コンプライアンスチェックでは、セキュリティポリシー（パスワードの複雑さなど）とシステム設定（Windows オペレーティングシステム上のレジストリ値など）の存在を監査できます。Windows システムの場合、コンプライアンス監査で、Windows ポリシーファイルに記述される内容の大部分をテストできます。Unix システムの場合、コンプライアンス監査で、実行中のプロセス、ユーザセキュリティポリシー、およびファイルの内容をテストします。

Tenable では、カスタム監査ポリシーの記述に使用できる文書、複数のコマンドラインツール、および非常に詳細なポリシーサンプルを作成しました。ほとんどの場合、 Tenable のお客様はデフォルトの監査ポリシーを使用して、不要なテストを削除できています。現在のサンプルテストより多くの詳細が必要な場合は、Tenable が Unix と Windows の各種の監査ポイントのサンプルを文書化しました。これらのサンプルは、お客様の組織の設定ガイドラインに沿った値を使用して変更できます。これらの文書 は、Tenable Support Portal の [Downloads] ページで入手できます。

Tenable では、監査チェックの範囲外の技術パラメータの「ポリシー」テストをよく依頼されます。コンプライアンスチェックでは、オペレーティングシステムの基本的な設定を監査できます。しかし、デュアルブートサーバの検出、ユーザログイン動作、CPU 使用率、プログラムが最後に使用された時間などの項目をテストすることはできません。場合によって、アプリケーションにこの種の情報が含まれている可能性のあるログファイルやレジストリ設定が存在することもありますが、コンプライアンスチェックの基本機能として、この種の情報をデフォルトで検出することはありません。

いいえ。コンプライアンスチェックはすべて、Nessus のクレデンシャル登録済みネットワークスキャンによって完全に実行されます。このネットワークスキャンでは、必要に応じて脆弱性監査とパッチ監査を同時に実行することもできます。

コンプライアンスチェックは、Nessus で使用できるプラグインです。ユーザは、サブスクリプション契約期間内か、SecurityCenter ユーザである必要があります。

Nessus は、ネットワークサービスの脆弱性スキャンを実行します。また、サービスにログインして欠落パッチの検出も行います。しかし、脆弱性がないからといって、サーバが正しく設定されているとは限りません。Nessus を使用して脆弱性スキャンとコンプライアンス監査を実行するメリットは、これらのデータすべてを一度に取得できることです。サーバがどのように設定されているか、どのようにパッチが適用されているか、どのような脆弱性を持っているかということを把握しておくと、リスク低減措置をとるためにシステムに優先順位を付ける際に役立ちます。

Nessus は、以下の Windows システムと、一部の Unix 互換システムに対して監査を実行できます。

Windows:

• Windows 2003 Server
• Windows 2008 Server
• Windows Vista
• Windows 7

Unix 互換:

• Solaris
• Linux
• FreeBSD/OpenBSD/NetBSD
• HP/UX
• AIX
• Mac OS X

その他のプラットフォーム:

• Cisco
• SCADA

Tenable では、Unix プラットフォームおよび Windows プラットフォーム向けに数種類の監査ポリシーを開発しました。これらの監査ポリシーは、Tenable Support Portal の [Downloads] ページで .audit テキストファイルとして Nessus サブスクライバに提供されています。Tenable では、SOX、FISMA、HIPAA、PCI の要件など、一般的なコンプライアンス監査のさまざまな側面を考慮に入れてこれらの監査ポリシーを作成しました。CIS Benchmarks、NIST、NSA などの組織の推奨ベストプラクティスも監査されます。

また、データベース、ウイルス対策ソフトウェアの存在、ウイルスの検出、平文の機密コンテンツの検索を監査するためのファイルも提供しています。監査ファイルの作成と更新は、Tenable のスタッフと Tenable コミュニティの両方によって定期的に行われます。

コンプライアンスチェックを実行するには、Nessus を購入する必要があります。Nessus が稼働する基盤オペレーティングシステムは問いません。Mac OS X システムから Windows 2003 サーバのコンプライアンス監査を実行することができます。また、Windows システムから Solaris サーバを監査することもできます。

Tenable SecurityCenter または Nessus のサブスクリプション契約期間内である場合は、コンプライアンス監査を実行するために必要なプラグインが Nessus スキャナにすでに組み込まれています。コンプライアンスチェックを入手するには、それらのプラグインを更新します。

ただし、Tenable Support Portal の [Downloads] ページには、ユーザ独自のポリシーを作成する際に役立つツールと共に、複数のコンプライアンス監査ポリシーがダウンロード用に用意されています。

コンプライアンスチェックプラグインは、Nessus サブスクライバ向けに用意されています。

詳細な文書は、Tenable Support Portal の [Downloads] ページで入手できます。

所定のスキャンに対して .audit ファイルの使用を有効にするには、「ポリシー」を作成または編集します。[Compliance] タブに、個別の Unix 監査ファイルと Windows 監査ファイルを指定できる複数のフィールドがあります。

いいえ。スキャンを実行する監査ファイルを手動で選択した後に有効になります。

サインオンクレデンシャルで使用されるアカウントには、ローカルマシンポリシーを読み取るパーミッションが必要です。ターゲットホストが Windows ドメインに参加していない場合、このアカウントはターゲットホストの管理者グループのメンバーである必要があります。ターゲットホストがドメインに参加している場合、そのドメインの管理者グループはそのホストの管理者グループのメンバーになり、アカウントはそのドメインの管理者グループのメンバーである場合にローカルマシンポリシーにアクセスできます。