Tenable Agent 2025 年リリースノート

Tenable Agent 10.9.0 に含まれる新機能は次のとおりです。

• エージェントセーフモードが導入されました。このモードでは、操作上のエラーが発生した場合に、マネージャーとの接続を維持するようにエージェントに指示します。この機能は、Tenable Vulnerability Management および Tenable Nessus Manager の次のアップデートで完全にデプロイされます。

• エージェントのプラグインを管理コンソールからリセットできるようになりました。この機能は、Tenable Vulnerability Management および Tenable Nessus Manager の次のアップデートで完全にデプロイされます。

• エージェントのローカルプラグインデータベースを管理コンソールから再コンパイルできるようになりました。この機能は、Tenable Vulnerability Management および Tenable Nessus Manager の次のアップデートで完全にデプロイされます。

Tenable Agent 10.9.0 では、次の機能強化が行われています。

• エージェントは、プラグインのコンパイルが完了するのを待ってからマネージャーに接続する必要がなくなりました。

• エージェントは、直近の依存関係が変更された場合、プラグインとライブラリを再コンパイルするようになりました。

Tenable Agent 10.9.0 でサポートされているプラットフォームの最新情報は、以下のとおりです。

• 以下のオペレーティングシステムは、Tenable Agent 10.9.0 以降サポート対象外となります。

  • Red Hat Enterprise Linux 7.8 および以前

  • Red Hat Enterprise Linux 8.3 および以前

  • Red Hat Enterprise Linux 8.5、8.8、8.9

  • Red Hat Enterprise Linux 9.1、9.3

  • Alma Linux 8 の 8.10 より前のバージョン

  • Alma Linux 9 の 9.5 より前のバージョン

  • Rocky Linux 8 の 8.10 より前のバージョン

  • Rocky Linux 9 の 9.5 より前のバージョン

• これまでサポートされていたいずれのバージョンからでも、Tenable Agent の最新バージョンにアップグレードできます。
• Tenable Agent のいくつかのバージョンをスキップしてアップグレードする場合、スキップされるすべてのバージョンのリリースノートを読んで、新機能とバグ修正について確認することを Tenable はお勧めしています。

• 中国本土にある Tenable Nessus スキャナー、Tenable Agents、Tenable Web App Scanning スキャナー、または Tenable Network Monitor (NNM) を介して Tenable Vulnerability Management に接続している場合は、sensor.cloud.tenable.com ではなく sensor.cloud.tenablecloud.cn で接続する必要があります。

• Tenable Vulnerability Management の新しいドメイン - Tenable インフラの継続的なセキュリティとスケーラビリティの改善の一環として、sensor.cloud.tenable.com ドメインが新たに追加されました。Tenable Vulnerability Management にリンクされた Tenable Agents はこのドメインと通信します。

  • Tenable Vulnerability Management にリンクされた Tenable Agents は sensor.cloud.tenable.com を使用して Tenable Vulnerability Management と通信します。エージェントのバージョン 8.1.0 から 10.3.1 がこの新しいドメインに接続できない場合は、cloud.tenable.com を使用するようフォールバックします。Tenable Agent 10.3.2 以降は、cloud.tenable.com ドメインを使用するようフォールバックしません。

  • 推奨アクション - ファイヤーウォールのドメイン許可リストを使用している場合、Tenable は、その許可リストに *.cloud.tenable.com (ワイルドカード文字付き) を追加することを推奨しています。これにより、sensor.cloud.tenable.com および将来利用される可能性のあるすべてのサブドメインとの通信を確保でき、管理上のオーバーヘッドを軽減できます。許可リストに必要な変更を行う際にサポートが必要な場合は、ネットワーク管理者に問い合わせてください。

Tenable Agent 10.7.4 に含まれているセキュリティアップデートは次のとおりです。

• Tenable Agent がインストールディレクトリツリーの ACL を適切に設定できない問題に対処しました。

• ACL が不適切に設定されたディレクトリへの Tenable Agent のインストールが許可されていた問題に対処しました。

  詳細については、Tenable 製品のセキュリティアドバイザリを参照してください。

• これまでサポートされていたいずれのバージョンからでも、Tenable Agent の最新バージョンにアップグレードできます。
• Tenable Agent のいくつかのバージョンをスキップしてアップグレードする場合、スキップされるすべてのバージョンのリリースノートを読んで、新機能とバグ修正について確認することを Tenable はお勧めしています。

• 中国本土にある Tenable Nessus スキャナー、Tenable Agents、Tenable Web App Scanning スキャナー、または Tenable Network Monitor (NNM) を介して Tenable Vulnerability Management に接続している場合は、sensor.cloud.tenable.com ではなく sensor.cloud.tenablecloud.cn で接続する必要があります。

