Tenable Vulnerability Management に関する良くある質問
Tenable Vulnerability Management をお試しください
60 秒未満で最初のスキャンを実行できます。
全般的な質問
Tenable Vulnerability Management とは何ですか?
Vulnerability Management は、ネットワークを完全に可視化して攻撃を予測し、重大な脆弱性に迅速に対応するためのリスクベースの脆弱性管理ソリューションです。継続的で常時接続型の検出と評価により、ネットワーク上の全資産と、そこに隠れた脆弱性を発見するのに必要な可視性が得られます。 組み込みの優先順位付け機能、脅威インテリジェンス、リアルタイムのレポートを使用することで、リスクを把握し、攻撃経路を未然に遮断できます。 最先端の Tenable Nessus テクノロジーをベースにしたクラウド管理製品であり、ネットワーク上の資産と脆弱性を完全に可視化できるので、リスクの迅速かつ正確な把握と、最初に修正すべき脆弱性の特定が可能になります。
Tenable Vulnerability Management は、Tenable のサイバーエクスポージャー管理プラットフォームである Tenable One に不可欠なコンポーネントです。 Tenable One は Tenable Vulnerability Management を基盤として構築されており、クラウドインスタンス、ウェブアプリケーション、Active Directory (AD) など、さらにはモバイルデバイス、仮想マシン、コンテナといった非常に動的な資産を含む、インフラ全体のセキュリティリスクに対する実用的なインサイトを提供します。 より良いサイバーリスク管理のために、アタックサーフェスの可視化、資産の重要度の評価、リスクベースのサイバーエクスポージャーのスコアリング、ピアベンチマークなどの追加の優先順位付け尺度や機能と、時間の経過に伴うリスク削減を追跡する機能も利用できます。
Tenable Vulnerability Management についてもっと詳しく知るには?
Tenable Vulnerability Management の詳細については、Tenable Vulnerability Management 製品ページにアクセスするか、今後のウェビナーに参加するか、Tenable 認定パートナーまたは Tenable 担当者にお問い合わせください。
Tenable Vulnerability Management アプリケーションを評価するにはどうすればよいですか?
https://www.tenable.com/try にアクセスして Tenable Vulnerability Management の無料評価版に登録してください。
Tenable Vulnerability Management アプリケーションを購入するにはどうすればよいですか?
Tenable Vulnerability Management アプリケーションを購入するには、最寄りの Tenable 認定パートナーと連携するか、Tenable の担当者に連絡するか、tenable.com にアクセスしてください。
Tenableアプリケーションのライセンスは個別に購入できますか?
はい。Tenable のアプリケーションは、個別にライセンスが付与できます。たとえば、Tenable Web Application Scanning の場合、Tenable Vulnerability Management の機能なしでも単独でライセンスを取得できます。
Tenable Vulnerability Management の価格設定とライセンスについて教えてください。
Tenable Vulnerability Management は年間サブスクリプションによってライセンスが付与され、IP アドレスではなく資産ごとに価格が設定されます。 そのため、二重にカウントされることなしにクラウドなどの新たなテクノロジーを利用できます。
価格設定およびライセンスの詳細については、 下記のセクションを参照してください。
資産とは何ですか?
資産とは次のものを指します。
- ネットワークに接続され、オペレーティングシステムを備えた物理的または仮想のデバイス
- FQDN を持つウェブアプリケーション
- アクティブな (終了されていない) クラウドリソース
たとえば、デスクトップ、ノートパソコン、サーバー、ストレージまたはネットワークデバイス、電話、タブレット、仮想マシン、クラウドインスタンス、コンテナなどです。
他の Tenable Vulnerability Management アプリケーションの価格とライセンスはどのようになっていますか?
Tenable Web App Scanning は年間サブスクリプションによってライセンスが付与され、資産量に応じて価格が設定されます。 Tenable Web App Scanning の価格は、製品が評価する完全修飾ドメイン名 (FQDN) の総数によって決まります。
価格設定およびライセンスの詳細については、 下記のセクションを参照してください。
Tenable は Tenable Vulnerability Management にサービスレベル契約 (SLA) を設定していますか?
はい。Tenable Vulnerability Management 用の堅固なサービスレベルアグリーメント (SLA) により、脆弱性管理の業界では初めてアップタイム保証を提供しています。 Amazon Web Services (AWS) などの業界をリードするクラウドベンダーと同様に、SLA を満たさない場合にはサービスクレジットが提供されます。
Tenable Vulnerability Management に関するドキュメントはどこで見つけられますか?
Tenable Vulnerability Management を含む、Tenable 全製品の技術文書は https://jp.docs.tenable.com からご覧いただけます。
クラウドからのスキャンに Tenable はどの IP を使用しますか?
Tenable Security Center と Tenable Vulnerability Management の両方を使用することはできますか?
はい。どちらのソリューションも使用できます。 Tenable Security Center と Tenable Vulnerability Management の両方を利用する、ハイブリッド型の脆弱性管理を導入することもできます。 Tenable Vulnerability Management PCI/ASV、またはその他の Tenable Vulnerability Management アプリケーションに興味のある場合、Tenable Security Center インスタンスと並行してハイブリッド式で導入することもできます。
Tenable Security Center から Tenable Vulnerability Management に移行できますか?
