Nessus についてよくあるご質問

Nessus に関する全般的な質問

Nessus の現在のバージョンは何ですか?

最新バージョンの Nessus は、いつでも Tenable ダウンロードページから入手できます。 お客様に新しい機能、改善されたパフォーマンスとプラットフォームを利用していただくために、最新のリリースにアップグレードすることをお勧めします。

Nessus にはどの OS プラットフォーム用のビルドが用意されていますか?

Nessus は、以下のさまざまなオペレーティングシステムおよびプラットフォームでサポートされています。

• Debian / Kali Linux
• Fedora
• FreeBSD
• Mac OS X
• Red Hat / CentOS / Oracle Linux
• SUSE Linux
• Ubuntu
• Windows Server 2008、Windows Server 2012
• Windows 7、8、10

最新情報およびサポートされる特定のバージョンについては、弊社ウェブサイトの Nessus ドキュメントのシステム要件セクションを参照してください。

Nessus を使用するためのシステム / ハードウェア要件は何ですか?

最新のシステムおよびハードウェア要件については、 弊社ウェブサイトのNessus ドキュメントで Nessus のインストールと構成に関するガイドを参照してください。

Nessus のインストールと構成方法の詳細な説明書はありますか?

あります。Nessus のインストールと構成に関する詳細なガイドと Nessus のユーザーガイドは、弊社ウェブサイトの Nessus ドキュメントから入手できます。

Nessus のさらなる詳細はどのようにして入手できますか?

Nessus についてその他の質問がある場合は、お気軽にお問い合わせいただくか、jp.tenable.comにアクセスするか、または Tenable Community にご投稿ください。

Nessus トレーニングはどこで受けられますか?

Tenable トレーニングについては https://www.tenable.com/education をご覧ください。

Nessus はどのように購入できますか?

Nessus サブスクリプションは Tenable や弊社パートナーから取得できます。スキャンする IP アドレスおよび / またはホストの数、Nessus をオンプレミスまたはクラウドホスト型の環境で実行するかに応じて、柔軟なライセンスオプションがご利用いただけます。

Nessus を評価することはできますか?

できます。是非 Nessus の評価をお試しください。

Nessus で PCI の内部ネットワークスキャンは実行できますか?

できます。Nessus Professional を使用すれば、PCI DSS 11.2.1 で要求されている内部ネットワークスキャンを実行することができます。

Nessus の各ソリューション

Nessus ラインナップの各ソリューション、Nessus Expert、Nessus Professional、Nessus Essentials についてご説明します。

Nessus の各ソリューションの特徴

• Nessus Essentials - このソリューションは、導入レベルの Nessus です。教育機関、学生、サイバーセキュリティで分野でキャリアを始めたばかりの方々向けとして位置付けられています。学習の一環として IT 資産をスキャンできるほか、ホームオフィス (IP アドレス 16 個まで) をスキャンすることもできます。このツールは無償でご利用いただけます。
• Nessus Professional - このソリューションは、高度の Nessus ソリューションへの第一歩と位置付けられており、コンサルタント、ペンテスター、中小企業向けとなっています。Nessus Professional で実行できる IT の脆弱性スキャン数に制限はありません。場所に関しても制限がなく、どこでもお使いいただけます。
• Nessus Expert - すべてのコンサルタント、ペンテスター、開発担当者、中小企業にお勧めする Nessus のプレミアムソリューションです。Nessus Expert は現代のアタックサーフェスのために構築されており、従来の IT 資産の領域を超えてクラウドインフラのセキュリティを守り、インターネットに露呈しているアタックサーフェスを可視化します。

Nessus Expert にはどのような機能が追加されているのですか?

