Facebook Google+ Twitter LinkedIn YouTube RSS メニュー 検索 リソース - ブログリソース - ウェビナーリソース - レポートリソース - イベントicons_066 cyberexposure-icon-warning icons_068icons_069icons_070

Tenable.ioよくある質問

Tenable.ioのVulnerability Managementをお試しください

60秒未満で最初のスキャンを実行できます。

今すぐ試す

全般的な質問

Tenable.io™とは何ですか?

Tenable.ioは、クラウド、コンテナ、ウェブアプリケーションなど、新しい形のIT資産のために設計されたクラウド型脆弱性管理プラットフォームです。

Tenable.ioは、お客様のセキュリティとコンプライアンスの現状を明らかにします。Tenableの先進的なNessus®テクノロジーを基盤として構築されたTenable.ioは、資産ベースの斬新なアプローチでお客様のリソースを正確に追跡すると同時に、クラウドやコンテナなどの動的な資産にも対応できます。Tenable.ioは、最大限の可視性と知見を得るために、お客様の環境とシームレスに一体化して効率的に脆弱性の優先順位付けを行います。

Tenable.ioは、Tenable.io Vulnerability Management、Tenable.io Web Application Scanning、Tenable.io Container Securityなど、特定のセキュリティニーズに応える各種アプリケーションを提供しています。  Tenable.ioのアプリケーションのライセンスは個別に購入できます。前提条件や同時購入要件はありません。

Tenable.ioについて詳しく知るにはどうすればよいですか?

Tenable.ioの詳細情報については、Tenable.io製品ページをご覧いただくか今後予定されているウェビナーにご参加ください。または、Tenable認定パートナーTenable担当者に詳細をお問い合わせください。

Tenable.ioアプリケーションを評価するにはどうすればよいですか?

http://www.tenable.com/how-to-buyをご覧いただき、Tenable.ioの無償評価版をお申し込みください。

Tenable.ioアプリケーションはどのように購入できますか?

お近くのTenable認定パートナーまたはTenable担当者にお問い合わせいただくか、tenable.comからお求めいただけます。

Tenable.ioアプリケーションのライセンスは個別に購入できますか?

はい。  Tenable.ioアプリケーションはすべて個別にライセンスを購入できます。  たとえば、Tenable.io Container SecurityとTenable.io Web Application Scanningのライセンスだけを取得し、Tenable.io Vulnerability Managementのライセンスは購入しないということが可能です。

Tenable.io Vulnerability Managementの価格設定とライセンスについて教えてください。

Tenable.io Vulnerability Managementのライセンスは年間サブスクリプション形式で適用されます。また、価格はIPアドレス単位ではなく資産単位で設定されます。そのため、お客様はクラウドなどの新たなテクノロジーを二重にカウントされることなく利用できます。

価格設定とライセンスについて詳しくは、後述するこちらのセクションをご覧ください。

資産とは何ですか?

資産とは、分析できるエンティティのことです。たとえば、デスクトップパソコン、ノートパソコン、サーバー、ストレージデバイス、ネットワークデバイス、電話、タブレット、仮想マシン、クラウドインスタンス、コンテナなどがあります。

価格設定とライセンスについて詳しくは、後述するこちらのセクションをご覧ください。

他のTenable.ioアプリケーションの価格設定とライセンスについて教えてください。

Tenable.io Container SecurityとWeb Application Scanningのライセンスはどちらも年間サブスクリプション形式で適用されます。また、価格は資産の数によって決まります。Tenable.io Container Securityの価格は、本製品で評価する固有のコンテナイメージレイヤーの合計ストレージボリュームによって決まります。Tenable.io Web Application Scanningの価格は、本製品で評価する完全修飾ドメイン名(FQDN)の合計数によって決まります。

価格設定とライセンスについて詳しくは、後述するこちらのセクションをご覧ください。

Tenableは、Tenable.ioのサービスレベルアグリーメント(SLA)を設定していますか?

はい。Tenableは、Tenable.ioに厳しいサービスレベルアグリーメント(SLA)を設定し、脆弱性管理業界では初めて稼働時間保証を提供しています。アマゾンウェブサービスなどの大手クラウドベンダーと同様に、SLAを満たさない場合にはサービスクレジットを提供いたします。

Tenable.ioの資料はどこにありますか?

Tenable.ioを含むすべてのTenable製品の技術資料はhttps://docs.tenable.com/からご覧いただけます。

クラウドからのスキャンにTenableはどのIPを使用しますか?

既定では、Tenable.ioにはリージョン固有のクラウドスキャナーが設定されます。詳しくは、こちらの資料をご覧ください。

Tenable.ioのリリースによってSecurityCenter / SecurityCenter CVは影響を受けますか?

いいえ。  SecurityCenter / SecurityCenter CVにも、これらの製品をご利用のお客様にも影響はありません。  Tenable.ioは当社の革新的なクラウド型脆弱性管理ソリューションですが、SecurityCenterもまた当社が精力的に開発を続けている製品です。

SecurityCenterはTenable.ioと併用できますか?

はい。  両方のソリューションを同時に使用できます。SecurityCenter / SecurityCenter CVをご利用のお客様の多くが、SecurityCenterと一緒にTenable.io Web Application Scanning、Tenable.io PCI/ASV、Tenable.io Container Securityを使用することに関心を持ってくださるものと期待しています。

SecurityCenter / SecurityCenter CVからTenable.ioに移行できますか?

はい。  移行に関心をお持ちのお客様のために、Tenableまたは認定パートナーのフルサポートの下でSecurityCenterからTenable.ioにスムーズに移行できる多様なオプションを用意しています。  詳しくは、Tenable認定パートナーまたはTenable担当者にお尋ねください。

Tenable.io Web Application Scanningとは何ですか?