はい。ご興味のある方は、Tenable または認定パートナーによる完全なサポートを受けながら、Tenable Security Center から Tenable Vulnerability Management にスムーズに移行するためのさまざまなオプションから選択できます。 詳しくは、Tenable 認定パートナーまたは Tenable 担当者にお尋ねください。
外部アタックサーフェス管理 (EASM) とは何ですか?
外部アタックサーフェス管理 (EASM) は、企業のネットワーク領域外に存在する盲点を可視化する、Tenable 製品の機能です。ドメイン内をスキャンして、従来確認できなかったインターネットに接続された資産を検出します。ネットに露出している資産は、企業にとって高度のリスクとなる恐れがあります。
外部アタックサーフェス管理 (EASM) は Tenable Vulnerability Management に含まれていますか?
はい。Tenable Vulnerability Management は、外部アタックサーフェス管理 (EASM) 機能を提供しています。 結果に追加のドメイン、頻度、メタデータが必要な場合、Tenable Attack Surface Management アドオンをご購入ください。
Tenable Web App Scanning とは何ですか?
Tenable Web App Scanning は、動的アプリケーションセキュリティテスト (DAST) のアプリケーションです。 DAST は、実行中のウェブアプリケーションをフロントエンド経由でクロールし、テストを行うすべてのページ、リンク、フォームを含むサイトマップを作成します。サイトマップの作成後、フロントエンドを介してサイトに問い合わせを行い、アプリケーションのカスタムコードの脆弱性や、アプリケーションの大部分を構成するサードパーティコンポーネントの既知の脆弱性を検出します。
Tenable Web Application Scanning の詳しい情報や評価版を入手できる場所を教えてください。
Tenable Web Application Scanning について詳しくは、Tenable Web App Scanning 製品ページをご覧ください。 tenable.com/try-was から無償評価版をお申し込みいただくか、Tenable 認定パートナーまたは、Tenable 担当者に詳細をお尋ねください。
この製品は、ソースコードのスキャンや静的分析を実行しますか?
いいえ。Tenable Web App Scanning は、テスト環境または実稼働環境で実行中のウェブアプリケーションを「外部から」テストする動的なアプリケーションセキュリティテスト (DAST) ソリューションです。
エラスティックな資産のライセンスに関する質問
エラスティック資産ライセンスとは、変化の激しい今日のIT環境に脆弱性管理ライセンスを対応させるために、Tenable Vulnerability Management に組み込まれた革新的なライセンスです。 エラスティック資産ライセンスによって、複数のIPアドレスを持つ資産やIPアドレスを変更した資産が二重にカウントされることを防止できます。また、使用しなくなった資産や意図せずスキャンされた資産などを含め、最近スキャンされていない資産のライセンスは自動的に回収されます。
Tenable Vulnerability Management のエラスティックな資産ライセンスとは何ですか?
エラスティック資産ライセンスの主な利点は次のとおりです。
- 膨大に増える IP の数ではなく資産の数に基づいて適正な数のライセンスを購入できます。
- お客様は使用しなくなった資産や意図せずスキャンされた資産からライセンスを回収するという、手間がかかる不正確な作業をする必要がありません。
- 資産に複数の IP アドレスが存在する場合でも、脆弱性が二重三重にカウントされて、脆弱性管理指標が誤った値になることはありません。
エラスティック資産ライセンスの利点は何ですか?
エラスティック資産ライセンスの主な利点は次のとおりです。
- 膨大に増える IP の数ではなく資産の数に基づいて適正な数のライセンスを購入できます。
- お客様は使用しなくなった資産や意図せずスキャンされた資産からライセンスを回収するという、手間がかかる不正確な作業をする必要がありません。
- 資産に複数の IP アドレスが存在する場合でも、脆弱性が二重三重にカウントされて、脆弱性管理指標が誤った値になることはありません。
Tenable Vulnerability Management を使用している場合、ライセンスされている以上の資産をスキャンすることはできますか?
はい、一時的に、ライセンスを購入した資産数を超えてもかまいません。もちろん、ライセンス数の超過が続く場合には費用の調整が必要となります。
Tenable Vulnerability Management のライセンスの状況を調べる方法を教えてください。
Tenable Vulnerability Management ユーザーインターフェースに、ライセンスを取得済みの資産数と、実際のライセンス使用数の両方が表示されます。
資産とは何ですか?
資産とは、分析対象となり得るエンティティのことです。たとえば、デスクトップパソコン、ノートパソコン、サーバー、ストレージデバイス、ネットワークデバイス、電話、タブレット、VM、ハイパーバイザー、コンテナなどがあります。
Tenable Vulnerability Management はどのようにして資産を特定しますか?
Tenable Vulnerability Management は資産を最初に検出したときに複数の ID 属性を収集します。たとえば、BIOS UUID、システムの MAC アドレス、NetBIOS 名、FQDN など、資産を確実に識別するために使用できる属性です。 さらに、認証されたスキャンエージェントとNessusエージェントが、そのデバイスにTenable UUIDを割り当てます。Tenable Vulnerability Management が 2 回目以降に資産をスキャンするときには、その資産と前回検出した資産を比較します。 新たに検出した資産が前回検出した資産と一致しない場合、その資産は Tenable Vulnerability Management の資産インベントリに追加されます。
資産は IP とどう違うのですか?
一般的にはIPは資産の特性の1つであり、多くの資産には複数のIPが割り当てられています(DHCPデバイス、有線と無線の両方のインターフェースを装備したシステムなど)。
資産数が IP 数よりも少なくなる傾向にあるのはなぜですか?
