スキャンテンプレート

スキャンテンプレートには、スキャンの詳細な設定が含まれています。Tenable のスキャンテンプレートを使用して、組織のカスタムスキャン設定を作成できます。その後、Tenable のスキャンテンプレートまたはカスタム設定に基づいてスキャンを実行できます。

スキャン設定を作成すると、[スキャンテンプレートの選択] ページが表示されます。Tenable Vulnerability Management では Tenable Vulnerability Management 用と Tenable Web App Scanning 用の個別のテンプレートが用意されています。Tenable Vulnerability Management スキャンでは、スキャンに使用するセンサーに応じてスキャナー用とエージェント用の別個のテンプレートが Tenable Vulnerability Management にあります。

カスタム設定がある場合は、[ユーザー定義] タブに表示されます。ユーザー定義テンプレートの詳細については、ユーザー定義テンプレートを参照してください。

Tenable が提供するスキャンテンプレートを設定する場合、変更できるのはそのスキャンテンプレートタイプに含まれる設定のみです。ユーザー定義スキャンテンプレートを作成すると、スキャン用のカスタム設定セットを変更できます。

すべてのスキャンテンプレート設定の説明については、スキャンの設定を参照してください。

ヒント: Tenable Vulnerability Management スキャン設定を最適化するための情報とヒントについては、Tenable Vulnerability Managementスキャンの調整ガイドを参照してください。

Tenable が提供する Tenable Nessus スキャナーテンプレート

Tenable Vulnerability Management には、3 つのスキャナーテンプレートカテゴリがあります。

  • 脆弱性スキャン (共通) - Tenable では、所属する組織の標準的な日常のスキャンニーズのほとんどで、脆弱性スキャンテンプレートを使用することを推奨しています。

  • 設定スキャン - Tenable では、設定スキャンテンプレートを使用して、ホスト設定がさまざまな業界標準に準拠しているかどうかをチェックすることを推奨しています。設定スキャンは、コンプライアンススキャンと呼ばれることもあります。コンプライアンススキャンが実行できるチェック事項については、Tenable Vulnerability Management スキャンにおけるコンプライアンス および Tenable Vulnerability Management スキャンでの SCAP 設定 を参照してください。

  • 戦術スキャン - Tenable では、戦術スキャンテンプレートを使用して、特定の脆弱性または脆弱性グループについてネットワークをスキャンすることを推奨しています。戦術スキャンは軽量でタイムリーなスキャンテンプレートであり、特定の脆弱性に対して資産をスキャンするために使用できます。Tenable では、Tenable Vulnerability Management 戦術スキャンライブラリを頻繁に更新し、Log4Shell など一般的に関心の高い最新の脆弱性を検出するテンプレートを随時追加しています。

次の表では、利用可能な Tenable Nessus スキャナーテンプレートについて説明します。

テンプレート 説明
脆弱性スキャン (共通)
高度なネットワークスキャン

最も設定可能なスキャンタイプです。このスキャンテンプレートを、任意のポリシーとマッチするように設定することができます。このテンプレートのデフォルト設定は基本スキャンテンプレートと同じですが、追加の設定オプションを利用できます。

注意: 高度なスキャンテンプレートを使うと、Tenable Vulnerability Management のエキスパートは、高速または低速チェックといったカスタム設定によって詳細なスキャンを行えますが、設定を誤ると、資産の停止やネットワークの過負荷が引き起こされる場合があります。高度なテンプレートは注意深く使用してください。

注意: Tenable は、プラグインがネットワークトラフィックに依存して検出を行う新しくリリースされたプラグインファミリーで、このテンプレートを自動的に更新します。

基本的なネットワークスキャン

任意のホストで使用できるフルシステムスキャンを実行します。Nessus のプラグインをすべて有効にした資産 (複数可) のスキャンには、このテンプレートを使用します。たとえば、所属する組織のシステムにおける内部脆弱性スキャンを実施することができます。

資格認定されたパッチ監査

ホストを認証し、不足している更新プログラムを列挙します。

このテンプレートを認証情報とともに使用して、Tenable Vulnerability Management にホストへの直接アクセスを与え、ターゲットとなるホストをスキャンし、欠落しているパッチ更新を列挙します。

