セキュリティ担当者必見！Tenable VMとNessusの違いと選び方

はじめに

皆さん、こんにちは。セールスエンジニア部の本居です。
近年、情報漏洩やサイバー攻撃のニュースを耳にする機会がますます増えてきました。それに伴い、企業や組織にとって脆弱性管理の重要性はこれまで以上に高まっています。
ユービーセキュアでも普段から脆弱性管理に取り組んでいますが、こうした事件を受けて、より一層の対策強化が必要だと感じています。

そのような背景の中で注目されているのが、ユービーセキュアが取り扱っている脆弱性管理の製品Tenable Vulnerability Management (以下、Tenable VM)です 。
Tenable VMは操作性に優れた高性能な製品ですが、導入いただいているお客様からは、次のようなご相談をよくいただきます。

「Tenable VMとNessusって、何が違うの？」

このような疑問をお持ちの方は、少なくないのではないでしょうか。実際、「Nessusで脆弱性スキャンを行っている」というお話を耳にすることはよくあります。ユービーセキュアの診断チームでも、脆弱性診断においてNessusを使用することがよくあります。

一方で、Tenable VMで脆弱性管理を行っていると、「Nessus」という名前があちこちに登場するため、「この2つはどういう関係なのですか？」とご相談をいただくことが少なくありません。今回は、Tenable VMとNessusの違いについてご説明します。

Tenable VMとNessusの違い

本章では、Tenable VMとNessusの関係性に加え、それぞれの固有の特徴および共通の特徴について説明します。

Tenable VMとNessusの関係性

Tenable VMは、Tenable社が提供するクラウド型の脆弱性管理プラットフォームであり、企業のネットワークやシステムに潜む脆弱性を自動で検出・管理できるツールです。ネットワーク、サーバーなどのIT資産をスキャンし、リスクを可視化します。

Nessusはその中核となるスキャンエンジンです。世界中のセキュリティ専門家や企業で広く利用されており、幅広いスキャン範囲や高い検出精度で知られています。Nessusは単体でも利用できる高性能な脆弱性スキャナーですが、Tenable VMはそれを複数組み合わせてスキャン結果を集約・可視化し、資産管理やリスクの優先順位付けなど、より広範で継続的なセキュリティ管理を可能にします。

つまり、Nessusが「スキャンをする手段」、Tenable VMが「その結果を活かす頭脳」として機能する関係です。Tenable VMを契約すると自動的にNessusも使えるようになります。

Tenable VMとNessusに共通する製品の特徴

• 高精度な脆弱性スキャンが可能
  業界最多の70,000個のCVEを備えたスキャナーは、競合ソリューションよりも幅広いIT資産をスキャンし、より多くの脆弱性を発見します。

• 自動スキャン
  スキャンをかけるとシステムやネットワーク上の資産に含まれる脆弱性を自動でスキャンします。また、必要に応じてカスタムスケジュールからスキャン開始する日時と頻度を設定することができます。スキャンは指定した時間に自動的に実行されるので、システムの状態を定期的に確認することができ、セキュリティ強化に役立ちます。

• リスクの可視化と迅速な対応を実現する機能
  Tenableでは、共通脆弱性評価システム（CVSS）スコアに加え、脆弱性の深刻度（Critical、High、Medium、Low）を自動判定することで、リスクの影響度を一目で把握できます。さらに、Tenable独自の「VPR（Vulnerability　Priority　Rating）」を活用することで、実際の攻撃可能性や悪用状況を考慮した脆弱性対応優先順位付けがしやすくなり、より的確な対応が行えます。
  また、脆弱性をスキャンするための知識は「プラグイン」と呼ばれ、専用のデータベースに格納されています。これらのプラグインは、脆弱性が公開されてから24時間以内に対応されることが多く、毎週100件以上の新規プラグインが追加・更新されます。これにより、最新の脆弱性情報がリアルタイムで自動的にスキャンに反映されます。

• 幅広い環境とセキュリティ基準に対応
  Tenableは、PCIDSSやCIS Benchmarkなどの各種セキュリティ基準に準拠したスキャンに対応しており、コンプライアンス対応を効率化します。また、対応プラットフォームはWindows、Linux、Macをはじめ、スキャン対象もOS、ネットワーク機器、仮想環境、データベースなど多岐にわたり、あらゆるIT資産のリスクを包括的に管理できます。

