Cisco Firepower Management Center バージョン 6.4 強化ガイド

Firepower はネットワークの資産やトラフィックをサイバー脅威から守りますが、Firepower が「強化」されるように Firepower 自体の設定を行うことも必要です。これにより、サイバー攻撃に対する Firepower の脆弱性がさらに軽減されます。このガイドでは、お使いの Firepower 環境の強化について、特に Firepower Management CenterFMC)を中心に説明します。Firepower 環境の他のコンポーネントに関する強化情報については、次のドキュメントを参照してください。

このガイドは、FMC Web インターフェイスの構成時の設定を示していますが、このインターフェイスの詳細なマニュアルとしての使用を意図したものではありません。機能説明については、Firepower システムのバージョン 6.4 を参照し、相互参照については『Firepower Management Center Configuration Guide』のバージョン 6.4 を参照してください。このマニュアルで説明されているすべての構成時の設定を、すべての Firepower バージョンで使用できるわけではありません。Firepower 環境の設定の詳細については、ご使用のバージョンに対応した Firepower のマニュアルを参照してください。

セキュリティ認定準拠

お客様の組織が、米国国防総省や他の政府/自治体認定組織によって確立されたセキュリティ基準に従う機器とソフトウェアだけを使用することを求められる場合があります。該当する認定当局による認定を受けた後、認定に固有のガイダンス文書に従って設定を行うことで、Firepower 環境は次の認定基準に準拠するようになります。

  • コモン クライテリア(CC):国際的なコモン クライテリア承認アレンジメントによって確立された、セキュリティ製品の要件を定義するグローバル標準規格。

  • Department of Defense Information Network Approved Products List(DoDIN APL):米国国防情報システム局(DISA)によって確立された、セキュリティ要件を満たす製品のリスト。


    (注)  

    米国政府は、Unified Capabilities Approved Products List(UCAPL)の名称を DoDIN APL に変更しました。Firepower のマニュアルおよび Firepower Management Center Web インターフェイスでの UCAPL の参照は、DoDIN APL への参照として解釈できます。


  • 連邦情報処理標準規格(FIPS)140:暗号化モジュールの要件仕様に関する規定。

認定ガイダンス文書は、製品認定が完了すると個別に入手できます。この強化ガイドの公開によってこれらの製品認定の完了が保証されるわけではありません。

このドキュメントで説明している Firepower の設定は、認定機関が定める現在のすべての要件に厳密に準拠することを保証するものではありません。必要な強化手順についての詳細は、認定機関から提供されている本製品に関するガイドラインを参照してください。

このドキュメントでは、FMC のセキュリティを強化するためのガイダンスを説明していますが、FMC の一部の機能については、ここで説明している設定を行っても認定準拠がサポートされません。詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』の「Security Certifications Compliance Recommendations」を参照してください。シスコは、この強化ガイドと『Cisco Firepower Management Center Configuration Guide, Version 6.4』の内容が、認定固有のガイダンスと矛盾しないように努力しました。シスコのドキュメントと認定ガイダンスとの間で不一致がある場合は、認定ガイダンスを使用するか、システムの所有者にお問い合わせください。

シスコのセキュリティ アドバイザリおよびレスポンスの確認

Cisco Product Security Incident Response Team(PSIRT)は、シスコ製品のセキュリティに関連した問題についての PSIRT アドバイザリを投稿しています。比較的重大度の低い問題については、シスコのセキュリティ レスポンスも投稿しています。セキュリティ アドバイザリおよびレスポンスは、「Cisco Security Advisories and Alerts」ページで確認できます。これらの通信手段の詳細については、『Cisco Security Vulnerability Policy』を参照してください。

セキュアなネットワークを維持するため、シスコのセキュリティ アドバイザリおよびレスポンスを常にご確認ください。これらは、脆弱性がネットワークにもたらす脅威の評価に必要な情報を提供します。この評価プロセスのサポートについては、『Risk Triage for Security Vulnerability Announcements』を参照してください。

システムの最新状態の維持

シスコは、問題への対処と改善のため、Firepower ソフトウェア アップデートを定期的にリリースしています。システム ソフトウェアを最新の状態に保つことは、強化されたシステムの維持に不可欠です。システム ソフトウェアが正しく更新されるようにするため、『Firepower Management Center Configuration guide, Version 6.4』の「System Software Updates」の章と、『Firepower Management Center Upgrade Guide』の情報を参照してください。

シスコでは、Firepower がネットワークと資産を保護するために使用するデータベースのアップデートも定期的に発行しています。最適な保護を実現するため、位置情報データベース、侵入ルール データベース、および脆弱性データベースを最新の状態に維持してください。Firepower 環境のいずれかのコンポーネントを更新する場合は、アップデートに付属する「Cisco Firepower リリース ノート」を必ずお読みください。これらは、互換性、前提条件、新機能、動作の変更、警告など、重要かつリリースに固有の情報を提供します。アップデートによってはサイズが大きくなり、完了までに時間がかかる場合があります。システム パフォーマンスへの影響を軽減するため、アップデートはネットワークの使用量が少ない時間帯に実行する必要があります。

位置情報データベース(GeoDB)

