Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable.io FAQ

Tenable.io を試す

60秒未満で最初のスキャンを実行できます。

今すぐ試す

全般的な質問

What is Tenable.io®?

Tenable.io is an integral component of the Tenable Cyber Exposure Platform that provides actionable insight into your entire infrastructure’s security risks, allowing you to quickly and accurately identify, investigate, and prioritize vulnerabilities and misconfigurations in your modern IT environment.

Tenable.io brings clarity to your security and compliance posture. Built on the leading Nessus® vulnerability assessment technology from Tenable, Tenable.io delivers a fresh, asset-based approach that accurately tracks your resources, while accommodating dynamic assets like cloud and containers. To maximize visibility and insight, Tenable.io effectively prioritizes your vulnerabilities while seamlessly integrating into your environment.

Besides the vulnerability management capabilities provided in Tenable.io, the Tenable Cyber Exposure Platform offers applications that address additional, specific security needs, including Tenable.io Web Application Scanning and Tenable.io Container Security. These applications can be licensed individually; there are no prerequisites or co-purchase requirements.

Tenable.ioについて詳しく知るにはどうすればよいですか?

Tenable.ioの詳細については、 Tenable.io製品ページをご覧いただくか今後予定されているウェビナーにご参加ください。または、 Tenable認定パートナーTenable担当者 に詳細をお問い合わせください。

Tenable.ioアプリケーションを評価するにはどうすればよいですか?

Please register for a free evaluation of Tenable.io by visiting http://www.tenable.com/try

Tenable.ioアプリケーションはどのように購入できますか?

お近くのTenable認定パートナーまたはTenable担当者にお問い合わせいただくか、tenable.comからお求めいただけます。

Can I license Tenable applications individually?

Yes. Tenable applications can all be licensed individually. For example, Tenable.io Container Security and Tenable.io Web Application Scanning can be licensed on their own, without the vulnerability management capabilities of Tenable.io.

How is Tenable.io priced and licensed?

Tenable.io is licensed by annual subscription and priced by asset, rather than by IP address. This enables customers to embrace new technologies like cloud without fear of double-counting.

価格設定およびライセンスの詳細については、 下記ののセクションを参照してください。

資産とは何ですか?

資産とは、分析対象となり得るエンティティのことです。たとえば、デスクトップパソコン、ノートパソコン、サーバー、ストレージデバイス、ネットワークデバイス、電話、タブレット、仮想マシン、クラウドインスタンス、コンテナなどがあります。

価格設定およびライセンスの詳細については、 下記ののセクションを参照してください。

他のTenable.ioアプリケーションの価格設定とライセンスについて教えてください。

Tenable.io Container SecurityとWeb Application Scanningはどちらも年間サブスクリプション形式でライセンス付与されます。また、価格は資産の数によって決まります。Tenable.io Container Securityの価格は、当該製品で評価する固有のコンテナイメージレイヤーの合計ストレージボリュームによって決まります。Tenable.io Web Application Scanningの価格は、当該製品で評価する完全修飾ドメイン名(FQDN)の合計数によって決まります。

価格設定およびライセンスの詳細については、 下記ののセクションを参照してください。

Tenableは、Tenable.ioにサービス品質保証制度(SLA)を設定していますか?

はい、TenableはTenable.ioの堅牢な サービスレベル契約(SLA)により、脆弱性管理の業界では初めて稼働時間保証を提供しています。Amazon Web Servicesなどの業界をリードするクラウドベンダーのように、SLAを満たさない場合にはサービスクレジットが提供されます。

Tenable.ioの資料はどこにありますか?

Tenable.ioを含むすべてのTenable製品の技術資料はhttps://docs.tenable.com/でご覧いただけます。

クラウドからのスキャンにTenableはどのIPを使用しますか?

既定では、Tenable.ioにはリージョン固有のクラウドスキャナーが設定されます。詳しくは、こちらの 資料をご覧ください。

Does the release of Tenable.io impact Tenable.sc?

No. There is no impact on Tenable.sc or our customers who use these products. Tenable.io is our cloud-based Cyber Exposure platform, while Tenable.sc is our Cyber Exposure platform for customers who prefer an on-prem solution.

Can I use both Tenable.sc and Tenable.io?

Yes. You can use both solutions, and we expect many Tenable.sc customers will be interested in using Tenable.io Web Application Scanning, Tenable.io PCI/ASV, and/or Tenable.io Container Security alongside Tenable.sc.

Can I migrate from Tenable.sc to Tenable.io?

Yes. For customers who are interested, there are a range of options to smoothly migrate from Tenable.sc to Tenable.io, with full support from Tenable or your certified partner. For more information, please contact your Tenable Certified Partner or Tenable representative.

Tenable.io Web Application Scanningとは何ですか?

Tenable.io Web Application Scanningは、最新のウェブアプリケーションのための包括的な脆弱性スキャンを行います。正確な脆弱性カバレッジによって誤検出や検出漏れが最小限に抑えられるので、セキュリティチームはウェブアプリケーションの真のセキュリティリスクを把握できます。

本製品は、実稼働環境のウェブアプリケーションが、HTML5やAJAXのフレームワークで作成されたものであっても、中断したり遅延したりすることがない安全な外部スキャンを実行します。問題が特定されたら、セキュリティチームは脆弱性を評価して対処するために必要な情報を直感的なダッシュボードで確認できます。

Tenable.io Web Application Scanningの詳しい情報や評価版を入手できる場所を教えてください。

Tenable.io Web Application Scanningについて詳しくは、Tenable.io製品ページをご覧ください。tenable.com/try-wasから無償評価版をお申し込みいただくか、Tenable認定パートナーまたは、 Tenable担当者に詳細をお尋ねください。

この製品は、ソースコードのスキャンや静的分析を実行しますか?

