Firepower Management Center バージョン 6.3 コンフィギュレーション ガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Firepower Management Center バージョン 6.3 コンフィギュレーション ガイド

Chapter Title

セキュリティ認定準拠

検索結果

Updated:
2019年9月26日

章のタイトル: セキュリティ認定準拠

セキュリティ認定準拠

次のトピックでは、セキュリティ認定規格に準拠するようにシステムを設定する方法について説明します。

セキュリティ認定準拠のモード

お客様の組織が、米国防総省およびグローバル認定組織によって確立されたセキュリティ基準に従う機器とソフトウェアだけを使用することを求められる場合があります。Firepower では、以下のセキュリティ認定標準規格へのコンプライアンスをサポートします。

  • コモン クライテリア(CC):国際コモン クライテリア承認アレンジメントによって確立された、セキュリティ製品のプロパティを定義するグローバル標準規格

  • Unified Capabilities Approved Products List(UCAPL):米国国防情報システム局(DISA)によって確立された、セキュリティ要件を満たす製品のリスト


    (注)  
    米国政府は、Unified Capabilities Approved Products List(UCAPL)の名称を Defense Information Network Approved Products List(DODIN APL)に変更しました。このドキュメントおよび Firepower Management Center Web インターフェイスでの UCAPL の参照は、DODIN APL への参照として解釈できます。

  • 連邦情報処理標準(FIPS)140:暗号化モジュールの要件に関する規定

セキュリティ認定コンプライアンスは、CC モードまたは UCAPL モードで有効にすることができます。セキュリティ認定コンプライアンスを有効にしても、選択したセキュリティ モードのすべての要件との厳密なコンプライアンスが保証されるわけではありません。強化手順についての詳細は、認定機関から提供されている本製品に関するガイドラインを参照してください。


注意    
この設定を有効にした後は、無効にすることはできません。アプライアンスを CC モードまたは UCAPL モードから解除する必要がある場合は、再イメージ化する必要があります。

セキュリティ認定準拠特性

次の表は、CC または UCAPL モードを有効にしたときの動作の変更を示しています。ログイン アカウントの制約は、Web インターフェイス アクセスではなく、コマンドラインまたはシェル アクセスを指します。)

システムの変更

Firepower Management Center

従来型管理対象デバイス

Firepower Threat Defense

CC モード

UCAPL モード

CC モード

UCAPL モード

CC モード

UCAPL モード

FIPS コンプライアンスは有効です。

Yes

Yes

Yes

Yes

Yes

Yes

バックアップまたはレポートについては、リモート ストレージは利用できません。

Yes

Yes

追加のシステム監査デーモンが開始されます。

×

いいえ

いいえ

なし

システム ブートローダは固定されています。

×

いいえ

いいえ

なし

追加のセキュリティがログイン アカウントに適用されます。

×

いいえ

いいえ

なし

再起動のキー シーケンス Ctrl+Alt+Del を無効にします。

×

いいえ

いいえ

なし

最大 10 の同時ログイン セッションを実行します。

×

いいえ

いいえ

なし

パスワード長は少なくとも 15 文字で、大文字/小文字の英数字を組み合わせて 1 つ以上の数字を含む必要があります。

×

いいえ

いいえ

なし

ローカル admin ユーザに必要な最小パスワード長を設定するには、ローカル デバイス CLI を使用できます。

いいえ

なし

Yes

Yes

パスワードは、辞書に出現する単語であったり、連続する繰り返し文字を含んでいたりすることができません。

×

いいえ

いいえ

なし

3 回連続してログインに失敗した場合、admin 以外のユーザはロックアウトされます。この場合は、管理者がパスワードをリセットする必要があります。

×

いいえ

いいえ

なし

デフォルトでは、システムはパスワード履歴を保存します。

×

いいえ

いいえ

なし

admin ユーザは、Web インターフェイスで設定可能な最大許容回数を超えてログイン試行に失敗した後、ロックアウトされます。

Yes

Yes

Yes

Yes

admin ユーザは、ローカル アプライアンス CLI で設定可能な最大許容回数を超えてログイン試行に失敗した後、ロックアウトされます。

はい(セキュリティ認定準拠の有効/無効にかかわらず)。

はい(セキュリティ認定準拠の有効/無効にかかわらず)。

Yes

Yes

次の場合、システムは、アプライアンスとの SSH セッションで自動的にキーを再生成します:

