English
- トップページ >
- ソリューション・サービス >
- インフラ構築・運用サービス・セキュリティ >
- Tenable を用いた脆弱性診断サービス
攻撃者視点で真のリスクを特定し、是正に向けた伴走・運用支援を提供
企業の情報システム部門・セキュリティ担当者にとって、社内システム、クラウド、公開サーバー、端末など多様化するIT資産の脆弱性を継続的に把握し、優先順位を付けて対処することは重要な課題です。脆弱性の放置は、不正侵入、情報漏えい、ランサムウェア感染、サービス停止などの事業リスクにつながります。
そこでコムチュアは、世界的なセキュリティベンダー「Tenable」のプラットフォームを活用し、攻撃者の視点で、お客様のデジタル資産に存在するリスクを事前に発見・評価します。
診断結果に基づき、重要度の高い脆弱性から順に具体的な是正策をご提案します。さらに、是正対応の完遂まで伴走し、その後の運用支援を通じて、実効性のあるセキュリティ対策の継続を後押しします。
このような課題を抱えていませんか?
- 脆弱性診断を実施しているが、優先順位が付けられず放置されている
- オンプレミス/クラウド/OT/IoTなど環境が複雑で全体像が見えない
- セキュリティ製品を導入したいが、専門知識を持つ人材や運用リソースが不足している
- 診断はできるが、是正対応・継続運用まで手が回らない
- 年1回の診断で終わり、日々変化する脅威に対応できていない
次世代のエクスポージャー管理プラットフォーム「Tenable One」で解決!
Tenable社は、サイバーセキュリティ分野において世界中で多くの組織に信頼され、脆弱性管理およびエクスポージャー管理分野のグローバルリーダーとして認識されています。Fortune 500企業や政府機関を含む数万の組織が、Tenableの先進的なプラットフォームを導入・活用しています。
エクスポージャー管理(Exposure Management)とは?
エクスポージャー管理とは、「組織が攻撃される可能性」と「実際に被る被害」を攻撃者視点で可視化し、対策の優先順位を決める考え方です。
エクスポージャー管理と脆弱性管理の違い
1.視点の違い
| 脆弱性管理 | 脆弱性管理は「守る側」の視点で、既知の欠陥(CVE等)を見つけて潰すことに重きを置いた「点」の対策です。 |
| エクスポージャー管理 | エクスポージャー管理は「攻撃者」の視点で、侵入経路や設定ミス、権限の悪用など、攻撃が成立するシナリオ全体を捉える「面」の視点に立ちます。 |
2.範囲の広さ
| 脆弱性管理 | 脆弱性管理は主にOSやアプリのバグ修正が対象です。 |
| エクスポージャー管理 | エクスポージャー管理は脆弱性管理に加え、クラウドの設定不備、過剰な特権、資産の露出、公開情報の漏洩など、「攻撃の足がかり」となり得るあらゆる要素を管理の対象に含みます。 |
あらゆる領域を網羅するTenable製品群から
最適な組み合わせをご提案
Tenable 製品群・機能紹介
| 製品名 | 対象領域 | 主な機能 |
|---|---|---|
| Tenable One Vulnerability Management | IT資産全体 | ネットワークデバイス、サーバー、ワークステーションの脆弱性を継続的に検出・評価。 |
| Tenable One Identity Exposure | ユーザー・権限管理 | Active DirectoryやMicrosoft Entra IDのリスク(過剰権限、設定ミスなど)を特定。 |
| Tenable One | 統合リスク管理 | オンプレ、クラウド、ID、Web、OT/IoTを統一管理。攻撃経路分析により「真の攻撃対象領域」を可視化。 |
| Tenable One OT Security | 製造業・重要インフラ | OT/IoT機器の脆弱性を産業用環境に特化した方法で診断。 |
| Tenable One Web Application Scanning | Webアプリケーション | 動的なセキュリティテストにより、Webアプリの脆弱性を診断。 |
| Tenable One Cloud Security | クラウドインフラ | AWS、Azure、GCP等のクラウド環境の誤設定やセキュリティリスクを可視化。 |
| Tenable One Attack Surface Management | 外部脅威 | インターネット公開資産や外部攻撃経路を自動発見・監視。 |
3つの特長
大量の診断結果から、
“今すぐ直すべきリスク”
が分かる
Tenableを活用し、攻撃者の視点でお客様のデジタル資産に潜むリスクを可視化します。さらに、検出された脆弱性を単に一覧化するだけでなく、悪用される可能性や事業影響を踏まえて優先順位を整理。大量の診断結果の中から、まず対応すべきリスクを明確にします。
弊社は診断結果をお客様環境に合わせて読み解き、具体的な是正策までご提案します。
限られた人手でも、
対策が前に進む
Tenable独自の指標「VPR」(Vulnerability Priority
