データ シート

CiscoWorks Network Compliance Manager 1.3

CiscoWorks Network Compliance Manager（NCM）は、マルチベンダー ネットワーク インフラストラクチャ全体に対して、設定とソフトウェアの変更を追跡して管理します。これにより、ネットワークの変更を詳細に把握し、さまざまな規制、IT、コーポレート ガバナンス、および技術面での要件への適合状況を追跡することができます。CiscoWorks NCM を使用すると、IT スタッフは、ネットワークが不安定になったりサービスが中断されるといった問題が発生する可能性のある動向を識別して修正できます。

製品概要

高性能なビジネス アプリケーションを導入する企業には、高度なネットワーキング インフラストラクチャと新しいテクノロジーの機能がますます必要になっています。ネットワークの運用とセキュリティ管理者には、ネットワーク展開の自動化、大規模で複雑なトポロジへの対応に加えて、実際のネットワーク展開が設計要件とベスト プラクティスにどのように適合しているかを追跡および監査するシステムが必要です。企業ネットワークは、規模、導入されるネットワーク テクノロジー、およびネットワーク機器を提供するベンダーの組み合わせに関係なく、規制ポリシー、企業の IT 手法、および技術面でのベスト プラクティスに適合する必要があります。

CiscoWorks NCM を使用すると、ユーザは規制に対する適合目標を達成し、社内の IT のベスト プラクティスをさまざまな方法で実施できます。

• 設定、ソフトウェア、ハードウェアなど、ネットワークへのすべての変更をリアルタイムで追跡し、詳細な監査証跡に取り込みます。
• 許可ポリシーに対してすべての変更の検査をただちに行い、規制要件または IT ベスト プラクティスに適合しているかどうかを確認します。
• 新たな変更をネットワークに適用する前に、適切なポリシーに対する検証を自動的に行います。変更がポリシーに適合していない場合、CiscoWorks NCM は変更の導入を許可しません。
• 変更の確認プロセスを自動化し、変更の承認と、設定変更のネットワークへの実際の適用作業を統合します。
• 管理者は、ネットワークに実際に適用される設定コードを使用できる、柔軟な統合型の承認モデルを介して変更を承認できます。変更の承認者は、デバイス構成全体と影響する事業部門との関連において変更を確認できます。関連するパーティにはイベント通知が送信され、ネットワーク スタッフは、未計画および未許可の変更をただちに確認できます。
• 知る必要があるかどうかを基準にして、ネットワーク設定情報の公開対象ユーザを制限します。CiscoWorks NCM は高度にカスタマイズ可能なロールベースの権限を使用して、ユーザが参照できる情報、デバイスで実行できるアクション、および直接アクセスできるデバイスを制御します。
• Sarbanes-Oxley（SOX）法、Visa Cardholder Information Security Program（CISP）、Health Insurance Portability and Accountability Act（HIPAA）、Gramm-Leach-Bliley Act of 1999（GLBA）、Information Technology Infrastructure Library（ITIL）、Control Objectives for Information and related Technology（COBIT）、および Committee of Sponsoring Organizations of the Treadway Commission（COSO）に対応した規制レポート機能が組み込まれており、各規制で必要とされる詳細な基準と、適合性を証明するために必要なネットワーク情報を提供します。デフォルトで組み込まれているレポートは、ユーザ、システム、ネットワーク ステータス、設定、デバイス、ソフトウェアの脆弱性、タスクまたはジョブ、Telnet/Secure Shell（SSH）プロトコル セッション、および Compliance Center に関するものです。レポートをカスタマイズして、次の情報を追加することもできます。
• 特定のバージョンの Cisco® IOS® ソフトウェアを実行しているすべてのシスコ デバイス
• 設定管理に安全性の低いプロトコルを使用しているすべてのデバイス
• モジュールに障害があるすべてのデバイス
• 一連のデバイスについて、ある期間内に行われたすべての設定変更
• 特定のユーザが開始したすべての Telnet/SSH セッション
• 承認の無効化によって発生したすべてのデバイスの変更
• 特定のポート上のトラフィックを拒否するすべての Access Control List（ACL; アクセス コントロール リスト）

