スキャンテンプレート

スキャンテンプレートには、スキャンの詳細な設定が含まれています。Tenable のスキャンテンプレートを使用して、組織のカスタムスキャン設定を作成できます。その後、Tenable のスキャンテンプレートまたはカスタム設定に基づいてスキャンを実行できます。

スキャン設定を作成すると、[スキャンテンプレートの選択] ページが表示されます。Tenable Vulnerability Management では Tenable Vulnerability Management 用と Tenable Web App Scanning 用の個別のテンプレートが用意されています。Tenable Vulnerability Management スキャンでは、スキャンに使用するセンサーに応じてスキャナー用とエージェント用の別個のテンプレートが Tenable Vulnerability Management にあります。

カスタム設定がある場合は、[ユーザー定義] タブに表示されます。ユーザー定義テンプレートの詳細については、ユーザー定義テンプレートを参照してください。

Tenable が提供するスキャンテンプレートを設定する場合、変更できるのはそのスキャンテンプレートタイプに含まれる設定のみです。ユーザー定義スキャンテンプレートを作成すると、スキャン用のカスタム設定セットを変更できます。

すべてのスキャンテンプレート設定の説明については、スキャンの設定を参照してください。

ヒント: Tenable Vulnerability Management スキャン設定を最適化するための情報とヒントについては、Tenable Vulnerability Managementスキャンの調整ガイドを参照してください。

Tenable が提供する Tenable Nessus スキャナーテンプレート

Tenable Vulnerability Management には、3 つのスキャナーテンプレートカテゴリがあります。

  • 脆弱性スキャン (共通) - Tenable では、所属する組織の標準的な日常のスキャンニーズのほとんどで、脆弱性スキャンテンプレートを使用することを推奨しています。

  • 設定スキャン - Tenable では、設定スキャンテンプレートを使用して、ホスト設定がさまざまな業界標準に準拠しているかどうかをチェックすることを推奨しています。設定スキャンは、コンプライアンススキャンと呼ばれることもあります。コンプライアンススキャンで実行できるチェックについては、Tenable Vulnerability Management スキャンにおけるコンプライアンスおよび Tenable Vulnerability Management スキャンでの SCAP 設定を参照してください。

  • 戦術スキャン - Tenable では、戦術スキャンテンプレートを使用して、特定の脆弱性または脆弱性グループについてネットワークをスキャンすることを推奨しています。戦術スキャンは軽量でタイムリーなスキャンテンプレートであり、特定の脆弱性に対して資産をスキャンするために使用できます。Tenable では、Tenable Vulnerability Management 戦術スキャンライブラリを頻繁に更新し、Log4Shell など一般的に関心の高い最新の脆弱性を検出するテンプレートを随時追加しています。

次の表では、利用可能な Tenable Nessus スキャナーテンプレートについて説明します。

テンプレート 説明
脆弱性スキャン (共通)
高度なネットワークスキャン

最も設定可能なスキャンタイプです。このスキャンテンプレートを、任意のポリシーとマッチするように設定することができます。このテンプレートのデフォルト設定は基本スキャンテンプレートと同じですが、追加の設定オプションを利用できます。

注意: 高度なスキャンテンプレートを使うと、Tenable Vulnerability Management のエキスパートは、高速または低速チェックといったカスタム設定によって詳細なスキャンを行えますが、設定を誤ると、資産の停止やネットワークの過負荷が引き起こされる場合があります。高度なテンプレートは注意深く使用してください。

注意: Tenable は、プラグインがネットワークトラフィックに依存して検出を行う新しくリリースされたプラグインファミリーで、このテンプレートを自動的に更新します。
基本的なネットワークスキャン

任意のホストで使用できるフルシステムスキャンを実行します。Nessus のプラグインをすべて有効にした資産 (複数可) のスキャンには、このテンプレートを使用します。たとえば、所属する組織のシステムにおける内部脆弱性スキャンを実施することができます。
資格認定されたパッチ監査

ホストを認証し、不足している更新プログラムを列挙します。

このテンプレートを認証情報とともに使用して、Tenable Vulnerability Management にホストへの直接アクセスを与え、ターゲットとなるホストをスキャンし、欠落しているパッチ更新を列挙します。
ホスト検出

