お客様の組織が、米国国防総省や他の政府/自治体認定組織によって確立されたセキュリティ基準に従う機器とソフトウェアだけを使用することを求められる場合があります。該当する認定当局による認定を受けた後、認定に固有のガイダンス文書に従って設定を行うことで、Firepower 環境は次の認定基準に準拠するようになります。

• コモンクライテリア（CC）：国際コモンクライテリア承認アレンジメントによって確立された、セキュリティ製品の要件を定義するグローバル標準規格

• Department of Defense Information Network Approved Products List（DoDIN APL）：米国国防情報システム局（DISA）によって制定された、セキュリティ要件を満たす製品のリスト

  （注）	米国政府は、Unified Capabilities Approved Products List（UCAPL）の名称を DoDIN APL に変更しました。Firepower のドキュメントおよび Secure Firewall Management Center Web インターフェイスでの UCAPL の参照は、DoDIN APL への参照として解釈できます。

• 連邦情報処理標準（FIPS）140：暗号化モジュールの要件に関する規定

認定ガイダンス文書は、製品認定が完了すると個別に入手できます。この強化ガイドの公開によってこれらの製品認定の完了が保証されるわけではありません。

このドキュメントで説明している Firepower の設定は、認定機関が定める現在のすべての要件に厳密に準拠することを保証するものではありません。必要な強化手順の詳細については、認定機関から提供される本製品に関するガイドラインを参照してください。

このドキュメントでは、Management Center のセキュリティを強化するためのガイダンスを説明していますが、Management Center の一部の機能については、ここで説明している設定を行っても認定準拠がサポートされません。詳細については、『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Security Certifications Compliance Recommendations」を参照してください。この強化ガイドと『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』が認定固有のガイダンスと矛盾しないように努めてきました。シスコのドキュメントと認定ガイダンスとの間で不一致がある場合は、認定ガイダンスを使用するか、システムの所有者にお問い合わせください。

シスコでは、問題に対処し改善を行うために、Firepower ソフトウェア アップデートを定期的にリリースしています。システム ソフトウェアを最新の状態に保つことは、強化されたシステムを維持するうえで不可欠です。システムソフトウェアが適切に更新されていることを確認するには、『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』、『Firepower Management Center Upgrade Guide』の「System Updates」の章の情報をご利用ください。

シスコでは、Firepower がネットワークと資産を保護するために使用するデータベースのアップデートも定期的に発行しています。最適な保護を実現するため、位置情報データベース、侵入ルール データベース、および脆弱性データベースを最新の状態に維持してください。Firepower 環境のいずれかのコンポーネントを更新する場合は、アップデートに付属する「Cisco Firepower リリース ノート」を必ずお読みください。これらは、互換性、前提条件、新機能、動作の変更、警告など、重要かつリリースに固有の情報を提供します。アップデートによってはサイズが大きくなり、完了までに時間がかかる場合があります。システム パフォーマンスへの影響を軽減するため、更新はネットワークの使用量が少ない時間帯に行ってください。

位置情報データベース

地理位置情報データベース（GeoDB）は、ルーティング可能な IP アドレスと関連付けられた地理的データ（国、都市、座標など）および接続関連のデータ（インターネット サービス プロバイダー、ドメイン名、接続タイプなど）のデータベースです。検出された IP アドレスと一致する GeoDB 情報が Firepower で検出された場合は、その IP アドレスに関連付けられている位置情報を表示できます。国や大陸以外の位置情報の詳細を表示するには、システムに GeoDB をインストールする必要があります。

Management Center Web インターフェイスから GeoDB を更新するには、[システム（System）] > [更新（Updates）] > [地理位置情報の更新（Geolocation Updates）] を使用し、次のいずれかの方法を選択します。

• インターネットにアクセスせずに Management Center で GeoDB を更新します。

• インターネットにアクセスし、Management Center で GeoDB を更新します。

• インターネットにアクセスし、Management Center で GeoDB の定期的な自動更新をスケジュールします。

詳細については、『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Update the Geolocation Database」を参照してください。

侵入ルール

新たな脆弱性が明らかになると、Cisco Talos Security Intelligence and Research Group（Talos）から侵入ルールの更新がリリースされます。これらの更アップデートを Management Center にインポートして、変更後の設定を管理対象デバイスに導入することで、侵入ルールの更新を実装できます。それらの更新は、侵入ルール、プリプロセッサ ルール、およびルールを使用するポリシーに影響を及ぼします。

Management Center Web インターフェイスでは、侵入ルールを更新するための 3 つのアプローチが提供されており、すべて [システム（System）] > [更新（Updates）] > [ルールの更新（Rule Updates）] で使用できます。