主な機能と利点

CiscoWorks NCM 1.3 では、以前のバージョンの NCM に搭載されていた多彩な機能に加えて、いくつかの新機能が追加されています。表 1 に、CiscoWorks NCM 1.3 の主要な機能を示します。

表 1 CiscoWorks NCM の機能と利点

ポリシーおよび適合性管理の強化

従来のバージョンの NCM では、「構成」ベースでポリシー適合性を自動管理することができました。このモードの場合、NCM はデバイス上の実行コンフィギュレーションを検証します。正しく設定されていないネットワークは正しく動作しないため、この検証は最初に行うべき重要な作業です。しかし、すべてのネットワーク エレメントが正しく設定されている場合にも、問題は起こります。

NCM 1.3 の新しいポリシー適合機能では、従来の「構成」ベースに加え、「動作」ベースでも適合性を自動管理することができます。「動作」ベースのポリシー適合では、ネットワークが正しく設定されているかどうかだけでなく、ネットワークが期待どおりに動作しているかどうかを継続的に確認できます。

ソフトウェア イメージの管理

Automated Software Image Manager により、Cisco.com から NCM にデバイス イメージが動的にダウンロードされます。Automated Software Image Manager では、Cisco.com とのカスタム統合を利用して、NCM にソフトウェア イメージが動的にダウンロードされます。NCM で使用される手順は、次のとおりです。

• NCM から Cisco.com にデバイスで実行可能な OS バージョンを問い合わせます。
• NCM がユーザ インターフェイスを通じて使用可能なイメージをユーザに提示します。
• ユーザがユーザ インターフェイスでイメージを選択します。
• NCM がそのソフトウェア イメージをダウンロードし、そのソフトウェア イメージに必要な要件（ハードウェアやメモリなど）を自動的に読み込みます。

NCM では、シスコ デバイス（ハードウェア コンポーネントやフィーチャ セットなど）を分析して、シスコが推奨する特定のソフトウェア イメージをユーザに提示することができます。

図 1 は、デバイス ソフトウェア イメージの推奨ページの例です。

図 1 デバイス ソフトウェア イメージの推奨ページの例
※ 画像をクリックすると、大きく表示されます。

ソフトウェア イメージの同期により、ネットワーク内で稼働する OS イメージのバックアップを常に確保することができます。

販売終了およびサポート終了の通知および警告

NCM 1.3 を利用すると、ユーザは販売終了/サポート終了のレポートおよび警告を通じて、シスコ ネットワーク デバイスを最新の状態に維持することができます。ユーザは、NCM でシスコ ネットワーク デバイスの販売終了/サポート終了レポートを定期的に E メールで送信するように、スケジュールを作成することができます。このレポートには、販売終了/サポート終了ステータスになったデバイスおよびモジュールが明記され、Cisco.com 上に掲載されている販売終了/サポート終了告知へのリンクが記載されます。

図 2 は、販売終了/サポート終了レポートのスクリーンショットです。

図 2 デバイスおよびモジュールの販売終了/サポート終了レポート
※ 画像をクリックすると、大きく表示されます。

インターフェイスのプロビジョニングと管理

新しいインターフェイス管理機能を使用して、特定の基準と一致するデバイス上のインターフェイスを検索し、それらの基準と一致するインターフェイス一覧を表示することができます。検索したインターフェイスから特定のインターフェイスを選択し、それらに変更を直接プッシュすることができます。

図 3 は、自動化されたインターフェイス管理について説明したものです。

図 3 自動化されたインターフェイス管理
※ 画像をクリックすると、大きく表示されます。

ポリシー ルール作成の使いやすさの向上

NCM 1.3 では、ポリシー ルールを作成する際の正規表現の必要性が大幅に軽減されています。現在、正規表現の使用はオプションになっています。さらに、1 つのルール内の特定行が所定のセクション内で唯一のものになることを簡単に指定できるようになっています。たとえば、特定の SNMP コミュニティ ストリングを使用する必要があり、他のコミュニティ ストリングは一切定義すべきでない場合があります。このブロック内に、他の行が存在することはできません。