ホスト検出

単純なスキャンを実行して、稼働中のホストと開いているポートを検出します。

このスキャンを起動して、ネットワーク上のホストと該当する関連情報 (IP アドレス、FQDN、オペレーティングシステム、開いているポートなど) を確認します。ホストのリストを取得した後、各脆弱性スキャンでターゲットにするホストを選択できます。

Tenable では、Tenable Nessus Network Monitor などのパッシブネットワーク監視のない企業がこのスキャンを毎週実行し、ネットワーク上の新しい資産を検出することを推奨しています。

注意: 検出スキャンによって特定された資産は、ライセンスに対してカウントされません。

内部 PCI ネットワークスキャン

内部 PCI DSS (11.2.1) の脆弱性スキャンを実行します。

このテンプレートでは、PCI コンプライアンス要件を満たす継続的な脆弱性管理プログラム向けの内部 (PCI DSS 11.2.1) スキャン要件に準拠するために使用可能なスキャンが作成されます。これらのスキャンを使用して、継続的に脆弱性を管理したり、結果が合格またはクリーン (問題解消) となるまで再スキャンを実行したりすることができます。不足しているパッチとクライアント側の脆弱性を列挙するために認証情報を提供することができます。

注意: PCI DSS では、スキャンの結果が合格または「クリーン」である証拠を少なくとも四半期に 1 度提供することが義務付けられています。また、ネットワークに重大な変更を加えた後にもスキャンを実行する必要があります (PCI DSS 11.2.3)。

従来のウェブアプリケーションスキャン

Tenable Nessus スキャナーを使用してウェブアプリケーションをスキャンします。

注意: Tenable Web App Scanning スキャナーとは異なり、Tenable Nessus スキャナーはウェブアプリケーションのスキャンにブラウザを使用しません。したがって、従来のウェブアプリケーションスキャンTenable Web App Scanning ほど包括的ではありません。

モバイルデバイススキャン

Microsoft Exchange または MDM を使用してモバイルデバイスを評価します。

PCI 四半期外部スキャン

PCI で義務付けられている四半期ごとの外部スキャンを実行します。

注意: PCI ASV はその性質上スキャンの検出レベルが非常に高く、データに誤検出が含まれる可能性があるため、Tenable Vulnerability Management の集計データからは除外されます。これは意図的な設計です。

設定スキャン
クラウドインフラ監査 サードパーティのクラウドサービスの設定を監査します。

監査するサービスの認証情報を提供した場合、このテンプレートを使用して Amazon Web Service (AWS)、Google Cloud Platform、Microsoft Azure、Rackspace、Salesforce.com、Zoom の設定をスキャンできます。

MDM 設定監査 モバイルデバイスマネージャーの設定を監査します。

MDM 設定監査テンプレートは、パスワード要件、リモートワイプ設定、テザリングや Bluetooth などの安全でない機能の使用など、さまざまな MDM 脆弱性についてレポートします。

Offline Config Audit (オフライン設定監査)

ネットワークデバイスの設定を監査します。

オフライン設定監査により、Tenable Vulnerability Management はネットワーク経由のスキャンや認証情報を使用することなく、ホストをスキャンできます。企業のポリシーが、セキュリティ上の理由から、デバイスをスキャンしたり、ネットワーク上のデバイスの認証情報を取得したりすることを許可していない場合があります。オフライン設定監査では、ホストからのホスト設定ファイルを使用してスキャンします。これらのファイルをスキャンすることで、ホストを直接スキャンすることなく、デバイスの設定が監査に準拠しているかを確認できます。

Tenable では、オフライン設定監査を使用して、安全なリモートアクセスをサポートしていないデバイスや、スキャナーがアクセスできないデバイスをスキャンすることを推奨しています。

ポリシーコンプライアンス監査

既知の基準値に照らしてシステム設定を監査します。

注意: 1 つのポリシーコンプライアンス監査スキャンに含めることができる監査ファイルの最大数は、監査ファイルが必要とする合計実行時間とメモリによって制限されます。この制限を超えると、スキャン結果が不完全になったり失敗したりする可能性があります。Tenable では、想定される影響を限定的なものにするため、スキャンの範囲とコンプライアンス要件を明確にしたうえで、スキャンポリシーで対象となる監査を選択することを推奨しています。

