Tenable Vulnerability Management に関するよくある質問

目次

Tenable VM をお試しください

60 秒未満で最初のスキャンを実行できます。

全般的な質問

Tenable Vulnerability Management とは何ですか?

Vulnerability Management は、ネットワークを完全に可視化して攻撃を予測し、重大な脆弱性に迅速に対応するためのリスクベースの脆弱性管理ソリューションです。継続的で常時接続型の検出と評価により、ネットワーク上の全資産と、そこに隠れた脆弱性を発見するのに必要な可視性が得られます。 組み込みの優先順位付け機能、脅威インテリジェンス、リアルタイムのレポートを使用することで、リスクを把握し、攻撃経路を未然に遮断できます。 最先端の Tenable Nessus テクノロジーをベースにしたクラウド管理製品であり、ネットワーク上の資産と脆弱性を完全に可視化できるので、リスクの迅速かつ正確な把握と、最初に修正すべき脆弱性の特定が可能になります。

Tenable Vulnerability Management は、Tenable のサイバーエクスポージャー管理プラットフォームである Tenable One に不可欠なコンポーネントです。 Tenable One は Tenable Vulnerability Management を基盤として構築されており、クラウドインスタンス、ウェブアプリケーション、Active Directory (AD) など、さらにはモバイルデバイス、仮想マシン、コンテナといった非常に動的な資産を含む、インフラ全体のセキュリティリスクに対する実用的なインサイトを提供します。 より良いサイバーリスク管理のために、アタックサーフェスの可視化、資産の重要度の評価、リスクベースのサイバーエクスポージャーのスコアリング、ピアベンチマークなどの追加の優先順位付け尺度や機能と、時間の経過に伴うリスク削減を追跡する機能も利用できます。

Tenable Vulnerability Management についてもっと詳しく知るには?

Tenable Vulnerability Management の詳細については、Tenable Vulnerability Management 製品ページにアクセスするか、今後のウェビナーに参加するか、Tenable 認定パートナーまたは Tenable 担当者にお問い合わせください。

Tenable Vulnerability Management アプリケーションを評価する方法を教えてください。

https://www.tenable.com/try にアクセスして Tenable Vulnerability Management の無料評価版に登録してください。

Tenable Vulnerability Management アプリケーションを購入する方法を教えてください。

Tenable Vulnerability Management アプリケーションを購入するには、最寄りの Tenable 認定パートナーと連携するか、Tenable の担当者に連絡するか、tenable.com にアクセスしてください。

Tenableアプリケーションのライセンスは個別に購入できますか?

はい。Tenable のアプリケーションは、個別にライセンスが付与できます。たとえば、Tenable Web Application Scanning の場合、Tenable Vulnerability Management の機能なしでも単独でライセンスを取得できます。

Tenable Vulnerability Management の価格設定とライセンスについて教えてください。

Tenable Vulnerability Management は年間サブスクリプションによってライセンスが付与され、IP アドレスではなく資産ごとに価格が設定されます。 そのため、二重にカウントされることなしにクラウドなどの新たなテクノロジーを利用できます。

価格設定およびライセンスの詳細については、 下記のセクションを参照してください。

資産とは何ですか?

資産とは次のものを指します。

  • ネットワークに接続され、オペレーティングシステムを備えた物理的または仮想のデバイス
  • FQDN を持つウェブアプリケーション
  • アクティブな (終了されていない) クラウドリソース

他の Tenable Vulnerability Management アプリケーションの価格とライセンス体系を教えてください。

Tenable Web App Scanning は年間サブスクリプションによってライセンスが付与され、資産量に応じて価格が設定されます。 Tenable Web App Scanning の価格は、製品が評価する完全修飾ドメイン名 (FQDN) の総数によって決まります。

価格設定およびライセンスの詳細については、 下記のセクションを参照してください。

Tenable は Tenable Vulnerability Management にサービスレベル契約 (SLA) を設定していますか?

はい。Tenable provides the vulnerability management industry's first uptime guarantee through a robust service level agreement (SLA) for Tenable Vulnerability Management. Amazon Web Services (AWS) などの業界をリードするクラウドベンダーと同様に、SLA を満たさない場合にはサービスクレジットが提供されます。

Tenable Vulnerability Management に関するドキュメントはどこで見つけられますか?

Tenable Vulnerability Management を含む、Tenable 全製品の技術文書は https://jp.docs.tenable.com からご覧いただけます。

クラウドからのスキャンに Tenable はどの IP を使用しますか?

