スキャンテンプレート

最も設定可能なスキャンタイプです。このスキャンテンプレートを、任意のポリシーとマッチするように設定することができます。このテンプレートのデフォルト設定は基本スキャンテンプレートと同じですが、追加の設定オプションを利用できます。

注意: 高度なスキャンテンプレートを使うと、Tenable Vulnerability Management のエキスパートは、高速または低速チェックといったカスタム設定によって詳細なスキャンを行えますが、設定を誤ると、資産の停止やネットワークの過負荷が引き起こされる場合があります。高度なテンプレートは注意深く使用してください。

任意のホストで使用できるフルシステムスキャンを実行します。Nessus のプラグインをすべて有効にした資産 (複数可) のスキャンには、このテンプレートを使用します。たとえば、所属する組織のシステムにおける内部脆弱性スキャンを実施することができます。

ホストを認証し、不足している更新プログラムを列挙します。

このテンプレートを認証情報とともに使用して、Tenable Vulnerability Management にホストへの直接アクセスを与え、ターゲットとなるホストをスキャンし、欠落しているパッチ更新を列挙します。

単純なスキャンを実行して、稼働中のホストと開いているポートを検出します。

このスキャンを起動して、ネットワーク上のホストと該当する関連情報 (IP アドレス、FQDN、オペレーティングシステム、開いているポートなど) を確認します。ホストのリストを取得した後、各脆弱性スキャンでターゲットにするホストを選択できます。

Tenable では、Tenable Nessus Network Monitor などのパッシブネットワーク監視のない企業がこのスキャンを毎週実行し、ネットワーク上の新しい資産を検出することを推奨しています。

注意: 検出スキャンによって特定された資産は、ライセンスに対してカウントされません。

内部 PCI DSS (11.2.1) の脆弱性スキャンを実行します。

このテンプレートでは、PCI コンプライアンス要件を満たす継続的な脆弱性管理プログラム向けの内部 (PCI DSS 11.2.1) スキャン要件に準拠するために使用可能なスキャンが作成されます。これらのスキャンを使用して、継続的に脆弱性を管理したり、結果が合格またはクリーン (問題解消) となるまで再スキャンを実行したりすることができます。不足しているパッチとクライアント側の脆弱性を列挙するために認証情報を提供することができます。

注意: PCI DSS では、スキャンの結果が合格または「クリーン」である証拠を少なくとも四半期に 1 度提供することが義務付けられています。また、ネットワークに重大な変更を加えた後にもスキャンを実行する必要があります (PCI DSS 11.2.3)。

Tenable Nessus スキャナーを使用してウェブアプリケーションをスキャンします。

注意: Tenable Web App Scanning スキャナーとは異なり、Tenable Nessus スキャナーはウェブアプリケーションのスキャンにブラウザを使用しません。したがって、従来のウェブアプリケーションスキャンは Tenable Web App Scanning ほど包括的ではありません。

Microsoft Exchange または MDM を使用してモバイルデバイスを評価します。

PCI で義務付けられている四半期ごとの外部スキャンを実行します。

注意: PCI ASV はその性質上スキャンの検出レベルが非常に高く、データに誤検出が含まれる可能性があるため、Tenable Vulnerability Management の集計データからは除外されます。これは意図的な設計です。

監査するサービスの認証情報を提供した場合、このテンプレートを使用して Amazon Web Service (AWS)、Google Cloud Platform、Microsoft Azure、Rackspace、Salesforce.com、Zoom の設定をスキャンできます。

MDM 設定監査テンプレートは、パスワード要件、リモートワイプ設定、テザリングや Bluetooth などの安全でない機能の使用など、さまざまな MDM 脆弱性についてレポートします。

ネットワークデバイスの設定を監査します。

オフライン設定監査により、Tenable Vulnerability Management はネットワーク経由のスキャンや認証情報を使用することなく、ホストをスキャンできます。企業のポリシーが、セキュリティ上の理由から、デバイスをスキャンしたり、ネットワーク上のデバイスの認証情報を取得したりすることを許可していない場合があります。オフライン設定監査では、ホストからのホスト設定ファイルを使用してスキャンします。これらのファイルをスキャンすることで、ホストを直接スキャンすることなく、デバイスの設定が監査に準拠しているかを確認できます。

Tenable では、オフライン設定監査を使用して、安全なリモートアクセスをサポートしていないデバイスや、スキャナーがアクセスできないデバイスをスキャンすることを推奨しています。

既知の基準値に照らしてシステム設定を監査します。

注意: 1 つのポリシーコンプライアンス監査スキャンに含めることができる監査ファイルの最大数は、監査ファイルが必要とする合計実行時間とメモリによって制限されます。この制限を超えると、スキャン結果が不完全になったり失敗したりする可能性があります。Tenable では、想定される影響を限定的なものにするため、スキャンの範囲とコンプライアンス要件を明確にしたうえで、スキャンポリシーで対象となる監査を選択することを推奨しています。

