Tenable のソフトウェア更新プロセスは、害を与えない安全設計により顧客のビジネス継続性を保護
先週、多くのお客様が前代未聞の技術障害を経験されました。Tenable は、当社のソフトウェア開発プロセスと、そのプロセスによりグローバルな事業継続をどのようにサポートしているのかについて、より深く理解する必要があることを認識しています。このブログ記事では、ソフトウェア開発ライフサイクル (SDLC) に対する Tenable の包括的なアプローチにより、極めて高品質なソフトウェアを作成し、安全かつ無害なアプローチでお客様の事業運営を保護する方法について概説します。
Tenable は、研究、設計、開発、テスト、リリースといったソフトウェア開発ライフサイクル (SDLC) のすべてのステップを厳格に管理しています。その結果、安定性、テスト履歴、正確性、適時性を備えたソフトウェアを実現しています。
具体的に言えば、柔軟性を優先し、お客様自身がソフトウェアのリリースや更新のデプロイメントを制御できるようなソフトウェア設計にしています。
例えば、Nessus Agent とそのプラグインがいつ更新されるか、更新するかどうかをお客様の環境内で制御することができます。 さらに、Nessus Agent はカーネルの「ユーザー空間」で動作するため、オペレーティングシステム障害のリスクを低減します。
このような機能により、お客様の変更制御プログラムに最大の権限を与え、先週起きた世界的な IT 障害インシデントのリスクを低減できます。
以下に詳細を記します。
- 宣言型プラグインのバージョン制御機能
Tenable では、お客様の変更制御管理プロセスをサポートしながら、プラグインコンテンツのバージョンをエージェントのデプロイメント全体に適用する方法を複数のオプションから柔軟に選択できます。 これにより、お客様はエンタープライズデプロイメントを行う前に Tenable プラグインを検証およびテストする制御を行うことができます。
- 無害な Nessus Agent の設計
Tenable Nessus Agent は、ユーザー空間のみで実行するように、またエンドポイントのカーネルとの相互作用を、オペレーティングシステムが提供する標準的なシステムコール (イベント通知コールバックなど) に限定するように設計されています。
そのため、Tenable Nessus Agent は、Tenable が開発したコンポーネントをオペレーティングシステムのカーネル内に常駐させる必要はありません。 この設計は、エンドポイントのオペレーティングシステムへの壊滅的な影響を軽減するために意図的に行われているものであり、 Tenable Agent がエンドポイントの正常な起動に影響を与えることを防ぎます。
ユーザー空間アプリケーションは、カーネルやハードウェアに直接アクセスすることはできません。 そのため、Windows システムで「死のブルースクリーン」につながるような障害を直接引き起こすはありません。
- Nessus Agent ソフトウェアのバージョン制御機能
Tenable は、お客様のエンタープライズにおける変更制御手順が機能することを第一に考えています。 Tenable Vulnerability Management と Security Center の Nessus Manager との統合により、Nessus Agent にはソフトウェアのバージョン制御を適用するための複数のオプションが用意されています。これらのオプションにより、お客様はエンタープライズデプロイメントを行う前に Nessus Agent をテストし、検証することができます。 お客様は、ビジネスニーズに応じて、この機能を活用できます。
Tenable が、お客様の安全を守り事業を保護するという最優先事項に基づいて、最高度のセキュリティと品質を備えたソフトウェアを設計して提供するために行っている取り組みについて、このブログ記事でご理解いただければ幸いです。
当社のソフトウェア開発プロセスに関する詳細情報をご希望の方は、こちらからお問い合わせください。
Robert Huber
最高セキュリティ責任者 兼 リサーチ責任者、Tenable Public Sector プレジデント
Robert Huber は、Tenable の最高セキュリティ責任者、リサーチ責任者、および Tenable Public Sector, LLC の社長です。同社のグローバルセキュリティおよび研究チームを監督し、組織、顧客、および業界全体に対するリスク軽減に向けて部門横断的に取り組んでいます。金融、防衛、重要インフラ、テクノロジーにおけるサイバーセキュリティの分野で、25 年以上の経験があります。Tenable 以前は、Eastwind Networks で最高セキュリティ・戦略責任者を務めていました。Robert は、脅威インテリジェンスセクターのリーダー企業 iSIGHT Partners が 2015 年に買収した OT 脅威インテリジェンス・ソリューションプロバイダー Critical Intelligence の共同設立者であり、社長でもありました。また、Idaho National Laboratory の OT セキュリティ研究者として Lockheed Martin CIRT のメンバーや、JP Morgan Chase にて最高セキュリティアーキテクトを務めた経験もあり、現在も、いくつかのセキュリティ関連スタートアップの取締役兼アドバイザーでもあり、米国で勤務しています。また、空軍および空軍州兵として 22 年以上勤めていました。2021 年に退職するまで、国家安全保障局 (NSA)、米国サイバー軍、国家任務をサポートする攻撃的・防御的サイバーセキュリティを担当していました。
関連記事
Tenable Is Named a Gartner Peer Insights Customers’ Choice for the Vulnerability Assessment Market
Tenable customers have spoken: Here’s what they’re saying about our products....
The Keys to Implementing Exposure Management
Each Monday, the Tenable Exposure Management Academy provides the practical, real-world guidance you need to shift from vulnerability management to exposure management. In this post, we look at the results of a survey taken during a recent Tenable webinar on hesitations around exposure management. ...
Narrowing the Focus: Enhancements to Tenable VPR and How It Compares to Other Prioritization Models
Tenable is releasing a number of enhancements to the Vulnerability Priority Rating (VPR), including enriched threat intelligence, AI-driven insights and explainability, and contextual metadata. Learn how the improved prioritization effectiveness of the enhanced VPR compares to other common prioritiz...
- Risk-based Vulnerability Management
- Exposure Management
- Vulnerability Management