• Tenable Vulnerability Management の新しいドメイン - Tenable インフラの継続的なセキュリティとスケーラビリティの改善の一環として、sensor.cloud.tenable.com ドメインが新たに追加されました。Tenable Vulnerability Management にリンクされた Tenable Agents はこのドメインと通信します。

  • Tenable Vulnerability Management にリンクされた Tenable Agents は sensor.cloud.tenable.com を使用して Tenable Vulnerability Management と通信します。エージェントのバージョン 8.1.0 から 10.3.1 がこの新しいドメインに接続できない場合は、cloud.tenable.com を使用するようフォールバックします。Tenable Agent 10.3.2 以降は、cloud.tenable.com ドメインを使用するようフォールバックしません。

  • 推奨アクション - ファイヤーウォールのドメイン許可リストを使用している場合、Tenable は、その許可リストに *.cloud.tenable.com (ワイルドカード文字付き) を追加することを推奨しています。これにより、sensor.cloud.tenable.com および将来利用される可能性のあるすべてのサブドメインとの通信を確保でき、管理上のオーバーヘッドを軽減できます。許可リストに必要な変更を行う際にサポートが必要な場合は、ネットワーク管理者に問い合わせてください。

Tenable Agent 10.8.3 では、次の機能強化が行われています。

• プラグインを更新するたびにプラグインのフルコンパイルを実行するようにエージェントを更新しました。

• [Plugin Compilation Performance] (プラグインのコンパイルパフォーマンス) (plugin_load_performance_mode) のデフォルト値を、高から中に変更しました。これにより、フルプラグインセットの読み込み時間が長くなりますが、マルチコアシステムでは、CPU の最大使用率が最大 50% 減少します。

  • 所属組織で [Plugin Compilation Performance] (プラグインのコンパイルパフォーマンス) を明示的に高、中、低のいずれかに設定している場合、このアップグレードによって設定が上書きされることはありません。

  • 組織でデフォルト値を使用している場合、10.8.3 にアップグレードすると、設定が高から中に変更されます。

  この設定の詳細については、エージェントの CPU リソースコントロールを参照してください。この設定の更新に関する技術的な情報については、関連するナレッジベースの記事を参照してください。

Tenable Agent 10.8.3 に含まれているセキュリティアップデートは次のとおりです。

• Tenable Agent がインストールディレクトリツリーの ACL を適切に設定できない問題に対処しました。

• ACL が不適切に設定されたディレクトリへの Tenable Agent のインストールが許可されていた問題に対処しました。

  詳細については、Tenable 製品のセキュリティアドバイザリを参照してください。

• これまでサポートされていたいずれのバージョンからでも、Tenable Agent の最新バージョンにアップグレードできます。
• Tenable Agent のいくつかのバージョンをスキップしてアップグレードする場合、スキップされるすべてのバージョンのリリースノートを読んで、新機能とバグ修正について確認することを Tenable はお勧めしています。

• 中国本土にある Tenable Nessus スキャナー、Tenable Agents、Tenable Web App Scanning スキャナー、または Tenable Network Monitor (NNM) を介して Tenable Vulnerability Management に接続している場合は、sensor.cloud.tenable.com ではなく sensor.cloud.tenablecloud.cn で接続する必要があります。

• Tenable Vulnerability Management の新しいドメイン - Tenable インフラの継続的なセキュリティとスケーラビリティの改善の一環として、sensor.cloud.tenable.com ドメインが新たに追加されました。Tenable Vulnerability Management にリンクされた Tenable Agents はこのドメインと通信します。

  • Tenable Vulnerability Management にリンクされた Tenable Agents は sensor.cloud.tenable.com を使用して Tenable Vulnerability Management と通信します。エージェントのバージョン 8.1.0 から 10.3.1 がこの新しいドメインに接続できない場合は、cloud.tenable.com を使用するようフォールバックします。Tenable Agent 10.3.2 以降は、cloud.tenable.com ドメインを使用するようフォールバックしません。

  • 推奨アクション - ファイヤーウォールのドメイン許可リストを使用している場合、Tenable は、その許可リストに *.cloud.tenable.com (ワイルドカード文字付き) を追加することを推奨しています。これにより、sensor.cloud.tenable.com および将来利用される可能性のあるすべてのサブドメインとの通信を確保でき、管理上のオーバーヘッドを軽減できます。許可リストに必要な変更を行う際にサポートが必要な場合は、ネットワーク管理者に問い合わせてください。

• プラグインの更新が相互に依存するライブラリの同時コンパイルを発生させると、Tenable Agent 10.8.0 および 10.8.1 がオフラインになるという既知の問題があります。さらなる影響を防ぐため、Tenable はこれら 2 つのエージェントバージョンの Tenable Vulnerability Management プラグイン更新を無効にしました。また、Tenable は 10.8.0 と 10.8.1 のバージョンを無効にしました。