多くの場合、資産には、複数のネットワークに接続できるように複数のネットワークインターフェースカードが搭載されています。たとえば、ウェブサーバーは一般に実稼働ネットワークと管理ネットワークの両方に接続します。また、多くのノートパソコンには有線と無線の両方のネットワークインターフェースが搭載されています。さらに、ノートパソコンは、場所を移動して新たに IP を取得することがよくあります。ある IP でスキャンされた後に別の IP でスキャンされると、2 回カウントされることになります。
資産数の推定方法を教えてください。
Tenable Vulnerability Management は、アクティブセンサーとパッシブセンサーの両方を使用した無制限の検出スキャンをサポートしています。 お客様はこれらのスキャンを使用してすべての資産を含む包括的なインベントリを作成し、適切なライセンスサイズを決定することができます。
どのようにして同一資産の多重カウントを防止しているのですか?
Tenable Vulnerability Management は、適切なライセンスサイズを計算する際に同じ資産を二重または三重にカウントすることを回避するためのさまざまな手段をサポートしています。 従来の資産では、Tenable Vulnerability Management は独自のアルゴリズムを使用して、新たに発見された資産とすでに発見された資産を照合して重複を排除し、より正確な脆弱性レポートを保証します。
データセキュリティとプライバシーに関する質問
お客様のデータセキュリティとプライバシーは Tenable の最重要事項です。金融サービス機関、医療機関、小売業者、教育機関、政府機関などの多数のお客様が、Tenable を信頼して脆弱性データを当社のクラウドプラットフォームに託しています。
データのセキュリティとプライバシーには、顧客が自分のデータ以外のデータにアクセスできないようにすること、顧客以外、ハッカー、悪意のある者、または権限のない Tenable の代表者がアクセス、開示、コピー、またはアクセスできないようにすることが含まれます。そうでない場合、Tenable Vulnerability Management サービスに保存されている顧客データのプライバシーと保護を侵害することになります。
Tenable は、Tenable Vulnerability Management サービスの可用性と信頼性にも重点を置いています。セキュリティ管理が不十分だと、顧客のデータに対するリスクはなくとも、サービスの可用性に影響を与える問題が発生するおそれがあるためです。 また、Tenable Vulnerability Management の可用性を高め、攻撃や単純な障害や機能停止から保護し、お客様が常に使用できるようにするための措置を実装および実施しています。
Tenable Vulnerability Management はどのような顧客データを管理していますか?
究極的には、Tenable Vulnerability Management がお客様のデータを管理する目的は 1 つです。資産と脆弱性を管理するための卓越したユーザーエクスペリエンスを提供して、環境を保護できるようにすることです。そのために、Tenable Vulnerability Management は次の3つのカテゴリのお客様データを管理します。
- 資産と脆弱性のデータ
- 環境のパフォーマンスデータ
- 使用状況データ
Tenable Vulnerability Management が管理する顧客の資産と脆弱性のデータを教えてください。
Tenable Vulnerability Management はお客様のネットワーク上にある資産のインベントリを作成し、IP アドレス、MAC アドレス、NetBIOS 名、オペレーティングシステムとバージョン、アクティブポートなどの資産属性を管理します。
Tenable Vulnerability Management は脆弱性と構成についての現在および過去の詳細なデータを収集します。たとえば、重大度、悪用の可能性、修復の状態、ネットワークアクティビティなどがあります。さらに、お客様が資産管理システムやパッチ管理システムなどのサードパーティ製品との統合により Tenable Vulnerability Management のデータを強化する場合、Tenable Vulnerability Management がそれらの製品データを管理する場合があります。
Tenable は顧客データを分析または使用しますか?
Tenable では、業界の傾向、脆弱性の発達と軽減についての傾向、セキュリティイベントの傾向を調査する目的で、顧客データを匿名化して分析します。たとえば、脆弱性の存在とその悪用との相関関係がわかれば、Tenable のお客様にとって大きなメリットになります。また、高度な分析が可能となり、お客様のデータと、業界、セキュリティイベント、傾向の相関関係をよりよく把握できるようになります。こうしたデータを収集して分析することで、お客様は競合他社や業界全体を基準としたベースラインを設定することもできます。Tenable では、お客様のご希望に応じてオプトアウトのオプションも提供しています。
Tenable Vulnerability Management では、どのような健全性およびステータスデータが収集されますか?
Tenable Vulnerability Management のパフォーマンスと可用性を維持し、可能な限り最高のユーザーエクスペリエンスを提供するために、Tenable Vulnerability Management はお客様ごとにアプリケーションの状態と正常性に関する情報を収集します。これには、スキャナーとプラットフォームの通信頻度、スキャンされた資産数、展開されたソフトウェアのバージョン、また、潜在的な問題を可能な限り早急に検出して解決するための一般的な遠隔測定データが含まれます。
ユーザーは正常性と状態のデータ収集をオプトアウトできますか?
Tenable は正常性と状態のデータを使用して、潜在的な問題を即座に検出して解決することで、SLA コミットメントを維持しています。そのため、お客様がこのデータ収集をオプトアウトすることはできません。
Tenable Vulnerability Management では、どのような使用状況データが収集されますか?
ユーザーエクスペリエンスを評価して向上させるために、Tenableはユーザー使用状況データを匿名化して収集します。このデータには、ページアクセス、クリック、およびユーザーエクスペリエンスを合理化して向上させるために役立つその他のユーザーアクティビティが含まれます。
使用状況データの収集はオプトアウトできますか?
