Tenable 提供の Tenable Web App Scanning テンプレートタイプ

Tenable Web App Scanning は、特定のスキャン目的のために使用するスキャナーテンプレートを提供しています。

注意: 各スキャンタイプ (およびテンプレート) は、プラグインのファミリーと個々のプラグインをサポートしています。詳細については、スキャンプラグインの表示を参照してください。

Tenable Web App Scanning には次のスキャナーテンプレートが用意されています。

テンプレート 説明
API

API 内で脆弱性の有無をチェックするスキャン。このスキャンは、OpenAPI (Swagger) 仕様 (ファイルのアップロードまたはファイルの場所の URL) で記述された RESTful API を分析します。添付ファイルのサイズは 1 MB に制限されています。

ヒント: API のスキャンに認証用のキーやトークンが必要な場合、[HTTP 設定] セクションの [詳細] 設定で必要になるカスタムヘッダーを追加することができます。

注意: API スキャンは一度に 1 つのターゲットのみをサポートします。
注意: 1 MB より大きい OpenAPI (Swagger) ファイルを API スキャンに添付すると、エラーメッセージが表示されます。この制限の詳細については、ナレッジの記事を参照してください。Swagger 仕様ファイルの詳細については、OpenAPI (Swagger) 仕様を参照してください。

設定監査

ウェブアプリケーションの HTTP セキュリティヘッダーおよび他の外部向けの設定を分析し、アプリケーションが一般的なセキュリティ業界標準に準拠しているかどうかを確認する高レベルのスキャン。

[設定監査] スキャンテンプレートを使用してスキャンを作成する場合、Tenable Web App Scanning はセキュリティ業界標準のコンプライアンスに関連するプラグインについてのみウェブアプリケーションを分析します。

Log4Shell

Apache Log4j の Log4Shell 脆弱性 (CVE-2021-44228) をローカルチェックで検出します。

概要

ウェブアプリケーション内のどの URL をデフォルトで Tenable Web App Scanning がスキャンするかを決定する高レベルの予備的なスキャン。

[概要] スキャンテンプレートは、ウェブアプリケーション内のアクティブな脆弱性を分析するものではありません。従って、このスキャンテンプレートは [Scan] (スキャン) テンプレートほど多くのプラグインファミリーオプションを提供していません。

PCI Tenable PCI ASV 用にウェブアプリケーションのクレジットカード業界データセキュリティ標準 (PCI DSS) のコンプライアンスを分析するスキャン(このスキャンでは、リクエストのリダイレクト制限を表示および編集することもできます。この制限のデフォルト値は 3 です)。
クイックスキャン

ウェブアプリケーションの HTTP セキュリティヘッダーおよび他の外部向けの設定を分析し、アプリケーションが一般的なセキュリティ業界標準に準拠しているかどうかを確認する設定監査スキャンに似た高レベルのスキャン。スケジュール設定はありません。

[クイックスキャン] スキャンテンプレートを使用してスキャンを作成する場合、Tenable Web App Scanning はセキュリティ業界標準のコンプライアンスに関連するプラグインについてのみウェブアプリケーションを分析します。

スキャン

ウェブアプリケーションの広範囲の脆弱性を評価する包括的なスキャン。

[スキャン] テンプレートは、すべてのアクティブなウェブアプリケーションプラグイン用のプラグインファミリーオプションを提供します。

[スキャン] テンプレートを使用してスキャンを作成すると、Tenable Web App Scanning は、[設定監査][概要][SSL TLS] テンプレートを使用して作成されたスキャンがチェックするすべてのプラグイン、および特定の脆弱性検出のための追加のプラグインについてウェブアプリケーションを分析します。

このスキャンテンプレートを使用してスキャンを実行すると、ウェブアプリケーションのより詳細な評価が提供されますが、他の Tenable Web App Scanning スキャンよりも時間がかかります。

SSL TLS

ウェブアプリケーションが SSL/TLS 公開鍵暗号化を使用しているかどうかを確認し、使用している場合には、暗号化がどのように設定されているかを確認するためのスキャン。

[SSL TLS] テンプレートを使用してスキャンを作成する場合、Tenable Web App Scanning は、SSL/TLS の実装に関連するプラグインについてのみウェブアプリケーションを分析します。スキャナーは、URL をクロールしたり、個別のページの脆弱性を評価したりしません。

スキャンまたはユーザー定義スキャンテンプレートで可能な設定は、スキャンの作成に使用する Tenable 提供のスキャンテンプレートタイプによって異なります。