お客様の組織が、米国国防総省や他の政府/自治体認定組織によって確立されたセキュリティ基準に従う機器とソフトウェアだけを使用することを求められる場合があります。該当する認定当局による認定を受けた後、認定に固有のガイダンス文書に従って設定を行うことで、Firepower 環境は次の認定基準に準拠するようになります。

• コモンクライテリア（CC）：国際コモンクライテリア承認アレンジメントによって確立された、セキュリティ製品の要件を定義するグローバル標準規格

• Department of Defense Information Network Approved Products List（DoDIN APL）：米国国防情報システム局（DISA）によって制定された、セキュリティ要件を満たす製品のリスト

  （注）	米国政府は、Unified Capabilities Approved Products List（UCAPL）の名称を DoDIN APL に変更しました。Firepower のドキュメントおよび Firepower Management Center Web インターフェイスでの UCAPL の参照は、DoDIN APL への参照として解釈できます。

• 連邦情報処理標準（FIPS）140：暗号化モジュールの要件に関する規定

認定ガイダンス文書は、製品認定が完了すると個別に入手できます。この強化ガイドの公開によってこれらの製品認定の完了が保証されるわけではありません。

このドキュメントで説明している Firepower の設定は、認定機関が定める現在のすべての要件に厳密に準拠することを保証するものではありません。必要な強化手順の詳細については、認定機関から提供される本製品に関するガイドラインを参照してください。

このドキュメントでは、FMC のセキュリティを強化するためのガイダンスを説明していますが、FMC の一部の機能については、ここで説明している設定を行っても認定準拠がサポートされません。詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Security Certifications Compliance Recommendations」を参照してください。この強化ガイドと『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』が認定固有のガイダンスと矛盾しないように努めてきました。シスコのドキュメントと認定ガイダンスとの間で不一致がある場合は、認定ガイダンスを使用するか、システムの所有者にお問い合わせください。

シスコでは、問題に対処し改善を行うために、Firepower ソフトウェア アップデートを定期的にリリースしています。システム ソフトウェアを最新の状態に保つことは、強化されたシステムを維持するうえで不可欠です。システムソフトウェアが適切に更新されていることを確認するには、『Firepower Management Center Configuration Guide, Version 6.4』、『』および『Firepower Management Center Upgrade Guide』の「System Updates」の章の情報をご利用ください。

シスコでは、Firepower がネットワークと資産を保護するために使用するデータベースのアップデートも定期的に発行しています。最適な保護を実現するため、位置情報データベース、侵入ルール データベース、および脆弱性データベースを最新の状態に維持してください。Firepower 環境のいずれかのコンポーネントを更新する場合は、アップデートに付属する「Cisco Firepower リリース ノート」を必ずお読みください。これらは、互換性、前提条件、新機能、動作の変更、警告など、重要かつリリースに固有の情報を提供します。アップデートによってはサイズが大きくなり、完了までに時間がかかる場合があります。システム パフォーマンスへの影響を軽減するため、更新はネットワークの使用量が少ない時間帯に行ってください。

位置情報データベース

地理位置情報データベース（GeoDB）は、ルーティング可能な IP アドレスと関連付けられた地理的データ（国、都市、座標など）および接続関連のデータ（インターネット サービス プロバイダー、ドメイン名、接続タイプなど）のデータベースです。検出された IP アドレスと一致する GeoDB 情報が Firepower で検出された場合は、その IP アドレスに関連付けられている位置情報を表示できます。国や大陸以外の位置情報の詳細を表示するには、システムに GeoDB をインストールする必要があります。

FMC Web インターフェイスから GeoDB を更新するには、[システム（System）] > [更新（Updates）] > [地理位置情報の更新（Geolocation Updates）] を使用し、次のいずれかの方法を選択します。