はい。お客様は、コンテナをこの収集プロセスから除外するように要求できます。
収集された顧客データはどこにありますか?
Tenable はアマゾンウェブサービス (AWS) のデータセンターとサービスを使用して、お客様に Tenable Vulnerability Management を提供しています。既定では、Tenable はお客様に可能な限り最高のエクスペリエンスを提供するために、そのお客様に最も適したリージョンを選択してお客様のコンテナを作成します。現在の場所は次の通りです。
- 米国東部
- 米国西部
- 米国中部
- ロンドン
- フランクフルト
- シドニー
- シンガポール
- カナダ
- 日本
- ブラジル
- インド
例外として、展開の前にお客様から AWS の特定のリージョンを要求された場合には、Tenable はそのリージョンでお客様をアクティブにします。
お客様のデータはすべて、リージョン別の安全な AWS サービスに保存されるため、Tenable クラウドには、AWS が保持している EU データ保護の認定内容が適用されます。詳細情報は、こちらからご確認いただけます。
Tenable Vulnerability Management は将来さらに多くの国をサポートする予定ですか? その場合、その予定を教えてください。
はい。ただし、追加の時期は未定です。
元のリージョン以外の AWS リージョンにデータを保存することはできますか?
次の状況では、最初の AWS リージョン以外のリージョンにデータを保存できます。
- Tenable Vulnerability Management を利用している場合、多くの AWS リージョンで利用可能なパブリックの共有スキャンプールを使用して外部スキャンを実行できます。 一般に、ターゲットに近いスキャナーを選択したほうがスキャンの速度は向上します。お客様のアカウントがホストされている場所とは別の場所にあるクラウドスキャナーを使用した場合は、スキャンデータが一時的にアカウントのホストの場所ではない場所に存在するので注意してください。ただし、そこに保存されるわけではありません。たとえば、EU/ドイツでホストされているアカウントを持つ顧客が米国/N のスキャナーでスキャンするとします。 バージニア州、スキャンデータはフランクフルトに保存される前に一時的に米国を通過します。 データの場所が問題になる場合は、外部スキャンにはお客様のリージョンのクラウドスキャナーのみを使用してください。スキャナーはスキャン単位で選択できます。
- Tenable Security Center を使用している場合、Tenable Vulnerability Management を使用してインフラ全体の一部をスキャンしている場合でも、スキャンデータはクラウドに保存されません。
- お客様が Tenable Vulnerability Management からスキャンを実行すると、Tenable Nessus Agent のスキャンデータが Tenable Vulnerability Management に保存されます。 お客様が Tenable Nessus Manager を使用してエージェントスキャンを実行している場合、エージェントが導入されている場所に関係なく、そのデータは Tenable Vulnerability Management に保存されません。
特定の場所 / 国にデータを強制的に保存することはできますか?
はい。データは、アカウントの作成時に選択した国に保存されます。
Tenable Vulnerability Management 内で顧客データはどのように保護されますか?
Tenable はいくつものセキュリティ対策を適用して Tenable Vulnerability Management のデータセキュリティとプライバシーを確保しています。
Tenable では安全な開発を行うためにどのような方法を取っていますか?
Tenable は、Tenable Vulnerability Management アプリケーションソフトウェアのセキュリティを確保するために、多くの慣行に従っています。
Tenable では次の 3 つの異なるグループがテストを実行しています。
- 開発チームがセキュリティテストを実行します。
- Tenable IT セキュリティチームは、導入前と導入後の両方で Tenable Vulnerability Management の脆弱性テストを実行します (導入後のテストはスケジュールされておらず、他のチームへの事前警告もありません)。
- Tenable が展開前にソースコードと変更内容に関するセキュリティレビューを追加で実行します。
ソフトウェア展開はすべて自動で、ビルドシステムによってのみ実行されます。このビルドシステムは、SSH 秘密キーを使用して認証された企業の LDAP 資格情報または Ansible によって認証されます。すべての展開はログに記録されて追跡されます。(計画された、または計画されていない) 展開アクションに関する通知が Tenable 開発チームに自動的に送信されます。
ソースコードに対するすべての変更が追跡され、変更がインストールされるリリースにリンクされます。この追跡によって、だれがいつ変更したのか、最終的に実稼働環境に展開されたのはいつか、という完全な履歴がすべての変更について維持されます。
各展開は、少なくとも2人の Tenable チームメンバーにより承認されます。すべての変更と展開がチームメンバー全員に送信されます。ソフトウェアは最初にテスト環境に展開され、次に「ローリング形式」で一定の時間枠内に実稼働環境インスタンスに展開されます。
どのようなユーザーアプリケーションセキュリティが施されていますか?
- Tenable Vulnerability Management へ安全かつ承認された方法で確実にアクセスできるようにすることは、開発チームと運用チームにとって最優先事項となります。 Tenable Vulnerability Management には、顧客データを安全に保ち、アクセスを制御するための多数のメカニズムがあります。 ブルートフォース攻撃から保護するために、ログインに5回失敗したらアカウントはロックされます。
- データ傍受を防止するために、プラットフォームに対するすべての通信をSSL (TLS-1.2) で暗号化します。また、最高レベルの保護を行うために、安全性の低い古いSSLネゴシエーションを拒否します。
- プラットフォームへのアクセスを保護するために、お客様は Twilio 提供のサービスを使用して2要素認証を設定できます。
- お客様は、Tenable Vulnerability Management を SAML デプロイメントに統合できます。Tenable Vulnerability Management は、IdP と SP で開始されたリクエストの両方をサポートします。 最後に、ユーザーは自分の電子メールアドレスを使用してアプリケーション内でパスワードを直接リセットできます。
- お客様は多くの場合、文書化された API または SDK を使用して Tenable Vulnerability Management への接続を構築します。 権限の付与と制御は、特定のAPI「キー」を作成することで行います。さまざまな統合のためにそれぞれ異なるキーを使用できます。ユーザー資格情報を共有する必要はありません。
顧客データはどのように保護されますか?
