スキャンテンプレート

最も設定可能なスキャンタイプです。このスキャンテンプレートを、任意のポリシーとマッチするように設定することができます。このテンプレートのデフォルト設定は基本スキャンテンプレートと同じですが、追加の設定オプションを利用できます。

注意: Tenable は、プラグインがネットワークトラフィックに依存して検出を行う新しくリリースされたプラグインファミリーで、このテンプレートを自動的に更新します。

任意のホストで使用できるフルシステムスキャンを実行します。Nessus のプラグインをすべて有効にした資産 (複数可) のスキャンには、このテンプレートを使用します。たとえば、所属する組織のシステムにおける内部脆弱性スキャンを実施することができます。

ホストを認証し、不足している更新プログラムを列挙します。

このテンプレートを認証情報とともに使用して、Tenable Vulnerability Management にホストへの直接アクセスを与え、ターゲットとなるホストをスキャンし、欠落しているパッチ更新を列挙します。

単純なスキャンを実行して、稼働中のホストと開いているポートを検出します。

このスキャンを起動して、ネットワーク上のホストと該当する関連情報 (IP アドレス、FQDN、オペレーティングシステム、開いているポートなど) を確認します。ホストのリストを取得した後、各脆弱性スキャンでターゲットにするホストを選択できます。

Tenable では、Tenable Network Monitor などのパッシブネットワーク監視のない企業がこのスキャンを毎週実行し、ネットワーク上の新しい資産を検出することを推奨しています。

内部 PCI DSS (11.3.1) の脆弱性スキャンを実行します。

このテンプレートで作成されたスキャンを使用すれば、PCI コンプライアンス要件を満たす継続的な脆弱性管理プログラムの内部 (PCI DSS 11.3.1) スキャン要件を満たすことができます。これらのスキャンを使用して、継続的に脆弱性を管理したり、結果が合格またはクリーン (問題解消) となるまで再スキャンを実行したりすることができます。不足しているパッチとクライアント側の脆弱性を列挙するために認証情報を提供することができます。

Tenable Nessus スキャナーを使用してウェブアプリケーションをスキャンします。

Microsoft Exchange または MDM を使用してモバイルデバイスを評価します。

PCI (11.3.2) で義務付けられている四半期ごとの外部スキャンを実行します。

監査するサービスの認証情報を提供した場合、このテンプレートを使用して Amazon Web Service (AWS)、Google Cloud Platform、Microsoft Azure、Rackspace、Salesforce.com、Zoom の設定をスキャンできます。

注意: 調査 のホスト監査には、ホスト固有の詳細情報が不十分なため、クラウドインフラ監査スキャンテンプレートにあるようなクラウドインフラ監査のデータは含まれません。この監査のスキャン結果を表示するには、スキャンの表示 を参照してください。

MDM 設定監査テンプレートは、パスワード要件、リモートワイプ設定、テザリングや Bluetooth などの安全でない機能の使用など、さまざまな MDM 脆弱性についてレポートします。

ネットワークデバイスの設定を監査します。

オフライン設定監査により、Tenable Vulnerability Management はネットワーク経由のスキャンや認証情報を使用することなく、ホストをスキャンできます。企業のポリシーが、セキュリティ上の理由から、デバイスをスキャンしたり、ネットワーク上のデバイスの認証情報を取得したりすることを許可していない場合があります。オフライン設定監査では、ホストからのホスト設定ファイルを使用してスキャンします。これらのファイルをスキャンすることで、ホストを直接スキャンすることなく、デバイスの設定が監査に準拠しているかを確認できます。

Tenable では、オフライン設定監査を使用して、安全なリモートアクセスをサポートしていないデバイスや、スキャナーがアクセスできないデバイスをスキャンすることを推奨しています。

既知の基準値に照らしてシステム設定を監査します。

注意: 1 つのポリシーコンプライアンス監査スキャンに含めることができる監査ファイルの最大数は、監査ファイルが必要とする合計実行時間とメモリによって制限されます。この制限を超えると、スキャン結果が不完全になったり失敗したりする可能性があります。Tenable では、想定される影響を限定的なものにするため、スキャンの範囲とコンプライアンス要件を明確にしたうえで、スキャンポリシーで対象となる監査を選択することを推奨しています。

コンプライアンスチェックにより、Windows オペレーティングシステムのパスワードの複雑さ、システム設定、レジストリ値などのカスタムセキュリティポリシーに対して監査を行うことができます。Windows システムの場合、コンプライアンス監査は、Windows ポリシーファイルで記述できるものの大部分をテストできます。Unix システムの場合、コンプライアンス監査では、実行中のプロセス、ユーザーセキュリティポリシー、ファイルのコンテンツがテストされます。

SCAP と OVAL の定義を使用してシステムを監査します。

注意: SCAP および OVAL 監査スキャンテンプレートは、下位互換性のために保持されています。このテンプレートは SCAP バージョン 1.2 以前をサポートしています。SCAP バージョン 1.3 以降を必要とする Windows 10 や Windows 11 などの最新のオペレーティングシステムとは互換性がありません。