いいえ。 Tenable.io Web Application Scanningは、テスト環境または実稼働環境で実行中のウェブアプリケーションを「外部から」テストする動的なアプリケーションセキュリティテスト(DAST)ソリューションです。

Tenable.io Container Securityとは何ですか?

As the only container security offering integrated into a vulnerability management platform, Tenable.io Container Security continuously monitors container images for vulnerabilities, malware and enterprise policy compliance. By bringing security into the container build process up front, organizations can gain visibility into the hidden security risks present in containers and remediate them before they reach production, without slowing innovation cycles.

Tenable.io Container Securityは、FlawCheckテクノロジーに基づいて、コンテナイメージを保管し、ビルドと同時にスキャンします。脆弱性とマルウェアの検出、およびコンテナイメージの継続的な監視を行います。コンテナイメージをビルドするCI/CD(継続的統合および継続的展開)システムにTenable.io Container Securityを統合することで、実稼働環境に展開するすべてのコンテナの安全性と企業ポリシーのコンプライアンスを確保できます。

Tenable.io Container Securityの詳しい情報や評価版を入手できる場所を教えてください。

Tenable.io Container Securityについて詳しくはTenable.io製品ページをご覧ください。 tenable.com/try-container で無償評価版を申し込むか、Tenable認定パートナーまたはTenable担当者に詳細をお尋ねください。

Tenable.io 内の 認証情報の集中管理 (CCM) とは何ですか? その利点は?

認証情報を集中管理することで、認証情報を別個に作成してスキャンに適用できます。Tenable.io は従来、認証情報をスキャンポリシーに関連付けてきました。新しいスキャンが作成されるたびに、対象資産の認証情報を入力する必要がありました。同じ資産に対して複数のスキャンを行う場合は、認証情報を複数回入力する必要がありました。認証情報が変更されると、対象の資産に対して行うスキャンごとに変更を行う必要がありました。

認証情報の集中管理には複数の利点があります:

  • 認証情報を作成する役割とそれらをスキャンで使用できる役割を分離できます。
  • 組織内の認証情報管理者とスキャン管理者が別の人物であるときに特に問題となる認証情報の再入力を必要とせず、再利用できます。
  • 一度認証情報を更新すれば、その認証情報が使用されるすべてのスキャンに更新が反映されます (1 対多の関係)。

Tenable.io 内のアクセスグループとは何ですか? その利点は?

企業のお客様は、アクセスグループを利用して資産を組織内部構造に沿った論理グループにセグメント化できるため、ユーザーが割り当てられたセグメント内の資産のみを管理できるようにすることができます。

アクセスグループには以下の利点があります:

  • AWS によって監視/評価される環境のより効率的かつ詳細な管理サポートおよび資産の区分化。
  • FQDN および IP アドレスを使用した、定義済みルールに基づく企業全体におけるより効率的かつ詳細な管理サポートおよび資産の区分化(例: 事業部門単位)。
  • 公開済み API を使用して資産を一括でインポートしてそれらを手動で区分化する機能に基づいた管理の簡素化。
  • 最新の UI フレームワークに基づく直観的で使いやすい UI を使用した、アクセスグループの管理の簡素化。

エラスティックな資産のライセンスに関する質問

Elastic Asset Licensing, built into Tenable.io, is an innovation that aligns vulnerability management licensing with today’s elastic IT environments. Elastic Asset Licensing avoids double counting assets that have multiple and/or changing IP addresses. Additionally, it automatically reclaims licenses from assets that have not been recently scanned, including retired assets and assets that may have been inadvertently scanned.

What is Tenable.io Elastic Asset Licensing?

エラスティック資産ライセンスは、お客様のネットワークをコスト効率よく保護するために、Tenableとお客様をパートナーとして結び付けるものです。このライセンスには次の特長があります。

  • Assets, not IPs: Tenable.io analyzes multiple asset attributes, not just IP addresses, to identify an asset. A proprietary algorithm matches newly discovered assets with already discovered assets to eliminate double-counting and ensure more accurate vulnerability reporting.
  • Balanced, not high-water licensing: Tenable.io allocates licenses only to assets that have been seen in the previous 90 days. It automatically reclaims licenses for assets that have been decommissioned, scanned inadvertently or are active infrequently. Tenable.io retains the vulnerability and configuration data from those assets so there is no downside to automated license reclamation.
  • True-up, not lock-out: Tenable.io enables customers to monitor and adjust license consumption and then true up when necessary. It does not automatically lock out functionality if the license is temporarily exceeded.

エラスティック資産ライセンスの利点は何ですか?

主要な利点は次のとおりです。

  • 膨大に増えるIPの数ではなく資産の数に基づいて適正な数のライセンスを購入できます。
  • お客様は使用しなくなった資産や意図せずスキャンされた資産からライセンスを回収するという、手間がかかる不正確な作業をする必要がありません。
  • 資産に複数のIPアドレスが存在する場合でも、脆弱性が二重三重にカウントされて、脆弱性管理指標が誤った値になることはありません。

Can Tenable.io customers scan more assets than licensed?

はい、一時的に、ライセンスを購入した資産数を超えてもかまいません。もちろん、ライセンス数の超過が続く場合には補正が必要です。

How can Tenable.io customers determine license status?

The Tenable.io user interface displays both the licensed number of assets and the actual license usage.

資産とは何ですか?

資産とは、分析対象となり得るエンティティのことです。たとえば、デスクトップパソコン、ノートパソコン、サーバー、ストレージデバイス、ネットワークデバイス、電話、タブレット、VM、ハイパーバイザー、コンテナなどがあります。

How does Tenable.io identify an asset?

When Tenable.io first discovers an asset, it gathers multiple identification attributes, which may include a BIOS UUID, the system’s MAC Address, NetBIOS name, FQDN, and/or other attributes that can be used to reliably identify an asset. Additionally, authenticated scanning and Nessus agents assign a Tenable UUID to the device. When Tenable.io subsequently scans an asset, it compares it to previously discovered assets. If the newly discovered asset does not match a previously discovered asset, the asset is added to the Tenable.io asset inventory.

