1. [デバイスでフィルタ処理（Filter By Device）] をクリックします。

2. すべてのデバイスを検索するか、デバイスタブをクリックして特定の種類のデバイスのみを検索します。

3. フィルタ条件に含めるデバイスのチェックボックスをオンにします。

4. [OK] をクリックします。

• [デフォルト値（Default Values）]：デフォルト値のみを持つオブジェクトをフィルタリングします。

• [オーバーライド値（Override Values）]：オーバーライドされた値を持つオブジェクトをフィルタリングします。

• [追加の値（Additional Values）]：追加の値を持つオブジェクトをフィルタリングします。

• [eq] を選択し、単一の IP アドレス、CIDR 表記で表されるサブネットアドレス、または部分修飾ドメイン名（PQDN）を入力します。

• [範囲（range）] を選択し、IP アドレスの範囲を入力します。

[Attention（注意）] ：新たに作成されたネットワークオブジェクトは、ルールやポリシーの一部ではないため、いずれの FDM-managed デバイスにも関連付けられていません。それらのオブジェクトを表示するには、オブジェクトフィルタで [関連付けなし（Unassociated）] オブジェクトカテゴリを選択します。詳細については、「オブジェクトフィルタ」を参照してください。デバイスのルールやポリシーに関連付けられていないオブジェクトを使用すると、そのオブジェクトはそのデバイスに関連付けられます。

• [この名前の新しいオブジェクトとして追加（Add as New Object With This Name）] をクリックして、その名前の新しいオブジェクトを作成します。値を入力し、チェックマークをクリックして保存します。

• [新しいオブジェクトの追加（Add as New Object）] をクリックして、新しいオブジェクトを作成します。オブジェクト名と値は同じです。名前を入力し、チェックマークをクリックして保存します。

値がすでに存在していても、新しいオブジェクトは作成できます。それらのオブジェクトに変更を加えて保存できます。

注：編集アイコンをクリックして、詳細を変更できます。削除ボタンをクリックしても、オブジェクト自体は削除されず、代わりに、ネットワークグループから削除されます。

1. オブジェクト名またはネットワークグループの横に表示される編集アイコン をクリックして、それらを変更します。

2. チェックマークをクリックして変更内容を保存します。注：削除アイコンをクリックして、ネットワークグループから値を削除できます。

1. [値（Values）] フィールドに、新しい値または既存のネットワークオブジェクトの名前を入力します。入力を開始すると、入力に一致するオブジェクト名または値が Security Cloud Control によって表示されます。表示されている既存のオブジェクトの 1 つを選択するか、入力した名前または値に基づいて新しいオブジェクトを作成できます。

2. Security Cloud Control で一致が検出された場合、既存のオブジェクトを選択するには、[追加（Add）] をクリックして、ネットワークオブジェクトまたはネットワークグループを新しいネットワークグループに追加します。

3. 存在しない値またはオブジェクトを入力した場合は、次のいずれかを実行できます。

   • [この名前の新しいオブジェクトとして追加（Add as New Object With This Name）] をクリックして、その名前の新しいオブジェクトを作成します。値を入力し、チェックマークをクリックして保存します。

   • [新しいオブジェクトの追加（Add as New Object）] をクリックして、新しいオブジェクトを作成します。オブジェクト名と値は同じです。名前を入力し、チェックマークをクリックして保存します。

値がすでに存在していても、新しいオブジェクトは作成できます。それらのオブジェクトに変更を加えて保存できます。

• 値を変更するには、編集アイコンをクリックします。

• [オーバーライド値（Override Values）] で [デバイス（Devices）] 列のセルをクリックして、新しいデバイスを割り当てます。すでに割り当てられているデバイスを選択し、[オーバーライドの削除（Remove Overrides）] をクリックすると、そのデバイスのオーバーライドを削除できます。

