Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable.io FAQ

Tenable.io Vulnerability Managementをお試しください

60秒未満で最初のスキャンを実行できます。

今すぐ試す

全般的な質問

Tenable.io™とは何ですか?

Tenable.ioは、クラウド、コンテナ、ウェブアプリケーションなど、新しい形のIT資産のために設計されたクラウド型脆弱性管理プラットフォームです。

Tenable.ioは、お客様のセキュリティとコンプライアンスの現状を明らかにします。Tenableの先進的なNessus®テクノロジーを基盤として構築されたTenable.ioは、資産ベースの斬新なアプローチでお客様のリソースを正確に追跡すると同時に、クラウドやコンテナなどの動的な資産にも対応できます。最大限の可視性とインサイトを得るために、Tenable.ioはお客様の環境にシームレスに一体化して効率的に脆弱性の優先順位付けを行います。

Tenable.ioは、Tenable.io Vulnerability Management、Tenable.io Web Application Scanning、Tenable.io Container Securityなど、特定のセキュリティニーズに応える各種アプリケーションを提供しています。Tenable.ioのアプリケーションのライセンスは個別に購入できます。前提条件や同時購入要件はありません。

Tenable.ioについて詳しく知るにはどうすればよいですか?

Tenable.ioの詳細については、 Tenable.io製品ページをご覧いただくか今後予定されているウェビナーにご参加ください。または、 Tenable認定パートナーTenable担当者 に詳細をお問い合わせください。

Tenable.ioアプリケーションを評価するにはどうすればよいですか?

Tenable.ioアプリケーションはどのように購入できますか?

お近くのTenable認定パートナーまたはTenable担当者にお問い合わせいただくか、tenable.comからお求めいただけます。

Tenable.ioアプリケーションのライセンスは個別に購入できますか?

はい。 Tenable.ioアプリケーションはすべて個別にライセンスを購入できます。 たとえば、Tenable.io Container SecurityとTenable.io Web Application Scanningのライセンスだけを取得し、Tenable.io Vulnerability Managementのライセンスは購入しないということが可能です。

Tenable.io Vulnerability Managementの価格設定とライセンスについて教えてください。

Tenable.io Vulnerability Managementは年間サブスクリプション形式でライセンス付与されます。また、価格はIPアドレス単位ではなく資産単位で設定されます。そのため、二重にカウントされることなく、お客様はクラウドなどの新たなテクノロジーを利用できます。

価格設定およびライセンスの詳細については、 後述するこちらのセクションを参照してください。

資産とは何ですか?

資産とは、分析対象となり得るエンティティのことです。たとえば、デスクトップパソコン、ノートパソコン、サーバー、ストレージデバイス、ネットワークデバイス、電話、タブレット、仮想マシン、クラウドインスタンス、コンテナなどがあります。

価格設定およびライセンスの詳細については、 後述するこちらのセクションを参照してください。

他のTenable.ioアプリケーションの価格設定とライセンスについて教えてください。

Tenable.io Container SecurityとWeb Application Scanningはどちらも年間サブスクリプション形式でライセンス付与されます。また、価格は資産の数によって決まります。Tenable.io Container Securityの価格は、当該製品で評価する固有のコンテナイメージレイヤーの合計ストレージボリュームによって決まります。Tenable.io Web Application Scanningの価格は、当該製品で評価する完全修飾ドメイン名(FQDN)の合計数によって決まります。

価格設定およびライセンスの詳細については、 後述するこちらのセクションを参照してください。

Tenableは、Tenable.ioにサービス品質保証制度(SLA)を設定していますか?

はい、TenableはTenable.ioの堅牢な サービスレベル契約(SLA)により、脆弱性管理の業界では初めて稼働時間保証を提供しています。Amazon Web Servicesなどの業界をリードするクラウドベンダーのように、SLAを満たさない場合にはサービスクレジットが支給されます。

Tenable.ioの資料はどこにありますか?

Tenable.ioを含むすべてのTenable製品の技術資料はhttps://docs.tenable.com/でご覧いただけます。

クラウドからのスキャンにTenableはどのIPを使用しますか?

既定では、Tenable.ioにはリージョン固有のクラウドスキャナーが設定されます。詳しくは、こちらの 資料をご覧ください。

Tenable.ioのリリースによってSecurityCenter / SecurityCenter CVは影響を受けますか?

いいえ。 SecurityCenter / SecurityCenter CVにも、これらの製品をご利用のお客様にも影響はありません。

SecurityCenterはTenable.ioと併用できますか?

はい。 

SecurityCenter / SecurityCenter CVからTenable.ioに移行できますか?

Yes.  For customers who are interested, there are a range of options to smoothly migrate from SecurityCenter to Tenable.io, with full support from Tenable or your certified partner.  For more information, please contact your Tenable Certified Partner or Tenable representative.

Tenable.io Web Application Scanningとは何ですか?

Tenable.io Web Application Scanningは、最新のウェブアプリケーションのための包括的な脆弱性スキャンを行います。正確な脆弱性カバレッジによって誤検出や検出漏れが最小限に抑えられるので、セキュリティチームはウェブアプリケーションの真のセキュリティリスクを把握できます。

本製品は、実稼働環境のウェブアプリケーションが、HTML5やAJAXのフレームワークで作成されたものであっても、中断したり遅延したりすることがない安全な外部スキャンを実行します。問題が特定されたら、セキュリティチームは脆弱性を評価して対処するために必要な情報を直感的なダッシュボードで確認できます。

Tenable.io Web Application Scanningの詳しい情報や評価版を入手できる場所を教えてください。

Tenable.io Web Application Scanningについて詳しくは、Tenable.io製品ページをご覧ください。tenable.com/try-wasから無償評価版をお申し込みいただくか、Tenable認定パートナーまたは、 Tenable担当者に詳細をお尋ねください。

この製品は、ソースコードのスキャンや静的分析を実行しますか?