Nessus Expert は、Nessus Professional を土台にカバレッジを拡大して、次のような領域まで評価することができます。

• Web Application Scanning - この動的なアプリケーションセキュリティテスト (DAST) 機能は、ウェブアプリのセキュリティ問題を包括的に可視化する洞察力を提供します。最新のウェブアプリを安全にスキャンし、カスタムコード内の脆弱性を正確に識別するほか、アプリの大半を占めるサードパーティのコンポーネントの脆弱なバージョン特定します。
• コード化されたインフラ (IaC) のスキャン - これは「シフトレフト」と言われるセキュリティ対策のアプローチの第一歩です。コードのレポジトリを制限なくスキャンして、コードが実環境にデプロイされる前に脆弱性を評価することができます。知らないうちに脆弱背をクラウドに持ち込んでしまい、ビジネスの中断などを伴うコストのかかる修正作業が必要になることを防げます。
• 外部アタックサーフェス - 簡単に言えば、知らないものは知るすべもない。 特にインターネットに接続されている資産。そこに重大な脆弱性があって、ビジネスを停止させるリスクがあるようなものの存在を明らかにします。Nessus Expert は、最大 5 つのドメインまでスキャンして、関連サブドメインを検出して評価します。スキャン対象のドメインを増やしたい場合にも対応できるようになっています。

Nessus Expert をもっとよく理解したいのですが?

Nessus Expert をご自分で試してみてはどうですか。7 日間無料です。

Nessus サポート

本セクションでは、Nessus サブスクリプションを購入した Tenable のお客様にのみ適用される Nessus サポート活動の詳細を説明します。

顧客でない場合、Nessus で発生している問題に関するサポートを受けるには、どうすればよいですか?

Tenable Communityでお客様の質問がすでに依頼済みまたは回答済みかどうかをご確認ください。

Nessus のサポートはどこで受けられますか?

Tenable Community でサポートをご利用いただけます。 http://community.tenable.com

Community を使用して、ケースの管理、ナレッジベースの閲覧、トレーニングへのアクセス、Tenable 担当者とのチャット、および製品ドキュメントやダウンロードの確認が可能です。

このポータルから、ご購入いただいた Tenable 製品や、認定サポート連絡先を管理できます。

Tenable Community アカウントの入手方法、またアカウントに他のユーザーを追加する方法を教えてください。

Nessus を購入する際、技術担当者の名前と E メールアドレスを Tenable にお伝えください。 Tenable Community アカウントは、各技術担当者に対して作成され、主要連絡先 (PC) としてセットアップされます。

主要連絡先（PC）は、Tenable Community アカウントのセットアップ方法が記載されたようこそメールを受信します。PC は後で Tenable Community から連絡先を追加したり、無効にすることができます。PC に Tenable Community にログインしてもらい、[Add Contact (連絡先を追加)] を選択して連絡先を追加したり、登録済みの連絡先のアクティベーションを解除してもらってください。新しい連絡先には、アカウントの作成時にアカウントアクティベーション用のメールが送信されます。

既存の登録済みの連絡先の情報を更新するには、PC は Tenable Community の「My Contacts (マイコンタクト)」ページにアクセスして行うことができます。

Nessus Professional では、Tenable からどのようなサポートおよびメンテナンスを受けられますか?

メンテナンスおよび標準サポートには、ソフトウェアアップグレード、ホットフィックス、パッチ、現在のプラグインへのアクセス、および以下のリソースを通じた Tenable テクニカルサポートチームへのアクセス (年中無休) が含まれます。

• ライブチャットサポート
• Tenable Community のサポートへのにアクセス
• インターネット経由で Tenable プラグインフィードへのアクセス

アドバンスサポートは、追加サブスクリプションである Nessus Professional でご利用いただけます。アドバンスレベルのテクニカルサポートでは、より迅速な応答時間とソリューションをお約束し、年中無休の電話サポートをご提供します。確約された応答時間 SLA（P1: <2時間、P2: <4時間、P3: <12時間、P4: <24時間) も含まれます。テクニカルサポートプランの詳細については、こちらをご確認ください。

問題の優先度を上げてもらうことはできますか?

Tenable は問題の初期優先度を決定しますが、Tenable Community を通して、問題の優先度の変更を依頼していただけます。 

サポートを依頼するときにどんな情報を提供すればいいですか?

サポート依頼の送信時に、テクニカルサポートリクエストの解決に関連するすべてのデータを Tenable にご提供いただく必要があります。関連データには、これらに限定されませんが、ログファイル、データベースダンプ、プログラムスクリプト、ハードウェアおよびソフトウェア環境の説明、入力例、および想定される出力と実際の出力、その他が含まれる可能性があります。これらの情報はできる限り包括的であることが望ましいですが、重要な情報 (アカウント名、パスワード、内部 IP アドレスなど) は Tenable に送信する前にサニタイズすることをお勧めします。

問題の想定解決時間はどのくらいですか?