• インターネットにアクセスできない Management Center の侵入ルールを更新します。

• インターネットにアクセスできる Management Center の侵入ルールを更新します。

• インターネットにアクセスできる Management Center の侵入ルールの定期的な自動更新をスケジュールします。

詳細については、『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Update Intrusion Rules」を参照してください。

また、[システム（System）] > [更新（Updates）] > [ルールの更新（Rule Updates）] を使用してローカル侵入ルールをインポートすることもできます。Snort ユーザ マニュアル（http://www.snort.org で入手可能）の指示に従って、ローカル侵入ルールを作成することができます。それらを Management Center にインポートする前に、『』の「Guidelines for Importing Local Intrusion Rules」、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Best Practices for Importing Local Intrusion Rules」を参照し、ローカル侵入ルールのインポートがセキュリティポリシーに準拠していることを確認します。

脆弱性データベース

脆弱性データベース（VDB）は、ホストが影響を受ける可能性がある既知の脆弱性、およびオペレーティングシステム、クライアント、アプリケーションのフィンガープリントを格納するデータベースです。システムでは、VDB を使用して、特定のホストで感染のリスクが高まるかどうかを判断します。

Management Center Web インターフェイスでは、VDB を更新するための 2 つのアプローチが提供されています。

• VDB（[システム（System）] > [更新（Updates）] > [製品の更新（Product Updates）]）を手動で更新します。

• VDB の更新（[システム（System）] > [ツール（Tools）] > [スケジューリング（Scheduling）]）をスケジュールします。

詳細については、『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Update the Vulnerability Database」を参照してください。

セキュリティ インテリジェンスのリストとフィード

セキュリティ インテリジェンスのリストとフィードは、リストまたはフィードのエントリに一致するトラフィックをすばやくフィルタリングするために使用できる IP アドレス、ドメイン名、および URL のコレクションです。

システム提供のフィードと、事前定義されたリストがあります。カスタムフィードとリストを使用することもできます。これらのリストとフィードを表示するには、[オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [セキュリティ インテリジェンス（Security Intelligence）] を選択します。 システム提供のフィードの一部として、シスコはセキュリティ インテリジェンス オブジェクトとして次のフィードを提供しています。

• セキュリティ インテリジェンス フィードは、Talos の最新の脅威インテリジェンスで定期的に更新されます。

  • Cisco-DNS-and-URL-Intelligence-Feed（[DNS Lists and Feeds] の下）

  • Cisco-Intelligence-Feed（IPアドレス用、[Network Lists and Feeds] の下）

  システムが提供するフィードは削除できませんが、更新頻度を変更（または無効に設定）できます。Management Center は、5 分または 15 分ごとに Cisco-Intelligence-Feed データを更新できるようになりました。

• Cisco-TID-Feed（[Network Lists and Feeds] の下）

  TID 監視可能データのコレクションであるこのフィードを使用するには、Threat Intelligence Director を有効にして設定する必要があります。

詳細については、『』、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「Security Intelligence Lists and Feeds」を参照してください。

1 つの設定で複数の強化設定変更を適用するには、Management Center の CC または UCAPL モードを選択します。この設定は、Management Center Web インターフェイスの [システム（System）] > [設定（Configuration）] > [UCAPL/CC準拠（UCAPL/CC Compliance）] の下に表示されます。

これらの設定オプションの 1 つを選択すると、『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Security Certification Compliance Characteristics」に記載されている変更が有効になります。Firepower 環境内のアプライアンスはすべて、同じセキュリティ認定準拠モードで動作する必要があることに注意してください。

注意	この設定を有効にした後は、無効にすることはできません。CC または UCAPL モードを有効にする前に、『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Security Certifications Compliance」で詳細な情報を参照してください。この設定を元に戻す必要が生じた場合は、Cisco TAC にご連絡ください。

（注）	セキュリティ認定準拠を有効にしても、選択したセキュリティ モードのすべての要件への厳密な準拠が保証されるわけではありません。このドキュメントでは、CC または UCAPL モードで提供されるものを超えて展開を強化するために推奨されるその他の設定について説明します。完全準拠に必要な強化手順の詳細については、認定機関から提供される本製品に関するガイドラインを参照してください。

Firepower 環境では、さまざまな目的で他のネットワーク リソースとやり取りする場合があります。これらの他のサービスを強化することで、Firepower システムだけでなくネットワーク資産のすべてを保護できます。対処する必要があるすべてのものを特定するには、ネットワークとそのコンポーネント、資産、ファイアウォール設定、ポート設定、データ フロー、およびブリッジング ポイントを図式化することを試みてください。