コンプライアンスチェックにより、Windows オペレーティングシステムのパスワードの複雑さ、システム設定、レジストリ値などのカスタムセキュリティポリシーに対して監査を行うことができます。Windows システムの場合、コンプライアンス監査は、Windows ポリシーファイルで記述できるものの大部分をテストできます。Unix システムの場合、コンプライアンス監査では、実行中のプロセス、ユーザーセキュリティポリシー、ファイルのコンテンツがテストされます。

SCAP と OVAL の定義を使用してシステムを監査します。

アメリカ国立標準技術研究所 (NIST) の Security Content Automation Protocol (SCAP) は、政府機関における脆弱性管理とポリシーコンプライアンスのためのポリシーです。OVAL、CVE、CVSS、CPE、FDCCポリシーなど、複数のオープンスタンダードおよびポリシーが使用されています。

• SCAP コンプライアンス監査では、実行可能ファイルをリモートホストに送信することが義務付けられています。

• セキュリティソフトウェア (例: McAfee Host Intrusion Prevention) を実行しているシステムでは、監査に必要な実行可能ファイルがブロックまたは隔離される可能性があります。そのようなシステムでは、ホストまたは送信される実行可能ファイルを例外として設定する必要があります。

• SCAP および OVAL 監査テンプレートを使用する場合、NIST の Special Publication 800-126 で指定されているように、Linux および Windows の SCAP チェックを実行してコンプライアンス基準をテストできます。

Active Directory の設定ミスをスキャンします。

このテンプレートを使用して、Active Directory をチェックし、Kerberoasting 攻撃、脆弱な Kerberos の暗号化、Kerberos 事前認証の検証、有効期限のないアカウントパスワード、制約のない委任、null セッション、Kerberos KRBTGT、危険な信頼関係、プライマリグループ ID の整合性、空白のパスワードがないかを調べます。

Windows と Linux のシステムで、マルウェアをスキャンします。

高度なエージェントスキャン

推奨のないエージェントスキャン。スキャン設定は完全にカスタマイズできます。Tenable Vulnerability Management では、[高度なエージェントスキャン] テンプレートで 2 つのスキャン方法が許可されています。

• スキャンウィンドウ - エージェントが脆弱性レポートに含めて表示するように報告する時間枠を指定します。

• トリガーされたスキャン - スキャンを起動するタイミングを示す特定の基準をエージェントに提供します。基準の 1 つ (または複数) が満たされると、エージェントはスキャンを起動します。詳細は、Tenable Vulnerability Management ユーザーガイドの基本設定を参照してください。

注意: 高度なエージェントスキャンのテンプレートを使用してエージェントスキャンを作成する際は、スキャンに使用するプラグインも選択する必要があります。

Tenable Nessus Agents を介して接続されたシステムをスキャンします。

Tenable Nessus Agents を介して接続されたシステムでマルウェアをスキャンします。

Tenable Nessus Agent は、許可リストとブロックリストを組み合わせたアプローチを使用してマルウェアを検出し、既知の良好なプロセスを監視し、既知の不良プロセスに警告を発し、未知のプロセスに「詳細な調査が必要」のフラグを立てることで両者の間のカバレッジギャップを特定します。

Tenable Nessus Agents を介して接続されたシステムの既知の基準値と照らしてシステム設定を監査します。

コンプライアンスチェックにより、Windows オペレーティングシステムのパスワードの複雑さ、システム設定、レジストリ値などのカスタムセキュリティポリシーに対して監査を行うことができます。Windows システムの場合、コンプライアンス監査は、Windows ポリシーファイルで記述できるものの大部分をテストできます。Unix システムの場合、コンプライアンス監査では、実行中のプロセス、ユーザーセキュリティポリシー、ファイルのコンテンツがテストされます。

Tenable Nessus Agents を介して接続されたシステムの SCAP および OVAL 定義を使用してシステムを監査します。

アメリカ国立標準技術研究所 (NIST) の Security Content Automation Protocol (SCAP) は、政府機関における脆弱性管理とポリシーコンプライアンスのためのポリシーです。OVAL、CVE、CVSS、CPE、FDCCポリシーなど、複数のオープンスタンダードおよびポリシーが使用されています。

• SCAP コンプライアンス監査では、実行可能ファイルをリモートホストに送信することが義務付けられています。

• セキュリティソフトウェア (例: McAfee Host Intrusion Prevention) を実行しているシステムでは、監査に必要な実行可能ファイルがブロックまたは隔離される可能性があります。そのようなシステムでは、ホストまたは送信される実行可能ファイルを例外として設定する必要があります。

