SECURITY
脆弱性管理 | tenable
脆弱性管理
リスクベースの脆弱性管理のリーダー
Tenable 社は、世界で 160 万人ものユーザーに利用されている脆弱性診断ソフトウェア「Nessus®」というソフトウェアを開発した会社です。「Nessus®」を基盤とした資産ベースの脅威・脆弱性の把握と優先順位づけを容易に実現する各種プロダクトを提供している企業です。
CONCEPT
コンセプト
Tenable 社が提唱する「Exposure Management(露出管理)」は、組織が IT 資産のサイバーリスクを効率的に理解し、対応するための戦略です。Web ブラウザを使用して、リスクのある資産の特定、対処策の参照、リスク状況の変化の追跡を正確に把握・管理することが可能です。
定期的に脆弱性診断をしているが
対応状況の把握が
できない
脆弱性診断対象となる
デバイスの把握が
難しい
脆弱性診断結果に対する
優先順位づけが
わからない
従来の脆弱性管理や資産管理
- 限定的な資産のみの把握
- 資産の不十分な発見
- IP ベースでの管理
- 可視化の間隔が長い
- 不十分な優先順位づけ
- 脆弱性情報だけにフォーカス
- 企業や組織全体のリスクが不明瞭
Exposure Management による解決
- 全資産を明確に識別してそれぞれのリスクレベルを評価
- 資産単位のリスクレベル、ビジネスインパクトなどをもとに優先順位を設定
- Web ブラウザのみで一元的なリスク評価が可能
- 定期スキャンにより継続的な監視、経過リスクに応じた危険性を追加判定
- コンプライアンスや業界規制(PCI DSS 準拠など)への評価要件に対応
Tenable Vulnerability Management とは
Tenable Vulnerability Management は、組織の IT 資産の露出と脅威をサイバー攻撃の視点から監視し、クラウドベースで継続的に評価するサービスです。隠れた脆弱性を特定し、最も危険な脆弱性を最初に修正するための優先順位付けと、修復に必要な情報を一体化して提供します。
Tenable Vulnerability Management による課題解決
脅威へのアプローチ
脆弱性の悪用を未然に防ぐため、リスクの素早い特定と重要資産への修正の優先順位付けを支援する管理プロセスを提供します。
脆弱性状況の把握と管理が可能
オンプレミス、クラウド、コンテナ、Web アプリケーションなど、異なる資産のハイブリッド環境を一括管理し、高リスクな脆弱性を素早く識別します。
「脆弱性の優先順位付け」に有能な Vulnerability Priority Rating(VPR)
Tenable には、セキュリティ脆弱性の優先順位付けを行うための評価システム Vulnerability Priority Rating(VPR)があり、ほとんどの脆弱性に対して VPR を算出しています。さらにこの値は、最新の脅威状況を反映するために定期的に更新されます。
管理者にとって必須となる、CVSS のスコアのみでは判定できない*「脆弱性の優先順位付け」の判定に VPR スコアが大変有用です。
VPR のスコア範囲について
VPR の範囲は 0.1 ~ 10.0 で、値が高いほど悪用される可能性が高いことを示しています。
- Critical(重大):9.0 から 10.0
- High(高):7.0 から 8.9
- Medium(中):4.0 から 6.9
- Low(低):0.1 から 3.9
*CVSS(Common Vulnerability Scoring System)で算出されたスコアは、脆弱性の重大度を測定するための手段であり、組織への影響を加味した優先順位付けには不十分であることが多い。
メインダッシュボードでの VPR 参照(CVSS との比較)
脆弱性一覧画面(VPR スコアのソート後)
ダッシュボードからリンクされた一覧画面で、VPRによるソートをすることで、直ちに対処すべき最も危険な脆弱性を特定することが出来ます。
Tenable の評価
機能特長
シンプルかつモダンな UI
不要な機能をそぎ落とし、シンプルかつ洗練された UI を提供。運用者に必要な UI へと継続的な開発、改善を実施します。
特定の脆弱性を調査
特定の脆弱性が組織内に存在しているかどうかを容易に確認可能。
CVE 番号やキーワード検索などのフィルタリングを用いて、調査したい脆弱性が存在しているかどうかを最新のスキャン結果に基づき可視化します。
システム管理者ごとにスキャン実行や結果の確認が可能な範囲(IP アドレス範囲)を指定可能です。(各管理者は割り当てられた範囲以外のスキャンをすることはできません)
Tenable Vulnerability Management の PCI ASV 認証
PCI ASV 認証を効率化させる
Tenable Vulnerability Management PCI ASV は、PCI 11.2.2 で要求される四半期ごとの外部脆弱性スキャン提出および苦情処理を合理化します。事前設定されたスキャンテンプレートと効果的な証拠 / 苦情解決プロセスにより、Tenable は(認証スキャニングベンダーとして)、加盟店やサービスプロバイダーのために、要件に準じたスキャンレポートを迅速に作成します。
スキャンテンプレート
事前設定済みのスキャンテンプレートを使用すると、検証のためのスキャンを実施する前に、スケジュールに従って不良部分をスキャン、修復および提起することができます。
Nessus Expert / Professional
Nessus Expert と Nessus Professional は、Tenable社によって開発された世界で最も利用される脆弱性スキャン製品です。使いやすさと効率性が追求されており、無制限のIT資産を評価、業界最低の誤検知率、深く広い脆弱性カバレッジ、カスタマイズ可能なレポート機能が特長です。Nessusシリーズは、コンサルタント、ペネトレーションテスター、セキュリティ専門家、開発従事者など、さまざまなユーザーに対応しています。
IBC は、Tenable 社のパートナーとして Tenable Vulnerability Management および Nessus の販売、サポートをおこなっております。
- スキャンターゲット IP アドレスの数量制限なし
- スキャン実行の時間指定可能
- 脆弱性情報(プラグイン)は随時最新版へ更新可能
注意事項
- 複数 NessusProfessional の一元的管理はおこなえません。一元管理をご希望の際は、Tenable Vulnerability Management シリーズをご利用ください。
- Web サイトの脆弱性診断、コンテナセキュリティ、PCI-ASV 機能をご希望の場合は、Tenable Vulnerability Management シリーズをご利用ください。
(詳細については、お問合せください。)