セキュリティ上の問題を考慮した、ネットワークの運用セキュリティ プロセスを確立し、遵守します。

内部および外部ユーザー

Management Center は次の 2 種類のユーザーをサポートしています。

• 内部ユーザー：システムは、ローカル データベースでユーザー認証を確認します。

• 外部ユーザ：ユーザがローカル データベースに存在しない場合、システムは外部 LDAP または RADIUS の認証サーバに問い合わせます。

ユーザー管理をネットワーク環境の既存のインフラストラクチャと統合したり、二要素認証などの機能を活用したりする目的で、LDAP や RADIUS などの外部認証メカニズムを使用したユーザー アクセスの確立を検討する場合があります。外部認証を確立するには、Management Center Web インターフェイスの中で外部認証オブジェクトを作成する必要があります。外部認証オブジェクトを共有して、管理対象デバイスだけでなく Management Center でも外部ユーザを認証できます。

ユーザー アクセスのタイプ

Management Center は次の 2 種類のユーザー アクセスをサポートしています。

• Web インターフェイス（HTTP）。これは内部と外部両方のユーザ アカウントで使用できます。

• SSH、シリアル、またはキーボードおよびモニタ接続を使用したコマンド ライン アクセス。これは、CLI/シェル アクセス admin アカウントで使用でき、外部ユーザーにも使用を許可できます。

Management Center では、アクセス リストを使用して、IP アドレスとポートを基準にシステムへのアクセスを制限できます。デフォルトでは、任意の IP アドレスに対して以下のポートが有効化されています。

• 443（HTTPS）：Web インターフェイス アクセスに使用されます。

• 22（SSH）：CLI/シェル アクセスに使用されます。

さらに、ポート 161 で SNMP 情報をポーリングするためのアクセスも追加できます。

重要	Firepower から SNMP サーバへのセキュアな接続を設定することはできますが、認証モジュールは FIPS に準拠していません。

よりセキュアな環境で運用するには、これらの形式でのアクセスを特定の IP アドレスにアクセスする場合にのみ許可するように Management Center を設定し、任意の IP アドレスへの HTTPS または SSH アクセスを許可するデフォルト ルールを無効にします。これらのオプションは、 Management Center Web インターフェイスの [システム（System）] > [設定（Configuration）] > [アクセスリスト（Access List）] に表示されます。詳細については、『』、『』、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「Access List」を参照してください。

修復は Firepower システムが相関ポリシー違反に応じて起動するプログラムです。Management Center では複数のタイプの修復を設定できますが、どのタイプの場合も、Management Center と Firepower の外部のエンティティが安全ではない方法で通信する必要があります。このため、強化された Firepower システムで修復を使用するように設定しないことをお勧めします。詳細については、『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Remediations」を参照してください。

クライアントとサーバーの両方の HTTPS 証明書を使用して、Web インターフェイスを実行しているブラウザと Management Center の間の接続を保護することにより、Management Center とローカルコンピュータの間で送信される情報を保護します。Management Center ではデフォルトの自己署名証明書が使用されますが、世界的に知られていて信頼できる認証局が生成した証明書に置き換えることをお勧めします。

Management Center の HTTPS 証明書を設定するには、Management Center Web インターフェイスの [システム（System）] > [設定（Configuration）] > [HTTPS 証明書（HTTPS Certificate）] を使用します。『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「HTTPS Certificates」を参照してください。

アクセス コントロール ポリシーをロックして、他の管理者が編集できないようにすることができます。ポリシーをロックすると、変更を保存する前に別の管理者がポリシーを編集して変更を保存しても、変更が無効になることはありません。ロックしない場合、複数の管理者がポリシーを同時に編集すると、最初に変更を保存したユーザーが他の全ユーザーの変更を上書きします。このロックはアクセス コントロール ポリシー用であり、ポリシーで使用されるオブジェクトには適用されません。ロックすると、他の管理者にはポリシーへの読み取り専用アクセス権が付与されます。ただし、他の管理者は、ロックされたポリシーを管理対象デバイスに割り当てることができます。ポリシーを編集する際に、アクセス コントロール ポリシーをロックすることをお勧めします。

1. [ポリシー（Policies）] > [アクセス制御（Access Control）] を選択します。

2. ロックまたはロック解除するアクセス コントロール ポリシーの横にある [編集（Edit）] をクリックします。

3. ポリシー名の横にあるロックアイコンをクリックして、ポリシーをロックまたはロック解除します。

別の管理者によってロックされているポリシーのロックを解除するには、次の権限を更新する必要があります。[ポリシー（Policies）] > [アクセス制御（Access Control）] > [アクセスコントロールポリシー（Access Control Policy）] > [アクセスコントロールポリシーの変更（Modify Access Control Policy）] > [アクセスコントロールポリシーロックのオーバーライド（Override Access Control Policy Lock）]。デフォルトでは、管理ユーザーロールに対してこの権限が有効になります。この権限を有効にしないことを推奨します。詳細については、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「Locking an Access Control Policy」を参照してください。