問題発生時のレスポンスタイムは １ 営業日を目標としています。

「解決時間」までに、サポートエンジニアが問題の解決を試みます。解決時間について保証することはできません。ただし、ほとんどのお客様の問題は、1 営業日以内に解決されています。問題の複雑さによっては、解決に数時間または数日以上かかる場合があります。場合によっては、正常な解決または対応ができない場合があります。Nessus エンジンの機能が関連する問題は、適時に訂正されます。必要に応じて、お客様全体に最適なレスポンスを提供するためにプラグインが変更または微調整されますが、OS、アプリケーション、その他のネットワーク機器が問題または混乱の解決を妨げるように反応する場合があります。そのような場合、Tenable としては、「該当するベンダーに製品のレスポンスまたは挙動を訂正する責任がある」という方針を採っています。

Tenable はどのバージョンの Nessus を サポートしていますか?

現在、Tenable サポートは、承認済みかつ未変更のバージョンの Nessus バイナリ、ツール、および Tenable 独自のユーティリティを対象としています。これには、ユーザーがコンパイルした製品やサードパーティが開発した製品は含まれません。Tenable は、Nessus サーバーにアクセスする、基盤となるオペレーティングシステム、ハードウェア、アプリケーション、サードパーティ製品のサポートは提供していません。さらに、Tenable には以下に関するサポートサービスの提供義務はありません。

1. サポート対象外のソフトウェア。
2. 教室形式のトレーニングまたはオンサイトコンサルティング。
3. アプリケーションの設計。
4. Tenable 以外によって承認された、サポート対象ソフトウェアのソースコードへのパッチまたは変更。
5. お客様のコンピュータまたはネットワーキングハードウェア機器のインストール、構成、または部分的な不具合。
6. カーネル、ライブラリ、パッチ、およびドライバを含むがそれらに限定されない、お客様のオペレーティングシステムのインストール、構成、または部分的な不具合。

ユーザーがパッチした Nessus 4.x 以降のバイナリはサポート対象になりますか?

未然に防ぐことはできませんが、

Nessus 2.x GPL バージョンのソフトウェアはサポート対象ですか?

未然に防ぐことはできませんが、

Nessus との契約で要求される通知書はどこに送ればいいですか?

Tenable Network Security, Inc.
6100 Merriweather Drive, 12th Floor
Columbia, MD 21044
宛先: 法務部

Nessus ライセンス

Nessus は職場で使用できますか?

Nessus Professional は年間サブスクリプションでライセンスされており、職場環境での使用を想定して設計されています。これには、無制限の IP をスキャンする機能、どこでもポータブルに使用できる運用性、さらには、設定評価、ライブ結果、カスタムレポートなどの高度な機能が含まれています。コンサルタント、ペンテスター、セキュリティ担当者に最適です。

Nessus® Essentials はあらゆる環境のスキャンに自由にご利用いただけますが、1 台のスキャナー当たり 16 個の IP アドレスまでに制限されています。教育関係者、学生、およびサイバーセキュリティ分野でキャリアを始めようという方に最適です。 

Nessus ライセンスは VM (仮想マシン) 環境でどのように機能しますか?

Nessus を物理環境または仮想環境のどちらで使用するかを問わず、スキャンする IP アドレスまたはホストのライセンスを所有している必要があります。

私はコンサルタントです。Nessus を使用してクライアントの脆弱性スキャンを実行できますか?

できます。Tenable は、サードパーティネットワークのスキャンに Nessus を使用することを許可しています。Nessus Professional はコンサルタントにとって理想的です。無制限の評価、あらゆる場所での可用性、およびクライアントやチームがレポートをカスタマイズできるカスタムレポートなどの機能を提供します。

高い移動性が必要です。Nessus に移植性オプションはありますか?

Nessus は、Raspberry Pi を含む多様なプラットフォームに導入が可能です。どこにいるか、どこへ行くか、環境がどのように分散しているかは関係ありません。Nessus は完全にポータブルです。

弊社はソフトウェアやハードウェアの製造会社です。弊社がお客様に販売する製品に Nessus を組み込むことはできますか?