• SCAP および OVAL 監査テンプレートを使用する場合、NIST の Special Publication 800-126 で指定されているように、Linux および Windows の SCAP チェックを実行してコンプライアンス基準をテストできます。

コンパイル済みの限定されたソフトウェアインベントリプラグインを選択してスキャンします。

このテンプレートでは、エージェントが資産情報 (インストールされたソフトウェアや IP アドレスなど) を収集するチェックのみを実行するため、スキャン結果をすばやく入手でき、システムフットプリントが削減されます。このスキャン方法は、Tenable Vulnerability Management ユーザーインターフェースおよびドキュメントでは、インベントリスキャンと呼ばれることがあります。

Collect Inventory スキャンは、以下をカバーします。

• RedHat ローカルセキュリティチェック

• Oracle Linux のローカルセキュリティチェック

• CentOS ローカルセキュリティチェック

• Amazon Linux ローカルセキュリティチェック

• Debian ローカルセキュリティチェック

• Fedora ローカルセキュリティチェック

• SuSE ローカルセキュリティチェック

• Ubuntu ローカルセキュリティチェック

• Windows/Microsoft の更新プログラムチェック (2017 年以降のすべての Windows ロールアップチェック)

Collect Inventory スキャンは、現在、以下をカバーしていません。

• マルウェアおよびコンプライアンスチェック

• dpkg や rpm でインストールされていない、インスタンス上のサードパーティ Linux アプリケーションの検出 (Apache HTTP や Postgres など)

• サードパーティ Windows アプリケーション (Google Chrome や Mozilla Firefox など)

• Microsoft 製品のパッチ火曜日の更新 (Exchange や Sharepoint など)

注意: Tenable Vulnerability Management がインベントリスキャンを実行した資産は、資産がオフラインであっても、期限切れになるまで脆弱性を報告し続けます。

API 内で脆弱性の有無をチェックするスキャン。このスキャンは、OpenAPI (Swagger) 仕様ファイルで記述された RESTful API を分析します。添付ファイルのサイズは 1 MB に制限されています。

ウェブアプリケーションの HTTP セキュリティヘッダーおよび他の外部向けの設定を分析し、アプリケーションが一般的なセキュリティ業界標準に準拠しているかどうかを確認する高レベルのスキャン。

[設定監査] スキャンテンプレートを使用してスキャンを作成する場合、Tenable Web App Scanning はセキュリティ業界標準のコンプライアンスに関連するプラグインについてのみウェブアプリケーションを分析します。

Apache Log4j の Log4Shell 脆弱性 (CVE-2021-44228) をローカルチェックで検出します。

ウェブアプリケーション内のどの URL をデフォルトで Tenable Web App Scanning がスキャンするかを決定する高レベルの予備的なスキャン。

[概要] スキャンテンプレートは、ウェブアプリケーション内のアクティブな脆弱性を分析するものではありません。従って、このスキャンテンプレートは [Scan] (スキャン) テンプレートほど多くのプラグインファミリーオプションを提供していません。

ウェブアプリケーションの HTTP セキュリティヘッダーおよび他の外部向けの設定を分析し、アプリケーションが一般的なセキュリティ業界標準に準拠しているかどうかを確認する設定監査スキャンに似た高レベルのスキャン。スケジュール設定はありません。

[クイックスキャン] スキャンテンプレートを使用してスキャンを作成する場合、Tenable Vulnerability Management はセキュリティ業界標準のコンプライアンスに関連するプラグインについてのみウェブアプリケーションを分析します。

ウェブアプリケーションの広範囲の脆弱性を評価する包括的なスキャン。

[スキャン] テンプレートは、すべてのアクティブなウェブアプリケーションプラグイン用のプラグインファミリーオプションを提供します。

[スキャン] テンプレートを使用してスキャンを作成すると、Tenable Web App Scanning は、[設定監査]、[概要]、[SSL TLS] テンプレートを使用して作成されたスキャンがチェックするすべてのプラグイン、および特定の脆弱性検出のための追加のプラグインについてウェブアプリケーションを分析します。

このスキャンテンプレートを使用してスキャンを実行すると、ウェブアプリケーションのより詳細な評価が提供されますが、他の Tenable Web App Scanning スキャンよりも時間がかかります。

ウェブアプリケーションが SSL/TLS 公開鍵暗号化を使用しているかどうかを確認し、使用している場合には、暗号化がどのように設定されているかを確認するためのスキャン。

[SSL TLS] テンプレートを使用してスキャンを作成する場合、Tenable Web App Scanning は、SSL/TLS の実装に関連するプラグインについてのみウェブアプリケーションを分析します。スキャナーは、URL をクロールしたり、個別のページの脆弱性を評価したりしません。