• [オーバーライド値（Override Values）] の 矢印をクリックすると、共有オブジェクトのデフォルト値にできます。

• 削除するオーバーライドの横にある削除アイコンをクリックします。

• [デバイス（Devices）] フィールドには、共有ネットワークグループが存在するデバイスが表示されます。

• [使用（Usage）] フィールドには、共有ネットワークグループに関連付けられたルールセットが表示されます。

• [デフォルト値] フィールドは、デフォルトのネットワークオブジェクトと、オブジェクトの作成時に指定された、共有ネットワークグループに関連付けられたオブジェクト値が示されます。このフィールドの横に、このデフォルト値を含むデバイスの数が表示され、クリックすると名前とデバイスタイプを表示できます。この値に関連付けられたルールセットも表示されます。

• [この名前の新しいオブジェクトとして追加（Add as New Object With This Name）] をクリックして、その名前の新しいオブジェクトを作成します。値を入力し、チェックマークをクリックして保存します。

• [新しいオブジェクトの追加（Add as New Object）] をクリックして、新しいオブジェクトを作成します。オブジェクト名と値は同じです。名前を入力し、チェックマークをクリックして保存します。

値がすでに存在していても、新しいオブジェクトは作成できます。それらのオブジェクトに変更を加えて保存できます。

• 値を変更するには、編集アイコンをクリックします。

• [デバイス（Devices）] 列のセルをクリックして、新しいデバイスを割り当てます。すでに割り当てられているデバイスを選択し、[オーバーライドの削除（Remove Overrides）] をクリックすると、そのデバイスのオーバーライドを削除できます。

• [デフォルト値（Default Values）] の 矢印をクリックすると、共有ネットワークグループの追加値にできます。共有ネットワークグループに関連付けられているすべてのデバイスが、自動的に割り当てられます。

• [オーバーライド値（Override Values）] の 矢印をクリックすると、共有ネットワークグループのデフォルト値にできます。

• ネットワークグループからオブジェクトを削除するには、横にある削除アイコンをクリックします。

最初のリストには、継続的にスクロールするリストでアプリケーションが表示されます。[フィルタの詳細設定（Advanced Filter）] をクリックすると、フィルタ オプションが表示され、アプリケーションを容易に選択できます。選択したら、[追加（Add）] をクリックします。このプロセスを繰り返して、アプリケーションやフィルタを追加できます。

[リスク]：アプリケーションが組織のセキュリティポリシーに反する可能性がある目的のために使用される確率（「非常に低い」から「非常に高い」まで）。

[ビジネスとの関連性]：アプリケーションが、娯楽としてではなく、組織の事業運営の文脈内で使用される確率（「非常に低い」から「非常に高い」まで）。

[タイプ]：アプリケーションのタイプ。

• [アプリケーションプロトコル]：HTTP や SSH など、ホスト間の通信を表すアプリケーションプロトコル。

• [クライアントプロトコル]：Web ブラウザや電子メールクライアントなどのホスト上で動作しているソフトウェアを表すクライアント。

• [Webアプリケーション]：HTTP トラフィックの格納ファイルまたは要求された URL を表す MPEG ビデオや Facebook などの Web アプリケーション。

[カテゴリ]：アプリケーションの最も重要な機能を説明する一般的な分類。

[タグ]：カテゴリに似た、アプリケーションに関する追加情報。

暗号化されたトラフィックの場合、システムは [SSL Protocol] とタグ付けされたアプリケーションだけを使用して、トラフィックを識別およびフィルタリングできます。このタグがないアプリケーションは、暗号化されていないまたは復号化されたトラフィックでのみ検出できます。また、システムは、復号されたトラフィック（暗号化された、または暗号化されていないトラフィックではなく）のみで検出を行うことができるアプリケーションに [復号されたトラフィック（decrypted traffic）] タグを割り当てます。

