AsyncOS 12.7 for Cisco Web Security Appliances ユーザーガイド（限定導入）

システム管理の概要

S シリーズアプライアンスは、システム管理用の各種のツールを提供します。[システム管理（System Administration）] タブの機能は、以下のタスクの管理を支援します。

アプライアンスの設定
機能キー
ユーザーアカウントの追加、編集、および削除
AsyncOS ソフトウェアのアップグレードとアップデート
システム時刻

アプライアンス設定の保存、ロード、およびリセット

Web セキュリティアプライアンスのすべての設定は、1 つの XML コンフィギュレーションファイルで管理できます。

アプライアンス設定の表示と印刷
アプライアンス設定ファイルの保存
アプライアンス設定ファイルのロード
アプライアンス設定の出荷時デフォルトへのリセット

アプライアンス設定の表示と印刷

Procedure

Step 1	[システム管理（System Administration）] > [設定のサマリー（Configuration Summary）] を選択します。
Step 2	必要に応じて、[設定のサマリー（Configuration Summary）] ページを表示または印刷します。

アプライアンス設定ファイルの保存

Procedure

Step 1

[システム管理（System Administration）] > [設定ファイル（Configuration File）] を選択します。

Step 2

[設定ファイル（Configuration File）] のオプションを設定します。


オプション	説明
ファイル処理オプションの指定	生成された設定ファイルの処理方法を選択します。 [表示または保存するローカルコンピュータにファイルをダウンロード（Download file to local computer to view or save）] [ファイルをこのアプライアンス（wsa_example.com）に保存（Save file to this appliance (example.com)）] [ファイルをメールで送信（Email file to）]（1 つまたは複数の電子メールアドレスを指定します）。
パスフレーズ処理オプションの指定	[設定ファイルでパスフレーズをマスクする（Mask passphrases in the Configuration Files）] ：エクスポートまたは保存されるファイルで、元のパスフレーズを「*****」に置き換えます。パスフレーズがマスクされた設定ファイルを直接 AsyncOS for Web にリロードすることはできません。 [設定ファイル内のパスワードを暗号化する（Encrypt passphrases in the Configuration Files）]：FIPS モードが有効にされている場合、このオプションが使用可能になります。FIPS モードの有効化については、FIPS モードの有効化または無効化を参照してください。
ファイル命名オプションの選択	設定ファイルに名前を付ける方法を選択します。 [システムにより生成されたファイル名を使用（Use system-generated file name）] [ユーザー定義ファイル名を使用：（Use user-defined file name:）]

Step 3

[Submit] をクリックします。

アプライアンス設定ファイルのロード

Caution

設定をロードすると、現在の設定がすべて完全に削除されます。以下の操作を実行する前に設定を保存することを強く推奨します。

以前のリリースから最新のリリースに設定をロードすることは推奨しません。パスをアップグレードすると構成時の設定を保持できます。

手動で変更した構成ファイルをロードすると、パフォーマンスと機能の問題が発生する可能性があります。

Note

互換性のあるコンフィギュレーションファイルが、アプライアンスの現在インストールされているバージョンより URL カテゴリのセットの古いバージョンに基づいている場合、コンフィギュレーションファイルのポリシーと ID が自動的に変更される場合があります。

Note

設定ファイルをロードするときに証明書検証エラーが発生した場合は、証明書のルート CA を Web セキュリティアプライアンスの信頼されたルートディレクトリにアップロードしてから、設定ファイルを再度ロードします。ルート CA をアップロードする方法については、証明書の管理を参照してください。

Procedure

Step 1

[システム管理（System Administration）] > [設定ファイル（Configuration File）] を選択します。

Step 2

[設定をロード（Load Configuration）] オプションとロードするファイルを選択します。（注）

Note

パスフレーズがマスクされているファイルはロードできません。
ファイルには以下のヘッダーが必要です。

<?xml version=”1.0” encoding=”ISO-8859-1”?> <!DOCTYPE config SYSTEM “config.dtd”>

また、正しくフォーマットされた config セクションも必要です。

<config> ...your configuration information in valid XML </config>

Step 3

[ロード（Load）] をクリックします。

Step 4

表示される警告を確認します。処理の結果を確認したら、[続行（Continue）] をクリックします。

アプライアンス設定の出荷時デフォルトへのリセット

アプライアンス設定をリセットするときに、既存のネットワーク設定を保持するかどうかを選択できます。

このアクションでは、コミットする必要はありません。

Before you begin

アプライアンスから任意の場所に設定を保存します。

Procedure

Step 1	[システム管理（System Administration）] > [設定ファイル（Configuration File）] を選択します。
Step 2	下方向にスクロールして、[構成のリセット（Reset Configuration）] セクションを表示します。
Step 3	ページに表示された情報を読み、オプションを選択します。
Step 4	[リセット（Reset）] をクリックします。

設定ファイルのバックアップの保存

設定ファイルバックアップ機能により、すべての変更でアプライアンスの設定が記録され、現在の設定ファイルよりも古い設定ファイルが、リモートに配置されたバックアップサーバーに FTP または SCP で送信されます。

手順

ステップ 1	[システム管理（System Administration）] > [設定ファイル（Configuration File）] を選択します。
ステップ 2	[設定のバックアップの有効化（Enable Config Backup）] チェックボックスをオンにします。
ステップ 3	設定ファイルにパスフレーズを含める場合は [はい（Yes）] を選択します。設定ファイルからパスフレーズを除外する場合は [いいえ（No）] を選択します。
ステップ 4	取得方法を選択します。次のオプションを使用できます。 [リモートサーバー上のFTP（FTP on Remote Server）]：FTP ホスト名、ディレクトリ、ユーザー名、およびパスフレーズを入力します。 [リモートサーバー上のSCP（SCP on Remote Server）]：SCP ホスト名、ポート番号、ディレクトリ、およびユーザー名を入力します。 [ホストキーチェック（Host Key Checking）]：SSH は、使用されたすべてのホストの ID のデータベースを SSH が自動的に維持およびチェックします。ホストキーは、ディレクトリ /.ssh/known_hosts にあるユーザーのホームディレクトリに保存されます。 [リモートサーバー上のSCP（SCP on Remote Server）] を選択し、[ホストキーチェックを有効化（Enable Host Key Checking）] を選択する場合、次のオプションを使用できます。 [自動（Automatic）]：ホストキーは Cisco Secure Web Appliance によって自動的に設定されます。 [手動（Manual）]：ホストキーはユーザーが手動で入力できます。変更を送信すると、Cisco Secure Web Appliance はリモートホスト上の承認されたキーファイルに追加する SSH キーを提供します。これにより、構成ファイルを Cisco Secure Web Appliance からリモートホストにアップロードできます。33 その結果、SSH は接続したことのあるすべてのホストの識別情報を含むデータベースを維持し、チェックします。ホストキーは、ディレクトリ /.ssh/known_hosts にあるユーザーのホームディレクトリに保存されます。
ステップ 5	[送信（Submit）] をクリックします。 CLI コマンドの `configbackup` を使用して設定ファイルバックアップ機能を有効にすることもできます。

機能キーの使用

機能キーはシステム上で固有の機能をイネーブル化します。キーはアプライアンスのシリアル番号に固有のものです（機能キーを別のアプライアンスで再使用することはできません）。

機能キーの表示と更新
機能キーの更新設定の変更

機能キーの表示と更新

Procedure

Step 1	[システム管理（System Administration）] > [機能キー（Feature Keys）] を選択します。
Step 2	保留中のキーのリストを更新するには、[新しいキーをチェック（Check for New Keys）] をクリックします。
Step 3	新しい機能キーを手動で追加するには、[ライセンスキー（Feature Keys）] フィールドにキーを貼り付けるか、入力し、[キーを送信（Submit Key）] をクリックします。機能キーが有効な場合は、そのキーが画面に追加されます。
Step 4	[保留中のライセンス（Pending Activation）] リストの新しい機能キーをアクティブ化するには、そのキーの [選択（Select）] チェックボックスをオンにして、[選択したキーを有効化（Activate Selected Keys）] をクリックします。新しいキーが発行されたときに、キーを自動的にダウンロードおよびインストールするように、アプライアンスを設定できます。この場合、[保留中のライセンス（Pending Activation）]一覧は常に空白になります。[ライセンスキーの設定（Feature Key Settings）] ページで自動確認をディセーブルにした場合であっても、[新しいキーをチェック（Check for New Keys）] ボタンをクリックすることにより、新しいキーを検索するよう AsyncOS にいつでも指示できます。

機能キーの更新設定の変更

[ライセンスキーの設定（Feature Key Settings）] ページは、新しい機能キーを確認およびダウンロードするかどうかや、これらのキーを自動的にアクティベートするかどうかを制御するために使用します。

Procedure

Step 1

[システム管理（System Administration）] > [ライセンスキーの設定（Feature Key Settings）] を選択します。

Step 2

[設定の編集（Edit Settings）] をクリックします。

Step 3

必要に応じて [ライセンスキーの設定（Feature Key Settings）] を変更します。


オプション	説明
[ライセンスキーの自動適用（Automatic Serving of Feature Keys）]	機能キーを自動的にチェックしてダウンロードし、ダウンロードした機能キーを自動的にアクティブ化します。自動チェックは通常、月に 1 回実行されますが、機能キーが 10 日未満で期限切れになる場合は 1 日に 1 回実行されます。キーの失効後の 1 か月間は、1 日に 1 回実行されます。1 か月が経過すると、期限が切れたキーは期限切れ間近/期限切れのキーのリストに示されなくなります。

Step 4

変更を送信し、保存します。

スマートソフトウェアライセンシング

概要（Overview）
スマートソフトウェアライセンシングのイネーブル化
Cisco Smart Software Manager でのアプライアンスの登録
ライセンスの要求
Cisco Smart Software Manager からのアプライアンスの登録解除
Cisco Smart Software Manager でのアプライアンスの再登録
転送設定の変更
認証と証明書の更新
スマートエージェントの更新
アラート
コマンドラインインターフェイス

概要（Overview）

スマートソフトウェアライセンシングを使用すると、Cisco Web セキュリティアプライアンスのライセンスをシームレスに管理およびモニターできます。スマートソフトウェアライセンスをアクティブ化するには、Cisco Smart Software Manager（CSSM）でアプライアンスを登録する必要があります。CSSM は、購入して使用するすべてのシスコ製品についてライセンスの詳細を管理する一元化されたデータベースです。スマートライセンスを使用すると、製品認証キー（PAK）を使用して Web サイトで個別に登録するのではなく、単一のトークンで登録することができます。

アプライアンスを登録すると、アプライアンスのライセンスを追跡し、CSSM ポータル経由でライセンスの使用状況を監視できます。アプライアンスにインストールされているスマートエージェントは、アプライアンスと CSSM を接続し、ライセンスの使用状況に関する情報を CSSM を渡して、CSSM が使用状況を追跡できるようにします。

Cisco Smart Software Manager については、Https://www.cisco.com/c/en/us/td/docs/wireless/technology/mesh/8-2/b_Smart_Licensing_Deployment_Guide.html を参照してください。

（注）

AsyncOS バージョン 15.0 は、クラシックライセンスがサポートされる最後のリリースです。次のリリースでは、スマートライセンスのみがサポートされます。

始める前に

ご利用のアプライアンスからインターネットに接続できることを確認します。

Cisco Smart Software Manager ポータル（https://software.cisco.com/#module/SmartLicensing）でシスコセールスチームに問い合わせるか、Cisco Smart Software Manager サテライトをネットワークにインストールしてください。

Cisco Smart Software Manager のユーザーアカウントの作成または Cisco Smart Software Manager サテライトのインストールの詳細については、「https://www.cisco.com/c/en/us/td/docs/wireless/technology/mesh/8-2/b_Smart_Licensing_Deployment_Guide.html」を参照してください。

ライセンスの使用状況に関する情報を直接インターネットに送信したくないユーザの場合、CSSM 機能のサブセットを提供する Smart Software Manager サテライトをオンプレミスにインストールすることもできます。サテライトアプリケーションをダウンロードして導入した後は、インターネットを使用して CSSM にデータを送信せずに、ライセンスをローカルで安全に管理できます。CSSM サテライトは、情報をクラウドに定期的に送信します。

（注）

Smart Software Manager サテライトを使用する場合、Smart Software Manager サテライト Enhanced Edition 6.1.0 を使用してください。

（従来の）クラシックライセンスの既存ユーザーは、クラシックライセンスをスマートライセンスに移行する必要があります。

https://video.cisco.com/detail/video/6330894176112?autoStart=true&q=convert-classic-licenses-to-smart-licensesを参照してください。
アプライアンスのシステムクロックを CSSM のシステムクロックと同期させる必要があります。アプライアンスのシステムクロックと CSSM のシステムクロックのずれは、スマートライセンス操作の失敗の原因となります。

（注）

インターネットに接続してプロキシ経由で CSSM に接続する場合、[システム管理（System Administration）] > [アップグレードとアップデートの設定（Upgrade and Update Settings）] を使用して、アプライアンスに設定されているプロキシと同じプロキシを使用する必要があります。

（注）

仮想ユーザーの場合、新しい PAK ファイル（新規または更新）を受信するたびに、ライセンスファイルを生成し、アプライアンスのファイルをロードします。ファイルをロードした後は、PAK をスマートライセンスに変換する必要があります。スマートライセンスモードでは、ファイルのロード中、ライセンスファイルの機能キーセクションは無視され、証明書情報のみが使用されます。

（注）

アプライアンスを AsyncOS の以前のバージョンに戻した場合、アプライアンスはスマートライセンスモードからクラシックライセンスモードに移行します。スマートライセンスを手動で有効にし、必要なライセンスを要求する必要があります。

アプライアンスに対してスマートソフトウェアライセンシングを有効にするには、次の手順を実行する必要があります。


	操作内容	詳細情報
ステップ 1	スマートソフトウェアライセンシングの有効化	スマートソフトウェアライセンシングのイネーブル化
ステップ 2	Cisco Smart Software Manager でのアプライアンスの登録	Cisco Smart Software Manager でのアプライアンスの登録
ステップ 3	ライセンス（機能キー）の要求	ライセンスの要求

スマートソフトウェアライセンシングのイネーブル化

手順

ステップ 1	[システム管理（System Administration）] > [スマートソフトウェアライセンシング（Smart Software Licensing）] を選択します。
ステップ 2	[スマートソフトウェアライセンシングの有効化（Enable Smart Software Licensing）] をクリックします。スマートソフトウェアライセンシングの詳細については、スマートソフトウェアライセンシングの詳細のリンクをクリックします。
ステップ 3	スマートソフトウェアライセンシングについての情報を読んだ後、[OK] をクリックします。
ステップ 4	変更を保存します。

次のタスク

スマートソフトウェアライセンシングを有効すると、クラシックライセンスモードのすべての機能がスマートライセンスモードでも自動的に使用可能になります。クラシックライセンスモードの既存ユーザーの場合、CSSM でアプライアンスを登録せずに、スマートソフトウェアライセンシング機能を使用できる 90 日間の評価期間があります。

有効期限および評価期間の期限の前に、一定の間隔（90 日前、60 日前、30 日前、15 日前、5 日前、および最終日）で通知が表示されます。評価期間の間または終了後に、CSSM でアプライアンスを登録できます。

（注）

クラシックライセンスモードにおけるアクティブなライセンスを持たない仮想アプライアンスの新規ユーザーの場合、スマートソフトウェアライセンシング機能を有効にしても、評価期間は提供されません。クラシックライセンスモードにおけるアクティブなライセンスを持つ仮想アプライアンスの既存ユーザーのみに、評価期間が提供されます。新規仮想アプライアンスユーザーがスマートライセンス機能の評価を希望する場合には、シスコセールスチームに連絡し、スマートアカウントに評価ライセンスを追加してください。評価ライセンスは、登録後に評価目的で使用されます。
アプライアンスでスマートライセンシング機能を有効にすると、スマートライセンシングからクラシックラインセンシングモードにロールバックすることができなくなります。
スマートライセンス機能を有効にすると、次の機能が自動的に再起動されます。
- Web セキュリティアプライアンス Web レピュテーションフィルタ（Web Reputation Filters）
- Web セキュリティアプライアンスウイルス対策（Sophos）
- Web セキュリティアプライアンスウイルス対策（Webroot）
- Web セキュリティアプライアンス Web プロキシと DVS エンジン
AsyncOS バージョン 15.0 では、新しい Cisco Secure Web Appliance 仮想展開に対してスマートライセンスを有効にできます。クラシックライセンスは必須ではありません。詳細については、「Overview of Smart Licencing」セクションにある前提条件を参照してください。

Cisco Smart Software Manager でのアプライアンスの登録

アプライアンスを Cisco Smart Software Manager（CSSM）に登録するには、[システム管理（System Administration）] メニューでスマートソフトウェアライセンシング機能を有効にする必要があります。

（注）

複数のアプライアンスを単一のインスタンスで登録することはできません。アプライアンスを 1 つずつ登録する必要があります。
初回登録の有効期間は 1 年です。登録の更新は、アプライアンスが CSSM に接続できる場合、6 か月ごとに自動的に実行されます。

手順

ステップ 1

[システム管理（System Administration）] > [スマートソフトウェアライセンシング（Smart Software Licensing）] を選択します。

