スキャン

このトピックには、Tenable Vulnerability Managementスキャンの概要、要件、ワークフロー、よくある質問が含まれています。

注意: Tenable は Tenable Vulnerability Management 上で定期的にメンテナンスを実行します。パフォーマンスの問題を回避するために、Tenable ではメンテナンス期間中にスキャンを実行またはスケジュールしないことを推奨しています。現在のメンテナンスステータスと更新については、Tenable ステータスページを参照してください。

注意: Tenable Web App Scanning でのスキャンの詳細については、Tenable Web App Scanning スタートガイドを参照してください。

概要

ヒント: スキャンを開始する前に、Tenable Vulnerability Management のスキャン制限事項を確認してください。

Tenable Vulnerability Management では、お客様の環境の脆弱性をスキャンできます。Tenable Nessus および Tenable Security Center とは異なり、クラウドでホストされる Tenable Vulnerability Management では、お持ちの Tenable Nessus スキャナーや Tenable Agents を使用してリモートでスキャンできます。または、外部ネットワークから資産をスキャンする場合は Tenable のクラウドスキャナーを使用してスキャンできます。

Tenable Vulnerability Management には、さまざまなビジネスニーズに対応した Tenable Nessus スキャナーと Tenable Agent のスキャンテンプレートが各種用意されています。Tenable Vulnerability Management のスキャンテンプレートには、4 つのカテゴリ (脆弱性スキャン、設定スキャン、戦術スキャン、インベントリコレクション) があります。スキャンの作成時に、Tenable Vulnerability Management が提供しているすべてのスキャンテンプレートを見ることができます。

各種のスキャンテンプレートタイプについては、後続のセクションを参照してください。特定のスキャンテンプレートの詳細については、スキャンテンプレートを参照してください。

脆弱性スキャン

Tenable は、所属組織の標準的な日常のスキャンニーズのほとんどで、脆弱性スキャンテンプレートを使用することを推奨しています。Tenable Vulnerability Management の特に注目すべき脆弱性スキャンテンプレートには以下のものがあります。

高度なネットワークスキャン/エージェントスキャン - Tenable Vulnerability Management が提供する最も設定しやすいスキャンタイプです。このスキャンテンプレートを、任意のポリシーとマッチするように設定することができます。

注意: 高度なスキャンテンプレートを使って、Tenable Vulnerability Management のエキスパートは、カスタムプラグインを使用してより詳細にスキャンしたり、必要に応じてより高速またはより低速でスキャンしたりすることができますが、設定ミスがあると、資産の停止やネットワーク飽和が引き起こされる場合があります。高度なテンプレートは注意深く使用してください。

基本的なネットワークスキャン/エージェントスキャン - Tenable Vulnerability Management の現行プラグインをすべて有効にした資産のスキャンには、このテンプレートを使用します。これは、すべての脆弱性を見つけるため資産を素早く簡単にスキャンできる方法です。

認証パッチ監査 (Tenable Nessus スキャナーのみ) - このテンプレートを使用すると、スキャナーはホストに直接アクセスできるようになり、ターゲットホストをスキャンし、未適用のパッチ更新を列挙します。

ホスト検出 (Tenable Nessus スキャナーのみ) - このスキャンを起動して、ネットワーク上のホストと該当する関連情報 (IP アドレス、FQDN、オペレーティングシステム、オープンポートなど) を確認します。ホストのリストを取得した後、特定の脆弱性スキャンでターゲットにするホストを選択できます。

Tenable では、Tenable Network Monitor などのパッシブネットワーク監視のない企業がこのスキャンを毎週実行し、ネットワーク上の新しい資産を検出することを推奨しています。

注意: 検出スキャンによって特定された資産は、ライセンスのカウントに含まれません。

設定スキャン

(Tenable Nessus スキャナーのみ) 設定スキャンを使用して、ホスト設定がさまざまな業界標準に準拠しているかどうかをチェックします。設定スキャンは、コンプライアンススキャンと呼ばれることもあります。コンプライアンススキャンで実行できるチェックについては、Tenable Vulnerability Management スキャンにおけるコンプライアンスおよび Tenable Vulnerability Management スキャンでの SCAP 設定を参照してください。