アメリカ国立標準技術研究所 (NIST) の Security Content Automation Protocol (SCAP) は、政府機関における脆弱性管理とポリシーコンプライアンスのためのポリシーです。OVAL、CVE、CVSS、CPE、FDCCポリシーなど、複数のオープンスタンダードおよびポリシーが使用されています。

• SCAP コンプライアンス監査では、実行可能ファイルをリモートホストに送信することが義務付けられています。

• セキュリティソフトウェア (例: McAfee Host Intrusion Prevention) を実行しているシステムでは、監査に必要な実行可能ファイルがブロックまたは隔離される可能性があります。そのようなシステムでは、ホストまたは送信される実行可能ファイルを例外として設定する必要があります。

• SCAP および OVAL 監査テンプレートを使用する場合、NIST の Special Publication 800-126 で指定されているように、Linux および Windows の SCAP チェックを実行してコンプライアンス基準をテストできます。

ドメインユーザーアカウントを使用して、AD アイデンティティ情報をクエリします。

Active Directory の設定ミスをスキャンします。

このテンプレートを使用して、Active Directory をチェックし、Kerberoasting 攻撃、脆弱な Kerberos の暗号化、Kerberos 事前認証の検証、有効期限のないアカウントパスワード、制約のない委任、null セッション、Kerberos KRBTGT、危険な信頼関係、プライマリグループ ID の整合性、空のパスワードがないかを調べます。

Windows および Unix のホスト認証情報のペアがスキャンターゲットに対して正常に認証されることを確認するために使用される軽量スキャンテンプレート。このスキャンテンプレートを使用すると、ネットワークの認証情報ペアの問題を素早く診断できます。

Windows と Linux のシステムにマルウェアがないかスキャンします。

Tenable Vulnerability Management は、許可リストとブロックリストを組み合わせたアプローチを使用してマルウェアを検出し、既知の良好なプロセスを監視し、既知の不良プロセスに警告を発し、未知のプロセスに「詳細な調査が必要」のフラグを立てることで両者の間のカバレッジギャップを特定します。

オペレーショナルテクノロジー (OT) 資産の安全で非侵入型の検出を実行します。このテンプレートでは、プロトコル固有のクエリを使用して、重要な操作を妨げることなく稼働中のデバイスを特定し、メーカー、モデル、ファームウェアなどの詳細な属性を取得します。

この機能を既存のスキャン設定に追加するには、脆弱なデバイスの OT 検出でオペレーショナルテクノロジーデバイスを安全にスキャンを参照してください。

高度なエージェントスキャン

推奨のないエージェントスキャン。スキャン設定は完全にカスタマイズできます。Tenable Vulnerability Management では、[高度なエージェントスキャン] テンプレートで 2 つのスキャン方法が許可されています。

• スキャンウィンドウ - エージェントが脆弱性レポートに含めて表示するように報告する時間枠を指定します。

• トリガーされたスキャン - スキャンを起動するタイミングを示す特定の基準をエージェントに提供します。基準の 1 つ (または複数) が満たされると、エージェントはスキャンを起動します。詳細は、Tenable Vulnerability Management ユーザーガイドの基本設定を参照してください。

注意: 高度なエージェントスキャンのテンプレートを使用してエージェントスキャンを作成する際は、スキャンに使用するプラグインも選択する必要があります。

注意: 詳細なスキャンテンプレートを使えば、高速チェックや低速チェックなどのカスタム設定をして、より詳細にスキャンすることができますが、設定を誤ると、資産の停止やネットワークの飽和が引き起こされる場合があります。高度なテンプレートは注意深く使用してください。

Apache Log4j の Log4Shell 脆弱性 (CVE-2021-44228) をローカルチェックで検出します。

Tenable Agent を実行しているホストで広範な脆弱性とパッチ評価を実行します。ターゲットを絞った監査やコンプライアンスのために設計された特殊なテンプレートとは異なり、このテンプレートは、複雑な設定を必要としない、標準装備のベースラインスキャンを提供します。

Tenable Agents を介して接続されたシステムでマルウェアをスキャンします。

Tenable Agent は、許可リストとブロックリストを組み合わせたアプローチを使用してマルウェアを検出し、既知の良好なプロセスを監視し、既知の不良プロセスに警告を発し、未知のプロセスに「詳細な調査が必要」のフラグを立てることで両者の間のカバレッジギャップを特定します。

内部 PCI DSS 4.0 (11.3.1) 認証脆弱性スキャンを実行します。

このテンプレートでは、PCI コンプライアンス要件を満たす継続的な脆弱性管理プログラムの内部 (PCI DSS 4.0) スキャン要件に準拠するために使用可能なスキャンが作成されます。これらのスキャンを使用して、継続的に脆弱性を管理したり、結果が合格またはクリーン (問題解消) となるまで再スキャンを実行したりすることができます。不足しているパッチとクライアント側の脆弱性を列挙するために認証情報を提供することができます。

