脆弱性とは
脆弱性とは、OSやミドルウェアやソフトウェアのセキュリティに関する不具合のことです。
フリーソフトや商用のソフトに関わらず、脆弱性が発見されています。
脆弱性が公開された場合、攻撃者はその脆弱性を悪用して攻撃しようとするため、セキュリティパッチの適用などの対処をする必要があります。
しかし、日々大量の脆弱性が公開されているため、確認作業に大量の時間が掛かります。
IPAの発表(脆弱性対策情報データベースJVN iPediaの登録状況 )によると、2021年第1四半期(1月~3月)で1,701件もの脆弱性を登録しており、今までの累計登録件数は127,089件です。
登録件数は以下の内容を引用しています。
脆弱性対策情報データベースJVN iPediaの登録状況 [2021年第1四半期(1月~3月)]
1-1. 脆弱性対策情報の登録状況
~脆弱性対策情報の登録件数の累計は127,089件~
2021年第1四半期(2021年1月1日から3月31日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は下表の通りとなり、2007年4月25日にJVN iPediaの公開を開始してから本四半期までの脆弱性対策情報の登録件数の累計は、127,089件になりました(表1-1、図1-1)。
また、JVN iPedia英語版へ登録した脆弱性対策情報は下表の通り、累計で2,260件になりました。
このように脆弱性対応をするためには、日々大量の脆弱性情報を収集、対応有無の確認、リスク評価、優先順位付けをする必要があります。
そのような脆弱性対応を効率化してくれるシステムが「Tenable.io」です。
Tenable.ioとは
Tenable.io(テナブル アイオー)とは、Tenable Network Security社が開発した脆弱性統合管理システムです。
Tenable.ioは脆弱性を収集、残存する脆弱性の発見、リスクの評価を自動化することができるため、脆弱性対応の作業負荷を軽減できます。
適切なリスク評価が自動的に実施できるため、緊急度が高い脆弱性から対応するなど優先順位決めをする際のサポートをしてくれます。
Tenable.ioの公式ドキュメント(https://docs.tenable.com/Tenableio.htm)をご確認ください。
Tenable.ioの試用開始
(1) ブラウザを起動して、Tenable.ioの評価版の登録サイト(https://jp.tenable.com/products/tenable-io/evaluate)にアクセスします。
(2) 登録者の情報を入力して、「送信して試用を開始する」をクリックします。
(3) 「ありがとうございます!」というメッセージが表示されていることを確認します。
(4) しばらく待つと、登録したメールアドレス宛に以下のメールが送信されてます。「Activate your evaluation」をクリックします。
【メールの内容(テキスト形式)】
【メールの内容(HTML形式)】
(5) 初期パスワードを入力して、「Sign In」をクリックします。
(6) Tenable.ioの管理画面のログイン情報(メールアドレスとパスワード)を入力して、「Sign In」をクリックします。
(7) 同意書の内容を確認して、「Accept」をクリックします。
(8) 管理画面のトップページが表示されます。
Tenable.ioの管理画面のユーザ追加
Tenable.ioの管理画面にログインするユーザを追加する手順を記載します。
後で誰がどのような操作をしたか追跡するために、利用者ごとにユーザを作成して、重複したユーザは可能な限り使用しないことを推奨します。
(1) 左上の三をクリックして、ナビゲーションペインの中にある「Settings」をクリックします。
(2) [Account Management]-[Users]をクリックします。
(3) 右上にある「Create User」をクリックします。
(4) 作成するユーザ情報を入力して、「Create」をクリックします。
(5) 作成したユーザが表示されていることを確認します。
【参考情報】Tenable.ioの管理画面のアクティビティログ
Tenable.ioで誰が/いつ/どのような操作をしたかという情報がアクティビティログに出力されます。
そのアクティビティログを確認する方法を記載します。
本操作はUser RoleがAdministratorのユーザのみ実施できます。
(1) 左上の三をクリックして、ナビゲーションペインの中にある「Settings」をクリックします。
(2) [Account Management]-[Activity Logs]をクリックします。
(3) アクティビティログを確認できます。