システム データとその可用性を保護するため、Management Center の定期的なバックアップを実行してください。バックアップ機能は、Management Center Web インターフェイスの [システム（System）] > [ツール（Tools）] > [バックアップ/復元（Backup/Restore）] の下に表示されます。詳細については、『』の「」、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Back up the Management Center」を参照してください。

Management Center は、リモート デバイスにバックアップを自動的に保存する機能を備えています。強化システムでこの機能を使用することはお勧めできません。Management Center とリモート ストレージ デバイス間の接続を保護できないためです。

Management Center を使用して、Threat Defense のメジャーおよびメンテナンスアップグレードを元に戻すことができます。元に戻すと、ソフトウェアは、最後のメジャーアップグレードまたはメンテナンスアップグレード（スナップショットとも呼ばれます）の直前の状態に戻ります。パッチ適用後に元に戻すと、パッチが削除されます。元に戻す動作は、Management Center とデバイス間の通信が中断された場合にのみ発生します。高可用性や拡張性の展開では、すべてのユニットを同時に元に戻すと、元に戻す操作が成功する可能性が高くなります。

元に戻される設定には、Snort バージョン、デバイス固有の設定、デバイス固有の設定で使用されるオブジェクトが含まれます。元に戻されない設定には、複数のデバイスで使用できる共有ポリシーが含まれます。

アップグレードが成功した後に元に戻す必要があると思われる場合は、管理センターで [システム（System）] > [更新（Updates）] を選択して Threat Defense をアップグレードし、[アップグレード後の復元を有効にする（Enable revert after successful upgrade）] オプションを設定します。デフォルトで、このオプションは有効になっています。このオプションを有効にすることを推奨します。

復元スナップショットは、Management Center とデバイスに 30 日間保存され、その後自動的に削除され、復元できなくなります。ディスク容量を節約するためにどのアプライアンスからでもスナップショットを手動で削除できますが、復元の機能が失われます。詳細については、『Cisco Secure Firewall Threat Defense Upgrade Guide for Management Center, Version 7.2』の「Revert the Upgrade」を参照してください。

Management Center は、さまざまなシステム設定（ポリシー、カスタム テーブル、レポート テンプレートなど）をファイルにエクスポートする機能を備えています。これを使用して、同じ Firepower バージョンを実行している別の Management Center に同じ設定をインポートすることができます。これは、環境に新しいアプライアンスを追加する管理者のための時間節約になる機能ですが、セキュリティ違反を防ぐためには慎重に使用する必要があります。エクスポート/インポート機能を使用する場合は、次の注意事項に留意してください。

• 転送される設定情報を保護するため、Management Center と Web ブラウザ間の通信を保護します。Management Center と Web ブラウザの間のセキュア通信を参照してください。

• エクスポートされた設定ファイルが保存されているローカル コンピュータへのアクセスを保護します。このファイルを保護することは、Firepower 環境のセキュリティにとって重要です。

• 秘密キーを含む PKI オブジェクトを使用する設定をエクスポートすると、エクスポートの前に秘密キーが復号されることに注意してください。エクスポートされた秘密キーはクリア テキストで保存されます。インポート時に、キーはランダムに生成されたキーで暗号化されます。

設定のエクスポートとインポートの機能は、Management Center Web インターフェイスの [System] > [Tools] > [Import/Export] に表示されます。詳細については、『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「」、「Import/Export」を参照してください。

展開によって Management Center と Threat Defense 間の管理接続がダウンした場合に備えて、設定の自動ロールバックを有効にできます。Management Center へのアクセスにデータインターフェイスを使用している状況で、データインターフェイスを誤って設定すると、展開の自動ロールバックが発生します。

[デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイス（Device）] > [展開の設定（Deployment Settings）] を使用して自動ロールバック設定を有効にし、接続モニター間隔を設定することをお勧めします。自動ロールバックは、高可用性展開やクラスタリング展開、およびトランスペアレントモードではサポートされていません。詳細については、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「Edit Deployment Settings」を参照してください。