Tenable.io Web Application Scanningは、最新のウェブアプリケーションのための包括的な脆弱性スキャンを行います。正確な脆弱性カバレッジによって誤検出や検出漏れが最小限に抑えられるので、セキュリティチームはウェブアプリケーションの真のセキュリティリスクを把握できます。

本製品は、実稼働環境のウェブアプリケーションが、HTML5やAJAXのフレームワークで作成されたものであっても、中断したり遅延したりすることがない安全な外部スキャンを実行します。問題が検出されたら、セキュリティチームは脆弱性を評価して対処するために必要な情報を直感的なダッシュボードで確認できます。

Tenable.io Web Application Scanningの詳しい情報や評価版を入手できる場所を教えてください。

Tenable.io Web Application Scanningについて詳しくは、Tenable.io製品ページをご覧ください。tenable.com/try-wasから無償評価版をお申し込みいただくか、Tenable認定パートナーまたはTenable担当者に詳細をお尋ねください。

この製品は、ソースコードのスキャンや静的分析を実行しますか?

いいえ。  Tenable.io Web Application Scanningは、テスト環境または実稼働環境で実行中のウェブアプリケーションを「外部から」テストする動的なアプリケーションセキュリティテスト(DAST)ソリューションです。

Tenable.io Container Securityとは何ですか?

Tenable.io™Container Securityは脆弱性管理プラットフォームに統合される唯一のコンテナセキュリティ製品であり、コンテナイメージを継続的に監視して脆弱性、マルウェア、企業ポリシーコンプライアンスを検出します。  コンテナのビルドプロセスに事前にセキュリティを組み込むことで、組織はコンテナに存在する隠れたセキュリティリスクを可視化して、実稼働環境に入り込む前にリスクを解決できるようになります。迅速なイノベーションの妨げになることはありません。

Tenable.io Container Securityは、FlawCheckテクノロジーに基づいて、コンテナイメージを保管し、ビルド時にスキャンします。脆弱性とマルウェアの検出、およびコンテナイメージの継続的な監視を行います。コンテナイメージをビルドするCI/CD(継続的統合および継続的展開)システムにTenable.io Container Securityを統合することで、実稼働環境に展開するすべてのコンテナのセキュリティと企業ポリシーコンプライアンスを確保できます。

Tenable.io Container Securityの詳しい情報や評価版を入手できる場所を教えてください。

Tenable.io Container Securityについて詳しくは、Tenable.io製品ページをご覧ください。tenable.com/try-containerで無償評価版を申し込むか、Tenable認定パートナーまたはTenable担当者に詳細をお尋ねください。

エラスティック資産ライセンスに関する質問

エラスティック資産ライセンスとは、変化の激しい今日のIT環境に脆弱性管理ライセンスを対応させるために、Tenable.io Vulnerability Management(VM)に組み込まれた革新的なライセンスです。エラスティック資産ライセンスによって、複数のIPアドレスを持つ資産やIPアドレスを変更した資産が二重にカウントされることを防止できます。また、使用しなくなった資産や意図せずスキャンされた資産などを含め、最近スキャンされていない資産のライセンスは自動的に回収されます。

Tenable.io VMのエラスティック資産ライセンスとは何ですか?

エラスティック資産ライセンスは、お客様のネットワークをコスト効率よく保護するために、Tenableとお客様をパートナーとして結び付けるものです。このライセンスには次の特長があります。

  • IPではなく資産:Tenable.io Vulnerability Managementは、IPアドレスだけではなく資産の複数の属性を分析して資産を識別します。弊社の独自のアルゴリズムは、新たに検出された資産を既に検出済みの資産と照合し、二重カウントを防止することにより、より正確な脆弱性レポートを生成します。
  • 最多使用時のライセンスではなくバランスのよいライセンス:Tenable.io Vulnerability Managementは、過去90日間に確認された資産にのみライセンスを割り当てます。使用しなくなった資産や意図せずスキャンされた資産、ほとんど使用されない資産のライセンスは自動的に回収されます。Tenable.io Vulnerability Managementはそうした資産の脆弱性と設定のデータを保持するので、ライセンスの自動回収にデメリットはありません。
  • ロックアウトではなく調整:Tenable.io Vulnerability Managementでは、お客様はライセンスの使用数を監視して調整し、必要に応じて補正することができます。ライセンスを一時的に超過しても自動的に機能がロックアウトされることはありません。

エラスティック資産ライセンスの利点は何ですか?

主要な利点は次のとおりです。

  • 膨大に増えるIPの数ではなく資産の数に基づいて適正な数のライセンスを購入できます。
  • お客様は使用しなくなった資産や意図せずスキャンされた資産からライセンスを回収するという、手間がかかる不正確な作業をする必要がありません。
  • 資産に複数のIPアドレスが存在する場合でも、脆弱性が二重三重にカウントされて、脆弱性管理指標が誤った値になることはありません。

Tenable.io VMユーザーは購入したライセンス数を超える資産をスキャンできますか?

はい、一時的に、ライセンスを購入した資産数を超えてもかまいません。もちろん、ライセンス数の超過が続く場合には補正が必要です。

Tenable.io Vulnerability Managementのライセンスの状況を調べる方法を教えてください。

Tenable.io Vulnerability Managementユーザーインターフェースに、ライセンスを取得済みの資産数と、実際のライセンス使用数の両方が表示されます。

資産とは何ですか?

資産とは、分析できるエンティティのことです。たとえば、デスクトップパソコン、ノートパソコン、サーバー、ストレージデバイス、ネットワークデバイス、電話、タブレット、VM、ハイパーバイザー、コンテナなどがあります。

Tenable.io VMは資産をどのように識別しますか?

