お客様の組織が、米国国防総省や他の政府/自治体認定組織によって確立されたセキュリティ基準に従う機器とソフトウェアだけを使用することを求められる場合があります。該当する認定当局による認定を受けた後、認定に固有のガイダンス文書に従って設定を行うことで、Firepower 環境は次の認定基準に準拠するようになります。

• コモン クライテリア（CC）：国際コモン クライテリア承認アレンジメントによって確立された、セキュリティ製品の要件を定義するグローバル標準規格

• Department of Defense Information Network Approved Products List（DoDIN APL）：米国国防情報システム局（DISA）によって制定された、セキュリティ要件を満たす製品のリスト

  （注）	米国政府は、Unified Capabilities Approved Products List（UCAPL）の名称を DoDIN APL に変更しました。Firepower のドキュメントおよび Firepower Management Center Web インターフェイスでの UCAPL の参照は、DoDIN APL への参照として解釈できます。

• 連邦情報処理標準（FIPS）140：暗号化モジュールの要件に関する規定

認定ガイダンス文書は、製品認定が完了すると個別に入手できます。この強化ガイドの公開によってこれらの製品認定の完了が保証されるわけではありません。

このドキュメントで説明している Firepower の設定は、認定機関が定める現在のすべての要件に厳密に準拠することを保証するものではありません。必要な強化手順の詳細については、認定機関から提供される本製品に関するガイドラインを参照してください。

このドキュメントでは、FTD のセキュリティを強化するためのガイダンスを説明していますが、FTD の一部の機能については、ここで説明している設定を行っても認定準拠がサポートされません。詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「Security Certifications Compliance Recommendations」を参照してください。シスコでは、この強化ガイドと『Firepower Management Center Configuration Guide, Version 6.4』の内容が認定固有のガイダンスと矛盾を起こさないように努めました。シスコのドキュメントと認定ガイダンスとの間で食い違いがある場合は、認定ガイダンスを使用するか、システムの所有者にお問い合わせください。

シスコでは、問題に対処し改善を行うために、Firepower ソフトウェア アップデートを定期的にリリースしています。システム ソフトウェアを最新の状態に保つことは、強化されたシステムを維持するうえで不可欠です。システム ソフトウェアが正しく更新されるようにするため、『Firepower Management Center Configuration Guide, Version 6.4』の「System Software Updates」の章で説明している情報と、『Firepower Management Center Upgrade Guide』の情報を参照してください。

また、シスコでは、Firepower がネットワークと資産を保護するために使用するデータベースのアップデートも定期的に発行しています。FMC によって管理される FTD デバイスが最適な状態で保護されるように、管理用 FMC の位置情報データベース、侵入ルール データベース、および脆弱性データベースを最新の状態に維持してください。Firepower 環境のいずれかのコンポーネントを更新する場合は、アップデートに付属する「Cisco Firepower Release Notes」を必ずお読みください。これらは、互換性、前提条件、新機能、動作の変更、警告など、重要かつリリースに固有の情報を提供します。アップデートによってはサイズが大きくなり、完了までに時間がかかる場合があります。システム パフォーマンスへの影響を軽減するため、更新はネットワークの使用量が少ない時間帯に行ってください。

位置情報データベース（GeoDB）

GeoDB は、ルーティング可能な IP アドレスと関連付けられた地理的データ（国、都市、座標など）および接続関連のデータ（インターネット サービス プロバイダー、ドメイン名、接続タイプなど）のデータベースです。検出された IP アドレスと一致する GeoDB 情報が Firepower で検出された場合は、その IP アドレスに関連付けられている位置情報を表示できます。国や大陸以外の位置情報の詳細を表示するには、システムに GeoDB をインストールする必要があります。FMC Web インターフェイスから GeoDB を更新するには、[システム（System）] > [更新（Updates）] > [地理位置情報の更新（Geolocation Updates）] を使用し、次のいずれかの方法を選択します。