また、NCM では、ルール内で内部データ モデル要素を使用することもできます（標準および拡張カスタム データ フィールドを含む）。たとえば、1 つのルールを作成して、すべてのデバイスのホスト名が社内の基準に合った形式になっていることを検証したり、カスタム データ フィールドの内容を検証したりすることができます。

また、ポリシー マネジメントの機能として、システム内のデバイスに対して非アクティブなポリシーをテストする機能も追加されています。

デバイスおよび設定管理の機能拡張

NCM 1.3 では、デバイスおよび設定管理機能に、次のような多くの拡張が加えられています。

• デバイス グループ ページのデバイス グループを展開または縮小することができます。このページでは、ユーザごとに展開/縮小状態が維持されます。
• 各デバイスに対する NCM のパスワード試行回数を設定することができます。パスワードを 3 回間違えた場合にユーザをロックアウトするようにデバイスが設定されている場合、この拡張機能を使用して、NCM でのアクセス試行回数を 2 回に制限し、NCM がロックアウトされるのを防ぐことができます。
• 現在使用しているデバイス パスワード ルールに基づいてデバイスを動的にグループ化できます。
• デバイスのホームページでデバイスが使用中のデバイス パスワード ルールを表示することができます。
• デバイス構成をワンクリックでテキスト ファイルに保存することができます。
• 図表作成機能および依存関係マッピング アルゴリズムが改善されています。VLAN やトランキングなどのレイヤ 2 接続データが追加されたことにより、レイヤ 1 およびレイヤ 2 接続をこれまで以上に正確に把握することができます。

CiscoWorks の統合

CiscoWorks アプリケーションである CiscoWorks NCM は、他の CiscoWorks 製品の幅広い機能と統合されます。また、CiscoWorks NCM と他の CiscoWorks アプリケーション（CiscoWorks LMS バンドルなど）の間で、さまざまな機能を相互に起動することもできます。

統合機能は、次のとおりです。

• CiscoWorks DCR から詳細なデバイスのクレデンシャル データをインポートして、2 つの CiscoWorks 製品間でデータの一貫性を維持
• CiscoWorks Homepage から CiscoWorks NCM を起動して、ネットワーク運用タスクを集中管理するためのダッシュボードを利用できる
• CiscoWorks NCM メニューから他の CiscoWorks アプリケーション（CiscoWorks Device Center、CiscoView など）にアクセス
• 同じサーバでの共存：CiscoWorks NCM ソフトウェア、CiscoWorks NCM データベース（Oracle または MySQL）、および CiscoWorks LMS は、同じホストで稼働するように設定できる。CiscoWorks NCM と LMS は TFTP サーバを共有でき、LMS は NCM が転送したすべての Syslog メッセージを受信できる

ハイ アベイラビリティ展開オプション

CiscoWorks NCM は、データの冗長性やハイ アベイラビリティなどの安定化機能により、何万もの管理対象ノードが存在する大規模なネットワーク展開向けに設計されています。ネットワークの適合性、設定、および変更管理の重要性を理由にハイ アベイラビリティを懸念するネットワーク管理者は、（オプションの）ハイ アベイラビリティ サーバ構成で CiscoWorks NCM を展開できます。ハイ アベイラビリティおよびサテライト展開オプションは、安定した展開アーキテクチャを提供します。

• ハイ アベイラビリティ オプションを使用すると、世界中に分散したネットワーク環境全体を把握および制御し、情報を複数のロケーションに自動的に複製し、新しいロケーションで環境をただちに再作成して復旧に必要な時間を大幅に短縮できます。また、IT 組織は複数のロケーションにベスト プラクティスと情報を拡張して、企業全体で一貫性のある運用を実現できます。
• サテライト オプションを使用すると、Network Address Translation（NAT; ネットワーク アドレス変換）の境界を越えるリモートのネットワーク デバイスを集中管理できます。

