お客様の組織が、米国国防総省や他の政府/自治体認定組織によって確立されたセキュリティ基準に従う機器とソフトウェアだけを使用することを求められる場合があります。該当する認定当局による認定を受けた後、認定に固有のガイダンス文書に従って設定を行うことで、Firewall Threat Defense デバイスは次の認定基準に準拠するようになります。

• コモンクライテリア（CC）：国際コモンクライテリア承認アレンジメントによって確立された、セキュリティ製品の要件を定義するグローバル標準規格

• Department of Defense Information Network Approved Products List（DoDIN APL）：米国国防情報システム局（DISA）によって制定された、セキュリティ要件を満たす製品のリスト

  （注）	米国政府は、Unified Capabilities Approved Products List（UCAPL）の名称を DoDIN APL に変更しました。Management Center のドキュメントおよび Web インターフェイスでの UCAPL の参照は、DoDIN APL への参照として解釈できます。

• 連邦情報処理標準（FIPS）140：暗号化モジュールの要件に関する規定

認定ガイダンス文書は、製品認定が完了すると個別に入手できます。この強化ガイドの公開によってこれらの製品認定の完了が保証されるわけではありません。

このドキュメントで説明している設定は、認定機関が定める現在のすべての要件を厳密に遵守することを保証するものではありません。必要な強化手順の詳細については、認定機関から提供される本製品に関するガイドラインを参照してください。

このドキュメントでは、Firewall Management Center のセキュリティを強化するためのガイダンスを説明していますが、Firewall Management Center の一部の機能については、ここで説明している設定を行っても認定準拠がサポートされません。詳細については、『Cisco Secure Firewall Management Center アドミニストレーション ガイド』の「セキュリティ認定準拠の推奨事項」を参照してください。シスコでは、この強化ガイドと『Cisco Secure Firewall Management Center アドミニストレーション ガイド』の内容が認定固有のガイダンスと矛盾を起こさないように努めました。シスコのドキュメントと認定ガイダンスとの間で不一致がある場合は、認定ガイダンスを使用するか、システムの所有者にお問い合わせください。

シスコでは、問題に対処し改善を行うために、ソフトウェアアップデートを定期的にリリースしています。システム ソフトウェアを最新の状態に保つことは、強化されたシステムを維持するうえで不可欠です。システムソフトウェアが適切にアップデートされていることを確認してください。詳細については、『Cisco Secure Firewall Management Center アドミニストレーション ガイド』の「アップデート」の章、および『Secure Firewall Management Center アップグレードガイド』を参照してください。

また、シスコでは、ネットワークと資産を保護するために使用するデータベースのアップデートも定期的に発行しています。最適な保護を実現するため、位置情報データベース、侵入ルール データベース、および脆弱性データベースを最新の状態に維持してください。デプロイメントのいずれかのコンポーネントを更新する前に、更新プログラムに付属の『Cisco Secure Firewall Threat Defense リリースノート』を必ずお読みください。これらは、互換性、前提条件、新機能、動作の変更、警告など、重要かつリリースに固有の情報を提供します。アップデートによってはサイズが大きくなり、完了までに時間がかかる場合があります。システムパフォーマンスへの影響を軽減するため、これらのアップデートはネットワークの使用量が少ない時間帯に行ってください。

位置情報データベース

地理位置情報データベース（GeoDB）には、国や都市の座標などの地理データが含まれています。Management Center が、検出された IP アドレスと一致する GeoDB 情報を検出した場合、その IP アドレスに関連付けられている地理位置情報を表示できます。

Management Center Web インターフェイスから GeoDB を更新するには、[管理（Administration）] > [アップグレードと更新（Upgrades & updates）] > [コンテンツの更新（Content Updates）] > [地理位置情報の更新（Geolocation Updates）] を使用します。次の操作を実行できます。

• インターネットにアクセスせずに Firewall Management Center で GeoDB を更新します。

• インターネットにアクセスし、Firewall Management Center で GeoDB を更新します。

• インターネットにアクセスし、Firewall Management Center で GeoDB の定期的な自動更新をスケジュールします。

詳細については、「Cisco Secure Firewall Management Center アドミニストレーション ガイド」の「ジオロケーションデータベースの更新」を参照してください。

侵入ルール

新たな脆弱性が明らかになると、Cisco Talos Security Intelligence and Research Group（Talos）から侵入ルールの更新がリリースされます。これらの更アップデートを Firewall Management Center にインポートして、変更後の設定を管理対象デバイスに導入することで、侵入ルールの更新を実装できます。それらの更新は、侵入ルール、プリプロセッサ ルール、およびルールを使用するポリシーに影響を及ぼします。

Firewall Management Center Web インターフェイスでは、侵入ルールを更新するための 3 つのアプローチが提供されており、すべて [管理（Administration）] > [アップグレードと更新（Upgrades & updates）] > [コンテンツの更新（Content Updates）] > [ルールの更新（Rule Updates）] で使用できます。