Nessus エンジンおよび Tenable プラグインについて Tenable との OEM 契約に関心をお持ちの場合は、弊社までお問い合わせください。

Nessus を使用してOT 環境をスキャンできますか?

Nessus を使用して OT 資産をスキャンすることはお勧めしません。ただし、OT 環境の最大 50% に IT ベースの資産が含まれています。Tenable.ot は OT 環境向けに特別に構築されており、内部に Nessus が含まれています。Tenable.ot が OT を保護し、Nessus が OT 環境にある IT 資産をスキャンするようにロジックを構築しました。OT 機材で IT ベースのスキャンを実行することにより、環境を不安定にすることなく、OT インフラ全体に必要な可視性、セキュリティ、制御を確保できます。

Nessus エージェント

Nessus Agent とは?

Nessus エージェントは、Tenable.io Vulnerability Management および Tenable オンプレミスエージェントマネージャーで利用できます。Nessus エージェントは、 可視性を向上し、従来のネットワークスキャンでは取得できないようなスキャン結果を柔軟に取得するために使用できる、追加タイプのセンサーです。

Nessus エージェントはいつ使用するものですか?

ほとんどの組織は、Vulnerability Management プログラム内でエージェントベースのスキャンとエージェントレスのスキャンを混在させて使用することになります。Nessus エージェントは、従来のネットワークスキャンでカバレッジを有しますが、 以下のような場合にも魅力的です:

• 常にローカルネットワークに接続されているわけではない一時的なエンドポイントのスキャン。スケジュールベースの従来のネットワークスキャンでは、これらのデバイスはスキャンされないことが多く、可視性にギャップが生じます。Nessus エージェントでは、これらのデバイスで信頼性の高いコンプライアンス監査とローカル脆弱性チェックを実行でき、これまでにはなかった可視性が提供されます。
• 認証情報を持たない資産または認証情報を簡単に取得できなかった資産のスキャン:Nessus エージェントは、ローカルシステムにインストールされたときに、ローカルチェックを実行できます。
• 全体的なスキャン性能を改善する:エージェントはローカルリソースを使用してローカルチェックを実行するように並行運用されることから、ネットワークスキャンをリモートネットワークチェックだけに縮小でき、スキャン完了時間を短縮できます。

Nessus エージェントではどのプラットフォームがサポートされますか?

Nessus エージェントは現在、以下のようなさまざまなオペレーティングシステムをサポートしています:

• Amazon Linux
• CentOS
• Debian Linux
• OS X
• Red Hat Enterprise Linux
• Ubuntu Linux
• Windows Server 2008 および 2012、Windows 7 および 8

最新情報およびサポート対象の特定のバージョンについては、Tenable の Web サイトの Nessus Agent ダウンロードページをご参照ください。

どの Tenable 製品が Nessus エージェントと連携可能ですか?

Nessus エージェントは Tenable.io Vulnerability Management と SecurityCenter (SC) および / または SecurityCenter Continuous View (SCCV) と連携することができます。Nessus エージェントは Tenable.io コンソールから直接展開して管理できます。 SC または SCCV と連携するように Nessus エージェントを管理するには、オンプレミスエージェントマネージャーが必要です。

Nessus エージェントが消費するリソースはどれくらいですか?

Nessus エージェントのパフォーマンスオーバーヘッドは最小限であるため、全体的なネットワ​ークオーバーヘッドを軽減することができます。これは、エージェントがスキャンのためにネットワー​クリソースを消費する代わりに、ローカルリソースを使用してそれらが存在するシステムまたはデバイ​スをスキャンするためです。

Nessus エージェントはどのように更新されますか?

Nessus エージェントはほぼどのソフトウェア管理システムでも展開でき、展開後は自動的に更新されます。

Nessus エージェントを使用してスキャンを起動するにはどうすればいいですか?

現在 Nessus ユーザーであれば、エージェントベースのスキャン起動は Nessus 内でのスキャン実行に似ていることが分かるでしょう。

• 最初に、スキャンライブラリの「Agents (エージェント)」セクションからスキャンテンプレートを選択します。
• 次に、スキャナを選択したり、手動でターゲットを入力する代わりに、スキャンのターゲットとなるエージェントのグループを選択します (グループを選択するドロップダウンリストが表示されます)。
• 最後に、エージェントが接続するまでにスキャンが待機する時間を指定します。これは、対象のエージェントがチェックインし、新しいポリシーを受け取り、特定のスキャンの結果をアップロードするまでの時間です。

スケジュールが完了する前に送られるスキャン結果のレポートを Nessus エージェントでレビューできますか?