いいえ。 Tenable.io Web Application Scanningは、テスト環境または実稼働環境で実行中のウェブアプリケーションを「外部から」テストする動的なアプリケーションセキュリティテスト(DAST)ソリューションです。

Tenable.io Container Securityとは何ですか?

Tenable.io™Container Securityは脆弱性管理プラットフォームに統合される唯一のコンテナセキュリティ製品であり、コンテナイメージを継続的に監視して脆弱性、マルウェア、企業ポリシーコンプライアンスを検出します。コンテナのビルドプロセスにセキュリティをあらかじめ組み込むことで、組織はコンテナに存在する隠れたセキュリティリスクを可視化して、実稼働環境に入り込む前にリスクを解決できるようになります。イノベーションのサイクルを遅らせることはありません。

Tenable.io Container Securityは、FlawCheckテクノロジーに基づいて、コンテナイメージを保管し、ビルドと同時にスキャンします。脆弱性とマルウェアの検出、およびコンテナイメージの継続的な監視を行います。コンテナイメージをビルドするCI/CD(継続的統合および継続的展開)システムにTenable.io Container Securityを統合することで、実稼働環境に展開するすべてのコンテナの安全性と企業ポリシーのコンプライアンスを確保できます。

Tenable.io Container Securityの詳しい情報や評価版を入手できる場所を教えてください。

Tenable.io Container Securityについて詳しくはTenable.io製品ページをご覧ください。 tenable.com/try-container で無償評価版を申し込むか、Tenable認定パートナーまたはTenable担当者に詳細をお尋ねください。

エラスティックな資産のライセンスに関する質問

エラスティック資産ライセンスとは、変化の激しい今日のIT環境に脆弱性管理ライセンスを対応させるために、Tenable.io Vulnerability Management(VM)に組み込まれた革新的なライセンスです。エラスティック資産ライセンスによって、複数のIPアドレスを持つ資産やIPアドレスを変更した資産が二重にカウントされることを防止できます。また、使用しなくなった資産や意図せずスキャンされた資産などを含め、最近スキャンされていない資産のライセンスは自動的に回収されます。

Tenable.io VMのエラスティック資産ライセンスとは何ですか?

エラスティック資産ライセンスは、お客様のネットワークをコスト効率よく保護するために、Tenableとお客様をパートナーとして結び付けるものです。このライセンスには次の特長があります。

  • IPではなく資産:Tenable.io Vulnerability Managementは、IPアドレスだけではなく資産の複数の属性を分析して資産を識別します。弊社の独自のアルゴリズムは、新たに検出された資産を既に検出済みの資産と照合し、二重カウントを防止することにより、より正確な脆弱性レポートを生成します。
  • 最多使用時のライセンスではなくバランスのよいライセンス:Tenable.io Vulnerability Managementは、過去90日間に確認された資産にのみライセンスを割り当てます。使用しなくなった資産や意図せずスキャンされた資産、ほとんど使用されない資産のライセンスは自動的に回収されます。Tenable.io Vulnerability Managementはそうした資産の脆弱性と設定のデータを保持するので、ライセンスの自動回収にデメリットはありません。
  • ロックアウトではなく調整:Tenable.io Vulnerability Managementでは、お客様はライセンスの使用数を監視して調整し、必要に応じて補正することができます。ライセンスを一時的に超過しても自動的に機能がロックアウトされることはありません。

エラスティック資産ライセンスの利点は何ですか?

主要な利点は次のとおりです。

  • 膨大に増えるIPの数ではなく資産の数に基づいて適正な数のライセンスを購入できます。
  • お客様は使用しなくなった資産や意図せずスキャンされた資産からライセンスを回収するという、手間がかかる不正確な作業をする必要がありません。
  • 資産に複数のIPアドレスが存在する場合でも、脆弱性が二重三重にカウントされて、脆弱性管理指標が誤った値になることはありません。

Tenable.io VMユーザーは購入したライセンス数を超える資産をスキャンできますか?

はい、一時的に、ライセンスを購入した資産数を超えてもかまいません。もちろん、ライセンス数の超過が続く場合には補正が必要です。

Tenable.io Vulnerability Managementのライセンスの状況を調べる方法を教えてください。

Tenable.io Vulnerability Managementユーザーインターフェースに、ライセンスを取得済みの資産数と、実際のライセンス使用数の両方が表示されます。

資産とは何ですか?

資産とは、分析対象となり得るエンティティのことです。たとえば、デスクトップパソコン、ノートパソコン、サーバー、ストレージデバイス、ネットワークデバイス、電話、タブレット、VM、ハイパーバイザー、コンテナなどがあります。

Tenable.io VMは資産をどのように識別しますか?

Tenable.io Vulnerability Managementは資産を最初に検出したときに複数のID属性を収集します。たとえば、BIOS UUID、システムのMACアドレス、NetBIOS名、FQDNなど、資産を確実に識別するために使用できる属性です。さらに、認証されたスキャンエージェントとNessusエージェントが、そのデバイスにTenable UUIDを割り当てます。Tenable.io Vulnerability Managementが2回目以降に資産をスキャンするときには、その資産と前回検出した資産を比較します。新たに検出した資産が前回検出した資産と一致しない場合、その資産はTenable.io Vulnerability Managementの資産インベントリに追加されます。

資産とIPの違いは何ですか?

一般的にはIPは資産の特性の1つであり、多くの資産には複数のIPが割り当てられています(DHCPデバイス、有線と無線の両方のインターフェースを装備したシステムなど)。

資産数がIP数よりも少なくなる傾向にあるのはなぜですか?