Tenable はいくつものセキュリティ対策を適用して Tenable Vulnerability Management のデータセキュリティとプライバシーを確保しています。
データはどのように暗号化されますか?
Tenable Vulnerability Management プラットフォーム内のあらゆる状態のすべてのデータが、AES-256 以上を使用して、少なくとも 1 つの暗号化レベルで暗号化されます。
保存時: データは、AES-256 暗号処理方式で少なくとも 1 段階暗号化されたメディアに保存されます。
いくつかのデータクラスには、ファイルごとの第 2 レベルの暗号化が含まれています。
輸送時: データは TLS v1.2 と 4096 ビットのキー (これには内部転送を含む) を使用した転送により暗号化されます。
Tenable 脆弱性管理センサーの通信: センサーからプラットフォームへのトラフィックは、常にセンサーから開始され、ポート 443 経由の送信に限定されます。トラフィックは TSL 1.2 で 4096 ビットキーを使用する SSL 通信によって暗号化されます。そのため、ファイアウォールを変更する必要がなく、お客様がファイアウォールルールを使用して接続を制御することができます。
- スキャナーとプラットフォームの間の認証
- プラットフォームは、コンテナに接続するスキャナーごとに 256 ビット長のランダムキーを生成し、そのキーをリンク作成処理中にスキャナーに渡します。
- スキャナーはこのキーを使用して、ジョブ、プラグイン更新、スキャナーバイナリの更新を要求するときに、コントローラから認証を受けます。
- スキャナーとプラットフォームの間のジョブ通信
- スキャナーがプラットフォームに 30 秒ごとに接続します。
- ジョブが存在する場合、プラットフォームが 128 ビットのランダムキーを生成します。
- スキャナーがプラットフォームにポリシーを要求します。
- コントローラがキーを使用してポリシーを暗号化します。ポリシーには、スキャン時に使用する資格情報が含まれています。
バックアップ / レプリケーション時: ボリュームスナップショットとデータレプリカは、AES-256 以上のソースと同じレベルの暗号化レベルで保存されます。 すべてのレプリケーションはプロバイダ経由で行われます。 Tenable は物理的にオフサイトのメディアや物理システムにデータをバックアップしません。
インデックス時: インデックスデータは、AES-256 暗号処理方式で少なくとも 1 段階暗号化されたメディアに保存されます。
スキャン認証情報: コンテナの AES-256 グローバルキー内で暗号化されたポリシー内に保存されます。 スキャンが開始されると、ポリシーは 1 つのランダム 128 ビットキーで暗号化され、TLS v1.2 を使用して 4096 ビットのキーで転送されます。
キーマネージメント: キーは中央に格納され、ロールベースのキーで暗号化され、アクセスは制限されます。 格納されている暗号化済みデータはすべて、新しいキーに対してローテーションされます。データファイル暗号化キーは、ディスクレベルキーと同様に、各地域サイトごとに異なります。キーの共有は禁止されており、キー管理手順は毎年レビューされます。
自分のキーをアップロードできますか?
お客様はキー管理を設定できません。キーとキーローテーションは Tenable が管理します。
Tenable は、Privacy Shield や CSA STAR などのプライバシーまたはセキュリティに関する認定を既に受けていますか?
Tenable Network Security は、欧州連合およびスイスから米国に転送される個人情報の収集、使用、および保持に関して、それぞれ米国商務省が定めた EU-米国間のプライバシーシールドフレームワーク、スイス-米国間のプライバシーシールドフレームワークに準拠しています。Tenable Network Security は、プライバシーシールド原則に基づいて商務省の認定を受けています。プライバシーポリシーとプライバシーシールド原則の間に矛盾がある場合、プライバシーシールド原則が優先されます。プライバシーシールドプログラムの詳細については、https://www.privacyshield.gov/ をご覧ください。
Tenable は、クラウドセキュリティアライアンス (CSA) STAR自己診断も完了しています。 Consensus Assessment Initiative Questionnaire (CAIQ) に対する Tenable の回答には、Tenable Vulnerability Management の見込み顧客、顧客、またはパートナーが必要とする可能性のある 140 を超えるセキュリティ関連の質問の回答を記載しています。 CSA STAR は、クラウドのセキュリティを保証するための業界で最も強力なプログラムです。STAR (Security Trust & Assurance Registry) には、透明性、厳格な監査、標準への準拠 (ベストプラクティスの記述、クラウドオファリングのセキュリティ態勢の検証など) といった主要な原則が含まれています。
個人情報(Personally Identifiable Information: PII)はどのように保護されますか?
Tenable Vulnerability Management プラットフォームは、追加の認証やセキュリティ対策が必要となる形式で個人を特定できる情報 (PII) データタイプを収集しないようにあらゆる努力を払っています。 これには、クレジットカード番号、社会保障番号、その他のカスタム検査が含まれます。Tenable プラグインが機密情報や個人情報が含まれる可能性がある文字列をキャプチャすると、プラットフォームによってその文字列の 50 %以上が自動的に不明瞭にされ、機密である可能性があるデータを保護します。
顧客データは分離されますか?