Tenable.io Vulnerability Managementは資産を最初に検出したときに複数の識別属性を収集します。たとえば、BIOS UUID、システムのMACアドレス、NetBIOS名、FQDNなど、資産を確実に識別するために使用できる属性を収集します。さらに、認証されたスキャニングエージェントとNessusエージェントが、そのデバイスにTenable UUIDを割り当てます。Tenable.io Vulnerability Managementが2回目以降に資産をスキャンするときには、その資産と前に検出した資産を比較します。新たに検出した資産が前に検出した資産と一致しない場合、その資産はTenable.io Vulnerability Managementの資産インベントリに追加されます。

資産とIPの違いは何ですか?

一般的にはIPは資産の特性の1つであり、多くの資産には複数のIPが割り当てられています(DHCPデバイス、有線と無線の両方のインターフェースを装備したシステムなど)。

資産数がIP数よりも少なくなる傾向にあるのはなぜですか?

多くの場合、資産には、複数のネットワークに接続できるように複数のネットワークインターフェースカードが搭載されています。たとえば、Webサーバーは一般に実稼働ネットワークと管理ネットワークの両方に接続します。また、多くのノートパソコンには有線と無線の両方のネットワークインターフェースが搭載されています。さらに、ノートパソコンは、場所を移動して新たにIPを取得することがよくあります。あるIPでスキャンされた後に別のIPでスキャンされると、2回カウントされることになります。

資産数の推定方法を教えてください。

Tenable.io VMでは、アクティブとパッシブの両方のセンサーによる検出スキャンを無制限に実行できます。お客様はこれらのスキャンを使用してすべての資産を含む包括的な目録を作成し、適切なライセンスサイズを決定することができます。

どのようにして同一資産の多重カウントを防止しているのですか?

Tenable.ioは、適切なライセンスサイズを計算するために、同じ資産が二重三重にカウントされることを防止する多様な方法を実装しています。従来の資産については、Tenable.io VMは当社の独自のアルゴリズムを使用して、新たに検出された資産を既に検出済みの資産と照合することで、多重カウントを防止し、脆弱性レポートの正確性を向上させます。Dockerコンテナについては、Tenable.io Container Securityが、複数のコンテナレジストリにわたって複数回使用されているDockerレイヤーを検知し、ライセンスの計算から除外します。つまり、同じDockerレイヤーを複数のタグ、複数のイメージ、複数のレジストリで使用していても、そのレイヤーが製品ライセンスのコスト計算のためにカウントされるのは1回だけです。

データセキュリティとプライバシーに関する質問

お客様のデータセキュリティとプライバシーはTenableの最重要事項です。金融サービス提供機関、医療提供機関、小売業者、教育機関、政府機関などの多数のお客様が、Tenableを信頼して脆弱性データを当社のクラウドプラットフォームに託しています。

データセキュリティとプライバシーとは、他者のデータにアクセスすることをお客様に禁止するだけではなく、お客様でない人、ハッカー、有害人物、許可されていないTenable担当者がアクセス、開示、コピー、その他、Tenable.ioサービスに保存されている顧客データのプライバシーと保護を侵す行為を禁止することです。

またTenableは、Tenable.ioサービスの可用性と信頼性にも注力しています。セキュリティ制御が十分でないと、お客様のデータにはリスクはありませんが、サービスの可用性に影響する問題が生じる可能性があるからです。Tenableは、さまざまな対策を実装、適用して、Tenable.ioの高可用性を確保し、攻撃や単純な障害、停電から保護して、お客様がいつでも使用できるように維持しています。

Tenable.ioは最新のコンテナテクノロジーを使用して、お客様の環境を作成および分離します。お客様のアカウント、脆弱性データ、ユーザー設定はすべて、お客様ごとに割り振られた専用のコンテナの中に格納されます。コンテナに格納されたデータが別のコンテナにリークしたり、他のコンテナの内容と混ざったりすることはありません。そのため、すべてのお客様の環境について、プライバシー、セキュリティ、および独立性が保証されます。

Tenable.ioが管理する顧客データを教えてください。

結局のところ、Tenable.ioがお客様のデータを管理する目的は1つです。資産と脆弱性を管理するための卓越したユーザーエクスペリエンスを提供して、お客様が環境を保護できるようにすることです。そのために、Tenable.ioは次の3つのカテゴリのお客様データを管理します。

  1. 資産と脆弱性のデータ
  2. 環境のパフォーマンスデータ
  3. お客様の使用状況データ

Tenable.ioが管理する顧客の資産と脆弱性のデータを教えてください。

Tenable.ioはお客様のネットワーク上にある資産の目録を作成し、IPアドレス、MACアドレス、NetBIOS名、オペレーティングシステムとバージョン、アクティブポートなどの資産属性を管理します。

Tenable.io資産データ
Tenable.ioが管理する資産データのサンプル

Tenable.ioは脆弱性と設定についての現在および過去の詳細なデータを収集します。たとえば、重大度、悪用の可能性、修復の状態、ネットワークアクティビティなどのデータが収集されます。また、お客様がTenable.ioデータを資産管理システムやパッチ管理システムなどのサードパーティ製品と統合して拡張した場合は、それらの製品からのデータもTenable.ioで管理できます。

Tenable.io脆弱性データ
Tenable.ioが管理する脆弱性データのサンプル

Tenableは顧客データを分析または使用しますか?