• インターネットにアクセスせずに FMC で GeoDB を更新します。

• インターネットにアクセスし、FMC で GeoDB を更新します。

• インターネットにアクセスし、FMC で GeoDB の定期的な自動更新をスケジュールします。

詳細については、『Firepower Management Center Configuration Guide, Version 6.4』、『』の「Update the Geolocation Database」を参照してください。

侵入ルール

新たな脆弱性が明らかになると、Cisco Talos Security Intelligence and Research Group（Talos）から侵入ルールの更新がリリースされます。これらの更アップデートを FMC にインポートして、変更後の設定を管理対象デバイスに導入することで、侵入ルールの更新を実装できます。それらの更新は、侵入ルール、プリプロセッサ ルール、およびルールを使用するポリシーに影響を及ぼします。

FMC Web インターフェイスでは、侵入ルールを更新するための 3 つのアプローチが提供されており、すべて [システム（System）] > [更新（Updates）] > [ルールの更新（Rule Updates）] で使用できます。

• インターネットにアクセスできない FMC の侵入ルールを更新します。

• インターネットにアクセスできる FMC の侵入ルールを更新します。

• インターネットにアクセスできる FMC の侵入ルールの定期的な自動更新をスケジュールします。

詳細については、『Firepower Management Center Configuration Guide, Version 6.4』、『』の「Update Intrusion Rules」を参照してください。

また、[システム（System）] > [更新（Updates）] > [ルールの更新（Rule Updates）] を使用してローカル侵入ルールをインポートすることもできます。Snort ユーザ マニュアル（http://www.snort.org で入手可能）の指示に従って、ローカル侵入ルールを作成することができます。それらを FMC にインポートする前に、『Firepower Management Center Configuration Guide, Version 6.4』の「Guidelines for Importing Local Intrusion Rules」、『』の「Best Practices for Importing Local Intrusion Rules」を参照し、ローカル侵入ルールのインポートがセキュリティポリシーに準拠していることを確認します。

脆弱性データベース

脆弱性データベース（VDB）は、ホストが影響を受ける可能性がある既知の脆弱性、およびオペレーティングシステム、クライアント、アプリケーションのフィンガープリントを格納するデータベースです。システムでは、VDB を使用して、特定のホストで感染のリスクが高まるかどうかを判断します。

FMC Web インターフェイスでは、VDB を更新するための 2 つのアプローチが提供されています。

• VDB（[システム（System）] > [更新（Updates）] > [製品の更新（Product Updates）]）を手動で更新します。

• VDB の更新（[システム（System）] > [ツール（Tools）] > [スケジューリング（Scheduling）]）をスケジュールします。

詳細については、『Firepower Management Center Configuration Guide, Version 6.4』、『』の「Vulnerability Database」を参照してください。

1 つの設定で複数の強化設定変更を適用するには、FMC の CC または UCAPL モードを選択します。この設定は、FMC Web インターフェイスの [システム（System）] > [設定（Configuration）] > [UCAPL/CC準拠（UCAPL/CC Compliance）] の下に表示されます。

これらの設定オプションの 1 つを選択すると、『Cisco Firepower Management Center Configuration Guide, Version 6.4 』、『』の「Security Certification Compliance Characteristics」に記載されている変更が有効になります。Firepower 環境内のアプライアンスはすべて、同じセキュリティ認定準拠モードで動作する必要があることに注意してください。

注意	この設定を有効にした後は、無効にすることはできません。CC または UCAPL モードを有効にする前の完全な情報については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Security Certifications Compliance」を参照してください。この設定を元に戻す必要が生じた場合は、Cisco TAC にご連絡ください。

（注）	セキュリティ認定準拠を有効にしても、選択したセキュリティ モードのすべての要件への厳密な準拠が保証されるわけではありません。このドキュメントでは、CC または UCAPL モードで提供されるものを超えて展開を強化するために推奨されるその他の設定について説明します。完全準拠に必要な強化手順の詳細については、認定機関から提供される本製品に関するガイドラインを参照してください。