ステップ 2

[スマートライセンスの登録（Smart License Registration）] オプションを選択します。

ステップ 3

[確認（Confirm）] をクリックします。

ステップ 4

[トランスポート設定（Transport Settings）] を変更する場合には、[編集（Edit）] をクリックします。次のオプションを使用できます。

[直接（Direct）]：アプライアンスを HTTPS 経由で Cisco Smart Software Manager に直接接続します。このオプションは、デフォルトで選択されます。
[トランスポートゲートウェイ（Transport Gateway）]：アプライアンスをトランスポートゲートウェイまたは Smart Software Manager サテライト経由で Cisco Smart Software Manager に接続します。このオプションを選択した場合、トランスポートゲートウェイまたは Smart Software Manager サテライトの URL を入力してから [OK] をクリックする必要があります。このオプションは HTTP および HTTPS をサポートします。FIPS モードの場合、トランスポートゲートウェイは HTTPS のみをサポートします。

トランスポートゲートウェイについては、Https://www.cisco.com/c/en/us/td/docs/wireless/technology/mesh/8-2/b_Smart_Licensing_Deployment_Guide.html を参照してください。

ステップ 5

（オプション）[テストインターフェイス（Test Interface）]：スマートライセンス機能用にアプライアンスを登録するときに、 [管理インターフェイス（Management interface）] または [データインターフェイス（Data interface）] を選択します。これは、分割ルーティングを有効にし、スマートライセンス用に登録する場合にのみ適用されます。

（注）

分割ルーティングが有効になっていない場合は、[テストインターフェイス（Test Interface）] ドロップダウンリストで [管理インターフェイス（Management interface）] オプションのみを使用できます。

ステップ 6

ログインクレデンシャルを使用して、Cisco Smart Software Manager ポータル（https://software.cisco.com/#module/SmartLicensing）にアクセスしてください。新しいトークンを作成するには、このポータルの [仮想アカウント（Virtual Account）] ページに移動して [全般（General）] タブにアクセスします。アプライアンス用の製品インスタンス登録トークンをコピーします。製品インスタンス登録トークンの作成については、https://www.cisco.com/c/en/us/td/docs/wireless/technology/mesh/8-2/b_Smart_Licensing_Deployment_Guide.html を参照してください。

ステップ 7

アプライアンスに戻り、[登録（Register）] をクリックします。

ステップ 8

製品インスタンス登録トークンをテキストボックスに貼り付けます。

[スマートソフトウェアライセンシング（Smart Software Licensing）] ページで、[すでに登録されている場合は、この製品インスタンスを再登録します（Reregister this product instance if it is already registered）] チェックボックスをオンにして、アプライアンスを再登録することもできます。

次のタスク

製品登録プロセスには数分かかります。[スマートソフトウェアライセンシング（Smart Software Licensing）] ページで登録ステータスを表示できます。

ライセンスの要求

登録プロセスが正常に完了した後、アプライアンスの機能のライセンスを要求しなければならない場合があります。

手順

ステップ 1	[システム管理（System Administration）] > [ライセンス（Licenses）] を選択します。
ステップ 2	[設定の編集（Edit Settings）] をクリックします。
ステップ 3	要求するライセンスに対応する [ライセンスの要求/リリース（License Request/Release）] 列のチェックボックスをオンにします。
ステップ 4	[送信（Submit）] をクリックします。

次のタスク

ライセンスは、期限超過また期限切れになるとコンプライアンス違反（OOC）モードになり、各ライセンスに 30 日間の猶予期間が提供されます。有効期限および OOC 猶予期間の期限の前に、一定の間隔（30 日前、15 日前、5 日前、および最終日）で通知が表示されます。

OOC 猶予期間の有効期限が過ぎると、ライセンスは使用できず、機能を利用できなくなります。機能にもう一度アクセスするには、CSSM ポータルでライセンスをアップデートして、認証を更新する必要があります。

ライセンスのリリース

手順

ステップ 1	[システム管理（System Administration）] > [ライセンス（Licenses）] を選択します。
ステップ 2	[設定の編集（Edit Settings）] をクリックします。
ステップ 3	リリースするライセンスに対応する [ライセンスの要求（License Request）] 列のチェックボックスをオフにします。
ステップ 4	[Submit] をクリックします。

Cisco Smart Software Manager からのアプライアンスの登録解除

手順

ステップ 1	[システム管理（System Administration）] > [スマートソフトウェアライセンシング（Smart Software Licensing）] を選択します。
ステップ 2	[アクション（Action）] ドロップダウンリストから、[登録解除（Deregister）] を選択し、[実行（Go）] をクリックします。
ステップ 3	[Submit] をクリックします。

Cisco Smart Software Manager でのアプライアンスの再登録

手順

ステップ 1	[システム管理（System Administration）] > [スマートソフトウェアライセンシング（Smart Software Licensing）] を選択します。
ステップ 2	[アクション（Action）] ドロップダウンリストから、[登録（Register）] を選択し、[実行（Go）] をクリックします。

次のタスク

登録プロセスについては、Cisco Smart Software Manager でのアプライアンスの登録を参照してください。

回避できないシナリオにおいては、アプライアンスの設定をリセットした後にアプライアンスを登録することができます。

転送設定の変更

CSSM でアプライアンスを登録する前にのみ、トランスポート設定を変更できます。

（注）

スマートライセンス機能が有効になっている場合にのみ、トランスポート設定を変更できます。アプライアンスがすでに登録されている場合、トランスポート設定を変更するには、アプライアンスの登録を解除する必要があります。トランスポート設定を変更した後に、アプライアンスを再登録する必要があります。

トランスポート設定を変更する方法については、Cisco Smart Software Manager でのアプライアンスの登録を参照してください。

認証と証明書の更新

Cisco Smart Software Manager でアプライアンスを登録した後に、証明書を更新できます。

（注）

アプライアンスが正常に登録された後にのみ、認証を更新できます。

手順

ステップ 1

[システム管理（System Administration）] > [スマートソフトウェアライセンシング（Smart Software Licensing）] を選択します。

ステップ 2

[アクション（Action）] ドロップダウンリストから、適切なオプションを選択します。

認証を今すぐ更新
証明書を今すぐ更新

ステップ 3

[移動（Go）] をクリックします。

次のタスク

スマートエージェントの更新

アプライアンスにインストールされているスマートエージェントのバージョンを更新するには、次の手順を実行します。

手順

ステップ 1

[システム管理（System Administration）] > [スマートソフトウェアライセンシング（Smart Software Licensing）] を選択します。

ステップ 2

[スマートエージェントの更新ステータス（Smart Agent Update Status）] セクションで、[今すぐ更新（Update Now）] をクリックし、プロセスに従います。

（注）

CLI コマンド saveconfig を使用して、または [システム管理（System Administration）] > [設定サマリー（Configuration Summary）] を使用して Web インターフェイス経由で設定変更を保存しようとすると、スマートライセンス関連の設定は保存されません。

アラート

次のシナリオで通知が送信されます。

スマートソフトウェアライセンシングが正常に有効化された
スマートソフトウェアライセンシングの有効化に失敗した
評価期間が開始された
評価期間が終了した（評価期間中および期間終了時に一定の間隔で送信）
正常に登録された
登録に失敗した
正常に認証された
認証に失敗した
正常に登録解除された
登録解除に失敗した
ID 証明書が正常に更新された
ID 証明書の更新に失敗した
認証の有効期限が切れた
ID 証明書の有効期限が切れた
コンプライアンス違反猶予期間の期限が切れた（コンプライアンス違反猶予期間中および期間終了時に一定の間隔で送信）
機能の有効期限に関する最初のインスタンスが発生した

コマンドラインインターフェイス

license_smart
show_license

license_smart

説明
使用方法
例：スマートエージェントサービス用ポートの設定
例：スマートライセンスの有効化
例：Smart Software Manager でのアプライアンスの登録
例：スマートライセンスのステータス
例：スマートライセンスのステータスの概要
例：スマートトランスポート URL の設定
例：ライセンスの要求
例：ライセンスのリリース

説明

スマートソフトウェアライセンス機能の設定

使用方法

確定：このコマンドは「commit」が必要です。

バッチコマンド：このコマンドはバッチ形式をサポートしています。詳細については、help license_smart コマンドを入力して、インラインヘルプを参照してください。

例：スマートエージェントサービス用ポートの設定

example.com> license_smart
Choose the operation you want to perform:
- ENABLE - Enables Smart Licensing on the product.
- SETAGENTPORT - Set port to run Smart Agent service.
[]> setagentport

Enter the port to run smart agent service.
[65501]>

例：スマートライセンスの有効化

example.com> license_smart
Choose the operation you want to perform:
- ENABLE - Enables Smart Licensing on the product.
 []> enable
After enabling Smart Licensing on your appliance, follow below steps to activate 
the feature keys (licenses):

a) Register the product with Smart Software Manager using license_smart > register command in the CLI.
b) Activate the feature keys using license_smart > requestsmart_license command in the CLI.

Note: If you are using a virtual appliance, and have not enabled any of the 
features in the classic licensing mode; you will not be able to activate the 
licenses, after you switch to the smart licensing mode. You need to first register 
your appliance, and then you can activate the licenses (features) in the smart licensing mode.
Commit your changes to enable the Smart Licensing mode on your appliance. 
All the features enabled in the Classic Licensing mode will be available in the Evaluation period.
Type "Y" if you want to continue, or type "N" if you want to use the classic licensing mode [Y/N] []> y

> commit

Please enter some comments describing your changes:
[]>
Do you want to save the current configuration for rollback? [Y]>

例：Smart Software Manager でのアプライアンスの登録

example.com> license_smart
To start using the licenses, please register the product. 
Choose the operation you want to perform:

- REGISTER - Register the product for Smart Licensing.
- URL - Set the Smart Transport URL.
- STATUS - Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing status summary.

[]> register
Reregister this product instance if it is already registered [N]> n

Enter token to register the product:
[]> 
ODRlOTM5MjItOTQzOS00YjY0LWExZTUtZTdmMmY3OGNlNDZmLTE1MzM3Mzgw%0AMDEzNTR8WlpCQ1lMbGVMQWRx 
OXhuenN4OWZDdktFckJLQzF5V3VIbzkyTFgx%0AQWcvaz0%3D%0A
Product Registration is in progress. Use license_smart > status command to check status of registration.

例：スマートライセンスのステータス

example.com> license_smart
To start using the licenses, please register the product. 
Choose the operation you want to perform:

- REQUESTSMART_LICENSE - Request licenses for the product.
- RELEASESMART_LICENSE - Release licenses of the product.
- REGISTER - Register the product for Smart Licensing.
- URL - Set the Smart Transport URL.
- STATUS - Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing status summary.

[]> status
Smart Licensing is: Enabled

Evaluation Period: In Use

Evaluation Period Remaining: 89 days 23 hours 53 minutes 
Registration Status: Unregistered

License Authorization Status: Evaluation Mode

Last Authorization Renewal Attempt Status: No Communication Attempted

Product Instance Name: mail.example.com

Transport Settings: Direct (https://smartreceiver.cisco.com/licservice/license)

例：スマートライセンスのステータスの概要

example.com> license_smart
To start using the licenses, please register the product. 
Choose the operation you want to perform:
- REGISTER - Register the product for Smart Licensing.
- URL - Set the Smart Transport URL.
- STATUS - Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing status summary.

[]> summary

FeatureName                                 LicenseAuthorizationStatus
Web Security Appliance Cisco                Eval
Web Usage Controls
Web Security Appliance Anti-Virus Webroot   Eval
Web Security Appliance Anti-Virus Sophos    Eval

例：スマートトランスポート URL の設定

example.com> license_smart

Choose the operation you want to perform:
- REQUESTSMART_LICENSE - Request licenses for the product.
- RELEASESMART_LICENSE - Release licenses of the product.
- REGISTER - Register the product for Smart Licensing.
- URL - Set the Smart Transport URL.
- STATUS - Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing status summary.

[]> url

1. DIRECT - Product communicates directly with the cisco license servers
2. TRANSPORT_GATEWAY - Product communicates via transport gateway or smart software manager satellite.

Choose from the following menu options:
[1]> 1
Note: The appliance uses the Direct URL
(https://smartreceiver.cisco.com/licservice/license) to communicate with Cisco
Smart Software Manager (CSSM) via the proxy server configured using the updateconfig command.
Transport settings will be updated after commit.

例：ライセンスの要求

（注）

仮想アプライアンスのユーザーは、ライセンスを要求またはリリースする場合、そのアプライアンスを登録する必要があります。

example.com> license_smart
Choose the operation you want to perform:

- REQUESTSMART_LICENSE - Request licenses for the product.
- RELEASESMART_LICENSE - Release licenses of the product.
- REGISTER - Register the product for Smart Licensing.
- URL - Set the Smart Transport URL.
- STATUS - Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing status summary.

[]> requestsmart_license

Feature Name                                   License Authorization Status
1. Web Security Appliance Anti-Virus Sophos     Not Requested
2. Web Security Appliance                       Not requested
   L4 Traffic Monitor

Enter the appropriate license number(s) for activation. 
Separate multiple license with comma or enter range:
[]> 1
Activation is in progress for following features:
Web Security Appliance Anti-Virus Sophos 
Use license_smart > summary command to check status of licenses.

例：ライセンスのリリース

example.com> license_smart
Choose the operation you want to perform:

- REQUESTSMART_LICENSE - Request licenses for the product.
- RELEASESMART_LICENSE - Release licenses of the product.
- REGISTER - Register the product for Smart Licensing.
- URL - Set the Smart Transport URL.
- STATUS - Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing status summary.

[]> releasesmart_license

Feature Name                              License Authorization Status
1. Web Security Appliance Cisco            Eval
   Web Usage Controls
2. Web Security Appliance                  Eval
   Anti-Virus Webroot
3. Web Security Appliance                  Eval
   L4 Traffic Monitor
4. Web Security Appliance Cisco            Eval
   AnyConnect SM for AnyConnect
5. Web Security Appliance Advanced         Eval
   Malware Protection Reputation
6. Web Security Appliance                  Eval
   Anti-Virus Sophos
7. Web Security Appliance                  Eval
   Web Reputation Filters
8. Web Security Appliance Advanced         Eval
   Malware Protection

show_license

説明
例：スマートライセンスのステータス
例：スマートライセンスのステータスの概要

説明

スマートライセンスのステータスとステータスの概要を表示します。

例：スマートライセンスのステータス

example.com> showlicense_smart
Choose the operation you want to perform:
- STATUS- Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing summary.
[]> status
Smart Licensing is: Enabled
Evaluation Period: In Use
Evaluation Period Remaining: 89 days 23 hours 53 minutes  
Registration Status: Unregistered
License Authorization Status: Evaluation Mode
Last Authorization Renewal Attempt Status: No Communication Attempted 
Product Instance Name: example.com
Transport Settings: Direct (https://smartreceiver.cisco.com/licservice/license)

例：スマートライセンスのステータスの概要

example.com> showlicense_smart
Choose the operation you want to perform:
- STATUS- Show overall Smart Licensing status.
- SUMMARY - Show Smart Licensing summary.