現時点では、Tenableはお客様のデータを一切分析していません。ただし将来的には、業界の傾向、脆弱性の増加と軽減についての傾向、セキュリティイベントの傾向を調査する目的で顧客データを匿名化し、分析する可能性があります。たとえば、脆弱性の存在とその悪用方法の相関関係がわかれば、Tenableのお客様にとって大きなメリットになります。また、高度な分析が可能になり、お客様のデータと業界、セキュリティイベント、傾向の相関関係をよりよく把握できるようになります。さらに、そうしたデータを収集して分析することで、お客様は業界他者や業界全体を基準にしてベースラインを設定することができます。Tenableは、お客様がご希望の場合にはオプトアウトできるようにするつもりです。

収集されるTenable.ioの正常性と状態のデータを教えてください。

Tenable.ioのパフォーマンスと可用性を維持し、可能な限り最高のユーザーエクスペリエンスを提供するために、Tenable.ioはお客様ごとにアプリケーションの状態と正常性に関する情報を収集します。これには、スキャナーとプラットフォームの通信頻度、スキャンされた資産数、展開されたソフトウェアのバージョン、また、潜在的な問題を可能な限り早急に検出して解決するための一般的な遠隔測定データが含まれます。

顧客は正常性と状態のデータ収集をオプトアウトできますか?

Tenableは正常性と状態のデータを使用して、潜在的な問題を即座に検出して解決します。それにより、SLAコミットメントを維持しています。そのため、お客様がデータ収集をオプトアウトすることはできません。

収集されるTenable.ioの使用状況データを教えてください。

ユーザーエクスペリエンスを評価して向上させるために、Tenableはユーザー使用状況データを匿名化して収集します。このデータには、ページアクセス、クリック、およびユーザーエクスペリエンスを合理化して向上させるために役立つその他のユーザーアクティビティが含まれます。

使用状況データの収集はオプトアウトできますか?

はい。お客様は、自分のコンテナを収集プロセスから除外するように要求できます。

Tenable.ioの顧客データはどこにありますか?

現在、Tenable.ioはアマゾンウェブサービスでホストされています。AWSクラウドを使用することによりTenable.ioに迅速にスケーリングし、安全な基盤を維持しながら、最大の顧客ニーズにも対応することができます。

収集された顧客データはどこにありますか?

Tenableはアマゾンウェブサービス(AWS)のデータセンターとサービスを使用して、Tenable.ioをお客様に提供しています。既定では、Tenableは、お客様に可能な限り最高のエクスペリエンスを提供するために、そのお客様に最も適したリージョンを選択して顧客コンテナを作成します。現在の場所は次のとおりです。

  • US / バージニア北部、北カリフォルニア
  • EU / ドイツ
  • APAC / シンガポール

例外として、展開の前にお客様からAWSの特定のリージョンを要求された場合には、Tenableはそのリージョンでお客様をアクティブにします。

お客様のデータはすべて、リージョン別の安全なAWSサービスに保存されるため、Tenableクラウドには、AWSが保持しているEUデータ保護の認定内容が適用されます。詳細は、https://aws.amazon.com/compliance/eu-data-protection/でご確認ください。

将来、Tenable.ioのサポート対象国は追加される予定ですか?その場合、そのタイムフレームを教えてください。

はい。ただし、場所の追加のタイムフレームは未定です。

元のリージョン以外のAWSリージョンにデータを保存することはできますか?

次の状況では、最初のAWSリージョン以外のリージョンにデータを保存できます。

  • Tenable.ioのお客様は、多数のAWSリージョンに提供されているパブリックな共有スキャニングプールを使用して外部スキャンを実行できます。一般に、ターゲットに近いスキャナーを選択したほうがスキャンの速度は向上します。お客様のアカウントがホストされている場所とは別の場所にあるクラウドスキャナーを使用した場合は、スキャンデータが一時的にアカウントのホストの場所ではない場所に存在するので注意してください。ただし、そこに保存されるわけではありません。たとえば、EU / ドイツでホストされているアカウントのユーザーがUS / バージニア北部のスキャナーを使用してスキャンすると、スキャンデータは一時的に米国に存在した後にフランクフルトに保存されます。データの場所が問題になる場合は、外部スキャンにはお客様のリージョンのクラウドスキャナーのみを使用してください。スキャナーはスキャン単位で選択できます。
  • Tenable SecurityCenter®をご利用のお客様のスキャンデータは、インフラストラクチャの一部をTenable.ioでスキャンしている場合であっても、クラウドには保存されません。
  • Nessusエージェントのスキャンデータは、Tenable.ioからスキャンを実行した場合はTenable.ioに保存されます。Nessusマネージャーを使用してエージェントスキャンを実行した場合、そのデータは、エージェントが展開されている場所にかかわらず、Tenable.ioには保存されません。

特定の場所/国に強制的にデータを保持することはできますか?

はい。データは、アカウントの作成時に選択した国に保存されます。

Tenable.ioではどのように顧客データを保護していますか?

Tenableはいくつものセキュリティ対策を適用してTenable.ioのデータセキュリティとプライバシーを確保しています。

物理的なセキュリティについて教えてください。

Tenableはアマゾンウェブサービス(AWS)のデータセンターとサービスを使用して、Tenable.ioサービスをお客様に提供しています。データセンターの物理的および環境的なセキュリティに関するポリシーと制御はAWSが責任を担い、ウェブサイト(https://aws.amazon.com/compliance/)にその方法に関する資料が掲載されています。

AWSは、ISO 9001と27001、CSPレベル3、SOC 3などの多くの認定を受けています。現在受けている認定については、ウェブサイト(https://aws.amazon.com/compliance/published-certifications/)をご覧ください。

Tenable.ioはAWSのGovCloudリージョンで提供されています。このリージョンは、米国連邦政府の認定も受けています。国防総省については、米国東部と米国西部の各リージョンがDoDレベル2 PAを受け、GovCloudではAWSはレベル2とレベル4のDoD PAを受けています。詳細については、https://aws.amazon.com/compliance/dod/をご覧ください。

Tenableでは安全な開発を行うためにどのような方法を取っていますか?