資産とIPの違いは何ですか?

一般的にはIPは資産の特性の1つであり、多くの資産には複数のIPが割り当てられています(DHCPデバイス、有線と無線の両方のインターフェースを装備したシステムなど)。

資産数がIP数よりも少なくなる傾向にあるのはなぜですか?

多くの場合、資産には、複数のネットワークに接続できるように複数のネットワークインターフェースカードが搭載されています。たとえば、ウェブサーバーは一般に実稼働ネットワークと管理ネットワークの両方に接続します。また、多くのノートパソコンには有線と無線の両方のネットワークインターフェースが搭載されています。さらに、ノートパソコンは、場所を移動して新たにIPを取得することがよくあります。あるIPでスキャンされた後に別のIPでスキャンされると、2回カウントされることになります。

資産数の推定方法を教えてください。

Tenable.io supports unlimited discovery scans using both active and passive sensors. Customers can use these scans to comprehensively inventory all of their assets and determine the appropriate license size.

どのようにして同一資産の多重カウントを防止しているのですか?

Tenable.io supports a variety of methodologies to avoid double- or triple- counting the same asset for calculating the appropriate licensing size. With traditional assets, Tenable.io uses proprietary algorithm that matches newly discovered assets with already discovered assets to eliminate duplicates and ensure more accurate vulnerability reporting. With Docker containers, Tenable.io Container Security identifies Docker layers used multiple times across your container registries and removes them in the licensing calculation. In other words, when a Docker layer is used in multiple tags, in multiple images or in multiple registries, that layer is only counted once toward the cost of a product license.

データセキュリティとプライバシーに関する質問

お客様のデータセキュリティとプライバシーはTenableの最重要事項です。金融サービス機関、医療機関、小売業者、教育機関、政府機関などの多数のお客様が、Tenableを信頼して脆弱性データを当社のクラウドプラットフォームに託しています。

データセキュリティとプライバシーには、他社のデータにアクセスすることをお客様に禁止するだけではなく、お客様でない人、ハッカー、有害人物、許可のないTenable担当者がアクセス、開示、コピーすること、およびTenable.ioサービスに保管されているお客様のデータのプライバシーと保護を侵すその他の行為の禁止が含まれています。

またTenableは、Tenable.ioサービスの可用性と信頼性にも注力しています。セキュリティコントロールが十分でないと、お客様のデータが危険にさらされることはなくても、サービスの可用性に影響する問題が生じる可能性があるからです。Tenableは、さまざまな対策を実装、適用して、Tenable.ioの高可用性を確保し、攻撃や単純な障害、停電から保護して、お客様がいつでも使用できるように維持しています。

Tenable.ioは最新のコンテナテクノロジーを使用して、お客様の環境を作成および分離します。お客様のアカウント、脆弱性データ、ユーザー設定はすべて、お客様ごとに割り振られた専用のコンテナの中に格納されます。コンテナに格納されたデータが別のコンテナに流出したり、他のコンテナの内容と混ざることはありません。そのため、すべてのお客様の環境について、プライバシー、セキュリティ、および独立性が保証されます。

Tenable.ioが管理する顧客データを教えてください。

結局のところ、Tenable.ioがお客様のデータを管理する目的は1つです。資産と脆弱性を管理するための卓越したユーザーエクスペリエンスを提供して、環境を保護できるようにすることです。そのために、Tenable.ioは次の3つのカテゴリのお客様データを管理します。

  1. 資産と脆弱性のデータ
  2. 環境のパフォーマンスデータ
  3. お客様の使用状況データ

Tenable.ioが管理する顧客の資産と脆弱性のデータを教えてください。

Tenable.ioはお客様のネットワーク上にある資産のインベントリを作成し、IPアドレス、MACアドレス、NetBIOS名、オペレーティングシステムとバージョン、アクティブポートなどの資産属性を管理します。

Tenable.io資産データ
Tenable.ioが管理する資産データのサンプル

Tenable.ioは脆弱性と構成についての現在および過去の詳細なデータを収集します。たとえば、重大度、悪用の可能性、修復の状態、ネットワークアクティビティなどがあります。また、お客様がTenable.ioデータを資産管理システムやパッチ管理システムなどのサードパーティ製品と統合して拡張した場合は、それらの製品からのデータもTenable.ioで管理できます。

Tenable.io脆弱性データ
Tenable.ioが管理する脆弱性データのサンプル

Tenableは顧客データを分析または使用しますか?

現時点では、Tenableはお客様のデータを一切分析していません。ただし将来的には、業界の傾向、脆弱性の増加と軽減についての傾向、セキュリティイベントの傾向を調査する目的で顧客データを匿名化し、分析する可能性があります。たとえば、脆弱性の存在とその悪用方法の相関関係がわかれば、Tenableのお客様にとって大きなメリットになります。また、高度な分析が可能になり、お客様のデータと業界、セキュリティイベント、傾向の相関関係をよりよく把握できるようになります。さらに、そうしたデータを収集して分析することで、お客様は同業他社や業界全体を基準にしてベースラインを設定することができます。Tenableは、お客様がご希望の場合にはオプトアウトできるようにするつもりです。

収集されるTenable.ioの正常性と状態のデータを教えてください。

Tenable.ioのパフォーマンスと可用性を維持し、可能な限り最高のユーザーエクスペリエンスを提供するために、Tenable.ioはお客様ごとにアプリケーションの状態と正常性に関する情報を収集します。これには、スキャナーとプラットフォームの通信頻度、スキャンされた資産数、展開されたソフトウェアのバージョン、また、潜在的な問題を可能な限り早急に検出して解決するための一般的な遠隔測定データが含まれます。

顧客は正常性と状態のデータ収集をオプトアウトできますか?