• インターネットにアクセスできない FMC で GeoDB を更新する場合は、『Firepower Management Center Configuration Guide, Version 6.4』の「Manually Update the GeoDB (No Internet Connection)」の手順に従ってください。

• インターネットにアクセスできる FMC で GeoDB を更新する場合は、『Firepower Management Center Configuration Guide, Version 6.4』の「Manually Update the GeoDB (Internet Connection)」の手順に従ってください。

• インターネットにアクセスできる FMC で GeoDB の定期的な自動更新をスケジュールする場合は、『Firepower Management Center Configuration Guide, Version 6.4』の「Schedule GeoDB Updates」の手順に従ってください。

侵入ルール

新たな脆弱性が明らかになると、Cisco Talos Security Intelligence and Research Group（Talos）から侵入ルールの更新がリリースされます。これらの更アップデートを FMC にインポートして、変更後の設定を管理対象デバイスに導入することで、侵入ルールの更新を実装できます。それらの更新は、侵入ルール、プリプロセッサ ルール、およびルールを使用するポリシーに影響を及ぼします。FMC Web インターフェイスでは、侵入ルールを更新するための 3 つのアプローチが提供されており、すべて [システム（System）] > [更新（Updates）] > [ルールの更新（Rule Updates）] で使用できます。

• インターネットにアクセスできない FMC で侵入ルールを更新する場合は、『Firepower Management Center 設定ガイド、バージョン 6.4 』の「侵入ルールを 1 回限り手動で更新する」の手順に従ってください。

• インターネットにアクセスできる FMC で侵入ルールを更新する場合は、『Firepower Management Center 設定ガイド、バージョン 6.4 』の「侵入ルールを 1 回限り自動で更新する」の手順に従ってください。

• インターネットにアクセスできる FMC で侵入ルールの定期的な自動更新をスケジュールする場合は、『Firepower Management Center 設定ガイド、バージョン 6.4 』の「侵入ルールの定期的な更新を設定する」の手順に従ってください。

また、[システム（System）] > [更新（Updates）] > [ルールの更新（Rule Updates）] を使用してローカル侵入ルールをインポートすることもできます。Snort ユーザ マニュアル（http://www.snort.org で入手可能）の指示に従って、ローカル侵入ルールを作成することができます。これらを FMC にインポートする前に、『Firepower Management Center Configuration Guide, Version 6.4』の「Guidelines for Importing Local Intrusion Rules」を参照して、ローカル侵入ルールのインポート手順が組織のセキュリティ ポリシーに準拠するようにしてください。

脆弱性データベース（VDB）

VDB は、ホストが影響を受ける可能性がある既知の脆弱性、およびオペレーティング システム、クライアント、アプリケーションのフィンガープリントを格納するデータベースです。システムでは、VDB を使用して、特定のホストで感染のリスクが高まるかどうかを判断します。FMC Web インターフェイスでは、VDB を更新するための 2 つのアプローチが提供されています。

• [システム（System）] > [更新（Updates）] > [製品の更新（Product Updates）] を使用して、Firepower Management Center Configuration Guide, Version 6.4』の「Update the VulnerabilityDatabase (VDB) Manually」の手順に従います。

• [システム（System）] > [ツール（Tools）] > [スケジューリング（Scheduling）] を使用し、『Firepower Management Center Configuration Guide, Version 6.4』の「Configuring a Recurring Task」の説明に従って、VDB の更新をダウンロードしてインストールするための定期的なタスクをスケジュールします。

1 つの設定で複数の強化設定変更を適用するには、FTD の CC または UCAPL モードを選択します。この設定は、FMC Web インターフェイスの FTD プラットフォーム設定ポリシー（[デバイス（Devices）] > [プラットフォーム設定（Platform Settings）]）を使用して適用します。変更は、新しい設定を展開するまでは FTD で有効になりません。詳細については、『Firepower Management Center Configuration Guide, Version6.4』の「Enabling Security Certifications Compliance」を参照してください。

これらの設定オプションの 1 つを選択すると、『 Firepower Management Center Configuration Guide, Version 6.4 』の「セキュリティ認定準拠の特徴」に記載されている変更が有効になります。Firepower 環境内のアプライアンスはすべて、同じセキュリティ認定準拠モードで動作する必要があることに注意してください。