[]> summary

FeatureName                        LicenseAuthorizationStatus
Web Security Appliance Cisco       Eval
Web Usage Controls
Web Security Appliance             Eval
Anti-Virus Webroot 
Web Security Appliance             Eval
Anti-Virus Sophos

仮想アプライアンスのライセンス

Cisco Web Security 仮想アプライアンスでは、ホスト上で仮想アプライアンスを実行する追加ライセンスが必要です。

仮想アプライアンスのライセンスの詳細については、『Cisco Content Security Virtual Appliance Installation Guide』を参照してください。このドキュメントは、http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-installation-guides-list.html から入手できます。

Note

仮想アプライアンスのライセンスをインストールする前に、テクニカルサポートのトンネルを開くことはできません。

ライセンスの期限が切れた後、アプライアンスは、180 日間セキュリティサービスなしで、Web プロキシとして動作を継続します。この期間中、セキュリティサービスは更新されません。

ライセンスの期限切れに関する警告を受信するように、アプライアンスを設定できます。

仮想アプライアンスのライセンスのインストール

『Cisco Content Security Virtual Appliance Installation Guide』を参照してください。このドキュメントは、http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-installation-guides-list.html [英語] から入手できます。

リモート電源再投入の有効化

Before you begin

専用のリモート電源再投入（RPC）ポートをセキュアネットワークに直接、ケーブル接続します。詳細については、お使いのアプライアンスモデルのハードウェアガイドを参照してください。このドキュメントの場所については、ドキュメントセットを参照してください。
ファイアウォールを通過するために必要なポートを開くなど、アプライアンスがリモートアクセス可能であることを確認します。
この機能を使用するには、専用のリモート電源再投入インターフェイスの一意の IPv4 アドレスが必要です。このインターフェイスは、このセクションで説明されている手順でのみ設定可能です。ipconfig コマンドを使用して設定することはできません。
アプライアンスの電源を再投入するには、Intelligent Platform Management Interface（IPMI）バージョン 2.0 をサポートするデバイスを管理できるサードパーティ製ツールが必要です。このようなツールを使用できるように準備されていることを確認します。
コマンドラインインターフェイスへのアクセスに関する詳細については、を参照してください。コマンドラインインターフェイス

アプライアンスシャーシの電源をリモートでリセットする機能は、x80、x90、x95 シリーズのハードウェアでのみ使用できます。

アプライアンスの電源をリモートでリセットする場合は、このセクションで説明されている手順を使用して、この機能を事前に有効にし、設定しておく必要があります。

Procedure

Step 1	SSH またはシリアルコンソールポートを使用して、コマンドラインインターフェイスにアクセスします。
Step 2	管理者権限を持つアカウントを使用してログインします。
Step 3	以下のコマンドを入力します。 `remotepower` `setup`
Step 4	プロンプトに従って、以下の情報を指定します。この機能専用の IP アドレスと、ネットマスクおよびゲートウェイ。電源の再投入コマンドを実行するために必要なユーザ名とパスフレーズ。これらのクレデンシャルは、アプライアンスへのアクセスに使用する他のクレデンシャルに依存しません。
Step 5	`commit` を入力して変更を保存します。
Step 6	設定をテストして、アプライアンスの電源をリモートで管理できることを確認します。
Step 7	入力したクレデンシャルが、将来、いつでも使用できることを確認します。たとえば、この情報を安全な場所に保管し、このタスクを実行する必要がある管理者が、必要なクレデンシャルにアクセスできるようにします。

What to do next

関連項目

ハードウェアアプライアンス：アプライアンスの電源のリモートリセット

ユーザーアカウントの管理

以下のタイプのユーザーは、アプライアンスにログインして、アプライアンスを管理できます。

ローカルユーザー。アプライアンス自体にローカルにユーザーを定義できます。
外部システムに定義されたユーザー。アプライアンスにログインするユーザーを認証するために、外部 LDAP または RADIUS サーバーに接続するようにアプライアンスを設定できます。

Note

Web インターフェイスにログインするか、SSH を使用するなどの任意の方法を使用して、アプライアンスにログインできます。

ローカルユーザーアカウントの管理

Web セキュリティアプライアンスに任意の数のユーザをローカルに定義できます。

デフォルトのシステム admin アカウントは、すべての管理者権限を持っています。admin アカウントのパスフレーズは変更できますが、このアカウントを編集したり削除することはできません。

Note

admin ユーザーのパスフレーズを紛失した場合は、シスコサポートプロバイダに問い合わせしてください。詳細については、「管理者パスワードをリセットし、管理者ユーザーアカウントをロック解除する」を参照してください。

ローカルユーザーアカウントの追加

Before you begin

すべてのユーザーアカウントが従うべきパスフレーズ要件を定義します。管理ユーザーのパスフレーズ要件の設定を参照してください。

Procedure

Step 1

[システム管理（System Administration）] > [ユーザー（Users）] を選択します。

Step 2

[ユーザーの追加（Add User）] をクリックします。

Step 3

以下のルールに注意して、ユーザー名を入力します。

ユーザー名に小文字、数字、およびダッシュ（-）記号を使用することはできますが、最初の文字をダッシュにすることはできません。
ユーザー名は 16 文字以下です。
ユーザー名としてシステムで予約されている特殊名（「operator」や「root」など）を指定することはできません。
外部認証も使用する場合は、ユーザー名が外部認証されたユーザー名と重複しないようにしてください。

Step 4

ユーザーの氏名を入力します。

Step 5

ユーザータイプを選択します。


ユーザタイプ	説明
管理者（Administrator）	すべてのシステム設定に対する完全なアクセス権を許可します。ただし、`upgradecheck` および `upgradeinstall` CLI コマンドは、システム定義の「admin」アカウントからのみ発行できます。
オペレータ（Operator）	ユーザーアカウントを作成、編集、および削除できません。オペレータグループでは、以下の CLI コマンドの使用も制限されます。 `resetconfig` `upgradecheck` `upgradeinstall` オペレータグループでは、システムセットアップウィザードの使用も制限されます。
オペレータ（読み取り専用）（Read-Only Operator）	このロールのユーザーアカウントは、設定情報を表示できます。機能の設定方法を確認するために変更を行って送信はできますが、コミットはできません。キャッシュをクリアしたり、ファイルを保存するなどのアプライアンスへの他の変更を加えることはできません。ファイルシステム、FTP、または SCP にアクセスできません。
ゲスト（Guest）	ゲストグループのユーザーは、レポートやトラッキングなど、システムのステータス情報の参照のみを実行できます。

Step 6

パスフレーズを入力するか、または作成します。

Step 7

変更を送信し、保存します。

ユーザーアカウントを削除する

Procedure

Step 1	[システム管理（System Administration）] > [ユーザー（Users）] を選択します。
Step 2	プロンプトが表示されたら、一覧表示されているユーザー名に対応するゴミ箱アイコンをクリックして確認します。
Step 3	変更を送信し、保存します。

ユーザーアカウントの編集

Procedure

Step 1	[システム管理（System Administration）] > [ユーザー（Users）] を選択します。
Step 2	ユーザー名をクリックします。
Step 3	必要に応じて、[ユーザーの編集（Edit User）] ページでユーザーに変更を加えます。
Step 4	変更を送信し、保存します。

パスフレーズの変更

現在ログインしているアカウントのパスフレーズを変更するには、ウィンドウの右上で、[オプション（Options）] > [パスフレーズの変更（Change Passphrase）] を選択します。

他のアカウントの場合は、[ローカルユーザー設定（Local User Settings）] ページで、アカウントを編集してパスフレーズを変更します。

制限的なユーザアカウントとパスフレーズの設定値の構成

ユーザーアカウントとパスフレーズの制限を定義して、組織全体にパスフレーズポリシーを強制的に適用することができます。ユーザーアカウントとパスフレーズ制限は、Cisco アプライアンスに定義されたローカルユーザーに適用されます。次の設定値を設定できます。

ユーザアカウントのロック。ユーザのアカウントがロックアウトされる失敗ログインの試行回数を定義できます。ユーザーログイン試行回数は 1 ～ 60 の範囲で設定できます。デフォルト値は 5 です。
パスフレーズ存続期間のルール。ログイン後にユーザがパスフレーズの変更を要求されるまでの、パスフレーズの存続期間を定義できます。
パスフレーズのルール。任意指定の文字や必須の文字など、ユーザが選択できるパスフレーズの種類を定義できます。

ユーザアカウントとパスフレーズの制限は、[システム管理（System Administration）] > [ユーザ（Users）] ページの [ローカルユーザアカウントとパスフレーズの設定（Local User Account & Passphrase Settings）] セクションで定義します。

RADIUS ユーザー認証

Web セキュリティアプライアンスは RADIUS ディレクトリサービスを使用して、HTTP、HTTPS、SSH、および FTP によりアプライアンスにログインするユーザを認証します。PAP または CHAP 認証を使用して、認証のために複数の外部サーバーと連携するように、アプライアンスを設定できます。外部ユーザのグループを Web セキュリティアプライアンスのさまざまなユーザロールタイプにマッピングできます。

RADIUS 認証のイベントのシーケンス

外部認証がイネーブルになっている場合にユーザが Web セキュリティアプライアンスにログインすると、アプライアンスは以下を実行します。

ユーザーがシステム定義の「admin」アカウントであるかどうかを確認します。
「admin」アカウントでない場合は、まず、設定されている外部サーバーをチェックし、ユーザーがそのサーバーで定義されているかどうかを確認します。
最初の外部サーバーに接続できない場合、アプライアンスはリスト内の次の外部サーバーをチェックします。
アプライアンスが外部サーバに接続できない場合、アプライアンスは Web セキュリティアプライアンスで定義されたローカルユーザとしてユーザを認証しようとします。
そのユーザーが外部サーバーまたはアプライアンスに存在しない場合、またはユーザーが間違ったパスフレーズを入力した場合は、アプライアンスへのアクセスが拒否されます。

RADIUS を使用した外部認証の有効化

Procedure

Step 1

[システム管理（System Administration）] > [ユーザー（Users）] ページで、[外部認証を有効にする（Enable External Authentication）] をクリックします。

Step 2

認証タイプとして [RADIUS] を選択します。

Step 3

RADIUS サーバーのホスト名、ポート番号、共有シークレットパスフレーズを入力します。デフォルトのポートは 1812 です。

Step 4

タイムアウトまでにアプライアンスがサーバーからの応答を待つ時間を秒単位で入力します。

Step 5

RADIUS サーバーが使用する認証プロトコルを選択します。

Step 6

（任意）[行を追加（Add Row）] をクリックして別の RADIUS サーバーを追加します。各 RADIUS サーバーについて、1 ～ 5 のステップを繰り返します。

Note

最大 10 個の RADIUS サーバーを追加できます。

Step 7

再認証のために再び RADIUS サーバーに接続するまでに、AsyncOS が外部認証クレデンシャルを保存する秒数を [外部認証キャッシュタイムアウト（External Authentication Cache Timeout）] フィールドに入力します。デフォルトは 0 です。

Note

RADIUS サーバーがワンタイムパスフレーズ（トークンから作成されたパスフレーズなど）を使用している場合は、ゼロ（0）を入力します。値をゼロに設定すると、AsyncOS は、現在のセッション中に認証のために RADIUS サーバーに再アクセスしません。

Step 8

グループマッピングを設定します。すべての外部認証されたユーザー全員を管理者ロールにマッピングするか、異なるアプライアンスユーザーロールタイプにマッピングするかを選択します。


設定	説明
外部認証されたユーザを複数のローカルロールにマッピング。	RADIUS CLASS 属性で定義されたグループ名を入力し、アプライアンスロールタイプを選択します。[行の追加（Add Row）] をクリックして、さらにロールマッピングを追加できます。 AsyncOS は、RADIUS CLASS 属性に基づいて、RADIUS ユーザをアプライアンスロールに割り当てます。CLASS 属性の要件：最小 3文字最大 253 文字コロン、カンマ、または改行文字なし各 RADIUS ユーザに対し 1 つ以上のマップ済み CLASS 属性（この設定を使用する場合、AsyncOS は、マップ済み CLASS 属性のない RADIUS ユーザへのアクセスを拒否します）。複数の CLASS 属性のある RADIUS ユーザの場合、AsyncOS は最も制限されたロールを割り当てます。たとえば、Operator ロールにマッピングされている CLASS 属性と、Read-Only Operator ロールにマッピングされている CLASS 属性の 2 つが RADIUS ユーザにある場合、AsyncOS は、Operator ロールよりも制限された Read-Only Operator ロールに RADIUS ユーザを割り当てます。以下のアプライアンスロールは、最も制限が厳しいものから順番に並んでいます。管理者（Administrator）オペレータ（Operator） Read-Only Operator ゲスト（Guest）
外部認証されたすべてのユーザを管理ロールにマップします。	AsyncOS はすべての RADIUS ユーザーを Administrator ロールに割り当てます。

Step 9

変更を送信し、保存します。

What to do next

関連項目

外部認証
ローカルユーザーアカウントの追加。

ユーザープリファレンスの定義

レポートの表示形式などのプリファレンス設定は、各ユーザーごとに保存され、ユーザーがどのクライアントマシンからアプライアンスにログインするかに関係なく同じ設定が適用されます。

Procedure

Step 1

[オプション（Options）] > [環境設定（Preferences）] を選択します。

Step 2

[ユーザー設定（User Preferences）] ページで、[設定を編集（Edit Preferences）] をクリックします。

Step 3

必要に応じて、プリファレンスを設定します。


プリファレンス設定	説明
言語の表示（Language Display）	Web インターフェイスおよび CLI で使用する言語の Web 用 AsyncOS。
ランディングページ（Landing Page）	ユーザーがアプライアンスにログインするときに表示されるページ。
表示されるレポート時間範囲（Reporting Time Range Displayed）（デフォルト）	[レポート（Reporting）] タブでレポートに対して表示するデフォルトの時間範囲。
表示するレポート行の数（Number of Reporting Rows Displayed）	デフォルトで各レポートに表示されるデータの行数。

Step 4

変更を送信し、保存します。

管理者の設定

管理ユーザーのパスフレーズ要件の設定

アプライアンスでローカル定義された管理ユーザーのパスフレーズ要件を設定するには、以下の手順を実行します。

Procedure

Step 1

[システム管理（System Administration）] > [ユーザー（Users）] を選択します。

Step 2

[パスフレーズの設定（Passphrase Settings）] セクションで、[設定を編集（Edit Settings）] をクリックします。

Step 3

以下のオプションから選択します。


オプション	説明
パスフレーズで許可しない単語の一覧（List of words to disallow in passphrases）	1 行ごとに各禁止単語を記入した .txt ファイルを作成し、そのファイルを選択してアップロードします。後続のアップロードによって以前のアップロードが上書きされます。
パスフレーズの強度（Passphrase Strength）	管理ユーザーが新しいパスフレーズを入力するときに、パスフレーズ強度インジケータを表示できます。この設定によって強固なパスフレーズが作成されるわけではありません。この設定は、入力したパスフレーズの推測されやすさを示すだけです。インジケータを表示する対象ロールを選択します。次に、選択したロールごとにゼロより大きい数字を入力します。数値が大きいほど、強固なパスフレーズとして登録されるパスフレーズの実現が困難になります。この設定には最大値がありませんが、非常に大きな数値を指定するとパスフレーズの作成が非常に困難になります。さまざまな値を試すことで、最も要件を満たす数値を確認してください。パスフレーズの強度は対数目盛で測定されます。評価は、トラブルシューティングトピックの NIST SP 800-63 で定義されている米国立標準技術研究所のエントロピーのルールに基づいています。一般的に、強固なパスフレーズは以下のような特徴を備えています。長い。大文字、小文字、数字、および特殊文字を含む。あらゆる言語の辞書にある語を含まない。これらの特徴を備えたパスフレーズを適用するには、このページの他の設定を使用します。

Step 4

変更を送信し、保存します。

アプライアンスの割り当てに対するセキュリティ設定の追加

CLI コマンド adminaccessconfig を使用すると、管理者がアプライアンスにログインする際のアクセス要件をさらに厳格にするように Web セキュリティアプライアンスを設定できます。


コマンド	説明
`adminaccessconfig` > `banner`	管理者がログインを試みるときに指定したテキストが表示されるようにアプライアンスを設定します。Web UI、CLI、FTP などの任意のインターフェイスを使用して管理者がアプライアンスにアクセスすると、カスタムのログインバナーが表示されます。 CLI プロンプトに貼り付けるか、Web セキュリティアプライアンス上のテキストファイルからコピーすることによって、カスタムテキストをロードできます。ファイルからテキストをアップロードするには、まず FTP を使用してアプライアンスの configuration ディレクトリにファイルを転送します。
`adminaccessconfig` > `welcome`	これは、管理者がログインに成功したときに表示されるポストログインバナーです。このテキストは、ログインの `adminaccessconfig` > `banner` テキストと同じ方法でアプライアンスの設定に追加されます。
`adminaccessconfig` > `ipaccess`	管理者が Web セキュリティアプライアンスにアクセスするときの接続元の IP アドレスを制御します。管理者は、任意のマシンまたは指定した一覧内の IP アドレスを持つマシンからアプライアンスにアクセスできます。アクセスを許可リストに制限する場合は、IP アドレス、サブネット、または CIDR アドレスを指定できます。デフォルトでは、アプライアンスにアクセスできるアドレスを一覧表示すると、現在のマシンの IP アドレスが許可リストの最初のアドレスとして一覧表示されます。許可リストから現在のマシンの IP アドレスは削除できません。この情報は、Web UI を使用して表示することもできます。ユーザーネットワークアクセスを参照してください。
`adminaccessconfig` > `csrf`	悪意のある要求、またはなりすました要求を識別して、これから保護するために使用される、Web UI のクロスサイト要求偽造保護機能を有効/無効にします。最大のセキュリティを確保するには、CSRF 保護をイネーブルにすることを推奨します。
`adminaccessconfig` > `hostheader`	HTTP 要求でホストヘッダーを使用するよう設定します。デフォルトでは、Web UI は、HTTP 要求内で Web クライアントから送信されたホストヘッダーを使用して応答します。セキュリティを高めるために、アプライアンス固有のホスト名、つまりアプライアンスに設定された名前（`wsa_04.local` など）のみを使用して応答するように Web UI を設定することができます。
`adminaccessconfig` > `timeout`	非アクティビティのタイムアウト間隔、つまりユーザーがログアウトするまでに非アクティブでいられる期間（分数）を指定します。5 ～ 1440 分（24 時間）の値を指定できます。デフォルト値は 30 分です。この情報は、Web UI を使用して表示することもできます。ユーザーネットワークアクセスを参照してください。
`adminaccessconfig` > `how-tos`	特定の設定タスク実行をサポートするウォークスルーを有効にします。
`adminaccessconfig` > `strictssl`	管理者がより強力な SSL 暗号（56 ビット暗号化以上）を使用してポート 8443 の Web インターフェイスにログインできるように、アプライアンスを設定します。より強力な SSL 暗号を必要とするようにアプライアンスを設定すると、その変更は HTTPS を使用して管理の目的でアプライアンスにアクセスする管理者にのみ適用されます。HTTPS を使用して Web プロキシに接続されている他のネットワークトラフィックには適用されません。
`adminaccessconfig` > `loginhistory`	ログイン履歴を保持する日数を設定します。
`adminaccessconfig` > `maxsessions`	同時ログインセッションの最大数を設定します（CLI および Web インターフェイス）。

ユーザーネットワークアクセス

AsyncOS が、アプライアンスから非アクティブなユーザーをログアウトするまでの時間を指定できます。また、許可するユーザー接続のタイプを指定することもできます。

セッションタイムアウトは、管理者を含め、Web UI または CLI にログインしているすべてのユーザーに適用されます。AsyncOS がログアウトしたユーザーは、アプライアンスのログインページにリダイレクトされます。

