適応型セキュリティアプライアンス（ASA）とは何ですか。

Cisco ASA は、追加モジュールとの統合サービスに加え、高度なステートフル ファイアウォールおよび VPN コンセントレータ機能を 1 つのデバイスで提供します。ASA は、複数のセキュリティ コンテキスト（仮想ファイアウォールに類似）、クラスタリング（複数のファイアウォールを 1 つのファイアウォールに統合）、トランスペアレント（レイヤ 2）ファイアウォールまたはルーテッド（レイヤ 3）ファイアウォール オペレーション、高度なインスペクション エンジン、IPsec VPN、SSL VPN、クライアントレス SSL VPN サポートなど、多数の高度な機能を含みます。ASA は、仮想マシンまたはサポートされているハードウェアにインストールできます。

ASA モデルとは何ですか。

ASA モデルは、Security Cloud Control にオンボードされた ASA デバイスの実行構成ファイルのコピーです。ASA モデルを使用すると、デバイス自体をオンボードせずに ASA デバイスの設定を分析することができます。

デバイスが「同期済み（Synced）」であるのは、どのような場合ですか。

Security Cloud Control の設定と、デバイスにローカルに保存されている設定が同じになっているときです。

デバイスが「非同期（Not Synced）」であるのは、どのような場合ですか。

Security Cloud Control に保存されている設定が変更され、デバイスにローカルに保存されている設定と異なっているときです。

デバイスが「競合検出（Conflict Detected）」状態であるのは、どのような場合ですか。

デバイスの設定が Security Cloud Control の外部（アウトオブバンド）で変更され、Security Cloud Control に保存されている設定と異なっているときです。

アウトオブバンド変更とは何ですか。

Security Cloud Control の外部でデバイスに変更が加えられることです。この変更は、CLI コマンドを使用するか、ASDM や FDM などのデバイス上のマネージャを使用して、デバイス上で直接行われたものです。アウトオブバンド変更が行われると、デバイスが [競合検出（Conflict Detected）] 状態であると Security Cloud Control が通知します。

変更をデバイスに展開するとは、どういう意味ですか。

デバイスを Security Cloud Control にオンボードすると、Security Cloud Control はその設定のコピーを保持します。Security Cloud Control に変更を加えると、Security Cloud Control は、デバイスの設定のコピーに変更を加えます。その変更をデバイスに「展開」すると、Security Cloud Control は、加えた変更をデバイスの設定のコピーにコピーします。次のトピックを参照してください。

• すべてのデバイスの設定変更のプレビューと展開

現在、どの ASA コマンドがサポートされていますか。

すべてのコマンドです。ASA CLI を使用するには、[デバイスアクション（Device Actions）] の [コマンドラインインターフェイス（Command Line Interface）] をクリックしてください。

デバイスの管理に関して規模の制約はありますか。

Security Cloud Control のクラウドアーキテクチャにより、数千台のデバイスにまで規模を拡張できます。

Security Cloud Control は、Cisco サービス統合型ルータおよびアグリゲーション サービス ルータを管理できますか。

Security Cloud Control では ISR および ASR 用のモデルデバイスを作成して、その設定をインポートできます。次に、インポートされた設定に基づいてテンプレートを作成し、その設定を標準の設定としてエクスポートできます。この標準の設定を、ISR および ASR の新規または既存のデバイスに展開して、セキュリティの一貫性を確保できます。

Security Cloud Control は SMA を管理できますか。

いいえ、現時点では、Security Cloud Control は SMA を管理しません。

Security Cloud Control は安全ですか？

Security Cloud Control は、次の機能を通じて顧客データのエンドツーエンドのセキュリティを実現します。

• 新規 Security Cloud Control テナントへの初回ログイン

• API およびデータベース操作の認証呼び出し

• 転送中および保存中のデータ分離

• 役割分担

Security Cloud Control では、ユーザーがクラウドポータルに接続するために多要素認証が必要です。多要素認証は、顧客の ID を保護するために必要な重要な機能です。

すべてのデータは、転送中も保存中も暗号化されます。顧客構内のデバイスと Security Cloud Control からの通信は SSL で暗号化され、顧客テナントのデータボリュームはすべて暗号化されます。

Security Cloud Control のマルチテナント アーキテクチャは、テナントデータを分離し、データベースとアプリケーション サーバー間のトラフィックを暗号化します。Security Cloud Control へのアクセス権が認証されると、ユーザーにトークンが送られます。このトークンは、キー管理サービスからキーを取得するために使用され、このキーはデータベースへのトラフィックを暗号化するために使用されます。

Security Cloud Control はお客様に価値を素早く提供すると同時に、お客様のログイン情報の安全性を確保します。これは、クラウドまたはお客様自身のネットワーク（ロードマップ）に「Secure Data Connector」を展開することによって実現されます。Secure Data Connector は、インバウンドおよびアウトバウンドトラフィックを制御して、クレデンシャルデータが顧客構内から離れることがないようにします。

Security Cloud Control に初めてログインしたときに、「OTP を検証できませんでした（Could not validate your OTP）」というエラーが表示されました。