単純なスキャンを実行して、稼働中のホストと開いているポートを検出します。

このスキャンを起動して、ネットワーク上のホストと該当する関連情報 (IP アドレス、FQDN、オペレーティングシステム、開いているポートなど) を確認します。ホストのリストを取得した後、各脆弱性スキャンでターゲットにするホストを選択できます。

Tenable では、Tenable Network Monitor などのパッシブネットワーク監視のない企業がこのスキャンを毎週実行し、ネットワーク上の新しい資産を検出することを推奨しています。

注意: 検出スキャンによって特定された資産は、ライセンスのカウントに含まれません。
内部 PCI ネットワークスキャン

内部 PCI DSS (11.3.1) の脆弱性スキャンを実行します。

このテンプレートで作成されたスキャンを使用すれば、PCI コンプライアンス要件を満たす継続的な脆弱性管理プログラムの内部 (PCI DSS 11.3.1) スキャン要件を満たすことができます。これらのスキャンを使用して、継続的に脆弱性を管理したり、結果が合格またはクリーン (問題解消) となるまで再スキャンを実行したりすることができます。不足しているパッチとクライアント側の脆弱性を列挙するために認証情報を提供することができます。

注意: PCI DSS では、スキャンの結果が合格または「クリーン」である証拠を少なくとも四半期に 1 度提出することが義務付けられています。また、ネットワークに大きな変更を加えた後にもスキャンを実行する必要があります (PCI DSS 11.3.1.3)。
重要: デフォルトでは、PCI スキャンデータはダッシュボード、レポート、およびワークベンチから除外されています。Tenable PCI ASV スキャンを作成する際にこのデータを表示するには、[スキャン結果] 設定を [ワークベンチ、ダッシュボード、レポートに表示する] に設定する必要があります。
従来のウェブアプリケーションスキャン

Tenable Nessus スキャナーを使用してウェブアプリケーションをスキャンします。

注意: Tenable Web App Scanning スキャナーとは異なり、Tenable Nessus スキャナーはウェブアプリケーションのスキャンにブラウザを使用しません。したがって、従来のウェブアプリケーションスキャンTenable Web App Scanning ほど包括的ではありません。
モバイルデバイススキャン

Microsoft Exchange または MDM を使用してモバイルデバイスを評価します。
PCI Quarterly External Scan (PCI 四半期外部スキャン)

PCI (11.3.2) で義務付けられている四半期ごとの外部スキャンを実行します。

重要: デフォルトでは、PCI スキャンデータはダッシュボード、レポート、およびワークベンチから除外されています。Tenable PCI ASV スキャンを作成する際にこのデータを表示するには、[スキャン結果] 設定を [ワークベンチ、ダッシュボード、レポートに表示する] に設定する必要があります。
注意: Tenable Vulnerability Management のダッシュボード、レポート、ワークベンチから、PCI 四半期外部スキャンデータが意図的に除外されています。これは、スキャンが事細かく検出する設定になっているためです。この設定の場合、Tenable Vulnerability Management が本来検出しないはずのものを誤検出してしまいます。詳細は、Tenable PCI ASV Scansを参照してください。
設定スキャン
クラウドインフラ監査 サードパーティのクラウドサービスの設定を監査します。

監査するサービスの認証情報を提供した場合、このテンプレートを使用して Amazon Web Service (AWS)、Google Cloud Platform、Microsoft Azure、Rackspace、Salesforce.com、Zoom の設定をスキャンできます。

注意調査 のホスト監査には、ホスト固有の詳細情報が不十分なため、クラウドインフラ監査スキャンテンプレートにあるようなクラウドインフラ監査のデータは含まれません。この監査のスキャン結果を表示するには、スキャンの表示 を参照してください。
MDM 設定監査 モバイルデバイスマネージャーの設定を監査します。

MDM 設定監査テンプレートは、パスワード要件、リモートワイプ設定、テザリングや Bluetooth などの安全でない機能の使用など、さまざまな MDM 脆弱性についてレポートします。
Offline Config Audit (オフライン設定監査)