（注）

このタイムアウトの値を設定するには、CLI adminaccessconfig > timeout を使用することもできます。

手順

ステップ 1	[システム管理（System Administration）] > [ネットワークアクセス（Network Access）] を選択します。
ステップ 2	[設定の編集（Edit Settings）] をクリックします。
ステップ 3	[セッション非アクティブタイムアウト（Session Inactivity Timeout）] フィールドに、ログアウトするまでに許容するユーザーの非アクティブ時間を分数で入力します。 5 ～ 1440 分（24 時間）の範囲でタイムアウト間隔を定義できます。デフォルト値は 30 分です。
ステップ 4	[ユーザーアクセス（User Access）] セクションで、ユーザーのシステムアクセスを制御します。[任意の接続を許可（Allow Any Connection）] または [特定の接続のみを許可（Only Allow Specific Connections）] のいずれかをオンにします。 [特定の接続のみを許可（Only Allow Specific Connections）] をオンにする場合、特定の接続を IP アドレス、IP 範囲、または CIDR 範囲として定義します。クライアント IP アドレスとともに、アプライアンス IP アドレスが [ユーザーアクセス（User Access）] セクションに自動的に追加されます。
ステップ 5	変更を送信し、保存します。

管理者パスフレーズのリセット

Before you begin

admin アカウントのパスフレーズが不明な場合は、カスタマーサポートプロバイダに連絡してパスフレーズをリセットしてください。
パスフレーズの変更は即座に有効になり、変更を送信する必要はありません。

すべての管理者レベルのユーザーは、「admin」ユーザーのパスフレーズを変更できます。

Procedure

Step 1	[管理アプライアンス（Management Appliance）] > [システム管理（System Administration）] > [ユーザー（Users）] を選択します。
Step 2	[User（ユーザー）] リストで [admin] リンクをクリックします。
Step 3	[パスフレーズの変更（Change Passphrase）] を選択します。
Step 4	新しいパスフレーズを作成するか、または入力します。

生成されたメッセージの返信アドレスの設定

レポート用に AsyncOS によって生成されたメールの返信アドレスを設定できます。

Procedure

Step 1	[システム管理（System Administration）] > [返信先アドレス（Return Addresses）] を選択します。
Step 2	[設定の編集（Edit Settings）] をクリックします。
Step 3	表示名、ユーザー名、およびドメイン名を入力します。
Step 4	変更を送信し、保存します。

アラートの管理

アラートとは、Cisco Web セキュリティアプライアンスで発生しているイベントに関する情報が記載されている、電子メールによる通知のことです。これらのイベントにはマイナー（情報）からメジャー（クリティカル）までの重要度（または重大度）レベルがあり、一般的にアプライアンスの特定のコンポーネントまたは機能に関連しています。

Note

アラートと通知メール通知を受信するには、アプライアンスが電子メールメッセージへの送信に使用する SMTP リレーホストを設定する必要があります。

アラートの分類と重大度

アラートに含まれる情報は、アラートの分類と重大度によって決まります。アラート受信者に送信するアラート分類と重大度を指定できます。

アラートの分類

AsyncOS は以下のタイプのアラートを送信します。

システム（System）
ハードウェア（Hardware）
アップデータ（Updater）
Web プロキシ（Web Proxy）
マルウェア対策（Anti-Malware）
AMP
L4 トラフィックモニター（L4 Traffic Monitor）
外部 URL カテゴリ（External URL Categories）
ポリシーの有効期限（Policy Expiration）

アラートの重大度

アラートは、次の重大度に従って送信されます。

クリティカル：ただちに対処する必要があります。
警告：今後モニターリングが必要な問題またはエラー。すぐに対処が必要な場合もあります。
情報：デバイスのルーティン機能で生成される情報。

アラート受信者の管理

Note

システムのセットアップ時に AutoSupport をイネーブルにした場合、指定した電子メールアドレスにすべての重大度およびクラスのアラートを受信します（デフォルト）。この設定はいつでも変更できます。

アラート受信者の追加および編集

Procedure

Step 1	[システム管理（System Administration）] > [アラート（Alerts）] を選択します。
Step 2	[アラート受信者（Alert Recipients）] リストで受信者をクリックして編集するか、[受信者の追加（Add Recipient）] をクリックして新しい受信者を追加します。
Step 3	受信者の電子メールアドレスを追加または編集します。複数のアドレスをカンマで区切って入力することもできます。
Step 4	各アラートタイプごとに、受信するアラートの重大度を選択します。
Step 5	変更を送信し、保存します。

アラート受信者の削除

Procedure

Step 1	[システム管理（System Administration）] > [アラート（Alerts）] を選択します。
Step 2	[アラート受信者（Alert Recipient）] のリストで、アラート受信者に対応するゴミ箱アイコンをクリックして確定します。
Step 3	変更を保存します。

アラート設定値の設定

アラート設定はグローバルな設定であるため、すべてのアラートの動作に影響します。

Procedure

Step 1

[システム管理（System Administration）] > [アラート（Alerts）] を選択します。

Step 2

[設定の編集（Edit Settings）] をクリックします。

Step 3

必要に応じて、アラートの設定値を設定します。


オプション	説明
アラートの送信元アドレス（From Address to Use When Sending Alerts）	アラートを送信するときに使用する RFC 2822 準拠の「Header From:」アドレス。システムのホスト名（「alert@<hostname>」）に基づいてアドレスを自動生成するオプションが用意されています。
重複アラート送信時の待ち時間（Wait Before Sending a Duplicate Alert）	重複アラートの時間間隔を指定します。2 つの設定があります。 [重複アラート初回送信時の待ち時間（秒）（Initial Number of Seconds to Wait Before Sending a Duplicate Alert）]。この値を 0 に設定した場合、重複したアラートのサマリーは送信されず、代わりにすべての重複したアラートがリアルタイムに送信されます（短時間に大量の電子メールを受信する可能性があります）。重複したアラートを送信するまでに待機する秒数は、アラートを送信するたびに増加します。増加する秒数は、前回の待機間隔の 2 倍の値を足した秒数です。つまり、この値を 5 秒に設定すると、アラートは 5 秒後、15 秒後、35 秒後、75 秒後、155 秒後、315 秒後といった間隔で送信されます。 [重複アラート送信時の最大待ち時間（秒）（Maximum Number of Seconds to Wait Before Sending a Duplicate Alert）]。 [重複するアラーﾄメッセージを送信する前に待機する最大の秒数（Maximum Number of Seconds to Wait Before Sending a Duplicate Alert）] フィールドを使用して、待機間隔の秒数に制限を設けることができます。たとえば、初期値を 5 秒に設定し、最大値を 60 秒に設定すると、アラートは 5 秒、15 秒、35 秒、60 秒、120 秒などの間隔で送信されます。

Note

AsyncOS 12.0 以降、Cisco AutoSupport オプションはアラート設定から削除されています。AutoSupport 機能は alertconfig CLI を使用してのみ有効または無効にできます。

Step 4

変更を送信し、保存します。

アラートリスト

以下の項では、分類別にアラートを一覧表示します。各項の表には、アラート名（内部で使用される descriptor）、アラートの実際のテキスト、説明、重大度（クリティカル、情報、または警告）およびメッセージのテキストに含まれるパラメータ（存在する場合）が含まれています。

ハードウェアアラート

以下の表は、AsyncOS で生成されるさまざまなハードウェアアラートのリストです。アラートの説明と重大度が記載されています。


メッセージ	アラートの重大度	パラメータ
A RAID-event has occurred: $error	警告（Warning）	$error：RAID エラーのテキスト。

システムアラート

以下の表は、AsyncOS で生成されるさまざまなシステムアラートのリストです。アラートの説明と重大度が記載されています。


メッセージ	アラートの重大度	パラメータ
Startup script $name exited with error: $message	クリティカル（Critical）。	$name：スクリプトの名前。 $message：エラーメッセージテキスト。
System halt failed: $exit_status: $output',	クリティカル（Critical）。	$exit_status：コマンドの終了コード。 $output：コマンドからの出力。
System reboot failed: $exit_status: $output	クリティカル（Critical）。	$exit_status：コマンドの終了コード。 $output：コマンドからの出力。
Process $name listed $dependency as a dependency, but it does not exist.	クリティカル（Critical）。	$name：プロセスの名前。 $dependency：一覧表示されている依存性の名前。
Process $name listed $dependency as a dependency, but $dependency is not a wait_init process.	クリティカル（Critical）。	$name：プロセスの名前。 $dependency：一覧表示されている依存性の名前。
Process $name listed itself as a dependency.	クリティカル（Critical）。	$name：プロセスの名前。
Process $name listed $dependency as a dependency multiple times.	クリティカル（Critical）。	$name：プロセスの名前。 $dependency：一覧表示されている依存性の名前。
Dependency cycle detected: $cycle.	クリティカル（Critical）。	$cycle：サイクルに関係するプロセス名のリスト。
An error occurred while attempting to share statistical data through the Network Participation feature. Please forward this tracking information to your support provider: Error: $error.	警告（Warning）。	$error：例外に関連付けられたエラーメッセージ。
There is an error with “$name”.	クリティカル（Critical）。	$name：コアファイルを生成したプロセスの名前。
An application fault occurred: “$error”	クリティカル（Critical）。	$error：エラーのテキスト（通常はトレースバック）。
Appliance: $appliance, User: $username, Source IP: $ip, Event: Account locked due to X failed login attempts. User $username is locked after X consecutive login failures. Last login attempt was from $ip.	情報（Information）。	$appliance：特定の Web セキュリティアプライアンスの ID。 $username：特定のユーザーアカウントの ID。 $ip：ログインが試行された IP アドレス。
Tech support: Service tunnel has been enabled, port $port	情報（Information）。	$port：サービストンネルに使用されるポート番号。
Tech support: Service tunnel has been disabled.	情報（Information）。	適用なし
The host at $ip has been added to the blocked list because of an SSH DOS attack. The host at $ip has been permanently added to the ssh allowed list. The host at $ip has been removed from the blocked list.	警告（Warning）。	$ip：ログインが試行された IP アドレス。説明： SSH を介してアプライアンスへの接続を試みているが、有効なクレデンシャルを提示しない IP アドレスは、2 分以内に 11 回以上試行に失敗した場合、SSH のブロックリストに追加されます。同じ IP アドレスからユーザが正常にログインすると、その IP アドレスは許可リストに追加されます。許可リストのアドレスは、それらがブロックリストに含まれていてもアクセスが許可されます。エントリは約 1 日後にブロックリストから自動的に削除されます。

Note

システムアラートには、機能キーアラート、ロギングアラート、レポートアラートが含まれます。これらのアラートは、システムアラートの一部として設定した後に受信します。

機能キーアラート

以下の表は、AsyncOS で生成されるさまざまな機能キーアラートのリストです。アラートの説明と重大度が記載されています。


メッセージ	アラートの重大度	パラメータ
A “$feature” key was downloaded from the key server and placed into the pending area. EULA acceptance required.	情報（Information）。	$feature：機能の名前。
Your “$feature” evaluation key has expired. Please contact your authorized sales representative.	警告（Warning）。	$feature：機能の名前。
Your “$feature” evaluation key will expire in under $days day(s). Please contact your authorized sales representative.	警告（Warning）。	$feature：機能の名前。 $days：機能キーの期限が切れるまでの日数。

ロギングアラート

以下の表は、AsyncOS で生成されるさまざまなロギングアラートのリストです。アラートの説明と重大度が記載されています。


メッセージ	アラートの重大度	パラメータ
$error.	情報（Information）。	$error：エラーのトレースバック文字列。
Log Error: Subscription $name: Log partition is full.	クリティカル（Critical）。	$name：ログサブスクリプション名。
Log Error: Push error for subscription $name: Failed to connect to $ip: $reason.	クリティカル（Critical）。	$name：ログサブスクリプション名。 $ip：リモートホストの IP アドレス。 $reason：接続エラーについて説明するテキスト。
Log Error: Push error for subscription $name: An FTP command failed to $ip: $reason.	クリティカル（Critical）。	$name：ログサブスクリプション名。 $ip：リモートホストの IP アドレス。 $reason：問題点について説明するテキスト。
Log Error: Push error for subscription $name: SCP failed to transfer to $ip:$port: $reason',	クリティカル（Critical）。	$name：ログサブスクリプション名。 $ip：リモートホストの IP アドレス。 $port：リモートホストのポート番号。 $reason：問題点について説明するテキスト。
Log Error: 'Subscription $name: Failed to connect to $hostname ($ip): $error.	クリティカル（Critical）。	$name：ログサブスクリプション名。 $hostname：Syslog サーバーのホスト名。 $ip：Syslog サーバーの IP アドレス。 $error：エラーメッセージのテキスト。
Log Error: Subscription $name: Network error while sending log data to syslog server $hostname ($ip): $error	クリティカル（Critical）。	$name：ログサブスクリプション名。 $hostname：Syslog サーバーのホスト名。 $ip：Syslog サーバーの IP アドレス。 $error：エラーメッセージのテキスト。
Subscription $name: Timed out after $timeout seconds sending data to syslog server $hostname ($ip).	クリティカル（Critical）。	$name：ログサブスクリプション名。 $timeout：秒単位のタイムアウト。 $hostname：Syslog サーバーのホスト名。 $ip：Syslog サーバーの IP アドレス。
Subscription $name: Syslog server $hostname ($ip) is not accepting data fast enough.	クリティカル（Critical）。	$name：ログサブスクリプション名。 $hostname：Syslog サーバーのホスト名。 $ip：Syslog サーバーの IP アドレス。
Subscription $name: Oldest log file(s) were removed because log files reached the maximum number of $max_num_files. Files removed include: $files_removed.	情報（Information）。	$name：ログサブスクリプション名。 $max_num_files：ログサブスクリプションごとに許可されるファイルの最大数。 $files_removed：削除されたファイルのリスト。

レポートアラート

以下の表は、AsyncOS で生成されるさまざまなレポートアラートのリストです。アラートの説明と重大度が記載されています。


メッセージ	アラートの重大度	パラメータ
The reporting system is unable to maintain the rate of data being generated. Any new data generated will be lost.	クリティカル（Critical）。	適用なし
The reporting system is now able to handle new data.	情報（Information）。	適用なし
A failure occurred while building periodic report ‘$report_title’. This subscription should be examined and deleted if its configuration details are no longer valid.	クリティカル（Critical）。	$report_title：レポートのタイトル。
A failure occurred while emailing periodic report ‘$report_title’. This subscription has been removed from the scheduler.	クリティカル（Critical）。	$report_title：レポートのタイトル。
Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above $threshold percent. Recording of reporting events will soon become limited and reporting data may be lost if disk space is not freed up (by removing old logs, etc). Once disk usage drops below $threshold percent, full processing of reporting data will be restarted automatically.	警告（Warning）。	$threshold：しきい値。
PERIODIC REPORTS: While building periodic report $report_title' the expected domain specification file could not be found at ‘$file_name’. No reports were sent.	クリティカル（Critical）。	$report_title：レポートのタイトル。 $file_name：ファイルの名前。
Counter group “$counter_group” does not exist.	クリティカル（Critical）。	$counter_group：counter_group の名前。
PERIODIC REPORTS: While building periodic report $report_title’ the domain specification file ‘$file_name’ was empty. No reports were sent.	クリティカル（Critical）。	$report_title：レポートのタイトル。 $file_name：ファイルの名前。
PERIODIC REPORTS: Errors were encountered while processing the domain specification file ‘$file_name’ for the periodic report ‘$report_title’. Any line which has any reported problem had no report sent. $error_text	クリティカル（Critical）。	$report_title：レポートのタイトル。 $file_name：ファイルの名前。 $error_text：発生したエラーのリスト。
Processing of collected reporting data has been disabled due to lack of logging disk space. Disk usage is above $threshold percent. Recording of reporting events will soon become limited and reporting data may be lost if disk space is not freed up (by removing old logs, etc). Once disk usage drops below $threshold percent, full processing of reporting data will be restarted automatically.	警告（Warning）。	$threshold：しきい値。
The reporting system has encountered a critical error while opening the database. In order to prevent disruption of other services, reporting has been disabled on this machine. Please contact customer support to have reporting enabled. The error message is: $err_msg	クリティカル（Critical）。	$err_msg：エラーメッセージテキスト。

アップデータアラート

以下の表は、AsyncOS で生成されるさまざまなアップデータアラートのリストです。アラートの説明と重大度が記載されています。


メッセージ	アラートの重大度	パラメータ
The $app application tried and failed $attempts times to successfully complete an update. This may be due to a network configuration issue or temporary outage.	警告（Warning）。	$app：Web セキュリティアプライアンスセキュリティサービス名。 $attempts：試行回数。
The updater has been unable to communicate with the update server for at least $threshold.	警告（Warning）。	$threshold:：しきい値の時間。
Unknown error occurred: $traceback.	クリティカル（Critical）。	$traceback：トレースバック情報。
Certificate Revoke: OCSP validation failed for the UPDATER Server Certificate ($host:$port). Ensure the certificate is valid.	クリティカル（Critical）	$host：UPDATER サーバーのホスト名。 $port：UPDATER サーバーのポート。

マルウェア対策アラート

Advanced Malware Protection に関連するアラートについては、Advanced Malware Protection の問題に関するアラートの確実な受信を参照してください。

