Tenable OT Security 2026 年リリースノート
ヒント: Tenable ドキュメントの更新に関するアラートを受け取るようにサブスクリプション登録できます。
(早期アクセス) Tenable OT Security 4.7.29 (2026 年 6 月 8 日)
Enterprise Manager からの一元型サブネット管理
OT Security では、Enterprise Manager からの一元化されたサブネット管理がサポートされるようになりました。これにより、OT 管理者は 1 か所からすべての ICP のネットワーク境界 (CIDR) を定義および管理できるようになりました。各 ICP を個別に設定する必要がなくなり、多数の ICP を管理する組織の運用オーバーヘッドが削減されるとともに、OT インフラ全体のネットワーク設定に関する唯一の信頼できる情報源が得られます。
-
すべての ICP サブネットを単一の中央インターフェースから管理でき、サイトごとにモニタリングの設定を切り替えられます。
-
古い ICP バージョンを実行しているサイトは、アップグレードが必要であることを示す明確なインジケーター付きで管理グリッドに表示されます。
詳しくは、モニタリング対象ネットワークを参照してください。
基幹インフラのセキュリティ
IEC 61850 GOOSE ストリームの可視化と異常検出
OT Security は、電力会社の変電所で使用される IEC 61850 GOOSE (Generic Object Oriented Substation Event) メッセージを可視化するようになりました。GOOSE メッセージは暗号化も認証もされていないため、不正な操作に対して脆弱です。OT Security は、GOOSE トラフィックをパッシブに監視し、異常なアクティビティのアラートを生成することで、電力会社が設定変更、リプレイ攻撃、不正操作の試みの可能性を検出できるよう支援します。
-
GOOSE ストリームテーブル: パッシブに監視されているすべての GOOSE トラフィックを、AppID、送信元、コントロールブロック情報などの主要なメッセージ属性とともに表示します。
-
専用の [GOOSE ストリーム] タブ: 資産詳細の IEC 61850 セクションに、既存の [MMS レポート] タブと並べて統合ビューを提供します。
-
異常検出: 不正な設定変更やリプレイ攻撃の兆候となる可能性がある設定リビジョン (confRev) の変更を自動的に検出して、アラートを生成します。
Yokogawa Centum VP DCS アクティビティの検出
OT Security は、Yokogawa Centum VP DCS システムにおける重大な運用上の変更を検出するようになりました。これにより、プロセス制御環境における不正アクセスや設定改ざんの可能性を示すエンジニアリングアクティビティの可視化を、セキュリティチームに提供します。
次のようなアクティビティが検出されます。
-
コントローラーの起動および停止イベント
-
コード編集およびファンクションブロック変更操作
-
タグの書き込みおよび削除操作
-
スナップショットの保存および読み込み操作
-
ステップおよび一時停止イベント (メンテナンス期間中は想定される操作で、本番環境では異常)
非接続環境向けの OT エージェント
OT セキュリティエージェント
OT Security エージェントは、エアギャップ環境または接続されていない OT ネットワークでのスキャンをサポートするようになりました。ネットワーク分離やコンプライアンス要件のためにネットワークセンサーを導入できない組織でも、直接的なネットワークアクセスなしで、資産の可視化と脆弱性カバレッジを実現できます。
-
エアギャップネットワーク対応: 従来のセンサー配置が困難な、隔離された施設、洋上船舶、遠隔拠点などの環境向けに構築されています。
-
安全なオフラインスキャン: 切断されたポータブル状態で検出データを収集してパッケージ化し、ライブ接続を必要とせずに ICP に安全に転送します。
-
集中管理ネットワークエリア: 資産を論理的な配置場所に紐付けることで、異なるサイト (同じ工場フロアレイアウトなど) 間での重複する IP 競合を解決する、新しいエンティティ。
-
ローカルエージェント UI: フィールド技術者がスキャンプロファイルを読み込み、進行状況を追跡し、オフラインでスキャンを実行するためのネイティブインターフェース。
-
OTD スキャンプロファイル: アクティブ検出ルール、認証情報、サブネットをまとめた、現場展開用のダウンロード可能なスキャンプロファイルパッケージを提供します。
詳細は、ポータブル OT エージェントを使用したスキャンを参照してください。
ユーザーエクスペリエンスの強化
資産のサイドパネル表示
OT Security では、資産の詳細がサイドパネルで表示されるようになりました。これにより、セキュリティアナリストは検出結果や資産グリッドから移動することなく資産情報を確認できます。アナリストは、現在のコンテキストを維持したまま複数の資産を切り替えて確認できるため、調査時間を短縮できます。
-
ページ全体の再読み込みなしで、資産間をより高速にナビゲーションできます。
-
グリッドの操作性とビジュアルデザインが向上しました。
保存済みマイビュー
OT Security で、セキュリティアナリストは資産ビューと検出結果ビューで使用するカスタムフィルターの組み合わせを保存し、名前を付け、再利用できるようになりました。保存済みビューはセッション間で保持されるため、繰り返し調査を行う際に毎回フィルターを設定し直す必要がなくなります。
-
任意のフィルターの組み合わせを名前付きビューとして保存し、すぐに再利用できます。
-
個人用のビューはセッション間で保持され、どのページからでもアクセスできます。
-
任意の資産ページまたは検出結果ページから保存済みビューにアクセス可能です。
詳細については、保存されたフィルターの表示を参照してください。