Firepower システムにはいくつかのタイプのレポートが用意されています。これらすべてには、権限のない人によるアクセスから保護する必要がある機密情報が含まれています。ここで説明するすべてのレポート タイプは、Management Center からローカル コンピュータに暗号化されていない形式でダウンロードできます。転送される情報を保護するため、レポートをダウンロードする前に、Management Center と Web ブラウザ間の通信を保護します。（「FMC と Web ブラウザの間のセキュア通信」を参照してください）さらに、レポートが保存されているローカル コンピュータへのアクセスを保護します。

• 標準レポートは、システムの全側面に関する詳細でカスタマイズ可能なレポートで、HTML、CSV、PDF 形式で入手できます。リスク レポートは、組織で検出されたリスクの概要を HTML 形式で示します。

  Management Center Web インターフェイスでは、標準レポートとリスク レポートの両方が [Overview] > [Reporting] に表示されます。これらのレポートの場合、Firepower にはローカル ダウンロードに加えて 2 つのストレージ オプションが用意されており、それぞれにセキュリティ リスクがあります。

  • レポートを選択したサーバに電子メールで自動送信できます。電子メールを保護できないため、強化されたシステムでこの機能を使用することはお勧めしません。

  • レポートをリモート デバイスに自動保存できます。Management Center とリモートストレージデバイス間の接続を保護できないため、強化されたシステムにこの機能を使用することはお勧めしません。

  標準レポートとリスクレポートの設計と生成に関する詳細については、『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「」、「Reports」を参照してください。

• トラブルシューティングのヘルス モニタ レポートには、システムに問題が発生した場合の診断に Cisco TAC が使用できる情報が含まれています。Management Center Web インターフェイスからこれらのレポートを生成するには、[System] > [Health] > [Monitor] を使用して、『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Health Monitor Reports for Troubleshooting」の手順を実行します。Management Center は、.tar.gz 形式のトラブルシューティング ファイルを生成します。

• ポリシー レポートは、現在保存されているポリシーの設定についての詳細を示す PDF ファイルです。ポリシー レポートを生成するには、リポートするポリシーの管理ページにアクセスし、レポート アイコン（）をクリックします。レポートをサポートするポリシーの完全なリストについては、『』、『』、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「Generating Current Policy Reports」を参照してください。

• 比較レポートを使用して、組織の標準規格への準拠やシステム パフォーマンスの最適化を目的としたポリシー変更を確認できます。2 つのポリシーの相違点や、保存されたポリシーと実行コンフィギュレーションの相違点を調べることができます。比較レポート（PDF 形式のみで入手可能）を生成するには、比較するポリシー タイプの管理ページにアクセスし、[ポリシーの比較（Compare Policies）] を選択します。『』、『』、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「Comparing Policies」を参照してください。

選択したイベントが発生したときに、外部サーバーへのアラート応答と呼ばれる通知を発行するように Management Center を設定できます。これらのアラートは、システム アクティビティのモニタリングに役立つ可能性がありますが、外部サーバーへの接続を保護できない場合、セキュリティ リスクが生じる可能性があります。

Management Center は、次の 3 つの形式でアラート応答の送信をサポートします。

• Syslog に送信されるアラート応答を保護することはできません。（Management Center Web インターフェイスの [ポリシー（Policies）] > [アクション（Actions）] > [アラート（Alerts）] > [アラートの作成（Create Alert）] > [Syslog アラートの作成（Create Syslog Alert）]）強化された環境でこのようなアラートを送信するように Management Center を設定することは推奨されません。

• メール リレー ホストとの接続に暗号化（TLS または SSLv3）を使用し、ユーザー名とパスワードを要求するように設定することで、Management Center が電子メールで外部サーバーに送信する情報を保護することができます。これは、Management Center Web インターフェイスから [システム（System）] > [設定（Configuration）] > [電子メール通知（Email Notification）] を使用して行います。 詳細については、『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Configuring a Mail Relay Host and Notification Address」を参照してください。

  メール リレー ホストとの接続を保護すると、Management Center が次の機能を使用して送信するデータが保護されます。

  • 『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Creating an Email Alert Response」で説明されている電子メールアラート応答。(この設定は、Management Center Web インターフェイスの [ポリシー（Polices）] > [アクション（Actions）] > [アラート（[Alerts）] > [アラートの作成（Create Alert）] > [電子メールアラートの作成（Create Email Alert）] を使用してこの設定を構成します。)

  • 『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Configuring Database Event Limits」で説明されているデータプルーニング通知。（この設定は、Management Center Web インターフェイスの [システム（System）] > [設定（Configuration）] > [データベース（Database）] の下でこの設定を構成します。）

• SNMP サーバーに送信されるアラートは、Management Center Web インターフェイスの [ポリシー（Polices）] > [アクション（Actions）] > [アラート（Alerts）] > [アラートの作成（Create Alert）] > [SNMP アラートの作成（Create SNMP Alert）] で次のオプションを使用して保護できます。