[アプリケーションリスト]（画面下部）：上記のリストのオプションからフィルタを選択するとこのリストが更新されるため、現在のフィルタに一致するアプリケーションを確認できます。ルールにフィルタ条件を追加するときに、フィルタが目的のアプリケーションを対象としていることを確認するためにこのリストを使用します。特定のアプリケーションまたは複数のアプリケーションをオブジェクトに追加するには、フィルタ処理されたリストからそれらを選択します。アプリケーションを選択すると、フィルタは適用されなくなります。フィルタ自体をオブジェクトにする場合は、リストからアプリケーションを選択しないでください。次に、オブジェクトはフィルタによって識別されたすべてのアプリケーションを表します。

• [オブジェクト（Objects）] ページで証明書オブジェクトを作成します。

  1. 左側のペインで Objects をクリックします。

  2. > [FTD] > [証明書（Certificate）] をクリックします。

• ポリシーに新しい証明書オブジェクトを追加するときに、[新しいオブジェクトの作成（Create New Object）] をクリックします。

証明書は、次のガイドラインに準拠している必要があります。

• 証明書内のサーバー名は、サーバーのホスト名または IP アドレスと一致している必要があります。たとえば、IP アドレスとして 10.10.10.250 を使用しているのに、証明書で ad.example.com を使用すると接続が失敗します。

• 証明書は PEM または DER 形式の X509 証明書である必要があります。

• 貼り付ける証明書は、BEGIN CERTIFICATE と END CERTIFICATE の行を含める必要があります。次に例を示します。

  -----BEGIN CERTIFICATE-----
  MIIFgTCCA2mgAwIBAgIJANvdcLnabFGYMA0GCSqGSIb3DQEBCwUAMFcxCzAJBgNV
  BAYTAlVTMQswCQYDVQQIDAJUWDEPMA0GA1UEBwwGYXVzdGluMRQwEgYDVQQKDAsx
  OTIuMTY4LjEuMTEUMBIGA1UEAwwLMTkyLjE2OC4xLjEwHhcNMTYxMDI3MjIzNDE3
  WhcNMTcxMDI3MjIzNDE3WjBXMQswCQYDVQQGEwJVUzELMAkGA1UECAwCVFgxDzAN
  BgNVBAcMBmF1c3RpbjEUMBIGA1UECgwLMTkyLjE2OC4xLjExFDASBgNVBAMMCzE5
  Mi4xNjguMS4xMIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEA5NceYwtP
  ES6Ve+S9z7WLKGX5JlF58AvH82GPkOQdrixn3FZeWLQapTpJZt/vgtAI2FZIK31h
  (...20 lines removed...)
  hbr6HOgKlOwXbRvOdksTzTEzVUqbgxt5Lwupg3b2ebQhWJz4BZvMsZX9etveEXDh
  PY184V3yeSeYjbSCF5rP71fObG9Iu6+u4EfHp/NQv9s9dN5PMffXKieqpuN20Ojv
  2b1sfOydf4GMUKLBUMkhQnip6+3W
  -----END CERTIFICATE-----

• [オブジェクト（Objects）] ページで証明書オブジェクトを作成します。

  1. 左側のペインで Objects をクリックします。

  2. > [FTD] > [証明書（Certificate）] をクリックします。

• ポリシーに新しい証明書オブジェクトを追加するときに、[新しいオブジェクトの作成（Create New Object）] をクリックします。

• [国（C）（Country (C)）]：ドロップダウトリストから国コードを選択します。

• [都道府県（ST）（State or Province (ST)）]：証明書に含める都道府県。

• [地域または都市（L）（Locality or City (L)）]：都市の名前など、証明書に含める地域。

• [組織（O）（Organization (O)）]：証明書に含める組織または会社の名前。

• [組織単位（部門）（OU）（Organizational Unit (Department) ）]：証明書に含める組織単位の名前（部門名など）。

• [共通名（CN）（Common Name (CN)）]：証明書に含める X.500 共通名。これは、デバイスの名前、Web サイト、または他の文字列にできます。この要素は、通常は正常な接続のために必要です。たとえば、リモート アクセス VPN で使用する内部証明書に CN を含める必要があります。