デスクトップまたはモバイルデバイスの時計がワールドタイムサーバーと同期していることを確認します。時計が 1 分以上ずれていると、誤った OTP が生成される可能性があります。

デバイスは Security Cloud Control クラウドプラットフォームに直接接続されるのですか？

可。デバイスと Security Cloud Control プラットフォームの間でプロキシとして機能する Security Cloud Control SDC を使用することで、セキュアな接続が実現します。セキュリティを最優先に設計された Security Cloud Control アーキテクチャにより、デバイスとの間を行き来するデータを完全に分離できます。

パブリック IP アドレスを持たないデバイスを接続するにはどうすればよいですか？

ネットワーク内に展開でき、外部ポートを開く必要がない Security Cloud Control Secure Device Connector（SDC）を利用できます。SDC が展開されると、内部（インターネットでルーティングできない）IP アドレスを持つデバイスをオンボードできます。

SDC には追加のコストやライセンスが必要ですか？

番号

トンネルステータスはどのように確認できますか？状態オプション

Security Cloud Control はトンネル接続チェックを 1 時間ごとに自動的に実行しますが、トンネルを選択して接続チェックを要求することで、アドホックの VPN トンネル接続チェックを実行できます。結果の処理には数秒かかる場合があります。

デバイス名とそのピアの片方の IP アドレスに基づいてトンネルを検索できますか？

はい。名前とピア IP アドレスの両方で利用可能なフィルタ機能と検索機能を使用して、特定の VPN トンネルの詳細を検索してピボットします。

Security Cloud Control から管理対象デバイスへのデバイス構成の完全な展開を実行しているときに、「変更をデバイスに展開できません（Cannot deploy changes to device）」という警告が表示されます。解決するにはどうすればよいですか？

完全な構成（Security Cloud Control でサポートされているコマンドを超えて実行された変更）をデバイスに展開するときにエラーが発生した場合は、[変更の確認（Check for changes）] をクリックして、デバイスから使用可能な最新の構成をプルします。これによって問題が解決されたら、Security Cloud Control で引き続き変更を加えて展開することができます。問題が解決しない場合は、[サポートに連絡（Contact Support ）] ページから Cisco TAC に連絡してください。

アウトオブバンドの問題（Security Cloud Control の外部で、デバイスに対して直接実行された変更）を解決しているときに、Security Cloud Control に存在する構成をデバイスの構成と比較すると、Security Cloud Control は、私が追加または変更していない追加のメタデータを提示します。どうしてですか。

Security Cloud Control がその機能を拡張すると、デバイスの構成から追加情報が収集され、ポリシーとデバイス管理の分析を改善するために必要なすべてのデータを充実させて維持します。これらは管理対象デバイスで発生した変更ではなく、既存の情報です。[競合が検出されました（Conflict Detected）] の状態の解決は、デバイスからの変更を確認し、発生した変更を確認することで簡単に解決できます。

Security Cloud Control が私の証明書を拒否するのはなぜですか？

「新しい証明書の解決」を参照してください。

2 つ以上のアクセスリスト（同じアクセスグループ内）で相互にシャドウイングが発生しているケースを特定するにはどうすればよいですか。

Security Cloud Control のネットワークポリシー管理（NPM）を使用することで、ルールセット内で上位のルールが別のルールをシャドーイングしている場合に、ユーザーを特定して警告することができます。ユーザーは、すべてのネットワークポリシー間を移動するか、フィルタ処理を実行してすべてのシャドー問題を特定できます。

（注）	Security Cloud Control は、完全にシャドーイングされたルールのみをサポートします。

Secure Device Connector により IP アドレスが変更されましたが、これは Security Cloud Control 内に反映されませんでした。変更を反映するにはどうすればよいですか。

 Stop Docker deamon>#service docker stop
Change IP address
Start Docker deamon >#service docker start
Restart container on the SDC virtual appliance >bash-4.2$ ./cdo/toolkit/toolkit.sh restartSDC <tenant-name>

Security Cloud Control がデバイス（FTD または ASA）を管理するために使用する IP アドレスが変更された場合はどうなりますか。

デバイスの IP アドレスが何らかの理由で変更された場合、それが静的 IP アドレスの変更であるか、DHCP による IP アドレスの変更であるかにかかわらず、Security Cloud Control がデバイスへの接続に使用する IP アドレスを変更して（Security Cloud Control のデバイスの IP アドレスを変更するを参照）、デバイスを再接続できます（Security Cloud Control へのデバイス一括再接続を参照）。デバイスを再接続するときに、デバイスの新しい IP アドレスの入力と、認証の資格情報の再入力を求められます。

ASA を Security Cloud Control に接続するには、どのようなネットワークが必要ですか。

• ASDM イメージが存在し、ASA に対して有効になっている。

• 52.25.109.29、52.34.234.2、52.36.70.147 へのパブリック インターフェイス アクセス。

• ASA の HTTPS ポートは 443、または 1024 以上の値に設定する必要があります。たとえば、ポート 636 に設定することはできません。

• 管理下の ASA も AnyConnect VPN クライアント接続を受け入れるように設定されている場合は、ASA HTTPS ポートを 1024 以上の値に変更する必要があります。