AMP アラート

次の表には、アラートおよびアラートの重大度についての説明を含む、AsyncOS で生成されるさまざまな Cisco Advanced Malware Protection アラートのリストなどが記載されています。


メッセージ	アラートの重大度	パラメータ
Cisco Advanced Malware Protection for Endpoints コンソールへのアプライアンスの登録に失敗しました。 $error	警告（Warning）	[$error]：エラーメッセージ。
Cisco Advanced Malware Protection for Endpoints コンソールからのアプライアンス（$devname）の登録解除に失敗しました。 $error	警告（Warning）	[$devname]：デバイス名。 [$error]：エラーメッセージ。

Web プロキシアラート

次の表には、アラートおよびアラートの重大度についての説明を含む、AsyncOS で生成されるさまざまな Web プロキシアラートのリストなどが記載されています。


メッセージ	アラートの重大度	パラメータ
ディスク読み取り/書き込み中にエラーが発生しました。 $error	情報	[$info]：書き込まれるオブジェクト、オブジェクトサイズなどの追加情報。
Web プロキシは、キャッシングパーティションの内容が無効であることを検出しました。キャッシュをフラッシュすると、問題が解決する場合があります。 $errorstring	情報	[$errorstring]：キャッシュコンテンツが無効だった理由に関する追加情報。
設定パラメータのエラー。 $errorstring	警告（Warning）	[$errorstring]：パラメータとその値の両方を含む、パラメータ値のエラーの詳細な説明。
クライアント側の総接続数がしきい値制限を超えました。永続的な接続は一時的に無効になっています。 $info	警告（Warning）	[$info]：追加情報。
設定された WCCPv2 ルーターが無応答または到達不能です。 $info	警告（Warning）	[$info]：追加情報。
設定されたアップストリーム転送プロキシが無応答または到達不能です。 $info	警告（Warning）	[$info]：追加情報。
Web プロキシプロセスがメモリ不足で再起動しました $info	警告（Warning）	[$info]：追加情報。
snmp ライブラリ内でエラーが発生しました。 $info	警告（Warning）	[$info]：問題の snmp リクエストなどの追加情報。
その他のエラーにより、Web プロキシが終了しました。 $info	警告（Warning）	[$info]：追加情報（該当する場合）。
ドメインネームシステム（DNS）プロセスが終了しました。 $info	警告（Warning）	[$info]：追加情報（該当する場合）。
認証プロセスが終了しました。 $info	警告（Warning）	[$info]：追加情報（該当する場合）。
Web プロキシは、プロセスの起動中に主要な内部データ構造用にメモリを予約できませんでした。 $info	クリティカル（Critical）	[$info]：さまざまな主要な内部データ構造のサイズなどの追加情報。
ディスク読み取り/書き込み中にエラーが発生しました。 $info	クリティカル（Critical）	[$info]：書き込まれるオブジェクト、オブジェクトサイズなどの追加情報。

外部 URL カテゴリアラート

次の表には、アラートおよびアラートの重大度についての説明を含む、AsyncOS で生成されるさまざまな外部 URL カテゴリアラートのリストなどが記載されています。


メッセージ	アラートの重大度	パラメータ
$errmsg	警告（Warning）	[$errmsg]：エラーメッセージ。
$errmsg	情報	[$errmsg]：エラーメッセージ。
$errmsg	クリティカル（Critical）	[$errmsg]：エラーメッセージ。

L4 トラフィックモニタリング

次の表には、アラートおよびアラートの重大度についての説明を含む、AsyncOS で生成されるさまざまな L4 トラフィックアラートのリストなどが記載されています。


メッセージ	アラートの重大度	パラメータ
$errmsg	警告（Warning）	[$errmsg]：エラーメッセージ。
$errmsg	情報	[$errmsg]：エラーメッセージ。
$errmsg	クリティカル（Critical）	[$errmsg]：エラーメッセージ。

ポリシーの期限切れアラート

次の表は、AsyncOS で生成されるさまざまなポリシーアラートのリストです。アラートの説明と重大度が記載されています。


メッセージ	アラートの重大度	パラメータ
'$PolicyType': '$GroupName' は、有効期限の設定のため、ディセーブルにされています。	情報	$PolicyType: は、Web ポリシータイプに基づくアクセスポリシー/復号ポリシーです。 $GroupName: は、ポリシーグループの名前です。
'$PolicyType' : '$GroupName' は、3 日後に期限切れとなります。	情報	$PolicyType: は、Web ポリシータイプに基づくアクセスポリシー/復号ポリシーです。 $GroupName: は、ポリシーグループの名前です。

FIPS Compliance

Federal Information Processing Standard（FIPS）は、機密情報であるが機密扱いされていない情報を保護するために、すべての政府機関で使用される暗号化モジュールの要件を規定しています。FIPS は、連邦政府のセキュリティとデータプライバシー要件の遵守を確実にするために役立ちます。国立標準技術研究所（NIST）によって開発された FIPS は、連邦政府の要件を満たす任意の規格がない場合に使用されます。

Web セキュリティアプライアンスは Cisco Common Cryptographic Module（C3M）を使用して FIPS モードの FIPS 140-2 準拠を実現します。デフォルトでは、FIPS モードはディセーブルです。

Note

AsyncOS 15.0 リリース以降、連邦情報処理標準（FIPS）モードはサポートされていません。

FIPS 証明書の要件

FIPS モードでは、Web セキュリティアプライアンスでイネーブルになっているすべての暗号化サービスについて FIPS 準拠の証明書を使用する必要があります。これは、以下の暗号化サービスに適用されます。

HTTPS プロキシ
認証
SaaS のアイデンティティプロバイダー
アプライアンス管理 HTTPS サービス
セキュア ICAP 外部 DLP 設定
Identity Services Engine
SSL の設定
SSH の設定

Note

FIPS モードをイネーブルにする前に、FIPS 準拠証明書を使用してアプライアンス管理 HTTPS サービスを設定する必要があります。他の暗号化サービスはイネーブルにする必要はありません。

FIPS 準拠の証明書は以下の要件を満たす必要があります。


証明書	アルゴリズム	署名アルゴリズム	注記
X509	RSA	sha1WithRSAEncryption sha256WithRSAEncryption	最適な復号パフォーマンスと十分なセキュリティを実現するために、1024 ビットのキーサイズを推奨します。ビットサイズをさらに大きくすると、セキュリティは向上しますが、復号のパフォーマンスに影響します。

FIPS 証明書の検証

FIPS モードがイネーブルの場合、アプライアンスは次の証明書チェックを実行します。

Web セキュリティアプライアンスにアップロードされたすべての証明書は、UI によってアップロードされたのか、それとも certconfig CLI コマンドによってアップロードされたのかに関係なく、CC 標準に厳格に従うように検証されます。Web セキュリティアプライアンスの信頼ストア内の適切な信頼パスが設定されていない証明書は、アップロードできません。
信頼できるパス検証によって証明書の署名が検証され、すべての署名者証明書に対して検証済みの basicConstrains および CAFlag のセットによって証明書/公開キーの改ざんが検証されます。
失効リストに対して証明書を検証するために OCSP 検証を使用できます。これは、certconfig CLI コマンドを使用して設定できます。

厳格な証明書検証についても参照してください。

FIPS モードの有効化または無効化

Before you begin

アプライアンス設定のバックアップコピーを作成します（以下を参照）。アプライアンス設定ファイルの保存
FIPS モードで使用される証明書で、FIPS 140-2 認定の公開キーアルゴリズムが使用されていることを確認します（FIPS 証明書の要件を参照）。

Note

FIPS モードを変更すると、アプライアンスが再起動されます。
FIPS モードを無効にした場合、SSL および SSH 設定（FIPS モードが有効にされている場合は、自動的に FIPS 対応になるようにする設定）はデフォルト値にリセットされません。接続する際、厳格でない SSH/SSL 設定を使用してクライアントが接続できるようにする必要がある場合は、明示的にこれらの設定を変更する必要があります。詳細については、SSL の設定を参照してください。

Procedure

Step 1	[システム管理（System Administration）] > [FIPS モード（FIPS Mode）] を選択します。
Step 2	[設定の編集（Edit Settings）] をクリックします。
Step 3	[FIPS コンプライアンスの有効化（Enable FIPS Compliance）] をオンにして、FIPS コンプライアンスを有効にします。 [FIPS コンプライアンスの有効化（Enable FIPS Compliance）] をオンにすると、[重大な機密性パラメータ（CSP）の暗号化を有効にする（Enable encryption of Critical Sensitive Parameters (CSP)）] チェックボックスが有効になります。
Step 4	パスワード、認証情報、証明書、共有キーなどの設定データの暗号化を有効にする場合は、[重大な機密性パラメータ（CSP）の暗号化を有効にする（Enable encryption of Critical Sensitive Parameters (CSP)）] をオンにします。
Step 5	[送信（Submit）] をクリックします。
Step 6	[続行（Continue）] をクリックして、アプライアンスの再起動を許可します。

システムの日時の管理

タイムゾーンの設定
NTP サーバーによるシステムクロックの同期

タイムゾーンの設定

Procedure

Step 1	[システム管理（System Administration）] > [タイムゾーン（Time Zone）] を選択します。
Step 2	[設定の編集（Edit Settings）] をクリックします。
Step 3	地域、国、およびタイムゾーンを選択するか、GMT オフセットを選択します。
Step 4	変更を送信し、保存します。

NTP サーバーによるシステムクロックの同期

アプライアンスで手動で時間を設定するのではなく、ネットワークタイムプロトコル（NTP）サーバーに照会して現在の日時を追跡できるように Web セキュリティアプライアンスを設定することをお勧めします。これは、特にアプライアンスが他のデバイスと統合されている場合に該当します。統合されたすべてのデバイスが同じ NTP サーバーを使用する必要があります。

Procedure

Step 1

[システム管理（System Administration）] > [時間の設定（Time Settings）] を選択します。

Step 2

[設定の編集（Edit Settings）] をクリックします。

Step 3

[時刻の設定方法（Time Keeping Method）] として [NTP（Network Time Protocol）を使用（Use Network Time Protocol）] を選択します。

Step 4

サーバーの追加が必要な場合は、[行の追加（Add Row）] をクリックして、NTP サーバーの完全修飾ホスト名または IP アドレスを入力します。

Step 5

（任意）NTP クエリーに使用するアプライアンスのネットワークインターフェイスタイプ（管理またはデータのいずれか）に関連付けられている、ルーティングテーブルを選択します。これは、NTP クエリーが発信される IP アドレスになります。

Note

このオプションは、アプライアンスがデータトラフィック用と管理トラフィック用に分割ルーティングを使用している場合にのみ変更できます。

Step 6

変更を送信し、保存します。

SSL の設定

セキュリティを向上させるために、いくつかのサービスで SSL v3 とさまざまなバージョンの TLS をイネーブルまたはディセーブルにできます。最善のセキュリティを実現するために、すべてのサービスで SSL v3 をディセーブルにすることをお勧めします。デフォルトでは、すべてのバージョンの TLS がイネーブルに設定され、SSL がディセーブルに設定されます。

Note

これらの機能は、sslconfig CLI コマンドを使用してイネーブルまたはディセーブルにすることもできます。Web セキュリティアプライアンス CLI コマンドを参照してください。

Note

TLS 暗号が無効になる SSL 構成を修正または変更した場合は、アプリケーションを再起動します。

Procedure

Step 1

[システム管理（System Administration）] > [SSL 設定（SSL Configuration）] を選択します。

Step 2

[設定の編集（Edit Settings）] をクリックします。

Step 3

これらのサービスで SSL v3 と TLS v1.x をイネーブルにするには、対応するチェックボックスをオンにします。

[アプライアンス管理 Web ユーザーインターフェイス（Appliance Management Web User Interface）]：この設定を変更すると、すべてのアクティブユーザーの接続が切断されます。

Note

プロトコルバージョンの場合、TLSv1.2 はデフォルトで有効になっています。[TLSv1.3] チェックボックスをオンにするか、sslconfig コマンドを使用して、TLSv1.3 を選択できるようになりました。このコマンドの詳細については、Web セキュリティアプライアンス CLI コマンドを参照してください。プロトコルバージョンとして TLSv1.3 を選択する場合は、TLSv1.3 を使用する暗号を提供する必要があります。

[プロキシサービス（Proxy Services）]：セキュアクライアント用の HTTPS プロキシとクレデンシャル暗号化が含まれます。このセクションには以下も含まれています。

[使用する暗号（Cipher(s) to Use）]：プロキシサービスとの通信に使用する追加の暗号スイートを入力できます。スイートの区切りにはコロン（:）を使用します。特定の暗号の使用を防止するには、その文字列の先頭に感嘆符（!）を追加します。たとえば !EXP-DHE-RSA-DES-CBC-SHA と入力します。

確認済みの TLS/SSL バージョンに適切なスイートのみを入力するようにしてください。詳細および暗号リストについては、https://www.openssl.org/docs/manmaster/man1/ciphers.htmlを参照してください。

アプライアンスは TLSv1.3 バージョンをサポートしています。暗号 TLS_AES_256_GCM_SHA384 がデフォルトの暗号リストに追加されました。デフォルトでは、TLSv1.3 はアプライアンス上で有効になります。

AsyncOS バージョン 9.0 以前のデフォルトの暗号は、DEFAULT:+kEDH です。

AsyncOS バージョン 9.1 ～ 11.8 のデフォルトの暗号は、次のとおりです。

EECDH:DSS:RSA:!NULL:!eNULL:!EXPORT:!3DES:!RC4:!RC2:!DES:!SEED:!CAMELLIA
:!SRP:!IDEA:!ECDHE-ECDSA-AES256-SHA:!ECDHE-RSA-AES256-SHA:!DHE-DSS-AES256-SHA:
!AES256-SHA:DHE-RSA-AES128-SHA

この場合、デフォルトの暗号は ECDHE 暗号の選択によって変わる場合があります。

AsyncOS バージョン 12.0 以降のデフォルトの暗号は、次のとおりです。

EECDH:DSS:RSA:!NULL:!eNULL:!aNULL:!EXPORT:!3DES:!SEED:!CAMELLIA
:!SRP:!IDEA:!DHE-DSS-AES256-SHA:!AES256-SHA:DHE-RSA-AES128-SHA:
TLS_AES_256_GCM_SHA384

Note

新しい AsyncOS バージョンにアップグレードする際に、デフォルトの暗号スイートを更新します。暗号スイートは自動的に更新されません。以前のバージョンから AsyncOS 12.0 以降にアップグレードする場合は、暗号スイートを次のように更新することを推奨します。

EECDH:DSS:RSA:!NULL:!eNULL:!aNULL:!EXPORT:!3DES:!SEED:!CAMELLIA
:!SRP:!IDEA:!DHE-DSS-AES256-SHA:!AES256-SHA:DHE-RSA-AES128-SHA:
TLS_AES_256_GCM_SHA384

[TLS 圧縮の無効化（推奨）（Disable TLS Compression (Recommended)）]：TLS 圧縮を無効にするには、このチェックボックスをオンにします。最善のセキュリティを実現するには、この設定が推奨されます。

[セキュア LDAP サービス（Secure LDAP Services）]：認証、外部認証、およびセキュアモビリティが含まれます。
[セキュアICAPサービス（外部DLP）（Secure ICAP Services (External DLP)）]：アプライアンスと外部 DLP （データ漏洩防止）サーバー間の ICAP 通信の保護に使用するプロトコルを選択します。詳細については、外部 DLP サーバーの設定を参照してください。
[サービスの更新（Update Service）]：アプライアンスと利用可能なアップデートサーバー間の通信に使用するプロトコルを選択します。サービスの更新の詳細については、AsyncOS for Web のアップグレートとアップデートを参照してください。

Note

シスコのアップデートサーバーは SSL v3 をサポートしていません。したがって、TLS 1.0 以上を Cisco アップデートサービスでイネーブルにしておく必要があります。ただし、ローカルアップデートサーバーでは現在も SSL v3 を使用することができます（そのように設定されている場合）。それらのサーバーでサポートされている SSL/TLS のバージョンを確認してください。

Step 4

[Submit] をクリックします。

証明書の管理

アプライアンスでは、デジタル証明書を使用してさまざまな接続を確立、確認、保護します。[証明書の管理（Certificate Management）] ページでは、現在の証明書リストの表示や更新、信頼できるルート証明書の管理、およびブロックされた証明書の表示を行うことができます。

Note

アプライアンスがインターネットに接続されていない場合、[証明書管理（Certificate Management）] ページのロードに時間がかかり、タイムアウトエラーが発生します。さらに、証明書をロードした後、[マニフェストを取得できませんでした（Failed to fetch manifest）] ネットワークエラーが [証明書の更新（Certificate Updates）] リストに表示されます。

厳格な証明書検証について

AsyncOS 10.5 での FIPS モード更新のリリースに伴い、提示される証明書はすべて、アップロード前にコモンクライテリア（CC）標準に準拠していることを確認するため厳格に検証されます。証明書を証明書失効リストと照合して検証するには、OCSP 検証を使用できます。

適切で有効な証明書が Web セキュリティアプライアンスにアップロードされていることと、すべての関連サーバーで円滑な SSL ハンドシェイクを実行できるように、有効でセキュアな証明書がすべての関連サーバーで設定されていることを確認する必要があります。