Tenableはいくつもの方法でTenable.ioアプリケーションソフトウェアのセキュリティを確保しています。

Tenableでは次の3つの異なるグループがテストを実行しています。

  • 開発チームがセキュリティテストを実行します。
  • Tenable ITセキュリティチームが、展開の前後にTenable.ioに対して脆弱性テストを実行します(展開後テストはスケジュールを設定せず、他のチームに対して事前に警告もしません)。
  • Tenableが展開前にソースコードと変更内容に関するセキュリティレビューを追加で実行します。

ソフトウェア展開はすべて自動で、ビルドシステムによってのみ実行されます。このビルドシステムは、SSH秘密キーを使用して認証された企業のLDAP資格情報またはAnsibleによって認証されます。すべての展開はログに記録されて追跡されます。(計画された、または計画されていない)展開アクションに関する通知がTenable開発チームに自動的に送信されます。

ソースコードに対するすべての変更が追跡され、変更がインストールされるリリースにリンクされます。この追跡によって、だれがいつ変更したのか、最終的に実稼働環境に展開されたのはいつか、という完全な履歴がすべての変更について維持されます。

それぞれの展開は、少なくとも2人のTenableチームメンバーにより承認されます。すべての変更と展開がチームメンバーすべてに送信されます。ソフトウェアは最初にテスト環境に展開され、次に「ローリング形式」で時間枠内に実稼働環境インスタンスに展開されます。

どのようなユーザーアプリケーションセキュリティが施されていますか?

  • 許可された安全な方法でTenable.ioを利用できるようにすることが、当社の開発運用チームの最優先事項です。Tenable.ioは、お客様のデータを保護してアクセスを制御するために、いくつものメカニズムを実装しています。ブルートフォース攻撃から保護するために、ログインに5回失敗したらアカウントをロックします。
  • データ傍受を防止するために、プラットフォームに対するすべての通信をSSL(TLS-1.2)で暗号化します。また、最高レベルの保護を行うために、安全性の低い古いSSLネゴシエーションを拒否します。
  • プラットフォームへのアクセスを保護するために、お客様はTwilio提供のサービスを使用して2要素認証を設定できます。
  • お客様はTenable.ioをSAML展開に統合できます。Tenable.ioはIdPとSPの両方の開始要求をサポートしています。最後に、ユーザーは自分の電子メールアドレスを使用してアプリケーション内でパスワードを直接リセットできます。
  • 多くの場合、当社が作成したAPIまたはSDKの資料を基に、お客様はTenable.ioへのユーザー接続を作成します。権限の付与と制御は、特定のAPI「キー」を作成することで行います。さまざまな統合のためのさまざまなキーを使用できます。ユーザー資格情報を共有する必要はありません。

顧客データはどのように保護されますか?

Tenableはいくつものセキュリティ対策を適用してTenable.ioのデータセキュリティとプライバシーを確保しています。

保存データはどのように暗号化されますか?

顧客データの保護はTenableの第一目標です。顧客データを適切に分離して暗号化するために多数の保護策を実装しています。

  • 収集されたすべての顧客データは保存時にAES-256暗号を使用して暗号化されます。
  • 移動中のすべての顧客データは、TLS v1.2で4096ビットキーを使用して暗号化されます。これには、ブラウザー、API、アプリケーション内の通信も含まれます。
  • 顧客データにはすべて「コンテナID」が付けられます。コンテナIDは1つの顧客サブスクリプションに対応します。このコンテナIDにより、顧客データへのアクセスがそのデータのお客様のみに確実に制限されます。

自分のキーをアップロードできますか?

お客様はキー管理を設定できません。キーとキーローテーションはTenableが管理します。

Tenableはプライバシーまたはセキュリティに関する認定を既に受けていますか?

Tenable Network Securityは、EU参加国およびスイスと米国間で移転される個人情報の収集、使用、保持に関して米国商務省が規定するEU-U.S. Privacy Shield FrameworkおよびSwiss – U.S. Privacy Shield Frameworkに準拠しています。Tenable Network Securityは、プライバシーシールド原則に基づいて商務省の認定を受けています。プライバシーポリシーとプライバシーシールド原則の間に矛盾がある場合、プライバシーシールド原則が優先されます。プライバシーシールドプログラムの詳細については、https://www.privacyshield.gov/を参照してください。

Tenableは、クラウドセキュリティアライアンス(CSA)STAR自己診断も完了しています。Tenableは、Tenable.ioの潜在顧客、お客様、パートナーが必要とするであろう、セキュリティに関連する140以上の質問に対してCAIQ(Consensus Assessment Initiative Questionnaire)回答を提出しています。CSA STARは、クラウドのセキュリティを保証するための業界で最も強力なプログラムです。STAR(Security Trust & Assurance Registry)には、透明性、厳格な監査、標準への準拠(ベストプラクティスの記述、クラウドオファリングのセキュリティ体制の検証など)といった主要な原則が含まれています。

個人情報(Personally Identifiable Information: PII)はどのように保護されますか?

Tenable.ioプラットフォームは、追加の認定やセキュリティ対策が必要になる形式のPIIデータタイプを収集しないようにあらゆる努力を払っています。これには、クレジットカード番号、社会保障番号、その他のカスタム検査が含まれます。Tenableプラグインが機密情報や個人情報が含まれる可能性がある文字列をキャプチャすると、プラットフォームによってその文字列の50%以上が自動的に不明瞭にされ、機密である可能性があるデータを保護します。

顧客データは分離されますか?