• をクリックし、[FTD] > [IKEv1 IPsec Proposal] の順に選択して新しいオブジェクトを作成します。

• オブジェクトページで、編集する IPSec プロポーザルを選択し、右側の [Actions] ペインで [Edit] をクリックします。

• トンネルモードでは IP パケット全体がカプセル化されます。IPSec ヘッダーが、元の IP ヘッダーと新しい IP ヘッダーとの間に追加されます。これがデフォルトです。トンネル モードは、ファイアウォールの背後にあるホストとの間で送受信されるトラフィックをファイアウォールが保護する場合に使用します。トンネル モードは、インターネットなどの非信頼ネットワークを介して接続されている 2 つのファイアウォール（またはその他のセキュリティ ゲートウェイ）間で通常の IPSec が実装される標準の方法です。

• トランスポートモードでは IP パケットの上位層プロトコルだけがカプセル化されます。IPSec ヘッダーは、IP ヘッダーと上位層プロトコル ヘッダー（TCP など）との間に挿入されます。トランスポート モードでは、送信元ホストと宛先ホストの両方が IPSec をサポートしている必要があります。また、トランスポート モードは、トンネルの宛先ピアが IP パケットの最終宛先である場合にだけ使用されます。一般的に、トランスポート モードは、レイヤ 2 またはレイヤ 3 のトンネリング プロトコル（GRE、L2TP、DLSW など）を保護する場合にだけ使用されます。

• をクリックし、[FTD] > [IKEv2 IPSecプロポーザル（IKEv2 IPsec Proposal）] の順に選択して新しいオブジェクトを作成します。

• オブジェクトページで、編集する IPSec プロポーザルを選択し、右側の [アクション（Actions）] ペインで [編集（Edit）] をクリックします。

• [暗号化（Encryption）]：このプロポーザルのカプセル化セキュリティ プロトコル（ESP）暗号化アルゴリズム。許可するすべてのアルゴリズムを選択します。システムは、最も強いアルゴリズムから始めて最も弱いアルゴリズムに至るまで、適合するものが確認できるまでピアとネゴシエートします。オプションの説明については、使用する暗号化アルゴリズムの決定を参照してください。

• [整合性ハッシュ（Integrity Hash）]：認証に使用するハッシュまたは整合性アルゴリズム。許可するすべてのアルゴリズムを選択します。システムは、最も強いアルゴリズムから始めて最も弱いアルゴリズムに至るまで、適合するものが確認できるまでピアとネゴシエートします。オプションの説明については、使用するハッシュ アルゴリズムの決定を参照してください。

• をクリックし、[FTD] > [IKEv1ポリシー（IKEv1 Policy）] の順に選択して、新しい IKEv1 ポリシーを作成します。

• オブジェクトのページで、編集する IKEv1 ポリシーを選択し、右側の [操作（Actions）] ウィンドウで [編集（Edit）] をクリックします。

• [優先順位（Priority）]：IKE ポリシーの相対的優先順位（1 ～ 65,535）。このプライオリティによって、共通のセキュリティ アソシエーション（SA）の検出試行時に、ネゴシエーションする 2 つのピアを比較することで、IKE ポリシーの順序が決定します。リモート IPsec ピアが、最も高いプライオリティ ポリシーで選択されているパラメータをサポートしていない場合、次に低いプライオリティで定義されているパラメータの使用を試行します。値が小さいほど、プライオリティが高くなります。

• [暗号化（Encryption）] ：フェーズ 2 ネゴシエーションを保護するためのフェーズ 1 セキュリティ アソシエーション（SA）の確立に使用される暗号化アルゴリズム。オプションの説明については、「使用する暗号化アルゴリズムの決定」を参照してください。