Tenableは正常性とステータスのデータを使用して、潜在的な問題を即座に検出して解決します。それにより、SLAコミットメントを維持しています。そのため、お客様がこのデータ収集をオプトアウトすることはできません。

収集されるTenable.ioの使用状況データを教えてください。

ユーザーエクスペリエンスを評価して向上させるために、Tenableはユーザー使用状況データを匿名化して収集します。このデータには、ページアクセス、クリック、およびユーザーエクスペリエンスを合理化して向上させるために役立つその他のユーザーアクティビティが含まれます。

使用状況データの収集はオプトアウトできますか?

はい。お客様は、コンテナをこの収集プロセスから除外するように要求できます。

収集された顧客データはどこにありますか?

Tenableはアマゾンウェブサービス(AWS)のデータセンターとサービスを使用して、Tenable.ioをお客様に提供しています。既定では、Tenableは、お客様に可能な限り最高のエクスペリエンスを提供するために、そのお客様に最も適したリージョンを選択してお客様のコンテナを作成します。現在の場所は次の通りです。

  • 米国東部
  • 米国西部
  • U.S Central
  • ロンドン
  • フランクフルト
  • シドニー
  • シンガポール

例外として、展開の前にお客様からAWSの特定のリージョンを要求された場合には、Tenableはそのリージョンでお客様をアクティブにします。

お客様のデータはすべて、リージョン別の安全なAWSサービスに保存されるため、Tenableクラウドには、AWSが保持しているEUデータ保護の認定内容が適用されます。詳細は、https://aws.amazon.com/compliance/eu-data-protection/でご確認ください。

将来、Tenable.ioのサポート対象国は追加される予定ですか?その場合、その予定を教えてください。

はい。ただし、追加の時期は未定です。

元のリージョン以外のAWSリージョンにデータを保存することはできますか?

次の状況では、最初のAWSリージョン以外のリージョンにデータを保存できます。

  • Tenable.ioのお客様は、多数のAWSリージョンに提供されているパブリックな共有スキャニングプールを使用して外部スキャンを実行できます。一般に、ターゲットに近いスキャナーを選択したほうがスキャンの速度は向上します。お客様のアカウントがホストされている場所とは別の場所にあるクラウドスキャナーを使用した場合は、スキャンデータが一時的にアカウントのホストの場所ではない場所に存在するので注意してください。ただし、そこに保存されるわけではありません。たとえば、EU / ドイツでホストされているアカウントのユーザーがUS / バージニア北部のスキャナーを使用してスキャンすると、スキャンデータは一時的に米国に存在した後にフランクフルトに保存されます。データの場所が問題になる場合は、外部スキャンにはお客様のリージョンのクラウドスキャナーのみを使用してください。スキャナーはスキャン単位で選択できます。
  • If a customer is using Tenable.sc, their scan data is not stored in the cloud, even if they are using Tenable.io to scan part of their entire infrastructure.
  • Nessus Agentのスキャンデータは、Tenable.ioからスキャンを実行した場合はTenable.ioに保存されます。Nessus Managerを使用してエージェントスキャンを実行した場合、そのデータは、エージェントが展開されている場所に関わらず、Tenable.ioには保存されません。

特定の場所/国に強制的にデータを保持することはできますか?

はい。データは、アカウントの作成時に選択した国に保存されます。

Tenable.ioではどのように顧客データを保護していますか?

Tenableはいくつものセキュリティ対策を適用してTenable.ioのデータセキュリティとプライバシーを確保しています。

Tenableでは安全な開発を行うためにどのような方法を取っていますか?

Tenableはいくつもの方法でTenable.ioアプリケーションソフトウェアのセキュリティを確保しています。

Tenableでは次の3つの異なるグループがテストを実行しています。

  • 開発チームがセキュリティテストを実行します。
  • Tenable ITセキュリティチームが、展開の前後にTenable.ioに対して脆弱性テストを実行します(展開後テストはスケジュールを設定せず、他のチームに対して事前に警告もしません)。
  • Tenableが展開前にソースコードと変更内容に関するセキュリティレビューを追加で実行します。

ソフトウェア展開はすべて自動で、ビルドシステムによってのみ実行されます。このビルドシステムは、SSH秘密キーを使用して認証された企業のLDAP資格情報またはAnsibleによって認証されます。すべての展開はログに記録されて追跡されます。(計画された、または計画されていない)展開アクションに関する通知がTenable開発チームに自動的に送信されます。

ソースコードに対するすべての変更が追跡され、変更がインストールされるリリースにリンクされます。この追跡によって、だれがいつ変更したのか、最終的に実稼働環境に展開されたのはいつか、という完全な履歴がすべての変更について維持されます。

各展開は、少なくとも2人のTenableチームメンバーにより承認されます。すべての変更と展開がチームメンバー全員に送信されます。ソフトウェアは最初にテスト環境に展開され、次に「ローリング形式」で一定の時間枠内に実稼働環境インスタンスに展開されます。

どのようなユーザーアプリケーションセキュリティが施されていますか?

  • 許可された安全な方法でTenable.ioを利用できるようにすることが、当社の開発運用チームの最優先事項です。Tenable.ioは、お客様のデータを保護してアクセスを制御するために、いくつものメカニズムを実装しています。ブルートフォース攻撃から保護するために、ログインに5回失敗したらアカウントはロックされます。
  • データ傍受を防止するために、プラットフォームに対するすべての通信をSSL(TLS-1.2)で暗号化します。また、最高レベルの保護を行うために、安全性の低い古いSSLネゴシエーションを拒否します。
  • プラットフォームへのアクセスを保護するために、お客様はTwilio提供のサービスを使用して2要素認証を設定できます。
  • お客様はTenable.ioをSAML展開に統合できます。Tenable.ioはIdPとSPの両方の開始要求をサポートしています。最後に、ユーザーは自分の電子メールアドレスを使用してアプリケーション内でパスワードを直接リセットできます。
  • 多くの場合、当社が作成したAPIまたはSDKの資料を基に、お客様はTenable.ioへのユーザー接続を作成します。権限の付与と制御は、特定のAPI「キー」を作成することで行います。さまざまな統合のためにそれぞれ異なるキーを使用できます。ユーザー資格情報を共有する必要はありません。

顧客データはどのように保護されますか?