Firepower 環境では、さまざまな目的で他のネットワーク リソースとやり取りする場合があります。これらの他のサービスを強化することで、Firepower システムだけでなくネットワーク資産のすべてを保護できます。対処する必要があるすべてのものを特定するには、ネットワークとそのコンポーネント、資産、ファイアウォール設定、ポート設定、データ フロー、およびブリッジング ポイントを図式化することを試みてください。

セキュリティ上の問題を考慮した、ネットワークの運用セキュリティ プロセスを確立し、遵守します。

内部および外部ユーザー

FMC は次の 2 種類のユーザーをサポートしています。

• 内部ユーザー：システムは、ローカル データベースでユーザー認証を確認します。

• 外部ユーザ：ユーザがローカル データベースに存在しない場合、システムは外部 LDAP または RADIUS の認証サーバに問い合わせます。

ユーザー管理をネットワーク環境の既存のインフラストラクチャと統合したり、二要素認証などの機能を活用したりする目的で、LDAP や RADIUS などの外部認証メカニズムを使用したユーザー アクセスの確立を検討する場合があります。外部認証を確立するには、FMC Web インターフェイスの中で外部認証オブジェクトを作成する必要があります。外部認証オブジェクトを共有して、管理対象デバイスだけでなく FMC でも外部ユーザを認証できます。

ユーザー アクセスのタイプ

FMC は次の 2 種類のユーザー アクセスをサポートしています。

• Web インターフェイス（HTTP）。これは内部と外部両方のユーザ アカウントで使用できます。

• SSH、シリアル、またはキーボードおよびモニタ接続を使用したコマンド ライン アクセス。これは、CLI/シェル アクセス admin アカウントで使用でき、外部ユーザーにも使用を許可できます。

ここでのユーザー管理の説明では、Firepower バージョン 6.4 で使用可能な機能を示しています。この項で説明しているすべてのユーザーアカウント設定機能がすべての Firepower バージョンに適用されるわけではありません。ご使用のシステムに固有の情報については、ご使用のバージョンの『Firepower Management Center Configuration Guide』を参照してください。

FMC では、アクセス リストを使用して、IP アドレスとポートを基準にシステムへのアクセスを制限できます。デフォルトでは、任意の IP アドレスに対して以下のポートが有効化されています。

• 443（HTTPS）：Web インターフェイス アクセスに使用されます。

• 22（SSH）：CLI/シェル アクセスに使用されます。

さらに、ポート 161 で SNMP 情報をポーリングするためのアクセスも追加できます。

重要	Firepower から SNMP サーバへのセキュアな接続を設定することはできますが、認証モジュールは FIPS に準拠していません。

よりセキュアな環境で運用するには、これらの形式でのアクセスを特定の IP アドレスにアクセスする場合にのみ許可するように FMC を設定し、任意の IP アドレスへの HTTPS または SSH アクセスを許可するデフォルト ルールを無効にします。これらのオプションは、 FMC Web インターフェイスの [システム（System）] > [設定（Configuration）] > [アクセスリスト（Access List）] に表示されます。詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Access List」を参照してください。

修復は Firepower システムが相関ポリシー違反に応じて起動するプログラムです。FMC では複数のタイプの修復を設定できますが、どのタイプの場合も、FMC と Firepower の外部のエンティティが安全ではない方法で通信する必要があります。このため、強化された Firepower システムで修復を使用するように設定しないことをお勧めします。詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Remediations」を参照してください。

クライアントとサーバーの両方の HTTPS 証明書を使用して、Web インターフェイスを実行しているブラウザと FMC の間の接続を保護することにより、FMC とローカルコンピュータの間で送信される情報を保護します。FMC ではデフォルトの自己署名証明書が使用されますが、世界的に知られていて信頼できる認証局が生成した証明書に置き換えることをお勧めします。