GeoDB は、ルーティング可能な IP アドレスと関連付けられた地理的データ(国、都市、座標など)および接続関連のデータ(インターネット サービス プロバイダー、ドメイン名、接続タイプなど)のデータベースです。検出された IP アドレスと一致する GeoDB 情報を Fireppower が 検出した場合、その IP アドレスに関連付けられている地理位置情報を表示できるようになります。国や大陸以外の地理位置情報の詳細を表示するには、システムに GeoDB をインストールする必要があります。FMC Web インターフェイスから GeoDB を更新するには、[System] > [Updates] > [Geolocation Updates] を使用し、次のいずれかの方法を選択します。

侵入ルール

新たな脆弱性が明らかになると、Cisco Talos Security Intelligence and Research Group(Talos)から侵入ルールの更新がリリースされます。これらの更アップデートを FMC にインポートして、変更後の設定を管理対象デバイスに導入することで、侵入ルールの更新を実装できます。それらの更新は、侵入ルール、プリプロセッサ ルール、およびルールを使用するポリシーに影響を及ぼします。FMC Web インターフェイスでは、侵入ルールを更新するための 3 つのアプローチが提供されており、すべて [System] > [Updates] > [Rule Updates] で使用できます。

また、[System] > [Updates] > [Rule Updates] を使用してローカル侵入ルールをインポートすることもできます。Snort ユーザ マニュアル(http://www.snort.org で入手可能)の指示に従って、ローカル侵入ルールを作成することができます。これらを FMC にインポートする前に、『Firepower Management Center Configuration Guide, Version 6.4』の「Guidelines for Importing Local Intrusion Rules」を参照して、ローカル侵入ルールのインポート手順が組織のセキュリティ ポリシーに準拠するようにしてください。

脆弱性データベース(VDB)

VDB は、ホストが影響を受ける可能性がある既知の脆弱性、およびオペレーティング システム、クライアント、アプリケーションのフィンガープリントを格納するデータベースです。システムでは、VDB を使用して、特定のホストで感染のリスクが高まるかどうかを判断します。FMC Web インターフェイスには、VDB を更新するための 2 つの方法が用意されています。

CC または UCAPL モードの有効化

1 つの設定で複数の強化設定変更を適用するには、FMC の CC または UCAPL モードを選択します。これらは FMC Web インターフェイスの [システム(System)] > [設定(Configuration)] > [UCAPL/CC準拠(UCAPL/CC Compliance)] に表示されます。

これらの設定オプションの 1 つを選択すると、『Firepower Management Center Configuration Guide, Version 6.4』の「Security Certification Compliance Characteristics」に記載されている変更が有効になります。Firepower 環境内のアプライアンスはすべて、同じセキュリティ認定準拠モードで動作する必要があることに注意してください。


注意    

この設定を有効にした後は、無効にすることはできません。CC または UCAPL モードを有効にする前に、『Firepower Management Center Configuration Guide, Version6.4』の「Security Certifications Compliance」で、詳細について確認してください。この設定を元に戻す必要が生じた場合は、Cisco TAC にご連絡ください。



(注)  

セキュリティ認定コンプライアンスを有効にしても、選択したセキュリティ モードのすべての要件との厳密なコンプライアンスが保証されるわけではありません。このドキュメントでは、CC または UCAPL モードで提供されるものを超えて展開を強化するために推奨される、その他の設定について説明します。完全準拠に必要な強化手順の詳細については、認定機関から提供される本製品に関するガイドラインを参照してください。


ローカル ネットワーク インフラストラクチャの保護

Firepower 環境では、さまざまな目的で他のネットワーク リソースとやり取りする場合があります。これらの他のサービスを強化することで、Firepower システムだけでなくネットワーク資産のすべてを保護できます。対処する必要があるすべてのものを特定するには、ネットワークとそのコンポーネント、資産、ファイアウォール設定、ポート設定、データ フロー、およびブリッジング ポイントの図式化を試みてください。

セキュリティ上の問題を考慮した、ネットワークの運用セキュリティ プロセスを確立し、遵守します。

ネットワーク タイム プロトコル サーバの保護

Firepower を正常に動作させるには、FMC とその管理対象デバイスのシステム時刻を同期させることが不可欠です。セキュアで信頼できる Network Time Protocol(NTP)サーバを使用して、FMC とその管理対象デバイスのシステム時刻を同期させることを強く推奨します。FMC Web インターフェイスから [System] > [Configuration] > [Time Synchronization] を使用して、『Cisco Firepower Management Center Configuration Guide, Version 6.4』の「Synchronize Time Using a Network NTP Server」記載の手順を使用します。


注意    

FMC と管理対象デバイスの時刻が同期していないと、意図しない結果になることがあります。適切な同期を確保するため、FMC とそのすべての管理対象デバイスについて、同じ NTP サーバを使用するように設定してください。


ドメイン ネーム システム(DNS)の保護

ネットワーク環境で相互に通信しているコンピュータは、DNS プロトコルを利用して、IP アドレスとホスト名の間のマッピングを提供します。ローカル ドメイン ネーム システム サーバに接続するように FMC を設定することは、初期設定プロセスの一環として、ご使用のハードウェアモデルの『Cisco Firepower Management Center Getting Started Guide』に記載されています。

DNS は、セキュリティを考慮して設定されていない DNS サーバの弱点を利用するようにカスタマイズされた、特定のタイプの攻撃の影響を受ける可能性があります。業界で推奨されているセキュリティのベスト プラクティスに従って、ローカル DNS サーバを設定してください。シスコは http://www.cisco.com/c/en/us/about/security-center/dns-best-practices.html でガイドラインを提供しています。