Tenableはいくつものセキュリティ対策を適用してTenable.ioのデータセキュリティとプライバシーを確保しています。

データはどのように暗号化されますか?

Tenable.ioプラットフォーム上のすべての州のすべてのデータは、AES-256 以上を使用し、少なくとも1レベルで暗号化されています。

保存時 – データは、少なくとも1レベルのAES-256暗号化を使用し暗号化されたメディアに保存されます。

いくつかのデータクラスには、ファイルごとの第2レベルの暗号化が含まれています。

転送時 – データはTLS v1.2と4096ビットのキー(これには内部転送を含む)を使用した転送により暗号化されます。

Tenable.io センサーコミュニケーション – センサーからプラットフォームへのトラフィックは、常にセンサーから開始され、ポート443による送信に限定されます。トラフィックはTSL 1.2で4096ビットキーを使用するSSL通信によって暗号化されます。そのため、ファイアウォールを変更する必要がなく、お客様がファイアウォールルールを使用して接続を制御することができます。

  • スキャナーとプラットフォームの間の認証
    • プラットフォームは、コンテナに接続するスキャナーごとに256ビット長のランダムキーを生成し、そのキーをリンク作成処理中にスキャナーに渡します。
    • スキャナーはこのキーを使用して、ジョブ、プラグイン更新、スキャナーバイナリの更新を要求するときに、コントローラから認証を受けます。
  • スキャナーとプラットフォームの間のジョブ通信
    • スキャナーがプラットフォームに30秒ごとに接続します。
    • ジョブが存在する場合、プラットフォームが128ビットのランダムキーを生成します。
    • スキャナーがプラットフォームにポリシーを要求します。
    • コントローラがキーを使用してポリシーを暗号化します。ポリシーには、スキャン時に使用する資格情報が含まれています。

バックアップ/レプリケーション – ボリュームスナップショットとデータレプリカは、AES-256以上のソースと同じレベルの暗号化レベルで保存されます。すべてのレプリケーションはプロバイダ経由で行われます。Tenableは物理的にオフサイトのメディアや物理システムにデータをバックアップしません。

インデックス – インデックスデータは、少なくとも1レベルのAES-256暗号化を使用して暗号化されたメディアに保存されます。

スキャン資格情報 – コンテナAES-256グローバルキー内で暗号化されたポリシーの内部に格納されます。スキャンが開始されると、ポリシーは1つのランダム128ビットキーで暗号化され、TLS v1.2を使用して4096ビットのキーで転送されます。

キーマネージメント – キーは中央に格納され、ロールベースのキーで暗号化され、アクセスは制限されます。格納されたすべての暗号化されたデータは、新しいキーに対してローテーションされます。データファイル暗号化キーは、ディスクレベルキーと同様に、各地域サイトごとに異なります。キーの共有は禁止されており、キー管理手順は毎年レビューされます。

自分のキーをアップロードできますか?

お客様はキー管理を設定できません。キーとキーローテーションはTenableが管理します。

Tenableは、Privacy ShieldやCSA STARなどのプライバシーまたはセキュリティに関する認定を既に受けていますか?

Tenable Network Securityは EU-U.S.に準拠します。プライバシーシールド・フレームワークとスイス–米国米国が定めるプライバシーシールド・フレームワーク米国商務省が定める、欧州連合およびスイスから米国へ移管された個人情報の収集、使用および保持に関してTenable Network Securityは、プライバシーシールド原則に基づいて商務省の認定を受けています。プライバシーポリシーとプライバシーシールド原則の間に矛盾がある場合、プライバシーシールド原則が優先されます。プライバシーシールドプログラムの詳細については、https://www.privacyshield.gov/

Tenableは、クラウドセキュリティアライアンス(CSA)STAR自己診断も完了しています。 Tenableは、Tenable.ioの潜在顧客、お客様、パートナーが必要とするであろう、セキュリティに関連する140以上の質問に対してCAIQ(Consensus Assessment Initiative Questionnaire)の回答を提出しています。CSA STARは、クラウドのセキュリティを保証するための業界で最も強力なプログラムです。STAR(Security Trust & Assurance Registry)には、透明性、厳格な監査、標準への準拠(ベストプラクティスの記述、クラウドオファリングのセキュリティ態勢の検証など)といった主要な原則が含まれています。

個人情報(Personally Identifiable Information: PII)はどのように保護されますか?

Tenable.ioプラットフォームは、追加の認定やセキュリティ対策が必要になる形式のPIIデータタイプを収集しないようにあらゆる努力を払っています。これには、クレジットカード番号、社会保障番号、その他のカスタム検査が含まれます。Tenableプラグインが機密情報や個人情報が含まれる可能性がある文字列をキャプチャすると、プラットフォームによってその文字列の50%以上が自動的に不明瞭にされ、機密である可能性があるデータを保護します。

顧客データは分離されますか?

各ユーザーのデータには「コンテナID」が付けられます。コンテナIDは、各お客様のサブスクリプションに対応します。このコンテナIDにより、お客様のデータへのアクセスが当該のお客様のみに確実に制限されます。

Tenable.ioはどのようなセキュリティ制御で保護されていますか?