デフォルトでは、Tenable Vulnerability Management は地域固有のクラウドスキャナーで構成されています。 詳しくは、こちらの資料をご覧ください。

Tenable Security Center と Tenable Vulnerability Management の両方を使用することはできますか?

はい。どちらのソリューションも使用できます。 Tenable Security Center と Tenable Vulnerability Management の両方を利用する、ハイブリッド型の脆弱性管理を導入することもできます。 Tenable Vulnerability Management PCI/ASV、またはその他の Tenable Vulnerability Management アプリケーションに興味のある場合、Tenable Security Center インスタンスと並行してハイブリッド式で導入することもできます。

Tenable Security Center から Tenable Vulnerability Management に移行できますか?

はい。ご興味のある方は、Tenable または認定パートナーによる完全なサポートを受けながら、Tenable Security Center から Tenable Vulnerability Management にスムーズに移行するためのさまざまなオプションから選択できます。 詳しくは、Tenable 認定パートナーまたは Tenable 担当者にお尋ねください。

外部アタックサーフェス管理 (EASM) とは何ですか?

外部アタックサーフェス管理 (EASM) は、企業のネットワーク領域外に存在する盲点を可視化する、Tenable 製品の機能です。ドメイン内をスキャンして、従来確認できなかったインターネットに接続された資産を検出します。ネットに露出している資産は、企業にとって高度のリスクとなる恐れがあります。

外部アタックサーフェス管理 (EASM) は Tenable Vulnerability Management に含まれていますか?

はい。Tenable Vulnerability Management は、外部アタックサーフェス管理 (EASM) 機能を提供しています。 結果に追加のドメイン、頻度、メタデータが必要な場合、Tenable Attack Surface Management アドオンをご購入ください。

Tenable Web App Scanning とは何ですか?

Tenable Web App Scanning は、動的アプリケーションセキュリティテスト (DAST) のアプリケーションです。 DAST は、実行中のウェブアプリケーションをフロントエンド経由でクロールし、テストを行うすべてのページ、リンク、フォームを含むサイトマップを作成します。サイトマップの作成後、フロントエンドを介してサイトに問い合わせを行い、アプリケーションのカスタムコードの脆弱性や、アプリケーションの大部分を構成するサードパーティコンポーネントの既知の脆弱性を検出します。

Tenable Web Application Scanning の詳しい情報や評価版はどこで入手できますか?

Tenable Web Application Scanning について詳しくは、Tenable Web App Scanning 製品ページをご覧ください。 tenable.com/try-was から無償評価版をお申し込みいただくか、Tenable 認定パートナーまたは、Tenable 担当者に詳細をお尋ねください。

この製品は、ソースコードのスキャンや静的分析を実行しますか?

Tenable Web App Scanning is a dynamic application security testing (DAST) solution that tests a web application "from the outside" when the application is running in a test or production environment.

もっと表示 表示を減らす

エラスティックな資産のライセンスに関する質問

Elastic Asset Licensing, built into Tenable Vulnerability Management, is an innovation that aligns vulnerability management licensing with today's elastic IT environments. エラスティック資産ライセンスによって、複数のIPアドレスを持つ資産やIPアドレスを変更した資産が二重にカウントされることを防止できます。また、使用しなくなった資産や意図せずスキャンされた資産などを含め、最近スキャンされていない資産のライセンスは自動的に回収されます。

Tenable Vulnerability Management のエラスティックな資産ライセンスとは何ですか?

エラスティック資産ライセンスの主な利点は次のとおりです。

  • 膨大に増える IP の数ではなく資産の数に基づいて適正な数のライセンスを購入できます。
  • お客様は使用しなくなった資産や意図せずスキャンされた資産からライセンスを回収するという、手間がかかる不正確な作業をする必要がありません。
  • 資産に複数の IP アドレスが存在する場合でも、脆弱性が二重三重にカウントされて、脆弱性管理指標が誤った値になることはありません。

Tenable Vulnerability Management が管理する顧客の資産と脆弱性のデータを教えてください。

エラスティック資産ライセンスの主な利点は次のとおりです。

  • 膨大に増える IP の数ではなく資産の数に基づいて適正な数のライセンスを購入できます。
  • お客様は使用しなくなった資産や意図せずスキャンされた資産からライセンスを回収するという、手間がかかる不正確な作業をする必要がありません。
  • 資産に複数の IP アドレスが存在する場合でも、脆弱性が二重三重にカウントされて、脆弱性管理指標が誤った値になることはありません。

Tenable Vulnerability Management を使用している場合、ライセンスされている以上の資産をスキャンすることはできますか?