セキュアな SNMP ポーリング

Cisco Firepower Management Center Configuration Guide, Version 6.4』の「SNMP Polling」で説明されているように、SNMP ポーリングを使用して FMC をモニタできます。SNMP ポーリングを使用する場合は、SNMP Management Information Base(MIB)に、連絡先情報、管理情報、位置情報、サービス情報、IP アドレッシングおよびルーティング情報、伝送プロトコルの使用統計情報など、環境の攻撃に利用される可能性のあるシステムの詳細情報が含まれていることに注意する必要があります。そのため、SNMP に基づく脅威からシステムを保護するための設定オプションを選択する必要があります。

FMC WEB インターフェイスの [System] > [Configuration] > [SNMP] で)SNMP ポーリングを設定する場合、次のオプションを使用して、Firepower 環境内の SNMP を強化します。

  • SNMPv3 を選択します。これにより、AES128 と読み取り専用ユーザによる暗号化のみがサポートされます

  • ネットワーク管理アクセス用の [認証パスワード(Authentication Password)] フィールドを設定する場合には、強力なパスワードを使用します。

さらに、SNMP アクセスのアクセス リストを、MIB のポーリングに使用される特定のホストに制限する必要もあります。(このオプションは、[System] > [Configuration] > [Access List]FMC Web インターフェイスに表示されます。『Cisco Firepower Management Center Configuration Guide, Version 6.4』の「Configuring the Access List for Your System」を参照してください)

また、FMC は SNMP サーバへの外部アラートの送信もサポートしています。この機能を保護するには、「セキュアな外部アラート」を参照してください。


重要

Firepower から SNMP サーバへのセキュアな接続を確立することはできますが、認証モジュールは FIPS に準拠していません。


セキュアなネットワーク アドレス変換(NAT)

通常、ネットワーク接続されたコンピュータは、ネットワーク トラフィック内の送信元 IP アドレスや宛先 IP アドレスを再割り当てするために、ネットワーク アドレス変換(NAT)を使用します。Firepower 環境を保護し、NAT に基づく悪用からネットワーク インフラストラクチャ全体を保護するため、業界のベスト プラクティスや NAT プロバイダーからの推奨事項に従って、ネットワーク内の NAT サービスを設定します。

NAT 環境で動作するように Firepower 環境を設定する方法については、『Firepower Management Center Configuration Guide, Version 6.4』の「NAT Environments」を参照してください。この情報は、環境を確立する際に次の 2 つの段階で使用します。

管理対象デバイスへのセキュアなアクセス

Firepower 環境には、FMC によって管理されるセキュリティ デバイスが含まれており、それぞれが異なるアクセス手段を提供します。これらのデバイスは、FMC との間で情報を交換します。これらのデバイスのセキュリティは、環境全体のセキュリティにとって重要です。環境内にあるデバイスを分析して、ユーザ アクセスの保護や不要な通信ポートのクローズなど、必要に応じて強化の設定を適用してください。

FMC ユーザ アクセスの強化

内部および外部ユーザ

FMC は次の 2 種類のユーザをサポートしています。

  • 内部ユーザ:システムは、ローカル データベースでユーザ認証を確認します。

  • 外部ユーザ:ユーザがローカル データベースに存在しない場合、システムは外部 LDAP または RADIUS の認証サーバに問い合わせます。

ユーザ管理をネットワーク環境の既存のインフラストラクチャと統合したり、二要素認証などの機能を活用したりする目的で、LDAP や RADIUS などの外部認証メカニズムを使用したユーザ アクセスの確立を検討する場合があります。外部認証を確立するには、FMC Web インターフェイスの中で外部認証オブジェクトを作成する必要があります。外部認証オブジェクトを共有して、管理対象デバイスだけでなく FMC でも外部ユーザを認証できます。

ユーザ アクセスのタイプ

FMC は次の 2 種類のユーザ アクセスをサポートしています。

  • Web インターフェイス(HTTP)。これは内部と外部両方のユーザ アカウントで使用できます。

  • SSH、シリアル、またはキーボードおよびモニタ接続を使用したコマンド ライン アクセス。これは、CLI/シェル アクセス admin アカウントで使用でき、外部ユーザにも使用を許可できます。

ここでのユーザ管理の説明では、Firepower バージョン 6.4 で使用可能な機能を示しています。この項で説明しているすべてのユーザ アカウント設定機能がすべての Firepower バージョンに適用されるわけではありません。ご使用のシステムに固有の情報については、ご使用のバージョンの『Firepower Management Center Configuration Guide』を参照してください。

管理権限の制限

FMC は、2 つの admin アカウントをサポートしています。

  • Web インターフェイス(HTTP)を介して FMC にアクセスするための admin アカウント。

  • SSH、シリアル、またはキーボードおよびモニタ接続を使用した CLI/シェル アクセス用の admin アカウント。デフォルト設定では、このアカウントは Linux シェルに直接アクセスできます。このアカウントは、Linux シェルではなく FMC 補助 CLI にアクセスするように設定できます(シェル アクセスの制限 を参照)。FMC CLI 内から、このアカウントは CLI expert コマンドを使用して Linux シェルに直接アクセスできます(expert コマンドを無効にしていない場合。この点についても シェル アクセスの制限 を参照)。


