーテンプレートカテゴリがあります。

  • Discovery (検出)Tenable では、検出スキャンを使用して、ネットワーク上にあるホストを確認し、関連する情報 (IP アドレス、FQDN、オペレーティングシステム、開いているポートなど) がある場合は、それらも確認することを推奨しています。ホストのリストを取得した後、各脆弱性スキャンでターゲットにするホストを選択できます。

  • Vulnerabilities (脆弱性)Tenable では、所属企業の標準的な日常のスキャンニーズのほとんどで、脆弱性スキャンテンプレートを使用することを推奨しています。Tenable は、特定の脆弱性または脆弱性のグループに対してネットワークをスキャンできる脆弱性スキャンテンプレートも公開しています。TenableTenable Nessus スキャンテンプレートライブラリを頻繁に更新し、Log4Shell などの一般的に関心を集めている最新の脆弱性を検出するテンプレートを追加しています。

  • コンプライアンス - Tenable では、設定スキャンテンプレートを使用して、ホスト設定がさまざまな業界標準に準拠しているかどうかをチェックすることを推奨しています。コンプライアンススキャンは、設定スキャンと呼ばれることもあります。コンプライアンススキャンが実行できるチェック事項については、Compliance (コンプライアンス) および SCAP 設定 を参照してください。

次の表では、利用可能なスキャナーテンプレートについて説明します。

ヒント: Tenable Nessus ユーザーインターフェースでは、検索ボックスを使用してテンプレートを素早く見つけることができます。

注意: Tenable Nessus Manager をエージェント管理用に設定する場合、Tenable ではローカルスキャナーとしての Tenable Nessus Manager の使用をお勧めしていません。たとえば、Tenable Security Center のスキャンゾーンに Nessus Manager を含めるように設定したり、Tenable Nessus Manager からネットワークベースのスキャンを直接実行したりしないでください。このような設定は、エージェントスキャンのパフォーマンスに悪影響を与える可能性があります。ほとんどの場合、Tenable Nessus Manager で作業する際はエージェントスキャンテンプレートを使用します。
テンプレート 説明
Discovery (検出)
Attack Surface Discovery (アタックサーフェスの検出) (Tenable Nessus Expert のみ) Bit Discovery を使用して、上位ドメインのリストをスキャンし、サブドメインと DNS 関連のデータを抽出します。詳細は、Bit Discovery でアタックサーフェス検出スキャンを作成するを参照してください。

Host Discovery (ホスト検出)

単純なスキャンを実行して、稼働中のホストと開いているポートを検出します。

このスキャンを起動して、ネットワーク上のホストと該当する関連情報 (IP アドレス、FQDN、オペレーティングシステム、開いているポートなど) を確認します。ホストのリストを取得した後、各脆弱性スキャンでターゲットにするホストを選択できます。

Tenable では、Tenable Nessus Network Monitor などのパッシブネットワーク監視のない企業がこのスキャンを毎週実行し、ネットワーク上の新しい資産を検出することを推奨しています。

注意: 検出スキャンによって特定された資産は、ライセンスに対してカウントされません。

Vulnerabilities (脆弱性)

Basic Network Scan (Basic Network スキャン)

任意のホストで使用できるフルシステムスキャンを実行します。Nessus のプラグインをすべて有効にした資産 (複数可) のスキャンには、このテンプレートを使用します。たとえば、所属する組織のシステムにおける内部脆弱性スキャンを実施することができます。

Advanced Network Scan (詳細なネットワークスキャン)

最も設定可能なスキャンタイプです。このスキャンテンプレートを、任意のポリシーとマッチするように設定することができます。このテンプレートのデフォルト設定は基本スキャンテンプレートと同じですが、追加の設定オプションを利用できます。

注意: 詳細なスキャンテンプレートを使えば、高速チェックや低速チェックなどのカスタム設定をして、より詳細にスキャンすることができますが、設定を誤ると、資産の停止やネットワークの飽和が引き起こされる場合があります。詳細なテンプレートは注意深く使用してください。

注意: Tenable は、プラグインがネットワークトラフィックに依存して検出を行う新しくリリースされたプラグインファミリーで、このテンプレートを自動的に更新します。

Advanced Dynamic Scan (詳細な動的スキャン)