各ユーザーのデータには「コンテナID」が付けられます。コンテナIDは、各お客様のサブスクリプションに対応します。このコンテナIDにより、顧客データへのアクセスがそのデータのお客様のみに確実に制限されます。

Tenable.ioはどのようなセキュリティ制御で保護されていますか?

  • Tenableは毎日、脆弱性スキャンを実行しています。
  • ファイアウォールとネットワークセグメンテーションがアクセスを制御します。
  • 自動化されたツールとプロセスはTenable.ioプラットフォームの稼働時間とパフォーマンスを監視し、異常な動作を検出します。
  • ログを365日24時間常時自動的に監視し、Tenableスタッフがイベントに年中無休で対応します。

Tenable.ioセンサーはどのように保護されていますか?

このプラットフォームに接続するセンサーは、脆弱性と資産の情報を収集し、お客様のセキュリティにおいて重要な役割を果たします。そのデータを保護し、通信経路を安全な状態に保つことが、Tenable.ioのコア機能です。Tenable.ioは現在、Nessus脆弱性センサー、パッシブセンサー、Nessusエージェントをサポートしています。

これらのセンサーは、Tenable.ioの暗号化された認証とリンク作成の後にTenable.ioプラットフォームに接続します。1回リンクされると、Tenable.ioがすべての更新(プラグイン、コードなど)を管理して、センサーを常に最新の状態に維持します。

センサーからプラットフォームへのトラフィックは、常にセンサーから開始され、ポート443による送信に限定されます。トラフィックはTSL 1.2で4096ビットキーを使用するSSL通信によって暗号化されます。そのため、ファイアウォールを変更する必要がなく、お客様がファイアウォールルールを使用して接続を制御することができます。

  • スキャナーとプラットフォームの間の認証
    • プラットフォームは、コンテナに接続するスキャナーごとに256ビット長のランダムキーを生成し、そのキーをリンク作成処理中にスキャナーに渡します。
    • スキャナーはこのキーを使用して、ジョブ、プラグイン更新、スキャナーバイナリの更新を要求するときに、コントローラから認証を受けます。
  • スキャナーとプラットフォームの間のジョブ通信
    • スキャナーがプラットフォームに30秒ごとに接続します。
    • ジョブが存在する場合、プラットフォームが128ビットのランダムキーを生成します。
    • スキャナーがプラットフォームにポリシーを要求します。
    • コントローラがキーを使用してポリシーを暗号化します。ポリシーには、スキャン時に使用する資格情報が含まれています。

Tenable.ioの可用性はどのように管理されていますか?

Tenable.ioサービスは99.95%以上の稼働時間を実現するように努力しています。実際、ほとんどのサービスで100%の稼働時間を提供しています。Tenableは、すべてのユーザーにプラットフォームを提供することを保証するための取り組みと、計画外停止が発生した場合のお客様への返金について記述したSLAを公開しています。

「稼働」状態かどうかは、サードパーティがホストするパブリックな可用性テストにより調査されます。このテストでは、すべてのサービスの可用性が定期的に検査されます。サービスの稼働時間(現在および過去)情報はhttp://uptime.tenable.com/からご覧いただけます。またこのリンクには日別、月別、四半期別、年別の稼働率も掲載しています。

Tenable.ioではAWSプラットフォームやその他の先進的なテクノロジーを大いに活用して、可能な限り最高のサービスと品質をお客様に提供しています。お客様にとって役立つ展開済みソリューションの一部を以下に記します。

  • ElasticSearchクラスタ - Elasticsearchクラスタは可用性が高く、マスターノード、lbノード、1つ以上のデータノードを失っても、サービス可用性に影響を及ぼすことなく回復できます。
  • Elastic Block Stores - 日次のスナップショットを作成し、8個のコピーを保存します。
  • Kafkaエコシステム - KafkaとZookeeperはどちらもクラスタ全体のデータをレプリケートし、いずれかのノードで致命的なエラーが発生したときのための耐障害性を提供します。
  • Postgresインスタンス - バックエンドのマクロサービスフレームワークを管理し、30日間のスナップショットを保持します。

データはどこでレプリケートされますか?

レプリケートされたデータは同じリージョンに保存されます。

どのようなディザスターリカバリー機能を備えていますか?

ディザスターとは、1つ以上のリージョンでデータまたは設備が回復できない程度に失われる事象のことです。

Tenable.ioのディザスターリカバリー手順にはいくつかのレベルがあり、5年から50年の間に1回生じる可能性がある状況に対応できるように設計されています。ディザスターの範囲に応じて、リカバリー手順にかかる時間は60分から24時間まで幅があります。

顧客データにはだれがアクセスできますか?

データにだれがアクセスできるかは、お客様が制御できます。社員に役割とアクセス許可を割り当てたり、Tenableサポートスタッフに一時的に権限を付与したりできます。

ユーザー役割とアクセス許可はどのように管理されますか?

Tenable.ioのお客様の管理者が、ユーザー役割(基本、標準、管理者、無効)を割り当て、スキャン、ポリシー、スキャナー、エージェント、資産一覧へのアクセスを管理することができます。

Tenableスタッフは顧客データにアクセスできますか?