(注)  

FMC の初期設定では、両方の admin アカウントのパスワードは同じですが、同じアカウントではないため、システムはこれらのパスワードをさまざまなデータベースに対して検証します。


admin アカウントには、同じ権限を持つ追加のアカウントを作成する権限など、他のユーザよりも上位の設定権限があります。管理権限を持つ任意のアカウントへのアクセスが許可されるユーザを選択する場合には、慎重に検討してください。

詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「User Accounts for Management Access」を参照してください。

シェル アクセスの制限

デフォルトでは、コマンド ライン アクセスの権限を持つユーザは、ログイン時に Linux シェルへの直接アクセスを許可されます。管理者は、Web インターフェイスの選択 [System] > [Configuration] > [Console Configuration] > [Enable CLI Access] を使用して、ログイン時にまず FMC CLI にアクセスするように、これらのアカウントを設定できます。FMC CLI を有効にした場合、CLI/シェル ユーザは、Linux シェルにアクセスするため、CLI expert コマンドを入力する追加の手順を実行する必要があります。


(注)  

すべてのデバイスでは、SSH を介した CLI またはシェル SSH へのログイン試行が 3 回連続して失敗したら SSH 接続は終了します。



注意    

すべてのデバイス上で、CLI/シェルへのアクセス権があるユーザはシェルのルート権限を取得できるため、セキュリティ上のリスクが生じる可能性があります。システム セキュリティ上の理由から、次の点を強くお勧めします。

  • 外部認証を確立した場合は、CLI/シェルへのアクセス権があるユーザのリストを適切に制限してください。

  • シェルにユーザを直接追加しないでください。ご使用のバージョンの『Firepower Management Center Configuration Guide』で説明されている手順のみを使用して新しいアカウントを作成します。

  • Cisco TAC による指示がない限り、シェルや CLI expert モードを使用して FMC にアクセスしないでください。


FMC アクセスのタイプに関する詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「Web Interface, CLI, or Shell access」を参照してください。

FMC での Linux シェル アクセスに関連した、実行可能な最も安全な強化アクションは、シェルへのすべてのアクセスをブロックすることです。

  1. [System] > [Configuration] > [Console Configuration] > [Enable CLI Access] を使用して Web インターフェイスから FMC CLI を有効にします。

  2. SSH、シリアルまたはキーボードおよびモニタ接続を使用して FMC にログインします(ご使用の FMC モデルの『Getting Started Guide』を参照してください)。

  3. system lockdown コマンドを入力します。(『Firepower Management Center Configuration Guide, Version 6.4』の「Appendix C」を参照)

システムのロックダウンが完了すると、コマンド ライン クレデンシャルで FMC にログインしているユーザがアクセスできるのは、FMC の CLI コマンドのみになります。これは有効な強化措置となる可能性がありますが、Cisco TAC からのホットフィックスがないと元に戻すことができないため、使用にあたっては慎重に検討してください。

FMC CLI の全詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「Appendix C」を参照してください。

マルチテナント機能を使用した管理対象デバイス、設定、およびイベントへのユーザ アクセスのセグメント化

管理者は、Firepower 環境内の管理対象デバイス、設定、およびイベントをドメインにグループ化し、選択したドメインへのアクセスを必要に応じて FMC ユーザに許可できます。ユーザは、ユーザ ロールによって課された制限に加えて、ドメインの割り当てによって課されるアクセス制限の範囲内で操作します。たとえば、1 つのドメイン内で選択したアカウントへのフル管理者アクセスを許可したり、別のドメイン内でセキュリティ アナリスト アクセスを許可したり、3 番目のドメインへのアクセスを許可しなかったりすることができます。

[System] > [Domains] メニュー オプションを使用して、FMC Web インターフェイスからドメインを作成および管理します。 マルチテナント機能実装の全詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』の「Domain Management」を参照してください。

[System] > [Users] > [Users] を使用して、FMC Web インターフェイスからドメイン内でのユーザ権限を割り当てます。全詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』の「Add an Internal User at the Web Interface」を参照してください。

内部ユーザ アカウントの強化

内部ユーザは、 Web インターフェイスを介してのみ FMC にアクセスできます。管理者は、[System] > [Users] > [Users] の次の設定を使用して、Web インターフェイスのログイン メカニズムを利用した攻撃に対してシステムを強化することができます。

  • Web インターフェイス ログインの最大失敗回数を制限します。この回数を超えるとアカウントがロックアウトされ、管理者による再アクティブ化が必要になります。

  • パスワード長の最小値を適用します。

  • パスワードの有効日数を設定します。

  • 強力なパスワードを要求します。

  • Web インターフェイス セッション タイムアウトの適用からユーザを除外しません。

  • アカウントに必要なアクセス タイプのみに適合するユーザ ロールを割り当てます。

  • ユーザに必要なアクセス タイプに適合するドメインを割り当てます。

  • 次回のログイン時に、ユーザにアカウント パスワードのリセットを強制します。

これらの設定の詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「User Accounts for Management Access」を参照してください。

管理者は、[System] > [Configuration] > [User Configuration] の内部 Web インターフェイス ユーザすべてに対して、次の設定をグローバルに実行することもできます。

  • パスワード再利用の制限

  • 成功したログインの追跡

  • 選択した回数のログイン試行に失敗したユーザの Web インターフェイス アクセスを一時的にブロックする

これらの設定の詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「Global User Configuration Settings」を参照してください。