はい、一時的に、ライセンスを購入した資産数を超えてもかまいません。もちろん、ライセンス数の超過が続く場合には費用の調整が必要となります。

Tenable Vulnerability Management を使用している場合、ライセンスされている以上の資産をスキャンすることはできますか?(Duplicate)

はい、一時的に、ライセンスを購入した資産数を超えてもかまいません。もちろん、ライセンス数の超過が続く場合には費用の調整が必要となります。

資産とは何ですか?

資産とは、分析対象となり得るエンティティのことです。たとえば、デスクトップパソコン、ノートパソコン、サーバー、ストレージデバイス、ネットワークデバイス、電話、タブレット、VM、ハイパーバイザー、コンテナなどがあります。

Tenable Vulnerability Management はどのようにして資産を特定しますか?

When Tenable Vulnerability Management first discovers an asset, it gathers multiple identification attributes, which may include a BIOS UUID, the system's MAC Address, NetBIOS name, FQDN, and/or other attributes that can be used to reliably identify an asset. さらに、認証されたスキャンエージェントとNessusエージェントが、そのデバイスにTenable UUIDを割り当てます。Tenable Vulnerability Management が 2 回目以降に資産をスキャンするときには、その資産と前回検出した資産を比較します。 新たに検出した資産が前回検出した資産と一致しない場合、その資産は Tenable Vulnerability Management の資産インベントリに追加されます。

資産は IP とどう違うのですか?

一般的にはIPは資産の特性の1つであり、多くの資産には複数のIPが割り当てられています(DHCPデバイス、有線と無線の両方のインターフェースを装備したシステムなど)。

資産数が IP 数よりも少なくなる傾向にあるのはなぜですか?

多くの場合、資産には、複数のネットワークに接続できるように複数のネットワークインターフェースカードが搭載されています。たとえば、ウェブサーバーは一般に実稼働ネットワークと管理ネットワークの両方に接続します。また、多くのノートパソコンには有線と無線の両方のネットワークインターフェースが搭載されています。さらに、ノートパソコンは、場所を移動して新たに IP を取得することがよくあります。ある IP でスキャンされた後に別の IP でスキャンされると、2 回カウントされることになります。

資産数の推定方法を教えてください。

Tenable Vulnerability Management は、アクティブセンサーとパッシブセンサーの両方を使用した無制限の検出スキャンをサポートしています。 お客様はこれらのスキャンを使用してすべての資産を含む包括的なインベントリを作成し、適切なライセンスサイズを決定することができます。

どのようにして同一資産の多重カウントを防止しているのですか?

Tenable Vulnerability Management は、適切なライセンスサイズを計算する際に同じ資産を二重または三重にカウントすることを回避するためのさまざまな手段をサポートしています。 従来の資産では、Tenable Vulnerability Management は独自のアルゴリズムを使用して、新たに発見された資産とすでに発見された資産を照合して重複を排除し、より正確な脆弱性レポートを保証します。

もっと表示 表示を減らす

PCI DSS - データセキュリティ規格準拠の検証プロセスをASVスキャンで最適化

PCI ASVとは?

PCI ASVとは、四半期ごとに外部脆弱性スキャンを実行することを義務付ける、ペイメントカード業界(Payment Card Industry: PCI)のデータセキュリティ基準(Data Security Standard: DSS)の「要件とセキュリティ評価手順」の要件11.2.2のことです。この脆弱性スキャンは認定スキャンベンダー(Approved Scanning Vendor: ASV)による実施(または証明)が必要とされています。An ASV is an organization with a set of services and tools ("ASV Scanning Solution") to validate adherence to the external scanning requirement of PCI DSS Requirement 11.2.2.

ASV スキャンの対象となるのはどのシステムですか?

PCI DSS では、カード会員のデータ環境に含まれている、スキャンユーザーが所有または使用する外部アクセス可能な (インターネットに接続した) すべてのシステムコンポーネント、およびカード会員のデータ環境につながるすべての外部接続システムコンポーネントの脆弱性スキャンを行うことを義務付けています。

ASV プロセスとは?

ASV スキャンの主要なフェーズは以下によって構成されます。

  • 範囲の設定:お客様が実行します。カード会員のデータ環境に含まれているすべてのインターネット接続システムコンポーネントを対象にします。
  • スキャン:Tenable Vulnerability Management PCI 四半期外部スキャンテンプレートを使用します。
  • レポート作成・修正:中間レポートの結果を修正します。
  • 問題点の解決: お客様とASVが共同でスキャン結果の問題を文書化し、解決します。
  • 再スキャン (必要な場合):問題点が解決されて例外が生成される合格スキャンまで行います。
  • 最終レポート作成: 安全な形式で送信しおよび配信します。

ASV スキャンが必要とされる頻度は?