  この問題は、10.8.0 でリリースされたプラグインコンパイラのパフォーマンス改善によって当初引き起こされました。これにより、相互に依存するライブラリが同時にコンパイルされたときに表面化する可能性のある競合状態が取り込まれました。この問題は、2024 年 12 月 31 日にリリースされたプラグインの更新によって引き起こされ、この非常にまれな一連の状態が含まれていました。

  上記の問題を修正するために、Tenable Agent バージョン 10.8.0 または 10.8.1 をエージェントバージョン 10.8.2 にアップグレードするか、10.7.3 にダウングレードする必要があります。

  オフラインエージェントの復元には 2 つの方法があります。組織のエージェント管理基準に準拠する方法を選択します。

  • 10.8.2 にアップグレードするか 10.7.3 にダウングレードする

    組織が内部自動化を使用しているか、インストールパッケージを使用して手動更新を行っている場合は、次の手順に従ってエージェントをオンラインに戻します。

    1. Tenable Agent 10.8.2 または 10.7.3 のインストールパッケージをダウンロードします。

    2. 10.8.2 パッケージでエージェントをアップグレードするか、10.7.3 パッケージでエージェントをダウングレードします。

       この方法を使用してアップグレードまたはダウングレードした後は、追加のアクションは必要ありません。

  • プラグインのリセットを実行する

    組織が自動チャネルまたはエージェントプロファイルを使用してエージェントをアップグレードする場合、次の手順を使用してエージェントをオンラインに戻します。手順を完了すると、エージェントは実行を再開し、オンラインに戻ったときに必要な更新プログラムをダウンロードします。

    注意: 多数のエージェントでプラグインのリセットをトリガーすると、ネットワークトラフィックが急増します。

    さらに、プラグインのリセットを実行した後、エージェントがスキャンを開始するか、トリガーされたスキャンが割り当てられるとすぐに、エージェントはプラグインのフルセットをダウンロードします。多数のエージェントが同時にこのプラグインのフルセットのダウンロードを実行すると、ネットワークトラフィックが急増します。

    組織で多数のエージェントをデプロイしており、ネットワークトラフィックの急増を回避したい場合、Tenable はプラグインのリセットをずらして実行し、プラグインのダウンロードを分散することを推奨します。これを行う方法は、組織のスキャン設定に応じて複数あります。例えば、以下が含まれます。

    • トリガーされたエージェントスキャンが割り当てられているエージェントがある場合は、プラグインのリセットをずらして実行する。

      • Nessus 10.8.0/10.8.1 エージェントリセットスキャンを実行してプラグインをリセットする場合 (次のプロセスのステップ 2)、スキャンを実行する前に [スキャンが同時開始しないようにする] のスキャン設定にする。

      • 提供されたスクリプトを手動で実行してプラグインをリセットする場合 (次のプロセスのステップ 2) は、組織のインフラ管理に応じてコマンドをずらして実行する。

    • 一部のエージェントをリセットし、その後それらのエージェントで即時スキャンを開始する。

    • すべてのエージェントをリセットするが、その後のスキャン開始はずらして行う。

    1. 組織が Tenable Vulnerability Management または Tenable Nessus Manager のエージェントプロファイルを使用しており、エージェントプロファイルがバージョン 10.8.0 または 10.8.1 に設定されている場合、エージェントプロファイルを 10.8.2 または 10.7.3 に更新します。組織でエージェントプロファイルを使用していない場合は、この手順をスキップしてください。

    2. 次のいずれかを行います。

       • Tenable Vulnerability Management、Tenable Security Center、または Tenable Nessus Manager の Nessus 10.8.0/10.8.1 エージェントリセット認証スキャンテンプレートを使用してスキャンを作成し、実行します。リセットが必要なエージェントをターゲットにします。

         

         このスキャンテンプレートの詳細については、関連する Tenable Research リリースハイライトを参照してください。

       • または、Nessus 10.8.0/10.8.1 エージェントリセットスキャンを実行しない場合は、お使いのオペレーティングシステムに応じて、次のスクリプトのいずれかを手動で実行してエージェントプラグインをリセットします。

         • Windows (PowerShell)

           コピー

           $ServiceName="Tenable Nessus Agent";if (-NOT ([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole] "Administrator")) {Write-Host "This Script Must Be Ran as Administrator."} else {try {Write-Host "Stopping Nessus Agent"; Stop-Service $ServiceName; $service=(Get-Service -Name $ServiceName -ErrorAction Stop); timeout /T 5; if ($service.Status -eq "Stopped"){cd "C:\Program Files\Tenable\Nessus Agent"; .\Nessuscli.exe plugins --reset; .\Nessuscli.exe plugins --info; Start-Service $ServiceName; Get-Service -Name $ServiceName; Write-Host "Plugin Reset and Agent Started"} else {Write-Host "Nessus Agent Not Stopped"}} catch {Write-Host "Plugin Refresh Unsuccessful"}}