各ユーザーのデータには「コンテナ ID」が付けられます。コンテナ ID は、各お客様のサブスクリプションに対応します。このコンテナIDにより、お客様のデータへのアクセスが当該のお客様のみに確実に制限されます。
Tenable Vulnerability Management を保護するセキュリティ制御は何ですか?
- Tenable は毎日脆弱性スキャンを実行しています。
- ファイアウォールとネットワークセグメンテーションがアクセスを制御します。自動化されたツールとプロセスが Tenable Vulnerability Management プラットフォームの稼働時間とパフォーマンスを監視し、異常な動作を検出します。
- ログを 365 日 24 時間常時自動的に監視し、Tenable スタッフが年中無休でイベントに対応します。
Tenable Vulnerability Management センサーはどのように保護されていますか?
このプラットフォームに接続するセンサーは、脆弱性と資産の情報を収集し、お客様のセキュリティにおいて重要な役割を果たします。センサーからのデータを保護して通信経路を安全な状態に保つことが、Tenable Vulnerability Management のコア機能です。 Tenable Vulnerability Management が現在サポートしているセンサーは、Tenable Nessus 脆弱性スキャナー、パッシブスキャナー、Tenable Nessus エージェントです。
これらのセンサーは、暗号を使用して認証され、Tenable Vulnerability Management にリンクされた後、Tenable Vulnerability Management プラットフォームに接続します。リンクされると、Tenable Vulnerability Management がすべての更新 (プラグイン、コードなど) を管理して、センサーを常に最新の状態に維持します。
センサーからプラットフォームへのトラフィックは、常にセンサーから開始され、ポート 443 経由の送信に限定されます。トラフィックは TSL 1.2 で 4096 ビットキーを使用する SSL 通信によって暗号化されます。そのため、ファイアウォールを変更する必要がなく、お客様がファイアウォールルールを使用して接続を制御することができます。
- スキャナーとプラットフォームの間の認証
- プラットフォームは、コンテナに接続するスキャナーごとに 256 ビット長のランダムキーを生成し、そのキーをリンク作成処理中にスキャナーに渡します。
- スキャナーはこのキーを使用して、ジョブ、プラグイン更新、スキャナーバイナリの更新を要求するときに、コントローラから認証を受けます。
- スキャナーとプラットフォームの間のジョブ通信
- スキャナーがプラットフォームに 30 秒ごとに接続します。
- ジョブが存在する場合、プラットフォームが 128 ビットのランダムキーを生成します。
- スキャナーがプラットフォームにポリシーを要求します。
- コントローラがキーを使用してポリシーを暗号化します。ポリシーには、スキャン時に使用する資格情報が含まれています。
Tenable Vulnerability Management の可用性はどのように管理されますか?
Tenable Vulnerability Management サービスは 99.95% 以上の稼働時間を実現するように尽力しています。実際、ほとんどのサービスで 100% の稼働時間を提供しています。Tenable は、すべてのユーザーにプラットフォームを提供することを保証するための取り組みと、計画外停止が発生した場合のお客様への返金について記述した SLA を公開しています。
「稼働」状態は、サードパーティが実施する公的な可用性テストにより決められます。このテストでは、すべてのサービスの可用性が定期的に検査されます。サービス稼働時間 (現在および過去) は、https://status.tenable.com でご覧ください。
Tenable Vulnerability Management では、AWS プラットフォームやその他の先進的なテクノロジーを大いに活用して、可能な限り最高のサービスと全体的な品質をお客様に提供しています。お客様にとって役立つ展開済みソリューションの一部を以下に記します。
- ElasticSearch クラスタ: Elasticsearch クラスターは可用性が高く、マスターノード、lb ノード、1 つ以上のデータノードを失っても、サービス可用性に影響を及ぼすことなく回復できます。
- Elastic block stores: 日次のスナップショットを作成し、8 個のコピーを保存します。
- Kafka エコシステム: Kafka と Zookeeper はどちらもクラスター全体のデータをレプリケートし、いずれかのノードで致命的なエラーが発生したときのための耐障害性を提供します。
- Postgres インスタンス: バックエンドのマクロサービスフレームワークを管理し、30 日間分のスナップショットを保持します。
データはどこで複製されますか?
複製されたデータは同じリージョンに保存されます。
どのようなディザスターリカバリー機能を備えていますか?
災害とは、1 つ以上のリージョンでデータまたは設備が回復できない程度に失われる事象のことです。
Tenable Vulnerability Management の災害復旧手順にはいくつかのレベルがあり、5 年から 50 年の間に 1 回生じる可能性がある状況に対応できるように設計されています。災害の範囲に応じて、復旧手順の所要時間は 60 分から 48 時間まで幅があります。
顧客データには誰がアクセスできますか?
データに誰がアクセスできるかは、お客様が制御できます。社員に役割とアクセス許可を割り当てたり、Tenable サポートスタッフに一時的に権限を付与したりできます。
ユーザー役割とアクセス許可はどのように管理されますか?
Tenable Vulnerability Management の顧客管理者では、ユーザーロール (基本、標準、管理者、無効) を割り当てて、スキャン、ポリシー、スキャナ、エージェント、資産リストへのアクセスを管理できます。
Tenable スタッフは顧客のデータにアクセスできますか?