FMC の HTTPS 証明書を設定するには、 FMC Web インターフェイスの [System] > [Configuration] > [HTTPS Certificate] を使用します。『Firepower Management Center Configuration Guide, Version 6.4』、『』の「HTTPS Certificates」を参照してください。

システム データとその可用性を保護するため、FMC の定期的なバックアップを実行してください。バックアップ機能は、FMC Web インターフェイスの [システム（System）] > [ツール（Tools）] > [バックアップ/復元（Backup/Restore）] の下に表示されます。詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』の「FMC のバックアップ」、『』の「Back up the Firepower Management Center」を参照してください。

FMC は、リモート デバイスにバックアップを自動的に保存する機能を備えています。強化システムでこの機能を使用することはお勧めできません。FMC とリモート ストレージ デバイス間の接続を保護できないためです。

FMC は、さまざまなシステム設定（ポリシー、カスタム テーブル、レポート テンプレートなど）をファイルにエクスポートする機能を備えています。これを使用して、同じ Firepower バージョンを実行している別の FMC に同じ設定をインポートすることができます。これは、環境に新しいアプライアンスを追加する管理者のための時間節約になる機能ですが、セキュリティ違反を防ぐためには慎重に使用する必要があります。エクスポート/インポート機能を使用する場合は、次の注意事項に留意してください。

• 転送される設定情報を保護するため、FMC と Web ブラウザ間の通信を保護します。FMC と Web ブラウザの間のセキュア通信を参照してください。

• エクスポートされた設定ファイルが保存されているローカル コンピュータへのアクセスを保護します。このファイルを保護することは、Firepower 環境のセキュリティにとって重要です。

• 秘密キーを含む PKI オブジェクトを使用する設定をエクスポートすると、エクスポートの前に秘密キーが復号されることに注意してください。エクスポートされた秘密キーはクリア テキストで保存されます。インポート時に、キーはランダムに生成されたキーで暗号化されます。

設定のエクスポートとインポートの機能は、FMC Web インターフェイスの [System] > [Tools] > [Import/Export] に表示されます。この機能の詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』の「Configuration Import and Export」を参照してください。

Firepower システムにはいくつかのタイプのレポートが用意されています。これらすべてには、権限のない人によるアクセスから保護する必要がある機密情報が含まれています。ここで説明するすべてのレポート タイプは、FMC からローカル コンピュータに暗号化されていない形式でダウンロードできます。転送される情報を保護するため、レポートをダウンロードする前に、FMC と Web ブラウザ間の通信を保護します。（「FMC と Web ブラウザの間のセキュア通信」を参照してください）さらに、レポートが保存されているローカル コンピュータへのアクセスを保護します。

• 標準レポートは、システムの全側面に関する詳細でカスタマイズ可能なレポートで、HTML、CSV、PDF 形式で入手できます。リスク レポートは、組織で検出されたリスクの概要を HTML 形式で示します。

  FMC Web インターフェイスでは、標準レポートとリスク レポートの両方が [Overview] > [Reporting] に表示されます。これらのレポートの場合、Firepower にはローカル ダウンロードに加えて 2 つのストレージ オプションが用意されており、それぞれにセキュリティ リスクがあります。

  • レポートを選択したサーバに電子メールで自動送信できます。電子メールを保護できないため、強化されたシステムでこの機能を使用することはお勧めしません。

  • レポートをリモート デバイスに自動保存できます。FMC とリモートストレージデバイス間の接続を保護できないため、強化されたシステムにこの機能を使用することはお勧めしません。

  標準レポートとリスクレポートの設計と生成に関する詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4 Firepower Management Center Configuration Guide, Version 7.0』、『』の「Working with Reports」を参照してください。

• トラブルシューティングのヘルス モニタ レポートには、システムに問題が発生した場合の診断に Cisco TAC が使用できる情報が含まれています。FMC Web インターフェイスからこれらのレポートを生成するには、[System] > [Health] > [Monitor] を使用して、『Firepower Management Center Configuration Guide, Version 6.4』、『」の手順を実行します。FMC は、.tar.gz 形式のトラブルシューティング ファイルを生成します。

