スキャンのルーティングの設定

スキャンのルーティングを使用すると、各スキャナーグループがアクセス可能なネットワーク領域に従って、複数のスキャナーグループ間でスキャンを自動的に割り振ることができます。スキャンのルーティングにより、個別のスキャンそれぞれに対して特定のスキャナーを設定する必要がなくなり、スキャン設定および管理のオーバーヘッドが削減されます。この機能は、大規模デプロイメントで大きな利点をもたらします。運用効率を高めるために、高い権限を持つチームメンバーがスキャナープールを管理し、低い権限のチームメンバーがスキャンの設定時にそのスキャナープールを使用することができます。

注意: スキャンのルーティングは、リンクされたスキャナーでのみ利用可能です。

あるスキャンに対してスキャンのルーティングを設定した場合、そのスキャンの実行時に Tenable Vulnerability Management は自動的に次を実行します。

• 一致するターゲット範囲が最も狭く設定されたスキャナーグループにスキャンターゲットを割り当てます。
• そのスキャナーグループ内で、スキャナーの容量とまだ利用可能なターゲットに応じて、スキャナーが登録されると同時にスキャナーにターゲットを割り当てます。

詳細は、設定のガイドラインを参照してください。

注意: Tenable では、ネットワークの別個の領域を効果的にターゲットできるように、スキャンのルーティング戦略を事前に計画することを推奨しています。設定が不適切な場合、スキャンのルーティングによってスキャナーのターゲットへの到達が妨げられる可能性があります。

スキャンのルーティングを設定する方法

1. スキャンのルーティングに関する設定ガイドラインを確認します。
2. スキャンのルーティング用のスキャナーグループを設定します。

   1. スキャナーグループを作成または編集します。

   2. [スキャンルーティングのターゲット] ボックスで、スキャンのルーティングのターゲットをコンマ区切りのリスト形式で入力します。

      リスト内のターゲットは、対応する形式に従う必要があります。

      注意: 個別のスキャナーグループに対して、最大 10,000 の個別のスキャンのルーティングターゲットを指定できます。たとえば、192.168.0.1, example.com, *.example.net, 192.168.0.0/24 では、4 つのスキャンのルーティングターゲットを指定しています。スキャンのルーティングのターゲットのリストを集約するために、Tenable では個別の IP アドレスの代わりに、ワイルドカードや範囲指定形式の使用を推奨しています。

   3. [保存] をクリックします。

      Tenable Vulnerability Managementにより、スキャナーグループへの変更が保存されます。

3. スキャンのルーティング用のスキャンを設定します。

   1. スキャン設定を作成または編集します。
   2. [基本] 設定セクションで、次のオプションを設定します。

      オプション	アクション
      スキャナー	[自動選択] オプションを選択します。 このオプションを選択すると、[ネットワーク] ボックスが表示されます。
      Network	次のいずれかを行います。 スキャンが重複する IP 範囲を持つ別々の環境に関係する場合、スキャンのルーティング用に設定したスキャナーグループを含むネットワークを選択します。 スキャンが重複する IP 範囲を持つ別々の環境に関係しない場合は、[デフォルト] ネットワークのままにします。
      Targets / Upload Targets / Tags	次のいずれかのオプションを使用して、スキャンのターゲットを指定します。 [ターゲット] ボックスで、ターゲットの一覧を入力します。 [ターゲットのアップロード] ボックスで、ターゲットのファイルをアップロードします。 [タグ] ボックスで、ターゲットをタグで指定します。 スキャンターゲットを指定する際は、次に注意してください。 スキャンターゲットが、スキャナーグループで指定したスキャンのルーティングのターゲットと一致するようにしてください。 スキャンターゲットをスキャナーグループのターゲットの範囲外に指定した場合、Tenable Vulnerability Management はスキャナーグループの範囲内のホストのみをスキャンし、スキャンされなかったホストを警告する一覧とともに、不完全な結果を返します。 スキャンのルーティングのターゲットとスキャンターゲットを照合する際、Tenable Vulnerability Management は FQDN を IP アドレスに解決しません。 たとえば、*.example.com をスキャンのルーティングのターゲットとして指定した場合、Tenable Vulnerability Management はスキャンターゲットが www.example.com として設定されているスキャンを、そのスキャナーグループに割り当てることができます。しかし、たとえ www.example.com が 192.168.0.1 に解決される可能性があったとしても、ターゲットが 192.168.0.1 として設定されているスキャンを、Tenable Vulnerability Management がそのスキャナーグループに割り当てることはありません。

   3. [保存] をクリックします。

      Tenable Vulnerability Managementによりスキャン設定に対する変更が保存されます。

設定のガイドライン

• Tenable では、スキャンのルートを設定する場合に可能であれば、個別の IP アドレスではなく IP 範囲および CIDR 範囲を使用することを推奨しています。このアプローチは、より狭いターゲット値が推奨されるスキャンターゲットに対する推奨アプローチとは異なります。

• Tenable Vulnerability Management では、IPv6 アドレスの数値範囲形式はサポートされていません。代わりに、IPv6 アドレス範囲の CIDR 形式を使用してください。
• 通常、Tenable では個別のスキャナーを 1 つのスキャナーグループのみに追加することを推奨しています。しかし一部のケースでは、スキャン範囲や冗長性を確保するために、重複するスキャナーグループを設定したい場合もあります。ホストが複数のスキャナーグループで重複してターゲットになっている場合、Tenable Vulnerability Management はいずれかのグループを選択してスキャンします。いずれかのグループが優先されることはありません。

• スキャナーグループ内のスキャナーの利用可能性の定義については、スキャナーグループを参照してください。

サポートされるスキャンのルーティングのターゲット形式

Tenable Vulnerability Management では、スキャンのルーティングのターゲットとして次の形式がサポートされています。

ターゲットの形式	例
1 つの IPv4 アドレス	192.168.0.1
1 つの IPv6 アドレス	2001:db8::2120:17ff:fe56:333b
開始アドレスと終了アドレスで指定した IPv4 範囲	192.168.0.1-192.168.0.255
CIDR 表記の IPv4 サブネット	192.168.0.0/24
CIDR 表記の IPv6 サブネット	2001:db8::/32
IPv4 または IPv6 アドレスに解決可能なホスト	www.yourdomain.com
サブドメインとしてワイルドカードを含む、IPv4 アドレスまたは IPv6 アドレスに解決可能なホスト	*.yourdomain.com