Syslog の TLS 暗号化
Syslog 転送で TLS 暗号化をサポートするようになりました。
Syslog トランスポート設定で、既存の TCP および UDP オプションに加えて、新しい TLS 対応 TCP オプションが利用可能になりました。TLS を選択すると、ポート 6514 (RFC 5425) が自動的に推奨されます。また、自己署名証明書を使用する環境をサポートするため、[証明書検証をスキップ] の切り替え設定を利用できます。TLS 接続に失敗した場合、OT Security はプレーンテキスト送信にフォールバックしません。
脆弱性
Tenable は、このリリースの新しい脆弱性をいくつか特定しています。4.6 リリース (2026 年 2 月 26 日) 以降公開されたプラグインの完全なリストは、こちらを参照してください。
新しい OT Security Device Fingerprint Engine (DFE) のカバレッジ
| ベンダー | 製品 |
|---|---|
| Bosch | DINION IP カメラ |
| Siemens | SENTRON PAC |
| Phoenix Contact | エネルギー測定デバイス |
| Juniper Networks | JUNOS デバイス |
| Lantronix | スイッチ |
| Crestron Electronics | AirMedia ゲートウェイ |
| Weidmueller | UC20-SL2000 PLC |
| ORing | 産業用 Ethernet スイッチ |
| SATO | プリンター |
| AVTECH | Room Alert モニタリングデバイス |
| バグ修正 | 欠陥 ID |
|---|---|
| OT Security は、資産のすべての脆弱性が修正された場合にスキャン結果を正しく更新するようになりました。 | 02456800 |
| OT Security は、パケットに CommandArg が存在しない場合、Honeywell CeeDigitalOutputChangeMode に対して誤ったイベントを生成しなくなりました。 | 02454132 |
| 資産 UUID の数が非常に多い場合でも、ID フィルターがブラウザタブのクラッシュを引き起こすことがなくなりました。 | 02407800 |
| OT Security は、BCM57412 ネットワークアダプター (bnxt_en ドライバー) でプロミスキャスモードを正しく設定するようになりました。 | 02468422 |
| ポリシー検出結果は、重複するネットワーク環境において、内部でマッピングされた IP (240.x.x.x) ではなく実際のデバイスの IP アドレスを正しく表示するようになりました。 | 02412844 |
| OT Security で、Tenable Security Center に送信されるスキャン結果に修正済みのプラグインが正しく含まれるようになり、Tenable Security Center は軽減された検出結果をクローズできるようになりました。 | 02478735 |
| 関連する検出結果が完全に解決された場合に、検出結果イベントが正しく解決されるようになりました。 | 02459698 |
| OT Security に、CIP や EtherNet-IP ペイロードからの IP 抽出を抑制する設定オプションが追加されました。これにより、重複するネットワーク環境での不適切な資産マージを防止できます。 | 02462535 |
| OT Security は、マージ確定処理の遅延中にハッシュ不一致が発生したために、マージ確定画面で非表示にしたアセットがインベントリに誤って再表示される問題を解決しました。 | 該当なし |
ファイル名と MD5 または SHA-256 チェックサムは、OT Security ダウンロードページに掲載されています。
Tenable OT Security 4.6.34 (2026 年 4 月 16 日)
大規模なサブネットスケールの拡張 — OT Security は、大規模なエンタープライズデプロイメントに対応できるよう、最大 5,000 個のサブネットをサポートするようになりました。この増加により、パッシブおよび侵入検知システム (IDS) の検出の粒度が向上します。この可視性により、アーキテクチャの限界に達することなく、複雑なネットワーク環境をモニタリングできます。
モニタリング対象サブネットを一元管理 — OT Security に、モニタリング対象ネットワークを管理する際に役立つ [モニタリング対象ネットワーク] ページが新しく追加されました。
一括アクション: サブネットを一括追加して、手動による設定時間を短縮します。
詳細なコントロール: 作成中に個々のサブネットのモニタリングステータスを切り替えます。
非アクティブなサブネット: モニタリングを有効化せずに、リストでサブネットを作成して管理します。
詳しくは、モニタリング対象ネットワークを参照してください。
アクティブスキャンと脆弱性管理
Nessus スキャン認証情報の管理 — OT Security では、より柔軟なアクティブスキャンワークフローが提供されるようになり、Nessus スキャンの設定時に特定の認証情報の使用を定義できるようになりました。
認証情報を使用しない: 認証情報を入力せずにスキャンを実行します。
利用可能なすべての認証情報を試す: 利用可能なすべての認証情報を使用して、最大のカバレッジを確保します。
特定の認証情報のみを使用する: 高機密の資産の場合に、対象となる認証情報を選択します。
詳細については、Nessus プラグインスキャンの作成を参照してください。
エコシステムと統合