• ポリシー レポートは、現在保存されているポリシーの設定についての詳細を示す PDF ファイルです。ポリシー レポートを生成するには、リポートするポリシーの管理ページにアクセスし、レポート アイコン（）をクリックします。) レポートをサポートするポリシーの完全なリストについては、『Cisco Firepower Management Center Configuration Guide』、『』の「Generating Current Policy Reports」を参照してください。

• 比較レポートを使用して、組織の標準規格への準拠やシステム パフォーマンスの最適化を目的としたポリシー変更を確認できます。2 つのポリシーの相違点や、保存されたポリシーと実行コンフィギュレーションの相違点を調べることができます。比較レポート（PDF 形式のみで入手可能）を生成するには、比較するポリシー タイプの管理ページにアクセスし、[ポリシーの比較（Compare Policies）] を選択します。（『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Comparing Policies」を参照してください。

• インシデント レポートには、概要、ステータス、インシデントに追加するイベントに固有の情報など、セキュリティ ポリシー違反が疑われるインシデントについての情報が含まれている場合があります。これらのレポートは、HTML、PDF、または CSV 形式で生成できます。FMC Web インターフェイスで、[Analysis] > [Intrusions] > [Incidents] のインシデント分析ページからこれらのレポートを生成し、『Firepower Management Center Configuration Guide, Version 6.4』、『』の「Generating Incident Reports」の手順を実行します。

• 侵入イベント クリップボードは、任意の侵入イベント ビューからイベントをコピーし、HTML、PDF、または CSV 形式でイベントについてのレポートを生成できる保存領域です。FMC Web インターフェイスでは、最初にクリップボードにイベントを追加する必要があります。その後、[Analysis] > [Intrusions] > [Clipboard] を使用してレポートを生成できます。『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「The Intrusion Events Clipboard」を参照してください。

選択したイベントが発生したときに、外部サーバーへのアラート応答と呼ばれる通知を発行するように FMC を設定できます。これらのアラートは、システム アクティビティのモニタリングに役立つ可能性がありますが、外部サーバーへの接続を保護できない場合、セキュリティ リスクが生じる可能性があります。

FMC は、次の 3 つの形式でアラート応答の送信をサポートします。

• Syslog に送信されるアラート応答を保護することはできません。（FMC Web インターフェイスの [Policies] > [Actions] > [Alerts] > [Create Alert] > [Create Syslog Alert]）強化された環境でこのようなアラートを送信するように FMC を設定することは推奨されません。

• メール リレー ホストとの接続に暗号化（TLS または SSLv3）を使用し、ユーザー名とパスワードを要求するように設定することで、FMC が電子メールで外部サーバーに送信する情報を保護することができます。これは、FMC Web インターフェイスから [システム（System）] > [設定（Configuration）] > [メールリレーホスト（Mail Relay Host）] を使用して行います。 詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Configuring a Mail Relay Host and Notification Address」を参照してください。

  メール リレー ホストとの接続を保護すると、FMC が次の機能を使用して送信するデータが保護されます。

  • 『Firepower Management Center Configuration Guide, Version 6.4』、『』の「Creating an Email Alert Response」で説明されている電子メールアラート応答。(この設定は、FMC Web インターフェイスの [ポリシー（Polices）] > [アクション（Actions）] > [アラート（[Alerts）] > [アラートの作成（Create Alert）] > [電子メールアラートの作成（Create Email Alert）] を使用してこの設定を構成します。)

  • 『Firepower Management Center Configuration Guide, Version 6.4』、『』の「Configuring Database Event Limits」で説明されているデータプルーニング通知。（この設定は、FMC Web インターフェイスの [システム（System）] > [設定（Configuration）] > [データベース（Database）] の下でこの設定を構成します。）