  • [バージョン（Version）] については SNMP v3 を選択します。このプロトコルは以下をサポートします。

    • SHA、SHA224、SHA256、SHA384 などの認証アルゴリズム。

    • AES256、AES192、および AES128 による暗号化。

    • 読み取り専用ユーザー。

  • 接続を保護する認証プロトコル（MD5 または SHA）を選択して、パスワードを入力します。

  • [プライバシープロトコル（Privacy Protocol）] として DES、AES、または AES128 を選択し、[パスワード（Password）] を入力します。キーが長いほど安全になりますが、パフォーマンスは低下します。

  • システムがメッセージのエンコードに使用するエンジン IDを指定します。Management Center の IP アドレスの 16 進数バージョンを使用することを推奨します。たとえば、Management Center の IP アドレスが 10.1.1.77 である場合、0a01014D0 を使用します。

  さらに、SNMP アクセスのアクセス リストを、Management Center が SNMP アラートを送信する特定のホストに制限する必要もあります。（このオプションは、[System] > [Configuration] > [Access List] の Management Center Web インターフェイスに表示されます。『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Configure an Access List」を参照してください。

  Management Center は、SNMP ポーリングもサポートしています。この機能を保護するには、「セキュアな SNMP ポーリング」を参照してください。

重要	Firepower から SNMP サーバまたは SMTP サーバへのセキュアな接続を設定することはできますが、認証モジュールは FIPS に準拠していません。

外部アラートの全詳細については、『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「External Alerting with Alert Response」を参照してください。

Management Center は、[システム（System）] > [設定（Configuration）] > [監査ログ（Audit Log）] を使用して設定されたユーザ アクティビティの読み取り専用ログを保持します。Management Center のメモリ リソースを節約するため、これらのログを外部（Syslog または HTTP サーバーへのストリーミング）で保存することもできます。ただし、この方法では、TLS を有効にし、TLS 証明書を使用して相互認証を確立することによって、監査ログストリーミングのチャネルを保護しない限り、セキュリティリスクが生じる可能性があります。詳細については、『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Securely Stream Audit Logs」を参照してください。

Event Streamer（eStreamer）を使用すると、Management Center からの数種類のイベント データを、カスタム開発されたクライアント アプリケーションにストリーム配信できます。詳細については、ご使用のバージョンの『Firepower eStreamer Integration Guide』を参照してください。組織が eStreamer クライアントの作成と使用を選択した場合、次の予防措置を講じてください。

• セキュリティに関する業界のベスト プラクティスを使用してアプリケーションを開発する

• データが安全に送信されるように、Management Center と eStreamer クライアント間の接続を設定します。この設定は、[統合（Integrations）] > [その他の統合（Other Integrations）] > [eStreamer] > [クライアントの作成（Create Client）] の Management Center Web インターフェイスで、eStreamer クライアントを実行中のホストとの接続を保護する証明書ファイルを暗号化するためのパスワードを指定することによって実行します。詳細については、『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Configuring eStreamer Client Communications」を参照してください。

より長い保持期間でストレージを増やすために、ファイアウォール イベント データを保存するように Cisco Security Analytics and Logging（オンプレミス）を設定できます。

Management Center から Cisco Secure Network Analytics Manager へのクエリは、TLS 暗号化接続を介して行われます。デフォルトでは、Security Analytics and Logging は、FMC が自動的にダウンロードできる自己署名証明書を使用します。Security Analytics and Logging への接続を保護するため、次の点を推奨します。

• 安全なチャネルを使用して証明書を手動で転送し、Management Center にアップロードしてください。

• 世界的に知られていて信頼できる証明機関が生成した証明書を使用してください。

イベントは、syslog を使用して Cisco Security Analytics and Logging（オンプレミス）に送信されます。syslog 機能を設定するときは、安全なオプションを選択してください。

サードパーティのクライアント アプリケーションが Management Center データベースにアクセスできないことを確認します。Management Center Web インターフェイスの [システム（System）] > [設定（Configuration）] > [外部データベースアクセス（External Database Access）] で、[外部データベースアクセスの許可（Allow External Database Access）] チェックボックスがオフになっていることを確認します。詳細については、『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「External Database Access Settings」を参照してください。

システム ログイン ページは、Management Center へのアクセスが許可されているユーザーと許可されていないユーザーの両方に表示される可能性があります。ログイン バナーをカスタマイズして、誰が見ても差し支えない情報のみが表示されるようにします。Management Center Web インターフェイスで、[システム（System）] > [設定（Configuration）] > [ログインバナー（Login Banner）] を使用します。詳細については、『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Login Banners」を参照してください。