プラグインファミリーまたは個別のプラグインを手動で選択する代わりに、動的プラグインフィルターを設定できる、推奨事項のない詳細なスキャンです。Tenable が新しいプラグインをリリースすると、お使いのフィルターに一致するプラグインがスキャンまたはポリシーに自動的に追加されます。これにより、新しいプラグインがリリースされたときにスキャンを最新の状態に維持しながら、特定の脆弱性に合わせてスキャンを調整することが可能になります。

Malware Scan (マルウェアスキャン)

Windows と Linux のシステムで、マルウェアをスキャンします。

Tenable Nessus は、許可リストとブロックリストを組み合わせたアプローチを使用して、マルウェアの検出、既知の良好なプロセスの監視、既知の不良プロセスに対するアラートを行い、さらに詳細に検査するために未知のプロセスにフラグを立てることで両者の間のカバレッジギャップを特定します。

Mobile Device Scan (モバイルデバイススキャン)

(Tenable Nessus Manager のみ)

Microsoft Exchange または MDM を使用してモバイルデバイスを評価します。

このテンプレートを使用して、対象のモバイルデバイスにインストールされているものをスキャンし、インストールされているアプリケーションまたはアプリケーションバージョンの脆弱性を報告します。

モバイルデバイススキャンプラグインにより、モバイルデバイス管理 (MDM) に登録されているデバイスから、および Microsoft Exchange Server の情報が保管されている Active Directory サーバーから情報を取得できます。

  • 情報のクエリを行うには、Tenable Nessus スキャナーがモバイルデバイス管理サーバーに到達できる必要があります。Nessus スキャナーからこれらのシステムへのトラフィックをブロックするスクリーニングデバイスがないことを確認する必要があります。さらに、Tenable Nessus に Active Directory サーバーへの管理者認証情報 (例: ドメイン管理者) を与える必要があります。
  • モバイルデバイスをスキャンするには、管理サーバーとモバイルプラグインの認証情報を Tenable Nessus に設定する必要があります。Tenable Nessus は管理サーバーへの認証を直接受けるので、特定のホストをスキャンするようにスキャンポリシーを設定する必要はありません。
  • Microsoft Exchange Server のデータにアクセスする ActiveSync スキャンの場合、Tenable Nessus は過去 365 日以内に更新された携帯電話から情報を取得します。

Credentialed Patch Audit (認証パッチ監査)

ホストを認証し、不足している更新プログラムを列挙します。

このテンプレートを認証情報とともに使用して、Tenable Nessus にホストへの直接アクセスを与え、ターゲットとなるホストをスキャンし、欠落しているパッチ更新を列挙します。

Intel AMT セキュリティバイパス

CVE-2017-5689 のリモートチェックとローカルチェックを実行します。

Active Directory Starter Scan

Active Directory の設定ミスをスキャンします。

このテンプレートを使用して、Active Directory をチェックし、Kerberoasting 攻撃、脆弱な Kerberos の暗号化、Kerberos 事前認証の検証、有効期限のないアカウントパスワード、制約のない委任、null セッション、Kerberos KRBTGT、危険な信頼関係、プライマリグループ ID の整合性、空白のパスワードがないかを調べます。

コンプライアンス
Audit Cloud Infrastructure (クラウドインフラ監査)

サードパーティのクラウドサービスの設定を監査します。

このテンプレートを使用して、監査するサービスの認証情報を提供すると、Amazon Web Service (AWS)、Google Cloud Platform、Microsoft Azure、Rackspace、Salesforce.com、Zoom の設定をスキャンできます。

Internal PCI Network Scan (内部 PCI ネットワークスキャン)

内部 PCI DSS (11.2.1) の脆弱性スキャンを実行します。

このテンプレートでは、PCI コンプライアンス要件を満たす継続的な脆弱性管理プログラム向けの内部 (PCI DSS 11.2.1) スキャン要件に準拠するために使用可能なスキャンが作成されます。これらのスキャンを使用して、継続的に脆弱性を管理したり、結果が合格またはクリーン (問題解消) となるまで再スキャンを実行したりすることができます。不足しているパッチとクライアント側の脆弱性を列挙するために認証情報を提供することができます。