• SNMP サーバーに送信されるアラートは、FMC Web インターフェイスの [Policies] > [Actions] > [Alerts] > [Create Alert] > [Create SNMP Alert] で次のオプションを使用して保護できます。

  • [バージョン（Version）] については SNMP v3 を選択します。このプロトコルは以下をサポートします。

    • AES128 および読み取り専用ユーザーによる暗号化。

  • 接続を保護する認証プロトコル（MD5 または SHA）を選択して、パスワードを入力します。

  • プライバシー プロトコルとして DES を選択し、パスワードを入力します。

  • システムがメッセージのエンコードに使用するエンジン IDを指定します。FMC の IP アドレスの 16 進数バージョンを使用することを推奨します。たとえば、FMC の IP アドレスが 10.1.1.77 である場合、0a01014D0 を使用します。

  さらに、SNMP アクセスのアクセス リストを、FMC が SNMP アラートを送信する特定のホストに制限する必要もあります。（このオプションは、[System] > [Configuration] > [Access List] の FMC Web インターフェイスに表示されます。『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Configure an Access List」を参照してください）。

  FMC は、SNMP ポーリングもサポートしています。この機能を保護するには、「セキュアな SNMP ポーリング」を参照してください。

重要	Firepower から SNMP サーバまたは SMTP サーバへのセキュアな接続を設定することはできますが、認証モジュールは FIPS に準拠していません。

外部アラートの全詳細については、『Firepower Management Center Configuration Guide, Version 6.4』、『』の「External Alerting with Alert Response」を参照してください。

FMC は、[システム（System）] > [設定（Configuration）] > [監査ログ（Audit Log）] を使用して設定されたユーザ アクティビティの読み取り専用ログを保持します。FMC のメモリ リソースを節約するため、これらのログを外部（Syslog または HTTP サーバーへのストリーミング）で保存することもできます。ただし、この方法では、TLS を有効にし、TLS 証明書を使用して相互認証を確立することによって、監査ログストリーミングのチャネルを保護しない限り、セキュリティリスクが生じる可能性があります。詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Securely Stream Audit Logs」を参照してください。

Event Streamer（eStreamer）を使用すると、FMC からの数種類のイベント データを、カスタム開発されたクライアント アプリケーションにストリーム配信できます。詳細については、ご使用のバージョンの『Firepower eStreamer Integration Guide』を参照してください。組織が eStreamer クライアントの作成と使用を選択した場合、次の予防措置を講じてください。

• セキュリティに関する業界のベスト プラクティスを使用してアプリケーションを開発する

• データが安全に送信されるように、FMC と eStreamer クライアント間の接続を設定します。この設定は、[システム（System）] > [統合（Integration）] > [eStreamer] > [クライアントの作成（Create Client）] の FMC Web インターフェイスで、EStreamer クライアントを実行中のホストとの接続を保護する証明書ファイルを暗号化するためのパスワードを指定することによって実行します。詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Configuring eStreamer Client Communications」を参照してください。

サードパーティのクライアント アプリケーションが FMC データベースにアクセスできないことを確認します。FMC Web インターフェイスの [システム（System）] > [設定（Configuration）] > [外部データベースアクセス（External Database Access）] で、[外部データベースアクセスの許可（Allow External Database Access）] チェックボックスがオフになっていることを確認します。詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「External Database Access Settings」を参照してください。

システム ログイン ページは、FMC へのアクセスが許可されているユーザーと許可されていないユーザーの両方に表示される可能性があります。ログイン バナーをカスタマイズして、誰が見ても差し支えない情報のみが表示されるようにします。FMC Web インターフェイスで、[システム（System）] > [設定（Configuration）] > [ログインバナー（Login Banner）] を使用します。詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Login Banners」を参照してください。