サポートされるデバイス

CiscoWorks NCM は、さまざまなシスコ製デバイスと、他の 35 のベンダー製のデバイスをサポートしています。サポート対象デバイスには、ルータ、スイッチ、ファイアウォール、ワイヤレス アクセス ポイント、VPN デバイス、ネットワーク アクセラレータ、ネットワーク ロード バランサ、および専用の機能を提供するその他のアプライアンス（ターミナル サーバ、プロキシ サーバなど）があります。CiscoWorks NCM は、新しいデバイスをリリース後すぐにサポートしたり、市場の需要に対応したりすることができるように、簡単にアップグレードできます。

Alert Center

CiscoWorks NCM Alert Center は、Cisco NCM ソフトウェア製品を補完する登録サービスです。NCM 形式のセキュリティ適合ポリシーや製品拡張機能など、Alert Center のコンテンツは CiscoWorks NCM Alert Center に隔週でアップロードされ、登録者は Cisco.com から CiscoWorks NCM にダウンロードできます。

ライセンス情報

CiscoWorks NCM 1.3 は、管理対象のノード数、およびハイ アベイラビリティとサテライト機能が有効になっているかどうかに基づいてライセンス供与されます。

ユーザは、次のライセンスを購入する必要があります。

• コア サーバのソフトウェア ライセンス（必須）
• ハイ アベイラビリティ機能のソフトウェア ライセンス（必要な場合）
• 注：上記のコアおよびハイ アベイラビリティ ソフトウェアをインストールするためのライセンスは必要ありません。上記のソフトウェアの他に、ユーザは必要に応じて次のライセンスを購入する必要があります。
• コア ノード数に対応した追加ライセンス（必須）
• ハイ アベイラビリティ ノード数に対応した追加ライセンス（必要な場合）
• サテライト数に基づくサテライト機能用ライセンス（必要な場合）
• サードパーティ製ソフトウェアとのコネクタのソフトウェア ライセンス（必要な場合）

管理対象ノードとは、管理 IP アドレス、および管理 IP アドレスがアクセスするシステムの構成の詳細です。ほとんどの場合、1 台のデバイスが 1 つのノードに相当します。ハイブリッド モードの Cisco Catalyst® スイッチなど、デバイスが 2 つの異なる構成で実行されているような複雑な場合には、各構成が管理対象ノードとみなされます。これは、ハイブリッド モードの場合、スイッチには 2 つの管理 IP アドレスと 2 つのコンフィギュレーション ファイルがあるためです。ライセンス方式において、管理対象外のノードはライセンス供与されたノード数の合計には含まれません。詳細については、発注ガイドを参照してください。

インストール

CiscoWorks NCM 1.3 は専用サーバまたは CiscoWorks LMS と同じサーバにインストールできます。CiscoWorks NCM の展開に合わせてネットワークを準備する方法の詳細については、表 2 〜 7 に示す推奨設定を参照してください。管理対象ノード数が多い場合は、CiscoWorks NCM を専用サーバにインストールすることを推奨します。

表 2 推奨設定、デュアル構成の Windows サーバ

表 3 推奨設定、シングル構成の Windows サーバ

表 4 推奨設定、デュアル構成の Solaris サーバ

表 5 推奨設定、シングル構成の Solaris サーバ

表 6 推奨設定、デュアル構成の Linux サーバ

表 7 推奨設定、シングル構成の Linux サーバ

発注情報

発注情報については、CiscoWorks NCM の製品情報（http://www.cisco.com/jp/go/cwncm/）を参照してください。

サービスおよびサポート

シスコは、お客様がそのネットワーク サービスを最大限に活用するため、各種サービス プログラムを用意しています。これらのサービスは、スタッフ、プロセス、ツールをそれぞれに組み合わせて提供され、お客様から高い評価を受けています。ネットワークへの投資を無駄にすることなく、ネットワーク運用を最適化しネットワーク インテリジェンスの強化や事業拡張を進めていただくためにシスコのサービスを是非お役立てください。シスコのサービスの詳細については、以下の URL を参照してください。

• テクニカル サポート サービス
  http://www.cisco.com/jp/go/tac/
• サービス プログラム
  http://www.cisco.com/jp/services/

関連情報

CiscoWorks Network Compliance Manager の詳細については、http://www.cisco.com/jp/go/cwncm/ を参照してください。