コンプライアンスチェックにより、Windows オペレーティングシステムのパスワードの複雑さ、システム設定、レジストリ値などのカスタムセキュリティポリシーに対して監査を行うことができます。Windows システムの場合、コンプライアンス監査は、Windows ポリシーファイルで記述できるものの大部分をテストできます。Unix システムの場合、コンプライアンス監査では、実行中のプロセス、ユーザーセキュリティポリシー、ファイルのコンテンツがテストされます。

SCAP および OVAL 監査

SCAP と OVAL の定義を使用してシステムを監査します。

アメリカ国立標準技術研究所 (NIST) の Security Content Automation Protocol (SCAP) は、政府機関における脆弱性管理とポリシーコンプライアンスのためのポリシーです。OVAL、CVE、CVSS、CPE、FDCCポリシーなど、複数のオープンスタンダードおよびポリシーが使用されています。

  • SCAP コンプライアンス監査では、実行可能ファイルをリモートホストに送信することが義務付けられています。

  • セキュリティソフトウェア (例: McAfee Host Intrusion Prevention) を実行しているシステムでは、監査に必要な実行可能ファイルがブロックまたは隔離される可能性があります。そのようなシステムでは、ホストまたは送信される実行可能ファイルを例外として設定する必要があります。

  • SCAP および OVAL 監査テンプレートを使用する場合、NIST の Special Publication 800-126 で指定されているように、Linux および Windows の SCAP チェックを実行してコンプライアンス基準をテストできます。

戦術スキャン
Active Directory ID ドメインユーザーアカウントを使用して、AD ID 情報をクエリします。このポリシーは、LDAPS を介して Active Directory ID 情報を列挙します。これには、ドメインユーザーの認証情報、LDAPS 設定、およびスキャンターゲットとしての Active Directory ドメインコントローラーが必要です。
Active Directory Starter Scan

Active Directory の設定ミスをスキャンします。

このテンプレートを使用して、Active Directory をチェックし、Kerberoasting 攻撃、脆弱な Kerberos の暗号化、Kerberos 事前認証の検証、有効期限のないアカウントパスワード、制約のない委任、null セッション、Kerberos KRBTGT、危険な信頼関係、プライマリグループ ID の整合性、空白のパスワードがないかを調べます。

AI の検出 AI、LLM、ML 関連の脆弱性をスキャンします。
マルウェアのスキャン

Windows と Linux のシステムで、マルウェアをスキャンします。

Tenable が提供する Tenable Nessus Agent テンプレート

Tenable Vulnerability Management には、2 つのエージェントテンプレートカテゴリがあります。

  • 脆弱性スキャン - Tenable では、所属する組織の標準的な日常のスキャンニーズのほとんどで、脆弱性スキャンテンプレートを使用することを推奨しています。

  • インベントリコレクション — 標準の Tenable Nessus Agent 脆弱性スキャンとは異なり、インベントリ収集テンプレートは、より高速なスキャン結果を提供し、スキャンのシステムフットプリントを削減します。エージェントベースのインベントリスキャンは、ホストから基本情報を収集し、それを Tenable Vulnerability Management にアップロードします。その後、Tenable Vulnerability Management は、Tenable がカバレッジをリリースする際に、不足しているパッチおよび脆弱性に対して情報を分析します。これにより、ターゲットとなるホストのパフォーマンスへの影響が軽減されると同時に、アナリストが最新パッチの影響を確認する時間を減らすことができます。

注意: プラグインが別のシステムと通信するために認証や設定を必要とする場合、そのプラグインはエージェントで使用できません。これには以下のような例があります。

  • パッチ管理

  • モバイルデバイス管理

  • クラウドインフラ監査

  • 認証が必要となるデータベースチェック

次の表では、利用可能な Tenable Nessus Agentテンプレートについて説明します。

テンプレート

説明

脆弱性スキャン

高度なエージェントスキャン

推奨のないエージェントスキャン。スキャン設定は完全にカスタマイズできます。Tenable Vulnerability Management では、[高度なエージェントスキャン] テンプレートで 2 つのスキャン方法が許可されています。