多くの場合、資産には、複数のネットワークに接続できるように複数のネットワークインターフェースカードが搭載されています。たとえば、ウェブサーバーは一般に実稼働ネットワークと管理ネットワークの両方に接続します。また、多くのノートパソコンには有線と無線の両方のネットワークインターフェースが搭載されています。さらに、ノートパソコンは、場所を移動して新たにIPを取得することがよくあります。あるIPでスキャンされた後に別のIPでスキャンされると、2回カウントされることになります。

資産数の推定方法を教えてください。

Tenable.io VMでは、アクティブとパッシブの両方のセンサーによる検出スキャンを無制限に実行できます。お客様はこれらのスキャンを使用してすべての資産を含む包括的なインベントリを作成し、適切なライセンスサイズを決定することができます。

どのようにして同一資産の多重カウントを防止しているのですか?

Tenable.ioは、適切なライセンスサイズを計算するために、同じ資産が二重三重にカウントされることを防止する多様な方法を実装しています。従来の資産については、Tenable.io VMは当社の独自のアルゴリズムを使用して、新たに検出された資産を既に検出済みの資産と照合することで、多重カウントを防止し、脆弱性レポートの正確性を向上させます。Dockerコンテナについては、Tenable.io Container Securityが、複数のコンテナレジストリにわたって複数回使用されているDockerレイヤーを検知し、ライセンスの計算から除外します。つまり、同じDockerレイヤーを複数のタグ、複数のイメージ、複数のレジストリで使用していても、そのレイヤーが製品ライセンスのコスト計算のためにカウントされるのは1回だけです。

データセキュリティとプライバシーに関する質問

お客様のデータセキュリティとプライバシーはTenableの最重要事項です。金融サービス機関、医療機関、小売業者、教育機関、政府機関などの多数のお客様が、Tenableを信頼して脆弱性データを当社のクラウドプラットフォームに託しています。

データセキュリティとプライバシーには、他社のデータにアクセスすることをお客様に禁止するだけではなく、お客様でない人、ハッカー、有害人物、許可のないTenable担当者がアクセス、開示、コピーすること、およびTenable.ioサービスに保管されているお客様のデータのプライバシーと保護を侵すその他の行為の禁止が含まれています。

またTenableは、Tenable.ioサービスの可用性と信頼性にも注力しています。セキュリティコントロールが十分でないと、お客様のデータが危険にさらされることはなくても、サービスの可用性に影響する問題が生じる可能性があるからです。Tenableは、さまざまな対策を実装、適用して、Tenable.ioの高可用性を確保し、攻撃や単純な障害、停電から保護して、お客様がいつでも使用できるように維持しています。

Tenable.ioは最新のコンテナテクノロジーを使用して、お客様の環境を作成および分離します。お客様のアカウント、脆弱性データ、ユーザー設定はすべて、お客様ごとに割り振られた専用のコンテナの中に格納されます。コンテナに格納されたデータが別のコンテナに流出したり、他のコンテナの内容と混ざることはありません。そのため、すべてのお客様の環境について、プライバシー、セキュリティ、および独立性が保証されます。

Tenable.ioが管理する顧客データを教えてください。

結局のところ、Tenable.ioがお客様のデータを管理する目的は1つです。資産と脆弱性を管理するための卓越したユーザーエクスペリエンスを提供して、環境を保護できるようにすることです。そのために、Tenable.ioは次の3つのカテゴリのお客様データを管理します。

  1. 資産と脆弱性のデータ
  2. 環境のパフォーマンスデータ
  3. お客様の使用状況データ

Tenable.ioが管理する顧客の資産と脆弱性のデータを教えてください。

Tenable.ioはお客様のネットワーク上にある資産のインベントリを作成し、IPアドレス、MACアドレス、NetBIOS名、オペレーティングシステムとバージョン、アクティブポートなどの資産属性を管理します。

Tenable.io資産データ
Tenable.ioが管理する資産データのサンプル

Tenable.ioは脆弱性と構成についての現在および過去の詳細なデータを収集します。たとえば、重大度、悪用の可能性、修復の状態、ネットワークアクティビティなどがあります。また、お客様がTenable.ioデータを資産管理システムやパッチ管理システムなどのサードパーティ製品と統合して拡張した場合は、それらの製品からのデータもTenable.ioで管理できます。

Tenable.io脆弱性データ
Tenable.ioが管理する脆弱性データのサンプル

Tenableは顧客データを分析または使用しますか?

現時点では、Tenableはお客様のデータを一切分析していません。ただし将来的には、業界の傾向、脆弱性の増加と軽減についての傾向、セキュリティイベントの傾向を調査する目的で顧客データを匿名化し、分析する可能性があります。たとえば、脆弱性の存在とその悪用方法の相関関係がわかれば、Tenableのお客様にとって大きなメリットになります。また、高度な分析が可能になり、お客様のデータと業界、セキュリティイベント、傾向の相関関係をよりよく把握できるようになります。さらに、そうしたデータを収集して分析することで、お客様は同業他社や業界全体を基準にしてベースラインを設定することができます。Tenableは、お客様がご希望の場合にはオプトアウトできるようにするつもりです。

収集されるTenable.ioの正常性と状態のデータを教えてください。

Tenable.ioのパフォーマンスと可用性を維持し、可能な限り最高のユーザーエクスペリエンスを提供するために、Tenable.ioはお客様ごとにアプリケーションの状態と正常性に関する情報を収集します。これには、スキャナーとプラットフォームの通信頻度、スキャンされた資産数、展開されたソフトウェアのバージョン、また、潜在的な問題を可能な限り早急に検出して解決するための一般的な遠隔測定データが含まれます。

顧客は正常性と状態のデータ収集をオプトアウトできますか?