  • Tenableは毎日、脆弱性スキャンを実行しています。
  • ファイアウォールとネットワークセグメンテーションがアクセスを制御します。
  • 自動化されたツールとプロセスはTenable.ioプラットフォームの稼働時間とパフォーマンスを監視し、異常な動作を検出します。
  • ログを365日24時間常時自動的に監視し、Tenableスタッフが年中無休でイベントに対応します。

Tenable.ioセンサーはどのように保護されていますか?

このプラットフォームに接続するセンサーは、脆弱性と資産の情報を収集し、お客様のセキュリティにおいて重要な役割を果たします。そのデータを保護し、通信経路を安全な状態に保つことが、Tenable.ioのコア機能です。Tenable.ioは現在、Nessus脆弱性センサー、パッシブセンサー、Nessus Agentsをサポートしています。

これらのセンサーは、Tenable.ioへの暗号化された認証とリンクの作成後にTenable.ioプラットフォームに接続します。1回リンクされると、Tenable.ioがすべての更新(プラグイン、コードなど)を管理して、センサーを常に最新の状態に維持します。

センサーからプラットフォームへのトラフィックは、常にセンサーから開始され、ポート443経由らの送信に限定されます。トラフィックはTSL 1.2で4096ビットキーを使用するSSL通信によって暗号化されます。そのため、ファイアウォールを変更する必要がなく、お客様がファイアウォールルールを使用して接続を制御することができます。

  • スキャナーとプラットフォームの間の認証
    • プラットフォームは、コンテナに接続するスキャナーごとに256ビット長のランダムキーを生成し、そのキーをリンク作成処理中にスキャナーに渡します。
    • スキャナーはこのキーを使用して、ジョブ、プラグイン更新、スキャナーバイナリの更新を要求するときに、コントローラから認証を受けます。
  • スキャナーとプラットフォームの間のジョブ通信
    • スキャナーがプラットフォームに30秒ごとに接続します。
    • ジョブが存在する場合、プラットフォームが128ビットのランダムキーを生成します。
    • スキャナーがプラットフォームにポリシーを要求します。
    • コントローラがキーを使用してポリシーを暗号化します。ポリシーには、スキャン時に使用する資格情報が含まれています。

Tenable.ioの可用性はどのように管理されていますか?

Tenable.ioサービスは99.95%以上の稼働時間を実現するように尽力しています。実際、ほとんどのサービスで100%の稼働時間を提供しています。Tenableは、すべてのユーザーにプラットフォームを提供することを保証するための取り組みと、計画外停止が発生した場合のお客様への返金について記述したSLAを公開しています。

「稼働」状態は、サードパーティが実施する公的な可用性テストにより決められます。このテストでは、すべてのサービスの可用性が定期的に検査されます。Tサービスの稼働時間(現在および過去)情報はhttp://uptime.tenable.com/からご覧いただけます。 またこのリンクには日別、月別、四半期別、年別の稼働率も掲載しています。

Tenable.ioではAWSプラットフォームやその他の先進的なテクノロジーを大いに活用して、可能な限り最高のサービスと品質をお客様に提供しています。お客様にとって役立つ展開済みソリューションの一部を以下に記します。

  • ElasticSearchクラスター - Elasticsearchクラスターは可用性が高く、マスターノード、lbノード、1つ以上のデータノードを失っても、サービス可用性に影響を及ぼすことなく回復できます。
  • Elastic Block Stores - 日次のスナップショットを作成し、8個のコピーを保存します。
  • Kafkaエコシステム - KafkaとZookeeperはどちらもクラスター全体のデータをレプリケートし、いずれかのノードで致命的なエラーが発生したときのための耐障害性を提供します。
  • Postgresインスタンス - バックエンドのマクロサービスフレームワークを管理し、30日間分のスナップショットを保持します。

データはどこでレプリケートされますか?

レプリケートされたデータは同じリージョンに保存されます。

どのようなディザスターリカバリー機能を備えていますか?

災害とは、1つ以上のリージョンでデータまたは設備が回復できない程度に失われる事象のことです。

Tenable.ioの災害復旧手順にはいくつかのレベルがあり、5年から50年の間に1回生じる可能性がある状況に対応できるように設計されています。災害の範囲に応じて、復旧手順の所要時間は60分から24時間まで幅があります。

お客様のデータにはだれがアクセスできますか?

データにだれがアクセスできるかは、お客様が制御できます。社員に役割とアクセス許可を割り当てたり、Tenableサポートスタッフに一時的に権限を付与したりできます。

ユーザー役割とアクセス許可はどのように管理されますか?

Tenable.ioのお客様の管理者が、ユーザー役割(基本、標準、管理者、無効)を割り当て、スキャン、ポリシー、スキャナー、エージェント、資産一覧へのアクセスを管理することができます。

Tenableスタッフは顧客のデータにアクセスできますか?

はい。お客様からのアクセス許可がある場合、Tenableのグローバルサポートスタッフのうち、レベル3のメンバーはユーザーアカウントの権限を借用できます。権限を借用すると、Tenable.ioで他のユーザーとしてパスワードなしで操作を実行できます。Tenableサポートスタッフまたはお客様が、この機能をアクティブにするよう要求できます。Tenableサポートスタッフは、アクティブなサポートケースのノートから、権限の借用を「承認」するようお客様に求めます。アクセス許可は、サポートに記録される各問題に対して付与する必要があります。Tenableが権限の借用を無差別に許可することはありません。ユーザーの権限を借用すると、元の場所からデータが移動することがあります。

Tenable.ioの運用スタッフの全員に、第三者による身元調査に合格することを義務付けています。また、上級チームメンバーの全員が、SaaSベースのセキュリティソフトウェア企業で5年以上勤務した経験を持ち、そのうちの多くは、CISSPなどのセキュリティ資格の保持者です。

Tenableには定められた雇用と退職のプロセスがあります。雇用時には従業員全員に秘密保持契約書に署名することを義務付け、退職時にはすぐにすべてのアカウントとアクセスキーを取り消します。

権限の借用機能を使用できるのはだれですか?

