信頼と保証

データの安全保障は当社の最優先業務です。

Tenable の企業理念の根幹には「セキュリティ」があります。当社の製品は、顧客データの機密性・安全性・可用性を中軸に設計されています。

Trust Tenable with your data security and privacy

Tenable 製品は、顧客データ保護だけでなく、お客様のデータへのアクセスを安全に管理します。セキュリティ規格に準拠している Tenable はクラウド環境で高い信頼性を誇り、何千ものお客様の脆弱性データをお任せいただいています。


データセキュリティ

Tenable はすべてのお客様の顧客情報保護、データの機密性、完全性、可用性の保護を企業目標の中核に据えています。Tenable One Vulnerability Management data is encrypted in transit and stored using modern ciphers and methods recommended by security industry and standards organizations. ネットワーク制御、アクセスコントロール、コンテナの隔離などの方法を多数使用して製品の各部分にセキュリティを作り込み、お客様のデータを守ります。

暗号化

Tenable One Vulnerability Management data is encrypted in transit and storage using TLS Encryption ciphers and AES-256. アプリケーションインフラのさまざまなレイヤーに暗号処理が適用され、暗号キーの保管には厳重にアクセスを制限しています。

アクセス制御

お客様のデータアクセス制御には、5 回連続してログイン試行が失敗したときのアカウントのロックアウト、 SAML、2 段階認証などの複数のメカニズムを活用しています。API キーによるアクセス制御も利用できます。

ネットワーク制御

Tenable のクラウドプラットフォームは、孤立した、プライベートネットワークに構築されており、コンテナ―隔離、送受信トラフィックの制限、複数のネットワークポイントにおける通信レート、ソース、タイプの監視などの複数のネットワーク制御を実行しています。

定期的なセキュリティ評価

Tenable では社内の Research チームや第三者に依頼して定期的なセキュリティ評価を行うほか、頻繁に脆弱性、ドッカ―コンテナ、ウェブアプリを対象にスキャンしています。


顧客情報保護とデータプライバシー

Tenable の最優先項目には、データ所有者であるお客様のみにデータアクセスを可能にすることを掲げ、 Tenable のクラウドプラットフォームに保管されたデータとプライバシー・顧客情報を確実に保護し、お客様以外のいかなる者や悪意のある相手による アクセスや開示、侵害を許しません。更に、複数のデータアクセスコントロールとデータローカリゼーション手法を活用して顧客データの保護機能を製品に作り込み、お客様のプライバシー守秘義務の履行を可能にします。

データの匿名化

業界横断的な分析を行うためにスキャンされたデータの場合、顧客を特定できる可能性のあるデータは、使用前に Tenable One プラットフォームで除去または匿名化しています。

データアクセス

Tenable はアカウントのロックアウト、2 段階認証、SAML その他の手法を使ってデータのアクセスを制御しています。匿名化されたデータのアクセスは Tenable Research に制限されており、一元化された名簿で管理されています。

データローカリゼーション

お客様がスキャンされたデータの収集と処理は、お客様の地理的な活動地域内で行われます。結果はまず匿名化され、その後、Tenable の分析プラットフォーム上で同様のデータと統合されます。


認証と保証

ISO 27001、NIAP、Privacy Shield Framework など多数の認証を取得している Tenable の製品は、コンプライアンス業務の遂行を支援し、強力なセキュリティ保証をクラウド環境で実現します。Tenable は CSA STAR プログラムのメンバーです。

>FedRAMP

FedRAMP

Tenable One Vulnerability Management and Tenable One Web App Scanning received FedRAMP Authorization to Operate (ATO) in 2021, demonstrating our commitment to cloud security and compliance.

StateRAMP

StateRAMP

Tenable One Vulnerability Management is StateRAMP Authorized, demonstrating our commitment to the security of State and Local Government agencies.

クラウドセキュリティアライアンス (CSA) STAR

Tenable は CSA STAR プログラムのメンバーです。CSA STARは、クラウドのセキュリティを保証するための業界で最も強力なプログラムです。To view the security controls for Tenable One Vulnerability Management, visit the CSA website.