Tenableは正常性とステータスのデータを使用して、潜在的な問題を即座に検出して解決します。それにより、SLAコミットメントを維持しています。そのため、お客様がこのデータ収集をオプトアウトすることはできません。

収集されるTenable.ioの使用状況データを教えてください。

ユーザーエクスペリエンスを評価して向上させるために、Tenableはユーザー使用状況データを匿名化して収集します。このデータには、ページアクセス、クリック、およびユーザーエクスペリエンスを合理化して向上させるために役立つその他のユーザーアクティビティが含まれます。

使用状況データの収集はオプトアウトできますか?

はい。お客様は、自分のコンテナをこの収集プロセスから除外するように要求できます。

収集された顧客データはどこにありますか?

Tenableはアマゾンウェブサービス(AWS)のデータセンターとサービスを使用して、Tenable.ioをお客様に提供しています。既定では、Tenableは、お客様に可能な限り最高のエクスペリエンスを提供するために、そのお客様に最も適したリージョンを選択してお客様のコンテナを作成します。現在の場所は次の通りです。

  • 米国東部
  • 米国西部
  • ロンドン
  • フランクフルト
  • シドニー

例外として、展開の前にお客様からAWSの特定のリージョンを要求された場合には、Tenableはそのリージョンでお客様をアクティブにします。

お客様のデータはすべて、リージョン別の安全なAWSサービスに保存されるため、Tenableクラウドには、AWSが保持しているEUデータ保護の認定内容が適用されます。詳細は、 https://aws.amazon.com/compliance/eu-data-protection/でご確認ください。

将来、Tenable.ioのサポート対象国は追加される予定ですか?その場合、その予定を教えてください。

はい。ただし、場所の追加のタイムフレームは未定です。

元のリージョン以外のAWSリージョンにデータを保存することはできますか?

次の状況では、最初のAWSリージョン以外のリージョンにデータを保存できます。

  • Tenable.ioのお客様は、多数のAWSリージョンに提供されているパブリックな共有スキャニングプールを使用して外部スキャンを実行できます。一般に、ターゲットに近いスキャナーを選択したほうがスキャンの速度は向上します。お客様のアカウントがホストされている場所とは別の場所にあるクラウドスキャナーを使用した場合は、スキャンデータが一時的にアカウントのホストの場所ではない場所に存在するので注意してください。ただし、そこに保存されるわけではありません。たとえば、EU / ドイツでホストされているアカウントのユーザーがUS / バージニア北部のスキャナーを使用してスキャンすると、スキャンデータは一時的に米国に存在した後にフランクフルトに保存されます。データの場所が問題になる場合は、外部スキャンにはお客様のリージョンのクラウドスキャナーのみを使用してください。スキャナーはスキャン単位で選択できます。
  • Tenable SecurityCenter®をご利用のお客様のスキャンデータは、インフラストラクチャの一部をTenable.ioでスキャンしている場合であっても、クラウドには保存されません。
  • Nessus Agentのスキャンデータは、Tenable.ioからスキャンを実行した場合はTenable.ioに保存されます。Nessus Managerを使用してエージェントスキャンを実行した場合、そのデータは、エージェントが展開されている場所に関わらず、Tenable.ioには保存されません。

特定の場所/国に強制的にデータを保持することはできますか?

はい。データは、アカウントの作成時に選択した国に保存されます。

Tenable.ioではどのように顧客データを保護していますか?

Tenableはいくつものセキュリティ対策を適用してTenable.ioのデータセキュリティとプライバシーを確保しています。

Tenableでは安全な開発を行うためにどのような方法を取っていますか?

Tenableはいくつもの方法でTenable.ioアプリケーションソフトウェアのセキュリティを確保しています。

Tenableでは次の3つの異なるグループがテストを実行しています。

  • 開発チームがセキュリティテストを実行します。
  • Tenable ITセキュリティチームが、展開の前後にTenable.ioに対して脆弱性テストを実行します(展開後テストはスケジュールを設定せず、他のチームに対して事前に警告もしません)。
  • Tenableが展開前にソースコードと変更内容に関するセキュリティレビューを追加で実行します。

ソフトウェア展開はすべて自動で、ビルドシステムによってのみ実行されます。このビルドシステムは、SSH秘密キーを使用して認証された企業のLDAP資格情報またはAnsibleによって認証されます。すべての展開はログに記録されて追跡されます。(計画された、または計画されていない)展開アクションに関する通知がTenable開発チームに自動的に送信されます。

ソースコードに対するすべての変更が追跡され、変更がインストールされるリリースにリンクされます。この追跡によって、だれがいつ変更したのか、最終的に実稼働環境に展開されたのはいつか、という完全な履歴がすべての変更について維持されます。

各展開は、少なくとも2人のTenableチームメンバーにより承認されます。すべての変更と展開がチームメンバー全員に送信されます。ソフトウェアは最初にテスト環境に展開され、次に「ローリング形式」で一定の時間枠内に実稼働環境インスタンスに展開されます。

どのようなユーザーアプリケーションセキュリティが施されていますか?

  • 許可された安全な方法でTenable.ioを利用できるようにすることが、当社の開発運用チームの最優先事項です。Tenable.ioは、お客様のデータを保護してアクセスを制御するために、いくつものメカニズムを実装しています。ブルートフォース攻撃から保護するために、ログインに5回失敗したらアカウントはロックされます。
  • データ傍受を防止するために、プラットフォームに対するすべての通信をSSL(TLS-1.2)で暗号化します。また、最高レベルの保護を行うために、安全性の低い古いSSLネゴシエーションを拒否します。
  • プラットフォームへのアクセスを保護するために、お客様はTwilio提供のサービスを使用して2要素認証を設定できます。
  • お客様はTenable.ioをSAML展開に統合できます。Tenable.ioはIdPとSPの両方の開始要求をサポートしています。最後に、ユーザーは自分の電子メールアドレスを使用してアプリケーション内でパスワードを直接リセットできます。
  • 多くの場合、当社が作成したAPIまたはSDKの資料を基に、お客様はTenable.ioへのユーザー接続を作成します。権限の付与と制御は、特定のAPI「キー」を作成することで行います。さまざまな統合のためにそれぞれ異なるキーを使用できます。ユーザー資格情報を共有する必要はありません。

顧客データはどのように保護されますか?