厳格な証明書検証は、次の証明書のアップロードに適用されます。

HTTPS プロキシ（[セキュリティサービス（Security Services）] > [HTTPSプロキシ（HTTPS Proxy）]）
ファイル分析サーバー（[セキュリティサービス（Security Services）] > [マルウェア対策とレピュテーション（Anti-Malware and Reputation）] > [ファイル分析の詳細設定（Advanced Settings for File Analysis）] > [ファイル分析サーバー（File Analysis Server）]：[プライベートクラウドおよび認証局（Private Cloud & Certificate Authority）]：[アップロードされた認証局の使用（Use Uploaded Certificate Authority）]）
信頼できるルート証明書（[ネットワーク（Network）] > [証明書の管理（Certificate Management）]）
グローバル認証の設定（[ネットワーク（Network）] > [認証（Authentication）] > [グローバル認証の設定（Global Authentication Settings）]）
SaaS の ID プロバイダ（[ネットワーク（Network）] > [SaaS のIDプロバイダ（Identity Provider for SaaS）]）
Identity Services Engine（[ネットワーク（Network）] > [Identity Services Engine]）
外部 DLP サーバー（[ネットワーク（Network）] > [外部DLPサーバー（External DLP Servers）]）
LDAP およびセキュア LDAP（[ネットワーク（Network）] > [認証（Authentication）] > [レルム（Realm）]）

FIPS Compliance も参照してください。

証明書およびキーについて

ユーザーに認証を要求するときに、ブラウザはセキュア HTTPS 接続を使用して Web プロキシに認証クレデンシャルを送信します。Web セキュリティアプライアンスは、デフォルトで付属の「Cisco Web セキュリティアプライアンスデモ証明書（Cisco Web Security Appliance Demo Certificate）」を使用して、クライアントとの HTTPS 接続を確立します。多くのブラウザでは、証明書が無効であるという内容の警告が表示されます。無効な証明書に関するメッセージをユーザーに表示しないようにするには、アプリケーションで自動的に認識される証明書とキーのペアをアップロードします。

信頼できるルート証明書の管理

Web セキュリティアプライアンスには、信頼できるルート証明書のリストが付属し、これが維持されます。信頼できる証明書を持つ Web サイトでは、復号は必要ありません。

信頼できる証明書のリストに証明書を追加し、機能的に証明書を削除すると、信頼できる証明書のリストを管理できます。Web セキュリティアプライアンスでは、プライマリリストから証明書は削除されませんが、ユーザーが証明書の信頼を無効化できます。これで、信頼できるリストから証明書が機能的に削除されます。

信頼できるルート証明書を追加、上書き、ダウンロードするには、以下の手順を実行します。

Procedure

Step 1	[ネットワーク（Network）] > [証明書の管理（Certificate Management）] の順に選択します。
Step 2	[証明書の管理（Certificate Management）] ページの [信頼できるルート証明書の管理（Manage Trusted Root Certificates）] をクリックします。
Step 3	シスコ認識済みリストに記載されていない認証局の署名が付いたカスタムの信頼できるルート証明書を追加するには、以下の手順を実行します。 [インポート（Import）] をクリックし、証明書ファイルを参照して選択し、[送信（Submit）] します。
Step 4	1 つ以上のシスコ認識済み証明書の信頼を上書きするには、以下の手順を実行します。上書きする各エントリの [信頼を上書き（Override Trust）] チェックボックスをオンにします。 [送信（Submit）] をクリックします。
Step 5	特定の証明書のコピーをダウンロードするには、以下の手順を実行します。シスコの信頼できるルート証明書リストで証明書の名前をクリックし、エントリを展開します。 [証明書をダウンロード（Download Certificate）] をクリックします。

証明書の更新

[更新（Updates）] セクションには、アプライアンス上のシスコの信頼できるルート証明書とブロックリストのバンドルについて、バージョン情報と最終更新情報が一覧表示されます。これらのバンドルは定期的に更新されます。

Procedure

[証明書の管理（Certificate Management）] ページで [今すぐ更新（Update Now）] をクリックし、アップデート可能なすべてのバンドルを更新します。

ブロックされた証明書の表示

シスコにより無効であると判定されてブロックされた証明書のリストを表示するには、以下の手順を実行します。

Procedure

[ブロック済み証明書を表示（View Blocked Certificates）] をクリックします。

証明書とキーのアップロードまたは生成

一部の AsyncOS 機能では、接続の確立、確認、または保護のために証明書とキーが必要です。たとえば、Identity Services Engine（ISE）などの機能がこれに該当します。既存の証明書とキーをアップロードしたり、機能を設定するときに新しい証明書とキーを生成したりできます。

証明書およびキーのアップロード

アプライアンスにアップロードする証明書は、以下の要件を満たしている必要があります。

X.509 標準を使用していること。
一致する秘密キーが PEM 形式で含まれていること。DER 形式はサポートされていません。

Procedure

Step 1

[アップロードされた証明書とキーを使用（Use Uploaded Certificate and Key）] を選択します。

Step 2

[証明書（Certificate] フィールドで [参照（Browse）]をクリックし、アップロードするファイルを検索します。

Note

Web プロキシは、ファイル内の最初の証明書またはキーを使用します。証明書ファイルは PEM 形式にする必要があります。DER 形式はサポートされていません。

Step 3

[キー（Key）] フィールドで [参照（Browse）] をクリックし、アップロードするファイルを指定します。

Note

キーの長さは 512、1024、または 2048 ビットである必要があります。秘密キーファイルは PEM 形式でなければなりません。DER 形式はサポートされていません。

Step 4

キーが暗号化されている場合は、[キーは暗号化されています（Key is Encrypted）] を選択します。

Step 5

[ファイルのアップロード（Upload File）] をクリックします。

証明書およびキーの生成

Procedure

Step 1

[生成された証明書とキーを使用（Use Generated Certificate and Key）] を選択します。

Step 2

[新しい証明書とキーを生成（Generate New Certificate and Key）] をクリックします。

[証明書とキーを生成（Generate Certificate and Key）] ダイアログボックスで、必要な生成情報を入力します。

Note

[共通名（Common Name）] フィールドには、スラッシュ（/）を除く任意の ASCII 文字を入力できます。

[証明書とキーを生成（Generate Certificate and Key）] ダイアログボックスで、[生成（Generate）] をクリックします。

生成が完了すると、[証明書（Certificate）] セクションに、証明書の情報と 2 つのリンク（[証明書をダウンロードDownload Certificate] と [証明書署名要求のダウンロード（Download Certificate Signing Request）]）が表示されます。また、認証局（CA）から署名付き証明書を受信したときに、それをアップロードするために使用する [署名付き証明書（Signed Certificate）] オプションも表示されます。

Step 3

[証明書をダウンロードDownload Certificate] をクリックして、アプライアンスにアップロードする新しい証明書をダウンロードします。

Step 4

[証明書署名要求のダウンロード（Download Certificate Signing Request）] をクリックして、署名のために認証局（CA）に送信する新しい証明書ファイルをダウンロードします。この処理の詳細については、証明書署名要求を参照してください。

CA から署名付き証明書が返送されたら、[証明書（Certificate）] フィールドの [署名付き証明書（Signed Certificate）] で [参照（Browse）] をクリックして、署名付き証明書ファイルを指定し、[ファイルのアップロード（Upload File）] をクリックしてアプライアンスにアップロードします。
CA のルート証明書がアプライアンスの信頼できるルート証明書リストに含まれていることを確認します。リストにない場合は追加します。詳細については、信頼できるルート証明書の管理を参照してください。

証明書署名要求

Web セキュリティアプライアンスは、アプライアンスにアップロードされた証明書の証明書署名要求（CSR）を生成することはできません。そのため、アプライアンス用に作成された証明書を使用するには、別のシステムから署名要求を発行する必要があります。後でアプライアンスにインストールする必要があるため、このシステムから PEM 形式のキーを保存します。

最新バージョンの OpenSSL がインストールされた、任意の UNIX マシンを使用できます。CSR にアプライアンスのホスト名があることを確認してください。OpenSSL を使用した CSR の生成の詳細については、以下の場所にあるガイドラインを参照してください。

http://www.modssl.org/docs/2.8/ssl_faq.html#ToC28

CSR が生成されたら、認証局（CA）に送信します。CA は、証明書を PEM 形式で返します。

初めて証明書を取得する場合は、インターネットで「certificate authority services SSL server certificates（SSL サーバー証明書を提供している認証局）」を検索して、環境のニーズに最も適したサービスを選択します。サービスの手順に従って、SSL 証明書を取得します。

Note

独自の証明書を生成して署名することもできます。そのためのツールは http://www.openssl.org の無料のソフトウェア OpenSSL に含まれています。

中間証明書

ルート認証局(CA)の証明書検証に加えて、AsyncOS では、中間証明書の検証の使用もサポートされます。中間証明書とは信頼できるルート認証局によって発行された証明書であり、追加の証明書を作成するために使用されます。これは、信頼の連鎖を作成します。たとえば、信頼できるルート認証局によって証明書を発行する権利が与えられた example.com によって証明書が発行されたとします。example.com によって発行された証明書は、example.com の秘密キーおよび信頼できるルート認証局の秘密キーと照合して検証する必要があります。

サーバーは、SSL ハンドシェイクで「証明書チェーン」を送信し、クライアント（ブラウザなど。この場合は HTTPS プロキシである Web セキュリティアプライアンス）がサーバーを認証できるようにします。通常、サーバー証明書は中間証明書により署名され、中間証明書は信頼できるルート証明書により署名され、ハンドシェイク中にサーバー証明書と全体の証明書チェーンがクライアントに表示されます。通常、ルート証明書は Web セキュリティアプライアンスの信頼できる証明書ストアに存在するため、証明書チェーンの検証は成功します。

ただし、サーバーでエンドポイントエンティティ証明書が変更された場合、新しいチェーンに必要な更新が実行されません。その結果、サーバーは SSL ハンドシェイク中にサーバー証明書のみを表示し、Web セキュリティアプライアンスプロキシは中間証明書が存在しないため証明書チェーンを検証できません。

以前のソリューションでは、Web セキュリティアプライアンス管理者が手動で介入し、信頼できる証明書ストアに必要な中間証明書をアップロードしていました。現在は、CLI コマンド advancedproxyconfig > HTTPS > Do you want to enable automatic discovery and download of missing Intermediate Certificates? を使用して、「中間証明書の検出」を有効にできます。これは、Web セキュリティアプライアンスがこれらの状況で手動手順を排除しようとするために使用するプロセスです。

中間証明書の検出では、「AIA 追跡」という方法を使用します。この方法では、信頼できない証明書が存在する場合、Web セキュリティアプライアンスはその証明書に「Authority Information Access」という拡張情報があるか検証します。この拡張情報には、オプションの CA 発行者の URI フィールドが含まれています。このフィールドには、問題のサーバー証明書の署名に使用される発行者証明書を照会することができます。これが使用可能になると、Web セキュリティアプライアンスはルートの CA 証明書が取得されるまで発行者の証明書を再帰的に取得し、チェーンを再度検証しようとします。

AsyncOS for Web のアップグレートとアップデート

シスコでは、AsyncOS for Web とそのコンポーネント向けに、アップグレード（新しいソフトウェアバージョン）とアップデート（現在のソフトウェアバージョンの変更）を定期的にリリースしています。

AsyncOS for Web をアップグレードするためのベストプラクティス

アップグレードを開始する前に、[システム管理（System Administration）] > [設定ファイル（Configuration File）] ページまたは saveconfig コマンドを使用して、Web セキュリティアプライアンスから XML コンフィギュレーションファイルを保存します。
PAC ファイルやカスタマイズしたエンドユーザー通知ページなど、アプライアンスに格納されている他のファイルを保存します。
アップグレード時には、さまざまなプロンプトで長い時間作業を中断しないでください。TCP セッションがダウンロード中にタイムアウトしてしまった場合、アップグレードが失敗する可能性があります。
アップグレードが完了したら、XML ファイルに設定情報を保存します。

関連項目

アプライアンス設定の保存、ロード、およびリセット

AsyncOS およびセキュリティサービスコンポーネントのアップグレードとアップデート

アップグレードのダウンロードとインストール

始める前に

アプライアンスのコンフィギュレーションファイルを保存します（アプライアンス設定の保存、ロード、およびリセットを参照）。

（注）

AsyncOS を Cisco サーバーからではなくローカルサーバーから 1 回の操作でダウンロードとアップグレードする場合は、アップグレードはダウンロード中に即座に実行されます。アップグレードプロセスの開始時に、バナーが 10 秒間表示されます。このバナーが表示されている間は、Ctrl を押した状態で C を押すと、ダウンロードの開始前にアップグレードプロセスを終了できます。

（注）

アップグレードの実行中、セキュア認証の証明書が FIPS 準拠でない場合は、アプライアンスがアップグレードされる最新パスのデフォルトの証明書で置き換えられます。これは、お客様がアップグレードの前にデフォルトの証明書を使用した場合にのみ起こります。

1 回の操作でダウンロードとインストールを行うか、またはバックグラウンドでダウンロードし後でインストールできます。

varstore ファイルに保存されている設定値に ASCII 以外の文字が含まれていると、アップグレードが失敗します。

手順

ステップ 1

[システム管理（System Administration）] > [システムアップグレード（System Upgrade）] を選択します。

ステップ 2

[アップグレードオプション（Upgrade Options）] をクリックします。

アップグレードオプションとアップグレードイメージを選択します。


設定	説明
アップグレードオプションの選択	[ダウンロードとインストール（Download and install）]：1 回の操作でアップグレードをダウンロードしてインストールします。すでにインストーラをダウンロードしている場合、既存のダウンロードを上書きするよう求められます。 [ダウンロードのみ（Download only）]：アップグレードインストーラをダウンロードしますが、インストールは行いません。すでにインストーラをダウンロードしている場合、既存のダウンロードを上書きするよう求められます。インストーラはサービスを中断することなく、バックグラウンドでダウンロードします。ダウンロードが完了すると、[インストール（Install）] ボタンが表示されます。このボタンをクリックして、ダウンロードしたアップグレードをインストールします。
	[アップグレードサーバーで使用可能なアップグレードイメージファイルのリスト（List of available upgrade images files at upgrade server）] から、ダウンロードするアップグレードイメージを選択するか、ダウンロードしてインストールしたアップグレードイメージを選択します。
アップグレードの準備	現在の設定のバックアップコピーをアプライアンス上の `configuration` ディレクトリに保存するには、[アップグレードする前に、現在の設定を configuration ディレクトリに保存（Save the current configuration to the configuration directory before upgrading）] をオンにします。 [現在の設定を保存（Save current configuration）] オプションがオンになっている場合、[設定ファイル内のパスワードを隠す（Mask passwords in the configuration file）] をオンにしてバックアップコピー内の現在のすべての構成パフワードをマスクすることができます。ただし、パスワードがマスクされた構成ファイルは、[設定をロード（Load Configuration）] コマンドでも、CLI `loadconfig` コマンドでもロードすることができません。 FIPS モードが有効にされている場合、[設定ファイル内のパスワードを暗号化する（Encrypt passphrases in the Configuration Files）] をオンにすることができます。これらのファイルは、リロードすることができます。 [現在の設定を保存（Save current configuration）] オプションがオンになっている場合、[ファイルをメールで送信（Email file to）] フィールドに 1 つ以上の電子メールアドレスを入力できます。入力した各アドレスに、バックアップ設定ファイルのコピーが電子メールで送信されます。カンマで複数のアドレスを区切ります。

ステップ 3

[続行（Proceed）] をクリックします。

インストール中の場合、次に従います。

プロセス中のプロンプトに応答できるようにしてください。
完了を求めるプロンプトで、[今すぐ再起動（Reboot Now）] をクリックします。
約 10 分後、アプライアンスにアクセスしてログインします。

アップグレードの問題を修正するためにアプライアンスの電源を再投入する必要があると思われる場合は、再起動後 20 分以上が経過してから再投入してください。

バックグラウンドダウンロードのキャンセルまたは削除ステータスの表示

手順

ステップ 1

[システム管理（System Administration）] > [システムアップグレード（System Upgrade）] を選択します。

ステップ 2

[アップグレードオプション（Upgrade Options）] をクリックします。

ステップ 3

次のオプションを選択します。


目的	操作手順
ダウンロードステータスの表示	ページの中央を確認してください。進行中のダウンロードおよびダウンロードが完了してインストールされるのを待っているものがない場合は、ダウンロードのステータス情報は表示されません。
ダウンロードのキャンセル	ページの中央にある、[ダウンロードをキャンセル（Cancel Download）] ボタンをクリックします。このオプションは、ダウンロード進行中にのみ表示されます。
ダウンロードされたインストーラの削除	ページの中央にある、[ファイルを削除（Delete File）] ボタンをクリックします。このオプションは、インストーラがダウンロードされている場合にのみ表示されます。

ステップ 4

（オプション）アップグレードログを確認します。

次のタスク

関連項目

ローカルおよびリモートアップデートサーバ

自動および手動によるアップデート/アップグレードのクエリー

AsyncOS は、新しい AsyncOS アップグレードを除く、すべてのセキュリティサービスコンポーネントへの新しいアップデートがないか、定期的にアップデートサーバに問い合わせます。AsyncOS をアップグレードするには、AsyncOS が使用可能なアップグレードを問い合わせるよう、手動で要求する必要があります。AsyncOS が使用可能なセキュリティサービスアップデートを問い合わせるよう、手動で要求することもできます。詳細については、以前のバージョンの AsyncOS for Web への復元を参照してください。