はい。お客様からのアクセス許可がある場合、Tenableのグローバルサポートスタッフのうち、レベル3のメンバーはユーザーアカウントの権限を借用できます。権限を借用すると、Tenable.ioで他のユーザーとしてパスワードなしで操作を実行できます。Tenableサポートスタッフまたはお客様が、この機能をアクティブにするよう要求できます。Tenableサポートスタッフは、アクティブなサポートケースのノートを利用して権限の借用を「承認」するようお客様に求めます。アクセス許可は、サポートにログが記録されるたびに付与する必要があります。Tenableが権限の借用を無差別に許可することはありません。ユーザーの権限を借用すると、元の場所からデータが移動することがあります。

Tenable.ioの運用スタッフの全員に、第三者による身元調査に合格することを義務付けています。また、上級チームメンバーの全員が、SaaSベースのセキュリティソフトウェア企業で5年以上勤務した経験を持ち、そのうちの多くは、CISSPなどのセキュリティ資格の保持者です。

Tenableは雇用と退職のプロセスを定義しています。雇用時には従業員全員に秘密保持契約書に署名することを義務付け、退職時にはすぐにすべてのアカウントとアクセスキーを取り消します。

権限の借用機能を使用できるのはだれですか?

権限の借用機能は、Tenableのレベル3のサポートスタッフメンバーのみ使用できます。

権限の借用アクティビティはログに記録されますか?

はい。

Tenableが技術上の問題をトラブルシューティングするときにデータが国外に出ることはありますか?

Tenableは顧客データを保護するためにあらゆる努力を払っています。お客様と連携してお客様のポリシーを遵守し、必要なリージョン内にデータをとどめます。一方で、お客様がTenableにレポートをメール送信するなどしてリージョンの外にメールを送信したために、お客様自身がポリシーに違反してしまったというケースがあります。

Tenableサポートスタッフは顧客の内部ネットワークにアクセスできますか?

いいえ。すべてのトラフィックはスキャナーから開始され、送信に制限されます。スキャナーはお客様のファイアウォールの内側にインストールされるので、スキャナーのアクセスはお客様のファイアウォールによって制御できます。

顧客データはTenable.ioにどれくらいの期間保持されますか?

データ保持期間は、さまざまな顧客要件と規制要件に合わせて設計されます。

アクティブなスキャンデータの保存期間を教えてください。

経時的に進行状況を測定する機能は、Tenable.ioプラットフォームのコア機能の1つです。1年以上についての報告を生成できるように、Tenable.ioは顧客データを15カ月間にわたって自動的に保存します。

15カ月を超える保存が必要な場合、Tenable.ioには顧客データをダウンロードする方法がいくつか用意されているので、お客様は必要なときに保存することができます。

Tenable.ioサービスの使用を終了した顧客のデータの保存期間を教えてください。

お客様のアカウントの有効期限が切れたり終了したりした場合、Tenableは期限が切れたときの状態のまま、データを180日間保持します。その後、データは削除され、回復できなくなります。

PCI関連のデータの保存期間を教えてください。

PCIコンプライアンス検証プロセスに関連するデータは、PCI標準に規定されているように、PCI準拠認定日以降、最低3年間は削除されません。お客様がスキャンやアカウントを削除したりTenable.ioサービスを終了したりした場合であっても、Tenableはこのようなデータを該当期間にわたって保存します。

Tenable.io使用状況データの保存期間を教えてください。

可能な限り最高のエクスペリエンスを提供するために、コンテナがアクティブな状態である限り、弊社は使用状況情報を収集します。お客様がサービスの使用を終了すると、データはその後180日間保存されます。

Tenable.ioはCommon Criteriaの認定を受けていますか?

一般に、Common CriteriaはSaaSソリューションには適用されません。更新頻度が高いため、完了するまでに6カ月から9カ月かかる認定プロセスには合わないからです。

データが保存される国をユーザーが選択することはできますか?

例外的に、展開の前にお客様から特定の地域を要求された場合に限り、Tenableはその場所でお客様をアクティブにします。現在の場所は次のとおりです。

  • US:バージニア北部、北カリフォルニア、オハイオ
  • EU:ドイツ、ロンドン
  • APAC:シンガポール、シドニー

データは特定の国内で複数の場所に存在するのですか?

いいえ。現在、Tenableはデータを別の場所にレプリケートしていません。

PCI ASV

PCI ASVとは何ですか?

PCI ASVとは、四半期ごとに外部脆弱性スキャンを実行することを義務付ける、ペイメントカード業界(Payment Card Industry: PCI)のデータセキュリティ基準(Data Security Standard: DSS)の「要件とセキュリティ評価手順」の要件11.2.2のことです。この脆弱性スキャンは認定スキャンベンダー(Approved Scanning Vendor: ASV)が実施(または証明)する必要があります。ASVとは、PCI DSS要件11.2.2の外部スキャン要件に準拠した検証を行うための一連のサービスとツール(「ASVスキャンソリューション」)を有する組織です。

ASCスキャンの対象システムを教えてください。

PCI DSSは、カード会員のデータ環境に含まれている、スキャンユーザーが所有または使用する外部アクセス可能な(インターネットに接続した)すべてのシステムコンポーネント、およびカード会員のデータ環境につながるすべての外部接続システムコンポーネントの脆弱性スキャンを行うことを義務付けています。

ASVプロセスとは何ですか?

ASVスキャンの主要なフェーズは次で構成されます。

  • 範囲の設定: お客様が実行します。カード会員のデータ環境に含まれているすべてのインターネット接続システムコンポーネントを対象にします。
  • スキャン: Tenable.io VMの四半期ごとのPCI外部スキャン用のテンプレートを使用します。
  • レポート作成/修正: 中間レポートの結果を修正します。
  • 問題点の解決:お客様とASVが協働してスキャン結果の問題を記述し、解決します。
  • 再スキャン(必要な場合): 問題点が解決され、例外が生成される合格スキャンまで行います。
  • 最終レポート作成: 安全な形式で送信して配信します。

ASVスキャンはどれほどの頻度で必要になりますか?

