Tenable FAQ

資産(アセット)とは何ですか?

資産とは、分析対象となり得るエンティティのことです。
たとえば、デスクトップパソコン、ノートパソコン、サーバー、ストレージデバイス、ネットワークデバイス、電話、タブレット、VM、ハイパーバイザー、コンテナなどがあります。

診断はどの範囲までカバーできますか?

Tenableでは、資産や脆弱性を検知するためのプログラムを「Plugin」と呼んでいます。
このPluginが存在している資産に対して、診断をすることが可能です。Pluginについては、下記URLより検索することが可能です。
https://www.tenable.com/plugins

Tenable.ioの概要を教えてください

Tenable.ioは各種スキャナと脆弱性を管理するプラットフォームで、SaaSで提供されます。
Tenable.ioを購入すると、以下のスキャナは無償で、無制限利用可能です。

  • Nessus Scanner
  • Nessus Agent
  • Nessus Network Monitor
  • Cloud Scanner

※Web、コンテナイメージ用のスキャナ、PCI DSSの診断は、別途オプションとなります。

Tenable.scの概要を教えてください

Tenable.sc は各種スキャナと脆弱性を管理するプラットフォームで、オンプレミス製品です。
Tenable.sc を購入すると、以下のスキャナは無償で、無制限利用可能です。

  • Nessus Scanner
  • Nessus Agent

※Nessus Network Monitorが必要な場合は、「Tenable.sc Continuous View(略称 : Tenable.sc CV)」製品を利用してください。

Agentを配布する場合、Nessus Manager (無償、オンプレ)または機能制限のあるTenable.io(無償) 経由でAgentからの情報を収容してからTenable.scへ情報をインポートすることになります。

下記にそれぞれHW要件がございます。

Tenable.ioとTenable.scの違いは何ですか?
また、Tenable.scとTenable.sc CVはなにが違うのですか?

クラウド (SaaS)版のTenable.ioの方が新しい資産も診断の対象となるため、
・対象の範囲が広いこと
・提供されるインフラ (クラウド版/オンプレ版)
に違いがございます。

また、Tenable.sc製品には「Tenable.sc」製品と「Tenable.sc Continuous View(Tenable.sc CV)」製品がございます。
大きな違いは、Tenable.sc CV 製品は、Nessus Network Monitorと呼ばれるスキャナが利用できる点となります。
Tenable.sc を購入すると、以下のスキャナは無償で、無制限利用可能です。

  • Nessus Scanner
  • Nessus Agent

Tenable.scはオンプレミス製品のため、オンプレミス環境でNessus Network Monitorが必要な場合は、Tenable.sc CVをご利用ください。

Agentを配布する場合、Nessus Manager (無償、オンプレ)または機能制限のあるTenable.io(無償) 経由でAgentからの情報を収容してからTenable.scへ情報をインポートすることになります。

VPRとは何ですか?どのような基準でスコア付けされていますか?

Tenable社が、Predictive Prioritizationにもとづいて提供する、優先的に対処すべき脆弱性を表すスコアです。以下のロジックを使って優先的に対処すべき脆弱性を正確に予測します。

  • 7つの異なるカテゴリー(過去の脅威パターン、脆弱性測定基準、脆弱性メタデータ、過去の脅威、影響を受けるベンダー、エクスプロイト可用性、過去の脅威ソース)と150の異なる要素を独自のデータサイエンスにもとづいて分析
  • 10万を超える脆弱性を継続的に追跡調査し、リスクの変動にリアルタイムに対応
  • 28日以内にエクスプロイトが利用可能になると予測される脆弱性を優先対象と判定

VPRで提示される3%の信頼性は?

TenableのVPR機能(Tenable.io/Tenable.sc で無償で利用可能)をご利用いただくことで、下記の課題を解決した上でお客様の環境における脆弱性管理を、より成熟させていくことが可能になると考えます。VPRで提示される絞り込まれた脆弱性情報に対処していくことがサイバーリスクを低減できると考えております。

一般的な脆弱性評価指標であるCVSSスコア頼りの脆弱性管理には、以下のような課題があります

  1. -脆弱性公開からCVSSスコアの発表まで、日数が掛かる
  2. -CVSSスコア値は最初に決められたスコアのまま一定で変動しないため、最新の攻撃と連動していない
  3. -CVSSスコアが高いものだけでも、脆弱性の数が多過ぎて、対処が追い付かない

 Tenable Luminの概要を教えてください

Tenable Luminは、SaaSとして提供される、脆弱性管理製品のアドオン製品です。
Luminは、
①資産の重要度、重み付けを自動で判定し、
②資産の重要度と脆弱性や脅威の重要度と掛け合わせた真のリスク判定、
③同業他社と比較したベンチマーク(評価)
ができる製品です。
参考:https://jp.tenable.com/products/tenable-lumin

Tenable.ioまたはTenable.sc と同数でのご購入となります。

Tenable導入によるコストダウンの代わりに運用の手間は増えるのではないですか?

Tenableの脆弱性管理製品は、お客様が保有している資産(PC/ネットワーク/クラウド等)の中にどのような脆弱性が存在していて、その脆弱性がビジネスリスクとして顕在化することを未然に防ぐ、あるいはリスクを低減するために役立つ情報を可視化することができるソリューションです。
脆弱性を潰し込んでいく作業については、ご指摘の通り手間が増えることになりますが、そもそもマルウェアやサイバーリスクの入り口となる""脆弱性""を潰していくことこそが、闇雲にセキュリティ対策をしていくよりも費用対効果の高い対策であると考えております。

お試しをすることはできますか?

各製品の評価版はございます。尚、Silver以上の認定リセラー様にはNFRライセンスが提供されます。
評価版は、メーカーwebサイトよりお申込み、メーカー承認後、発行される形となります。

国内事例を教えてください

国内事例で公開されている事例は、今のところ、みずほ銀行様です。

購入はどこからできますか?

当社はエンドユーザー様への直販を行っていないため、最新のリセラー様一覧を以下のURLからご参照ください。
https://jp.tenable.com/partners/channel-partner-directory

管理画面やサポートは日本語で提供されていますか?

Tenable.io製品の管理画面は、現状は英語です。(日本語化予定)
サポートは、製品(年間サブスクリプション)に含まれるサポートの対応言語は現状英語のみですが、Tenableのディストリビュータであるネットワールドが、別途、日本語サポートメニュー(有償/オプション)をご提供しています。

ライセンスは複数年を一括で購入できますか?
また、一括購入で割引はありますか?

複数年一括の購入は可能です。
Nessus Professional⇒1~5年の単位で購入が可能で、複数年の場合は割引が適用されます。
その他製品⇒最長3年一括の購入が可能です。3年を超える年数の場合は、Tenable社の承認が必要です。複数年一括購入時の割引につきましては、担当営業にお問い合わせください。

tenable社メーカーサポートへの問い合わせ方法を教えてください。

▼下記URLをご参照ください。電話またはCommunityにログインし、質問を投稿する形となります。
https://www.tenable.com/support/technical-support

▼各サポートプランの違いは、以下をご参照ください。
https://jp.tenable.com/support/technical-support/plans

PAGE TOP