Tenableはいくつものセキュリティ対策を適用してTenable.ioのデータセキュリティとプライバシーを確保しています。

データはどのように暗号化されますか?

Tenable.ioプラットフォーム上のすべての州のすべてのデータは、AES-256 以上を使用し、少なくとも1レベルで暗号化されています。

保存時 – データは、少なくとも1レベルのAES-256暗号化を使用し暗号化されたメディアに保存されます。

いくつかのデータクラスには、ファイルごとの第2レベルの暗号化が含まれています。

転送時 – データはTLS v1.2と4096ビットのキー(これには内部転送を含む)を使用したトランスポートで暗号化されます。

Tenable.io センサーコミュニケーション – センサーからプラットフォームへのトラフィックは、常にセンサーから開始され、ポート443による送信に限定されます。トラフィックはTSL 1.2で4096ビットキーを使用するSSL通信によって暗号化されます。そのため、ファイアウォールを変更する必要がなく、お客様がファイアウォールルールを使用して接続を制御することができます。

  • スキャナーとプラットフォームの間の認証
    • プラットフォームは、コンテナに接続するスキャナーごとに256ビット長のランダムキーを生成し、そのキーをリンク作成処理中にスキャナーに渡します。
    • スキャナーはこのキーを使用して、ジョブ、プラグイン更新、スキャナーバイナリの更新を要求するときに、コントローラから認証を受けます。
  • スキャナーとプラットフォームの間のジョブ通信
    • スキャナーがプラットフォームに30秒ごとに接続します。
    • ジョブが存在する場合、プラットフォームが128ビットのランダムキーを生成します。
    • スキャナーがプラットフォームにポリシーを要求します。
    • コントローラがキーを使用してポリシーを暗号化します。ポリシーには、スキャン時に使用する資格情報が含まれています。

バックアップ/レプリケーション – ボリュームスナップショットとデータレプリカは、AES-256以上のソースと同じレベルの暗号化レベルで保存されます。すべてのレプリケーションはプロバイダ経由で行われます。Tenableは物理的にオフサイトのメディアや物理システムにデータをバックアップしません。

インデックス – インデックスデータは、少なくとも1レベルのAES-256暗号化を使用して暗号化されたメディアに保存されます。

スキャン資格情報 – コンテナAES-256グローバルキー内で暗号化されたポリシーの内部に格納されます。スキャンが開始されると、ポリシーは1つのランダム128ビットキーで暗号化され、TLS v1.2を使用して4096ビットのキーで転送されます。

キーマネージメント – キーは中央に格納され、ロールベースのキーで暗号化され、アクセスは制限されます。格納されたすべての暗号化されたデータは、新しいキーに対してローテーションされます。データファイル暗号化キーは、ディスクレベルキーと同様に、各地域サイトごとに異なります。キーの共有は禁止されており、キー管理手順は毎年レビューされます。

自分のキーをアップロードできますか?

お客様はキー管理を設定できません。キーとキーローテーションはTenableが管理します。

Tenableは、Privacy ShieldやCSA STARなどのプライバシーまたはセキュリティに関する認定を既に受けていますか?

Tenable Network Securityは EU-U.S.に準拠します。プライバシーシールド・フレームワークとスイス–米国米国が定めるプライバシーシールド・フレームワーク米国商務省が定める、欧州連合およびスイスから米国へ移管された個人情報の収集、使用および保持に関してTenable Network Securityは、プライバシーシールド原則に基づいて商務省の認定を受けています。プライバシーポリシーとプライバシーシールド原則の間に矛盾がある場合、プライバシーシールド原則が優先されます。プライバシーシールドプログラムの詳細については、https://www.privacyshield.gov/

Tenableは、クラウドセキュリティアライアンス(CSA)STAR自己診断も完了しています。 Tenableは、Tenable.ioの潜在顧客、お客様、パートナーが必要とするであろう、セキュリティに関連する140以上の質問に対してCAIQ(Consensus Assessment Initiative Questionnaire)の回答を提出しています。CSA STARは、クラウドのセキュリティを保証するための業界で最も強力なプログラムです。STAR(Security Trust & Assurance Registry)には、透明性、厳格な監査、標準への準拠(ベストプラクティスの記述、クラウドオファリングのセキュリティ態勢の検証など)といった主要な原則が含まれています。

個人情報(Personally Identifiable Information: PII)はどのように保護されますか?

Tenable.ioプラットフォームは、追加の認定やセキュリティ対策が必要になる形式のPIIデータタイプを収集しないようにあらゆる努力を払っています。これには、クレジットカード番号、社会保障番号、その他のカスタム検査が含まれます。Tenableプラグインが機密情報や個人情報が含まれる可能性がある文字列をキャプチャすると、プラットフォームによってその文字列の50%以上が自動的に不明瞭にされ、機密である可能性があるデータを保護します。

顧客データは分離されますか?

各ユーザーのデータには「コンテナID」が付けられます。コンテナIDは、各お客様のサブスクリプションに対応します。このコンテナIDにより、お客様のデータへのアクセスが当該のお客様のみに確実に制限されます。

Tenable.ioはどのようなセキュリティ制御で保護されていますか?