外部ユーザ アカウントの強化

FMC は、外部サーバ(LDAP または RADIUS)に保存されているユーザ データベースに対して外部ユーザ アカウントを認証します。


(注)  

(注)  

外部認証を使用するには、FMC で DNS を使用する必要があります。DNS を使用するように FMC を設定することは、通常、初期設定プロセス中に行われます。セキュリティに関する業界推奨のベスト プラクティスに従って、ローカル DNS が設定されていることを確認してください。ドメイン ネーム システム(DNS)の保護 を参照してください。



重要

LDAP または RADIUS サーバとのセキュアな接続を Firepower から設定できますが、認証モジュールは FIPS に準拠していません。


FMC ユーザ認証用に外部サーバを設定するには、[System] > [Users] > [External Authentication] で外部認証オブジェクトを作成する必要があります。外部認証されたユーザ アカウントを使用した攻撃に対して FMC を強化するには、外部認証オブジェクトで次のオプションを使用します。

  • アカウントへのシェル アクセスを使用したユーザのアクセスを慎重に制限します。シェル ユーザは root 権限を取得できます。このため、セキュリティ上のリスクが生じます。

  • アカウントに必要以上のアクセス権を付与しないでください。

    • LDAP を使用している場合、適切な Firepower ユーザ ロールを LDAP ユーザまたはユーザ グループに関連付けます。

    • RADIUS を使用している場合、適切な Firepower ユーザロールを RADIUS 属性に関連付けます。

  • LDAP を使用している場合、外部認証オブジェクトの設定時に、[拡張オプション(Advanced Options)] で TLS または SSL 暗号化を設定します。

詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「Configure External Authentication」を参照してください。

セッション タイムアウトの確立

アカウントのログイン セッションの長さを制限すると、権限のないユーザが無人セッションを悪用する機会が減少します。

FMC でセッション タイムアウトを設定するには、[System] > [Configuration] > [Shell Timeout] を使用します。ここで、次のインターフェイス タイムアウト値を分単位で設定できます。

  • ブラウザ セッション タイムアウトFMC Web インターフェイス セッションのタイムアウト。

  • シェル タイムアウト:CLI/シェル アクセスのタイムアウト。

これらの設定は、アクセス ロールに関係なく、内部および外部アカウントに適用されます。『Firepower Management Center Configuration Guide, Version 6.4』の「Session Timeouts」を参照してください。

REST API アクセスの無効化

Firepower の REST API は、サードパーティ アプリケーションで REST クライアントおよび標準 HTTP メソッドを使用してアプライアンス設定を表示および管理するための軽量のインターフェイスを提供します。Firepower の REST API の詳細については、ご使用のバージョンの『Firepower Management Center REST API Quick Start Guide』を参照してください。

デフォルトでは、FMC はアプリケーションからの REST API を使用した要求を許可します。FMC を強化するには、このアクセスを無効にする必要があります。FMC Web インターフェイスで [System] > [Configuration] > [REST API Preferences] を選択し、[REST APIを有効にする(Enable REST API)] チェックボックスをオフにします。全詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「REST API Preferences」を参照してください。

リモート アクセスの制限

FMC では、アクセス リストを使用して、IP アドレスとポートを基準にシステムへのアクセスを制限できます。デフォルトでは、任意の IP アドレスに対して以下のポートが有効化されています。

  • 443(HTTPS):Web インターフェイス アクセスに使用されます。

  • 22(SSH):CLI/シェル アクセスに使用されます。

さらに、ポート 161 で SNMP 情報をポーリングするためのアクセスも追加できます。


重要

Firepower から SNMP サーバへのセキュアな接続を設定することはできますが、認証モジュールは FIPS に準拠していません。


よりセキュアな環境で運用するには、これらの形式でのアクセスを特定の IP アドレスにアクセスする場合にのみ許可するように FMC を設定し、任意の IP アドレスへの HTTPS または SSH アクセスを許可するデフォルト ルールを無効にします。これらのオプションは、 FMC Web インターフェイスの [システム(System)] > [設定(Configuration)] > [アクセスリスト(Access List)] に表示されます。詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「The Access List」を参照してください。

修復は使用しない

修復は Firepower システムが相関ポリシー違反に応じて起動するプログラムです。FMC では複数のタイプの修復を設定できますが、どのタイプの場合も、FMC と Firepower の外部のエンティティが安全ではない方法で通信する必要があります。このため、強化された Firepower システムで修復を使用するように設定しないことをお勧めします。詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「Remediations」を参照してください。

FMC と Web ブラウザの間のセキュア通信

クライアントとサーバの両方の HTTPS 証明書を使用して、Web インターフェイスを実行しているブラウザと FMC の間の接続を保護することにより、FMC とローカルコンピュータの間で送信される情報を保護します。FMC ではデフォルトの自己署名証明書が使用されますが、世界的に知られていて信頼できる認証局が生成した証明書に置き換えることをお勧めします。

FMC の HTTPS 証明書を設定するには、 FMC Web インターフェイスの [システム(System)] > [設定(Configuration)] > [HTTPS証明書(HTTPS Certificate)] を使用します。『Firepower Management Center Configuration Guide, Version 6.4』の「HTTPS Certificates」を参照してください。