できます。

Nessus エージェントのチェックイン頻度はどのくらいですか?

Nessus エージェントは、Tenable.io Vulnerability Management またはオンプレミスエージェントマネージャーにリンクされたエージェントの数に応じて、時間をずらしてチェックインします。チェックイン頻度は 30 ～ 2000 秒の間で変化し、管理システム負荷 (エージェントの数) に基づいて Tenable.io / オンプレミスエージェントマネージャーによって調整されます。

どの Nessus エージェントがチェックインし、どれがしていないかは確認できますか?

エージェント管理インターフェイスには、エージェントに関するさまざまな管理関係の説明が記載されています (最後のチェックイン時刻、最終スキャン等)。

Nessus エージェントを実行するにはどんな権限が必要ですか?

Nessus エージェントはローカルシステムアカウントで実行されます。このアカウントで実行されるソフトウェアをインストールするための十分な権限が必要です。

ノート PC またはデスクトップユーザーが特定のエージェントを無効にすることはできますか?

システムに対する管理権限がユーザーに付与されていれば、できます。

スケジュールの実行中にレポートをエクスポートできますか?

できません。スキャンが完了しないとレポートはエクスポートできません。

Nessus エージェントはユーザーのデスクトップにレポートを残すことができますか？例えば、グラフやスコアなど。

いいえ。Nessus エージェントは結果を管理者にレポートで送信します。結果データはレポートに含めることが可能です。

Nessus エージェントはどの Nessus プラグインを実行しますか?

Nessus エージェントポリシーには、エージェントを実行しているプラットフォームに適したローカルチェックを実行するプラグインが含まれています。ホスト上のサービスには接続されません。

これらのプラグインには、パッチ監査、コンプライアンスチェック、マルウェア検出を実行するものがあり、例外は次の通りです:

• リモートで開示された情報に基づいて機能するプラグインは、エージェント上で実行できません
• エージェントはネットワークベースのスキャンを外部で実行しないため、ネットワークチェックはできません。

Tenable Research チームは、プラグインを絶えず追加および更新しています。プラグインの詳細なリストについては、/plugins にアクセスしてください。

エージェントベースのスキャンを単独で使用できますか?

ネットワーク全体を可視化するために、従来のスキャンとエージェントベーススキャンの組み合わせを推奨していますが、デバイスでご利用いただけるセンサーが Nessus Agent のみという場合もあります。Nessus Agent では、Nessus Agent なしでは可視性が得られなかったローカルチェックおよび脆弱性を可視化できます。

エージェントの展開 / グループ化を自動化する方法を教えてください。

スクリプトを使用したり、SCCM などのパッチ管理ソリューションを使用したりできます。以下の Nessus エージェントコマンドは、スクリプト内でエージェントの展開 / グループ化を自動化するのに利用できます。

注:オンプレミスエージェントマネージャー (SC/SCCV用) はポート 8834 を使用します。Tenable.io は 443 以上を使用します。

Redhat Linux: /opt/nessus_agent/sbin/nessuscli agent link --key=apikey --groups="Red Hat linux" --host=hostname --port=8834

Amazon Linux: /opt/nessus_agent/sbin/nessuscli agent link --key=apikey --groups="Amazon linux" --host=hostname --port=8834

Windows Member Server: msiexec /i NessusAgent-<version number>-x64.msi NESSUS_GROUPS="Windows, Windows Member Servers"：￥ NESSUS_SERVER="hostname:8834" NESSUS_KEY=apikey /qn

モバイルデバイス

どのバージョンの Nessus がモバイルデバイス管理 (MDM) システム統合をサポートしていますか?

Nessus Professional では、MDM をサポートしていません。SecurityCenter および Tenable.io が共にパッケージングされている場合、Nessus Manager には事前設定済みの MDM 統合が含まれます。 

Nessus の構成とトラブルシューティング

Nessus ユーザーのパスワードはどのようにして変更できますか?