注意	この設定を有効にした後は、無効にすることはできません。CC または UCAPL モードを有効にする前に、詳細について『Firepower Management Center Configuration Guide, Version 6.4』の「Security Certifications Compliance」で確認してください。この設定を元に戻す必要が生じた場合は、Cisco TAC にご連絡ください。

（注）	セキュリティ認定準拠を有効にしても、選択したセキュリティ モードのすべての要件への厳密な準拠が保証されるわけではありません。このドキュメントでは、CC または UCAPL モードで提供されるものを超えて展開を強化するために推奨されるその他の設定について説明します。完全準拠に必要な強化手順の詳細については、認定機関から提供される本製品に関するガイドラインを参照してください。

シスコの IOS NetFlow を使用すると、ネットワークのトラフィック フローをリアルタイムで監視できます。FTD デバイスは、ランタイム カウンタの表示やリセットなど、いくつかの NetFlow 機能と連携して機能できます（show flow-export counters および clear flow-export counters CLI コマンドを参照してください）。

FMC Web インターフェイスを使用して、NetFlow によってキャプチャされるものと同じ冗長な FTD syslog メッセージを無効にすることができます。それには、[デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] で FTD プラットフォーム設定ポリシーを作成し、メニューから [Syslog] を選択します。[Syslog Settings（Syslog 設定）] タブで、[NetFlow と同等の Syslog（NetFlow Equivalent Syslogs）] チェックボックスをオンにします（冗長な Syslog メッセージを確認するには、show logging flow-export-syslogs CLI コマンドを使用します）。

NetFlow を使用してネットワーク デバイスを設定する場合は、これらの機能を利用できます。フロー情報がリモート コレクタにエクスポートされるかどうかに関係なく、必要に応じて NetFlow を受動的に使用できます。詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「Netflow Data in the Firepower System」を参照してください。

Firepower 環境では、さまざまな目的で他のネットワーク リソースとやり取りする場合があります。これらの他のサービスを強化することで、Firepower システムだけでなくネットワーク資産のすべてを保護できます。対処する必要があるすべてのものを特定するには、ネットワークとそのコンポーネント、資産、ファイアウォール設定、ポート設定、データ フロー、およびブリッジング ポイントを図式化することを試みてください。

セキュリティ上の問題を考慮した、ネットワークの運用セキュリティ プロセスを確立し、遵守します。

FTD デバイスは、いくつかのプロトコルを使用して他のネットワーク デバイスとやり取りできます。FTD デバイスや FTD が送受信するデータを保護するために、ネットワーク通信の設定を選択してください。

• デフォルトでは、FTD デバイスは 1 つの IP パケットにつき最大 24 のフラグメントを許可し、最大 200 のフラグメントのリアセンブリ待ちを許可します。定期的にパケットをフラグメント化するアプリケーション（NFS over UDP など）がある場合は、ネットワーク上でフラグメントを許可する必要がある場合があります。ただし、フラグメント化されたパケットはサービス妨害（DoS）攻撃に利用されることが多いため、フラグメントを許可しないことを推奨します。FTD デバイスのフラグメント設定を行うには、[デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] で FTD プラットフォーム設定ポリシーを作成し、目次から [フラグメント（Fragment）] を選択します。FTD デバイスによって処理されるネットワーク トラフィック内のフラグメントを禁止するには、[チェーン（フラグメント）（Chain (Fragment)）] ] オプションを 1 に設定します。詳細な手順については、『Cisco Firepower Management Center Configuration Guide, Version6.4』の「Configure Fragment Handling」を参照してください。

• FTD は、次の 2 種類のバーチャル プライベート ネットワーク（VPN）サービスを提供するように設定できます。

  • リモート アクセス バーチャル プライベート ネットワーク（RA VPN）：RA VPN 接続を介してリモート クライアント間で送受信されるメッセージの送信を保護する場合、FTD は Transport Layer Security（TLS）または IPsec_IKEv2 を使用できます。『Cisco Firepower Management Center Configuration Guide, Version 6.4』の「AnyConnect Licenses」に記載されている基準を満たしていない限り、FMC では RA VPN 設定を FTD に展開することはできません。