• インターネットにアクセスできない Firewall Management Center の侵入ルールを更新します。

• インターネットにアクセスできる Management CenterFirewall Management Center の侵入ルールを更新します。

• インターネットにアクセスできる Firewall Management Center の侵入ルールの定期的な自動更新をスケジュールします。

詳細については、「Cisco Secure Firewall Management Center アドミニストレーション ガイド」の「侵入ルールの更新」を参照してください。

また、[管理（Administration）] > [アップグレードと更新（Upgrades & updates）] > [コンテンツの更新（Content Updates）] > [ルールの更新（Rule Updates）] を使用してローカル侵入ルールをインポートすることもできます。Snort ユーザ マニュアル（http://www.snort.org で入手可能）の指示に従って、ローカル侵入ルールを作成することができます。これらを Management Center にインポートする前に、『Cisco Secure Firewall Management Center アドミニストレーション ガイド』の「ローカル侵入ルールのインポートに関するガイドライン」を参照して、ローカル侵入ルールのインポートプロセスが組織のセキュリティポリシーに準拠するようにしてください。

脆弱性データベース

脆弱性データベース（VDB）は、ホストが影響を受ける可能性がある既知の脆弱性、およびオペレーティングシステム、クライアント、アプリケーションのフィンガープリントを格納するデータベースです。システムでは、VDB を使用して、特定のホストで感染のリスクが高まるかどうかを判断します。

Management Center の Web インターフェイスでは、VDB を更新するための2つのアプローチが提供されています。

• VDB（[管理（Administration）] > [アップグレードと更新（Upgrades & updates）] > [コンテンツの更新（Content Updates）] > [VDBの更新（VDB Updates）]）を手動で更新します。

• VDB の更新（[管理（Administration）] > [詳細設定（Advanced）] > [スケジューリング（Scheduling）]）をスケジュールします。

詳細については、「Cisco Secure Firewall Management Center アドミニストレーション ガイド」の「脆弱性データベースの更新」を参照してください。

セキュリティ インテリジェンスのリストとフィード

セキュリティ インテリジェンスのリストとフィードは、リストまたはフィードのエントリに一致するトラフィックをすばやくフィルタリングするために使用できる IP アドレス、ドメイン名、および URL のコレクションです。

システム提供のフィードと、事前定義されたリストがあります。カスタムフィードとリストを使用することもできます。これらのリストとフィードを表示するには、[オブジェクト（Objects）] > [セキュリティ インテリジェンス（Security Intelligence ）] を選択します。システム提供のフィードの一部として、シスコはセキュリティ インテリジェンス オブジェクトとして次のフィードを提供しています。

• セキュリティ インテリジェンス フィードは、Talos の最新の脅威インテリジェンスで定期的に更新されます。

  • Cisco-DNS-and-URL-Intelligence-Feed（[DNS Lists and Feeds] の下）

  • Cisco-Intelligence-Feed（IPアドレス用、[Network Lists and Feeds] の下）

  システムが提供するフィードは削除できませんが、更新頻度を変更（または無効に設定）できます。Management Center は、5 分または 15 分ごとに Cisco-Intelligence-Feed データを更新できるようになりました。

• Cisco-TID-Feed（[Network Lists and Feeds] の下）

  TID 監視可能データのコレクションであるこのフィードを使用するには、Threat Intelligence Director を有効にして設定する必要があります。

詳細については、『Cisco Secure Firewall Management Center デバイス設定ガイド』の「カスタム セキュリティ インテリジェンスのリストとフィード」を参照してください。

1 つの設定で複数の強化設定変更を適用するには、Firewall Management Center の CC または UCAPL モードを選択します。この設定は、Firewall Management Center Web インターフェイスの [管理（Administration）] > [設定（Configuration）] > [UCAPL/CC遵守（UCAPL/CC Compliance）] の下に表示されます。

これらの設定オプションの 1 つを選択すると、『Cisco Secure Firewall Management Center アドミニストレーション ガイド』の「セキュリティ認定準拠の特性」に記載されている変更が有効になります。Secure Firewall 展開内のアプライアンスはすべて、同じセキュリティ証明書コンプライアンスモードで動作する必要があることに注意してください。

注意	この設定を有効にした後に無効にすることはできません。CC または UCAPL モードを有効にする前に、詳細について『Cisco Secure Firewall Management Center アドミニストレーション ガイド』の「セキュリティ認定準拠」で確認してください。この設定を元に戻す必要が生じた場合は、Cisco TAC にご連絡ください。

（注）	セキュリティ認定準拠を有効にしても、選択したセキュリティ モードのすべての要件への厳密な準拠が保証されるわけではありません。このドキュメントでは、CC または UCAPL モードで提供されるものを超えて展開を強化するために推奨されるその他の設定について説明します。完全準拠に必要な強化手順の詳細については、認定機関から提供される本製品に関するガイドラインを参照してください。