バックアップの保護

システム データとその可用性を保護するため、FMC の定期的なバックアップを実行してください。バックアップ機能は FMC Web インターフェイスの [System] > [Tools] > [Backup/Restore] に表示されます。また『Firepower Management center Configuration Guide, Version 6.4』の「Back up the Firepower Management Center」で説明されています。

FMC は、リモート デバイスにバックアップを自動的に保存する機能を備えています。強化システムでこの機能を使用することはお勧めできません。FMC とリモート ストレージ デバイス間の接続を保護できないためです。

エクスポート/インポート設定の保護

FMC は、さまざまなシステム設定(ポリシー、カスタム テーブル、レポート テンプレートなど)をファイルにエクスポートする機能を備えています。これを使用して、同じ Firepower バージョンを実行している別の FMC に同じ設定をインポートすることができます。これは、環境に新しいアプライアンスを追加する管理者のための時間節約になる機能ですが、セキュリティ違反を防ぐためには慎重に使用する必要があります。エクスポート/インポート機能を使用する場合は、次の注意事項に留意してください。

  • 転送される設定情報を保護するため、FMC と Web ブラウザ間の通信を保護します。FMC と Web ブラウザの間のセキュア通信を参照してください。

  • エクスポートされた設定ファイルが保存されているローカル コンピュータへのアクセスを保護します。このファイルを保護することは、Firepower 環境のセキュリティにとって重要です。

  • 秘密キーを含む PKI オブジェクトを使用する設定をエクスポートすると、エクスポートの前に秘密キーが復号されることに注意してください。エクスポートされた秘密キーはクリア テキストで保存されます。インポート時に、キーはランダムに生成されたキーで暗号化されます。

設定のエクスポートとインポートの機能は、FMC Web インターフェイスの [System] > [Tools] > [Import/Export] に表示されます。全詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「Configuration Import and Export」を参照してください。

レポートの保護

Firepower システムにはいくつかのタイプのレポートが用意されています。これらすべてには、権限のない人によるアクセスから保護する必要がある機密情報が含まれています。ここで説明するすべてのレポート タイプは、FMC からローカル コンピュータに暗号化されていない形式でダウンロードできます。転送される情報を保護するため、レポートをダウンロードする前に、FMC と Web ブラウザ間の通信を保護します。(「FMC と Web ブラウザの間のセキュア通信」を参照してください)さらに、レポートが保存されているローカル コンピュータへのアクセスを保護します。

  • 標準レポートは、システムの全側面に関する詳細でカスタマイズ可能なレポートで、HTML、CSV、PDF 形式で入手できます。リスク レポートは、組織で検出されたリスクの概要を HTML 形式で示します。

    FMC Web インターフェイスでは、標準レポートとリスク レポートの両方が [Overview] > [Reporting] に表示されます。これらのレポートの場合、Firepower にはローカル ダウンロードに加えて 2 つのストレージ オプションが用意されており、それぞれにセキュリティ リスクがあります。

    • レポートを選択したサーバに電子メールで自動送信できます。この方法は、電子メールを保護できないため、強化システムでは推奨されません。

    • レポートをリモート デバイスに自動保存できます。強化システムでこの機能を使用することはお勧めできません。FMC とリモート ストレージ デバイス間の接続を保護できないためです。

    標準レポートおよびリスク レポートの設計および生成の詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「Working with Reports」を参照してください。

  • トラブルシューティングのヘルス モニタ レポートには、システムに問題が発生した場合の診断に Cisco TAC が使用できる情報が含まれています。FMC Web インターフェイスからこれらのレポートを生成するには、[System] > [Health] > [Monitor] を使用して、『Firepower Management Center Configuration Guide, Version 6.4』の「Health MonitorReports for Troubleshooting」の手順を実行します。FMC は、.tar.gz 形式のトラブルシューティング ファイルを生成します。

  • ポリシー レポートは、現在保存されているポリシーの設定についての詳細を示す PDF ファイルです。ポリシー レポートを生成するには、リポートするポリシーの管理ページにアクセスし、レポート アイコン()をクリックします。レポートをサポートするポリシーの全リストについては、『Firepower Management Center Configuration Guide, Version 6.4 』の「Generating Current Policy Reports」を参照してください。

  • 比較レポートを使用して、組織の標準規格への準拠やシステム パフォーマンスの最適化を目的としたポリシー変更を確認できます。2 つのポリシーの相違点や、保存されたポリシーと実行コンフィギュレーションの相違点を調べることができます。比較レポート(PDF 形式のみで入手可能)を生成するには、比較するポリシー タイプの管理ページにアクセスし、[ポリシーの比較(Compare Policies)] を選択します。(『Firepower Management Center Configuration Guide, Version 6.4』の「Comparing Policies」を参照してください)

  • インシデント レポートには、概要、ステータス、インシデントに追加するイベントに固有の情報など、セキュリティ ポリシー違反が疑われるインシデントについての情報が含まれている場合があります。これらのレポートは、HTML、PDF、または CSV 形式で生成できます。FMC Web インターフェイスで、[Analysis] > [Intrusions] > [Incidents] のインシデント分析ページからこれらのレポートを生成し、『Firepower Management Center Configuration Guide, Version 6.4』の「Generating Incident Reports」の手順を実行します。