  • サイト間バーチャル プライベート ネットワーク：サイト間 VPN 接続を介してリモート ネットワーク間で送受信されるメッセージの送信を保護する場合、FTD では IPSEC_IKEv1 または IPSEC_IKEv2 を使用できます。デバイスのライセンスによっては、サイト間 VPN 送信に強力な暗号化を適用できる場合があります。強力な暗号化を備えたサイト間 VPN には特別なライセンスが必要であることに注意してください。『Cisco Firepower Management Center Configuration Guide, Version6.4』の「Licensing for Export-Controlled Functionality」を参照してください。

  これらのサービスを設定する場合は、『Cisco Firepower Management Center Configuration Guide, Version6.4』の「Firepower Threat Defense VPN」を参照してください。Firepower は、幅広い暗号化アルゴリズムとハッシュ アルゴリズムをサポートしており、Diffie-Hellman グループを選択できます。ただし、強固な暗号化はシステムのパフォーマンスを低下させる可能性があるため、効率を損なうことなく十分な保護を提供するセキュリティとパフォーマンスのバランスを見出す必要があります。使用可能なオプションと考慮すべき要因については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』の「How Secure Should a VPN Connection Be?」を参照してください。

• Firepower Management Center によって管理されている FTD デバイスでは、FTD との HTTPS 接続は、トラブルシューティングの目的でパケット キャプチャ ファイルをダウンロードする場合にのみ使用できます。パケット キャプチャのダウンロードを許可する必要がある IP アドレスに対してのみ、HTTPS アクセスを許可するように FTD デバイスを設定してください。FMC Web インターフェイスでは、[デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] で FTD プラットフォーム設定ポリシーを作成し、目次から [HTTP] を選択します。詳細な手順については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』の「Configure HTTP」を参照してください。

• デフォルトでは、FTD は IPv4 か IPv6 を使用して任意のインターフェイスで ICMP パケットを受信できます。ただし、2 つの例外があります。

  • FTD は、ブロードキャストアドレス宛ての ICMP エコー要求に応答しません。

  • FTD は、トラフィックが着信するインターフェイス宛ての ICMP トラフィックにのみ応答します。ICMP トラフィックは、FTD インターフェイス経由で離れたインターフェイスに送信できません。

  ICMP に基づく攻撃から FTD デバイスを保護するために、ICMP ルールを使用して、選択したホスト、ネットワーク、または ICMP タイプに ICMP アクセスを限定できます。FMC Web インターフェイスの [デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] で FTD プラットフォーム設定ポリシーを作成し、目次から [ICMP] を選択します。詳細な手順については、『CiscoFirepower Management Center Configuration Guide, Version 6.4』の「Configure ICMP Access Rules」を参照してください。

• FTD は、DHCP および DDNS サービスを提供するように設定できます（『CiscoFirepower Management Center Configuration Guide, Version 6.4』の「DHCP and DDNS Services for Threat Defense」を参照してください)。これらのプロトコルはその性質上、攻撃に対して脆弱です。FTD デバイスで DHCP または DDNS を設定する場合は、セキュリティに関する業界のベスト プラクティスを適用し、ネットワーク資産を物理的に保護する機能を用意し、FTD デバイスへのユーザ アクセスを強化することが重要です。

FTD は次の 2 種類のユーザをサポートしています。

• 内部ユーザ：デバイスは、ローカル データベースでユーザ認証を確認します。

• 外部ユーザ：ユーザがローカル データベースに存在しない場合、システムは外部 LDAP または RADIUS の認証サーバに問い合わせます。

ユーザ管理をネットワーク環境の既存のインフラストラクチャと統合したり、二要素認証などの機能を活用したりする目的で、LDAP や RADIUS などの外部認証メカニズムを使用したユーザ アクセスの確立を検討する場合があります。外部認証を確立するには、FMC Web インターフェイス内で外部認証オブジェクトを作成する必要があります。外部認証オブジェクトを共有して、FMC だけでなく FTD でも外部ユーザを認証できます。