Cisco Secure Firewall の導入では、さまざまな目的で他のネットワークリソースとやり取りする場合があります。これらの他のサービスを強化することで、Cisco Secure Firewall システムだけでなくネットワーク資産のすべてを保護できます。対処する必要があるすべてのものを特定するには、ネットワークとそのコンポーネント、資産、ファイアウォール設定、ポート設定、データ フロー、およびブリッジング ポイントを図式化することを試みてください。

セキュリティ上の問題を考慮した、ネットワークの運用セキュリティ プロセスを確立し、遵守します。

内部および外部ユーザー

Firewall Management Center は次の 2 種類のユーザーをサポートしています。

• 内部ユーザー：システムは、ローカル データベースでユーザー認証を確認します。

• 外部ユーザー：ユーザーがローカルデータベースに存在しない場合は、システムは外部 LDAP または RADIUS の認証サーバーにクエリします。

ユーザー管理をネットワーク環境の既存のインフラストラクチャと統合したり、二要素認証などの機能を活用したりする目的で、LDAP や RADIUS などの外部認証メカニズムを使用したユーザー アクセスの確立を検討する場合があります。外部認証を確立するには、Firewall Management Center Web インターフェイスの中で外部認証オブジェクトを作成する必要があります。外部認証オブジェクトを共有して、管理対象デバイスだけでなく Firewall Management Center でも外部ユーザを認証できます。

ユーザー アクセスのタイプ

Firewall Management Center は次の 2 種類のユーザー アクセスをサポートしています。

• Web インターフェイス (HTTP) ：内部と外部の両方のユーザーアカウントで使用できます。

• SSH、シリアル、またはキーボード／モニタ接続を使用したコマンドラインアクセス：CLI/シェルアクセス権を持つ管理者アカウントで利用でき、外部ユーザーにも提供できます。

Firewall Management Center では、アクセス リストを使用して、IP アドレスとポートを基準にシステムへのアクセスを制限できます。デフォルトでは、任意の IP アドレスに対して以下のポートが有効化されています。

• 443（HTTPS）：Web インターフェイス アクセスに使用されます。

• 22（SSH）：CLI/シェル アクセスに使用されます。

さらに、ポート 161 で SNMP 情報をポーリングするためのアクセスも追加できます。

重要	Firewall Management Center から SNMP サーバーへのセキュアな接続を設定することはできますが、認証モジュールは FIPS に準拠していません。

修復は、 Firewall Management Center システムが相関ポリシー違反に応じて起動するプログラムです。Firewall Management Center では複数のタイプの修復を設定できますが、どのタイプの場合も、Firewall Management Center と外部のエンティティが安全ではない方法で通信する必要があります。このため、強化された Firewall Management Center で修復を使用するように設定しないことをお勧めします。詳細については、『Cisco Secure Firewall Management Center アドミニストレーション ガイド』の「修復」を参照してください。

クライアントとサーバーの両方の HTTPS 証明書を使用して、Web インターフェイスを実行しているブラウザと Firewall Management Center の間の接続を保護することにより、Firewall Management Center とローカルコンピュータの間で送信される情報を保護します。Firewall Management Center ではデフォルトの自己署名証明書が使用されますが、世界的に知られていて信頼できる認証局が生成した証明書に置き換えることをお勧めします。

Firewall Management Center の HTTPS 証明書を設定するには、Firewall Management Center Web インターフェイスの [管理（Administration）] > [設定（Configuration）] > [HTTPS証明書（HTTPS Certificate）] を使用します。「Cisco Secure Firewall Management Center アドミニストレーション ガイド」の「HTTPS 証明書」を参照してください。

アクセス コントロール ポリシーをロックして、他の管理者が編集できないようにすることができます。ポリシーをロックすると、変更を保存する前に別の管理者がポリシーを編集して変更を保存しても、変更が無効になることはありません。ロックしない場合、複数の管理者がポリシーを同時に編集すると、最初に変更を保存したユーザーが他の全ユーザーの変更を上書きします。このロックはアクセス コントロール ポリシー用であり、ポリシーで使用されるオブジェクトには適用されません。ロックすると、他の管理者にはポリシーへの読み取り専用アクセス権が付与されます。ただし、他の管理者は、ロックされたポリシーを管理対象デバイスに割り当てることができます。ポリシーを編集する際に、アクセス コントロール ポリシーをロックすることをお勧めします。

1. [ポリシー（Policies）] > [セキュリティポリシー（Security policies）] > [アクセス制御（Access Control）]を選択します。