Firepower アイデンティティ ポリシーは、アイデンティティソースを使用してネットワーク ユーザーを認証し、ユーザーを認識し制御する目的でユーザー データを収集します。ユーザ アイデンティティ ソースを確立するには、 Management Center または管理対象デバイスと、次のいずれかのタイプのサーバとの間の接続が必要です。

• Microsoft Active Directory

• Linux OpenLDAP

• RADIUS

重要	LDAP、Microsoft AD、または RADIUS サーバへのセキュアな接続を Firepower から設定できますが、認証モジュールは FIPS に準拠していません。

（注）	外部認証に LDAP または Microsoft AD を使用する場合は、「外部ユーザ アカウントの強化」の情報を確認してください。

（注）	Firepower はこれらの各サーバを使用して、ユーザ アイデンティティ機能の候補のさまざまな組み合わせをサポートします。詳細については、『』、『』、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「About User Identity Sources」を参照してください。

（注）	Firepower は、RADIUS サーバを使用してネットワークに VPN 機能を提供することもできます。詳細については、『』、『』、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「VPN Overview」を参照してください。

Active Directory サーバーおよび LDAP サーバーとの接続の保護

Firepower には「レルム」と呼ばれるオブジェクトがあります。レルムは、Active Directory サーバーまたは LDAP サーバー上のドメインに関連付けられている接続設定を記述するものです。レルム設定の詳細については、『』、『』、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「Create and Manage Realms」を参照してください。

（Management Center Web インターフェイスの [統合（Integration）] > [その他の統合（Other Integrations）] > [レルム（Realms）] で）レルムを作成する場合は、AD サーバーまたは LDAP サーバーとの接続を保護するため、次の点に注意してください。

Active Directory サーバーに関連付けられるレルムの場合：

• [AD 参加パスワード（AD Join Password）] と [ディレクトリ パスワード（Directory Password）] で強力なパスワードを選択します。

• Active Directory レルムにディレクトリを追加する際に次のようにします。

  • [暗号化（Encryption）] モードとして [STARTTLS] または [LDAPS] を選択します（[なし（None）] は選択しないでください）。

  • Active Directory ドメイン コントローラへの認証に使用する [SSL 証明書（SSL Certificate）] を指定します。世界的に知られていて信頼できる認証局が生成した証明書を使用することをお勧めします。

LDAP サーバーに関連付けられるレルムの場合：

• [ディレクトリ パスワード（Directory Password）] で強力なパスワードを選択します。

• LDAP レルムにディレクトリを追加する際に次のようにします。

  • [暗号化（Encryption）] モードとして [STARTTLS] または [LDAPS] を選択します（[なし（None）] は選択しないでください）。

  • LDAP サーバーへの認証に使用する [SSL 証明書（SSL Certificate）] を指定します。世界的に知られていて信頼できる認証局が生成した証明書を使用することをお勧めします。

RADIUS サーバーとの接続の保護

RADIUS サーバとの接続を設定するには、Management Center Web インターフェイスの [オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [RADIUS サーバ グループ（RADIUS Server Group）] で RADIUS サーバ グループ オブジェクトを作成し、そのグループに RADIUS サーバを追加します。RADIUS サーバとの接続を保護するには、[新しい RADIUS サーバ（New RADIUS Server）] ダイアログで次のオプションを選択します。

• 管理対象デバイスと RADIUS サーバ間でデータを暗号化するための [キー（Key）] と [キーの確認（Confirm Key）] を指定します。

• セキュアなデータ送信をサポートできる接続用のインターフェイスを指定します。

Enrollment over Secure Transport（EST）を使用した証明書登録の設定

安全なチャネルを介した Threat Defense の証明書登録を設定できます。Enrollment over Secure Transport（EST）は、CA から ID 証明書を取得するためにデバイスによって使用されます。EST は、セキュアなメッセージ転送に TLS を使用します。

EST の設定方法：

1. [オブジェクト（Objects）] > [オブジェクト管理（Object Management）] を選択し、ナビゲーションウィンドウから [PKI] > [証明書登録（Cert Enrollment）] を選択します。

2. [証明書登録の追加（Add Cert Enrollment）] をクリックし、[CA情報（CA Information）] タブをクリックします。

3. [登録タイプ（Enrollment Type）] ドロップダウンリストから、[EST] を選択します。

Threat Defense に EST サーバー証明書を検証させたくない場合は、[ESTサーバー証明書の検証を無視する（Ignore EST Server Certificate Validations）] チェックボックスをオンにしないことをお勧めします。デフォルトでは、Threat Defense は EST サーバー証明書を検証します。EST 登録タイプは、RSA キーと ECDSA キーのみをサポートし、EdDSA キーをサポートしません。詳細については、『』、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「Certificate Enrollment Object EST Options」を参照してください。