• [Diffie-Hellmanグループ（Diffie-Hellman Group）] ：2 つの IPsec ピア間の共有秘密キーを互いに送信することなく取得するために使用する Diffie-Hellman グループ。係数が大きいほどセキュリティが強化されますが、処理時間が長くなります。2 つのピアに、一致する係数グループが設定されている必要があります。オプションの説明については、「使用する Diffie-Hellman 係数グループの決定」を参照してください。

• [ライフタイム（Lifetime）]：セキュリティ アソシエーション（SA）のライフタイム（120 ～ 2147483647 までの秒数、または空白）。このライフタイムを超えると、SA の期限が切れ、2 つのピア間で再ネゴシエーションを行う必要があります。一般的に、一定の限度に達するまで、ライフタイムが短いほど、IKE ネゴシエーションがセキュアになります。ただし、ライフタイムが長いと、今後の IPsec セキュリティ アソシエーションのセットアップが、短いライフタイムの場合よりも迅速に行われます。デフォルトは 86400 です。無期限のライフタイムを指定するには、値を入力しません（フィールドを空白のままにします）。

• [認証（Authentication）] ：2 つのピア間で使用される認証方式。詳細については、使用する認証方式の決定を参照してください。

  • [事前共有キー（Preshared Key）]：各デバイスで定義されている事前共有キーを使用します。事前共有キーを使用すると、秘密鍵を 2 つのピア間で共有し、認証フェーズ中に IKE で使用できます。ピアに同じ事前共有キーが設定されていない場合は、IKE SA を確立できません。

  • [証明書（Certificate）]：ピアのデバイス ID 証明書を使用して相互に識別します。認証局に各ピアを登録することによって、これらの証明書を取得する必要があります。また、各ピアでアイデンティティ証明書の署名に使用された、信頼できる CA ルート証明書および中間 CA 証明書もアップロードする必要があります。ピアは、同じ CA または別の CA に登録できます。どちらのピアにも自己署名証明書を使用することはできません。

• [ハッシュ（Hash）] ：メッセージの整合性の確保に使用されるメッセージ ダイジェストを作成するためのハッシュ アルゴリズム。オプションの説明については、VPN で使用される暗号化アルゴリズムとハッシュアルゴリズムを参照してください。

• をクリックし、[FTD] > [IKEv2ポリシー（IKEv2 Policy）] の順に選択して、新しい IKEv2 ポリシーを作成します。

• オブジェクトページで、編集する IKEv2 ポリシーを選択し、右側の [アクション（Actions）] ペインで [編集（Edit）] をクリックします。

• [優先順位（Priority）]：IKE ポリシーの相対的優先順位（1 ～ 65,535）。このプライオリティによって、共通のセキュリティ アソシエーション（SA）の検出試行時に、ネゴシエーションする 2 つのピアを比較することで、IKE ポリシーの順序が決定します。リモート IPsec ピアが、最も高いプライオリティ ポリシーで選択されているパラメータをサポートしていない場合、次に低いプライオリティで定義されているパラメータの使用を試行します。値が小さいほど、プライオリティが高くなります。

• [状態（State）]：IKE ポリシーが有効か無効かを示します。トグルをクリックして状態を変更します。IKE ネゴシエーション中には、有効なポリシーのみが使用されます。

• [暗号化（Encryption）] ：フェーズ 2 ネゴシエーションを保護するためのフェーズ 1 セキュリティ アソシエーション（SA）の確立に使用される暗号化アルゴリズム。有効にするすべてのアルゴリズムを選択します。ただし、同じポリシーに混合モード（AES-GCM）と通常モードのオプションを含めることはできません（通常モードでは整合性ハッシュを選択する必要がありますが、混合モードでは個別の整合性ハッシュの選択は禁止されています）。システムは、最も強いアルゴリズムから始めて最も弱いアルゴリズムに至るまで、適合するものが確認できるまでピアとネゴシエートします。オプションの説明については、使用する暗号化アルゴリズムの決定を参照してください。