ASV 脆弱性スキャンは少なくとも四半期ごとに必要です。また、新しいシステムコンポーネントの設置、ネットワークトポロジーの変更、ファイヤーウォールルールの変更、製品のアップグレードなど、ネットワークが大きく変更した後にも必要です。

認定スキャンベンダー (ASV) と認定セキュリティ評価機関 (Qualified Security Assessor: QSA) の違いとは?

承認されたスキャンベンダー (ASV) は、特に PCI DSS 11.2 に記載されている外部脆弱性スキャンのみを実行します。 認定セキュリティ評価者 (QSA) とは、PCI セキュリティ標準評議会 (SSC) が一般的な PCI DSS オンサイト評価を実行する資格を取得し、訓練を受けた評価会社を指します。

Tenable は PCI 認定の ASV ですか?

はい。Tenable は、加盟店とサービスプロバイダーのインターネット接続環境 (カード会員データの保存、処理、転送に使用される環境) の外部脆弱性スキャンを検証する認定スキャンベンダー (ASV) の資格を有しています。 ASV 認定プロセスは、3 つの部分で構成されています。最初の部分には、ベンダーとしての Tenable Network Security の認定が関係します。2 番目の部分に関係するのは、リモートの PCI スキャンサービスを実行する Tenable 従業員の認定です。 3 つ目の工程は、Tenable リモートスキャンソリューション (Tenable Vulnerability Management および Tenable PCI ASV) のセキュリティテストで構成されます。

Tenable は認定スキャンベンダー (ASV) として実際にスキャンを実行しますか?

ASV はスキャンを実行できます。ただし、Tenable は、四半期の PCI 外部スキャン用のテンプレートを使用してお客様にご自分でスキャンを実行していただくことにしています。このテンプレートでは、お客様が脆弱性チェックの無効化、深刻度レベルの割り当て、スキャンパラメーターの変更などの設定変更ができないようになっています。 お客様は Tenable Vulnerability Management のクラウドベースのスキャナーを使用して、インターネットに接続されている自社環境をスキャンし、コンプライアンスに準拠したスキャンレポートを Tenable に送信して認証を受けます。 Tenable によって認証されたスキャンレポートは、お客様がペイメントブランドから指定された送信先またはペイメントブランドに送信します。

Tenable PCI ASV は EU のデータ主権要件に準拠していますか?

脆弱性データは EU DPD 95/46/EC データではないため、データの保管場所に関する要件は規制当局ではなくお客様に依存します。EU 加盟国政府組織にデータ保管場所に関する独自の要件が存在する可能性がありますが、それらの要件は事例ごとに評価する必要があり、多くの場合 PCI-ASV スキャンにとって問題ではありません。

Tenable Vulnerability Management には PCI ASV ライセンスが含まれていますか?

はい。Tenable Vulnerability Management には、単一の一意の PCI 資産に対する PCI ASV ライセンスが含まれています。一部の組織は、支払い処理機能を外注するなどして、PCI の対象範囲の資産を限定することに尽力してきました。このようなお客様は、ほぼ間違いなく「PCI ビジネスに携わっていない」と考えられるため、Tenable は購入とライセンス交付を簡略化しました。 お客様は 90 日ごとに資産を変更できます。

Tenable PCI ASV のライセンスの適用方法は?

複数の一意の PCI 資産をお持ちのお客様の場合、Tenable PCI ASV ソリューションは Tenable Vulnerability Management サブスクリプションのアドオンとしてライセンス供与されます。

Why isn't Tenable PCI ASV licensed according to the number of a customer's internet-facing PCI assets?

The number of internet-facing hosts that are within or provide a path to an entity's cardholder data environment (CDE) can change frequently, thereby creating licensing complexity. Tenable はより簡単なライセンス方式を採用しました。

ユーザーが四半期あたりに送信できる証明の数は?

お客様が四半期あたりに提出できる証明の数に制限はありません。

トライアル/評価版のユーザーが Tenable PCI ASV を評価することはできますか?

できます。評価版をお使いのお客様は、PCI Quarterly External Scan テンプレートを使って、資産をスキャンして結果を見ることができます。しかし、スキャンレポートを送信して認証することはできません。

もっと表示 表示を減らす
トップに戻る

Tenable の
実力を動画で
ご覧ください  

Tenable は AI のスピードで重要な問題を明確に捉えて解決できるようにします。その仕組みをご覧ください。

コースを見る
  • Tenable Vulnerability Management