Tenable VMの特徴

• SaaS型のプラットフォーム
  SaaS（Software as a Service）とは、インターネット経由でユーザーがソフトウェアを利用できるサービス形態です。Tenableでは、クラウドサーバー上でソフトウェアが稼働しており、ユーザーは利用契約を結び、利用料金を支払うことで、すぐにサービスを利用開始できます。Tenable VMは、1年間からライセンス契約が可能です。

• 資産の一元管理
  ネットワーク上のノートPC、サーバー、仮想マシン、クラウドインスタンスなどをIT資産として自動的に検出します。これにより、組織内のすべてのIT資産を一元的に可視化・追跡・管理することが可能です。

• ダッシュボードの充実性と詳細レポートと共有機能
  組織はネットワークをプロアクティブに監視し、環境内の脆弱性を検出できます。ダッシュボード機能は、組織の脆弱性管理プログラムの概要を提供し、組織が脆弱性を特定し、修復の優先順位を付け、修復の進行状況を追跡するのに役立ちます。また、レポート機能ではカスタマイズ可能なレポートやダッシュボードにより、必要な情報を的確に取得でき、関係者へ状況をスムーズに共有できます。

• Tenableの他の製品とも連携可能
  Rapid7 InsightVMやQualys VMなどの他のセキュリティ製品との連携が可能で、資産のスキャンや脆弱性の管理を効率化します。サードパーティのデータコネクタを含むコネクタを使用して、他のプラットフォームからアセットをインポートします。
  ※連携可能な製品一覧はこちらからご覧いただけます
  https://docs.tenable.com/quick-reference/third-party-connectors/Content/connectors/connectors-and-supported-integrations.htm

Nessusの特徴

• クラウド環境との連携が不要
  任意の機器にNessusをインストールすることで、対象機器に対して脆弱性スキャンを実行できます。クラウド環境との連携を必要としないため、ポリシー上クラウドへの情報送信が制限されているIT資産や、オフライン環境にある現場でも脆弱性スキャンの実施が可能です。

• お手軽に脆弱性検査
  初期セットアップさえ完了していれば、日常的なスキャンはいつでも実行可能です。スキャン対象とスキャンテンプレートを選択するだけで、簡易的な脆弱性診断を行うことができます。また、一度登録した資産は保存されるため、再スキャンはさらに容易になります。

• 無償で使える
  Nessusには、無償で利用できる「Nessus Essentials」と、有償の「Nessus Professional」「Nessus Expert」の3種類のソリューションがあります。各ソリューションで性能や利用可能なツールの範囲は異なりますが、Nessus EssentialsでもIT資産のスキャンが可能で、学習用途として利用できます。また、最大16個のIPアドレスまでのホームオフィス環境をスキャンすることも可能です。Essentialsは、教育機関、学生、およびサイバーセキュリティ分野でキャリアを始めたばかりの方々を主な対象としています。

Tenable VMとNessusの比較表

まとめ

ここまで、Tenable VMとNessusの違いについて説明してきましたが、ご理解いただけましたでしょうか？
内容をまとめると以下の通りです。

Tenable VM

• SaaS型の脆弱性管理プラットフォーム
• 資産の一元管理が可能
• Tenableの他製品や他社製品との連携も可能

Nessus

• 単体で利用できる高性能な脆弱性スキャナー
• オンプレミス型のアプリケーション
• 無償版も提供されている

Tenable製品の使い分けについては、Tenable VMは、企業全体の脆弱性管理を統合的に実施したい場合に最適です。複数のNessusスキャナーを集中管理し、全社的なリスクを可視化するためのプラットフォームとして活用されます。一方、Nessusは小規模な環境や一時的な脆弱性チェックに適しており、たとえば開発環境の確認や特定のサーバーのみを対象としたスキャンに向いています。

もし、Tenable VMやNessusについてご不明な点やお困りのことがございましたら、Tenableを取り扱っているユービーセキュアまでお気軽にお問い合わせください。

詳細はこちら