Nessus 10.0: ますます動的になる環境に対する脆弱性評価

新機能は、拡大し続けるアタックサーフェスの保護に必要なポータビリティ、効率性、使いやすさを提供するために設計されています。

リモートワークへの移行が進んだことでアタックサーフェスが細分化され、データの安全性を維持する任務を担うセキュリティ専門家、ペネトレーションテスター、コンサルタントにとって新たな課題が浮上しています。今後 12〜24 か月間、ほとんどの企業がハイブリッドワーク (従業員が自宅またはオフィスで仕事することが選択できる従業形態) を維持することが予想される中、サイバーセキュリティに対する従来のアプローチが日々試練に立たされています。 今日の困難で動的な環境では、脆弱性評価に新しいアプローチが求められています。 

このブログでは、脆弱性評価戦略を新常識の世界に適応させるのに考慮すべき 5 つの重要な要素を紹介します。

1. ポータビリティが鍵　 脆弱性管理ソリューションは、移動可能である必要があります。 なぜでしょうか。その答えは、職務によって異なります。 しかし、ペンテスター、コンサルタント、中小企業のセキュリティアナリスト、大企業のセキュリティチームの担当者のいずれであっても、ポータビリティは重要です。 定期的に異なる顧客と業務を行っているペンテスターやコンサルタントは、様々な顧客のロケーションでリスク評価を簡単に行うことができなければなりません。 セキュリティアナリストや大企業のセキュリティチームは、地理的に分散した拠点を行き来しなければなりません。 従業員が分散しているため、顧客や環境間をシームレスに移動できるポータブルな脆弱性評価ツールがこれまで以上に重要になっています。 
2. 効率が命　 新たに発見された攻撃経路に迅速に対応してリスクを低減するためには、脆弱性をすばやく検出してその根本原因を突き止めることが重要です。 そのためには、環境全体を詳細に分析できるディープスキャンの能力が必要になります。 パケットキャプチャは、フォレンジック調査やコンプライアンスの要求に応えるために、パケットレベルでのリアルタイム分析を可能にする重要な役割を担っています。 さらに、適切な意思決定を行ったり、規制ルールやセキュリティポリシーの遵守状況を示すためには、適切なレポートを表示できることも重要です。 企業の環境はそれぞれ異なるので、テンプレート化されたレポートの選択肢が多いことや、カスタムレポートをデザインできるオプションは、管理者の作業をさらに容易にしています。
3. 効率を高める使い勝手の良さ　 脆弱性評価ツールのユーザーエクスペリエンスが作業しづらかったり、直感的でなかったり、急勾配の学習曲線を必要とするものであれば、業務が思うように進まないでしょう。ナビゲーションが容易で、リソースセンター、オンデマンドのトレーニング、プログラム内のユーザーガイドへのアクセスを備えている脆弱性評価ツールは、スタッフの数が限られている環境でも、すべての製品機能の採用率を大幅に高めることができます。
4. 効率を高める修正の優先順位付け　すべての脆弱性に対応することはできません。 しかし、CVSS スコアだけに頼っていては、全体像の一部しか見えてきません。 セキュリティ担当者が修正の優先順位を付けるためには、特定の脆弱性の深刻度を、その脆弱性が固有の環境においてどのような意味を持つかという文脈で理解する必要があります。 このような機能があれば、企業は、特定のユーザーと資産との組み合わせに基づいて、どの脆弱性に最初に対処する必要があるか、どの脆弱性に 2 番目または 3 番目に対処すべきかを、より効果的にトリアージすることができます。
5. 調査は重要　 脆弱性評価ツールの性能は、情報を提供する脆弱性調査によって左右されます。 脆弱性評価ソリューションは、ゼロデイエクスプロイトの検出や既に公開されている脆弱性に関する専門的なガイダンスを提供する専門の調査チームに支えられていることが重要です。 さらに、そのような調査は、リアルタイムで脆弱性評価ツールに反映させる必要があります。 最終的には、セキュリティ担当者が迅速な行動をとることができ、脆弱性が開いた穴を素早く閉じて、できるだけ早くエクスポージャーを減らすことにつながります。

リモートワークのニーズに応えるNessus 10 のしくみ

Nessus はセキュリティ担当者の業務内容に対する深い理解に基づきゼロから構築されたソリューションです。Nessus に含まれている全ての機能は、脆弱性評価を分かりやすく、簡単かつ直感的に表します。その結果、評価、優先順位付け、問題の修正にかかる時間と労力が削減されます。 

10 月 28 日にリリースされた Nessus 10.0 では、これまでの豊富な脆弱性評価機能に加え、新たな機能が追加されています。 次に Nessus 10.0 が今日の動的な職場の脆弱性評価のニーズをどのように満たす設計になっているかをご紹介します。

ポータビリティを高めるため、Nessus 10.0 は Raspberry Pi でも利用できるようになりました。 これは、ペンテスターやコンサルタントなど、職務上、ロケーション間を移動しなければならない方々に特に有効です。 (詳細は https://www.tenable.com/nessus-on-raspberrypi をご覧ください。また、無料で Raspberry Pi がもらえるコンテストにもご参加いただけます。)

効率性を高めるために、動的にコンパイルされたプラグイン機能を追加し、Nessus プラグインデータベースのフットプリントを最大 75% 削減しました。 この新機能により、スキャンのパフォーマンスが向上すると同時に、スキャナーのメモリに対する負荷が減少します。

Nessus 10.0 では、使いやすさを考慮して、レポート作成時の全体的な操作性の向上に重点を置いており、 利用可能な静的レポートやレイアウトの更新と改善が含まれています。企業ごとに環境が異なり、必要なレポートも異なるため、特定のニーズに合わせて最適化できるカスタマイズ可能なレポート機能を追加しました。 また、新たに作り込まれたロジックにより、カスタマイズされた、簡単に操作できるガイドが画面上に表示され、 ユーザーに関連する特定の回答やガイダンスを見つけるために必要な時間と労力が削減できるようになりました。

Nessus 10.0 には、修正の優先順位付けを支援するために、新たにパケットキャプチャ機能が作り込まれており、スキャンに関する問題のトラブルシューティングに活用できる強力なデバッグ機能が実現されています。 

以上の新機能を支えているのは、脅威や脆弱性の情報を追跡し、プラグインチームができるだけ早く製品に反映できるようにしている Tenable Research の活動です。 Tenable Research は、資産や脆弱性の新しい検出器の開発、監査やコンプライアンスチェックの開発、脆弱性検出器のリリースを加速するための脆弱性管理の自動化の改善、一般的な製品や重要な製品のゼロデイ脆弱性検出など、脆弱性管理の基盤を構成するさまざまな仕事に注力しています。

Nessus 10.0 のリリースは、最も正確で完全な脆弱性データを提供するために、コミュニティの協力と製品の革新に焦点を当てて、企業を危険にさらす可能性のある重要な問題をユーザーが見逃すことのないようにしています。

もっと詳しく

• Renaud Deraison の話を聞く: https://vimeo.com/636693025/79283a6a1c
• Nessus の製品ページを見る: https://www.tenable.com/products/nessus
• ソリューション概要をダウンロードする: https://static.tenable.com/marketing/datasheets/DataSheet-Nessus_Professional.pdf
• Nessus Pi コンテストに参加する: https://www.tenable.com/nessus-on-raspberrypi