2. ロックまたはロック解除するアクセス コントロール ポリシーの横にある編集アイコンをクリックします。

3. ポリシー名の横にあるロックアイコンをクリックして、ポリシーをロックまたはロック解除します。

他の管理者によってロックされているポリシーのロックを解除するには、[ポリシー（Policies）] > [セキュリティポリシー（Security policies）] > [アクセス制御（Access Control）] の権限を更新して、[アクセス コントロール ポリシー（Access Control Policy）]をクリックする必要があります。次に、[アクセス コントロール ポリシーの変更（Modify Access Control Policy）] > [アクセス コントロール ポリシー ロックの上書き（Override Access Control Policy Lock）] の順にクリックします。デフォルトでは、管理ユーザーロールに対してこの権限が有効になります。この権限を有効にしないことを推奨します。詳細については、『Cisco Secure Firewall Management Center デバイス設定ガイド』の「アクセス コントロール ポリシーのロック」を参照してください。

システム データとその可用性を保護するため、Firewall Management Center の定期的なバックアップを実行してください。バックアップ機能は、Firewall Management Center Web インターフェイスの [管理（Administration）] > [詳細設定（Advanced）] > [バックアップと復元（Backup & Restore）] の下に表示されます。詳細については、Cisco Secure Firewall Management Center アドミニストレーション ガイド の「Firewall Management Center のバックアップ」を参照してください。

Firewall Management Center は、リモート デバイスにバックアップを自動的に保存する機能を備えています。強化システムでこの機能を使用することはお勧めできません。Firewall Management Center とリモート ストレージ デバイス間の接続を保護できないためです。

アップグレード後 30 日以内に Threat Defense が攻撃に対して脆弱であることがわかった場合は、アップグレード中に復元スナップショットを保存してあれば復元できます（推奨）。Firewall Threat Defense を復元すると、ソフトウェアは、最後のメジャーアップグレードまたはメンテナンスアップグレードの直前の状態に戻ります。パッチ適用後に復元すると、パッチも必然的に削除されます。

復元される設定と復元されない設定、高可用性デバイスおよびクラスター化デバイスを復元するためのガイドライン、追加の要件などの復元の詳細については、Firewall Management Center で現在実行されているバージョンのアップグレードガイドを参照してください。

Firewall Management Center は、さまざまなシステム設定（ポリシー、カスタムテーブル、レポートテンプレートなど）をファイルにエクスポートする機能を備えています。これらの設定は、同じバージョンを実行している別の Firewall Management Center にインポートできます。これは、環境に新しいアプライアンスを追加する管理者のための時間節約になる機能ですが、セキュリティ違反を防ぐためには慎重に使用する必要があります。エクスポート/インポート機能を使用する場合は、次の注意事項に留意してください。

• 転送される設定情報を保護するため、Firewall Management Center と Web ブラウザ間の通信を保護します。Firewall Management Center と Web ブラウザの間のセキュア通信を参照してください。

• エクスポートされた設定ファイルが保存されているローカル コンピュータへのアクセスを保護します。このファイルを保護することは、展開環境のセキュリティにとって重要です。

• 秘密キーを含む PKI オブジェクトを使用する設定をエクスポートすると、エクスポートの前に秘密キーが復号されることに注意してください。エクスポートされた秘密キーはクリア テキストで保存されます。インポート時に、キーはランダムに生成されたキーで暗号化されます。

設定のエクスポートとインポートの機能は、Firewall Management Center Web インターフェイスの [管理（Administration）] > [詳細設定（Advanced）] > [インポートとエクスポート（Import & Export）] に表示されます。この機能の詳細については、『Cisco Secure Firewall Management Center アドミニストレーション ガイド』の「インポート/エクスポート」を参照してください。

展開によって Management Center と Threat Defense 間の管理接続がダウンした場合に備えて、設定の自動ロールバックを有効にできます。Management Center へのアクセスにデータインターフェイスを使用している状況で、データインターフェイスを誤って設定すると、展開の自動ロールバックが発生します。

[デバイス（Devices）] > [デバイス管理（Device Management）] を使用して自動ロールバック設定を有効にし、[編集（Edit）]（） をクリックすることを推奨します。次に、[デバイス（Device）] > [展開設定（Deployment Settings）]の順にクリックし、接続モニター間隔を設定します。自動ロールバックは、高可用性展開やクラスタリング展開、およびトランスペアレントモードではサポートされていません。詳細については、『Cisco Secure Firewall Management Center デバイス設定ガイド』の「展開設定の編集」を参照してください。

Firewall Management Center にはいくつかのタイプのレポートが用意されています。これらすべてには、権限のない人によるアクセスから保護する必要がある機密情報が含まれています。すべてのレポートタイプは、Firewall Management Center からローカルコンピュータに暗号化されていない形式でダウンロードできます。転送される情報を保護するため、レポートをダウンロードする前に、Firewall Management Center と Web ブラウザ間の通信を保護します。Firewall Management Center と Web ブラウザの間のセキュア通信 を参照してください。）さらに、レポートが保存されているローカル コンピュータへのアクセスを保護します。

• 標準レポートは、システムの全側面に関する詳細でカスタマイズ可能なレポートで、HTML、CSV、PDF 形式で入手できます。リスク レポートは、組織で検出されたリスクの概要を HTML 形式で示します。