Rating)などを活用し、実際に悪用される可能性が高い脆弱性を優先的に把握します。すべての脆弱性に一律対応するのではなく、リスクの高いものから順に対応することで、限られた人員・時間でも効率的にセキュリティ対策を進められます。
コムチュアは対応方針の整理、関係部門への説明に活用できるレポート作成、改善計画の策定まで支援します。
診断して終わりにならない、
継続的な運用まで伴走
脆弱性管理は、一度の診断で完了するものではありません。新たな脆弱性や攻撃手法は日々発生するため、継続的な確認と改善が重要です。コムチュアはTenableの導入後も、月次レビュー、検出結果の確認、対応優先度の見直し、運用改善のご相談などを通じて、お客様がTenableを活用し続けられるよう支援します。
2025年度時点で、コムチュアはTenableパートナー契約を締結しており、ディストリビューターとも連携しています。製品導入から運用定着まで、安心してご相談いただける体制を整えています。
サービス導入の流れ
| No. | 項目 | 概要 |
|---|---|---|
| 1 | 事前検討・要件ヒアリング | 現状の課題、対象資産、運用体制をヒアリングし、最適なプランと概算費用を提示します。 |
| 2 | 現状把握・設計 | お客様のIT環境を詳細に調査し、実装設計を実施します。 |
| 3 | Tenable製品導入・設定 | 設計に基づき環境構築、スキャナー配置、ポリシー設定などを実施します。 |
| 4 | 動作確認・テスト | 初回スキャンを実施し、結果取得やVPR優先度、レポート機能などを検証します。 |
| 5 | 初回結果報告・改善提案 | 診断結果報告書を作成し、環境固有の改善策・対応方針を提案します(必要に応じて支援相談も可能)。 |
| 6 | 導入後の継続サポート | 運用トレーニング・引継ぎを実施。技術的なご質問や運用上の課題に迅速に対応します。 |
ご提供サービスプラン
お客様のニーズに合わせた3プランを用意。カスタム要望も柔軟に対応します。まずはお気軽にお問い合わせください。
Tenable One Vulnerability Management脆弱性管理スタートアッププラン
まずは脆弱性診断をしたい方はこちら
クリックで開閉
組織のIT資産を把握し、「どのような脆弱性があるのか」を確実に見える化。優先順位づけにより、対応すべきポイントを絞り込んだうえで改善提案につなげます。
こんなお客様におすすめ:
- ・まずは、組織のIT資産全体を把握して、どのような脆弱性があるのか知りたい
- ・ネットワークデバイス、サーバー、ワークステーションの脆弱性を継続的に監視したい
対象(最低100資産から):
- ・オンプレミスのIT資産全体(サーバー、ネットワーク、ワークステーション)
主な機能
| 機能 | 概要 |
|---|---|
| 継続的なリスク検出 | エージェントレス方式とエージェント導入方式を組み合わせ、広範囲な資産の脆弱性を効果的に検出。 |
| AIによる優先順位付け | VPR(Vulnerability Priority Rating)により、数千~数万件の脆弱性から「実際に対応が必要な脆弱性」(約1.6%)を自動抽出。 |
| 脅威インテリジェンス | 最新の脅威情報を自動反映。新しい脆弱性や攻撃トレンドに対応。 |
| リアルタイムに可視化 | ダッシュボードで、脆弱性、資産、修正状況をリアルタイム監視。 |
Tenable One Identity Exposure AD/Entra IDの脅威対策プラン
AD構築・運用実績との親和性を高めたい方向け
クリックで開閉
近年の多くの攻撃は、Active Directory(AD)やMicrosoft Entra ID(旧Azure AD)などアイデンティティ(ID)を足掛かりに進みます。そこで本プランでは、端末・ユーザー・アクセス権限に関わる重要情報が集約されるID領域の弱点を事前に特定・対策します。コムチュアはAD/Entra IDの設計・導入・運用実績があり、ご要望に応じてSOC(セキュリティオペレーションセンター)による監視・分析も可能です。
こんなお客様におすすめ:
- ・ADやEntra IDなどID関連のセキュリティリスクを早期に発見・対策したい
- ・ユーザー権限の過剰付与や設定ミスによる侵害リスクが懸念される
対象(最低300アカウント)から:
- AD(オンプレミス)、Entra ID(クラウド認証)、ハイブリッド環境(AD + Entra IDの共存)
主な機能
| 機能 | 概要 |
|---|---|
| IDの一元可視化 | AD、Entra IDのすべてのユーザーとマシンのIDを統合的に表示。 |
| リスク検出と優先順位付け | 攻撃者が悪用する可能性のある設定ミス、過剰な権限、攻撃経路を自動検出。 |
| ガイド付き修復 | 検出された各リスクに対し、修正手順とスクリプトを提供。 |
| 継続監視 | 新しい構成変更や権限変更をリアルタイム監視し、常に最新のリスク状況を把握。 |
Tenable One 全領域統合エクスポージャー管理プラン
Tenable製品群を統合管理できる中核的な製品を必要とされる方向け