シームレスな Tenable One のナビゲーション — Tenable One シングルサインオン (SSO) または SAML を使って OT Security にアクセスする際に、[Tenable One に戻る] リンクが使えるようになりました。これで、セキュリティアナリストは再認証することなくプラットフォーム間をシームレスにピボットできるようになります。
メンテナンスと診断
ICP リモートエージェントのアップデート — ICP から直接 OT エージェントをリモートでアップデートできます。
これにより、最新の OT エージェントのアップデートをデプロイする際に、ローカルサイトへのアクセスや手動による介入の必要性が減ります。詳細は、OT エージェントのアップデートを参照してください。
資産診断の強化 — 資産診断のエクスポートに、より深いメタデータと詳細な資産情報が含まれるようになり、Tenable サポートチームとエンジニアリングチームに、トラブルシューティングと資産検証のための、より包括的なスナップショットが提供されます。
Enterprise Manager から ICP にアクセスした時のシステムログ
OT Security EM から ICP ダッシュボードにアクセスすると、OT Security が ICP でシステムログを生成します。
OT エージェント - プロトコルおよびクエリ制限インフラ
OT Security は OT エージェントのクエリ制限をサポートするようになりました。
エラー処理フレームワークの改善
OT Security のシステムの安定性が改善され、バックエンドプロセスに関する特定のエラーメッセージを提供するようになりました。
ユーザーインターフェースのアップデート
OT Security 4.6 で、データ密度と読みやすさのために、ユーザーインターフェースがアップデートされました。
IoT コネクタの改善
OT Security の IoT コネクタに以下の改善が含まれています。
IoT コネクタのステータス — ステータスインジケーターが統合健全性を正確に反映するようになりました。
データの取得 — IoT エージェントは、AvigilonES、Exacq Edge、Milestone の統合に関するデータを OT Security に返すようになりました。
接続失敗 — OT Security で、AvigilonES、Exacq Edge、Milestone の統合のための接続が失敗した場合に、統合が null 値を返すようになりました。
パフォーマンスの向上 — OT Security が表示する、大規模な Milestone 統合の処理が改良され、複数の統合を同時に実行できるようになりました。
データベース認証 — MSSQL データベース (IoT エージェント) の Windows 認証が正しく機能するようになりました。
デバイスマッチング - Avigilon から汎用 ONVIF デバイスをプルする際の製造会社のマッチングを改善しました。
脆弱性
Tenable は、このリリースの新しい脆弱性をいくつか特定しています。4.5 リリース (2025 年 12 月 18 日) 以降公開されたプラグインの完全なリストは、こちらを参照してください。
新しい Tenable OT Security Device Fingerprint Engine (DFE) のカバレッジ
| ベンダー | 製品 |
|---|---|
| Starlink | Starlink 第3世代衛星アンテナ |
| Schneider | Triconex 安全計装システム |
| Tripp Lite | SmartOnline UPS |
| Siemens | Power Meters 9000 |
| CUE Systems | ipCUE コントローラー |
| Honeywell | 産業用プリンター |
| Konica Minolta | Bizhub 多機能プリンター |
| Printonix | サーマルラベルプリンター |
| HP Inc | LaserJet / DesignJet |
| Wachendorff Automation | Gateways / WebPanels |
| Schneider Electric | レガシー Modicon ファミリー |
| Jinan USR | USR シリアル-WiFiコンバーター |
| EndRun Technologies | Sonoma ネットワークタイムサーバー |
| TryStar | CyTime SER (シーケンスイベントレコーダー) |
Nessus プラグインセット: 202604140952
IDS 脅威検出ルールセット: 202604052238
Device Fingerprinting Engine (DFE) バージョン: 202601252235
| バグ修正 | 欠陥 ID |
|---|---|
| Siemens S7-1500 Firmware 2.9.4 の状態またはスナップショットのクエリが正しく機能するようになりました。 | 該当なし |
| Yokogawa Stardom ファームウェアが正確な値を表示するようになりました。 | 02397709 |
| OT Security は ICP によるセンサートンネルの障害を防ぐために Nessus スキャンのプラグイン 14788 を無効にしました。 | 該当なし |
OT Security API の詳細については、API ドキュメントを参照してください。
Type DetailedPolicyFindingField was removed
Input field PolicyFindingsExpressionsParams.field changed type from DetailedPolicyFindingField to PolicyFindingFilterField
Input field PolicyFindingsSortParams.field changed type from DetailedPolicyFindingField to PolicyFindingFilterField