はい。お客様の許可があれば、Tenable のグローバルサポートスタッフの階層 3 メンバーはユーザーアカウントになりすますことができます。それにより、そのユーザーのパスワードを取得することなく、別のユーザーとして Tenable Vulnerability Management で操作を実行できるようになります。 Tenable サポートスタッフまたはお客様が、この機能をアクティブにするようリクエストできます。Tenable サポートスタッフは、アクティブなサポートケースのノートから、権限の借用を「承認」するようお客様に求めます。アクセス許可は、サポートに記録される各問題に対して付与する必要があります。Tenable が権限の借用を無差別に許可することはありません。ユーザーの権限を借用すると、元の場所からデータが移動することがあります。
Tenable Vulnerability Management の運用スタッフの全員に、第三者による身元調査に合格することを義務付けています。 さらに、上級チームのメンバーは全員、SaaS ベースのセキュリティ ソフトウェア会社で少なくとも 5 年の経験があり、その多くは CISSP などのセキュリティ認定資格も取得しています。
Tenable には決められた雇用と退職のプロセスがあります。雇用時には従業員全員に秘密保持契約書に署名することを義務付け、退職時にはすぐにすべてのアカウントとアクセスキーを取り消します。
権限の借用機能を使用できるのは誰ですか?
権限の借用機能は、Tenable のレベル 3 のサポートスタッフメンバーのみ使用できます。
権限の借用アクティビティはログに記録されますか?
できます。
Tenable が技術上の問題をトラブルシューティングするときにデータが国外に出ることはありますか?
Tenable はお客様のデータを保護するためにあらゆる努力を払っています。お客様と連携してお客様のポリシーを遵守し、必要なリージョン内にデータをとどめます。 一方で、お客様が Tenable にレポートをメール送信するなどしてリージョンの外にメールを送信したために、お客様自身がポリシーに違反してしまったというケースがあります。
Tenable サポートスタッフは顧客の内部ネットワークにアクセスできますか?
いいえ。すべてのトラフィックはスキャナーから開始され、送信に制限されます。スキャナーはお客様のファイアウォールの内側にインストールされるので、スキャナーのアクセスはお客様のファイアウォールによって制御できます。
顧客データは Tenable Vulnerability Management 内にどのくらいの期間保持されますか?
データ保持期間は、さまざまなお客様の要件と規制要件に合わせて設計されます。
アクティブなスキャンデータの保存期間を教えてください。
経時的に進行状況を測定する機能は、Tenable Vulnerability Management プラットフォームのコア機能の1つです。Tenable Vulnerability Management は顧客データを 15 か月間自動的に保存しています。それにより、1 年間にわたって報告ができる状態にしています。
15 か月を超えるストレージが必要なお客様向けに、Tenable Vulnerability Management では顧客データをダウンロードする方法をいくつかご用意しており、必要に応じて各々がデータを保存できるようになっています。
顧客が Tenable Vulnerability Management サービスを中止した場合、データはどのくらいの期間保持されますか?
お客様のアカウントの有効期限が切れたり終了したりした場合、Tenable は期限が切れたときの状態のまま、データを 180 日間保持します。その後、データは削除され、回復できなくなります。
PCI 関連のデータの保存期間を教えてください。
PCI コンプライアンス検証プロセスに関連するデータは、PCI 標準に規定されているように、PCI 準拠認定日以降、最低 3 年間は削除されません。お客様がスキャンやアカウントを削除したり Tenable Vulnerability Management サービスを終了したりした場合であっても、Tenable はこのようなデータを該当期間にわたって保存します。
Tenable Vulnerability Management の使用状況データはどのくらいの期間保持されますか?
可能な限り最高のエクスペリエンスを提供するために、お客様のコンテナがアクティブな状態である間はずっと使用状況情報を収集します。お客様がサービスの使用を終了すると、データは最長で 180 日間保存されます。
Tenable Vulnerability Management はコモンクライテリア認定を取得していますか?
一般に、コモンクライテリア認定は SaaS ソリューションには適用されません。更新頻度が高いため、完了するまでに 6 カ月から 9 カ月かかる認定プロセスには合わないからです。
データが保存される国をユーザーが選択することはできますか?
例外的に、展開の前にお客様から特定の地域を要求された場合に限り、Tenable はその場所でお客様をアクティブにします。現在の場所は次の通りです。
- 米国
- ロンドン
- フランクフルト
- シドニー
- シンガポール
- カナダ
- 日本
- ブラジル
- インド
データは特定の国内で複数の場所に存在するのですか?
いいえ。現在、Tenable はデータを別の場所に複製していません。
PCI DSS - データセキュリティ規格準拠の検証プロセスをASVスキャンで最適化
PCI ASVとは?
PCI ASVとは、四半期ごとに外部脆弱性スキャンを実行することを義務付ける、ペイメントカード業界(Payment Card Industry: PCI)のデータセキュリティ基準(Data Security Standard: DSS)の「要件とセキュリティ評価手順」の要件11.2.2のことです。この脆弱性スキャンは認定スキャンベンダー(Approved Scanning Vendor: ASV)による実施(または証明)が必要とされています。ASVとは、PCI DSS要件11.2.2の外部スキャン要件に準拠した検証を行うための一連のサービスとツール(「ASVスキャンソリューション」)を有する組織です。
ASV スキャンの対象となるのはどのシステムですか?