• [Diffie-Hellmanグループ（Diffie-Hellman Group）] ：2 つの IPsec ピア間の共有秘密キーを互いに送信することなく取得するために使用する Diffie-Hellman グループ。係数が大きいほどセキュリティが強化されますが、処理時間が長くなります。2 つのピアに、一致する係数グループが設定されている必要があります。許可するすべてのアルゴリズムを選択します。システムは、最も強いグループから始めて最も弱いグループに至るまで、適合するものが確認できるまでピアとネゴシエートします。オプションの説明については、使用する Diffie-Hellman 係数グループの決定を参照してください。

• [整合性ハッシュ（Integrity Hash）] ：メッセージの整合性の確保に使用されるメッセージ ダイジェストを作成するためのハッシュ アルゴリズムの整合性部分。許可するすべてのアルゴリズムを選択します。システムは、最も強いアルゴリズムから始めて最も弱いアルゴリズムに至るまで、適合するものが確認できるまでピアとネゴシエートします。整合性ハッシュは、AES-GCM 暗号化オプションでは使用されません。オプションの説明については、VPN で使用される暗号化アルゴリズムとハッシュアルゴリズムを参照してください。

• [擬似ランダム関数（PRF）ハッシュ（Pseudo-Random Function（PRF）Hash）] ：ハッシュアルゴリズムの疑似ランダム関数（PRF）部分。このアルゴリズムは IKEv2 トンネル暗号化に必要なキー関連情報とハッシュ操作を取得するために使用されます。IKEv1 では、整合性と PRF アルゴリズムは別ですが、IKEv2 では、これらの要素に異なるアルゴリズムを指定できます。許可するすべてのアルゴリズムを選択します。システムは、最も強いアルゴリズムから始めて最も弱いアルゴリズムに至るまで、適合するものが確認できるまでピアとネゴシエートします。オプションの説明については、VPN で使用される暗号化アルゴリズムとハッシュアルゴリズムを参照してください。

• [ライフタイム（Lifetime）]：セキュリティ アソシエーション（SA）のライフタイム（120 ～ 2147483647 までの秒数、または空白）。このライフタイムを超えると、SA の期限が切れ、2 つのピア間で再ネゴシエーションを行う必要があります。一般的に、一定の限度に達するまで、ライフタイムが短いほど、IKE ネゴシエーションがセキュアになります。ただし、ライフタイムが長いと、今後の IPsec セキュリティ アソシエーションのセットアップが、短いライフタイムの場合よりも迅速に行われます。デフォルトは 86400 です。無期限のライフタイムを指定するには、値を入力しません（フィールドを空白のままにします）。

• オブジェクトの名前がわかっている場合は、[オブジェクト（Objects）] ページで検索できます。

  • リストをセキュリティゾーンでフィルタリングします。

  • オブジェクトの名前を検索フィールドに入力します。

  • オブジェクトを選択します。

• オブジェクトがデバイスに関連付けられていることがわかっている場合は、[セキュリティデバイス（Security Devices）] ページから検索を開始できます。

  • 左側のペインで Security Devices をクリックします。

  • [デバイス] タブをクリックします。

  • 適切なタブをクリックします。

  • デバイスフィルタと検索バーを使用して、デバイスを見つけます。

  • デバイスを選択します。

  • 右側の [管理（Management）] ペインで、 [オブジェクト（Objects）] をクリックします。

  • オブジェクトフィルタ と検索バーを使用して、探しているオブジェクトを見つけます。

• [IP アドレス（IP Address）]：SEC の IP アドレスを入力します。

• [プロトコルタイプ（Protocol Type）]：TCP または UDP を選択します。

• [ポート番号（Port Number）]：TCP を選択した場合はポート 10125、UDP を選択した場合は 10025 を入力します。

• [インターフェイスの選択（Select an interface）]：SEC に到達するように設定されたインターフェイスを選択します。