Firepower アイデンティティ ポリシーは、アイデンティティソースを使用してネットワーク ユーザーを認証し、ユーザーを認識し制御する目的でユーザー データを収集します。ユーザ アイデンティティ ソースを確立するには、 FMC または管理対象デバイスと、次のいずれかのタイプのサーバとの間の接続が必要です。

• Microsoft Active Directory

• Linux OpenLDAP

• RADIUS

重要	LDAP、Microsoft AD、または RADIUS サーバへのセキュアな接続を Firepower から設定できますが、認証モジュールは FIPS に準拠していません。

（注）	外部認証に LDAP または Microsoft AD を使用する場合は、「外部ユーザ アカウントの強化」の情報を確認してください。

（注）	Firepower はこれらの各サーバを使用して、ユーザ アイデンティティ機能の候補のさまざまな組み合わせをサポートします。完全な詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「About User Identity Sources」を参照してください。

（注）	Firepower は、RADIUS サーバを使用してネットワークに VPN 機能を提供することもできます。詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Firepower Threat Defense VPN」を参照してください。

Active Directory サーバーおよび LDAP サーバーとの接続の保護

Firepower には「レルム」と呼ばれるオブジェクトがあります。レルムは、Active Directory サーバーまたは LDAP サーバー上のドメインに関連付けられている接続設定を記述するものです。レルムの設定の詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Create and Manage Realms」を参照してください。

FMC Web インターフェイスの [システム（System）] > [統合（Integration）] > [レルム（Realms）] でレルムを作成する場合は、AD サーバーまたは LDAP サーバーとの接続を保護するため、次の点に注意してください。

Active Directory サーバーに関連付けられるレルムの場合：

• [AD 参加パスワード（AD Join Password）] と [ディレクトリ パスワード（Directory Password）] で強力なパスワードを選択します。

• Active Directory レルムにディレクトリを追加する際に次のようにします。

  • [暗号化（Encryption）] モードとして [STARTTLS] または [LDAPS] を選択します（[なし（None）] は選択しないでください）。

  • Active Directory ドメイン コントローラへの認証に使用する [SSL 証明書（SSL Certificate）] を指定します。世界的に知られていて信頼できる認証局が生成した証明書を使用することをお勧めします。

LDAP サーバーに関連付けられるレルムの場合：

• [ディレクトリ パスワード（Directory Password）] で強力なパスワードを選択します。

• LDAP レルムにディレクトリを追加する際に次のようにします。

  • [暗号化（Encryption）] モードとして [STARTTLS] または [LDAPS] を選択します（[なし（None）] は選択しないでください）。

  • LDAP サーバーへの認証に使用する [SSL 証明書（SSL Certificate）] を指定します。世界的に知られていて信頼できる認証局が生成した証明書を使用することをお勧めします。

RADIUS サーバーとの接続の保護

RADIUS サーバとの接続を設定するには、FMC Web インターフェイスの [Objects] > [Object Management] > [RADIUS Server Group] で RADIUS サーバ グループ オブジェクトを作成し、そのグループに RADIUS サーバを追加します。RADIUS サーバとの接続を保護するには、[新しい RADIUS サーバ（New RADIUS Server）] ダイアログで次のオプションを選択します。

• 管理対象デバイスと RADIUS サーバ間でデータを暗号化するための [キー（Key）] と [キーの確認（Confirm Key）] を指定します。

• セキュアなデータ送信をサポートできる接続用のインターフェイスを指定します。

FMC ソフトウェアは、基盤となる複雑なファームウェアとオペレーティング システム ソフトウェアに依存しています。これらの基盤となるソフトウェア コンポーネントには独自のセキュリティ リスクが潜んでおり、対処する必要があります。

• セキュリティ上の問題を考慮した、ネットワークの運用セキュリティ プロセスを確立してください。

• FMC モデル 1000、1600、2000、2500、2600、4000、4500、および 4600 の場合、 FMC ソフトウェアの基盤となるハードウェア デバイスのコンポーネントを強化するには、『Cisco UCS Hardening Guide』を参照してください。