Input field PolicyFindingsSortParamsComplexFields.field changed type from DetailedPolicyFindingField to PolicyFindingFilterField
Input field RawPolicyFindingsComplexFieldParams.field changed type from DetailedPolicyFindingField to PolicyFindingFilterField
Input field RawPolicyFindingsComplexFieldParamsComplexFields.field changed type from DetailedPolicyFindingField to PolicyFindingFilterField
Input field RawPolicyFindingsComplexGroupingParams.field changed type from DetailedPolicyFindingField to PolicyFindingFilterField
Input field RawPolicyFindingsComplexGroupingParamsComplexFields.field changed type from DetailedPolicyFindingField to PolicyFindingFilterField
Enum value VersionMismatch was added to enum CannotUpdateDfeReason
Enum value VersionMismatch was added to enum CannotUpdatePluginSetReason
Enum value VersionMismatch was added to enum CannotUpdateSuricataRulesReason
Enum value ReadMonitoredSubnets was added to enum Capability
Enum value TOneLinks was added to enum Capability
Enum value WriteMonitoredSubnets was added to enum Capability
Enum value Cip1768Backplane was added to enum ConnectionType
Enum value EmptyMonitoredNetwork was added to enum ErrorCategory
Enum value UpdateUnavailable was added to enum ErrorCategory
Argument credentials: [ID!] added to field Mutation.editNessusUserScan
Argument credentialsMode: NessusUserScanCredentialsMode added to field Mutation.editNessusUserScan
Argument allowAutoInstallUpdates: Boolean! (with default value) added to field Mutation.editOtAgent
Argument credentials: [ID!] added to field Mutation.newNessusUserScan
Argument credentialsMode: NessusUserScanCredentialsMode added to field Mutation.newNessusUserScan
Enum value RollbackUpdate was added to enum OtAgentAction
Enum value autoInstallUpdates was added to enum OtAgentSelectField
Enum value scoutAvailableVersion was added to enum OtAgentSelectField
Enum value scoutBackupAvailable was added to enum OtAgentSelectField
Enum value scoutBackupVersion was added to enum OtAgentSelectField
Enum value scoutCheckedForUpdatesTs was added to enum OtAgentSelectField
Enum value scoutUpdatedTs was added to enum OtAgentSelectField
Argument policyEligible: Boolean added to field Query.assetGroups
Field Asset.lastSnapshot description changed from Latest time of the last snapshot made on the asset to The time of the last snapshot change detected on the asset
Type AssetLayoutSection was added
Field OtAgentAutoUpdate was added to object type Config
Type DisplayName was added
Field otAgentUpdateAvailable was added to object type FlagList