戦術スキャン

(Tenable Nessus スキャナーのみ) 戦術スキャンは軽量でタイムリーなスキャンテンプレートであり、特定の脆弱性がないか資産をスキャンする時に使用できます。Tenable では、Tenable Vulnerability Management 戦術スキャンライブラリを頻繁に更新し、一般に関心のある最新の脆弱性を検出するテンプレートを追加しています。

インベントリコレクション

(Tenable Agent のみ) 標準の Tenable Agent 脆弱性スキャンとは異なり、コレクトインベントリテンプレートは Tenable の Frictionless Assessment テクノロジーを使用して、より高速なスキャン結果を提供し、スキャンのシステムフットプリントを削減します。詳細は、スキャンテンプレートを参照してください。

注意: Tenable Vulnerability Management がインベントリスキャンを実行した資産は、オフラインであっても、期限切れになるまで脆弱性を報告し続けます。

ほとんどの Tenable Vulnerability Management スキャンテンプレートは、評価スキャン (資産の脆弱性を見つけるスキャン) を作成するためのものです。ただし、ホスト検出などの一部のスキャンテンプレートでは、検出スキャン (ネットワーク上の資産を見つけるスキャン) を作成できます。これらのスキャン方法の詳細については、検出スキャンと評価スキャンを参照してください。

要件

Tenable Vulnerability Management で内部資産をスキャンするには、Tenable Nessus スキャナーと Tenable Agents をセットアップする必要があります。お客様の内部センサーに加えて、Tenable のクラウドスキャナーを使用して、ネットワーク外の資産もスキャンできます。

Tenable Vulnerability Management のシステム要件を確認するには、システム要件を参照してください。

ワークフロー

スキャンの作成と起動

スキャンを作成します。
それぞれのニーズに応じたスキャンテンプレートを選択します。
- Tenable が提供する Tenable Nessus スキャナーテンプレートを使用する。
- Tenable が提供する Tenable Agent テンプレートを使用する。
- ユーザー定義テンプレートを作成し使用する。
スキャンを設定します。
- テンプレートで利用できるスキャン設定をします。
  スキャンターゲットについての詳細は、ターゲットのスキャンを参照してください。
- (オプション) 認証スキャンを実行する場合は、認証情報を設定します。
- (オプション) コンプライアンススキャンを実行する場合は、スキャンに含まれるコンプライアンス監査を選択します。
- (オプション) 高度なスキャンのテンプレートを使用する場合は、スキャンに含まれるプラグインを選択します。
スキャンを起動します。

スキャンの表示と管理

設定されたスキャンを表示します。
- 特定のスキャンのスキャン詳細とスキャン結果を表示します。
- スキャンフォルダーを管理します。
すべてのスキャン結果のデータを分析するには、検出結果を参照してください。

スキャン設定の調整

除外を使用して、選択したスケジュールに基づいて特定のホストをスキャンしないようにします。
ターゲットグループを使用して、ユーザーがスキャンできるホストのアクセス許可を設定します。
スキャナー能力、ジョブキュー、Tenable Vulnerability Management でのタスクのディスパッチ方法など、スキャンの分類のコンセプトについては、スキャンの分散を参照してください。

よくある質問

Tenable Vulnerability Management では何をスキャンできますか?

Tenable Vulnerability Management は、デスクトップ、ノートパソコン、サーバー、ストレージデバイス、ネットワークデバイス、電話、タブレット、仮想マシン、ハイパーバイザーなどの公開 IP アドレスを持つ、あらゆるネットワーク資産をスキャンできます。

所属組織で、どのくらいの頻度でスキャンする必要がありますか?

Tenable では、資産を少なくとも週 2 回、または約 3 日ごとにスキャンすることを推奨しています。ただし、他のビジネスや業界のニーズでは、より頻繁にスキャンする必要があるかもしれません。

また、Tenable では、ネットワークで実行する合計スキャン数を制限することを推奨しています。たとえば、新しいスキャンを作成する代わりに、定期スキャンを再利用することができます。このアプローチは、Tenable Vulnerability Management ユーザーインターフェースの遅延の問題が回避するのに役立ちます。

Tenable Vulnerability Management スキャン中はどうなりますか? Tenable Vulnerability Management スキャンの「ライフサイクル」とは何ですか?