注意: PCI DSS では、スキャンの結果が合格または「クリーン」である証拠を少なくとも四半期に 1 度提供することが義務付けられています。また、ネットワークに重大な変更を加えた後にもスキャンを実行する必要があります (PCI DSS 11.2.3)。

MDM Config Audit (MDM 設定監査)

モバイルデバイスマネージャーの設定を監査します。

MDM 設定監査テンプレートは、パスワード要件、リモートワイプ設定、テザリングや Bluetooth などの安全でない機能の使用など、さまざまな MDM 脆弱性についてレポートします。

Offline Config Audit (オフライン設定監査)

ネットワークデバイスの設定を監査します。

オフライン設定監査により、Tenable Nessus はネットワーク経由のスキャンや認証情報を使用することなく、ホストをスキャンできます。企業のポリシーが、セキュリティ上の理由から、デバイスをスキャンしたり、ネットワーク上のデバイスの認証情報を取得したりすることを許可していない場合があります。オフライン設定監査では、ホストからのホスト設定ファイルを使用してスキャンします。これらのファイルをスキャンすることで、ホストを直接スキャンすることなく、デバイスの設定が監査に準拠しているかを確認できます。

Tenable では、安全なリモートアクセスをサポートしていないデバイスや、スキャナーがアクセスできないデバイスのスキャンに、オフライン設定監査を使用することを推奨しています。

Unofficial PCI Quarterly External Scan (PCI 四半期外部スキャン (非公式))

PCI で義務付けられている四半期ごとの外部スキャンを実行します。

このテンプレートを使用すると、PCI DSS の四半期スキャンの要件を満たす外部スキャン (PCI DSS 11.2.2) をシミュレーションできます。ただし、このテンプレートのスキャン結果を Tenable に送信して PCI 検証を行うことはできません。Tenable Vulnerability Management のお客様だけが、PCI スキャンの結果を Tenable に送信して、PCI ASV 検証を受けることができます。

ポリシーコンプライアンス監査

既知の基準値に照らしてシステム設定を監査します。

注意: 1 つの [Policy Compliance Auditing] (ポリシーコンプライアンス監査) スキャンに含めることができる監査ファイルの最大数は、監査ファイルが必要とする合計実行時間とメモリによって制限されます。この制限を超えると、スキャン結果が不完全になったり失敗したりする可能性があります。Tenable では、想定される影響を限定的なものにするため、スキャンの範囲とコンプライアンス要件を明確にしたうえで、スキャンポリシーで対象となる監査を選択することを推奨しています。

コンプライアンスチェックにより、Windows オペレーティングシステムのパスワードの複雑さ、システム設定、レジストリ値などのカスタムセキュリティポリシーに対して監査を行うことができます。Windows システムの場合、コンプライアンス監査は、Windows ポリシーファイルで記述できるものの大部分をテストできます。Unix システムの場合、コンプライアンス監査では、実行中のプロセス、ユーザーセキュリティポリシー、ファイルのコンテンツがテストされます。

SCAP および OVAL 監査

SCAP と OVAL の定義を使用してシステムを監査します。

アメリカ国立標準技術研究所 (NIST) の Security Content Automation Protocol (SCAP) は、政府機関における脆弱性管理とポリシーコンプライアンスのためのポリシーです。OVAL、CVE、CVSS、CPE、FDCCポリシーなど、複数のオープンスタンダードおよびポリシーが使用されています。

  • SCAP コンプライアンス監査では、実行可能ファイルをリモートホストに送信することが義務付けられています。
  • セキュリティソフトウェア (例: McAfee Host Intrusion Prevention) を実行しているシステムでは、監査に必要な実行可能ファイルがブロックまたは隔離される可能性があります。そのようなシステムでは、ホストまたは送信される実行可能ファイルを例外として設定する必要があります。
  • SCAP および OVAL 監査テンプレートを使用する場合、NIST の Special Publication 800-126 で指定されているように、Linux および Windows の SCAP チェックを実行してコンプライアンス基準をテストできます。

エージェントテンプレート (Tenable Nessus Manager のみ)

Tenable Nessus Manager には、2 つのエージェントテンプレートカテゴリがあります。

  • Vulnerabilities (脆弱性)Tenable では、所属企業の標準的な日常のスキャンニーズのほとんどで、脆弱性スキャンテンプレートを使用することを推奨しています。