  • 侵入イベント クリップボードは、任意の侵入イベント ビューからイベントをコピーし、HTML、PDF、または CSV 形式でイベントについてのレポートを生成できる保存領域です。FMC Web インターフェイスでは、最初にクリップボードにイベントを追加する必要があります。その後、[Analysis] > [Intrusions] > [Clipboard] を使用してレポートを生成できます。『Firepower Management Center Configuration Guide, Version 6.4』の「The Intrusion Events Clipboard」を参照してください。

セキュアな外部アラート

選択したイベントが発生したときに、外部サーバへのアラート応答と呼ばれる通知を発行するように FMC を設定できます。これらのアラートは、システム アクティビティのモニタリングに役立つ可能性がありますが、外部サーバへの接続を保護できない場合、セキュリティ リスクが生じる可能性があります。

FMC は、次の 3 つの形式でアラート応答の送信をサポートします。

  • Syslog に送信されるアラート応答を保護することはできません。(FMC Web インターフェイスの [ポリシー(Policies)] > [アクション(Actions)] > [アラート(Alerts)] > [アラートの作成(Create Alert)] > [Syslogアラートの作成(Create Syslog Alert)])強化された環境でこのようなアラートを送信するように FMC を設定することは推奨されません。

  • メール リレー ホストとの接続に暗号化(TLS または SSLv3)を使用し、ユーザ名とパスワードを要求するように設定することで、FMC が電子メールで外部サーバに送信する情報を保護することができます。これは [システム(System)] > [設定(Configuration)] > [メールリレーホスト(Mail Relay Host)] を使用して FMC Web インターフェイスで実行します。詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「Configuring a Mail Relay Host and Notification Address」を参照してください。

    メール リレー ホストとの接続を保護すると、FMC が次の機能を使用して送信するデータが保護されます。

    • 電子メール アラート応答。『Firepower Management Center Configuration Guide, Version 6.4』の「Creating an Email AlertResponse」で説明されています。(FMC Web インターフェイスの [ポリシー(Polices)] > [アクション(Actions)] > [アラート([Alerts)] > [アラートの作成(Create Alert)] > [電子メールアラートの作成(Create Email Alert)] を使用した設定)

    • データ プルーニング通知。『Firepower Management Center Configuration Guide, Version 6.4』の「Configuring Database Event Limits」で説明されています。(FMC Web インターフェイスの [システム(System)] > [設定(Configuration)] > [データベース(Database)] で設定)

  • SNMP サーバに送信されるアラートは、FMC Web インターフェイスの [ポリシー(Polices)] > [アクション(Actions)] > [アラート(Alerts)] > [アラートの作成(Create Alert)] > [SNMPアラートの作成(Create SNMP Alert)] で次のオプションを使用して保護できます。

    • 該当するバージョンの SNMP v3 を使用します。このプロトコルは、AES128 と読み取り専用ユーザによる暗号化のみをサポートします

    • 接続を保護する認証プロトコル(MD5 または SHA)を選択して、パスワードを入力します。

    • プライバシー プロトコルとして DES を選択し、パスワードを入力します。

    • システムがメッセージのエンコードに使用するエンジン IDを指定します。FMC の IP アドレスの 16 進数バージョンを使用することを推奨します。たとえば、FMC の IP アドレスが 10.1.1.77 である場合、0a01014D0 を使用します。

    さらに、SNMP アクセスのアクセス リストを、FMC が SNMP アラートを送信する特定のホストに制限する必要もあります。(このオプションは、[System] > [Configuration] > [Access List]FMC Web インターフェイスに表示されます。『Firepower Management Center Configuration Guide, Version 6.4』の「Configuring the Access List for Your System」を参照してください)

    FMC は、SNMP ポーリングもサポートしています。この機能を保護するには、「セキュアな SNMP ポーリング」を参照してください。


重要

Firepower から SNMP サーバまたは SMTP サーバへのセキュアな接続を設定することはできますが、認証モジュールは FIPS に準拠していません。


外部アラートの全詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「External Alertingwith Alert Responses」を参照してください。

監査ログの保護

FMC は、[システム(System)] > [設定(Configuration)] > [監査ログ(Audit Log)] を使用して設定されたユーザ アクティビティの読み取り専用ログを保持します。FMC のメモリ リソースを節約するため、これらのログを外部(Syslog または HTTP サーバへのストリーミング)で保存することもできます。ただし、この方法では、TLS を有効にし、TLS 証明書を使用して相互認証を確立することによって、監査ログ ストリーミングのチャネルを保護しない限り、セキュリティ リスクが生じる可能性があります。詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「How to Securely Stream Audit Logs from the FMC」を参照してください。

eStreamer への接続の保護

Event Streamer(eStreamer)を使用すると、FMC からの数種類のイベント データを、カスタム開発されたクライアント アプリケーションにストリーム配信できます。詳細については、ご使用のバージョンの『Firepower eStreamer Integration Guide』を参照してください。組織が eStreamer クライアントの作成と使用を選択した場合、次の予防措置を講じてください。

  • セキュリティに関する業界のベスト プラクティスを使用してアプリケーションを開発する

  • データが安全に送信されるように、FMC と eStreamer クライアント間の接続を設定します。この設定は、[システム(System)] > [統合(Integration)] > [eStreamer] > [クライアントの作成(Create Client)]FMC Web インターフェイスで、EStreamer クライアントを実行中のホストとの接続を保護する証明書ファイルを暗号化するためのパスワードを指定することによって実行します。『Firepower Management Center Configuration Guide, Version 6.4』の「Configuring eStreamer Client Communications」を参照してください。

