Tenable ブログ
ブログ通知を受信するTenable Cloud Security Agentless Assessment の活用で AWS の脆弱性を迅速に検出して対応

最新のクラウドセキュリティ検出機能 Tenable.cs Agentless Assessment を活用して、クラウドのソフトウェアの脆弱性と設定ミスをスキャンする方法
今までのクラウド型の脆弱性スキャンは、Nessus などのネットワークベースのスキャナーや Nessus エージェントを使用したエージェントベースのアプローチを使用してきました。長年、Tenable の世界レベルの脆弱性研究に裏打ちされた迅速で包括的かつ正確な脆弱性スキャンは、世界中のセキュリティ専門家によってゴールドスタンダードとして認識されてきましたが、2020 年には、より簡単にクラウドで Nessus スキャンを設定し管理したいというお客様のご要望にお応えして Tenable.io Frictionless Assessment をリリースしました。これは、Nessus をクラウドでよりシンプルに提供するための最初のステップでした。
本日発表された Tenable.cs Agentless Assessment for Amazon Web Services (AWS) は、Tenable.io Frictionless Assessment の画期的な機能をさらに高める真にシームレスなクラウドネイティブのスキャンソリューションです。
一般的に、セキュリティ専門家が従来のコンピューティング環境における脆弱性管理の概念をクラウドワークロード (特に一時的なワークロード) に適用しようとすると遭遇する問題があります。自動スケーリングにより、クラウドインスタンスの立ち上げや立ち下げ (スピンアップやスピンダウン) が可能なのですが、従来のスキャンウィンドウでは、評価が必要な資産を見逃してしまう可能性があります。スキャン用のサービスアカウントの資格情報をクラウドで管理するのには手間がかかります。また、エンドポイントエージェントの標準化をさまざまなチームに強制したり、あるいは単にセキュリティチームによって承認されたイメージを使用させたりするのが困難な場合があります。「必要は発明の母」ということわざがありますが、Tenable.cs Agentless Assessment は、こういった問題を解決するために構築された独自のテクノロジーです。
一般に、脆弱性の発見と検出にかかる時間を短縮化することにより、企業に対するセキュリティリスクを低減できることは明らかです。Agentless Assessment を利用すればセキュリティチームはクラウドの設定を完全に可視化し、包括的な脆弱性評価を迅速かつ効率的に実行できるので、より迅速にセキュリティリスクを軽減できます。
Agentless Assessment for AWS と Live Results
Tenable.cs Agentless Assessment for AWS を使用すると、クラウドセキュリティチームは、スキャナーやエージェントをインストールしたり、ターゲットホストに認証情報を設定したり、スキャンポリシーを設定したりする手間なしで、Nessus の機能を使用して脆弱性や設定ミスをチェックできます。独自のアプローチにより、ユーザーは数分でクラウドアカウントをオンボーディングし、ソフトウェアの脆弱性やクラウドポスチャの設定ミスについてすべての資産をスキャンできます。コンピューティング速度やコストは影響されません。Tenable では、イベント駆動型アプローチを採用し、スピーディーなデータ収集を実現するため、お客様は信頼性の高い脆弱性情報を活用できます。また、クラウドセキュリティチームと開発者がセキュリティ上の脆弱性を迅速に特定し、それらを修正するための実行可能な推奨事項も提供しています。
さらに、新しく検出された脆弱性が脆弱性研究フィードに公開されると、Tenable.cs Live Results の機能が既存の収集済みインベントリ内の潜在的な脆弱性を特定するので、セキュリティ チームは新しいスキャンを実行する必要がありません。このほぼリアルタイムの検出と脆弱性評価に対する独自のアプローチにより、平均修復時間が短縮されます。また、セキュリティチームは、修復作業に優先順位を付けるための重要なデータを取得し、十分な情報に基づいて決定を下せます。
Tenable.cs Agentless Assessment のその他のメリットは次のとおりです。
- デプロイが容易: 読み取り専用ロールで設定ミスや脆弱性を一度にチェックします。
- 1 つのツールで 2 つのソリューションを提供: 1 つのツールで脆弱性とクラウドインフラの設定ミスをスキャンします。
- スキャンのオーバーヘッドを低減: デプロイまたは処理するエージェント、スキャンテンプレート、および定義するポリシーはなく、データは Tenable.cs に流れます。
