IT とウェブアプリのセキュリティの一元化: オンプレミスの Tenable Web App Scanning を Tenable Security Center に統合

Tenable Security Center で、オンプレミスのウェブアプリケーションスキャンをご利用いただけるようになりました。これにより、正確な分析機能と OWASP Top 10 に対するカバレッジを備え、簡単に設定できる、包括的なサイバーエクスポージャー管理が可能となります。 この記事では、知っておくべき事柄をご紹介します。

サイバーセキュリティの世界では、脅威の一歩先を行くことが常に課題になっています。 過去 10 年間にわたってウェブアプリケーションセキュリティは進化を続け、非常に複雑化してきました。 アプリケーションプログラミングインターフェース (API) の急増により多数の脆弱性が生じているため、API セキュリティは差し迫った課題になっています。 ウェブアプリケーションのサードパーティ製コンポーネントへの依存が強まるにつれ、サプライチェーン攻撃が増加し、事態をいっそう複雑化させてきました。 そのうえ、オープンソースのエコシステムが直面する脅威も増え続けており、さらなるセキュリティ対策が求められています。 

Verizon が最近公開したレポートによれば、ウェブアプリケーションに対する攻撃はすべての侵害事案のうち 25% に関わっており、2 番目によく用いられる攻撃パターンになっています。 こうした複雑性ゆえに、セキュリティチームにとって、ウェブアプリケーションに対する脅威の進化に後れをとらないようにすることは難しくなっています。特に、比較的重要性が低いアプリケーションはしばしば見落とされ、組織が脆弱な状態のままになります。 Tenable はこれらの問題を認識したうえで、問題に正面から取り組み、重要資産や機密情報を保護する包括的なソリューションを発表しました。

Tenable Security Center へのオンプレミスのウェブアプリケーションスキャンの導入

最新版の Tenable Security Center 6.2 のリリースで、Tenable はデータをオンサイトで管理したいお客様を対象としたウェブアプリケーションセキュリティを導入し、DX 時代のアタックサーフェスの防御の強化に向けて大きく前進します。 

これまで Tenable は、Tenable Vulnerability Management で、サービスとしてのソフトウェア (SaaS) モデルのウェブアプリケーションスキャン機能を提供してきました。 Tenable Security Center の今回のリリースでは、クラウドベースとオンプレミスのどちらのアプローチでも、ウェブアプリケーションスキャンを柔軟にデプロイできるようになりました。 Tenable Web App Scanning を Tenable Security Center の UI にシームレスに統合することで、ネットワークインフラとウェブアプリケーションの両方にわたってオンプレミスで脆弱性を特定して対処できるようになるため、セキュリティ態勢が強化されます。 今後、Tenable Security Center は、従来の IT 資産の弱点を特定するだけでなく、ウェブアプリケーションのセキュリティにも対応できるようになります。 

Tenable Security Center 内のオンプレミスの Tenable Web App Scanning は、サイバーセキュリティ専門家にとって画期的なソリューションです。 なぜ重要であるかを以下に示します。

正確かつ包括的な脆弱性分析: Tenable Web App Scanning は最新のウェブアプリケーションに対応した強力な脆弱性スキャンを提供します。 誤検出と検出漏れを最低限に抑え、ウェブアプリケーションに関する真のリスクを確実に把握できます。

OWASP Top 10 すべてとそれ以外の脆弱性に対するカバレッジ: 動的アプリケーションセキュリティテスト (DAST) により、クロスサイトスクリプティング (XSS) や SQL インジェクションといった OWASP Top 10 の重大なウェブアプリケーションのセキュリティリスクを特定できます。 また、サードパーティ製コンポーネントの脆弱なバージョンも特定することで、包括的な脆弱性カバレッジを確保できます。

簡単な設定と迅速な結果: 事前定義済みのスキャンテンプレートにより、SSL/TLS 証明書や HTTP ヘッダーの設定ミスに関連する、ウェブアプリケーションの一般的なサイバーハイジーンの問題を迅速に特定することができます。 スキャンのセットアップは数秒で済み、結果はすぐに得られます。

本番環境の安全なスキャン: Tenable Security Center のウェブアプリケーションスキャンを使用すると、本番環境のウェブアプリケーションに対する徹底した脆弱性スキャンを、アプリケーションを妨げることなく確実に実行できます。

Tenable Web App Scanning により、さらに進んだレベルのウェブアプリケーションセキュリティを Tenable Security Center の UI から利用できるようになります。これにより進化を続ける脅威に常に一歩先んじ、ウェブアプリケーションを効果的に保護して、自信を持って組織のデジタル資産を守ることができます。リアルタイムの監視、包括的なレポート、コンプライアンスへの準拠の機能を備えたこの統合ソリューションは、重要な資産を保護し、現代の攻撃者に対する強力な防御を維持するために必要となるツールをセキュリティチームに提供します。

ウェブアプリケーションスキャン以外の Tenable Security Center 6.2 の機能

Tenable Web App Scanning 機能の統合に加え、Tenable Security Center 6.2 リリースには以下の機能も追加されました。 

• ドメインインベントリからアクセス可能な資産リスト: ユーザーが選択した資産に基づいて資産リストを作成することで時間を節約できます。 手動でスキャンを作成する代わりに、このリストを使用してスキャンを生成できます。
• ACR/AES 用アルゴリズムの更新: Tenable Security Center Plus を使用されているお客様には、Tenable のデータサイエンスチームによってアルゴリズムが更新されることで、データがオンプレミスとクラウドのどちらで処理される場合でも、一貫した ACR (資産重要度の格付け) および AES (資産のエクスポージャースコア) のリスク算出を行えるというメリットがあります。 こうした更新によって正確なリスク評価を継続的に実施できるため、情報に基づいたセキュリティ上の意思決定に役立ちます。 改善されたこれらの機能を利用するためには 6.2 リリースへのアップデートを行う必要があります。
• Tenable Security Center のパッチ適用の改善: 今後は、あらゆるパッチの検索と適用を Software Updates ツールから直接行えるようになり、システムの再起動を求められることはなくなります。また、利用可能なパッチの適用状況も確認できます (適用済み、未適用など)。
• カスタマイズ可能な分類バナー: 独自のヘッダーやフッターを追加して、ウェブアプリケーションやエクスポートされたレポートの価値を高めることができます。 分類バナーに、独自のテキストや自分で選んだ色を使用できるようになりました。 分類バナーを必要とするお客様は、組織固有のニーズや好みにあわせてメッセージやデザインを変更できます。

レベルアップしたオンプレミスのウェブアプリケーションセキュリティを、Tenable Security Center の UI からご利用ください。Tenable Web App Scanning により、進化を続ける脅威に常に一歩先んじ、ウェブアプリケーションを効果的に保護して、自信を持って組織のデジタル資産を守ることができます。Tenable Security Center を最新のバージョンにアップグレードすると、上記の機能を最大限に活用できます。

Tenable Security Center に統合された Tenable Web App Scanning の機能について詳しくは、 11 月 9 日午前 10 時 (米国太平洋標準時間) / 午後 1 時 (米国東部夏時間) に予定されているカスタマーアップデートウェビナーに参加して、Tenable Security Center 6.2 の新機能と近日公開予定の機能を確認しましょう。

もっと詳しく

• カスタマーアップデートウェビナーに参加する
• リリースノートを確認する
• 無料のデモを予約する
• Tenable Security Center 製品ページを見る