Nessus

コンプライアンスチェックに関するFAQ

QTNS| コンプライアンスチェックは何を監査しますか?

A
コンプライアンスチェックでは、セキュリティポリシー(パスワードの複雑さなど)とシステム設定(Windows オペレーティングシステム上のレジストリ値など)の存在を監査できます。Windows システムの場合、コンプライアンス監査で、Windows ポリシーファイルに記述される内容の大部分をテストできます。Unix システムの場合、コンプライアンス監査で、実行中のプロセス、ユーザセキュリティポリシー、およびファイルの内容をテストします。

回答を閉じる

QTNS| 独自の監査ポリシーはどのように作成しますか?

A
Tenable では、カスタム監査ポリシーの記述に使用できる文書、複数のコマンドラインツール、および非常に詳細なポリシーサンプルを作成しました。ほとんどの場合、 Tenable のお客様はデフォルトの監査ポリシーを使用して、不要なテストを削除できています。現在のサンプルテストより多くの詳細が必要な場合は、Tenable が Unix と Windows の各種の監査ポイントのサンプルを文書化しました。これらのサンプルは、お客様の組織の設定ガイドラインに沿った値を使用して変更できます。これらの文書 は、Tenable Support Portal の [Downloads] ページで入手できます。

回答を閉じる

QTNS| 監査ポリシーでは "XYZ" をテストできますか?

A
Tenable では、監査チェックの範囲外の技術パラメータの「ポリシー」テストをよく依頼されます。コンプライアンスチェックでは、オペレーティングシステムの基本的な設定を監査できます。しかし、デュアルブートサーバの検出、ユーザログイン動作、CPU 使用率、プログラムが最後に使用された時間などの項目をテストすることはできません。場合によって、アプリケーションにこの種の情報が含まれている可能性のあるログファイルやレジストリ設定が存在することもありますが、コンプライアンスチェックの基本機能として、この種の情報をデフォルトで検出することはありません。

回答を閉じる

QTNS| コンプライアンスチェックを行うためにエージェントを実行する必要はありますか?

A
いいえ。コンプライアンスチェックはすべて、Nessus のクレデンシャル登録済みネットワークスキャンによって完全に実行されます。このネットワークスキャンでは、必要に応じて脆弱性監査とパッチ監査を同時に実行することもできます。

回答を閉じる

QTNS| コンプライアンスチェックを実行するためには何が必要ですか?

A
コンプライアンスチェックは、Nessus で使用できるプラグインです。ユーザは、サブスクリプション契約期間内か、SecurityCenter ユーザである必要があります。

回答を閉じる

QTNS| コンプライアンスチェックは、脆弱性スキャンとどのように違うのですか?

A
Nessus は、ネットワークサービスの脆弱性スキャンを実行します。また、サービスにログインして欠落パッチの検出も行います。しかし、脆弱性がないからといって、サーバが正しく設定されているとは限りません。Nessus を使用して脆弱性スキャンとコンプライアンス監査を実行するメリットは、これらのデータすべてを一度に取得できることです。サーバがどのように設定されているか、どのようにパッチが適用されているか、どのような脆弱性を持っているかということを把握しておくと、リスク低減措置をとるためにシステムに優先順位を付ける際に役立ちます。

回答を閉じる

QTNS| どのようなシステムを監査できますか?

A

Nessus は、以下の Windows システムと、一部の Unix 互換システムに対して監査を実行できます。

Windows:

  • Windows 2003 Server
  • Windows 2008 Server
  • Windows Vista
  • Windows 7

Unix 互換:

  • Solaris
  • Linux
  • FreeBSD/OpenBSD/NetBSD
  • HP/UX
  • AIX
  • Mac OS X

その他のプラットフォーム:

  • Cisco
  • SCADA

回答を閉じる

QTNS| どのようなポリシーを監査しますか?

A

Tenable では、Unix プラットフォームおよび Windows プラットフォーム向けに数種類の監査ポリシーを開発しました。これらの監査ポリシーは、Tenable Support Portal の [Downloads] ページで .audit テキストファイルとして Nessus サブスクライバに提供されています。Tenable では、SOX、FISMA、HIPAA、PCI の要件など、一般的なコンプライアンス監査のさまざまな側面を考慮に入れてこれらの監査ポリシーを作成しました。CIS Benchmarks、NIST、NSA などの組織の推奨ベストプラクティスも監査されます。

また、データベース、ウイルス対策ソフトウェアの存在、ウイルスの検出、平文の機密コンテンツの検索を監査するためのファイルも提供しています。監査ファイルの作成と更新は、Tenable のスタッフと Tenable コミュニティの両方によって定期的に行われます。

回答を閉じる

QTNS| コンプライアンスチェックはすべての Nessus プラットフォームで利用できますか?

A
コンプライアンスチェックを実行するには、Nessus を購入する必要があります。Nessus が稼働する基盤オペレーティングシステムは問いません。Mac OS X システムから Windows 2003 サーバのコンプライアンス監査を実行することができます。また、Windows システムから Solaris サーバを監査することもできます。

回答を閉じる

QTNS| コンプライアンスチェックはどのようにして入手するのですか?

A

Tenable SecurityCenter または Nessus のサブスクリプション契約期間内である場合は、コンプライアンス監査を実行するために必要なプラグインが Nessus スキャナにすでに組み込まれています。コンプライアンスチェックを入手するには、それらのプラグインを更新します。

ただし、Tenable Support Portal の [Downloads] ページには、ユーザ独自のポリシーを作成する際に役立つツールと共に、複数のコンプライアンス監査ポリシーがダウンロード用に用意されています。

回答を閉じる

QTNS| コンプライアンスチェックプラグインは有料ですか?

A
コンプライアンスチェックプラグインは、Nessus サブスクライバ向けに用意されています。

回答を閉じる

QTNS| 自社のセキュリティポリシーに合うようにコンプライアンスチェックプラグインを設定するにはどのようにすればよいですか?

A
詳細な文書は、Tenable Support Portal の [Downloads] ページで入手できます。

回答を閉じる

QTNS| スキャン時にコンプライアンスチェックを有効にするにはどのようにすればよいですか?

A
所定のスキャンに対して .audit ファイルの使用を有効にするには、「ポリシー」を作成または編集します。[Compliance] タブに、個別の Unix 監査ファイルと Windows 監査ファイルを指定できる複数のフィールドがあります。

回答を閉じる

QTNS| コンプライアンスチェックは、スキャンの実行時にデフォルトで有効になりますか?

A
いいえ。スキャンを実行する監査ファイルを手動で選択した後に有効になります。

回答を閉じる

QTNS| コンプライアンスチェックを実行しようとすると、「Supplied credentials don't have enough privileges to audit the remote host」(指定されたクレデンシャルにはリモートホストを監査するのに必要な権限がありません)というエラーメッセージが表示されるのはなぜですか?

A
サインオンクレデンシャルで使用されるアカウントには、ローカルマシンポリシーを読み取るパーミッションが必要です。ターゲットホストが Windows ドメインに参加していない場合、このアカウントはターゲットホストの管理者グループのメンバーである必要があります。ターゲットホストがドメインに参加している場合、そのドメインの管理者グループはそのホストの管理者グループのメンバーになり、アカウントはそのドメインの管理者グループのメンバーである場合にローカルマシンポリシーにアクセスできます。

回答を閉じる