セキュリティ認定準拠

次のトピックでは、セキュリティ認定規格に準拠するようにシステムを設定する方法について説明します。

セキュリティ認定準拠のモード

お客様の組織が、米国防総省およびグローバル認定組織によって確立されたセキュリティ基準に従う機器とソフトウェアだけを使用することを求められる場合があります。次のセキュリティ認定規格がサポートされています。

  • コモンクライテリア(CC):国際コモンクライテリア承認アレンジメントによって確立された、セキュリティ製品のプロパティを定義するグローバル標準規格

  • Unified Capabilities Approved Products List(UCAPL):米国国防情報システム局(DISA)によって確立された、セキュリティ要件を満たす製品のリスト


    (注)  
    米国政府は、Unified Capabilities Approved Products List(UCAPL)の名称を Defense Information Network Approved Products List(DODIN APL)に変更しました。このドキュメントおよび FMC Web インターフェイスでの UCAPL の参照は、DODIN APL への参照として解釈できます。

  • 連邦情報処理標準(FIPS)140:暗号化モジュールの要件に関する規定

セキュリティ認定コンプライアンスは、CC モードまたは UCAPL モードで有効にすることができます。セキュリティ認定コンプライアンスを有効にしても、選択したセキュリティ モードのすべての要件との厳密なコンプライアンスが保証されるわけではありません。強化手順についての詳細は、認定機関から提供されている本製品に関するガイドラインを参照してください。


注意    
この設定を有効にした後は、無効にすることはできません。アプライアンスを CC モードまたは UCAPL モードから解除する必要がある場合は、再イメージ化する必要があります。

セキュリティ認定準拠特性

次の表は、CC または UCAPL モードを有効にしたときの動作の変更を示しています。ログイン アカウントの制約は、Web インターフェイス アクセスではなく、コマンドライン アクセスを指します。)

システムの変更

Firepower Management Center

従来型管理対象デバイス

Firepower Threat Defense

CC モード

UCAPL モード

CC モード

UCAPL モード

CC モード

UCAPL モード

FIPS コンプライアンスは有効です。

対応

対応

対応

対応

対応

対応

バックアップまたはレポートについては、リモート ストレージは利用できません。

対応

対応

追加のシステム監査デーモンが開始されます。

非対応

対応

非対応

対応

非対応

非対応

システム ブートローダは固定されています。

非対応

対応

非対応

対応

非対応

非対応

追加のセキュリティがログイン アカウントに適用されます。

非対応

対応

非対応

対応

非対応

非対応

再起動のキー シーケンス Ctrl+Alt+Del を無効にします。

非対応

対応

非対応

対応

非対応

非対応

最大 10 の同時ログイン セッションを実行します。

非対応

対応

非対応

対応

非対応

非対応

パスワード長は少なくとも 15 文字で、大文字/小文字の英数字を組み合わせて 1 つ以上の数字を含む必要があります。

非対応

対応

非対応

対応

非対応

非対応

ローカル admin ユーザに必要な最小パスワード長を設定するには、ローカル デバイス CLI を使用できます。

非対応

非対応

非対応

非対応

対応

対応

パスワードは、辞書に出現する単語であったり、連続する繰り返し文字を含んでいたりすることができません。

非対応

対応

非対応

対応

非対応

非対応

3 回連続してログインに失敗した場合、admin 以外のユーザはロックアウトされます。この場合は、管理者がパスワードをリセットする必要があります。

非対応

対応

非対応

対応

非対応

非対応

デフォルトでは、システムはパスワード履歴を保存します。

非対応

対応

非対応

対応

非対応

非対応

admin ユーザは、Web インターフェイスで設定可能な最大許容回数を超えてログイン試行に失敗した後、ロックアウトされます。

対応

対応

対応

対応

admin ユーザは、ローカル アプライアンス CLI で設定可能な最大許容回数を超えてログイン試行に失敗した後、ロックアウトされます。

非対応

非対応

対応(セキュリティ認定準拠の有効/無効にかかわらず)。

対応(セキュリティ認定準拠の有効/無効にかかわらず)。

対応

対応

次の場合、システムは、アプライアンスとの SSH セッションで自動的にキーを再生成します:

  • セッション アクティビティでキーが 1 時間使用された後

  • キーを使用して接続で 1 GB のデータが伝送された後

対応

対応

対応

対応

対応

対応

システムは、ブート時にファイル システム整合性チェック(FSIC)を実行します。FSIC が失敗した場合、Firepower ソフトウェアは起動せず、リモート SSH アクセスが無効になり、ローカル コンソールを介してのみアプライアンスにアクセスできます。これが発生した場合は Cisco TAC に連絡してください。

対応

対応

対応

対応

対応

対応

セキュリティ認定準拠の推奨事項

セキュリティ認定コンプライアンスの使用が有効のときに、次のベスト プラクティスを確認することをお勧めします。

  • 展開時にセキュリティ認定準拠を有効にするには、最初に Firepower Management Center で有効にし、次に、管理対象のすべてのデバイスの同じモードで有効にします。


    注意    
    両方が同じセキュリティ認定準拠モードで動作していない限り、Firepower Management Center は管理対象デバイスからイベント データを受信しません。