外部認証を使用するには、環境用にドメイン ネーム サーバを設定する必要があることに注意してください。DNS の強化に関する推奨事項に必ず従ってください（「ドメイン ネーム システム（DNS）の保護」を参照してください）。

ここでのユーザ管理の説明では、Firepower バージョン6.4 で使用可能な機能を参照しています。この項で説明しているすべてのユーザ アカウント設定機能がすべての Firepower バージョンに適用されるわけではありません。システムに固有の情報については、ご使用のバージョンの Firepower のマニュアルを参照してください。

FMC によって管理される Firepower Threat Defense デバイスは、単一のユーザ アクセス手段としてコマンド ライン インターフェイスを提供します。物理デバイスの場合は、SSH、シリアル、またはキーボードとモニタの接続を使用してコマンド ライン インターフェイスにアクセスできます。特定の設定を適切に行うことで、これらのユーザは Linux シェルにもアクセスできます。

システム データとその可用性を保護するため、FTD デバイスの定期的なバックアップを実行してください。バックアップ機能は FMC Web インターフェイスの [システム（System）] > [ツール（Tools）] > [バックアップ/復元（Backup/Restore）] に表示されます。詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』の「Backup Devices Remoely」を参照してください。保存されている FTD 設定を復元するには、FTD CLI restore コマンドを使用します。

FMC は、リモート デバイスにバックアップを自動的に保存する機能を備えています。強化システムでこの機能を使用することはお勧めできません。これは、FMC とリモート ストレージ デバイス間の接続を保護できないためです。

FTD CLI は、特定のファイルを FTD からローカル コンピュータにダウンロードする機能を備えています。この機能は、システムのトラブルシューティング時に Cisco TAC に提供する情報を収集できるように提供されているものであり、必要な場合以外は使用しないでください。FTD からダウンロードするファイルを保護するための予防措置を講じてください。ダウンロード時は使用可能なオプションから最も安全なものを選択し、データの保存場所となるローカル コンピュータを保護してください。また、TAC にファイルを送信する際は使用可能なプロトコルから最も安全なものを使用してください。特に、次のコマンドを使用する場合に起こりうるリスクに注意してください。

• show asp inspect-dp snort queue-exhaustion [snapshot snapshot_id] [export location]

  export オプションでは TFTP のみサポートされています。

• file copy host_name user_id path filename_1 [filename_2 ... filename_n]

  このコマンドは、セキュリティで保護されていない FTP を使用してリモート ホストにファイルを転送します。

• copy [/noverify] /noconfirm {/pcap capture:/[buffer_name] | src_url | running-config | startup-config} dest_url

  src_url および dest_url の次のオプションは、コピーされたデータを保護する方法を提供します。

  • 内部フラッシュ メモリ

  • システム メモリ

  • オプションの外部フラッシュ ドライブ

  • パスワードで保護された HTTPS

  • パスワードで保護された SCP（SCP サーバでターゲット インターフェイスを指定）

  • パスワードで保護された FTP

  • パスワードで保護された TFTP（TFTP サーバでターゲット インターフェイスを指定）

  強化システムでは、src_url および dest_url で次のオプションを使用しないことをお勧めします。

  • SMB UNIX サーバのローカル ファイル システム

  • クラスタ トレース ファイル システム（セキュリティ認定準拠が有効になっているシステムではクラスタはサポートされません）

• cpu profile dump dest_url

  dest_url の次のオプションは、データ ダンプをセキュリティで保護する方法を提供します。

  • 内部フラッシュ メモリ

  • オプションの外部フラッシュ ドライブ

  • パスワードで保護された HTTPS

  • SMB UNIX サーバのローカル ファイル システム

  • パスワードで保護された SCP（SCP サーバでターゲット インターフェイスを指定）

  • パスワードで保護された FTP

  • パスワードで保護された TFTP（TFTP サーバでターゲット インターフェイスを指定）

  強化システムでは、src_url および dest_url のオプションでクラスタ ファイル システムを使用しないことをお勧めします。

• file secure-copy host_name user_id path filename_1 [filename_2 ... filename_n]