Tenable Vulnerability Management スキャンのライフサイクルには 4 つのフェーズがあります。お客様の組織によっては、1 人で全行程を行うことも、複数人でフェーズを手分けすることもできます。

スキャンフェーズ	説明
1. スキャンを設定する	スキャンを起動する前に、Tenable Vulnerability Management でスキャン設定を作成する必要があります。スキャンの設定により、スキャンのさまざまな設定とパラメーターが決定され、さまざまなビジネスニーズを満たす複数のスキャン設定がセットアップされます。スキャン設定により、次のようなスキャン設定が決定されます。スキャン名や説明などの情報設定 Tenable Vulnerability Management がスキャンに使用するセンサー (Tenable Nessus スキャナー、Tenable Agents、または Tenable Vulnerability Management のクラウドスキャナー) センサーがスキャンする資産 (特定のネットワーク、ターゲットグループまたはターゲットのリストを選択できます。あるいは、資産タグでスキャンできます) Tenable Vulnerability Management がスキャンを起動するタイミングと頻度 Tenable Vulnerability Management でスキャンの結果が表示される場所さらに多くの資産にアクセスし、より多くのセキュリティチェックを実行するためにスキャンが使用できる認証情報スキャンが使用するプラグインとセキュリティチェックスキャン設定およびスキャン結果へのユーザーアクセス Tenable Vulnerability Management が提供する各種のスキャンテンプレートを使って、スキャン設定を作成できます。スキャンテンプレートの範囲と深度はそれぞれ異なります。たとえば、高度なネットワークスキャンではスキャンのすべての側面をカスタマイズできますが、Tenable Nessus スキャナーの戦術スキャンは特定の脆弱性を検出するように調整されています。スキャン設定をするには、スキャンの作成を参照してください。
2. スキャンを起動する	スキャンを設定したら、その新しい設定を使用するスキャンを起動します。ユーザーインターフェースからスキャンを起動すると、Tenable Vulnerability Management はスキャンジョブを個々のスキャンタスクに分割します。この間、Tenable Vulnerability Management ユーザーインターフェースで、スキャンは [初期化中] と表示されます。次に、Tenable Vulnerability Management はスキャンタスクを、スキャン設定で指定されているセンサーに割り当てます。この間、Tenable Vulnerability Management ユーザーインターフェースで、スキャンは [保留中] と表示されます。スキャンを起動するには、スキャンの起動を参照してください。
3. センサーが資産をスキャンし、Tenable Vulnerability Management がスキャン結果を処理する	センサーがスキャンタスクを開始します。センサーがスキャンタスクを完了すると、センサーはスキャンデータを Tenable Vulnerability Management に送信します。データはそこで処理され、実用的なスキャン結果になるようにインデックスが付けられます。この間、Tenable Vulnerability Management ユーザーインターフェースで、スキャンは [実行中] と表示されます。ヒント: スキャンの実行中は、ステータスの横に進行状況バーが表示されます。進行状況バーには、完了したスキャンタスクの割合が表示されます。
4. 結果を表示する	割り当てられたセンサーがスキャンジョブを完了し、Tenable Vulnerability Management が結果を処理してインデックスを作成します。Tenable Vulnerability Management ユーザーインターフェースで、スキャンは [完了] と表示され、スキャン表から当該スキャンを選択して、その結果を表示できます。詳細は、スキャンの詳細の表示を参照してください。

注意: スキャンステータスの詳細については、スキャンステータスを参照してください。

スキャンが完了するまでにどのくらいの時間がかかりますか?

