AWS 用の Frictionless Assessment

Frictionless Assessment のプロビジョニングは終了し (2023 年 5 月 15 日以降)、新しいユーザーは Frictionless Assessment コネクタをデプロイできなくなります。2023 年 12 月 31 日に Frictionless Assessment はサポート終了となり、サポートを受けたり更新を受け取ったりできなくなります。ただし、既存の Frictionless Assessment コネクタは、2024 年 12 月 31 日にサポートが終了するまで引き続きお使いいただけます。Tenable では、クラウドリソースのスキャン用に、エージェントなしの評価を含む Tenable Cloud Security に移行することを推奨しています。詳細については、Tenable Vulnerability Management リリースノートを参照してください。

Tenable FedRAMP Moderate 環境では、以下はサポートされません。詳細については、Tenable FedRAMP Moderate 製品を参照してください。

Frictionless Assessment を使用すると、Tenable Vulnerability Management は Amazon Web Services (AWS) EC2 インスタンス上にあるデータポイントのインベントリを検出して収集します。次に、Frictionless Assessment に指定した AWS タグを持つ EC2 インスタンスの場合、Tenable Vulnerability Management はホスト上ローカルにプラグインを実行するのではなく、クラウド内でホストの脆弱性を評価します。

注意: Frictionless Assessment は、「停止」状態であっても資産情報を報告します。ホストからデータを収集し AWS EC2 インスタンス上にデータポイントのインベントリを作成するために Frictionless Assessment が利用する AWS Systems Manager エージェント (SSM エージェント) は、「停止」状態であってもデータを収集します。

Frictionless Assessment は、AWS Systems Manager Inventory と AWS Systems Manager Agent (SSM エージェント) を使用して必要なデータを収集します。AWS の設定要件に関する詳細については、Frictionless Assessment 用の AWS を設定するを参照してください。

Frictionless Assessment でホストを評価するためにスキャナー、Tenable Nessus Agents、スキャン、スキャンのスケジュールを設定する必要はありません。

オペレーティングシステムのカバレッジ

Frictionless Assessment は、以下の Amazon Machine イメージから作成された EC2 インスタンスの脆弱性カバレッジを持っています。

  • Amazon Linux 1 / 2

  • CentOS 6 / 7 / 8

  • Red Hat 6 / 7 / 8

  • SUSE Linux Enterprise Server (SLES) 11.4-15.2

  • SUSE Linux Enterprise Desktop (SLED) 12-15.2

  • Ubuntu 16.04 / 18.04 / 20.04 / 22.04

  • Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022

  • Windows 7、Windows 8、Windows 10、Windows 11

ライセンスの考慮事項

一般に、Tenable Vulnerability Management の資産は脆弱性が評価されるとライセンスに対してカウントされます。そのため、Frictionless Assessment によって評価された EC2 ホストは、ライセンスに対してカウントされます。詳細は、Tenable Vulnerability Management のライセンス を参照してください。

Frictionless Assessment によって評価されるホストの AWS タグを選択するときには、そのタグのいずれかを持つホストがすべてライセンスにカウントされることに注意してください。コネクタによって検出されただけで、Frictionless Assessment によって評価されないホスト (たとえば、Frictionless Assessment に選択したタグを持っていないホスト) は、ライセンスの数としてカウントされません。

サポートされているリージョン

AWS Frictionless Assessment は次のリージョンでサポートされています。

  • us-east-1、アメリカ東部 (バージニア州北部)

  • us-east-2、アメリカ東部 (オハイオ)

  • us-west-1、アメリカ西部 (カリフォルニア州北部)

  • us-west-2、アメリカ西部 (オレゴン)

  • ca-central-1、カナダ (中央)

  • ap-south-1、アジア太平洋 (ムンバイ)

  • ap-northeast-1、アジア太平洋 (東京)

  • ap-northeast-2、アジア太平洋 (ソウル)

  • ap-southeast-1、アジア太平洋 (シンガポール)

  • ap-southeast-2、アジア太平洋 (シドニー)

  • eu-central-1、EU (フランクフルト)

  • eu-west-1、EU (アイルランド)

  • eu-west-2、EU (ロンドン)

  • eu-west-3、EU (パリ)

  • sa-east-1、南アメリカ (サンパウロ)

制限

  • Frictionless Assessment は、情報プラグインの実行、リモート脆弱性プラグインの実行、コンプライアンスデータの収集を行いません。
  • Frictionless Assessment を使用して設定されたコネクタは、1 つの AWS アカウントしかサポートしません。複数の AWS アカウントのホストを評価する場合は、AWS アカウントごとに個別のコネクタを設定する必要があります。
  • Frictionless Assessment で評価する資産を識別するには、1 つの AWS タグキーを使用する必要があります。

  • Tenable Vulnerability ManagementFrictionless Assessment のインベントリを収集するために、インスタンスに AWS Systems Manager のインベントリ関連を作成します。しかし、AWS ドキュメントに記述されているとおり、AWS Systems Manager ではインベントリのインスタンスへの関連付けは一度に 1 つまでに制限されています。既存のインベントリがインスタンスに関連付けられている場合、Frictionless Assessment を設定する前に解除するようにしてください。詳細は、AWS のドキュメントを参照してください

  • Frictionless Assessment スキャンの制限は 1 日あたり 1 回ですが、2023 年 5 月 1 日より前に作成された既存の Frictionless Assessment コネクタは、インベントリデータをより頻繁に送信します。Frictionless Assessment では、この頻度制限を超えるデータはドロップされ、スキャンされません。

    注意: この制限は、Tenable Container Security、エージェントなしの評価、および Tenable Nessus エージェントベースのインベントリスキャンには適用されません。

はじめる

  1. 企業内のどのユーザーが、AWS コンソールにアクセスできる適切な AWS 認証情報を持っているかを判断します。

  2. AWS 認証情報を持っているユーザーに応じて、次のいずれかを実行します。

    • Tenable Vulnerability Management クラウドコネクタを設定していて、さらに適切な企業の AWS 認証情報を持っている場合

      1. AWS 設定が、Frictionless Assessmentに記載されている Frictionless Assessment の要件を満たしていることを確認してください。

      2. Frictionless Assessment 用の AWS コネクタを作成する の説明に従って AWS コネクタを作成します。

    • Tenable Vulnerability Management クラウドコネクタを設定しているが、企業で自分以外のユーザーが必要な AWS 認証情報を持っている場合

      1. AWS 認証情報を持っているユーザーは、Frictionless Assessment 用の AWS を設定するで説明しているように、AWS 設定が Frictionless Assessment の要件を満たしていることを確認する必要があります。

      2. AWS 認証情報を持っているユーザーは、Frictionless Assessment 用の AWS ロールとポリシーを手動で設定する必要があります。

      3. Frictionless Assessment 用にキーレス認証を使用して AWS コネクタを作成するの説明に従って AWS コネクタを作成します。

  3. AWS クラウドコネクタを削除するには、コネクタを削除するを参照してください。

  4. コネクタを削除したら、AWS でコネクタアーティファクトの手動削除の説明に従って、AWS で CloudFormation スタックを手動で削除します。

詳細については、以下のトピックを参照してください。