セキュリティ認定準拠

次のトピックでは、セキュリティ認定規格に準拠するようにシステムを設定する方法について説明します。

セキュリティ認定準拠のモード

お客様の組織が、米国防総省およびグローバル認定組織によって確立されたセキュリティ基準に従う機器とソフトウェアだけを使用することを求められる場合があります。Firepower システムでは、以下のセキュリティ認定標準規格へのコンプライアンスをサポートします。

  • コモン クライテリア(CC):国際コモン クライテリア承認アレンジメントによって確立された、セキュリティ製品のプロパティを定義するグローバル標準規格

  • Unified Capabilities Approved Products List(UCAPL):米国国防情報システム局(DISA)によって確立された、セキュリティ要件を満たす製品のリスト


    (注)  

    米国政府は、Unified Capabilities Approved Products List(UCAPL)の名称を Defense Information Network Approved Products List(DODIN APL)に変更しました。このドキュメントおよび Firepower Management Center Web インターフェイスでの UCAPL の参照は、DODIN APL への参照として解釈できます。


  • 連邦情報処理標準(FIPS)140:暗号化モジュールの要件に関する規定

セキュリティ認定コンプライアンスは、CC モードまたは UCAPL モードで有効にすることができます。セキュリティ認定コンプライアンスを有効にしても、選択したセキュリティ モードのすべての要件との厳密なコンプライアンスが保証されるわけではありません。強化手順についての詳細は、認定機関から提供されている本製品に関するガイドラインを参照してください。


注意    

この設定を有効にした場合、無効にすることはできません。アプライアンスを CC モードまたは UCAPL モードでなくす必要がある場合は、アプライアンスを再イメージ化する必要があります。


セキュリティ認定準拠特性

次の表は、CC または UCAPL モードを有効にしたときの動作の変更を示しています。(ログイン アカウントの制約は、Web インターフェイス アクセスではなくコマンドラインまたはシェル アクセスを指します。)

システムの変更

Firepower Management Center

従来型管理対象デバイス

Firepower Threat Defense

CC モード

UCAPL モード

CC モード

UCAPL モード

CC モード

UCAPL モード

FIPS コンプライアンスは有効です。

バックアップまたはレポートについては、リモート ストレージは利用できません。

追加のシステム監査デーモンが開始されます。

なし

[はい(Yes)]

[いいえ(No)]

[はい(Yes)]

[いいえ(No)]

[いいえ(No)]

システム ブートローダは固定されています。

なし

[はい(Yes)]

[いいえ(No)]

[はい(Yes)]

[いいえ(No)]

[いいえ(No)]

追加のセキュリティがログイン アカウントに適用されます。

なし

[はい(Yes)]

[いいえ(No)]

[はい(Yes)]

[いいえ(No)]

[いいえ(No)]

デフォルトで、システムはログイン アカウント セッションを強制的に自動ログアウトします。

再起動のキー シーケンス Ctrl+Alt+Del を無効にします。

なし

[はい(Yes)]

[いいえ(No)]

[はい(Yes)]

[いいえ(No)]

[いいえ(No)]

最大 10 の同時ログイン セッションを実行します。

なし

[はい(Yes)]

[いいえ(No)]

[はい(Yes)]

[いいえ(No)]

[いいえ(No)]

パスワード長は少なくとも 15 文字で、大文字/小文字の英数字を組み合わせて 1 つ以上の数字を含む必要があります。

なし

[はい(Yes)]

[いいえ(No)]

[はい(Yes)]

[いいえ(No)]

[いいえ(No)]

ローカル admin ユーザに必要な最小パスワード長を設定するには、ローカル デバイス CLI を使用できます。

[いいえ(No)]

[いいえ(No)]

パスワードは、辞書に出現する単語であったり、連続する繰り返し文字を含んでいたりすることができません。

なし

[はい(Yes)]

[いいえ(No)]

[はい(Yes)]

[いいえ(No)]

[いいえ(No)]

3 回連続してログインに失敗した場合、admin 以外のユーザはロックアウトされます。この場合は、管理者がパスワードをリセットする必要があります。

なし

[はい(Yes)]

[いいえ(No)]

[はい(Yes)]

[いいえ(No)]

[いいえ(No)]

パスワード履歴を保存しています。

なし

[はい(Yes)]

[いいえ(No)]

[はい(Yes)]

[いいえ(No)]

[いいえ(No)]

ログインが成功した場合は、失敗したログインの履歴を表示します。

なし

[はい(Yes)]

[いいえ(No)]

[はい(Yes)]

[いいえ(No)]

[いいえ(No)]

admin ユーザは、Web インターフェイスで設定可能な最大許容回数を超えてログイン試行に失敗した後、ロックアウトされます。

admin ユーザは、ローカル アプライアンス CLI で設定可能な最大許容回数を超えてログイン試行に失敗した後、ロックアウトされます。

はい(セキュリティ認定準拠の有効/無効にかかわらず)。

はい(セキュリティ認定準拠の有効/無効にかかわらず)。

次の場合、システムは、アプライアンスとの SSH セッションで自動的にキーを再生成します:

  • セッション アクティビティでキーが 1 時間使用された後

  • キーを使用して接続で 1 GB のデータが伝送された後

システムは、ブート時にファイル システム整合性チェック(FSIC)を実行します。FSIC が失敗した場合、Firepower ソフトウェアは起動せず、リモート SSH アクセスが無効になり、ローカル コンソールを介してのみアプライアンスにアクセスできます。これが発生した場合は Cisco TAC に連絡してください。