Management Center と Threat Defense のバージョン 7.0 以降では、RSA キーサイズが 2048 ビット未満の証明書と、SHA-1 を使用するキーは登録できません。7.0 より前のバージョンを実行している Threat Defense を管理する Management Center 7.0 で該当する制限をオーバーライドするには、[Weak-Cryptoの有効化（Enable Weak-Crypto）] オプションを使用できます（[デバイス（Devices）] > [証明書（Certificates）]）。 デフォルトでは、Weak-Crypto オプションは無効になっています。weak-crypto キーを有効にすることは推奨しません。weak-crypto キーは、キーサイズが大きいキーほど安全ではないためです。FMC および FTD バージョン 7.0 以降では、weak-crypto を有効にして、ピア証明書の検証などを可能にすることができます。ただし、この設定は証明書の登録には適用されません。

証明書の検証の設定

特定の CA 証明書を使用して SSL や IPSec クライアントを検証したり、CA 証明書を使用して SSL サーバーからの接続を検証したりできます。検証使用法の種類を設定する方法：

1. [オブジェクト（Objects）] > [オブジェクト管理（Object Management）] を選択し、ナビゲーションウィンドウから [PKI] > [証明書登録（Cert Enrollment）] を選択します。

2. [証明書登録の追加（Add Cert Enrollment）] をクリックし、[CA情報（CA Information）] タブをクリックします。

3. [検証用法（Validation Usage）] ：VPN 接続中に証明書を検証するオプションから選択します。

   • [IPsecクライアント（IPsec Client）]：サイト間 VPN 接続の IPSec クライアント証明書を検証します。

   • [SSLクライアント（SSL Client）]：リモートアクセス VPN 接続の試行中に SSL クライアント証明書を検証します。

   • [SSLサーバー（SSL Server）]：Cisco Umbrella サーバー証明書など、SSL サーバー証明書を検証する場合に選択します。

動作中、Threat Defense デバイスは、アクセスルールで使用されるネットワークオブジェクトまたはインターフェイス オブジェクトの内容に基づいて、アクセス制御ルールを複数のアクセス制御リストのエントリに展開します。オブジェクトグループ検索を有効にすることで、アクセス制御ルールの検索に必要なメモリを抑えることができます（[デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイス（Device）] > [詳細設定（Advanced Settings）]）。オブジェクトグループ検索を有効にした場合、システムによってネットワークオブジェクトまたはインターフェイスオブジェクトは拡張されませんが、オブジェクトグループの定義に基づいて一致するアクセスルールが検索されます。

オブジェクトグループ検索では、ルールルックアップのパフォーマンスが低下して、CPU 使用率が増大する可能性があることに注意してください。CPU に対する影響と、特定のアクセス コントロール ポリシーに関するメモリ要件の軽減とのバランスをとる必要があります。1000 シリーズ、2110、2120 などのローエンドの Firepower デバイスでは、CPU 使用率の増大によりデバイスが遅くなります。ほとんどの場合、オブジェクトグループ検索を有効にすると、ネット運用が改善されます。デフォルトでは、オブジェクトグループ検索の設定が有効になっています。

オブジェクトグループの検索を有効にしてから、デバイスを設定し、しばらくの間操作した場合、この機能を無効にすると、望ましくない結果になる可能性があります。オブジェクトグループの検索を無効にすると、既存のアクセス制御ルールがデバイスの実行コンフィギュレーションで拡張されます。デバイスで使用可能なメモリよりも多くのメモリが拡張に必要な場合、デバイスが不整合状態になり、パフォーマンスに影響する可能性があります。デバイスが正常に動作している場合は、一度有効にしたオブジェクトグループ検索を無効にしないでください。詳細については、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「Configure Object Group Search」を参照してください。

Management Center ソフトウェアは、基盤となる複雑なファームウェアとオペレーティング システム ソフトウェアに依存しています。これらの基盤となるソフトウェア コンポーネントには独自のセキュリティ リスクが潜んでおり、対処する必要があります。

• セキュリティ上の問題を考慮した、ネットワークの運用セキュリティ プロセスを確立してください。

• Management Center モデル 1000、1600、2000、2500、2600、4000、4500、および 4600 の場合、 Management Center ソフトウェアの基盤となるハードウェア デバイスのコンポーネントを強化するには、『Cisco UCS Hardening Guide』を参照してください。