ネットワークデバイスの設定を監査します。

オフライン設定監査により、Tenable Vulnerability Management はネットワーク経由のスキャンや認証情報を使用することなく、ホストをスキャンできます。企業のポリシーが、セキュリティ上の理由から、デバイスをスキャンしたり、ネットワーク上のデバイスの認証情報を取得したりすることを許可していない場合があります。オフライン設定監査では、ホストからのホスト設定ファイルを使用してスキャンします。これらのファイルをスキャンすることで、ホストを直接スキャンすることなく、デバイスの設定が監査に準拠しているかを確認できます。

Tenable では、オフライン設定監査を使用して、安全なリモートアクセスをサポートしていないデバイスや、スキャナーがアクセスできないデバイスをスキャンすることを推奨しています。
ポリシーコンプライアンス監査

既知の基準値に照らしてシステム設定を監査します。

注意: 1 つのポリシーコンプライアンス監査スキャンに含めることができる監査ファイルの最大数は、監査ファイルが必要とする合計実行時間とメモリによって制限されます。この制限を超えると、スキャン結果が不完全になったり失敗したりする可能性があります。Tenable では、想定される影響を限定的なものにするため、スキャンの範囲とコンプライアンス要件を明確にしたうえで、スキャンポリシーで対象となる監査を選択することを推奨しています。

コンプライアンスチェックにより、Windows オペレーティングシステムのパスワードの複雑さ、システム設定、レジストリ値などのカスタムセキュリティポリシーに対して監査を行うことができます。Windows システムの場合、コンプライアンス監査は、Windows ポリシーファイルで記述できるものの大部分をテストできます。Unix システムの場合、コンプライアンス監査では、実行中のプロセス、ユーザーセキュリティポリシー、ファイルのコンテンツがテストされます。
SCAP and OVAL Auditing (SCAP および OVAL 監査)

SCAP と OVAL の定義を使用してシステムを監査します。

注意: SCAP および OVAL 監査スキャンテンプレートは、下位互換性のために保持されています。このテンプレートは SCAP バージョン 1.2 以前をサポートしています。SCAP バージョン 1.3 以降を必要とする Windows 10 や Windows 11 などの最新のオペレーティングシステムとは互換性がありません。

アメリカ国立標準技術研究所 (NIST) の Security Content Automation Protocol (SCAP) は、政府機関における脆弱性管理とポリシーコンプライアンスのためのポリシーです。OVAL、CVE、CVSS、CPE、FDCCポリシーなど、複数のオープンスタンダードおよびポリシーが使用されています。

  • SCAP コンプライアンス監査では、実行可能ファイルをリモートホストに送信することが義務付けられています。

  • セキュリティソフトウェア (例: McAfee Host Intrusion Prevention) を実行しているシステムでは、監査に必要な実行可能ファイルがブロックまたは隔離される可能性があります。そのようなシステムでは、ホストまたは送信される実行可能ファイルを例外として設定する必要があります。

  • SCAP および OVAL 監査テンプレートを使用する場合、NIST の Special Publication 800-126 で指定されているように、Linux および Windows の SCAP チェックを実行してコンプライアンス基準をテストできます。
戦術スキャン
Active Directory アイデンティティ

ドメインユーザーアカウントを使用して、AD アイデンティティ情報をクエリします。

注意: このポリシーは、LDAPS を介して Active Directory アイデンティティ情報を列挙します。これには、ドメインユーザーの認証情報、LDAPS 設定、およびスキャンターゲットとして Active Directory ドメインコントローラーが必要です。
Active Directory Starter Scan

Active Directory の設定ミスをスキャンします。

このテンプレートを使用して、Active Directory をチェックし、Kerberoasting 攻撃、脆弱な Kerberos の暗号化、Kerberos 事前認証の検証、有効期限のないアカウントパスワード、制約のない委任、null セッション、Kerberos KRBTGT、危険な信頼関係、プライマリグループ ID の整合性、空のパスワードがないかを調べます。

注意: このポリシーは、LDAPS を介して Active Directory アイデンティティ情報を列挙します。これには、ドメインユーザーの認証情報、LDAPS 設定、およびスキャンターゲットとして Active Directory ドメインコントローラーが必要です。
認証情報の検証

Windows および Unix のホスト認証情報のペアがスキャンターゲットに対して正常に認証されることを確認するために使用される軽量スキャンテンプレート。このスキャンテンプレートを使用すると、ネットワークの認証情報ペアの問題を素早く診断できます。
AI の検出 AI、LLM、ML 関連の脆弱性をスキャンします。
マルウェアのスキャン

