Tenable Nessus でのウェブアプリケーションスキャン

Tenable Nessus Expert でウェブアプリケーションスキャン (WAS) を利用できます。Tenable Nessus でウェブアプリケーションスキャンを使用すると、Tenable Nessus スキャナー、Tenable AgentsTenable Network Monitor ではスキャンできないウェブアプリケーションの脆弱性をスキャンし、対処することができます。

注意: 以下のプラットフォームは、Tenable Nessus のウェブアプリケーションスキャンをサポートしていません。

  • Docker をサポートしないホストシステム

  • ARM ベースのプロセッサーを使用するホスト (例: AArch64 Linux ディストリビューション、Apple Silicon システム)

仮想ホストでの Docker サポートの詳細については、Docker ドキュメントを参照してください。

注意: Tenable Nessus Expert で一度に実行できるウェブアプリケーションスキャンは 1 つのみです。

ライセンス

Tenable Nessus Expert のウェブアプリケーションスキャンのライセンスを取得した場合、90 日間で最大 5 つの異なるウェブアプリケーション URL をスキャンすることができます。

Tenable Nessus は、URL のフルパスではなく、ホスト名とポート (FQDN:port) のみを使用して WAS ライセンスを追跡するようになりました。たとえば、次のターゲットが 1 つのライセンス FQDN としてカウントされます。

  • https://example.com/welcome

  • https://example.com/welcome/get-started

  • https://example.com/welcome/get-started/create-new-user

ターゲットの URL に対してウェブアプリケーションスキャンを 90 日間実行しなかった場合、Tenable Nessus はライセンスからその URL を削除し、その URL は URL 上限でカウントされなくなります。ウェブアプリケーションスキャンデータを削除しても、URL はライセンスから削除されません。

Tenable の担当者に連絡して、追加の URL を購入することができます。

前提条件

Tenable Nessus Expert でウェブアプリケーションスキャンを有効にする前に、Tenable Nessus ホストに Docker バージョン 20.0.0 以降をインストールする必要があります。Tenable Nessus Expert は、Docker インストールドキュメントに従う Dock インストールのみをサポートします。

ウェブアプリケーションスキャンを有効にする

  1. 左側のナビゲーションペインの [Resources] (リソース) で、[Web App Scanning] (ウェブアプリケーションスキャン) をクリックします。

    [Web Application Scanning (WAS)] (ウェブアプリケーションスキャン (WAS)) ページが表示されます。[WAS requirements and information] (WAS の要件と情報) セクションに、Docker が Tenable Nessus ホストにインストールされているかどうかと、インストールされている場合はそのバージョンが表示されます。また、ウェブアプリケーションスキャンが Tenable Nessus ホストにダウンロードされているかどうか、および現在のウェブアプリケーションスキャンのプラグインセットを確認できます。

  2. [Enable Web Application Scanning] (ウェブアプリケーションスキャンを有効にする) チェックボックスを選択します。

  3. [Save] (保存) をクリックします。

    Tenable Nessus は最新のウェブアプリケーションスキャンイメージのダウンロードを開始します。

    ウェブアプリケーションスキャンのダウンロードが完了すると、[WAS requirements and information] (WAS の要件と情報) のセクションに、ウェブアプリケーションスキャンがダウンロードされたことが示されます (次の図を参照)。これで、Tenable Nessus のスキャンユーザーインターフェースにウェブアプリスキャンテンプレートが表示され、ウェブアプリケーションスキャンを実行できるようになります。

    ヒント: ウェブアプリケーションスキャンがインストールされている場合、[WAS Image Last Checked] (WAS イメージの最終チェック) フィールドの横にある をクリックすることで、Tenable Nessus を最新の Tenable Web App Scanning バージョンに更新できます。

    Tenable Nessus Expert とウェブアプリケーションスキャンのインストール方法の詳細は、Web App Scanning in Nessus Expert 10.6 (Nessus Expert 10.6 のウェブアプリケーションスキャン) のビデオをご覧ください。

オフラインモードでのウェブアプリケーションスキャン

Tenable Nessusオフラインモードの場合でも、ウェブアプリケーションスキャンを実行できます。

Tenable Nessus でウェブアプリケーションスキャンを有効にするステップを実行した後、Tenable Nessus がオフラインモードになると、最新のウェブアプリケーションスキャンイメージを自動的にダウンロードできなくなります。代わりに、次の手順に従ってイメージを手動でアップロードできます。

イメージを手動でアップロードして、オフラインモードでウェブアプリケーションスキャンを有効にする方法

  1. Tenable Docker HubTenable ウェブアプリケーションスキャンイメージを見つけ、tarball ファイルとして保存します。詳細は、Docker image save ドキュメントを参照してください。

  2. 次のいずれかを行います。

    • Tenable Nessus ユーザーインターフェースでイメージをアップロードする

      1. Tenable Nessus[Web Application Scanning] (ウェブアプリケーションスキャン) ページに移動します。

      2. 右上にある [Upload WAS Image] (WAS イメージのアップロード) をクリックします。

        ファイルエクスプローラーが開きます。

      3. 保存したウェブアプリケーションの tarball ファイルを選択します。

        Tenable Nessus が tarball ファイルのダウンロードを開始します。ダウンロード完了後、ウェブアプリケーションスキャンテンプレートを使用したスキャンに進むことができます。

    • nessuscli からイメージをアップロードする

      1. nessuscli から次のコマンドを入力します。

        nessuscli は --upload-image <image tarball file>

        Tenable Nessus が tarball ファイルのダウンロードを開始します。コマンドの実行完了後、ウェブアプリケーションスキャンテンプレートを使用したスキャンに進むことができます。

次の手順