  Firewall Management Center Web インターフェイスでは、標準レポートとリスクレポートの両方が [インサイトとレポート（Insights & Reports）] > [レポート作成（Reporting）] > [レポート（Reports）] に表示されます。これらのレポートには、ローカルダウンロードに加えて 2 つの保存オプションがあり、それぞれにセキュリティリスクが伴います。

  • レポートを選択したサーバに電子メールで自動送信できます。電子メールを保護できないため、強化されたシステムでこの機能を使用することはお勧めしません。

  • レポートをリモート デバイスに自動保存できます。Firewall Management Center とリモートストレージデバイス間の接続を保護できないため、強化されたシステムにこの機能を使用することはお勧めしません。

  標準レポートおよびリスクレポートの設計および生成の詳細については、『Cisco Secure Firewall Management Center アドミニストレーション ガイド』の「レポート」を参照してください。

• トラブルシューティングのヘルス モニタ レポートには、システムに問題が発生した場合の診断に Cisco TAC が使用できる情報が含まれています。Firewall Management Center Web インターフェイスからこれらのレポートを生成するには、[トラブルシューティング（Troubleshooting）] > [ヘルス（Health）] > [モニター（Monitor）] を使用して、『Cisco Secure Firewall Management Center アドミニストレーション ガイド』の「トラブルシューティング用のヘルスモニタリングレポート」の手順を実行します。Firewall Management Center は、.tar および .gz 形式のトラブルシューティングファイルを生成します。

• ポリシー レポートは、現在保存されているポリシーの設定についての詳細を示す PDF ファイルです。レポートをサポートするポリシーの全リストについては、『Cisco Secure Firewall Management Center アドミニストレーション ガイド』の「現在のポリシーレポートの生成」を参照してください。

• 比較レポートを使用して、組織の標準規格への準拠やシステム パフォーマンスの最適化を目的としたポリシー変更を確認できます。2 つのポリシーの相違点や、保存されたポリシーと実行コンフィギュレーションの相違点を調べることができます。比較レポート（PDF 形式のみで入手可能）を生成するには、比較するポリシー タイプの管理ページにアクセスし、[ポリシーの比較（Compare Policies）] を選択します。『Cisco Secure Firewall Management Center デバイス設定ガイド』の「ポリシーの比較」を参照してください。

選択したイベントが発生したときに、外部サーバーへのアラート応答と呼ばれる通知を発行するように Firewall Management Center を設定できます。これらのアラートは、システムアクティビティのモニタリングに役立つ可能性がありますが、外部サーバーへの接続を保護できない場合、セキュリティリスクが生じる可能性があります。

Firewall Management Center は、次の 3 つの形式でアラート応答の送信をサポートします。

• Syslog に送信されるアラート応答を保護することはできません。Firewall Management Center Web インターフェイスで [管理（Administration）] > [アラート（Alerts）] を選択し、[アラートの作成（Create Alert）] ˃ [Syslog アラートを作成（Create Syslog Alert）] をクリックします。強化された環境でこのようなアラートを送信するように Firewall Management Center を設定することは推奨されません。

• メール リレー ホストとの接続に暗号化（TLS または SSLv3）を使用し、ユーザー名とパスワードを要求するように設定することで、Firewall Management Center が電子メールで外部サーバーに送信する情報を保護することができます。これは [管理（Administration）] > [設定（Configuration）] > [Eメール通知（Email Notification）] を使用して Firewall Management Center Web インターフェイスで実行します。詳細については、「Cisco Secure Firewall Management Center アドミニストレーションガイド」の「メールリレーホストおよび通知アドレスの設定」を参照してください。

  メール リレー ホストとの接続を保護すると、Firewall Management Center が次の機能を使用して送信するデータが保護されます。

  • 電子メールアラート応答は、「Cisco Secure Firewall Management Center アドミニストレーション ガイド」の「電子メールアラート応答の作成」で説明されています。（この設定は [管理（Administration）] > [アラート（Alerts）] を使用して設定し、Firewall Management Center Web インターフェイスで [アラートの作成（Create Alert）] ˃ [電子メールアラートの作成（Create Email Alert）] をクリックします。）

  • データプルーニング通知は、「Cisco Secure Firewall Management Center アドミニストレーション ガイド」の「データベースイベント数の制限の設定」で説明されています。（この設定は、Firewall Management Center Web インターフェイスの [管理（Administration）] > [設定（Configuration）] > [データベース（Database）] の下でこの設定を構成します。）

• SNMP サーバーに送信されるアラートは、[管理（Administration）] > [アラート（Alerts）] で以下のオプションを使用し、Firewall Management Center Web インターフェイスで [アラートの作成（Create Alert）] ˃ [SNMPアラートの作成 （Create SNMP Alert）] をクリックすることで保護できます。