PCI DSS では、カード会員のデータ環境に含まれている、スキャンユーザーが所有または使用する外部アクセス可能な (インターネットに接続した) すべてのシステムコンポーネント、およびカード会員のデータ環境につながるすべての外部接続システムコンポーネントの脆弱性スキャンを行うことを義務付けています。
ASV プロセスとは?
ASV スキャンの主要なフェーズは以下によって構成されます。
- 範囲の設定:お客様が実行します。カード会員のデータ環境に含まれているすべてのインターネット接続システムコンポーネントを対象にします。
- スキャン:Tenable Vulnerability Management PCI 四半期外部スキャンテンプレートを使用します。
- レポート作成/修正:中間レポートの結果を修正します。
- 問題点の解決: お客様とASVが共同でスキャン結果の問題を文書化し、解決します。
- 再スキャン (必要な場合):問題点が解決されて例外が生成される合格スキャンまで行います。
- 最終レポート作成: 安全な形式で送信しおよび配信します。
ASV スキャンが必要とされる頻度は?
ASV 脆弱性スキャンは少なくとも四半期ごとに必要です。また、新しいシステムコンポーネントの設置、ネットワークトポロジーの変更、ファイヤーウォールルールの変更、製品のアップグレードなど、ネットワークが大きく変更した後にも必要です。
認定スキャンベンダー (ASV) と認定セキュリティ評価機関 (Qualified Security Assessor: QSA) の違いとは?
承認されたスキャンベンダー (ASV) は、特に PCI DSS 11.2 に記載されている外部脆弱性スキャンのみを実行します。 認定セキュリティ評価者 (QSA) とは、PCI セキュリティ標準評議会 (SSC) が一般的な PCI DSS オンサイト評価を実行する資格を取得し、訓練を受けた評価会社を指します。
Tenable PCI ASVソリューションに関する資格等
Tenable は PCI 認定の ASV ですか?
はい。Tenable は、加盟店とサービスプロバイダーのインターネット接続環境 (カード会員データの保存、処理、転送に使用される環境) の外部脆弱性スキャンを検証する認定スキャンベンダー (ASV) の資格を有しています。 ASV 認定プロセスは、3 つの部分で構成されています。最初の部分には、ベンダーとしての Tenable Network Security の認定が関係します。2 番目の部分に関係するのは、リモートの PCI スキャンサービスを実行する Tenable 従業員の認定です。 3 つ目の工程は、Tenable リモートスキャンソリューション (Tenable Vulnerability Management および Tenable PCI ASV) のセキュリティテストで構成されます。
Tenable は認定スキャンベンダー (ASV) として実際にスキャンを実行しますか?
ASV はスキャンを実行できます。ただし、Tenable は、四半期の PCI 外部スキャン用のテンプレートを使用してお客様にご自分でスキャンを実行していただくことにしています。このテンプレートでは、お客様が脆弱性チェックの無効化、深刻度レベルの割り当て、スキャンパラメーターの変更などの設定変更ができないようになっています。 お客様は Tenable Vulnerability Management のクラウドベースのスキャナーを使用して、インターネットに接続されている自社環境をスキャンし、コンプライアンスに準拠したスキャンレポートを Tenable に送信して認証を受けます。 Tenable によって認証されたスキャンレポートは、お客様がペイメントブランドから指定された送信先またはペイメントブランドに送信します。
データ主権
Tenable PCI ASV は EU のデータ主権要件に準拠していますか?
脆弱性データは EU DPD 95/46/EC データではないため、データの保管場所に関する要件は規制当局ではなくお客様に依存します。EU 加盟国政府組織にデータ保管場所に関する独自の要件が存在する可能性がありますが、それらの要件は事例ごとに評価する必要があり、多くの場合 PCI-ASV スキャンにとって問題ではありません。
Tenable Vulnerability Management ASV 価格/ライセンス/購入
Tenable Vulnerability Management には PCI ASV ライセンスが含まれていますか?
はい。Tenable Vulnerability Management には、単一の一意の PCI 資産に対する PCI ASV ライセンスが含まれています。一部の組織は、支払い処理機能を外注するなどして、PCI の対象範囲の資産を限定することに尽力してきました。このようなお客様は、ほぼ間違いなく「PCI ビジネスに携わっていない」と考えられるため、Tenable は購入とライセンス交付を簡略化しました。 お客様は 90 日ごとに資産を変更できます。
Tenable PCI ASV のライセンスの適用方法は?
複数の一意の PCI 資産をお持ちのお客様の場合、Tenable PCI ASV ソリューションは Tenable Vulnerability Management サブスクリプションのアドオンとしてライセンス供与されます。
Tenable PCI ASV のライセンスが、インターネットに接続した顧客の PCI 資産数に応じて適用されないのはなぜですか?
エンティティのカード会員データ環境 (cardholder data environment: CDE) 内に存在する、または CDE 環境につながるインターネット接続ホスト数は頻繁に変わる可能性があるため、ライセンスの適用方法が複雑になることがあります。Tenable はより簡単なライセンス方式を採用しました。
ユーザーが四半期あたりに送信できる証明の数は?
お客様が四半期あたりに提出できる証明の数に制限はありません。
トライアル/評価版のユーザーが Tenable PCI ASV を評価することはできますか?
できます。評価版をお使いのお客様は、PCI Quarterly External Scan テンプレートを使って、資産をスキャンして結果を見ることができます。しかし、スキャンレポートを送信して認証することはできません。
- Tenable Vulnerability Management