  • すべてのユーザーに対して、パスワードの強度確認を有効にし、パスワードの最小長を認証機関で求められる値に設定します。

  • 高可用性設定で Firepower Management Center を使用すると、双方の設定を行い、同じセキュリティ認定準拠モードを使用します。

  • Firepower 4100/9300 シャーシで、CC または UCAPL モードで動作するように Firepower Threat Defense を設定した場合は、Firepower 4100/9300 シャーシも CC モードで動作するように設定する必要があります。詳細については、『Cisco FXOS Firepower Chassis Manager Configuration Guide』を参照してください。

  • 次の機能を使用するようにシステムを設定できません。

    • 電子メールレポート、アラート、データのプルーニング通知。

    • Nmap Scan、Cisco IOS Null Route、Set Attribute Value、ISE EPS の修復。

    • バックアップまたはレポート用のリモート ストレージ。

    • サードパーティ クライアントのシステム データベースへのアクセス。

    • 電子メール(SMTP)、SNMP トラップ、syslog から送信される外部通知、アラート。

    • アプライアンスとサーバの間のチャネルを保護するために、SSL 証明書を使用せずに、HTTP サーバまたは syslog サーバに送信された監査ログ メッセージ。

  • CC モードを使用して展開する場合は、LDAP または RADIUS を使用して外部認証を有効にしないでください。

  • CC モードを使用して展開中に CAC を有効にできません。

  • CC または UCAPL モードを使用した展開では、Firepower REST API 経由で Firepower Management Center および管理対象デバイスへのアクセスを無効にします。

  • UCAPL モードを使用して展開中に CAC を有効にします。

  • Firepower Threat Defense デバイスが両方とも同じセキュリティ認定準拠モードを使用していない限り、ハイ アベイラビリティ ペアに構成しないでください。


(注)  

FirePOWER システムは、次の CC または UCAPL モードをサポートしていません

  • クラスタ内の Firepower Threat Defense デバイス

  • Firepower Threat Defense のコンテナ インスタンス Firepower 4100/9300

アプライアンスの強化

Firepower システムの強化に使用可能な機能の詳細については、最新バージョンの『Cisco Firepower Mangement Center Hardening Guide』と『Cisco Firepower Threat Defense Hardening Guide』、および本書の以降のトピックを参照してください。

ネットワークの保護

ネットワークを保護するために構成できる Firepower システムの機能については、次のトピックを参照してください。

セキュリティ認定コンプライアンスの有効化

この設定は、Firepower Management Center または管理対象デバイスに適用されます。

  • Firepower Management Center では、この設定はシステム設定の一部になります。

  • 管理対象デバイスでは、この設定をプラットフォーム設定ポリシーの一部として FMC から適用します。

いずれの場合も、システム設定変更を保存するか、共有プラットフォーム設定ポリシーを展開するまで、設定は有効にはなりません。


注意    

この設定を有効にした後に無効にすることはできません。アプライアンスを CC モードまたは UCAPL モードから解除する必要がある場合は、再イメージ化する必要があります。

始める前に

  • アプライアンスでセキュリティ認定コンプライアンスを有効にする前に、展開に組み込む予定のあるすべてのデバイスを FMC に登録することをお勧めします。

  • Firepower Threat Defense デバイスは評価ライセンスを使用できません。輸出管理機能を有効にするには、Cisco Smart Software Manager アカウントを有効にする必要があります。

  • Firepower Threat Defense デバイスはルーテッド モードで展開する必要があります。

  • このタスクを実行するには、管理者ユーザーである必要があります。

手順

ステップ 1

FMC を設定するか管理対象デバイスを設定するかに応じて、次の操作を実行します。

  • FMC[システム (System)] > [設定(Configuration)] を選択します。
  • 従来型デバイス:[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)] を選択し、Firepower ポリシーを作成または編集します。
  • FTD デバイス:[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)] を選択し、Firepower Threat Defense ポリシーを作成または編集します。
ステップ 2

[UCAPL/CC コンプライアンス(UCAPL/CC Compliance)] をクリックします。

(注)   

UCAPL または CC コンプライアンスを有効にすると、アプライアンスがリブートします。FMC は、システム設定を保存するとリブートし、管理対象デバイスは、設定の変更を展開するとリブートします。

ステップ 3

アプライアンスのセキュリティ認定コンプライアンスを永続的に有効にするには、2 つの選択肢があります。

  • [コモン クライテリア(Common Criteria)] モードでセキュリティ認定コンプライアンスを有効にするには、ドロップダウン リストから [CC] を選択します。
  • [Unified 機能承認製品リスト(Unified Capabilities Approved Products List)] モードでセキュリティ認定コンプライアンスを有効にするには、ドロップダウン リストから [UCAPL] を選択します。
ステップ 4

[保存(Save)] をクリックします。

次のタスク

  • まだ適用していない場合は、制御と防御のライセンスを、展開内のすべての従来型デバイスに適用します。

  • 認証エンティティによって提供されるこの製品のガイドラインの説明に従い、追加の設定変更を行います。

  • 設定変更を展開します。設定変更の展開を参照してください。