  • [バージョン（Version）] については SNMP v3 を選択します。このプロトコルは以下をサポートします。

    • SHA、SHA224、SHA256、SHA384 などの認証アルゴリズム。

    • AES256、AES192、および AES128 による暗号化。

    • 読み取り専用ユーザー。

  • 接続を保護する認証プロトコル（MD5 または SHA）を選択して、パスワードを入力します。

  • [プライバシープロトコル（Privacy Protocol）] として DES、AES、または AES128 を選択し、[パスワード（Password）] を入力します。キーが長いほど安全になりますが、パフォーマンスは低下します。

  • システムがメッセージのエンコードに使用するエンジン IDを指定します。Firewall Management Center の IP アドレスの 16 進数バージョンを使用することを推奨します。たとえば、Firewall Management Center の IP アドレスが 10.1.1.77 である場合、0a01014D0 を使用します。

  SNMP アクセスのアクセスリストを、Firewall Management Center が SNMP アラートを送信する特定のホストに制限する必要があります。[管理（Administration）] > [設定（Configuration）] > [アクセスリスト（Access List）]を選択します。「Cisco Secure Firewall Management Center アドミニストレーション ガイド」を参照してください。

  Firewall Management Center は、SNMP ポーリングもサポートしています。この機能を保護するには、セキュアな SNMP ポーリング を参照してください。

重要	Firewall Management Center から SNMP サーバーまたは SMTP サーバーへのセキュアな接続を設定することはできますが、認証モジュールは FIPS に準拠していません。

外部アラートの全詳細については、「Cisco Secure Firewall Management Center アドミニストレーション ガイド」の「アラートの応答を使用した外部アラート」を参照してください。

Firewall Management Center は、[イベントとログ（Events & Logs）] > [分析（Analysis）] > [監査ログ（Audit Logs）] を使用して設定されたユーザーアクティビティの読み取り専用ログを保持します。Firewall Management Center のメモリ リソースを節約するため、これらのログを外部（Syslog または HTTP サーバーへのストリーミング）で保存することもできます。ただし、この方法では、TLS を有効にし、TLS 証明書を使用して相互認証を確立することによって、監査ログストリーミングのチャネルを保護しない限り、セキュリティリスクが生じる可能性があります。詳細については、『Cisco Secure Firewall Management Center アドミニストレーション ガイド』の「監査ログのセキュアなストリーミング」を参照してください。

Event Streamer（eStreamer）を使用すると、Firewall Management Center からの数種類のイベント データを、カスタム開発されたクライアント アプリケーションにストリーム配信できます。詳細については、ご使用のバージョンの『Secure Firewall eStreamer 統合ガイド』を参照してください。組織が eStreamer クライアントの作成と使用を選択した場合、次の予防措置を講じてください。

• セキュリティに関する業界のベストプラクティスを使用してアプリケーションを開発する

• データが安全に送信されるように、Firewall Management Center と eStreamer クライアント間の接続を設定します。[統合（Integrations）] > [+さらに表示（+ Show more）] > [eStreamer] の順に選択し、eStreamer クライアントを実行するホストとの接続を保護する証明書ファイルを暗号化するためのパスワードを指定して、[クライアントの作成（Create Client）] をクリックします。詳細については、『Cisco Secure Firewall Management Center アドミニストレーション ガイド』の「eStreamer クライアント通信の設定」を参照してください。

より長い保持期間でストレージを増やすために、Firewall Management Center イベントデータを保存するように Cisco Security Analytics and Logging（オンプレミス）を設定できます。

から Firewall Management Center Cisco Secure Network Analytics Manager へのクエリは、TLS 暗号化接続を介して行われます。デフォルトでは、Security Analytics and Logging は、Firewall Management Center が自動的にダウンロードできる自己署名証明書を使用します。Security Analytics and Logging への接続を保護するため、次の点を推奨します。

• 安全なチャネルを使用して証明書を手動で転送し、Firewall Management Center にアップロードしてください。

• 世界的に知られていて信頼できる証明機関が生成した証明書を使用してください。

イベントは、syslog を使用して Cisco Security Analytics and Logging（オンプレミス）に送信されます。syslog 機能を設定するときは、安全なオプションを選択してください。

外部データベースアクセスのサポートが廃止されました。サードパーティのレポートツール、カスタムアプリケーション、および RunQuery などのシスコ提供ツールを使用して Firewall Management Center のデータベースにアクセスすることはできなくなりました。データベースアクセスを有効にし、関連ツールをダウンロードするオプションは、システム設定では使用できなくなりました。

外部データベースアクセス機能の廃止により、サードパーティのレポートツールやカスタムアプリケーションに関連する潜在的な攻撃経路が排除され、Firewall Management Center データベースの整合性が損なわれるリスクが低減され、セキュリティが大幅に強化されます。安全に導入するため、データベースへのアクセスおよびクエリはすべて Firewall Management Center の統合管理機能を通じて実行し、厳格な制御を維持するとともに脆弱性リスクを低減してください。