権限の借用機能は、Tenableのレベル3のサポートスタッフメンバーのみ使用できます。

権限の借用アクティビティはログに記録されますか?

はい。

Tenableが技術上の問題をトラブルシューティングするときにデータが国外に出ることはありますか?

Tenableはお客様のデータを保護するためにあらゆる努力を払っています。お客様と連携してお客様のポリシーを遵守し、必要なリージョン内にデータをとどめます。一方で、お客様がTenableにレポートをメール送信するなどしてリージョンの外にメールを送信したために、お客様自身がポリシーに違反してしまったというケースがあります。

Tenableサポートスタッフは顧客の内部ネットワークにアクセスできますか?

いいえ。すべてのトラフィックはスキャナーから開始され、送信に制限されます。スキャナーはお客様のファイアウォールの内側にインストールされるので、スキャナーのアクセスはお客様のファイアウォールによって制御できます。

顧客データはTenable.ioにどれくらいの期間保持されますか?

データ保持期間は、さまざまなお客様の要件と規制要件に合わせて設計されます。

アクティブなスキャンデータの保存期間を教えてください。

経時的に進行状況を測定する機能は、Tenable.ioプラットフォームのコア機能の1つです。1年以上についての報告を生成できるように、Tenable.ioはお客様のデータを15カ月間にわたって自動的に保存します。

15カ月を超える保存が必要な場合、Tenable.ioにはデータをダウンロードする方法がいくつか用意されているので、お客様は必要なときに保存することができます。

Tenable.ioサービスの使用を終了した顧客のデータの保存期間を教えてください。

お客様のアカウントの有効期限が切れたり終了したりした場合、Tenableは期限が切れたときの状態のまま、データを180日間保持します。その後、データは削除され、回復できなくなります。

PCI関連のデータの保存期間を教えてください。

PCIコンプライアンス検証プロセスに関連するデータは、PCI標準に規定されているように、PCI準拠認定日以降、最低3年間は削除されません。お客様がスキャンやアカウントを削除したりTenable.ioサービスを終了したりした場合であっても、Tenableはこのようなデータを該当期間にわたって保存します。

Tenable.io使用状況データの保存期間を教えてください。

可能な限り最高のエクスペリエンスを提供するために、お客様のコンテナがアクティブな状態である間はずっと使用状況情報を収集します。お客様がサービスの使用を終了すると、データはその後180日間保存されます。

Tenable.ioはコモンクライテリア認証を受けていますか?

一般に、Common Criteria認定はSaaSソリューションには適用されません。更新頻度が高いため、完了するまでに6カ月から9カ月かかる認定プロセスには合わないからです。

データが保存される国をユーザーが選択することはできますか?

例外的に、展開の前にお客様から特定の地域を要求された場合に限り、Tenableはその場所でお客様をアクティブにします。現在の場所は次の通りです。

  • 米国東部
  • 米国西部
  • U.S Central
  • ロンドン
  • フランクフルト
  • シドニー
  • シンガポール

データは特定の国内で複数の場所に存在するのですか?

いいえ。現在、Tenableはデータを別の場所にレプリケートしていません。

PCI ASV

PCI ASVとは?

PCI ASVとは、四半期ごとに外部脆弱性スキャンを実行することを義務付ける、ペイメントカード業界(Payment Card Industry: PCI)のデータセキュリティ基準(Data Security Standard: DSS)の「要件とセキュリティ評価手順」の要件11.2.2のことです。この脆弱性スキャンは認定スキャンベンダー(Approved Scanning Vendor: ASV)による実施(または証明)が必要とされています。ASVとは、PCI DSS要件11.2.2の外部スキャン要件に準拠した検証を行うための一連のサービスとツール(「ASVスキャンソリューション」)を有する組織です。

ASVスキャンの対象となるシステムは?

PCI DSSでは、カード会員のデータ環境に含まれている、スキャンユーザーが所有または使用する外部アクセス可能な(インターネットに接続した)すべてのシステムコンポーネント、およびカード会員のデータ環境につながるすべての外部接続システムコンポーネントの脆弱性スキャンを行うことを義務付けています。

ASVプロセスとは?

ASVスキャンの主要なフェーズは以下によって構成されます。

  • 範囲の設定:お客様が実行します。カード会員のデータ環境に含まれているすべてのインターネット接続システムコンポーネントを対象にします。
  • Scanning: using the Tenable.io PCI Quarterly External Scan template
  • レポート作成/修正:中間レポートの結果を修正します。
  • 問題点の解決:お客様とASVが共同でスキャン結果の問題を文書化し、解決します。
  • 再スキャン(必要な場合):問題点が解決され、例外が生成される合格スキャンまで行います。
  • 最終レポート作成:安全な形式で送信して配信します。

ASVスキャンが必要とされる頻度は?

ASV脆弱性スキャンは少なくとも四半期ごとに必要です。また、新しいシステムコンポーネントの設置、ネットワークトポロジーの変更、ファイアウォールルールの変更、製品のアップグレードなど、ネットワークが大きく変更した後にも必要です。

認定スキャンベンダー(ASV)と認定セキュリティ評価機関(Qualified Security Assessor: QSA)の違いとは?

ASVは、PCI DSS 11.2に規定された外部脆弱性スキャンを実行することのみに特化しています。QSAは、PCI SSC(Security Standards Council)から認定と教育を受けた、PCI DSSの一般的なオンサイト評価を実行する評価企業です。


Tenable.IO PCI ASVソリューションに関する資格等

TenableはPCI認定のASVですか?

Yes. Tenable is qualified as an Approved Scanning Vendor (ASV) to validate external vulnerability scans of internet facing environments (used to store, process, or transmit cardholder data) of merchants and service providers. The ASV qualification process consists of three parts: the first involves the qualification of Tenable Network Security as a vendor. The second relates to the qualification of Tenable employees responsible for the remote PCI Scanning Services. The third consists of the security testing of the Tenable remote scanning solution (Tenable.io and Tenable.io PCI ASV).