ASV脆弱性スキャンは少なくとも四半期ごとに必要です。また、新しいシステムコンポーネントの設置、ネットワークトポロジーの変更、ファイアウォールルールの変更、製品のアップグレードなど、ネットワークが大きく変更した後にも必要です。

認定スキャンベンダー(ASV)と認定セキュリティ評価機関(Qualified Security Assessor: QSA)の違いは何ですか?

ASVは、PCI DSS 11.2に規定された外部脆弱性スキャンを実行することのみに特化しています。QSAは、PCI SSC(Security Standards Council)から認定と教育を受けた、PCI DSSの一般的なオンサイト評価を実行する評価企業です。


Tenable.IO PCI ASVソリューションに関する資格等

TenableはPCIの認定ASVですか?

はい。Tenableは、加盟店プロバイダーとサービスプロバイダーのインターネット接続環境(カード会員データの保存、処理、転送に使用される環境)の外部脆弱性スキャンを検証する認定スキャンベンダー(ASV)の資格を有しています。ASV認定プロセスは、3つの部分で構成されています。最初の部分には、ベンダーとしてのTenable Network Securityの認定が関係します。2番目の部分に関係するのは、リモートのPCIスキャンサービスを実行するTenable従業員の認定です。3番目は、Tenableリモートスキャンソリューション(Tenable.io Vulnerability ManagementおよびTenable.io PCI ASV)のセキュリティテストです。

Tenableは認定スキャンベンダー(ASV)として実際にスキャンを行うのですか?

ASVはスキャンを実行できます。ただし、Tenableは、四半期のPCI外部スキャン用のテンプレートを使用してお客様にご自分でスキャンを実行していただくことにしています。このテンプレートは、脆弱性チェックの無効化、重大性レベルの割り当て、スキャンパラメーターの変更などの設定をお客様が変更できないようになっています。お客様が、Tenable.io VMクラウド型スキャナーを利用してインターネット接続環境をスキャンし、準拠しているスキャンレポートをTenableに送信して証明を受けます。Tenableはそのスキャンレポートを証明し、お客様がペイメントブランドで指示されている送信先またはペイメントブランドに送ります。

この新製品は従来の製品とどのような違いがありますか?

新機能または改善された機能には次のものがあります。

  • ユーザーがASV証明プロセスをスキャン/管理/送信/完了できる単一のUI。
  • ASV認定を受けるために複数のユーザーが問題点を提出して送信できる機能。
  • 同一の問題点/例外を複数のIPに適用する機能。(資産ではなく、プラグインに基づいて問題点を作成する機能)
  • 特定のIPに範囲外というマークを付ける機能。
  • 補完作業のコメントを付ける機能。

データ主権

Tenable.io PCI ASVはEUのデータ主権要件に準拠していますか?

脆弱性データはEU DPD 95/46/ECデータではないため、データの保管場所に関する要件は規制当局ではなくお客様のニーズによって生じます。EU加盟国政府組織にデータ保管場所に関する独自の要件が存在する可能性がありますが、それらの要件は事例ごとに評価する必要があり、多くの場合PCI-ASVスキャンにとって問題ではありません。


Tenable.io ASVの価格設定/ライセンス/注文

Tenable.io VMにPCI ASVライセンスは含まれていますか?

はい。Tenable.io VMには、単一で一意のPCI資産に対応する1つのPCI ASVライセンスが含まれています。一部の組織は、支払い処理機能を外注するなどして多くの努力を注ぎ、PCIの対象範囲の資産を限定してきました。このようなお客様はほぼ間違いなく「PCIビジネスに無関係」であるため、Tenableは購入とライセンス交付を簡略化しました。お客様は90日ごとに資産を変更できます。

Tenable.io PCI ASVのライセンスの適用方法を教えてください。

固有のPCI資産を複数所有しているお客様の場合、Tenable.io PCI ASVソリューションのライセンスは、Tenable.io Vulnerability Managementサブスクリプションに対するアドオンとして適用します。

Tenable.io PCI ASVのライセンスが、インターネットに接続した顧客のPCI資産数に応じて適用されないのはなぜですか?

エンティティのカード会員データ環境(cardholder data environment: CDE)内に存在する、またはCDE環境につながるインターネット接続ホスト数は頻繁に変わる可能性があるため、ライセンスの適用方法が複雑になることがあります。Tenableはより簡単なライセンス方式を採用しました。

ユーザーが四半期あたりに送信できる証明の数はいくつですか?

お客様が四半期あたりに送信できる証明の数に制限はありません。

トライアル/評価版のユーザーがTenable.io PCI ASVを評価することはできますか?

はい。評価版のお客様は四半期ごとのPCI外部スキャン用のテンプレートを使用して、資産のスキャン、結果と作成された問題点のレビューを行うことができます。ただし、証明のためにスキャンレポートを送信することはできません。

既存のTenable.io VMユーザーは新しい機能にどのように移行する予定ですか?

新しい機能は2017年7月24日に自動的にアクティブになります。そのためお客様は、次回のPCI ASVスキャンで利用できるようになります。既存のお客様は、少なくとも1年間は新たなPCI ASV機能に関してライセンスを取得する必要はありません。

現在のPCI ASV機能のライセンスを持っているSecurityCenterユーザーは、どのように新たな機能に移行する予定ですか?

既に外部/PCIスキャンのライセンスをお持ちのSecurityCenter®ユーザーは、新たな機能が利用できるようになった後、Tenable.io PCI ASVの使用を開始する予定です。リニューアル時には、既存のSKUを使用して更新するだけで済みます。ただし、代わりにTenable.io PCI ASVライセンスを取得するほうが便利な場合もあります。