サードパーティ データベース アクセスのブロック

サードパーティのクライアント アプリケーションが FMC データベースにアクセスできないことを確認します。FMC Web インターフェイスの [システム(System)] > [設定(Configuration)] > [外部データベースアクセス(External Database Access)] で、[外部データベースアクセスの許可(Allow External Database Access)] チェックボックスがオフになっていることを確認します。詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「External Database Access Settings」を参照してください。

ログイン バナーのカスタマイズ

システム ログイン ページは、FMC へのアクセスが許可されているユーザと許可されていないユーザの両方に表示される可能性があります。ログイン バナーをカスタマイズして、誰が見ても差し支えない情報のみが表示されるようにします。FMC Web インターフェイスで、[システム(System)] > [設定(Configuration)] > [ログインバナー(Login Banner)] を使用します。詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「Login Banners」を参照してください。

ネットワーク ユーザの権限のあるログイン、認識、および制御をサポートするサーバへのセキュアな接続

Firepower アイデンティティ ポリシーは、アイデンティティ ソースを使用してネットワーク ユーザを認証し、ユーザを認識し制御する目的でユーザ データを収集します。ユーザ アイデンティティ ソースを確立するには、 FMC または管理対象デバイスと、次のいずれかのサーバ タイプとの接続が必要です。

  • Microsoft Active Directory

  • Linux OpenLDAP

  • RADIUS


重要

LDAP、Microsoft AD、または RADIUS サーバへのセキュアな接続を Firepower から設定できますが、認証モジュールは FIPS に準拠していません。



(注)  

外部認証に LDAP または Microsoft AD を使用する場合は、「外部ユーザ アカウントの強化」の情報を確認してください。



(注)  

Firepower は、これらの各サーバを使用して、可能なユーザ アイデンティティ機能のさまざまな組み合わせをサポートします。詳細については、『Firepower Management Center Configuration Guide, Version6.4』の「About User Identity Sources」を参照してください。



(注)  

Firepower は、RADIUS サーバを使用してネットワークに VPN 機能を提供することもできます。詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「Firepower Threat Defense VPN」を参照してください。


Active Directory サーバおよび LDAP サーバとの接続の保護:

Firepower にはレルムと呼ばれるオブジェクトがあります。レルムは、Active Directory サーバまたは LDAP サーバ上のドメインに関連付けられている接続設定を記述するものです。レルムの設定の詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「Create and Manage Realms」を参照してください。

FMC Web インターフェイスの [システム(System)] > [統合(Integration)] > [レルム(Realms)] でレルムを作成する場合は、AD サーバまたは LDAP サーバとの接続を保護するため、次の点に注意してください。

Active Directory サーバに関連付けられるレルムの場合:

  • [AD参加パスワード(AD Join Password)] と [ディレクトリパスワード(Directory Password)] の強力なパスワードを選択します。

  • Active Directory レルムにディレクトリを追加する際に次のようにします。

    • [暗号化(Encryption)] モードとして [STARTTLS] または [LDAPS] を選択します([なし(None)] は選択しないでください)。

    • Active Directory ドメイン コントローラへの認証に使用する [SSL証明書(SSL Certificate)] を指定します。世界的に知られていて信頼できる認証局が生成した証明書を使用することをお勧めします。

LDAP サーバに関連付けられるレルムの場合:

  • [ディレクトリパスワード(Directory Password)] の強力なパスワードを選択します。

  • LDAP レルムにディレクトリを追加する際に次のようにします。

    • [暗号化(Encryption)] モードとして [STARTTLS] または [LDAPS] を選択します([なし(None)] は選択しないでください)。

    • LDAP サーバへの認証に使用する [SSL証明書(SSL Certificate)] を指定します。世界的に知られていて信頼できる認証局が生成した証明書を使用することをお勧めします。

RADIUS サーバとの接続の保護:

RADIUS サーバとの接続を設定するには、FMC Web インターフェイスの [オブジェクト(Objects)] > [オブジェクト管理(Object Management)] > [RADIUSサーバグループ(RADIUS Server Group)] で RADIUS サーバ グループ オブジェクトを作成し、そのグループに RADIUS サーバを追加します。RADIUS サーバとの接続を保護するには、[新しいRADIUSサーバ(New RADIUS Server)] ダイアログで次のオプションを選択します。

  • 管理対象デバイスと RADIUS サーバ間でデータを暗号化するための [キー(Key)] と [キーの確認(Confirm Key)] を指定します。

  • セキュアなデータ送信をサポートできる接続用のインターフェイスを指定します。

サポート コンポーネントの強化

FMC ソフトウェアは、基盤となる複雑なファームウェアとオペレーティング システム ソフトウェアに依存しています。これらの基盤となるソフトウェア コンポーネントには独自のセキュリティ リスクが潜んでおり、対処する必要があります。

  • セキュリティ上の問題を考慮した、ネットワークの運用セキュリティ プロセスを確立してください。

  • FMC モデル 1000、1600、2000、2500、2600、4000、4500、および 4600 の場合、 FMC ソフトウェアの基盤となるハードウェア デバイスのコンポーネントを強化するには、『Cisco UCS Hardening Guide』を参照してください。