  SCP を使用してリモート ホストにファイルをコピーします。

FTD は、syslog メッセージを外部の syslog サーバに送信できます。syslog 機能を設定する場合は、セキュアなオプションを選択します。

1. [デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] で FTD プラットフォーム設定ポリシーを作成し、目次から [syslog] を選択します。[syslog サーバ（Syslog Servers）] タブで syslog サーバを追加するときに、必ず TCP プロトコルを選択し、[セキュアな syslog を有効にする（Enable secure syslog）] チェック ボックスをオンにします。これらのオプションは、デバイス設定の別の場所で上書きしなければ、FTD によって生成される syslog メッセージに適用されます。

   （注）	デフォルトでは、セキュアな syslog が有効になっていると、TCP を使用する syslog サーバがダウンした場合に FTD はトラフィックを転送しません。この動作を無効にするには、[TCP syslog サーバがダウンした場合にユーザ トラフィックの通過を許可する（Allow user traffic to pass when TCP syslog server is down）] チェック ボックスをオンにします。

2. プラットフォーム設定ポリシーからロギング設定を継承するように、アクセス コントロール ポリシーのロギングを設定します（[Policies] > [Access Control] <各ポリシー> > [ロギング（Logging）] で、[FTD 6.3 以降：デバイスに展開した FTD プラットフォーム設定の syslog 設定を使用する（FTD 6.3 and later: Use the syslog settings configured in the FTD Platform Settings policy deployed on the device）]チェックボックスをオンにします）。

これら 2 つの設定を適用すると、FTD の syslog は次のように動作します。

• プラットフォーム設定ポリシーの syslog 設定は、デバイスとシステムのヘルスに関連する syslog メッセージ、およびネットワーク設定に関連する syslog メッセージに適用されます。

• プラットフォーム設定の syslog 設定は、『Cisco Firepower Management Center Configuration Guide, Version 6.4』の「Configuration Locations for Syslogs for Configuration and Security Intelligence Events (All Devices)」に記載されているいずれかの場所でアクセス コントロール ポリシーの設定を「オーバーライドしない限り」、接続およびセキュリティ インテリジェンス イベントの syslog に適用されます。これらのオーバーライドではセキュアな syslog オプションは提供されないため、セキュアな環境での使用はお勧めできません。

• プラットフォーム設定ポリシーの syslog 設定は、『Cisco Firepower Management Center Configuration Guide, Version6.4』の「Configuration Locations for Syslogs for Intrusion Events (FTD 6.3 Devices)」に記載されているいずれかの場所でアクセス コントロール ポリシーの設定を「オーバーライドしない限り」、侵入イベントの syslog に適用されます。これらのオーバーライドではセキュアな syslog オプションは提供されないため、セキュアな環境での使用はお勧めできません。

ユーザが CLI にログインするときにユーザに必要な情報を伝えるように、FTD デバイスを設定できます。セキュリティの観点から、ログイン バナーでは不正アクセスを防止する必要があります。次の例のようなテキストを考慮してください。

• 安全なデバイスにログインしました。このデバイスにアクセスする権限を持っていない場合は、すぐにログアウトしないと犯罪と認識されるおそれがあります。

FTD デバイスのログイン バナーを設定するには、[デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] で FTD プラットフォーム設定ポリシー作成し、目次から [バナー（Banner）] を選択します。詳細な手順については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』の「Configure Banners」を参照してください。

Firepower アイデンティティ ポリシーは、アイデンティティソースを使用してネットワーク ユーザを認証し、ユーザを認識し制御する目的でユーザ データを収集します。ユーザ アイデンティティ ソースを確立するには、 FMC または管理対象デバイスと、次のいずれかのタイプのサーバとの間の接続が必要です。