Field LeanAsset.lastSnapshot description changed from Latest time of the last snapshot made on the asset to The time of the last snapshot change detected on the asset
Type MonitoredNetwork was added
Type MonitoredNetworkCategory was added
Type MonitoredNetworkConnection was added
Type MonitoredNetworkEdge was added
Type MonitoredNetworkField was added
Type MonitoredNetworksExpressionsParams was added
Type MonitoredNetworksSortParams was added
Type MonitoredNetworksSortParamsComplexFields was added
Field addMonitoredNetwork was added to object type Mutation
Field bulkAddMonitoredNetwork was added to object type Mutation
Field deleteMonitoredNetworks was added to object type Mutation
Field disableMonitoredNetwork was added to object type Mutation
Field editMonitoredNetwork was added to object type Mutation
Field enableMonitoredNetwork was added to object type Mutation
Field logRemoteConnection was added to object type Mutation
Field credentials was added to object type NessusUserScan
Field credentialsMode was added to object type NessusUserScan
Type NessusUserScanCredentialsMode was added
Field autoInstallUpdates was added to object type OtAgentDetails
Field scoutAvailableVersion was added to object type OtAgentDetails
Field scoutBackupAvailable was added to object type OtAgentDetails
Field scoutBackupVersion was added to object type OtAgentDetails
Field scoutCheckedForUpdatesTs was added to object type OtAgentDetails
Field scoutUpdatedTs was added to object type OtAgentDetails
Type PolicyFindingFilterField was added
Field monitoredNetworks was added to object type Query
Field monitoredNetworksRaw was added to object type Query
Field scoutBinaryStatus was added to object type Query
Type RawMonitoredNetworksComplexFieldParams was added
Type RawMonitoredNetworksComplexFieldParamsComplexFields was added
Type RawMonitoredNetworksComplexGroupingParams was added
Type RawMonitoredNetworksComplexGroupingParamsComplexFields was added
Type ScoutBinaryStatus was added ファイル名と MD5 または SHA-256 チェックサムは、OT Security ダウンロードページに掲載されています。
Tenable OT Security 4.5.61 SP (2026 年 3 月 6 日)
| バグ修正 | 欠陥 ID |
|---|---|
| OT Security は、動的資産グループを使用してイベントポリシーに照らして評価された大量の同時ネットワーク会話を処理する際に、システムの安定性を確保します。 | 02420590 02429400 |
| OT Security は、メモリエラーを引き起こすことなく 4.2.33 から 4.5.54 に正しくアップグレードされるようになりました。 | 02410077 |
| Rockwell Stratix デバイスで、CIP ファームウェアバージョンではなく、Cisco IOS または Switch ファームウェアバージョン (SNMP 経由) が正しく表示されるようになりました。 | 02259051 |
| 前回のアップデートの進行中に新しいアップデートをトリガーした場合に、Tenable OT Security Enterprise Manager (EM) のアップデートが累積したり、システムエラーが発生したりすることがなくなりました。 | 該当なし |
| SNMP v3 認証情報を使用して Nessus スキャンが正常に機能するようになりました。 | 02410044 |
| OT Security の syslog ファイルに重複しているネットワークの正しい IP アドレスが含まれるようになりました。 | 該当なし |