AsyncOS がアップデートまたはアップグレードのアップデートサーバを照会する場合は、以下の手順を実行します。

アップデートサーバに問い合わせます。

シスコでは、アップデートサーバに以下のソースを使用できます。
- Cisco アップデートサーバ。詳細については、Cisco アップデートサーバからのアップデートとアップグレードを参照してください。
- ローカルサーバ。詳細については、ローカルサーバからのアップグレードを参照してください。
入手可能なアップデートまたは AsyncOS のアップグレードバージョンを一覧表示する XML ファイルを受信します。この XML ファイルは「マニフェスト」と呼ばれます。
アップデートまたはアップグレードイメージファイルをダウンロードします。

セキュリティサービスのコンポーネントの手動による更新

デフォルトでは、各セキュリティサービスコンポーネントは、Cisco アップデートサーバからデータベーステーブルに定期的にアップデートを受信します。ただし、手動でデータベーステーブルを更新できます。

Note

一部のアップデートは、機能に関連する GUI ページからオンデマンドで利用できます。

Tip

アップデータログファイルのアップデートアクティビティの記録を表示してください。[システム管理（System Administration）] > [ログサブスクリプション（Log Subscriptions）] ページのアップデータログファイルに登録します。

Note

処理中のアップデートは中断できません。すべての処理中のアップデートは、新しい変更が適用される前に完了する必要があります。

Procedure

Step 1	[システム管理（System Administration）] > [アップグレードとアップデートの設定（Upgrade and Update Settings）] を選択します。
Step 2	[更新設定を編集（Edit Update Settings）] をクリックします。
Step 3	アップデートファイルの場所を指定します。
Step 4	[セキュリティサービス（Security Services）] タブにあるコンポーネントページの [今すぐ更新（Update Now）] 機能キーを使用してアップデートを開始します。たとえば、[セキュリティサービス（Security Services）] > [Web レピュテーションフィルタ（Web Reputation Filters）] ページです。更新プロセス中、CLI および Web アプリケーションインターフェイスは、応答が遅くなったり、使用できなくなったりする場合があります。

ローカルおよびリモートアップデートサーバ

デフォルトでは、AsyncOS は、アップデートイメージとアップグレードイメージおよびマニフェスト XML ファイルについて、Cisco アップデートサーバに問い合わせます。ただし、アップグレードイメージ、アップデートイメージおよびマニフェストファイルをダウンロードする場所を選択できます。以下の理由から、イメージファイルまたはマニフェストファイルにローカルアップデートサーバを使用します。

同時にアップグレードするアプライアンスが複数あります。ネットワーク内の Web サーバにアップグレードイメージをダウンロードして、ネットワーク内のすべてのアプライアンスに使用できます。
ファイアウォールの設定には、Cisco アップデートサーバのスタティック IP アドレスが必要です。Cisco アップデートサーバは、ダイナミック IP アドレスを使用します。ファイアウォールポリシーを厳しく設定している場合、アップデートおよび AsyncOS アップグレードに対して静的な参照先を設定する必要がある場合があります。詳細については、Cisco アップデートサーバのスタティックアドレスの設定を参照してください。

Note

ローカルアップデートサーバはセキュリティサービスのアップデートを自動的に受信しません。AsyncOS のアップグレードのみを受信します。AsyncOS のアップグレードにローカルアップデートサーバを使用した後は、アップデートとアップグレードの設定を変更して、再び Cisco アップデートサーバを使用するようにします。これにより、セキュリティサービスが再び自動的にアップデートされるようになります。

Cisco アップデートサーバからのアップデートとアップグレード

Web セキュリティアプライアンスは、Cisco アップデートサーバに直接接続して、アップグレードイメージとセキュリティサービスアップデートをダウンロードできます。各アプライアンスは、個別にアップデートとアップグレードをダウンロードします。

Cisco アップデートサーバのスタティックアドレスの設定

Cisco アップデートサーバは、ダイナミック IP アドレスを使用します。ファイアウォールポリシーを厳しく設定している場合、アップデートおよび AsyncOS アップグレードに対して静的な参照先を設定する必要がある場合があります。

Procedure

Step 1	シスコカスタマーサポートに問い合わせて、スタティック URL アドレスを取得します。
Step 2	[システム管理（System Administration）] > [アップグレードとアップデートの設定（Upgrade and Update Settings）] ページの順に進み、[更新設定を編集（Edit Update Settings）] をクリックします。
Step 3	[アップデート設定を編集（Edit Update Settings）] ページの [アップデートサーバ（イメージ）（Update Servers (images)）] セクションで、[ローカルアップデートサーバ（Local Update Servers）] を選択し、ステップ 1 で取得したスタティック URL アドレスを入力します。
Step 4	[アップデートサーバ（リスト）（Update Servers (list)）] セクションで Cisco アップデートサーバが選択されていることを確認します。
Step 5	変更を送信し、保存します。

ローカルサーバからのアップグレード

Web セキュリティアプライアンスは、Cisco アップデートサーバからアップグレードを直接取得する代わりに、ネットワーク内のサーバから AsyncOS のアップグレードをダウンロードできます。この機能を使用すると、シスコから 1 回だけアップグレードイメージをダウンロードして、ネットワーク内のすべての Web セキュリティアプライアンスでそれを使用することができます。

次の図に、Web セキュリティアプライアンスでローカルサーバーからアップグレードイメージをダウンロードする方法を示します。

ローカルアップグレードサーバーのハードウェアおよびソフトウェア要件

AsyncOS アップグレードファイルのダウンロードでは、Web ブラウザを備えた内部ネットワークにシステムを構築する必要があり、Cisco アップデートサーバーへのインターネットアクセスが必要になります。

Note

このアドレスへの HTTP アクセスを許可するファイアウォール設定値を設定する必要がある場合、特定の IP アドレスではなく DNS 名を使用して設定する必要があります。

AsyncOS アップグレードファイルのホスティングでは、内部ネットワーク上のサーバーは、以下の機能を持つ Microsoft IIS（Internet Information Services）などの Web サーバーまたは Apache のオープンソースサーバーを持つ必要があります。

24 文字を超えるディレクトリまたはファイル名の表示をサポートしていること
ディレクトリの参照ができること
匿名（認証なし）または基本（「簡易」）認証用に設定されている
各 AsyncOS アップデートイメージ用に最低 350 MB 以上の空きディスク領域が存在すること

ローカルサーバーからのアップグレードの設定

Note

アップグレードの完了後にセキュリティサービスコンポーネントが引き続き自動更新されるように、アップデートとアップグレードの設定を変更して、Cisco アップデートサーバー（ダイナミックまたはスタティックアドレスを使用）を使用することを推奨します。

Procedure

Step 1	アップグレードファイルを取得および供給するようにローカルサーバーを設定します。
Step 2	アップグレード zip ファイルをダウンロードします。ローカルサーバー上のブラウザを使用して、http://updates.ironport.com/fetch_manifest.html にアクセスしてアップグレードイメージの zip ファイルをダウンロードします。イメージをダウンロードするには、シリアル番号（物理アプライアンス用）または VLN（仮想アプライアンス用）およびアプライアンスのバージョン番号を入力します。利用可能なアップグレードのリストが表示されます。ダウンロードするアップグレードバージョンをクリックします。
Step 3	ディレクトリ構造を変更せずにローカルサーバーのルートディレクトリにある ZIP ファイルを解凍します。
Step 4	[システム管理（System Administration）] > [アップグレードとアップデートの設定（Upgrade and Update Settings）] ページまたは updateconfig コマンドを使用して、ローカルサーバーを使用するようにアプライアンスを設定します。
Step 5	[システム管理（System Administration）] > [システムアップグレード（System Upgrade）] ページで、[使用可能なアップグレード（Available Upgrades）] をクリックするか、upgrade コマンドを実行します。

ローカルとリモートにおけるアップグレード方法の相違

以下の相違点は、Cisco アップデートサーバーからではなく、ローカルサーバーから AsyncOS をアップグレードする場合に該当します。

ダウンロード中に、アップグレードによるインストールがすぐに実行されます。
アップグレードプロセスの開始時に、バナーが 10 秒間表示されます。このバナーが表示されている間は、Control を押した状態で C を押すと、ダウンロードの開始前にアップグレードプロセスを終了できます。

アップグレードおよびサービスアップデートの設定

Web セキュリティアプライアンスがセキュリティサービスアップデートや AsyncOS for Web のアップグレードをダウンロードする方法を設定できます。たとえば、ファイルをダウンロードするときに使用するネットワークインターフェイスを選択したり、アップデート間隔を設定したり、自動アップデートをディセーブルにしたりできます。

Procedure

Step 1

[システム管理（System Administration）] > [アップグレードとアップデートの設定（Upgrade and Update Settings）] を選択します。

Step 2

[更新設定を編集（Edit Update Settings）] をクリックします。

Step 3

以下の情報を参考にして、設定値を設定します。


設定	説明
自動更新	セキュリティコンポーネントの自動アップデートをイネーブルにするかどうかを選択します。自動更新を選択する場合、時間間隔を入力します。デフォルトはイネーブルで、更新間隔は 5 分です。
アップグレードの通知（Upgrade Notifications）	AsyncOS への新規のアップグレードが入手可能である場合に、Web インターフェイスの上部に通知を表示するかどうかを選択します。アプライアンスは、管理者に対してのみこの通知を表示します。詳細については、AsyncOS for Web のアップグレートとアップデートを参照してください。
アップデートサーバ（リスト）（Update Servers (list)）	利用可能なアップグレードとアップデートのリスト（マニフェスト XML ファイル）を、Cisco アップデートサーバまたはローカル Web サーバのどちらからダウンロードするかを選択します。ローカルアップデートサーバを選択した場合、サーバのファイル名およびポート番号を含む、リストのマニフェスト XML ファイルの完全なパスを入力します。ポートのフィールドを空のままにした場合、AsyncOS はポート 80 を使用します。サーバが認証を必要とする場合は、有効なユーザ名とパスフレーズも入力できます。
アップデートサーバ（イメージ）（Update Servers (images)）	アップグレードイメージやアップデートイメージを、Cisco アップデートサーバまたはローカル Web サーバのどちらからダウンロードするかを選択します。ローカルアップデートサーバを選択した場合は、サーバのベース URL とポート番号を入力します。ポートのフィールドを空のままにした場合、AsyncOS はポート 80 を使用します。サーバが認証を必要とする場合は、有効なユーザ名とパスフレーズも入力できます。
着信サービス一覧（Routing Table）	アップデートサーバに接続するときに、どのネットワークインターフェイスのルーティングテーブルを使用するかを選択します。
プロキシサーバ（Proxy Server）（オプション）	アップストリームプロキシサーバが存在し、認証が必要な場合は、サーバ情報、ユーザ名、およびパスフレーズをここに入力します。

Step 4

変更を送信し、保存します。

What to do next

関連項目

ローカルおよびリモートアップデートサーバ
自動および手動によるアップデート/アップグレードのクエリー
AsyncOS およびセキュリティサービスコンポーネントのアップグレードとアップデート

以前のバージョンの AsyncOS for Web への復元

Web 用 AsyncOS には、緊急時に Web 用オペレーティングシステム AsyncOS を以前の認定済みのビルドに戻す機能があります。

Note

バージョン 7.5 よりも前の Web 用 AsyncOS のバージョンには戻せません。

仮想アプライアンスの AsyncOS を復元した場合のライセンスへの影響

AsyncOS 8.0 に復元した場合、アプライアンスがセキュリティ機能なしで Web トランザクションを処理する 180 日の猶予期間はありません。ライセンスの有効期限は影響を受けません。

復元プロセスでのコンフィギュレーションファイルの使用

バージョン 7.5 で有効であり、それ以降のバージョンにアップグレードする場合、アップグレードプロセスは Web セキュリティアプライアンスのファイルに現在のシステム設定を自動的に保存します（ただし、バックアップとして、コンフィギュレーションファイルをローカルマシンに手動で保存することを推奨します）。これによって、以前のバージョンに復元した後、AsyncOS for Web が以前のリリースに関連するコンフィギュレーションファイルをロードできます。ただし、復元を実行すると、管理インターフェイスに現在のネットワーク設定を使用します。

SMA によって管理されるアプライアンスの AsyncOS の復元

Web セキュリティアプライアンスから Web 用 AsyncOS に復元することができます。ただし Web セキュリティアプライアンスがセキュリティ管理アプライアンスで管理されている場合は、以下のルールとガイドラインを考慮してください。

中央集中型レポーティングをWeb セキュリティアプライアンスでイネーブルにすると、Web 用 AsyncOS は復帰を開始する前にセキュリティ管理アプライアンスへのレポートデータの転送を終了します。セキュリティ管理アプライアンスへのファイルの転送に 40 秒以上かかる場合は、Web 用 AsyncOS がファイルの転送をこのまま待機するように促すか、すべてのファイルを転送せずに復帰を続けます。
復元後、適切なプライマリ構成に Web セキュリティアプライアンスを関連付ける必要があります。それ以外の場合、セキュリティ管理アプライアンスから Web セキュリティアプライアンスに設定をプッシュすると失敗する可能性があります。

以前のバージョンへの Web 用の AsyncOS の復元

Caution

Web セキュリティアプライアンスのオペレーティングシステムの復元は非常に破壊的な操作であり、すべての設定ログとデータベースが削除されます。さらに、アプライアンスが再設定されるまで、復元によって Web トラフィック処理が中断されます。初期の Web セキュリティアプライアンス設定に応じて、この操作がネットワークの設定を破壊する場合があります。このような場合、復元の実行後にアプライアンスへの物理的なローカルアクセスが必要になります。

Caution

Cisco Secure Web Appliance のオペレーティングシステムをスマートライセンスが有効になっている以前のバージョンに復元する場合、スマートライセンスの設定は保持されません。以前の AsyncOS バージョンに正常に復元したら、スマートライセンスを有効にして CSSM ポータルに登録する必要があります。スマートソフトウェアライセンシングをアクティブ化したときに [特定/永久ライセンスの予約（Specific/Permanent License Reservation）] オプションを選択した場合は、操作の復元の前にアプライアンスで使用されているライセンスを解放し、CSSM ポータルからアプライアンスを登録解除することをお勧めします。復元操作の前にライセンスを解放しなかった場合、またはアプライアンスを登録解除しなかった場合は、シスコサポートに連絡してサポートを受けることができます。

Note

URL カテゴリセットのアップデートが利用可能な場合は、AsyncOS の復元後にそれらが適用されます。

Before you begin

Cisco Quality Assurance に問い合わせて、目的とする復元が実行可能かどうかを確認してください。（BS：これは、元のトピックの「使用可能なバージョン」セクションの要約です。これが正確かどうか質問済みです。）
Web セキュリティアプライアンスから別のマシンに以下の情報をバックアップします。
- システムコンフィギュレーションファイル（パスフレーズをマスクしない状態）。
- 保持するログファイル。
- 保持するレポート。
- アプライアンスに保存されるカスタマイズされたエンドユーザー通知ページ。
- アプライアンス上に格納されている PAC ファイル。

Procedure

Step 1

バージョンを戻すアプライアンスの CLI にログインします。

Note

次のステップで revert コマンドの実行するときに、いくつかの警告プロンプトが発行されます。これらの警告プロンプトに同意すると、すぐにバージョンを戻す動作が開始します。このため、復元に向けた準備手順が完了するまで、復元プロセスを開始しないてください。

Step 2

revert コマンドを入力します。

Step 3

復元で続行するアプライアンスを 2 回確認します。

Step 4

戻る利用可能なバージョンの 1 つを選択します。

アプライアンスが 2 回リブートします。

Note

復元プロセスは時間のかかる処理です。復元が完了して、アプライアンスへのコンソールアクセスが再び利用可能になるまでには、15 ～ 20 分かかります。

アプライアンスは、選択された Web バージョンの AsyncOS を使用して稼働します。Web ブラウザから Web インターフェイスにアクセスできます。

SNMP を使用したシステムの状態のモニタリング

AsyncOS オペレーティングシステムは、SNMP（シンプルネットワーク管理プロトコル）を使用したシステムステータスのモニターリングをサポートしています。（SNMP の詳細については、RFC 1065、1066、および 1067 を参照してください）。

以下の点に注意してください。

SNMP は、デフォルトでオフになります。
SNMP SET 動作（コンフィギュレーション）は実装されません。
AsyncOS は SNMPv1、v2、および v3 をサポートしています。SNMPv3 の詳細については、RFC 2571-2575 を参照してください。
SNMPv3 をイネーブルにする場合、メッセージ認証と暗号化は必須です。認証のパスフレーズと暗号は異なっていなければなりません。暗号化アルゴリズムには AES（推奨）または DES を指定できます。認証アルゴリズムには SHA-1（推奨）または MD5 を指定できます。次に snmpconfig コマンドを実行するときは、コマンドにこのパスフレーズが「記憶」されています。

SNMPv3 ユーザー名は v3get です。

> snmpwalk -v 3 -l AuthNoPriv -u v3get -a MD5 serv.example.com

SNMPv1 または SNMPv2 のみを使用する場合は、コミュニティストリングを設定する必要があります。コミュニティストリングは、public にデフォルト設定されません。
SNMPv1 および SNMPv2 の場合、どのネットワークからの SNMP GET 要求を受け入れるかを指定する必要があります。
トラップを使用するには、SNMP マネージャ（AsyncOS には含まれていません）が実行中であり、その IP アドレスがトラップターゲットとして入力されている必要があります（ホスト名を使用できますが、その場合、トラップは DNS が動作しているときに限り機能します）。