Tenable Vulnerability Management のスキャン時間は、次の要素によって大きく異なります。

変数	スキャン時間への影響	影響の説明
スキャン設定	高	スキャン設定により、スキャンの深度が決まります。一般に、スキャンの深度が深くなると、スキャン全体にかかる時間も長くなります。スキャンの深度を計画する際は、次のことを考慮してください。 Tenable Vulnerability Management はどんな種類のポートスキャンを実行しているか Tenable Vulnerability Management はどのポートをスキャンするかどんな脆弱性をスキャンするか認証スキャンを実行しているかマルウェアチェック、ファイルシステムチェック、設定監査などを行うか Tenable 提供のテンプレートを使用して、ターゲットを絞ったチェックと包括的なチェックの両方を実行できます。カスタムポリシーを作成して、設定可能なすべてのポリシー設定をカスタマイズすることもできます。
利用可能なスキャナーリソース	高	ネットワークスキャンで同時に評価できる IP アドレスの数は、次の 2 つの要素に大きく依存します。スキャンジョブで利用できる Nessus スキャナーの数内部 Nessus スキャナーで利用できるリソースこれらのいずれかまたは両方の要素を増やすことが、同時に行われる評価の速度および全体のスキャン時間を改善するための一番の早道です。しかし、大規模エンタープライズネットワークには多くの場合、これらのリソースをある最大値以上に増やすことを妨げるインフラまたは技術上の制約があります。Nessus スキャナーが、可能な限りハードウェア要件を満たすようにしてください。最小要件を超えると、スキャナーはより多くのターゲットをより速く評価できます。注意: 一部のクラウドスキャナー設定は変更できません。
評価のタイプ	中	環境内にある資産を評価するために利用できるさまざまなオプションがあります。正しいスキャン設定は環境によって異なります。所属組織の資産または環境に最も効率的なスキャン設定を構築してください。たとえば、スキャナーに対してローカルでないリモートシステムには、エージェントを使用します
稼働ホストの数	中	稼働していないホストのスキャンは、稼働しているホストのスキャンよりも時間がかかりません。関連するホストの数が少ない IP アドレスの分布は、ホストの数が多い IP アドレスの分布よりもスキャン時間が短くなります。特定のスキャンジョブのユースケースに応じて、IP の全範囲をスキャンするか、特定の IP をターゲットにするかを選択できます。詳細については、一般を参照してください。
ターゲット設定	中	ネットワークサービスがほとんど公開されていないロックダウンされたシステムのスキャンは、複雑なターゲットの設定に比べて時間がかかりません。たとえば、ウェブサーバー、データベース、ホスト侵入防止ソフトを搭載した Windows サーバーは、Windows 11 ワークステーションよりもスキャンに時間がかかります。
ターゲットとスキャナーの距離	中	Tenable では、スキャナーをターゲットの近くに配置し、最小のレイテンシで接続することを推奨しています (詳細については、次の Tenable ブログ記事を参照してください)。レイテンシは、スキャナーとそのターゲットとの間で交換されるすべてのパケットに付加的に影響します。ネットワークレイテンシと同時実行のプラグインチェックが、最も大きな影響を与えることが多いです。例ルーター、VPN、ロードバランサー、ファイヤーウォールを経由してスキャンを行うと、開いているはずのポートがブロックされたり、閉じたポートに自動応答したりして、スキャン結果の忠実度に影響を与えることがあります。単一のネットワークインフラの背後にある多数のホストをスキャンすると、スキャナーとホストの間の大量のセッション交換により、装置の負荷が増大する可能性があります。
曜日と時間	低	多くの環境では、インフラの負荷が高くなる期間があります。これらの時間帯を外して評価をスケジュールすると、スキャンのパフォーマンスが向上する場合があります。
ターゲットとなるリソース	低	スキャンターゲットで利用できるリソースも、スキャン時間に影響を与える可能性があります。一般公開されているシステム (負荷のあるシステム) の方が、アイドリング中のバックアップシステムよりも、スキャンに必要な時間は長くなります。

特定の設定の現実のパフォーマンスや実際的な影響は、ローカル環境に大きく依存します。特定のスキャン時間を達成するために、Tenable では、スキャンを設定し、お客様の環境でスキャンを実行し、その結果に基づいて設定を調整することを推奨しています。

Tenable Vulnerability Management スキャンはエンドポイントでどれほどのリソースを消費しますか?

消費されるエンドポイントリソースの量は、以下を含むさまざまな要因によって異なります。

スキャンポリシー設定 (徹底的なテストが有効である、ファイルコンテンツの監査があるなど)
ターゲットオペレーティングシステム (Windows、Linux、ネットワークデバイスなど)
ターゲット設定 (例: 最小サーバーインストール vs. 平均ユーザーワークステーション)
ターゲットへのアクセスレベル (認証あり vs. 認証なし)
評価方法 (Tenable Agent スキャン vs. Tenable Nessus スキャナーによるネットワークスキャン)

お客様の環境でこの値を測定する最善の方法は、環境内の平均的なシステムに対してご希望のスキャン設定でテストスキャンを設定して実行し、テストスキャン実行中にシステムをモニタリングすることです。