  • Tenableは毎日、脆弱性スキャンを実行しています。
  • ファイアウォールとネットワークセグメンテーションがアクセスを制御します。
  • 自動化されたツールとプロセスはTenable.ioプラットフォームの稼働時間とパフォーマンスを監視し、異常な動作を検出します。
  • ログを365日24時間常時自動的に監視し、Tenableスタッフが年中無休でイベントに対応します。

Tenable.ioセンサーはどのように保護されていますか?

このプラットフォームに接続するセンサーは、脆弱性と資産の情報を収集し、お客様のセキュリティにおいて重要な役割を果たします。そのデータを保護し、通信経路を安全な状態に保つことが、Tenable.ioのコア機能です。Tenable.ioは現在、Nessus脆弱性センサー、パッシブセンサー、Nessus Agentsをサポートしています。

これらのセンサーは、Tenable.ioへの暗号化された認証とリンクの作成後にTenable.ioプラットフォームに接続します。1回リンクされると、Tenable.ioがすべての更新(プラグイン、コードなど)を管理して、センサーを常に最新の状態に維持します。

センサーからプラットフォームへのトラフィックは、常にセンサーから開始され、ポート443経由らの送信に限定されます。トラフィックはTSL 1.2で4096ビットキーを使用するSSL通信によって暗号化されます。そのため、ファイアウォールを変更する必要がなく、お客様がファイアウォールルールを使用して接続を制御することができます。

  • スキャナーとプラットフォームの間の認証
    • プラットフォームは、コンテナに接続するスキャナーごとに256ビット長のランダムキーを生成し、そのキーをリンク作成処理中にスキャナーに渡します。
    • スキャナーはこのキーを使用して、ジョブ、プラグイン更新、スキャナーバイナリの更新を要求するときに、コントローラから認証を受けます。
  • スキャナーとプラットフォームの間のジョブ通信
    • スキャナーがプラットフォームに30秒ごとに接続します。
    • ジョブが存在する場合、プラットフォームが128ビットのランダムキーを生成します。
    • スキャナーがプラットフォームにポリシーを要求します。
    • コントローラがキーを使用してポリシーを暗号化します。ポリシーには、スキャン時に使用する資格情報が含まれています。

Tenable.ioの可用性はどのように管理されていますか?

Tenable.ioサービスは99.95%以上の稼働時間を実現するように尽力しています。実際、ほとんどのサービスで100%の稼働時間を提供しています。Tenableは、すべてのユーザーにプラットフォームを提供することを保証するための取り組みと、計画外停止が発生した場合のお客様への返金について記述したSLAを公開しています。

「稼働」状態は、サードパーティが実施する公的な可用性テストにより決められます。このテストでは、すべてのサービスの可用性が定期的に検査されます。Tサービスの稼働時間(現在および過去)情報はhttp://uptime.tenable.com/からご覧いただけます。 またこのリンクには日別、月別、四半期別、年別の稼働率も掲載しています。

Tenable.ioではAWSプラットフォームやその他の先進的なテクノロジーを大いに活用して、可能な限り最高のサービスと品質をお客様に提供しています。お客様にとって役立つ展開済みソリューションの一部を以下に記します。

  • ElasticSearchクラスター - Elasticsearchクラスターは可用性が高く、マスターノード、lbノード、1つ以上のデータノードを失っても、サービス可用性に影響を及ぼすことなく回復できます。
  • Elastic Block Stores - 日次のスナップショットを作成し、8個のコピーを保存します。
  • Kafkaエコシステム - KafkaとZookeeperはどちらもクラスター全体のデータをレプリケートし、いずれかのノードで致命的なエラーが発生したときのための耐障害性を提供します。
  • Postgresインスタンス - バックエンドのマクロサービスフレームワークを管理し、30日間分のスナップショットを保持します。

データはどこでレプリケートされますか?

レプリケートされたデータは同じリージョンに保存されます。

どのようなディザスターリカバリー機能を備えていますか?

災害とは、1つ以上のリージョンでデータまたは設備が回復できない程度に失われる事象のことです。

Tenable.ioの災害復旧手順にはいくつかのレベルがあり、5年から50年の間に1回生じる可能性がある状況に対応できるように設計されています。災害の範囲に応じて、復旧手順の所要時間は60分から24時間まで幅があります。

お客様のデータにはだれがアクセスできますか?

データにだれがアクセスできるかは、お客様が制御できます。社員に役割とアクセス許可を割り当てたり、Tenableサポートスタッフに一時的に権限を付与したりできます。

ユーザー役割とアクセス許可はどのように管理されますか?

Tenable.ioのお客様の管理者が、ユーザー役割(基本、標準、管理者、無効)を割り当て、スキャン、ポリシー、スキャナー、エージェント、資産一覧へのアクセスを管理することができます。

Tenableスタッフは顧客のデータにアクセスできますか?

はい。お客様からのアクセス許可がある場合、Tenableのグローバルサポートスタッフのうち、レベル3のメンバーはユーザーアカウントの権限を借用できます。権限を借用すると、Tenable.ioで他のユーザーとしてパスワードなしで操作を実行できます。Tenableサポートスタッフまたはお客様が、この機能をアクティブにするよう要求できます。Tenableサポートスタッフは、アクティブなサポートケースのノートから、権限の借用を「承認」するようお客様に求めます。アクセス許可は、サポートに記録される各問題に対して付与する必要があります。Tenableが権限の借用を無差別に許可することはありません。ユーザーの権限を借用すると、元の場所からデータが移動することがあります。

Tenable.ioの運用スタッフの全員に、第三者による身元調査に合格することを義務付けています。また、上級チームメンバーの全員が、SaaSベースのセキュリティソフトウェア企業で5年以上勤務した経験を持ち、そのうちの多くは、CISSPなどのセキュリティ資格の保持者です。

Tenableには定められた雇用と退職のプロセスがあります。雇用時には従業員全員に秘密保持契約書に署名することを義務付け、退職時にはすぐにすべてのアカウントとアクセスキーを取り消します。

権限の借用機能を使用できるのはだれですか?