パスワード変更は、Nessus Web インターフェイス経由で行います。右上隅でアカウント名をクリックして [Settings (設定)] を選択して [Accounts (アカウント)] をクリックします。パスワードを変更したいユーザーをクリックし、[Change Password (パスワードを変更)] をクリックして、パスワードを変更・確認してから [Save (保存)] をクリックします。

Nessus を RPM 経由でインストールしようとしましたが、エラーが返されます。この方法で Nessus をインストールできないのはなぜですか?

Nessus RPM を Windows システムにダウンロードしてから Unix システムに転送した場合は、Nessus RPM ファイル名は "Nessus-5[1].0.0-es4.i386.rpm" のようになります。RPM は角括弧を処理できません (例: [1])。ファイル名を "Nessus-5.0.0-es4.i386.rpm" に変更してインストールを再度お試しください。

エラーのトラブルシューティングに役立つ機能はありますか?

ネットワークがますます高度で複雑になるにつれて、潜在的な問題に照準を合わることにますます時間がかかるようになりました。Nessus には、パケットキャプチャ機能があらかじめ組み込まれてます。強力なデバッグ能力により、お客様のスキャン問題のトラブルシューティングが可能になります。さらに、Nessus には、ユーザーが関連情報をすぐに利用することができる新しいリソースセンターが含まれています。ユーザー指定のガイドには、実行されている運用と機能に基づいて、役立つヒントとガイダンスが記載されています。

Nessus Windows について

Nessus Windows をインストールしようとすると、「エラー 1607:InstallShield Scripting Run Timeをインストールできません」というエラーが発生するのはなぜですか?

このエラーコードは、Windows Management Instrumentation (WMI) サービスが無効になっていた場合に生成される場合があります。サービスが実行中であることを確認してください。

WMI サービスが実行中の場合は、Microsoft Windows オペレーティングシステム設定と、Nessus Windows をインストール / 削除するために使用される InstallShield 製品との間の問題である可能性があります。潜在的な原因と問題の解決方法が詳しく説明されている、Microsoft および InstallShield のナレッジベース記事があります。

• Microsoft ナレッジベース記事 ID 910816
• InstallShield ナレッジベース記事 ID Q108340

Nessus を Windows Server オペレーティングシステム (Server 2008 または 2012 など) で実行するのと、Windows デスクトップオペレーティングシステム (Windows 7 または Windows 8 など) で実行するのとで違いがありますか?

はい。Microsoft Windows デスクトップシステムには、Nessus のパフォーマンスに影響する可能性があるネットワーク制限があります。TCP/IP スタックには、不完全な外向きの TCP 同時接続施行数に制限があります。制限に達すると、後続の接続試行はキュー状態となり、一定の速度 (10 個/秒) で処理されます。キュー内の試行数が多すぎる場合は、破棄される場合があります。

これによって、Nessus スキャンが Windows デスクトップオペレーティングシステム上で実行されることになり、誤検知が発生する可能性があります。精度を改善するために、Windows デスクトップオペレーティングシステム上の Nessus のポートスキャンスロットル設定を以下のように下げることをお勧めします。この設定は、新しいポリシーの「General Settings (全般設定)」の「Performance (パフォーマンス)」設定タイプにあります:

最大ホスト数: 10

最大セキュリティチェック数: 4

ポートスキャンの最大パケット数: 50

パフォーマンスとスキャン信頼性を改善するために、Nessus Windows を Microsoft Windows ファミリーのサーバー製品 (Windows Server 2008 または 2012 など) にインストールすることを強くお勧めします。

Nessus をホスト型侵入防止システム (HIPS) がインストールされたシステムで使用できますか?

追加料金はありません。リモートターゲットのスキャン中に、Nessus が TCP/UDP パケットを作成してプローブを送信しますが、HIPS ソフトウェアがこれを「悪意がある」と見なすことがよくあります。HIPS システムが悪意のあるトラフィックをブロックするように構成されている場合は Nessus と干渉するため、スキャン結果が不完全になるか、または信頼性が低くなります。

コンプライアンスチェック

コンプライアンスチェックでは何を基準に監査されますか?