  • スキャンウィンドウ - エージェントが脆弱性レポートに含めて表示するように報告する時間枠を指定します。

  • トリガーされたスキャン - スキャンを起動するタイミングを示す特定の基準をエージェントに提供します。基準の 1 つ (または複数) が満たされると、エージェントはスキャンを起動します。詳細は、Tenable Vulnerability Management ユーザーガイド基本設定を参照してください。

注意: 高度なエージェントスキャンのテンプレートを使用してエージェントスキャンを作成する際は、スキャンに使用するプラグインも選択する必要があります。

エージェント Log4Shell Apache Log4j CVE-2021-44228 のエージェント検出。
基本的なエージェントスキャン

Tenable Nessus Agents を介して接続されたシステムをスキャンします。

マルウェアのスキャン

Tenable Nessus Agents を介して接続されたシステムでマルウェアをスキャンします。

Tenable Nessus Agent は、許可リストとブロックリストを組み合わせたアプローチを使用してマルウェアを検出し、既知の良好なプロセスを監視し、既知の不良プロセスに警告を発し、未知のプロセスに「詳細な調査が必要」のフラグを立てることで両者の間のカバレッジギャップを特定します。

ポリシーコンプライアンス監査

Tenable Nessus Agents を介して接続されたシステムの既知の基準値と照らしてシステム設定を監査します。

コンプライアンスチェックにより、Windows オペレーティングシステムのパスワードの複雑さ、システム設定、レジストリ値などのカスタムセキュリティポリシーに対して監査を行うことができます。Windows システムの場合、コンプライアンス監査は、Windows ポリシーファイルで記述できるものの大部分をテストできます。Unix システムの場合、コンプライアンス監査では、実行中のプロセス、ユーザーセキュリティポリシー、ファイルのコンテンツがテストされます。

SCAP および OVAL エージェント監査

Tenable Nessus Agents を介して接続されたシステムの SCAP および OVAL 定義を使用してシステムを監査します。

アメリカ国立標準技術研究所 (NIST) の Security Content Automation Protocol (SCAP) は、政府機関における脆弱性管理とポリシーコンプライアンスのためのポリシーです。OVAL、CVE、CVSS、CPE、FDCCポリシーなど、複数のオープンスタンダードおよびポリシーが使用されています。

  • SCAP コンプライアンス監査では、実行可能ファイルをリモートホストに送信することが義務付けられています。

  • セキュリティソフトウェア (例: McAfee Host Intrusion Prevention) を実行しているシステムでは、監査に必要な実行可能ファイルがブロックまたは隔離される可能性があります。そのようなシステムでは、ホストまたは送信される実行可能ファイルを例外として設定する必要があります。

  • SCAP および OVAL 監査テンプレートを使用する場合、NIST の Special Publication 800-126 で指定されているように、Linux および Windows の SCAP チェックを実行してコンプライアンス基準をテストできます。

インベントリコレクション
インベントリ収集

コンパイル済みの限定されたソフトウェアインベントリプラグインを選択してスキャンします。

このテンプレートでは、エージェントが資産情報 (インストールされたソフトウェアや IP アドレスなど) を収集するチェックのみを実行するため、スキャン結果をすばやく入手でき、システムフットプリントが削減されます。このスキャン方法は、Tenable Vulnerability Management ユーザーインターフェースおよびドキュメントでは、インベントリスキャンと呼ばれることがあります。

Collect Inventory スキャンは、以下をカバーします。

  • RedHat ローカルセキュリティチェック

  • Oracle Linux のローカルセキュリティチェック

  • CentOS ローカルセキュリティチェック

  • Amazon Linux ローカルセキュリティチェック

  • Debian ローカルセキュリティチェック

  • Fedora ローカルセキュリティチェック

  • SuSE ローカルセキュリティチェック

  • Ubuntu ローカルセキュリティチェック

  • Windows/Microsoft の更新プログラムチェック (2017 年以降のすべての Windows ロールアップチェック)

Collect Inventory スキャンは、現在、以下をカバーしていません。

  • マルウェアおよびコンプライアンスチェック

  • dpkg や rpm でインストールされていない、インスタンス上のサードパーティ Linux アプリケーションの検出 (Apache HTTP や Postgres など)