Windows と Linux のシステムにマルウェアがないかスキャンします。
Nessus 10.8.0 / 10.8.1 Agent のリセット Tenable Agents のバージョン 10.8.0 および 10.8.1 を検出、リセット、更新するためのスキャン。詳細については、Tenable Agent 10.8.2 リリースノートのアップグレードに関する注意事項を参照してください。
Ping のみの検出 最小限のネットワークトラフィックでライブホストを検出するシンプルなスキャン。

Tenable が提供する Tenable Agent テンプレート

Tenable Vulnerability Management には、2 つのエージェントテンプレートカテゴリがあります。

  • 脆弱性スキャン - Tenable では、所属する組織の標準的な日常のスキャンニーズのほとんどで、脆弱性スキャンテンプレートを使用することを推奨しています。

  • インベントリコレクション — 標準の Tenable Agent 脆弱性スキャンとは異なり、インベントリ収集テンプレートは、より高速なスキャン結果を提供し、スキャンのシステムフットプリントを削減します。エージェントベースのインベントリスキャンは、ホストから基本情報を収集し、それを Tenable Vulnerability Management にアップロードします。その後、Tenable Vulnerability Management は、Tenable がカバレッジをリリースする際に、不足しているパッチおよび脆弱性に対して情報を分析します。これにより、ターゲットとなるホストのパフォーマンスへの影響が軽減されると同時に、アナリストが最新パッチの影響を確認する時間を減らすことができます。

注意: プラグインが別のシステムと通信するために認証や設定を必要とする場合、そのプラグインはエージェントで使用できません。これには以下のような例があります。

  • パッチ管理

  • モバイルデバイス管理

  • クラウドインフラ監査

  • 認証が必要となるデータベースチェック

次の表では、利用可能な Tenable Agentテンプレートについて説明します。

テンプレート

説明
脆弱性スキャン

高度なエージェントスキャン

推奨のないエージェントスキャン。スキャン設定は完全にカスタマイズできます。Tenable Vulnerability Management では、[高度なエージェントスキャン] テンプレートで 2 つのスキャン方法が許可されています。

  • スキャンウィンドウ - エージェントが脆弱性レポートに含めて表示するように報告する時間枠を指定します。

  • トリガーされたスキャン - スキャンを起動するタイミングを示す特定の基準をエージェントに提供します。基準の 1 つ (または複数) が満たされると、エージェントはスキャンを起動します。詳細は、Tenable Vulnerability Management ユーザーガイド基本設定を参照してください。

注意: 高度なエージェントスキャンのテンプレートを使用してエージェントスキャンを作成する際は、スキャンに使用するプラグインも選択する必要があります。
エージェント Log4Shell Apache Log4j CVE-2021-44228 のエージェント検出。
基本的なエージェントスキャン

Tenable Agents を介して接続されたシステムをスキャンします。
マルウェアのスキャン

Tenable Agents を介して接続されたシステムでマルウェアをスキャンします。

Tenable Agent は、許可リストとブロックリストを組み合わせたアプローチを使用してマルウェアを検出し、既知の良好なプロセスを監視し、既知の不良プロセスに警告を発し、未知のプロセスに「詳細な調査が必要」のフラグを立てることで両者の間のカバレッジギャップを特定します。
PCI 内部 Nessus Agent

内部 PCI DSS 4.0 (11.3.1) 認証脆弱性スキャンを実行します。

このテンプレートでは、PCI コンプライアンス要件を満たす継続的な脆弱性管理プログラムの内部 (PCI DSS 4.0) スキャン要件に準拠するために使用可能なスキャンが作成されます。これらのスキャンを使用して、継続的に脆弱性を管理したり、結果が合格またはクリーン (問題解消) となるまで再スキャンを実行したりすることができます。不足しているパッチとクライアント側の脆弱性を列挙するために認証情報を提供することができます。

PCI DSS 4.x には、カスタマイズされたアプローチ目的を使用できる機能があります。PCI DSS 4.x を使用したこのテンプレートで、システムのローカルな脆弱性を最も包括的に把握することができます。