権限の借用機能は、Tenableのレベル3のサポートスタッフメンバーのみ使用できます。

権限の借用アクティビティはログに記録されますか?

はい。

Tenableが技術上の問題をトラブルシューティングするときにデータが国外に出ることはありますか?

Tenableはお客様のデータを保護するためにあらゆる努力を払っています。お客様と連携してお客様のポリシーを遵守し、必要なリージョン内にデータをとどめます。一方で、お客様がTenableにレポートをメール送信するなどしてリージョンの外にメールを送信したために、お客様自身がポリシーに違反してしまったというケースがあります。

Tenableサポートスタッフは顧客の内部ネットワークにアクセスできますか?

いいえ。すべてのトラフィックはスキャナーから開始され、送信に制限されます。スキャナーはお客様のファイアウォールの内側にインストールされるので、スキャナーのアクセスはお客様のファイアウォールによって制御できます。

顧客データはTenable.ioにどれくらいの期間保持されますか?

データ保持期間は、さまざまなお客様の要件と規制要件に合わせて設計されます。

アクティブなスキャンデータの保存期間を教えてください。

経時的に進行状況を測定する機能は、Tenable.ioプラットフォームのコア機能の1つです。1年以上についての報告を生成できるように、Tenable.ioはお客様のデータを15カ月間にわたって自動的に保存します。

15カ月を超える保存が必要な場合、Tenable.ioにはデータをダウンロードする方法がいくつか用意されているので、お客様は必要なときに保存することができます。

Tenable.ioサービスの使用を終了した顧客のデータの保存期間を教えてください。

お客様のアカウントの有効期限が切れたり終了したりした場合、Tenableは期限が切れたときの状態のまま、データを180日間保持します。その後、データは削除され、回復できなくなります。

PCI関連のデータの保存期間を教えてください。

PCIコンプライアンス検証プロセスに関連するデータは、PCI標準に規定されているように、PCI準拠認定日以降、最低3年間は削除されません。お客様がスキャンやアカウントを削除したりTenable.ioサービスを終了したりした場合であっても、Tenableはこのようなデータを該当期間にわたって保存します。

Tenable.io使用状況データの保存期間を教えてください。

可能な限り最高のエクスペリエンスを提供するために、お客様のコンテナがアクティブな状態である間はずっと使用状況情報を収集します。お客様がサービスの使用を終了すると、データはその後180日間保存されます。

Tenable.ioはコモンクライテリア認証を受けていますか?

一般に、Common Criteria認定はSaaSソリューションには適用されません。更新頻度が高いため、完了するまでに6カ月から9カ月かかる認定プロセスには合わないからです。

データが保存される国をユーザーが選択することはできますか?

例外的に、展開の前にお客様から特定の地域を要求された場合に限り、Tenableはその場所でお客様をアクティブにします。現在の場所は次の通りです。

  • 米国東部
  • 米国西部
  • ロンドン
  • フランクフルト
  • シドニー

データは特定の国内で複数の場所に存在するのですか?

いいえ。現在、Tenableはデータを別の場所にレプリケートしていません。

PCI ASV

PCI ASVとは?

PCI ASVとは、四半期ごとに外部脆弱性スキャンを実行することを義務付ける、ペイメントカード業界(Payment Card Industry: PCI)のデータセキュリティ基準(Data Security Standard: DSS)の「要件とセキュリティ評価手順」の要件11.2.2のことです。この脆弱性スキャンは認定スキャンベンダー(Approved Scanning Vendor: ASV)による実施(または証明)が必要とされています。ASVとは、PCI DSS要件11.2.2の外部スキャン要件に準拠した検証を行うための一連のサービスとツール(「ASVスキャンソリューション」)を有する組織です。

ASVスキャンの対象となるシステムは?

PCI DSSでは、カード会員のデータ環境に含まれている、スキャンユーザーが所有または使用する外部アクセス可能な(インターネットに接続した)すべてのシステムコンポーネント、およびカード会員のデータ環境につながるすべての外部接続システムコンポーネントの脆弱性スキャンを行うことを義務付けています。

ASVプロセスとは?

ASVスキャンの主要なフェーズは以下によって構成されます。

  • 範囲の設定:お客様が実行します。カード会員のデータ環境に含まれているすべてのインターネット接続システムコンポーネントを対象にします。
  • スキャン:Tenable.io VMの四半期ごとのPCI外部スキャン用のテンプレートを使用します。
  • レポート作成/修正:中間レポートの結果を修正します。
  • 問題点の解決:お客様とASVが共同でスキャン結果の問題を文書化し、解決します。
  • 再スキャン(必要な場合):問題点が解決され、例外が生成される合格スキャンまで行います。
  • 最終レポート作成:安全な形式で送信して配信します。

ASVスキャンが必要とされる頻度は?

ASV脆弱性スキャンは少なくとも四半期ごとに必要です。また、新しいシステムコンポーネントの設置、ネットワークトポロジーの変更、ファイアウォールルールの変更、製品のアップグレードなど、ネットワークが大きく変更した後にも必要です。

認定スキャンベンダー(ASV)と認定セキュリティ評価機関(Qualified Security Assessor: QSA)の違いとは?

ASVは、PCI DSS 11.2に規定された外部脆弱性スキャンを実行することのみに特化しています。QSAは、PCI SSC(Security Standards Council)から認定と教育を受けた、PCI DSSの一般的なオンサイト評価を実行する評価企業です。


Tenable.IO PCI ASVソリューションに関する資格等

TenableはPCI認定のASVですか?