セキュリティ認定準拠の推奨事項

セキュリティ認定コンプライアンスの使用が有効のときに、次のベスト プラクティスを確認することをお勧めします。

  • 展開時にセキュリティ認定準拠を有効にするには、最初に Firepower Management Center で有効にし、次に、管理対象のすべてのデバイスの同じモードで有効にします。


    注意    

    両方が同じセキュリティ認定準拠モードで動作していない限り、Firepower Management Center は管理対象デバイスからイベント データを受信しません。
  • 高可用性設定で Firepower Management Center を使用すると、双方の設定を行い、同じセキュリティ認定準拠モードを使用します。

  • Firepower 4100/9300 シャーシで、CC または UCAPL モードで動作するように Firepower Threat Defense を設定した場合は、Firepower 4100/9300 シャーシも CC モードで動作するように設定する必要があります。詳細については、『Cisco FXOS Firepower Chassis Manager Configuration Guide』を参照してください。

  • 次の機能を使用するようにシステムを設定できません。

    • 電子メールレポート、アラート、データのプルーニング通知。

    • Nmap Scan、Cisco IOS Null Route、Set Attribute Value、ISE EPS の修復。

    • バックアップまたはレポート用のリモート ストレージ。

    • サードパーティ クライアントのシステム データベースへのアクセス。

    • 電子メール(SMTP)、SNMP トラップ、syslog から送信される外部通知、アラート。

    • アプライアンスとサーバの間のチャネルを保護するために、SSL 証明書を使用せずに、HTTP サーバまたは syslog サーバに送信された監査ログ メッセージ。

  • CC モードを使用して展開中に SSO を有効にできません。

  • CC モードを使用して展開中に CAC を有効にできません。

  • CC または UCAPL モードを使用した展開では、Firepower REST API 経由で Firepower Management Center および管理対象デバイスへのアクセスを無効にします。

  • UCAPL モードを使用して展開中に CAC を有効にします。

  • Firepower Threat Defense デバイスが両方とも同じセキュリティ認定準拠モードを使用していない限り、ハイ アベイラビリティ ペアに構成しないでください。


(注)  

FirePOWER システムは、次の CC または UCAPL モードをサポートしていません

  • スタックまたはハイ アベイラビリティ ペアの従来型デバイス

  • クラスタ内の Firepower Threat Defense デバイス


アプライアンスの強化

Firepower をさらに強化するために使用できる機能については、次のトピックを参照してください。

ネットワークの保護

ネットワークを保護するために構成できる Firepower システムの機能については、次のトピックを参照してください。

セキュリティ認定コンプライアンスの有効化

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

任意(Any)

任意(Any)

Admin

この構成は、Firepower Management Center、従来型の管理対象デバイス(7000 および 8000 シリーズASA FirePOWERNGIPSv)、または Firepower Threat Defense に適用されます。

  • Firepower Management Center では、この構成はシステム構成の一部です。

  • 従来型または Firepower Threat Defense の管理対象デバイスでは、この構成をプラットフォーム設定ポリシーの一部として Firepower Management Center から適用します。

いずれの場合も、システム構成変更を保存するか、共有プラットフォーム設定ポリシーを展開するまでは、構成が有効になりません。


注意    

この設定を有効にした後は、無効にすることはできません。アプライアンスを CC モードまたは UCAPL モードでなくす必要がある場合は、アプライアンスを再イメージ化する必要があります。


始める前に

  • アプライアンスでセキュリティ認定コンプライアンスを有効にする前に、展開に組み込む予定のあるすべてのデバイスを Firepower Management Center に登録することをお勧めします。

  • Firepower Threat Defense デバイスの場合、評価ライセンスを使用していないことを確認してください。エクスポート制御機能が有効になったスマート ソフトウェア マネージャーのアカウントを介してデバイスが登録されている必要があります。

  • Firepower Threat Defense デバイスは、セキュリティ認定コンプライアンスをサポートするためにルーテッド モードで展開される必要があります。

手順


ステップ 1

設定するアプライアンスの種類に応じて、次のようにします。

  • Management Center[システム(System)] > [設定(Configuration)] を選択します。
  • 従来型管理対象デバイス:[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)] を選択し、Firepower ポリシーを作成または編集します。
  • Firepower Threat Defense[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)] を選択し、Firepower Threat Defense ポリシーを作成または編集します。
ステップ 2

[UCAPL/CC コンプライアンス(UCAPL/CC Compliance)] をクリックします。

(注)   

UCAPL または CC コンプライアンスを有効にすると、アプライアンスがリブートします。Firepower Management Center は、システム設定を保存するとリブートし、管理対象デバイスは、設定の変更を展開するとリブートします。

ステップ 3

アプライアンスのセキュリティ認定コンプライアンスを永続的に有効にするには、2 つの選択肢があります。

  • [コモン クライテリア(Common Criteria)] モードでセキュリティ認定コンプライアンスを有効にするには、ドロップダウン リストから [CC] を選択します。
  • [Unified 機能承認製品リスト(Unified Capabilities Approved Products List)] モードでセキュリティ認定コンプライアンスを有効にするには、ドロップダウン リストから [UCAPL] を選択します。
ステップ 4

[保存(Save)] をクリックします。


次のタスク

  • まだ適用していない場合は、制御と防御のライセンスを、展開内のすべての従来型アプライアンスに適用します。

  • 認証エンティティによって提供されるこの製品のガイドラインの説明に従い、追加の設定変更を行います。

  • 設定変更を展開します。設定変更の展開を参照してください。