• Microsoft Active Directory

• Linux OpenLDAP

• RADIUS

重要	LDAP、Microsoft AD、または RADIUS サーバへのセキュアな接続を Firepower から設定できますが、認証モジュールは FIPS に準拠していません。

（注）	外部認証に LDAP または Microsoft AD を使用する場合は、「外部ユーザ アカウントの強化」の情報を確認してください。

（注）	Firepower はこれらの各サーバを使用して、ユーザ アイデンティティ機能の候補のさまざまな組み合わせをサポートします。詳細については、『Firepower Management Center Configuration Guide, Version6.4』の「About User Identity Sources」を参照してください。

Active Directory サーバおよび LDAP サーバとの接続の保護：

Firepower には「レルム」と呼ばれるオブジェクトがあります。レルムは、Active Directory サーバまたは LDAP サーバ上のドメインに関連付けられている接続設定を記述するものです。レルムの設定の詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「Create and Manage Realms」を参照してください。

FMC Web インターフェイスの [システム（System）] > [統合（Integration）] > [レルム（Realms）] でレルムを作成する場合は、AD サーバまたは LDAP サーバとの接続を保護するため、次の点に注意してください。

Active Directory サーバに関連付けられるレルムの場合：

• [AD 参加パスワード（AD Join Password）] と [ディレクトリ パスワード（Directory Password）] で強力なパスワードを選択します。

• Active Directory レルムにディレクトリを追加する際に次のようにします。

  • [暗号化（Encryption）] モードとして [STARTTLS] または [LDAPS] を選択します（[なし（None）] は選択しないでください）。

  • Active Directory ドメイン コントローラへの認証に使用する [SSL 証明書（SSL Certificate）] を指定します。世界的に知られていて信頼できる認証局が生成した証明書を使用することをお勧めします。

LDAP サーバに関連付けられるレルムの場合：

• [ディレクトリ パスワード（Directory Password）] で強力なパスワードを選択します。

• LDAP レルムにディレクトリを追加する際に次のようにします。

  • [暗号化（Encryption）] モードとして [STARTTLS] または [LDAPS] を選択します（[なし（None）] は選択しないでください）。

  • LDAP サーバへの認証に使用する [SSL 証明書（SSL Certificate）] を指定します。世界的に知られていて信頼できる認証局が生成した証明書を使用することをお勧めします。

RADIUS サーバとの接続の保護：

RADIUS サーバとの接続を設定するには、FMC Web インターフェイスの [オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [RADIUS サーバ グループ（RADIUS Server Group）] で RADIUS サーバ グループ オブジェクトを作成し、そのグループに RADIUS サーバを追加します。RADIUS サーバとの接続を保護するには、[新しい RADIUS サーバ（New RADIUS Server）] ダイアログで次のオプションを選択します。

• 管理対象デバイスと RADIUS サーバ間でデータを暗号化するための [キー（Key）] と [キーの確認（Confirm Key）] を指定します。

• セキュアなデータ送信をサポートできる接続用のインターフェイスを指定します。

（注）	Firepower は、リモート アクセス VPN（ユーザ アイデンティティ ソースとして使用されます）を提供するように環境内の管理対象 FTD デバイスが設定されている場合にのみ、ユーザ アイデンティティのために RADIUS サーバと接続します。リモート アクセス VPN の設定と保護の詳細については、「ネットワーク プロトコル設定の強化」を参照してください。

FTD ソフトウェアは、基盤となる複雑なファームウェアとオペレーティング システム ソフトウェアに依存しています。これらの基盤となるソフトウェア コンポーネントには独自のセキュリティ リスクが潜んでおり、対処する必要があります。

• セキュリティ上の問題を考慮した、ネットワークの運用セキュリティ プロセスを確立してください。

• FTD モデル 2100、4100、および 9300 デバイスでは、FTD を実行する Firepower Extensible Operating System を保護してください。『CiscoFirepower 4100/9300 FXOS Hardening Guide』を参照してください。