  • サードパーティ Windows アプリケーション (Google Chrome や Mozilla Firefox など)

  • Microsoft 製品のパッチ火曜日の更新 (Exchange や Sharepoint など)

注意: Tenable Vulnerability Management がインベントリスキャンを実行した資産は、資産がオフラインであっても、期限切れになるまで脆弱性を報告し続けます。

Tenable が提供する Tenable Web App Scanning テンプレート

次の表では、利用可能な Tenable Web App Scanning スキャンテンプレートについて説明します。

テンプレート 説明
API

API 内で脆弱性の有無をチェックするスキャン。このスキャンは、OpenAPI (Swagger) 仕様ファイルで記述された RESTful API を分析します。添付ファイルのサイズは 1 MB に制限されています。

ヒント: API のスキャンに認証用のキーやトークンが必要な場合、[HTTP 設定] セクションの [詳細] 設定で必要になるカスタムヘッダーを追加することができます。

注意: API スキャンテンプレートは、パブリックベータ版として提供されています。この機能は、ベータ期間中の継続的な改善に伴い、変更される可能性があります。
注意: API スキャンは一度に 1 つのターゲットのみをサポートします。

設定監査

ウェブアプリケーションの HTTP セキュリティヘッダーおよび他の外部向けの設定を分析し、アプリケーションが一般的なセキュリティ業界標準に準拠しているかどうかを確認する高レベルのスキャン。

[設定監査] スキャンテンプレートを使用してスキャンを作成する場合、Tenable Web App Scanning はセキュリティ業界標準のコンプライアンスに関連するプラグインについてのみウェブアプリケーションを分析します。

Log4Shell

Apache Log4j の Log4Shell 脆弱性 (CVE-2021-44228) をローカルチェックで検出します。

概要

ウェブアプリケーション内のどの URL をデフォルトで Tenable Web App Scanning がスキャンするかを決定する高レベルの予備的なスキャン。

[概要] スキャンテンプレートは、ウェブアプリケーション内のアクティブな脆弱性を分析するものではありません。従って、このスキャンテンプレートは [Scan] (スキャン) テンプレートほど多くのプラグインファミリーオプションを提供していません。

PCI Tenable PCI ASV 用にウェブアプリケーションのクレジットカード業界データセキュリティ標準 (PCI DSS) のコンプライアンスを分析するスキャン
クイックスキャン

ウェブアプリケーションの HTTP セキュリティヘッダーおよび他の外部向けの設定を分析し、アプリケーションが一般的なセキュリティ業界標準に準拠しているかどうかを確認する設定監査スキャンに似た高レベルのスキャン。スケジュール設定はありません。

[クイックスキャン] スキャンテンプレートを使用してスキャンを作成する場合、Tenable Vulnerability Management はセキュリティ業界標準のコンプライアンスに関連するプラグインについてのみウェブアプリケーションを分析します。

スキャン

ウェブアプリケーションの広範囲の脆弱性を評価する包括的なスキャン。

[スキャン] テンプレートは、すべてのアクティブなウェブアプリケーションプラグイン用のプラグインファミリーオプションを提供します。

[スキャン] テンプレートを使用してスキャンを作成すると、Tenable Web App Scanning は、[設定監査][概要][SSL TLS] テンプレートを使用して作成されたスキャンがチェックするすべてのプラグイン、および特定の脆弱性検出のための追加のプラグインについてウェブアプリケーションを分析します。

このスキャンテンプレートを使用してスキャンを実行すると、ウェブアプリケーションのより詳細な評価が提供されますが、他の Tenable Web App Scanning スキャンよりも時間がかかります。

SSL TLS

ウェブアプリケーションが SSL/TLS 公開鍵暗号化を使用しているかどうかを確認し、使用している場合には、暗号化がどのように設定されているかを確認するためのスキャン。

[SSL TLS] テンプレートを使用してスキャンを作成する場合、Tenable Web App Scanning は、SSL/TLS の実装に関連するプラグインについてのみウェブアプリケーションを分析します。スキャナーは、URL をクロールしたり、個別のページの脆弱性を評価したりしません。