ISO 27001

Tenable は ISO/IEC 27001:2022 認定を受けており、法務、人事、情報技術、ソフトウェア開発、経営管理、カスタマーサポート部門の ISMS に対応しています。Schellman 証明書ディレクトリにて詳細が公開されています。

プライバシーシールドフレームワーク

Tenable はプライバシーシールドフレームワーク認定を受けており、EU からスイス、米国への個人データの移転に関するすべてのデータ保護要件に適合しています。 

国家情報保証パートナーシップ (NIAP)

Tenable は、Tenable Security Center、Nessus Manager、Nessus Network Monitor、Nessus Agent 製品で NIAP 認定を取得しています。

SOC 2

Tenable の SOC 2 レポートは、Tenable の Service Organization Controls (SOC) フレームワークへの準拠を評価するサードパーティ監査の結果を記載しています。Tenable の SOC 2 レポートは、リクエストに応じて MNDA に基づいて提供されます。レポートのリクエストは、アカウント担当者にご連絡ください。

サービスの可用性

Tenable は業界初の 99.95% のアップタイム保証を提供し、サービスが常時稼働できる「いつでも ON」の状態を確保します。Tenable サービスの高可用性を保証する対策を常に実装して強制し、攻撃に対する防御ばかりでなく、 単純な欠陥や非稼働状態に対しても保護し、いつでもご利用いただける状態を維持しています。

安全なソフトウェア開発

Tenable では、専任チームによる安全なソフトウェア開発ライフサイクル (SSDLS) の推進に力を入れています。自動セキュリティテスト手法を活用して ソースコード、依存関係、下層インフラなどにある潜在的な脆弱性を検出することによって、 安全で高品質な製品を早いペースで出荷できるようにしています。

企業統治

Tenable の SSDLC チームは、自社のプロセスがセキュリティ制御を遵守するように管理し、自動セキュリティ テスト手法を使って企業データセキュリティの潜在的な脆弱性を検知しています。すべてのテストは厳格なスコア基準に従って評価され、 合格したもののみがリリースされます。

静的アプリケーションセキュリティテスト (SAST)

Tenable はアプリのソースコードのバグ、技術的負債、脆弱性について分析して製品のセキュリティと品質を確実なものにしています。

依存関係とサードバーティライブラリのスキャン

Tenable はプロジェクトの依存関係を分析して脆弱性とライセンシングに問題がないことを確かめています。

動的アプリケーションセキュリティテスト (DAST)

Tenable は自社製品に対して、定期的に自動ウェブアプリスキャンを実行して、開発段階早期にバグ、エクスプロイト、脆弱性などを発見するよう努めています。

製品セキュリティに関する勧告

Tenable は、ソフトウェアに固有の問題が判明した時点で公開します。また、修正も利用可能になった時点でお客様に公開します。詳細については、こちらをクリックしてください。

コード基準およびロールベースのアクセス制御

Tenable のソースコード基準のベースラインは、業界のベストプラクティスの認定条件と同等の 内容です。ソースコード基準には、ピアコードリビュー、ロールベースのアクセスコントロール、最小限の特権管理、 リポジトリオーナーシップ、職務分掌、その他が含まれています。


脆弱性管理

脆弱性管理ソリューションのプロバイダーとして最先端にある Tenable は、自社のプラットフォームを活用し、社内のノートパソコン、インフラ、クラウド環境をスキャンして脆弱性の検出と分析を行っています。

よくあるご質問

Tenable はどのようにしてデータを保護しているのですか?

Tenable はすべてのお客様データの機密性、完全性、可用性の保護を企業目標の中核に据えています。Tenable One Vulnerability Management のデータは転送中に TLS 暗号化によって保護され、保存時にはアプリケーションインフラ層で AES-256 暗号化が適用されています。

Tenable のクラウドプラットフォームは、孤立した、プライベートネットワークに構築されており、コンテナ―隔離、送受信トラフィックの制限、複数のネットワークポイントにおける通信レート、ソース、タイプの監視などの複数のネットワーク制御を実行しています。

また、Tenable は、お客様がデータへのアクセスを制御できるように、複数のアクセス制御を実装し、定期的なセキュリティ評価を行うために、脆弱性スキャン、Docker コンテナスキャン、ウェブアプリケーションスキャンを頻繁に行っています。

詳細と適用されているセキュリティ対策については「データセキュリティとプライバシー」データシートをご覧ください。

Which customer data does Tenable One Vulnerability Management manage?