Firewall Management Center へのアクセスが許可されているかどうかにかかわらず、ユーザはシステムのログインページを表示できます。ログイン バナーをカスタマイズして、誰が見ても差し支えない情報のみが表示されるようにします。Firewall Management Center Web インターフェイスで、[管理（Administration）] > [設定（Configuration）] > [ログインバナー（Login Banner）] を選択します。詳細については、『Cisco Secure Firewall Management Center アドミニストレーション ガイド』の「ログインバナー」を参照してください。

Firewall Management Center ID ポリシーは、アイデンティティソースを使用してネットワークユーザーを認証し、ユーザーを認識し、制御する目的でユーザーデータを収集します。ユーザ アイデンティティ ソースを確立するには、 Firewall Management Center または管理対象デバイスと、次のいずれかのタイプのサーバとの間の接続が必要です。

• Microsoft Azure AD

• Microsoft Active Directory

• Linux OpenLDAP

• RADIUS

重要	LDAP、Microsoft AD、または RADIUS サーバーへのセキュアな接続を Firewall Management Center から設定できますが、認証モジュールは FIPS に準拠していません。

（注）	外部認証に LDAP または Microsoft AD を使用する場合は、「外部ユーザ アカウントの強化」の情報を確認してください。

（注）	Firewall Management Center は、これらの各サーバーを使用して、ユーザーアイデンティティ機能の候補のさまざまな組み合わせをサポートします。詳細については、『Cisco Secure Firewall Management Center デバイス設定ガイド』の「ユーザー アイデンティティ ソースについて」を参照してください。

（注）	Firewall Management Center は、RADIUS サーバーを使用してネットワークに VPN 機能を提供することもできます。詳細については、『Cisco Secure Firewall Management Center デバイス コンフィギュレーション ガイド 』の「VPN の概要」を参照してください。

Active Directory サーバーおよび LDAP サーバーとの接続の保護

Firewall Management Center オブジェクトは、レルムと呼ばれ、Active Directory または LDAP サーバー上のドメインに関連付けられている接続設定を記述します。詳細については、『Cisco Secure Firewall Management Center デバイス設定ガイド』の「レルム」の章を参照してください。

（Firewall Management Center Web インターフェイスの [統合（Integration）] > [その他の統合（Other Integration）] > [レルム（Realms）] で）レルムを作成する場合は、AD サーバーまたは LDAP サーバーとの接続を保護するため、次の点に注意してください。

Active Directory サーバーに関連付けられるレルムの場合：

• [AD 参加パスワード（AD Join Password）] と [ディレクトリ パスワード（Directory Password）] で強力なパスワードを選択します。

• Active Directory レルムにディレクトリを追加する際に次のようにします。

  • [暗号化（Encryption）] モードとして [STARTTLS] または [LDAPS] を選択します（[なし（None）] は選択しないでください）。

  • Active Directory ドメイン コントローラへの認証に使用する [SSL 証明書（SSL Certificate）] を指定します。世界的に知られていて信頼できる認証局が生成した証明書を使用することをお勧めします。

LDAP サーバーに関連付けられるレルムの場合：

• [ディレクトリ パスワード（Directory Password）] で強力なパスワードを選択します。

• LDAP レルムにディレクトリを追加する際に次のようにします。

  • [暗号化（Encryption）] モードとして [STARTTLS] または [LDAPS] を選択します（[なし（None）] は選択しないでください）。

  • LDAP サーバーへの認証に使用する [SSL 証明書（SSL Certificate）] を指定します。世界的に知られていて信頼できる認証局が生成した証明書を使用することをお勧めします。

RADIUS サーバーとの接続の保護

RADIUS サーバとの接続を設定するには、Firewall Management Center Web インターフェイスの [オブジェクト（Objects）] > [AAAサーバー（AAA Server）] > [RADIUSサーバーグループ（RADIUS Server Group）] で RADIUS サーバ グループ オブジェクトを作成し、そのグループに RADIUS サーバを追加します。RADIUS サーバとの接続を保護するには、[新しい RADIUS サーバ（New RADIUS Server）] ダイアログで次のオプションを選択します。

• 管理対象デバイスと RADIUS サーバ間でデータを暗号化するための [キー（Key）] と [キーの確認（Confirm Key）] を指定します。

• セキュアなデータ送信をサポートできる接続用のインターフェイスを指定します。

• Microsoft Azure AD

Enrollment over Secure Transport（EST）を使用した証明書登録の設定

安全なチャネルを介した Firewall Threat Defense の証明書登録を設定できます。Enrollment over Secure Transport（EST）は、CA から ID 証明書を取得するためにデバイスによって使用されます。EST は、セキュアなメッセージ転送に TLS を使用します。