エージェントをインストールできないシステムでは、(内部 PCI ネットワークスキャン テンプレートを使用して) 11.3.1.2 で定義されたアプローチを引き続き適用できます。ポートスキャンでネットワークサービスに関連する脆弱性をカバーするには、認証なしの内部ネットワークスキャンが必要です。

注意: Tenable は、資産の重複を回避するために、このテンプレートに基づいてスキャンを実行するエージェントに対して [オープンエージェントポート] プロファイル設定を設定することを強く推奨しています。詳細は、エージェントプロファイルを参照してください。

注意: Tenable 評価者は、誤検出や代替コントロールに関する内部 PCI スキャンをレビューすることはありません。そのため、Tenable では、所属組織の内部セキュリティ評価者 (ISA) または認定セキュリティ評価者 (QSA) に、内部スキャン検出結果を検証してもらうことを強く推奨しています。
ポリシーコンプライアンス監査

Tenable Agents を介して接続されたシステムの既知の基準値と照らしてシステム設定を監査します。

コンプライアンスチェックにより、Windows オペレーティングシステムのパスワードの複雑さ、システム設定、レジストリ値などのカスタムセキュリティポリシーに対して監査を行うことができます。Windows システムの場合、コンプライアンス監査は、Windows ポリシーファイルで記述できるものの大部分をテストできます。Unix システムの場合、コンプライアンス監査では、実行中のプロセス、ユーザーセキュリティポリシー、ファイルのコンテンツがテストされます。
SCAP および OVAL エージェント監査

Tenable Agents を介して接続されたシステムの SCAP および OVAL 定義を使用してシステムを監査します。

注意: SCAP および OVAL 監査スキャンテンプレートは、下位互換性のために保持されています。このテンプレートは SCAP バージョン 1.2 以前をサポートしています。SCAP バージョン 1.3 以降を必要とする Windows 10 や Windows 11 などの最新のオペレーティングシステムとは互換性がありません。

アメリカ国立標準技術研究所 (NIST) の Security Content Automation Protocol (SCAP) は、政府機関における脆弱性管理とポリシーコンプライアンスのためのポリシーです。OVAL、CVE、CVSS、CPE、FDCCポリシーなど、複数のオープンスタンダードおよびポリシーが使用されています。

  • SCAP コンプライアンス監査では、実行可能ファイルをリモートホストに送信することが義務付けられています。

  • セキュリティソフトウェア (例: McAfee Host Intrusion Prevention) を実行しているシステムでは、監査に必要な実行可能ファイルがブロックまたは隔離される可能性があります。そのようなシステムでは、ホストまたは送信される実行可能ファイルを例外として設定する必要があります。

  • SCAP および OVAL 監査テンプレートを使用する場合、NIST の Special Publication 800-126 で指定されているように、Linux および Windows の SCAP チェックを実行してコンプライアンス基準をテストできます。
インベントリコレクション
インベントリ収集

コンパイル済みの限定されたソフトウェアインベントリプラグインを選択してスキャンします。

このテンプレートでは、エージェントが資産情報 (インストールされたソフトウェアや IP アドレスなど) を収集するチェックのみを実行するため、スキャン結果を素早く入手でき、システムフットプリントが削減されます。このスキャン方法は、Tenable Vulnerability Management ユーザーインターフェースおよびドキュメントでは、インベントリスキャンと呼ばれることがあります。

Collect Inventory スキャンは、以下をカバーします。

  • RedHat ローカルセキュリティチェック

  • Oracle Linux のローカルセキュリティチェック

  • CentOS ローカルセキュリティチェック

  • Amazon Linux ローカルセキュリティチェック

  • Debian ローカルセキュリティチェック

  • Fedora ローカルセキュリティチェック

  • SuSE ローカルセキュリティチェック

  • Ubuntu ローカルセキュリティチェック

  • Windows/Microsoft の更新プログラムチェック (2017 年以降のすべての Windows ロールアップチェック)

Collect Inventory スキャンは、現在、以下をカバーしていません。

  • マルウェアおよびコンプライアンスチェック

  • dpkg や rpm でインストールされていない、インスタンス上のサードパーティ Linux アプリケーションの検出 (Apache HTTP や Postgres など)

  • サードパーティ Windows アプリケーション (Google Chrome や Mozilla Firefox など)

  • Microsoft 製品のパッチ火曜日の更新 (Exchange や Sharepoint など)