Ultimately, the customer data Tenable One Vulnerability Management manages has a single purpose: to deliver an exceptional experience as customers manage assets and vulnerabilities to secure their environments. To that end, Tenable One Vulnerability Management manages three categories of customer data:

  1. 資産と脆弱性のデータ
  2. 環境のパフォーマンスデータ
  3. 使用状況データ

Which customer asset and vulnerability data does Tenable One Vulnerability Management manage?

Tenable One Vulnerability Management inventories assets on customers' networks and manages asset attributes that may include IP address, MAC address, NetBIOS name, operating system and version, active ports and more.

Tenable One Vulnerability Management collects detailed current and historical vulnerability and configuration data, which may include criticality, exploitability and remediation status and network activity. Additionally, if customers enhance Tenable One Vulnerability Management data with integrations to third-party products, such as asset management systems and patch management systems, Tenable Vulnerabilty Management may manage data from those products.

Tenable は顧客データを分析または使用しますか?

Tenable では、業界の傾向、脆弱性の発達と軽減についての傾向、セキュリティイベントの傾向を調査する目的で、顧客データを匿名化して分析します。たとえば、脆弱性の存在とその悪用との相関関係がわかれば、Tenable のお客様にとって大きなメリットになります。Tenable のクラウドで収集されるデータには、PII や個人情報を含むスキャンデータは含まれていません。業界横断的な分析を行うためにスキャンされたデータの場合、顧客を特定できる可能性のあるデータは、使用前に Tenable One プラットフォームで除去または匿名化しています。Additional benefits of Tenable's data analysis include advanced analytics and improved correlation of customer data with industry and security events and trends. こうしたデータを収集して分析することで、お客様は業界の他の企業や全体を基準としたベースラインを設定することもできます。Tenable では、お客様のご希望に応じてオプトアウトのオプションも提供しています。

ユーザーは正常性と状態のデータ収集をオプトアウトできますか?

To maintain Tenable One Vulnerability Management performance and availability and deliver the best possible user experience, Tenable One Vulnerability Management collects customer-specific application status and health information. これには、スキャナーとプラットフォームの通信頻度、スキャンされた資産数、展開されたソフトウェアのバージョン、また、潜在的な問題を可能な限り早急に検出して解決するための一般的な遠隔測定データが含まれます。

Tenable は正常性と状態のデータを使用して、潜在的な問題を即座に検出して解決することで、SLA コミットメントを維持しています。そのため、お客様がこのデータ収集をオプトアウトすることはできません。

Which usage data does Tenable One Vulnerability Management collect?

ユーザーエクスペリエンスを評価して向上させるために、Tenable はユーザー使用状況データを匿名化して収集します。このデータには、ページアクセス、クリック、ユーザーエクスペリエンスを合理化して向上させるために役立つその他のユーザーアクティビティが含まれます。

使用状況データの収集はオプトアウトできますか?

はい。お客様は、コンテナをこの収集プロセスから除外するようにリクエストできます。

顧客データはどこに保管されていますか?

Tenable uses data centers and services from Amazon Web Services (AWS) to provide and deliver Tenable One Vulnerability Management to customers. Collection and processing of customer scan data occurs inside the Tenable cloud platform within the geographic region where the customer's account is hosted, unless the customer explicitly selects a different geographic region for the data to reside. 現在利用可能なリージョンは次の通りです。

  • 米国東部
  • 米国西部
  • 米国中部
  • ロンドン
  • フランクフルト
  • シドニー
  • シンガポール
  • カナダ
  • 日本

将来、Tenable のサポート対象国は追加される予定です。

お客様のデータはすべて、安全な地域別の AWS サービスに保存されるため、Tenable クラウドには、AWS が保持している EU データ保護の認定内容が適用されます。 詳細は、https://aws.amazon.com/compliance/eu-data-protection/ でご確認ください。

特定の場所 / 国にデータを強制的に保存することはできますか?

はい。データは、アカウントの作成時に選択した国に保存されます。

How is customer data protected within Tenable One Vulnerability Management?

Tenable applies multiple security measures to deliver Tenable One Vulnerability Management data security and privacy. 詳細と適用されているセキュリティ対策については「データセキュリティとプライバシー」データシートをご覧ください。

Tenable では安全な開発を行うためにどのような方法を取っていますか?

