Nessus Expert のご紹介 - 現代のアタックサーフェスに対応する新しい製品
Nessus は長年、脆弱性評価でその最も優秀な性能が認められてきました。この度発表された Nessus Expert は、クラウドインフラ全般にわたって新出のサイバー脅威から企業の IT 環境を守り、インターネットに露出する IT 資産 (外部資産) の詳細が理解できるように作られています。
20 年以上前にリリースされた Nessus は、業界標準の脆弱性評価ソリューションとして認められるようになりました。Tenable の共同創立者、前 CTO の Renaud Deraison がソフトウェアの欠陥を検出するツールを発明しようと決心して大学を中退したとき、Nessus がこのような影響をサイバーセキュリティ業界に与えるとは、誰が想像したでしょうか。
Nessus が初めてリリースされた 1998 年と現在では業界も大きく変わりました。より複雑になり、セキュリティ専門家の仕事にもさまざまな課題が加わりました。
- アタックサーフェスの規模は、従来の IT 資産をはるかに超え、サーバー、ワークステーション、ネットワークインフラばかりでなく、クラウドに配備された資産、ワークロード、インターネットで接続されている資産を含むようになりました。
- クラウドや インフラのコード化 (IaC)を活用した開発ライフサイクルの効率化は、今やどの企業の事業にも重要な役割を果たしています。それでも、開発担当者はセキュリティのベストプラクティスに従わずにコードを生産環境にリリースしているため、リスクを増やしてしまう結果が生じています。
- 技術的な進歩により、IT やセキュリティ部門の管轄外で誰もが比較的簡単にクラウドにインスタンスを実装できるようになりました。裏を返せば、セキュリティ担当者にとっては、環境内からインターネットに接続されているさまざまな資産を部分的にしか把握できない問題にセキュリティ担当者は直面しています。
セキュリティ担当者のこのような課題を克服するために、Tenable が複数の革新的な評価機能を開発して提供したのが Nessus Expert です。
Nessus ラインナップの最新メンバー、 Nessus Expert
Nessus Expert は Nessus Professional を土台に構築された新しいソリューションです。Nessus Expert は企業の現代のアタックサーフェスに対応した脆弱性評価機能を搭載しています。コード化されたインフラ (IaC) のスキャンと外部アタックサーフェス資産の検出機能により、インターネットに露出する IT 資産 (外部資産) を構成するすべてのドメインとサブドメインを特定することができます。
インフラのコード化に対応して、Nessus Expert は、ソフトウェア開発ライフサイクルのデザインとビルドの段階で、プログラムを使ってクラウドインフラ内の設定ミスや脆弱性を検出します。
搭載されている 500 個のポリシーを適用して、Nessus Expert は設定ファイルやコードレポジトリを精査し、生産段階に到達する前にセキュリティと設定上の問題を洗い出します。知らないうちに脆弱性や設定ミスを生産環境にプッシュした結果、膨大なコストと時間のかかるミスに発展するようなケースを取り除くことができます。Nessus Expert は次のことが実行できます。
- 自動化されたパイプラインに含まれるポリシー違反の特定
- 構成済みの 500 のポリシーを活用した IaC のスキャン
- 設定ミスや脆弱性がクラウドインスタンスに持ち込まれることの防止
- デプロイ後のコード修正から派生するダウンタイム、追加コスト、リソースの回避
Nessus Expert は、外部アタックサーフェス管理機能 (EASM) も搭載しています。これは、企業のインターネットに接続された資産を、攻撃者の視点から継続的に検出して記録する機能です。Nessus Expert は、すべての対象ドメインをシームレスにスキャンしてサブドメインを検出します。これは、今まで、セキュリティ担当者がほとんど、あるいは全く可視化できなかった領域です。外部アタックサーフェス管理 (EASM) 機能では次のことが実行できます。
- 90 日の周期でスキャンを実行。最大 5 つのドメインのすべての従属サブドメインの把握
- インターネット接続資産の重要なコンテキスト情報(ポートの SSL の詳細や DNS 情報) などの収集
- 必要に応じて購入できる追加ドメインの追加
- 検出された資産のすみやかなスキャン
Nessus Expert機能一覧
| 機能 | Nessus Professional | Nessus Expert |
| 主な対象ユーザー… | ペンテスター、コンサルタント、中小企業 | ペンテスター、コンサルタント、開発担当者、中小企業 |
| リアルタイムの脆弱性更新 | ✓ | ✓ |
| 脆弱性スキャン | ✓ | ✓ |
| 外部アタックサーフェスのスキャン | X | 四半期毎、ドメイン 5 つまで |
| ドメインの追加 | X | ✓ |
| クラウドインフラのスキャン | X | ✓ |
| クラウドインフラのコンプライアンス監査 | X | 構成済みポリシー 500 個 |
もっと詳しく
Nessus Expert がどのように役立つか、実際にご覧になるには、今から Nessus Expert をお試し下さい。
Nicholas Weeks
上級プロダクトマーケティングマネージャー
Nick Weeks は、Tenable のプロダクトマーケティングマネージャーであり、Tenable One のテクノロジーエコシステムの責任者です。Nick は、さまざまな業界で得た幅広い製品管理、セールスエンジニアリング、製品マーケティングの経験を活用して、Tenable のサイバーエクスポージャーへの取り組みをサポートしています。
関連記事
Cybersecurity Snapshot: NIST Offers Zero Trust Implementation Advice, While OpenAI Shares ChatGPT Misuse Incidents
Check out NIST best practices for adopting a zero trust architecture. Plus, learn how OpenAI disrupted various attempts to abuse ChatGPT. In addition, find out what Tenable webinar attendees said about their exposure management experiences. And get the latest on cyber crime trends, a new cybersecuri...
Cybersecurity Snapshot: Experts Issue Best Practices for Migrating to Post-Quantum Cryptography and for Improving Orgs’ Cyber Culture
Check out a new roadmap for adopting quantum-resistant cryptography. Plus, find out how your company can create a better cybersecurity environment. In addition, MITRE warns about protecting critical infrastructure from cyber war. And get the latest on exposure response strategies and on CISO compens...
Stronger Cloud Security in Five: 3 Quick Ways to Improve Kubernetes Security in GCP
In this fifth installment of Tenable’s “Stronger Cloud Security in Five” blog series, we offer three best practices for quickly hardening your Kubernetes environment’s security in GCP: remove wide inbound access to cluster APIs; remove root permissions from containers; and remove privileged permissi...
- Vulnerability Management
- Cloud
- Container security
- DevOps