EST の設定方法：

1. [オブジェクト（Objects）] > [PKI] > [証明書登録（Certificate Enrollment）]を選択します。

2. [Add Cert Enrollment] をクリックし、[CA Information] タブをクリックします。

3. [登録タイプ（Enrollment Type）] ドロップダウンリストから、[EST] を選択します。

Firewall Threat Defense によってEST サーバー証明書を検証しない場合は、[ESTサーバー証明書の検証を無視する（Ignore EST Server Certificate Validations）] チェックボックスをオンにしないことをお勧めします。デフォルトでは、Firewall Threat Defense は EST サーバー証明書を検証します。EST 登録タイプは、RSA キーと ECDSA キーのみをサポートし、EdDSA キーをサポートしません。詳細については、『Cisco Secure Firewall Management Center デバイス設定ガイド』の「証明書の登録オブジェクト EST オプション」を参照してください。

Firewall Management Center と Firewall Threat Defense では、RSA キーサイズが 2048 ビット未満の証明書と、SHA-1 を使用するキーは登録できません。これらの制限を上書きするには、[Weak-Cryptoを有効にする（Enable Weak-Crypto）] オプション ([デバイス（Devices）] > [証明書（Certificates）]) を使用できます。デフォルトでは、Weak-Crypto オプションは無効になっています。weak-crypto キーを有効にすることは推奨しません。weak-crypto キーは、キーサイズが大きいキーほど安全ではないためです。Weak-Crypto を有効にして、ピア証明書の検証などを可能にすることができます。ただし、この設定は証明書の登録には適用されません。

証明書の検証の設定

特定の CA 証明書を使用して SSL や IPSec クライアントを検証したり、CA 証明書を使用して SSL サーバーからの接続を検証したりできます。検証使用法の種類を設定する方法：

1. [オブジェクト（Objects）] > [PKI] > [証明書登録（Certificate Enrollment）]を選択します。

2. [Add Cert Enrollment] をクリックし、[CA Information] タブをクリックします。

3. [検証用法（Validation Usage）] ：VPN 接続中に証明書を検証するオプションから選択します。

   • [IPsecクライアント（IPsec Client）]：サイト間 VPN 接続の IPSec クライアント証明書を検証します。

   • [SSLクライアント（SSL Client）]：リモートアクセス VPN 接続の試行中に SSL クライアント証明書を検証します。

   • [SSLサーバー（SSL Server）]：Cisco Umbrella サーバー証明書など、SSL サーバー証明書を検証する場合に選択します。

Firewall Threat Defense デバイスは、アクセスルールで使用されるネットワークオブジェクトまたはインターフェイス オブジェクトの内容に基づいて、アクセス制御ルールを複数のアクセス制御リストのエントリに展開します。オブジェクトグループ検索を有効にすることで、アクセス制御ルールの検索に必要なメモリを抑えることができます（[デバイス（Devices）] > [デバイス管理（Device Management）]、[編集（Edit）]（） をクリック。次に、[デバイス（Device）] > [詳細設定（Advanced Settings）] の順にクリックします。オブジェクトグループ検索を有効にした場合、システムによってネットワークオブジェクトまたはインターフェイスオブジェクトは拡張されませんが、オブジェクトグループの定義に基づいて一致するアクセスルールが検索されます。

オブジェクトグループ検索では、ルールルックアップのパフォーマンスが低下して、CPU 使用率が増大する可能性があることに注意してください。CPU に対する影響と、特定のアクセス コントロール ポリシーに関するメモリ要件の軽減とのバランスをとる必要があります。1000 シリーズ、2110、2120 などのローエンドの Firepower デバイスでは、CPU 使用率の増大によりデバイスが遅くなります。ほとんどの場合、オブジェクトグループ検索を有効にすると、ネット運用が改善されます。デフォルトでは、オブジェクトグループ検索の設定が有効になっています。

オブジェクトグループの検索を有効にしてから、デバイスを設定し、しばらくの間操作した場合、この機能を無効にすると、望ましくない結果になる可能性があります。オブジェクトグループの検索を無効にすると、既存のアクセス制御ルールがデバイスの実行コンフィギュレーションで拡張されます。デバイスで使用可能なメモリよりも多くのメモリが拡張に必要な場合、デバイスが不整合状態になり、パフォーマンスに影響する可能性があります。デバイスが正常に動作している場合は、一度有効にしたオブジェクトグループ検索を無効にしないでください。詳細については、『Cisco Secure Firewall Management Center デバイス設定ガイド』の「オブジェクトグループ検索の構成」を参照してください。

Firewall Management Center ソフトウェアは、基盤となる複雑なファームウェアとオペレーティング システム ソフトウェアに依存しています。これらの基盤となるソフトウェア コンポーネントには独自のセキュリティ リスクが潜んでおり、対処する必要があります。

• セキュリティ上の問題を考慮した、ネットワークの運用セキュリティ プロセスを確立してください。

• Firewall Management Center モデル 1000、1600、2000、2500、2600、4000、4500、および 4600 の場合、 Firewall Management Center ソフトウェアの基盤となるハードウェア デバイスのコンポーネントを強化するには、『Cisco UCS 強化ガイド』を参照してください。