MIB ファイル

MIB ファイルは http://www.cisco.com/c/en/us/support/security/web-security-appliance/tsd-products-support-series-home.html から入手できます。

各 MIB ファイルの最新バージョンを使用します。

以下の複数の MIB ファイルがあります。

syncoswebsecurityappliance-mib.txt：Web セキュリティアプライアンス用のエンタープライズ MIB の SNMPv2 互換の説明。
ASYNCOS-MAIL-MIB.txt：電子メールセキュリティアプライアンス用のエンタープライズ MIB の SNMPv2 互換の説明。
IRONPORT-SMI.txt：この「管理情報構造」ファイルは、asyncoswebsecurityappliance-mib の役割を定義します。

このリリースには、RFC 1213 および 1907 に規定されている MIB-II の読み取り専用のサブセットが実装されています。

SNMP を使用してアプライアンスで CPU 使用率をモニターリングする方法については、https://www.cisco.com/c/en/us/support/docs/security/web-security-appliance/118415-technote-wsa-00.html を参照してください。

SNMP モニターリングのイネーブル化と設定

アプライアンスのシステムステータス情報を収集するように SNMP を設定するには、コマンドラインインターフェイス（CLI）で snmpconfig コマンドを使用します。インターフェイスの値を選択し、設定し終えると、アプライアンスは SNMPv3 GET 要求に応答します。

SNMP モニターリングを使用する場合、以下の点に注意してください。

これらのバージョン 3 要求には、一致するパスフレーズが含まれている必要があります。
デフォルトでは、バージョン 1 および 2 要求は拒否されます。
イネーブルにする場合は、バージョン 1 および 2 要求に一致するコミュニティストリングが含まれている必要があります。

ハードウェアオブジェクト

Intelligent Platform Management Interface Specification（IPMI）準拠のハードウェアセンサーによって、温度、ファンスピード、電源モジュールステータスなどの情報が報告されます。

モニターリング可能なハードウェア関連のオブジェクト（ファンの数や動作温度範囲など）を決定するには、アプライアンスモデルのハードウェアガイドを参照してください。

SNMP トラップ

SNMP には、1 つまたは複数の条件が合致したときにトラップ（または通知）を送信して管理アプリケーションに知らせる機能が備わっています。トラップとは、トラップを送信するシステムのコンポーネントに関するデータを含むネットワークパケットです。トラップは、SNMP エージェント（この場合は Cisco Web セキュリティアプライアンス）で、ある条件が満たされた場合に生成されます。条件が満たされると、SNMP エージェントは SNMP パケットを形成し、SNMP 管理コンソールソフトウェアが稼働するホストに送信します。

インターフェイスに対して SNMP をイネーブルにするときに、SNMP トラップを設定（特定のトラップをイネーブル化またはディセーブル化）できます。

複数のトラップターゲットの指定方法：トラップターゲットの入力を求められたときに、カンマで区切った IP アドレスを 10 個まで入力できます。

SNMP の connectivityFailure トラップについて

connectivityFailure トラップは、インターネットへのアプライアンスの接続をモニターするために使用されます。これは、5～7 秒ごとに 1 つの外部サーバーに接続して HTTP GET 要求を送信する試みにより実行されます。デフォルトでは、モニターされる URL はポート 80 上の downloads.ironport.com です。

モニターする URL またはポートを変更するには、snmpconfig コマンドを実行し、connecivityFailure トラップをイネーブルにします（すでにイネーブルになっている場合も実行します）。URL を変更するプロンプトが表示されます。

Tip

connectivityFailure トラップをシミュレートするために、dnsconfig CLI コマンドを使用して、未使用の DNS サーバーを入力することができます。downloads.ironport.com の検索は失敗し、5～7 秒ごとにトラップが送信されます。テストが完了したら、DNS サーバを使用中のサーバーに戻してください。

CLI の例：snmpconfig


wsa.example.com> snmpconfig

Current SNMP settings:
SNMP Disabled.

Choose the operation you want to perform:
- SETUP - Configure SNMP.
[]> SETUP

Do you want to enable SNMP? 
[Y]> 

Please choose an IP interface for SNMP requests.
1. Management (198.51.100.1: wsa.example.com)
[1]> 

Which port shall the SNMP daemon listen on interface "Management"?
[161]> 

Please select SNMPv3 authentication type:
1. MD5
2. SHA
[1]> 2

Please select SNMPv3 privacy protocol:
1. DES
2. AES
[1]> 2

Enter the SNMPv3 authentication passphrase.
[]> 

Please enter the SNMPv3 authentication passphrase again to confirm.
[]> 

Enter the SNMPv3 privacy passphrase.
[]> 

Please enter the SNMPv3 privacy passphrase again to confirm.
[]> 

Service SNMP V1/V2c requests? 
[N]> Y

Enter the SNMP V1/V2c community string.
[ironport]> public 

Shall SNMP V2c requests be serviced from IPv4 addresses? 
[Y]>

From which IPv4 networks shall SNMP V1/V2c requests be allowed? Separate
multiple networks with commas.
[127.0.0.1/32]> 

Enter the Trap target as a host name, IP address or list of IP
addresses separated by commas (IP address preferred). Enter "None" to disable traps.
[127.0.0.1]> 203.0.113.1

Enter the Trap Community string.
[ironport]> tcomm

Enterprise Trap Status
1. CPUUtilizationExceeded       Disabled
2. FIPSModeDisableFailure       Enabled
3. FIPSModeEnableFailure        Enabled
4. FailoverHealthy              Enabled
5. FailoverUnhealthy            Enabled
6. RAIDStatusChange             Enabled
7. connectivityFailure          Disabled
8. fanFailure                   Enabled
9. highTemperature              Enabled
10. keyExpiration               Enabled
11. linkUpDown                  Enabled
12. memoryUtilizationExceeded   Disabled
13. powerSupplyStatusChange     Enabled
14. resourceConservationMode    Enabled
15. updateFailure               Enabled
Do you want to change any of these settings? 
[N]> Y

Do you want to disable any of these traps? 
[Y]> n

Do you want to enable any of these traps? 
[Y]> y

Enter number or numbers of traps to enable.  Separate multiple numbers with
commas.
[]> 1,7,12

What threshold would you like to set for CPU utilization?
[95]>

What URL would you like to check for connectivity failure?
[http://downloads.ironport.com]>

What threshold would you like to set for memory utilization?
[95]>

Enter the System Location string.
[Unknown: Not Yet Configured]> Network Operations Center - west; rack #30, position 3 

Enter the System Contact string.
[snmp@localhost]> wsa-admin@example.com

Current SNMP settings:
Listening on interface "Management" 198.51.100.1  port 161.
SNMP v3: Enabled.
SNMP v1/v2: Enabled, accepting requests from subnet 127.0.0.1/32 .
SNMP v1/v2 Community String: public
Trap target: 203.0.113.1
Location: Network Operations Center - west; rack #30, position 3 
System Contact: wsa-admin@example.com

Choose the operation you want to perform:
- SETUP - Configure SNMP.
[]> 

wsa.example.com> commit

Please enter some comments describing your changes:
[]> Enable and configure SNMP 

Changes committed: Fri Nov 06 18:13:16 2015 GMT
wsa.example.com>

Web トラフィックタップ（Web Traffic Tap）

開始する前に：Web トラフィックタップ機能を有効にすると、アプライアンスがタップインターフェイスにメッセージをコピーするための追加の CPU サイクルとメモリが必要になり、アプライアンスのトランザクション処理容量（1 秒あたりのリクエスト）が低下することになります。

（注）

Web トラフィックタップ機能によるパフォーマンスの影響を低減するには、適切な Web トラフィックタップポリシーを設定し、タップされるトラフィックの量を減らします。

この機能は、Amazon Web Services（AWS）ではサポートされません。

Web トラフィックタップ機能により、アプライアンスをパススルーする HTTP および HTTPS の Web トラフィックがタップ可能になり、リアルタイムデータトラフィックとともに Web セキュリティアプライアンスインターフェイスにインラインでコピーすることができます。タップされたトラフィックデータを送信する Web セキュリティアプライアンスインターフェイスを選択することができます。タップされたトラフィックに HTTPS のデータが含まれている場合、タップインターフェイスに送信する前に、アプライアンスによって復号ポリシーに基づいて復号されます。復号ポリシーを参照してください。

選択されたタップインターフェイスは、分析、調査、およびアーカイブのため、外部のセキュリティデバイスに直接接続する必要があります。または、専用の VLAN 上の L2 スイッチに接続します。

（注）

タップインターフェイスにミラーリングされたトラフィックは、イーサネット層経由でブロードキャストされ、IP ルーティングに対応していません。したがって、L2 スイッチに接続する場合は、専用の VLAN が必要です。

この機能では、Web トラフィックタップポリシーを設定することもできます。お客様によって定義されたこれらのポリシーフィルタに基づき、アプライアンスは外部のセキュリティデバイスで使用可能な Web トラフィックをミラーリングします。Web トラフィックタップ機能により、HTTPS トラフィックへの可視性が実現します。

タッピングという用語は、直接接続されたクライアントとサーバー間で発生した場合、完全な TCP（Transmission Control Protocol）ストリームの再構築を指します。

仮想 Web セキュリティアプライアンスでは、Web トラフィックタップ機能がサポートされます。

（注）

SSL トラフィックの検査アクションは、企業ポリシーのガイドランおよび/または国の法令に従う必要が生じる場合があります。シスコはどのような法的義務も負わず、そのような法的要件またはポリシー要件に従って Web セキュリティアプライアンスの Web トラフィックタップ機能を使用することには、使用者が単独で責任を負います。

アプライアンスを使用して Web トラフィックにタップするには、次の手順を実行する必要があります。

Web トラフィックタップ機能の有効化
Web トラフィックタップポリシーの設定

Web トラフィックタップの有効化

始める前に

Web トラフィックタップ機能はデフォルトでは無効になっています。Web トラフィックタップポリシーを定義する前に、[Web セキュリティマネージャ（Web Security Manager）] > [Web トラフィックタップポリシー（Web Traffic Tap Policies）] を使用して、Web トラフィックタップ機能を有効にする必要があります。

（注）

HTTPS トランザクションをタップするには、復号ポリシーを定義する必要があります。復号ポリシーを参照してください。

手順

ステップ 1

[ネットワーク（Network）] > [Web トラフィックタップ（Web Traffic Tap）] を選択します。

ステップ 2

[設定の編集（Edit Settings）] をクリックします。

ステップ 3

[Web トラフィックタップの編集（Edit Web Traffic Tap）] ページで、[有効（Enable）] チェックボックスをオンにし、Web トラフィックタップ機能を有効にします。

（注）

Web トラフィックタップ機能を無効にするには、[有効化（Enable）] チェックボックスをオフにします。Web トラフィックタップ機能を無効にすると、Web トラフィックタップポリシーの表示や編集ができません。ポリシーの表示や編集を行うには、機能を再び有効にする必要があります。

ステップ 4

[タップインターフェイス（Tap Interface）] ドロップダウンリストから、タップされたトラフィックデータを送信する Web セキュリティアプライアンスインターフェイスを選択します。インターフェイスのオプションは、P1、P2、T1、T2 です。インターフェイスについての詳細は、アプライアンスの接続を参照してください。

（注）

選択されたタップインターフェイスは、分析、調査、およびアーカイブのため、外部のセキュリティデバイスに直接接続する必要があります。または、専用の VLAN 上の L2 スイッチに接続します。選択されたタップインターフェイスは接続され、ステータスがアクティブである必要があります。そうでない場合は、タップされたトラフィックのミラーリングは失敗します。

ステップ 5

[送信（Submit）] をクリックし、変更をコミットします。

Web トラフィックタップポリシーの設定

手順

ステップ 1

[Web セキュリティマネージャ（Web Security Manager）] > [Web トラフィックタップポリシー（Web Traffic Tap Policies）] を選択します。

ステップ 2

[ポリシーを追加（Add Policy）] をクリックします。

ポリシーの作成の手順に従い、新しい Web トラフィックタップポリシーを追加します。

（注）

タッピング設定なしのグローバルトラフィックタップポリシーは、[Web トラフィックタップポリシー（Web Traffic Tap Policies）] ページで、デフォルトで使用できます（[Web セキュリティマネージャ（Web Security Manager）] > [Web トラフィックタップポリシー（Web Traffic Tap Policies）]）。

ステップ 3

[ポリシーメンバの定義（Policy Member Definition）] 領域の [詳細設定（Advanced）] セクションを展開して、以下の Web トラフィックタップ用の追加のグループメンバーシップを追加します。

プロトコル：HTTP または HTTPS プロトコルのいずれか、またはその両方を選択して、Web トラフィックタップポリシーを作成します。

（注）

HTTPS トラフィックをタップするには、一致する複合ポリシーを定義する必要があります（[Web セキュリティマネージャ（Web Security Manager）] > [複合化ポリシー（Decryption Policies）]）。

Web トラフィックタップポリシーは、ネイティブの FTP と SOCKS プロトコルをサポートしていません。

サブネット（Subnets）
URL カテゴリ：必要に応じて、URL フィルタリングカテゴリ用に [タップする（Tap）] または [タップしない（No Tap）] を設定します。未分類の URL でトラフィックタップを設定するには、未分類の URL のドロップダウンリストから [タップする（Tap）] を選択して、[送信（Submit（送信）] をクリックします。
ユーザーエージェント（User Agents）

追加のグループメンバーシップの条件の定義について詳細を確認するには、ポリシーの作成を参照してください。

（注）

タップするトラフィックは、Web トラフィックタップポリシーで定義されたすべてのフィルタ条件を満たしている必要があります。

[Web セキュリティマネージャ（Web Security Manager）] > [Web トラフィックタップポリシー（Web Traffic Tap Policies）] を使用して、URL フィルタリングの表から URL カテゴリを追加することもできます。

（注）

すでに [詳細設定（Advanced）] セクションに URL のカテゴリが追加されている場合、URL フィルタリングの表ではそれらのカテゴリのみが表示されます（[Web セキュリティマネージャ（Web Security Manager）] > [Web トラフィックタップポリシー（Web Traffic Tap Policies）]）。

Web トラフィックタップポリシーの順序について詳しくは、ポリシーの順序を参照してください。

偏向のない言語

翻訳について

検索結果

章のタイトル： システム管理タスクの実行

システム管理タスクの実行

システム管理の概要

アプライアンス設定の保存、ロード、およびリセット

アプライアンス設定の表示と印刷

Procedure

アプライアンス設定ファイルの保存

Procedure

アプライアンス設定ファイルのロード

Procedure

アプライアンス設定の出荷時デフォルトへのリセット

Before you begin

Procedure

設定ファイルのバックアップの保存

手順

Cisco Web セキュリティアプライアンス ライセンス

機能キーの使用

機能キーの表示と更新

Procedure

機能キーの更新設定の変更

Procedure

スマート ソフトウェア ライセンシング

概要（Overview）

始める前に

スマート ソフトウェア ライセンシングのイネーブル化

手順

次のタスク

Cisco Smart Software Manager でのアプライアンスの登録

手順

次のタスク

ライセンスの要求

手順

次のタスク

ライセンスのリリース

手順

Cisco Smart Software Manager からのアプライアンスの登録解除

手順

Cisco Smart Software Manager でのアプライアンスの再登録

手順

次のタスク

転送設定の変更

認証と証明書の更新

手順

次のタスク

スマート エージェントの更新

手順

アラート

コマンドライン インターフェイス

license_smart

説明

使用方法

例：スマート エージェント サービス用ポートの設定

例：スマート ライセンスの有効化

例：Smart Software Manager でのアプライアンスの登録

例：スマート ライセンスのステータス

例：スマート ライセンスのステータスの概要

例：スマート トランスポート URL の設定

例：ライセンスの要求

例：ライセンスのリリース

show_license

説明

例：スマート ライセンスのステータス

例：スマート ライセンスのステータスの概要

仮想アプライアンスのライセンス

関連項目

仮想アプライアンスのライセンスのインストール

リモート電源再投入の有効化

Before you begin

Procedure

What to do next

ユーザー アカウントの管理

関連項目

ローカル ユーザー アカウントの管理

ローカル ユーザー アカウントの追加

Before you begin

Procedure

章のタイトル：システム管理タスクの実行

Cisco Web セキュリティアプライアンスライセンス

スマートソフトウェアライセンシング

スマートソフトウェアライセンシングのイネーブル化

スマートエージェントの更新

コマンドラインインターフェイス

例：スマートエージェントサービス用ポートの設定

例：スマートライセンスの有効化

例：スマートライセンスのステータス

例：スマートライセンスのステータスの概要

例：スマートトランスポート URL の設定

例：スマートライセンスのステータス

例：スマートライセンスのステータスの概要

ユーザーアカウントの管理

ローカルユーザーアカウントの管理

ローカルユーザーアカウントの追加

ユーザーアカウントの編集

制限的なユーザアカウントとパスフレーズの設定値の構成

ユーザープリファレンスの定義

ユーザーネットワークアクセス

アラートリスト

ハードウェアアラート

システムアラート

機能キーアラート

ロギングアラート

レポートアラート

アップデータアラート

タイムゾーンの設定

NTP サーバーによるシステムクロックの同期