はい。Tenableは、加盟店とサービスプロバイダーのインターネット接続環境(カード会員データの保存、処理、転送に使用される環境)の外部脆弱性スキャンを検証する認定スキャンベンダー(ASV)の資格を有しています。ASV認定プロセスは、3つの部分で構成されています。最初の部分には、ベンダーとしてのTenable Network Securityの認定が関係します。2番目の部分に関係するのは、リモートのPCIスキャンサービスを実行するTenable従業員の認定です。3番目は、Tenableリモートスキャンソリューション(Tenable.io Vulnerability ManagementおよびTenable.io PCI ASV)のセキュリティテストです。

Tenableは認定スキャンベンダー(ASV)として実際にスキャンを実行しますか?

ASVはスキャンを実行できます。ただし、Tenableは、四半期のPCI外部スキャン用のテンプレートを使用してお客様にご自分でスキャンを実行していただくことにしています。このテンプレートは、脆弱性チェックの無効化、重大性レベルの割り当て、スキャンパラメーターの変更などの設定をお客様が変更できないようになっています。お客様が、Tenable.io VMクラウド型スキャナーを利用してインターネット接続環境をスキャンし、準拠しているスキャンレポートをTenableに送信して証明を受けます。Tenableはそのスキャンレポートを証明し、お客様がペイメントブランドで指示されている送信先またはペイメントブランドに送ります。

この新製品と従来の製品との違いは?

新機能または改善された機能には次のものがあります。

  • ユーザーがASV証明プロセスをスキャン/管理/送信/完了できる単一のUI。
  • 複数のユーザーが異議を申請したり、ASV認定をサブミットしたりできる機能。
  • 同一の異議/例外を複数のIPに適用する機能。(資産ごとではなく、プラグインに基づいて異議を作成する機能)
  • 特定のIPに範囲外というマークを付ける機能。
  • 補償コントロールに注釈を付ける機能。

データ主権

Tenable.io PCI ASVはEUのデータ統治要件に準拠していますか?

脆弱性データはEU DPD 95/46/ECデータではないため、データの保管場所に関する要件は規制当局ではなくお客様のニーズによって生じます。EU加盟国政府組織にデータ保管場所に関する独自の要件が存在する可能性がありますが、それらの要件は事例ごとに評価する必要があり、多くの場合PCI-ASVスキャンにとって問題ではありません。


Tenable.io ASVの価格設定/ライセンス/注文

Tenable.io VMにPCI ASVライセンスは含まれていますか?

はい。Tenable.io VMには、単一で一意のPCI資産に対応する1つのPCI ASVライセンスが含まれています。一部の組織は、支払い処理機能を外注するなどして、PCIの対象範囲の資産を限定することに尽力してきました。このようなお客様はほぼ間違いなく「PCIビジネスに無関係」であるため、Tenableは購入とライセンス交付を簡略化しました。お客様は90日ごとに資産を変更できます。

Tenable.io PCI ASVのライセンスの適用方法は?

固有のPCI資産を複数所有しているお客様の場合、Tenable.io PCI ASVソリューションは、Tenable.io Vulnerability Managementサブスクリプションのアドオンとしてライセンス付与されます。

Tenable.io PCI ASVのライセンスが、インターネットに接続した顧客のPCI資産数に応じて適用されないのはなぜですか?

エンティティのカード会員データ環境(cardholder data environment: CDE)内に存在する、またはCDE環境につながるインターネット接続ホスト数は頻繁に変わる可能性があるため、ライセンスの適用方法が複雑になることがあります。Tenableはより簡単なライセンス方式を採用しました。

ユーザーが四半期あたりに送信できる証明の数は?

お客様が四半期あたりにサブミットできる証明の数に制限はありません。

トライアル/評価版のユーザーがTenable.io PCI ASVを評価することはできますか?

はい。評価版のお客様は四半期ごとのPCI外部スキャン用のテンプレートを使用して、資産のスキャン、結果と作成された問題点のレビューを行うことができます。ただし、証明のためにスキャンレポートを送信することはできません。

既存のTenable.io VMユーザーをどのようにして新しい機能に移行する予定ですか?

新しい機能は2017年7月24日に自動的にアクティブになります。そのためお客様は、次回のPCI ASVスキャンで利用できるようになります。既存のお客様は、少なくとも1年間は新たなPCI ASV機能に関してライセンスを取得する必要はありません。

現行のPCI ASV機能のライセンスを保持しているSecurityCenterユーザーを、どのようにして新しい機能に移行する予定ですか?

既に外部スキャンまたはPCIスキャンのライセンスをお持ちのSecurityCenter®ユーザーがTenable.io PCI ASVの使用を開始できるのは、この機能が利用可能になった後です。リニューアル時には、既存のSKUを使用して更新するだけで済みます。ただし、代わりにTenable.io PCI ASVライセンスを取得するほうが便利な場合もあります。

無料でお試し 今すぐ購入

Tenable.io Vulnerability Managementをお試しください

60 日間無料

最新のクラウドベースの脆弱性管理プラットフォームに完全にアクセスし、比類のない正確さですべての資産を表示および追跡することができます。 今すぐご登録ください。60秒以内の最初のスキャンを実行できます。

Tenable.io Vulnerability Managementのご購入

最新のクラウドベースの脆弱性管理プラットフォームに完全にアクセスし、比類のない正確さですべての資産を表示および追跡できます。 年間サブスクリプションを今日お求めください。

65 資産
無料でお試し 今すぐ購入

Nessus Professionalを無料で試す

7日間無料

Nessus®は、今日の市場で最も包括的な脆弱性スキャナです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルの時間を短縮化するため、ITチームに専念できます。

Nessus Professional を購入する

Nessus®は、今日の市場で最も包括的な脆弱性スキャナです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルの時間を短縮化するため、ITチームに専念できます。

1年間、2年間、または3年間のライセンスを今すぐ購入。