:

除外

除外は、Tenable スキャナーが特定の IP アドレスまたは範囲をプローブしないようにする制限ルールです。これらは、虚弱なインフラを保護し、メンテナンス期間を遵守し、ビジネスの継続性を確保する安全メカニズムとして機能します。

除外の管理については、除外の管理を参照してください。

除外の仕組み

特定のターゲットで除外がアクティブになっている場合、スキャナーによるその IP アドレスのスキャンは厳格に禁止されます。

優先度 — 除外は常にスキャン設定よりも優先されます。ユーザーが特定の IP に対して明示的にスキャンを開始した場合でも、ターゲットがアクティブな除外ルールに該当する場合、スキャナーはそのターゲットをスキップします。
範囲 — 除外はネットワークスキャンにのみ適用されます。エージェントはホストのローカルで動作し、ネットワークプローブを必要としないため、Tenable Agents には適用されません。

一般的なユースケース

虚弱な OT/IoT デバイス — スキャンするとクラッシュする可能性のあるレガシープリンター、医療デバイス、産業用制御システムを完全に除外します。
ビジネス時間 — ピーク運用時のスキャンを防止します (例: 「Trading Server」サブネットの月曜日から金曜日の午前 9 時から午後 5 時を除く)。
禁止されたサブネット — VPN 経由で接続されているサードパーティパートナーのネットワークなど、制限されているネットワークにスキャナーが踏み込まないようにします。

除外のタイプ

除外を設定する際、期間と頻度を定義します。2 種類の除外を作成できます。

永続的な除外 — ルールが削除されるまで、ターゲットは無期限にブロックされます。スキャン対象にするべきでない虚弱なハードウェアに使用します。
スケジュールされた除外 — ターゲットは特定の期間のみブロックされます。これらは繰り返し設定できます (「午前 8 時に 9 時間、毎日」など)。

重要な考慮事項

IP ベースの制限 — 除外は主に IP アドレスによって実施されます。IP を指定してサーバーを除外し、そのサーバーが DHCP 経由で新しい IP に移動すると、その除外では保護されなくなります (さらに、その除外はその古い IP を取得した新しいデバイスを不用意にブロックする可能性があります)。
アクティブスキャン — スキャンが実行中の間に除外期間が開始した場合、スキャナーはその特定のターゲットに対するスキャンを直ちに中止します。
PAM 統合 — 特権アクセス管理 (PAM) サーバー (CyberArk、Thycotic など) は除外しないでください。PAM サーバーを除外すると、スキャナーはボールトとの通信で認証情報を取得できず、環境全体で認証スキャンが失敗します。

Copyright © 2026 Tenable, Inc.All rights reserved.Tenable、Tenable Nessus、Tenable Lumin、Assure、および Tenable のロゴは、Tenable, Inc.またはその関連会社の登録商標です。その他の各製品またはサービスは、それぞれの所有者の商標です。