- 脆弱性検出のゴールドスタンダード: 世界中の何千もの企業から信頼を得ている Tenable Research の脆弱性と脅威のフィードが Agentless Assessment で活用されています。
- 継続的な脆弱性に対する保証: 新しい脆弱性が発見・検出されると、Tenable.cs Live Results 機能は、保存されているすべてのインベントリを最新の脆弱性フィードに対して即座に再度スキャンを実行して再評価します。
- セキュア: スキャンは読み取り専用なので、書き込み権限は必要ありません。
- 柔軟性:このツールを使用すると、ユーザーは継続的なサービスとしてのソフトウェア (SaaS) のイベント駆動型スキャン、スケジュールされたスキャン、または特定の目的のために簡単に手動スキャンを実行することができます。
さらに、Tenable.cs Agentless Assessment の事前構築されたポリシーテンプレートを利用すると、AWS クラウドワークロードが正しく設定されていることを簡単に確認し、実行時に以下のようなリスクを検出できます。
- ID ベース (過剰な権限を持つ管理者など)
- 安全でないストレージ設定やアクセス アクティビティ(AWS の広く公開された暗号化されていない Amazon Simple Storage [S3] バケットなど)
- 安全でないインスタンスの作成と削除
- 安全でないネットワーク設定とアクティビティ
- その他…
Agentless Assessment for AWS の使い方
ステップ 1: すべての AWS アカウントを数分でオンボーディングする
すばやく簡単に始められます。必要なのは、読み取り専用のロールだけです。これは、提供されている CloudFormation テンプレートを介して簡単にデプロイできます。マルチアカウントの AWS 環境では、対象となるすべてのサブアカウントで必要なロールを自動的にデプロイする CloudFormation StackSet が利用できます。
出典:Tenable、2022/8
ステップ 2: AWS Elastic Block Store (EBS) のスナップショットをとる
Agentless Assessment プロセスは Elastic Compute Cloud (EC2) ストレージ スナップショットからインストールされたパッケージ データを読み取るため、これは必須です。スナップショットは、手動で作成することも、AWS Data Lifecycle Manager (DLM) を使用して自動で作成することもできますが、Tenable ではこの自動プロセスを使用することを推薦しています。詳細情報は以下を参照してください。
出典:Tenable、2022/8
ステップ 3: Agentless Assessment スキャンを始める
Agentless Assessment では、スキャンテンプレートを設定する必要はありません。ロールは既にデプロイされているため、資格情報を設定する必要もありません。新しい Tenable.cs AWS プロジェクトを作成し、スキャンする AWS サービスとして EC2 を選択し、オンデマンドまたはスケジュールに従ってスキャンを開始します。この時点で、データは Tenable.cs に流れ、統合された検出結果ワークスペース内に脆弱性が表示されます。

出典:Tenable、2022/8
ステップ 4: 最新のクラウド資産すべてにわたる完全な可視性を取得する (簡単に検索可能)
データが Tenable.cs に流れると、ユーザーは既存の機能を活用して、修復する脆弱性に優先順位を付けることができます。Agentless Assessment は Tenable Research 脆弱性フィードを共有して使用しているので、ユーザーはな脆弱性に対する高度の優先順位付けが可能になる Vulnerability Priority Rating (VPR) にすぐにアクセスできます。さらに、ここで Live Results の優位点を活用でき、データが Tenable.cs に流れるので、既に収集したインベントリに対して新しい脆弱性をチェックできます。

出典:Tenable、2022/8
今後リリースが予定されている新機能
既存の Tenable のお客様には、Tenable.cs Agentless Assessment for AWS に早期アクセスを提供しています。一般公開は 9 月末の予定です。第 4 四半期には Tenable は Microsoft Azure ならびに Google Cloud Platform 対象の Tenable.cs Agentless Assessment をリリースする予定です。また、同時にコンテナセキュリティ関連の強化機能も追加します。
もっと詳しく
関連記事
- クラウド
- 脅威管理
- 脆弱性管理