PCI DSS 4.x には、カスタマイズされたアプローチ目的を使用できる機能があります。PCI DSS 4.x を使用したこのテンプレートで、システムのローカルな脆弱性を最も包括的に把握することができます。

エージェントをインストールできないシステムでは、(内部 PCI ネットワークスキャン テンプレートを使用して) 11.3.1.2 で定義されたアプローチを引き続き適用できます。ポートスキャンでネットワークサービスに関連する脆弱性をカバーするには、認証なしの内部ネットワークスキャンが必要です。

注意: Tenable は、資産の重複を回避するために、このテンプレートに基づいてスキャンを実行するエージェントに対して [オープンエージェントポート] プロファイル設定を設定することを強く推奨しています。詳細は、エージェントプロファイルを参照してください。

注意: Tenable 評価者は、誤検出や代替コントロールに関する内部 PCI スキャンをレビューすることはありません。そのため、Tenable では、所属組織の内部セキュリティ評価者 (ISA) または認定セキュリティ評価者 (QSA) に、内部スキャン検出結果を検証してもらうことを強く推奨しています。

既知の基準値に照らしてシステム設定を監査します。

注意: 1 つのポリシーコンプライアンス監査スキャンに含めることができる監査ファイルの最大数は、監査ファイルが必要とする合計実行時間とメモリによって制限されます。この制限を超えると、スキャン結果が不完全になったり失敗したりする可能性があります。Tenable では、想定される影響を限定的なものにするため、スキャンの範囲とコンプライアンス要件を明確にしたうえで、スキャンポリシーで対象となる監査を選択することを推奨しています。

コンプライアンスチェックにより、Windows オペレーティングシステムのパスワードの複雑さ、システム設定、レジストリ値などのカスタムセキュリティポリシーに対して監査を行うことができます。Windows システムの場合、コンプライアンス監査は、Windows ポリシーファイルで記述できるものの大部分をテストできます。Unix システムの場合、コンプライアンス監査では、実行中のプロセス、ユーザーセキュリティポリシー、ファイルのコンテンツがテストされます。

Tenable Agents を介して接続されたシステムの SCAP および OVAL 定義を使用してシステムを監査します。

注意: SCAP および OVAL 監査スキャンテンプレートは、下位互換性のために保持されています。このテンプレートは SCAP バージョン 1.2 以前をサポートしています。SCAP バージョン 1.3 以降を必要とする Windows 10 や Windows 11 などの最新のオペレーティングシステムとは互換性がありません。

アメリカ国立標準技術研究所 (NIST) の Security Content Automation Protocol (SCAP) は、政府機関における脆弱性管理とポリシーコンプライアンスのためのポリシーです。OVAL、CVE、CVSS、CPE、FDCCポリシーなど、複数のオープンスタンダードおよびポリシーが使用されています。

• SCAP コンプライアンス監査では、実行可能ファイルをリモートホストに送信することが義務付けられています。

• セキュリティソフトウェア (例: McAfee Host Intrusion Prevention) を実行しているシステムでは、監査に必要な実行可能ファイルがブロックまたは隔離される可能性があります。そのようなシステムでは、ホストまたは送信される実行可能ファイルを例外として設定する必要があります。

• SCAP および OVAL 監査テンプレートを使用する場合、NIST の Special Publication 800-126 で指定されているように、Linux および Windows の SCAP チェックを実行してコンプライアンス基準をテストできます。

コンパイル済みの限定されたソフトウェアインベントリプラグインを選択してスキャンします。

このテンプレートでは、エージェントが資産情報 (インストールされたソフトウェアや IP アドレスなど) を収集するチェックのみを実行するため、スキャン結果を素早く入手でき、システムフットプリントが削減されます。このスキャン方法は、Tenable Vulnerability Management ユーザーインターフェースおよびドキュメントでは、インベントリスキャンと呼ばれることがあります。

Collect Inventory スキャンは、以下をカバーします。

• RedHat ローカルセキュリティチェック

• Oracle Linux のローカルセキュリティチェック

• CentOS ローカルセキュリティチェック

• Amazon Linux ローカルセキュリティチェック

• Debian ローカルセキュリティチェック

• Fedora ローカルセキュリティチェック

• SuSE ローカルセキュリティチェック

• Ubuntu ローカルセキュリティチェック

• Windows/Microsoft の更新プログラムチェック (2017 年以降のすべての Windows ロールアップチェック)

Collect Inventory スキャンは、現在、以下をカバーしていません。

• マルウェアおよびコンプライアンスチェック

• dpkg や rpm でインストールされていない、インスタンス上のサードパーティ Linux アプリケーションの検出 (Apache HTTP や Postgres など)

• サードパーティ Windows アプリケーション (Google Chrome や Mozilla Firefox など)

• Microsoft 製品のパッチ火曜日の更新 (Exchange や Sharepoint など)

注意: Tenable Vulnerability Management がインベントリスキャンを実行した資産は、オフラインであっても、期限切れになるまで脆弱性を報告し続けます。