  • コンプライアンス - Tenable では、設定スキャンテンプレートを使用して、ホスト設定がさまざまな業界標準に準拠しているかどうかをチェックすることを推奨しています。コンプライアンススキャンは、設定スキャンと呼ばれることもあります。コンプライアンススキャンが実行できるチェック事項については、Compliance (コンプライアンス) および SCAP 設定 を参照してください。

次の表では、利用可能なエージェントテンプレートについて説明します。

ヒント: Tenable Nessus ユーザーインターフェースでは、検索ボックスを使用してテンプレートを素早く見つけることができます。

テンプレート 説明
Vulnerabilities (脆弱性)

Basic Agent Scan (基本のエージェントスキャン)

任意のホストで使用できるフルシステムスキャンを実行します。Nessus のプラグインをすべて有効にした資産 (複数可) のスキャンには、このテンプレートを使用します。たとえば、所属する組織のシステムにおける内部脆弱性スキャンを実施することができます。

Advanced Agent Scan (詳細なエージェントスキャン)

最も設定可能なスキャンタイプです。このスキャンテンプレートを、任意のポリシーとマッチするように設定することができます。このテンプレートのデフォルト設定は基本スキャンテンプレートと同じですが、追加の設定オプションを利用できます。

注意: 詳細なスキャンテンプレートを使えば、高速チェックや低速チェックなどのカスタム設定をして、より詳細にスキャンすることができますが、設定を誤ると、資産の停止やネットワークの飽和が引き起こされる場合があります。詳細なテンプレートは注意深く使用してください。

Malware Scan (マルウェアスキャン)

Windows と Linux のシステムで、マルウェアをスキャンします。

Tenable Nessus Agent は、許可リストとブロックリストを組み合わせたアプローチを使用して、マルウェアの検出、既知の良好なプロセスの監視、既知の不良プロセスに対するアラートを行い、さらに詳細に検査するために未知のプロセスにフラグを立てることで両者の間のカバレッジギャップを特定します。

エージェント Log4Shell

Apache Log4j の Log4Shell 脆弱性 (CVE-2021-44228) をローカルチェックで検出します。

Compliance (コンプライアンス)

Policy Compliance Auditing (ポリシーコンプライアンス監査)

既知の基準値に照らしてシステム設定を監査します。

注意: 1 つの [Policy Compliance Auditing] (ポリシーコンプライアンス監査) スキャンに含めることができる監査ファイルの最大数は、監査ファイルが必要とする合計実行時間とメモリによって制限されます。この制限を超えると、スキャン結果が不完全になったり失敗したりする可能性があります。Tenable では、想定される影響を限定的なものにするため、スキャンの範囲とコンプライアンス要件を明確にしたうえで、スキャンポリシーで対象となる監査を選択することを推奨しています。

コンプライアンスチェックにより、Windows オペレーティングシステムのパスワードの複雑さ、システム設定、レジストリ値などのカスタムセキュリティポリシーに対して監査を行うことができます。Windows システムの場合、コンプライアンス監査は、Windows ポリシーファイルで記述できるものの大部分をテストできます。Unix システムの場合、コンプライアンス監査では、実行中のプロセス、ユーザーセキュリティポリシー、ファイルのコンテンツがテストされます。

SCAP および OVAL 監査

SCAP と OVAL の定義を使用してシステムを監査します。

アメリカ国立標準技術研究所 (NIST) の Security Content Automation Protocol (SCAP) は、政府機関における脆弱性管理とポリシーコンプライアンスのためのポリシーです。OVAL、CVE、CVSS、CPE、FDCCポリシーなど、複数のオープンスタンダードおよびポリシーが使用されています。

  • SCAP コンプライアンス監査では、実行可能ファイルをリモートホストに送信することが義務付けられています。
  • セキュリティソフトウェア (例: McAfee Host Intrusion Prevention) を実行しているシステムでは、監査に必要な実行可能ファイルがブロックまたは隔離される可能性があります。そのようなシステムでは、ホストまたは送信される実行可能ファイルを例外として設定する必要があります。
  • SCAP and OVAL Auditing テンプレートを使用する場合、NIST の Special Publication 800-126 で指定されているように、Linux および Windows の SCAP チェックを実行してコンプライアンス基準をテストできます。