包括的な詳細は「データセキュリティとプライバシー」データシートをご覧ください。

Tenable では、機能横断型の専任チームが安全なソフトウェア開発ライフサイクル (Secure Software Development Lifecycle : SSDLC) の推進に取り組んでいます。 安全で品質の高い製品を比較的高い頻度で出荷するために、Tenable では、ソースコード、依存関係、基盤となるインフラにおける潜在的な脆弱性を特定するセキュリティテストを自動化しています。 Tenable は、コンテナイメージに対して、SAST (静的アプリケーションセキュリティテスト)、依存関係とサードパーティライブラリのスキャン、DAST (動的アプリケーションセキュリティテスト)、脆弱性テストを実施しています。 厳しい​採点基準を厳守し、開発プロセス全体で実施されています。

どのようなユーザーアプリケーションセキュリティが施されていますか?

Tenable は、お客様がデータを安全に保護してアクセスを制御するのに役立つ、以下を含むいくつものメカニズムを実装しています。

  • データは移動中と保管時に AES-256 と TLS を使用して暗号化されています。 暗号キーは安全にアクセスを制御したうえで格納されています。暗号化はさまざまなアプリケーションインフラ層に適用され、キーの共有は禁止されています。
  • ブルートフォース攻撃から保護するために、ログインに 5 回失敗するとアカウントはロックされます​。
  • お客様は Twilio 提供のサービスを使用して 2 要素認証を設定できます。
  • Customers can integrate Tenable One Vulnerability Management with their SAML deployment. Tenable One Vulnerability Management supports both IdP and SP initiated requests. さらに、ユーザーは自分の電子メールアドレスを使用してアプリケーション内でパスワードを直接リセットできます。
  • Customers can build custom connections to Tenable One Vulnerability Management using our documented APIs or SDKs. アクセスの付与と制御は、特定の API 「キー」を作成することで行います。 さまざまな統合のためにそれぞれ異なるキーを使用できます。そのため、ユーザー資格情報を共有する必要はありません。
  • Tenable のクラウドで収集されるデータには、PII や個人情報を含むスキャンデータは一切含まれていません。業界横断的な分析を行うためにスキャンされたデータの場合、顧客を特定できる可能性のあるデータは、使用前に Tenable One プラットフォームで除去または匿名化しています。
  • データ傍受を防止するために、プラットフォームに対するすべての通信は SSL (TLS-1.2) で暗号化されています。 また、最高レベルの保護を行うために、安全性の低い古い SSL ネゴシエーションを拒否します。

データはどのように暗号化されますか?

All data in all states in the Tenable One Vulnerability Management platform is encrypted with at least one level of encryption, using AES-256 and TLS encryption ciphers.

保存時: データは、AES-256 暗号処理方式で少なくとも 1 段階暗号化されたメディアに保存されます。

いくつかのデータクラスには、ファイルごとの第 2 レベルの暗号化が含まれています。

転送時: データは TLS v1.2 と 4096 ビットのキー (これには内部転送を含む) を使用した転送により暗号化されます。

Tenable One Vulnerability Management Sensor Communication: センサーからプラットフォームへのトラフィックは、常にセンサーから開始され、ポート 443 経由の送信に限定されます。 トラフィックは TSL 1.2 で 4096 ビットキーを使用する SSL 通信によって暗号化されます。そのため、ファイアウォールを変更する必要がなく、お客様がファイアウォールルールを使用して接続を制御することができます。

  • スキャナーとプラットフォームの間の認証
    • プラットフォームは、コンテナに接続するスキャナーごとに 256 ビット長のランダムキーを生成し、そのキーをリンク作成処理中にスキャナーに渡します。
    • スキャナーはこのキーを使用して、ジョブ、プラグイン更新、スキャナーバイナリの更新を要求するときに、コントローラーから認証を受けます。
  • スキャナーとプラットフォームの間のジョブ通信
    • スキャナーがプラットフォームに 30 秒ごとに接続します。
    • ジョブが存在する場合、プラットフォームが 128 ビットのランダムキーを生成します。
    • スキャナーがプラットフォームにポリシーを要求します。
    • コントローラーがキーを使用してポリシーを暗号化します。ポリシーには、スキャン時に使用する認証情報が含まれています。

バックアップ / レプリケーション時: ボリュームスナップショットとデータレプリカは、AES-256 以上のソースと同じレベルの暗号化レベルで保存されます。 すべてのレプリケーションはプロバイダ経由で行われます。 Tenable は物理的にオフサイトのメディアや物理システムにデータをバックアップしません。