Tenableは認定スキャンベンダー(ASV)として実際にスキャンを実行しますか?

ASVs may perform the scans. However, Tenable relies on customers to conduct their own scans using the PCI Quarterly External Scan template. This template prevents customers from changing configuration settings, such as disabling vulnerability checks, assigning severity levels, altering scan paraments, etc.. Customers use Tenable.io cloud-based scanners to scan their internet facing environments and then submit compliant scan reports to Tenable for attestation. Tenable attests the scan reports, and then the customer submits them to their acquirers or payment brands as directed by the payment brands.

この新製品と従来の製品との違いは?

新機能または改善された機能には次のものがあります。

  • ユーザーがASV証明プロセスをスキャン/管理/送信/完了できる単一のUI。
  • 複数のユーザーが異議を申請したり、ASV認定を受けるために提出できる機能。
  • 同一の異議/例外を複数のIPに適用する機能。(資産ごとではなく、プラグインに基づいて異議を作成する機能)
  • 特定のIPに範囲外というマークを付ける機能。
  • 相殺策に注釈を付ける機能。

データ主権

Tenable.io PCI ASVはEUのデータ統治要件に準拠していますか?

脆弱性データはEU DPD 95/46/ECデータではないため、データの保管場所に関する要件は規制当局ではなくお客様のニーズによって生じます。EU加盟国政府組織にデータ保管場所に関する独自の要件が存在する可能性がありますが、それらの要件は事例ごとに評価する必要があり、多くの場合PCI-ASVスキャンにとって問題ではありません。


Tenable.io ASVの価格設定/ライセンス/注文

Does Tenable.io include any PCI ASV licenses?

Yes, Tenable.io includes a PCI ASV license for a single, unique PCI asset. Some organizations have taken great pains to limit the assets in scope for PCI, often by outsourcing payment processing functions. Because these customers are arguably "not in the PCI business", Tenable has simplified their purchasing and licensing. A customer can change their asset every 90 days.

Tenable.io PCI ASVのライセンスの適用方法は?

For customers having more than a single, unique PCI asset, the Tenable.io PCI ASV solution is licensed as an add-on to Tenable.io subscriptions.

Tenable.io PCI ASVのライセンスが、インターネットに接続した顧客のPCI資産数に応じて適用されないのはなぜですか?

エンティティのカード会員データ環境(cardholder data environment: CDE)内に存在する、またはCDE環境につながるインターネット接続ホスト数は頻繁に変わる可能性があるため、ライセンスの適用方法が複雑になることがあります。Tenableはより簡単なライセンス方式を採用しました。

ユーザーが四半期あたりに送信できる証明の数は?

お客様が四半期あたりに提出できる証明の数に制限はありません。

トライアル/評価版のユーザーがTenable.io PCI ASVを評価することはできますか?

はい。評価版のお客様は四半期ごとのPCI外部スキャン用のテンプレートを使用して、資産のスキャン、結果と作成された問題点のレビューを行うことができます。ただし、証明のためにスキャンレポートを送信することはできません。

How will existing Tenable.io customers transition to the new capability?

新しい機能は2017年7月24日に自動的にアクティブになります。そのためお客様は、次回のPCI ASVスキャンで利用できるようになります。既存のお客様は、少なくとも1年間は新たなPCI ASV機能に関してライセンスを取得する必要はありません。

How will Tenable.sc customers that have licensed the current PCI ASV capability transition to the new capability?

Tenable.sc customers that have already licensed External/PCI Scanning will start using Tenable.io PCI ASV after it becomes available. At renewal, those customers can simply renew using their existing SKUs. However, it may be to their advantage to license Tenable.io PCI ASV instead.

無料でお試し 今すぐ購入

Tenable.io を試す

60 日間無料

最新のクラウドベースの脆弱性管理プラットフォームに完全にアクセスし、比類のない正確さですべての資産を表示および追跡することができます。 今すぐご登録ください。60秒以内の最初のスキャンを実行できます。

Tenable.io を購入

最新のクラウドベースの脆弱性管理プラットフォームに完全にアクセスし、比類のない正確さですべての資産を表示および追跡できます。 年間サブスクリプションを今日お求めください。

65 資産

$2,190.00

今すぐ購入

無料でお試し 今すぐ購入

Nessus Professionalを無料で試す

7日間無料

Nessus®は、今日の市場で最も包括的な脆弱性スキャナです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルの時間を短縮化するため、ITチームに専念できます。

Nessus Professional を購入する

Nessus®は、今日の市場で最も包括的な脆弱性スキャナです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルの時間を短縮化するため、ITチームに専念できます。

複数年ライセンスを購入して節約しましょう

無料でお試し 今すぐ購入

Tenable.io Web Application Scanningをお試しください

60 日間無料

Tenable.ioプラットフォームの一部として、現代のアプリケーション用に設計された最新のWebアプリケーションスキャンサービスに完全にアクセスできます。手作業による手間や重大なWebアプリケーションの中断をせずに、脆弱性のオンラインポートフォリオを安全に高精度で安全にスキャンします。 今すぐお申し込みください。60秒以内に最初のスキャンを実行できます。

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームに完全にアクセスし、比類のない正確さですべての資産を表示および追跡できます。 年間サブスクリプションを今日お求めください。

5 FQDNs

$3,578.00

今すぐ購入

無料でお試しください セールスにご連絡ください

Tenable.io Container Securityを試す

60 日間無料

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品への完全なアクセスをお楽しみください。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視します。継続的インテグレーションと継続的デプロイメント(CI / CD)システムと統合し、DevOpsプラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポートします。

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスとの統合により、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Industrial Securityについて