クリックで開閉
オンプレミス、クラウド、ID、Webアプリケーション、OT/IoTなど、複雑化するIT環境全体のセキュリティリスクを統合的に管理したいお客様向けです。「守れているか」を確認し、「どこから直すべきか」を明確にしながら、継続的な改善を実現する基盤を構築します。
こんなお客様におすすめ:
- ・オンプレミス、クラウド、ID、Webアプリケーション、OT/IoT等、複雑化するIT環境全体のセキュリティリスクを統合的に管理したい
対象(最低300資産から):
- ・オンプレミスのIT資産全体(サーバー、ネットワーク、ワークステーション)
- ・クラウドインフラ(AWS、Azure、GCP)の全リソース
- ・Active DirectoryおよびMicrosoft Entra ID
- ・Webアプリケーション
- ・OT/IoT機器(製造業、重要インフラ等)
主な機能
| 機能 | 概要 |
|---|---|
| セキュリティエクスポージャーの可視化 | 脆弱性の重要度と資産のビジネス重要度を組み合わせ、組織全体のサイバーリスクを正確に数値化し、他社ベンチマークも可能。 |
| 攻撃経路分析 | 150以上の攻撃手法に基づき、エンドポイント、ID、クラウドにわたる現実的な攻撃経路を可視化。MITRE ATT&CKフレームワークにマッピングし、リスク対応の優先順位を明確化。 |
| 有毒な組み合わせの 検出 |
脆弱性、ID権限、脅威インテリジェンス、ソフトウェア、資産情報をAIで分析。「複数の弱点が重なって初めて危険になる」というシナリオを予測。 |
| 統合インベントリ管理 | IT資産、OT機器、IoT機器、クラウド環境、ID、Webアプリケーションをすべて一元管理。複数システムのデータを自動統合。(資産タグ作成も可能) |
| 外部ツール連携 | すでに導入しているセキュリティツールとの連携が可能。既存投資を活かしながら統合的な脅威管理を実現。 (対象はTenable One コネクタ | Tenable®を参照) |
※資産(Asset)とは
脆弱性分析・リスク評価の対象となるIT機器・システム全般を指します。
具体例:
- ・コンピュータ:デスクトップパソコン、ノートパソコン、サーバー、ストレージデバイスなど
- ・ネットワーク:ルーター、スイッチなど
- ・モダン環境:仮想マシン(VM)、ハイパーバイザー、コンテナなど
セキュリティ関連ソリューション
-
Tenableを用いた脆弱性診断サービス
- インフラ構築・運用サービス
攻撃者視点で真のリスクを特定し、是正に向けた伴走・運用支援を提供します。
-
Microsoft 365(旧 Office 365)セキュリティ強化サービス(EMS)
- グループウェア・ワークスタイル改革
Microsoft 365を利用する企業のセキュリティ強化と管理効率化を実現します。
-
Microsoft Intune導入支援サービス
- インフラ構築・運用サービス
デバイスやアプリケーションの一元管理とアクセス制御によるセキュリティ対策を同時に実現します。
-
多要素認証ソリューション
- インフラ構築・運用サービス
多要素認証導入サービスは、SSO環境にワンタイムパスワードを導入。認証のための専用機器も不要ため、低コストでスタートできます。
-
シングルサインオン導入サービス
(Keycloak・OpenAM)
- インフラ構築・運用サービス
シングルサインオン(SSO)でID運用管理を効率化、ユーザー利便性の向上とセキュリティの強化を実現します。
-
中小企業向けSASE導入支援サービス
- インフラ構築・運用サービス
ゼロトラストに取り組む中小企業をSASE導入により支援。運用負荷を軽減し、セキュリティ強化とネットワーク品質の向上に貢献します。
-
HP Wolf Pro Security
導入・保守サポートサービス
- インフラ構築・運用サービス
HP Wolf Pro Security導入により、高度で包括的なエンドポイントセキュリティを実現します。
-
HP Sure Click Enterprise
導入・保守サポートサービス
- インフラ構築・運用サービス
HP Sure Click Enterprise導入により、セキュリティ要件が厳しい自治体・金融・医療機関等のエンドポイント対策を強化します。
-
Windows11アップデート運用支援サービス
- インフラ構築・運用サービス
Windows11アップデートでお悩みの情報システム部門を計画段階から構築、設定、運用までトータルサポートします。
-
データ消去代行サービス
- インフラ構築・運用サービス
お客様の大切なデータを確実に消去し、IT機器の廃棄による情報漏洩リスクを軽減します。
-
Webアプリケーション・プラットフォームセキュリティ診断サービス
- インフラ構築・運用サービス
ライフサイクルに応じたセキュリティ診断を提供。定期的に受診することで、セキュリティレベルを維持できます。
-
OSS脆弱性パッチ提供サービス
- オープンソースソリューション
コミュニティサポートが終了したバージョンのOSSに対して、脆弱性パッチを提供します。