         • Windows (32 ビット)

           コピー

           $ServiceName="Tenable Nessus Agent";if (-NOT ([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole] "Administrator")) {Write-Host "This Script Must Be Ran as Administrator."} else {try {Write-Host "Stopping Nessus Agent"; Stop-Service $ServiceName; $service=(Get-Service -Name $ServiceName -ErrorAction Stop); timeout /T 5; if ($service.Status -eq "Stopped"){cd "C:\Program Files (x86)\Tenable\Nessus Agent"; .\Nessuscli.exe plugins --reset; .\Nessuscli.exe plugins --info; Start-Service $ServiceName; Get-Service -Name $ServiceName; Write-Host "Plugin Reset and Agent Started"} else {Write-Host "Nessus Agent Not Stopped"}} catch {Write-Host "Plugin Refresh Unsuccessful"}}

         • Unix (root として実行)

           コピー

           systemctl stop nessusagent && /opt/nessus_agent/sbin/nessuscli plugins --reset && systemctl start nessusagent

         • Unix (sudo を必要とするシステム用)

           コピー

           sudo systemctl stop nessusagent && sudo /opt/nessus_agent/sbin/nessuscli plugins --reset && sudo systemctl start nessusagent

         • macOS (root として実行)

           コピー

           launchctl stop com.tenablesecurity.nessusagent && /Library/NessusAgent/run/sbin/nessuscli plugins --reset && launchctl start com.tenablesecurity.nessusagent

         • macOS (sudo を必要とするシステム用)

           コピー

           sudo launchctl stop com.tenablesecurity.nessusagent && sudo /Library/NessusAgent/run/sbin/nessuscli plugins --reset && sudo launchctl start com.tenablesecurity.nessusagent

    nessuscli を使用して、エージェントプラグインを手動でリセットおよびアップグレードすることもできます。

    1. 組織が Tenable Vulnerability Management または Tenable Nessus Manager のエージェントプロファイルを使用しており、エージェントプロファイルがバージョン 10.8.0 または 10.8.1 に設定されている場合、エージェントプロファイルを 10.8.2 または 10.7.3 に更新します。組織でエージェントプロファイルを使用していない場合は、この手順をスキップしてください。

    2. エージェントサービスを停止します。

    3. nessuscli で次のプラグインリセットコマンドを実行します。

       コピー

       # nessuscli plugins --reset

       注意: このリセットコマンドには、エージェントがインストールされているオペレーティングシステムに基づいた、nessuscli へのフルパスが必要です。オペレーティングシステムごとの nessuscli の完全なパスを表示するには、Tenable Agent CLI コマンドを参照してください。

    4. エージェントサービスを開始します。

• これまでサポートされていたいずれのバージョンからでも、Tenable Agent の最新バージョンにアップグレードできます。
• Tenable Agent のいくつかのバージョンをスキップしてアップグレードする場合、スキップされるすべてのバージョンのリリースノートを読んで、新機能とバグ修正について確認することを Tenable はお勧めしています。

• 中国本土にある Tenable Nessus スキャナー、Tenable Agents、Tenable Web App Scanning スキャナー、または Tenable Network Monitor (NNM) を介して Tenable Vulnerability Management に接続している場合は、sensor.cloud.tenable.com ではなく sensor.cloud.tenablecloud.cn で接続する必要があります。

• Tenable Vulnerability Management の新しいドメイン - Tenable インフラの継続的なセキュリティとスケーラビリティの改善の一環として、sensor.cloud.tenable.com ドメインが新たに追加されました。Tenable Vulnerability Management にリンクされた Tenable Agents はこのドメインと通信します。

  • Tenable Vulnerability Management にリンクされた Tenable Agents は sensor.cloud.tenable.com を使用して Tenable Vulnerability Management と通信します。エージェントのバージョン 8.1.0 から 10.3.1 がこの新しいドメインに接続できない場合は、cloud.tenable.com を使用するようフォールバックします。Tenable Agent 10.3.2 以降は、cloud.tenable.com ドメインを使用するようフォールバックしません。

  • 推奨アクション - ファイヤーウォールのドメイン許可リストを使用している場合、Tenable は、その許可リストに *.cloud.tenable.com (ワイルドカード文字付き) を追加することを推奨しています。これにより、sensor.cloud.tenable.com および将来利用される可能性のあるすべてのサブドメインとの通信を確保でき、管理上のオーバーヘッドを軽減できます。許可リストに必要な変更を行う際にサポートが必要な場合は、ネットワーク管理者に問い合わせてください。