注意: Tenable Vulnerability Management がインベントリスキャンを実行した資産は、オフラインであっても、期限切れになるまで脆弱性を報告し続けます。

Tenable が提供する Tenable Web App Scanning テンプレート

次の表では、利用可能な Tenable Web App Scanning スキャンテンプレートについて説明します。

テンプレート 説明
API

API 内で脆弱性の有無をチェックするスキャン。このスキャンは、OpenAPI (Swagger) 仕様ファイルで記述された RESTful API を分析します。添付ファイルのサイズは 1 MB に制限されています。

ヒント: API のスキャンに認証用のキーやトークンが必要な場合、[HTTP 設定] セクションの [詳細] 設定で必要になるカスタムヘッダーを追加することができます。

注意: API スキャンテンプレートは、パブリックベータ版として提供されています。この機能は、ベータ期間中の継続的な改善に伴い、変更される可能性があります。
注意: API スキャンは一度に 1 つのターゲットのみをサポートします。
設定監査

ウェブアプリケーションの HTTP セキュリティヘッダーおよび他の外部向けの設定を分析し、アプリケーションが一般的なセキュリティ業界標準に準拠しているかどうかを確認する高レベルのスキャン。

[設定監査] スキャンテンプレートを使用してスキャンを作成する場合、Tenable Web App Scanning はセキュリティ業界標準のコンプライアンスに関連するプラグインについてのみウェブアプリケーションを分析します。
Log4Shell

Apache Log4j の Log4Shell 脆弱性 (CVE-2021-44228) をローカルチェックで検出します。
概要

ウェブアプリケーション内のどの URL をデフォルトで Tenable Web App Scanning がスキャンするかを決定する高レベルの予備的なスキャン。

[概要] スキャンテンプレートは、ウェブアプリケーション内のアクティブな脆弱性を分析するものではありません。従って、このスキャンテンプレートは [Scan] (スキャン) テンプレートほど多くのプラグインファミリーオプションを提供していません。
PCI Tenable PCI ASV 用にウェブアプリケーションのクレジットカード業界データセキュリティ標準 (PCI DSS) のコンプライアンスを分析するスキャン
重要: デフォルトでは、PCI スキャンデータはダッシュボード、レポート、およびワークベンチから除外されています。Tenable PCI ASV スキャンを作成する際にこのデータを表示するには、[スキャン結果] 設定を [ワークベンチ、ダッシュボード、レポートに表示する] に設定する必要があります。
Quick Scan (クイックスキャン)

ウェブアプリケーションの HTTP セキュリティヘッダーおよび他の外部向けの設定を分析し、アプリケーションが一般的なセキュリティ業界標準に準拠しているかどうかを確認する設定監査スキャンに似た高レベルのスキャン。スケジュール設定はありません。

[クイックスキャン] スキャンテンプレートを使用してスキャンを作成する場合、Tenable Vulnerability Management はセキュリティ業界標準のコンプライアンスに関連するプラグインについてのみウェブアプリケーションを分析します。
スキャン

ウェブアプリケーションの広範囲の脆弱性を評価する包括的なスキャン。

[スキャン] テンプレートは、すべてのアクティブなウェブアプリケーションプラグイン用のプラグインファミリーオプションを提供します。

[スキャン] テンプレートを使用してスキャンを作成すると、Tenable Web App Scanning は、[設定監査][概要][SSL TLS] テンプレートを使用して作成されたスキャンがチェックするすべてのプラグイン、および特定の脆弱性検出のための追加のプラグインについてウェブアプリケーションを分析します。

このスキャンテンプレートを使用してスキャンを実行すると、ウェブアプリケーションのより詳細な評価が提供されますが、他の Tenable Web App Scanning スキャンよりも時間がかかります。
SSL TLS

ウェブアプリケーションが SSL/TLS 公開鍵暗号化を使用しているかどうかを確認し、使用している場合には、暗号化がどのように設定されているかを確認するためのスキャン。

[SSL TLS] テンプレートを使用してスキャンを作成する場合、Tenable Web App Scanning は、SSL/TLS の実装に関連するプラグインについてのみウェブアプリケーションを分析します。スキャナーは、URL をクロールしたり、個別のページの脆弱性を評価したりしません。