インデックス時: インデックスデータは、AES-256 暗号処理方式で少なくとも 1 段階暗号化されたメディアに保存されます。

スキャン認証情報: Are stored inside of a policy that is encrypted within the container's AES-256 global key. スキャンが開始されると、ポリシーは 1 つのランダムな 128 ビットキーで暗号化され、TLS v1.2 を使用して 4096 ビットのキーで転送されます。

キーマネージメント: キーは中央に格納され、ロールベースのキーで暗号化され、アクセスは制限されます。 格納されている暗号化済みデータはすべて、新しいキーに対してローテーションされます。データファイル暗号化キーは、ディスクレベルキーと同様に、各地域サイトごとに異なります。 キーの共有は禁止されており、キー管理手順は毎年レビューされます。

自分のキーをアップロードできますか?

お客様はキー管理を設定できません。キーとキーローテーションは Tenable が管理します。

Tenable は、Privacy Shield や CSA STAR などのプライバシーまたはセキュリティに関する認定を既に受けていますか?

Tenable は以下の認定を受けています。

  • クラウドセキュリティアライアンス (CSA) STAR
  • プライバシーシールドフレームワーク
  • ISO 27001
  • National Information Assurance Partnership (NIAP)
  • FedRAMP authorization for Tenable One Vulnerability Management and Tenable One Web App Scanning

Tenable はどのようにして個人を特定できる情報 (PII) を保護しているのですか?

The Tenable One Vulnerability Management platform makes every effort not to collect PII data types in a format that would require additional certifications or security measures. Tenable のクラウドで収集されるデータには、PII や個人情報を含むスキャンデータは一切含まれていません。業界横断的な分析を行うためにスキャンされたデータの場合、顧客を特定できる可能性のあるデータは、使用前に Tenable One プラットフォームで除去または匿名化しています。これには、クレジットカード番号、社会保障番号、その他のカスタムチェックが含まれます。Tenable プラグインが機密情報や個人情報が含まれる可能性がある文字列をキャプチャすると、プラットフォームによってその文字列の 50% 以上が自動的に難読化され、機密である可能性があるデータを保護します。

顧客データは分離されますか?

Each customer's data is marked with a “container ID” that corresponds to a specific customer subscription. This container ID assures access to a customer's data is limited to only that customer.

Which security controls protect Tenable One Vulnerability Management?

独自のソリューションを活用して、すべての企業資産のノートパソコンや、インフラ、クラウド環境に対し日次、週次、または月次スキャンを実施しています。 All findings are analyzed, ticketed and tracked in accordance with the Tenable One Vulnerability Management policy. Tenable's vulnerability management program encompases authenticed, agent, web application and database scanning. さらに、以下のような制御を行っています。

  • ファイアウォールとネットワークセグメンテーションがアクセスを制御します。
  • Automated tools and processes monitor the Tenable One Vulnerability Management platform for uptime, performance and to detect anomalous behavior.
  • ログを 365 日 24 時間常時自動的に監視し、Tenable スタッフが年中無休でイベントに対応します。
  • 当社のアプリケーション、サービス、ビジネス全体に対するサードパーティによるペネトレーションテスト。
  • Tenable は脆弱性レポートボードを活用し、幅広いセキュリティ専門家のコミュニティが発見した弱点や脆弱性の報告を受け付け、これに対応しています。 脆弱性が識別され、トリアージや対応がなされた場合は、お客様や見込み客、その他の幅広いコミュニティに向けてセキュリティアドバイザリを発行しています。
  • Tenable は厳密なリスク管理プログラムに基づき、すべてのサードパーティベンターに対してレビューを実施しています。

How are Tenable One Vulnerability Management sensors secured?

The sensors that connect to the platform play a major role in a customer's security, collecting vulnerability and asset information. Protecting this data and ensuring the communication paths are secure is a core function of Tenable One Vulnerability Management. Tenable One Vulnerability Management supports several sensors today: Nessus 脆弱性センサー、パッシブセンサー、Nessus Agents をサポートしています。

These sensors connect to the Tenable One Vulnerability Management platform after cryptographically authenticating and linking to Tenable One Vulnerability Management. Once linked, Tenable One Vulnerability Management manages all updates (plugins, code, etc.) to ensure the sensors are always up to date.