コンプライアンスチェックは、コミュニティのベストプラクティスガイダンスとセキュリティポリシー (CISベンチマークなど) に基づいて作成されます。Windows システムの場合、コンプライアンス監査は、パスワードの複雑性、システム設定、レジストリの値および Windows ポリシーファイルに記述されているほとんどの設定を検証することができます。Unix システムの場合、コンプライアンス監査は、実行中のプロセス、ユーザーセキュリティポリシー、システムレベル設定およびアプリケーション構成ファイル内の値を検査できます。

監査ポリシーを作成するにはどうすればいいですか?

Tenable は、カスタム監査ポリシーの作成にご利用いただけるドキュメントを作成しました。多くの場合、Tenable のお客様はデフォルトの監査ポリシーを使用して、自社の要件に合わせて、含まれているテストを削除または変更できます。簡単な変更ではなく、より詳細な変更が必要な場合のために、チェックタイプごとのサンプルを文書化しています。これらを活用して、組織の構成ガイドラインに沿って、カスタマイズしたチェックを作成することが​できます。ドキュメントは、Tenable の Web サイトの Nessus ドキュメントから入手可能です。

「XYZ」の監査ポリシーは検査できますか?

Tenable には、監査チェックの範囲外の技術パラメータに対する「テレメトリー」テストの依頼がよく送られてきます。コンプライアンスチェックでは、オペレーティングシステムの基となる構成は監査できますが、デュアルブートサーバー、ユーザーログインの挙動、CPU 使用率、プログラムの最終使用日などは対象としていません。場合によっては、このような情報をキャプチャするログファイルまたはレジストリ設定を生成できるアプリケーションもありますが、コンプライアンスチェックの基本機能として、これらの情報はデフォルトでは検出しません。

これらのチェックを実行するためにエージェントを実行する必要がありますか?

追加料金はありません。スキャンはエージェントを使用してでも、またはエージェントレスでも実行できます。

コンプライアンスチェックは脆弱性スキャンと何が違いますか?

Nessus はネットワークサービスの脆弱性スキャンを実行でき、サーバーにログインして、見落としているパッチを検出することもできます。ただし、脆弱性が見つからないからといって、サーバーが正しく構成されているということではありません。Nessus を使用して、コンプライアンス監査と脆弱性スキャンを並行して実行することの利点は、すべてのデータを一度に取得して評価できることです。サーバーがどのように構成されているか、どういった脆弱性が存在するか、およびいかにパッチされているかを把握することは、システムの優先度付けやリスクの軽減に役立ちます。

どのシステムを監査できますか?

Nessus は、以下の Windows およびいくつかの Unix 互換システムで監査を実行できます。

Windows:

• Windows 2008 Server
• Windows 2012 Server
• Windows 2016 Server
• Windows 2019 Server
• Windows 7
• Windows 10

Unix 互換プラットフォーム:

• Solaris
• Linux
• FreeBSD/OpenBSD/NetBSD
• HP/UX
• AIX
• Mac OS X

他のプラットフォーム:

• Cisco
• Palo Alto
• NetApp
• Amazon AWS
• Microsoft Azure
• MS SQL サーバー
• Oracle
• その他多数

どの標準をに対して監査されますか?

Tenable は、SOX、FISMA、HIPAA などの一般的なコンプライアンス要件の多くの側面を考慮しながら、600 以上の監査ポリシーを作成してきました。CIS ベンチマーク、DISA STIG、ベンダー向けガイダンス、および組織が推奨するその他のベストプラクティスに対する認​証済みの監査により、組織の構成状況を包括的に把握することができます。すべての監査ファイルには、NIST、PCI、ISO などの組織からよく知られている規格への包括的なクロスリファレンスが含まれています。

監査ファイルは Tenable の社員が作成し、定期的に更新しています。

コンプライアンスチェックはどの Nessus エディションでも利用できますか?

コンプライアンスチェックは、Nessus Professional でご利用いただけます。Nessus Essentials ではご利用いただけません。

どの Nessus プラットフォームからでもすべてのコンプライアンスチェックを利用できますか?

できます。Nessus がどのオペレーティングシステムで動作しているかは関係ありません。Mac OS X システムから Windows サーバーのコンプライアンス監査を実行したり、Windows システムから Linux サーバーの監査を実行することも可能です。

コンプライアンスチェックはどのように取得すればいいですか?