センサーからプラットフォームへのトラフィックは、常にセンサーから開始され、ポート 443 経由の送信に限定されます。トラフィックは TSL 1.2 で 4096 ビットキーを使用する SSL 通信によって暗号化されます。そのため、ファイアウォールを変更する必要がなく、お客様がファイアウォールルールを使用して接続を制御することができます。

  • スキャナーとプラットフォームの間の認証
    • プラットフォームは、コンテナに接続するスキャナーごとに 256 ビット長のランダムキーを生成し、そのキーをリンク作成処理中にスキャナーに渡します。
    • スキャナーはこのキーを使用して、ジョブ、プラグイン更新、スキャナーバイナリの更新を要求するときに、コントローラーから認証を受けます。
  • スキャナーとプラットフォームの間のジョブ通信
    • スキャナーがプラットフォームに 30 秒ごとに接続します。
    • ジョブが存在する場合、プラットフォームが 128 ビットのランダムキーを生成します。
    • スキャナーがプラットフォームにポリシーを要求します。
    • コントローラーがキーを使用してポリシーを暗号化します。ポリシーには、スキャン時に使用する認証情報が含まれています。

How is Tenable One Vulnerability Management availability managed?

The Tenable One Vulnerability Management services strive to provide a 99.95% or better uptime, and have delivered 100% uptime on the majority of services. Tenable は、すべてのユーザーにプラットフォームを提供することを保証するための取り組みと、計画外停止が発生した場合のお客様への返金について記述した SLA を公開しています。

「稼働」状態は、サードパーティが実施する公的な可用性テストにより決められます。このテストでは、すべてのサービスの可用性が定期的に検査されます。 サービス稼働時間 (現在および過去) は、https://status.tenable.com/ でご覧ください。

Tenable One Vulnerability Management makes extensive use of the AWS platform and other leading technologies to ensure our customers experience the best possible service and overall quality. お客様にとって役立つ導入済みソリューションの一部を以下に記します。

  • Elasticsearch クラスター: Elasticsearch クラスターは可用性が高く、マスターノード、lb ノード、1 つ以上のデータノードを失っても、サービス可用性に影響を及ぼすことなく回復できます。
  • Elastic Block Stores: 日次のスナップショットを作成し、8 個のコピーを保存します。
  • Kafka エコシステム: Kafka と Zookeeper はどちらもクラスター全体のデータをレプリケートし、いずれかのノードで致命的なエラーが発生したときのための耐障害性を提供します。
  • Postgres インスタンス: バックエンドのマクロサービスフレームワークを管理し、30 日間分のスナップショットを保持します。

データはどこで複製されますか?

複製されたデータは同じリージョンに保存されます。

どのようなディザスターリカバリー機能を備えていますか?

災害とは、1 つ以上のリージョンでデータまたは設備が回復できない程度に失われる事象のことです。

Tenable One Vulnerability Management disaster recovery procedures have several levels and are designed to react to situations that may occur from anywhere between once in five years to once in 50 years. 災害の範囲に応じて、復旧手順の所要時間は 60 分から 24 時間まで幅があります。

顧客データには誰がアクセスできますか?

データに誰がアクセスできるかは、お客様が制御できます。社員に役割とアクセス許可を割り当てたり、Tenable サポートスタッフに一時的に権限を付与したりできます。

ユーザー役割とアクセス許可はどのように管理されますか?

Tenable One Vulnerability Management customer administrators can assign user roles (basic, scan operator, standard, scan manager, administrator and disabled) to manage permissions for major functions in Tenable One Vulnerability Management such as access to scans, policies, scanners, agents and asset lists. また、お客様は、企業内のグループにアクセスグループを割り当て、特定の資産や関連する脆弱性を集約されたスキャン結果で閲覧したり、特定のターゲットに対してスキャンを実行し、個々のスキャン結果を閲覧したりすることができます。

Tenable スタッフは顧客のデータにアクセスできますか?

はい。 Tenable Technical Support restricts the Tenable One Vulnerability Management impersonation privilege to a subset of authorized senior roles. With customer permission, authorized senior members of Tenable's global support staff can impersonate user accounts, which allows them to perform operations in Tenable One Vulnerability Management as another user without needing to obtain that user's password.

Tenableサポートスタッフまたはお客様が、この機能をアクティブにするよう要求できます。If Tenable Technical Support needs to impersonate a Tenable One Vulnerability Management user, a ticket is opened and tracked until closure. テクニカルサポートは、権限借用を行うビジネス上の必要性を確認した上で、お客様にメールを送信します。 お客様は、テクニカルサポートのユーザー権限借用への承認を電子メールで確認する必要があります。 テクニカルサポートは、お客様からの承認が得られるまで、ユーザーの権限を借用することはありません。 アクセス許可は、サポートに記録される各問題に対して付与する必要があります。承認は最初のチケットの中で追跡されます。 Tenable が権限の借用を無差別に許可することはありません。

Tenable には定められた雇用と退職のプロセスがあります。雇用時には従業員全員に秘密保持契約書に署名することを義務付け、退職時にはすぐにすべてのアカウントとアクセスキーを取り消します。All Tenable One Vulnerability Management operations staff are also required to pass a third-party background check.

権限の借用機能を使用できるのは誰ですか?

権限の借用機能は、アカウント管理者と Tenable の認証された上級サポートスタッフメンバーのみ使用できます。 権限借用を行うことができるすべてのアカウントは、セキュリティのために 2 要素認証が必要です。 Tenable は社内で権限借用を監査しており、お客様も各自アカウントに対して行われた権限借用を監査することができます。 All impersonations are logged in audit logs, and all Tenable One Vulnerability Management customers can audit impersonations through the API. Tenable documents how to pull the audit logs in the following public document, https://developer.tenable.com/reference#audit-log. 自動化されたアカウント ([email protected]) があり、これらの監査ログに表示される場合があることに注意してください。

Tenable が技術上の問題をトラブルシューティングするときにデータが国外に出ることはありますか?

Tenable は顧客データを保護するためにあらゆる努力を払っています。お客様と連携してお客様のポリシーを遵守し、必要なリージョン内にデータをとどめます。 ただし、ユーザーの権限を借用すると、元の場所からデータが移動することがあります。 現地の営業時間を超えてケースワークを継続する必要がある場合は、フォローザサンプロセスを使用する必要があるケースがあります。 また、お客様が Tenable にレポートをメール送信するなどしてリージョンの外にメールを送信したために、お客様自身がポリシーに違反してしまったというケースがあります。

FedRAMP 認証を受けた Tenable 製品を使用しているお客様の場合、このデータは常に米国内に留まります。

Will Tenable support staff have access to a customer's internal network?

いいえ。すべてのトラフィックはスキャナーから開始され、送信に制限されます。The scanners are installed behind the customer's firewall and customers can control access of the scanners via their firewall.

What is the Tenable One Vulnerability Management Data Retention Policy?

The data retention policy for Tenable One Vulnerability Management and other Tenable-hosted products is 12 months of retention for existing customers. 製品サブスクリプションを終了したお客様の場合、顧客データは終了日から 30 日間保持されます。 Tenable's data retention policy with respect to PCI scans matches then-current requirements set forth by the PCI Security Standards Council.

アクティブなスキャンデータの保存期間を教えてください。

The ability to measure progress over time is a core function of the Tenable One Vulnerability Management platform. Tenable One Vulnerability Management will automatically store customer data for 12 months to allow customers to report over a one (1) year period of time.

If a customer discontinues the Tenable One Vulnerability Management service, how long is data retained?

お客様のアカウントの有効期限が切れたり終了したりした場合、Tenable は期限が切れたときの状態のまま、データを 30 日間保持します。その後、データは削除され、回復できなくなります。

PCI 関連のデータの保存期間を教えてください。

PCI コンプライアンス検証プロセスに関連するデータは、PCI 標準に規定されているように、PCI 認証日以降、最低 3 年間は削除されません。 Tenable retains this data for this time period, even if the customer chooses to delete their scans or account or terminates their Tenable One Vulnerability Management service.

How long is Tenable One Vulnerability Management usage data retained?

可能な限り最高のエクスペリエンスを提供するために、Tenable はお客様のコンテナがアクティブな状態である間はずっと使用状況情報を収集します。 お客様がサービスの使用を終了すると、データは最長で 30 日間保存されます。

Does Tenable One Vulnerability Management have Common Criteria certification?

一般に、コモンクライテリア認定は SaaS ソリューションには適用されません。更新頻度が高いため、完了するまでに 6 か月から 9 か月かかる認定プロセスには合わないからです。Tenable は、Tenable Security Center、Nessus Manager、Nessus Agent、Log Correlation Engine (LCE) に関するコモンクライテリア認定を取得しています。

Tenable の
実力を動画で
ご覧ください  

Tenable は AI のスピードで重要な問題を明確に捉えて解決できるようにします。その仕組みをご覧ください。