Tenable Nessus Professional をご利用の場合、Nessus スキャナーには、コンプライアンス監査を実行するために必要なプラグインが既に含まれています。これらを取得するにはプラグインを更新してください。バージョン Nessus v6.x 以降の NessusProfessional をご利用の場合は、Nessus ユーザーインターフェイスにコンプライアンスチェックが表示されます。

Nessus の各リリースにバンドルされている監査ファイルのほか、Tenableダウンロードページからすべてのコンプライアンス監査ポリシーをダウンロードすることが可能です。

コンプライアンスチェックプラグインは有料ですか?

追加料金はありません。コンプライアンスチェックプラグインは Nessus サブスクリプションに含まれています。

コンプライアンスチェックプラグインをセキュリティポリシーに一致させるにはどう構成すればいいですか?

詳細なドキュメントは、弊社ウェブサイトのNessus ドキュメントにて PDF 形式で入手できます。

スキャンを実行するときにコンプライアンスチェックはデフォルトで有効になりますか?

追加料金はありません。コンプライアンスチェックは、スキャンを実行する監査ファイルを手動で選択した後に有効になります。

コンプライアンスチェックを実行しようとすると、「提供された認証情報の権限が不十分であるためリモートホストを監査できません」というエラーメッセージが発生するのはなぜですか?

認証情報への署名に使用されているアカウントには、ローカルマシンポリシーを読み取るアクセス許可が付与されている必要があります。ターゲットホストが Windows ドメインに参加していない場合は、アカウントはホストの管理者グループのメンバーである必要があります。ホストがドメインに参加している場合は、ドメインの管理者グループはホストの管理者グループのメンバーになります。アカウントがドメインの管理者グループのメンバーである場合は、そのアカウントにローカルマシンポリシーへのアクセス権が付与されます。

Tenable プラグインサブスクリプション

Nessus プラグインとは何ですか?

新しい脆弱性に関する情報が見つかると、それらは一般的なパブリックドメインにリリースされ、Tenable の調査スタッフは Nessus がそれらを検出できるようにプログラムを設計します。これらのプログラムは「プラグイン」と呼ばれ、Nessus Attack Scripting Language (NASL) で記述されます。プラグインには、脆弱性情報、修復アクションの一般セット、セキュリティ問題の存在をテストするアルゴリズムが含まれています。プラグインは、セキュリティベストプラクティスに対する構成監査目的で活用するために、認証済みホストから構成情報を取得するためにも利用されます。

どのくらいの数の Nessus プラグインがありますか?

Nessus プラグインで最新情報を参照されてください。プラグインファミリーのリストのほかに、プラグインの総数と対象の CVE が記載されています。

Nessus プラグインにはどのようにアクセスできますか?

Nessus プラグインは Nessus UI で利用できるフィード経由でダウンロードできます。また、Nessus コマンドラインによってオフラインモードでダウンロードすることもできます。その場合、チャレンジコードが発行されるので、https://plugins.nessus.org/offline.phpで入力してください。

Nessus プラグインはどのくらいの頻度で更新されますか?

Nessus プラグインは、ベンダーおよびセキュリティ調査サイトが新しい脆弱性を公開したときに基づいて、日々更新されます。更新はプラグインフィード経由で Nessus で自動的に入手でき、次のスキャンポリシーにロードされます。

新しいアップデートが利用可能になったとき、通常のスキャン間隔の間にこれらのアップデートだけでスキャンできますか?

Nessus は、プラグインがアップデートされる度にオフラインモードで脆弱性評価を自動的に​実行します。ここからスキャンを簡単に実行して脆弱性の存在を検証し、問題の正確な検出と優先順位付けを加速させることができます。

あるバージョンの Nessus を評価しているときにプラグインを使用できますか?

もちろんです! Nessus を評価してプラグインと連携することにご関心がある場合は、評価をダウンロードまたはリクエストしてください。

どのプラグインを本、雑誌、または CD 内で配布できますか?

Tenable プラグインまたは Nessus のコピーを再配布するには、Tenable Network Security から明示的な書面による同意を取得する必要があります。

プラグインの変更を Tenable から Nessus サブスクリプションの一部としてリクエストできますか?

はい。弊社では既存のプラグインを拡張または修復するためのフィードバックをお待ちしています。リクエストは将来のプラグインリリースで検討いたします。