  • セッション アクティビティでキーが 1 時間使用された後

  • キーを使用して接続で 1 GB のデータが伝送された後

Yes

Yes

Yes

Yes

Yes

Yes

システムは、ブート時にファイル システム整合性チェック(FSIC)を実行します。FSIC が失敗した場合、Firepower ソフトウェアは起動せず、リモート SSH アクセスが無効になり、ローカル コンソールを介してのみアプライアンスにアクセスできます。これが発生した場合は Cisco TAC に連絡してください。

Yes

Yes

Yes

Yes

Yes

Yes

セキュリティ認定準拠の推奨事項

セキュリティ認定コンプライアンスの使用が有効のときに、次のベスト プラクティスを確認することをお勧めします。

  • 展開時にセキュリティ認定準拠を有効にするには、最初に Firepower Management Center で有効にし、次に、管理対象のすべてのデバイスの同じモードで有効にします。


    注意    
    両方が同じセキュリティ認定準拠モードで動作していない限り、Firepower Management Center は管理対象デバイスからイベント データを受信しません。

  • 高可用性設定で Firepower Management Center を使用すると、双方の設定を行い、同じセキュリティ認定準拠モードを使用します。

  • Firepower 4100/9300 シャーシで、CC または UCAPL モードで動作するように Firepower Threat Defense を設定した場合は、Firepower 4100/9300 シャーシも CC モードで動作するように設定する必要があります。詳細については、『Cisco FXOS Firepower Chassis Manager Configuration Guide』を参照してください。

  • 次の機能を使用するようにシステムを設定できません。

    • 電子メールレポート、アラート、データのプルーニング通知。

    • Nmap Scan、Cisco IOS Null Route、Set Attribute Value、ISE EPS の修復。

    • バックアップまたはレポート用のリモート ストレージ。

    • サードパーティ クライアントのシステム データベースへのアクセス。

    • 電子メール(SMTP)、SNMP トラップ、syslog から送信される外部通知、アラート。

    • アプライアンスとサーバの間のチャネルを保護するために、SSL 証明書を使用せずに、HTTP サーバまたは syslog サーバに送信された監査ログ メッセージ。

  • CC モードを使用して展開する場合は、LDAP または RADIUS を使用して外部認証を有効にしないでください。

  • CC モードを使用して展開中に CAC を有効にできません。

  • CC または UCAPL モードを使用した展開では、Firepower REST API 経由で Firepower Management Center および管理対象デバイスへのアクセスを無効にします。

  • UCAPL モードを使用して展開中に CAC を有効にします。

  • Firepower Threat Defense デバイスが両方とも同じセキュリティ認定準拠モードを使用していない限り、ハイ アベイラビリティ ペアに構成しないでください。


(注)  

FirePOWER システムは、次の CC または UCAPL モードをサポートしていません

  • スタックまたはハイ アベイラビリティ ペアの従来型デバイス

  • クラスタ内の Firepower Threat Defense デバイス

  • Firepower Threat Defense のコンテナ インスタンス Firepower 4100/9300

アプライアンスの強化

Firepower システムの強化に使用可能な機能の詳細については、最新バージョンの『Cisco Firepower Mangement Center Hardening Guide』と『Cisco Firepower Threat Defense Hardening Guide』、および本書の以降のトピックを参照してください。

ネットワークの保護

ネットワークを保護するために構成できる Firepower システムの機能については、次のトピックを参照してください。

セキュリティ認定コンプライアンスの有効化

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

任意(Any)

任意(Any)

Admin

この設定は、Firepower Management Center または管理対象デバイスに適用されます。

  • Firepower Management Center では、この設定はシステム設定の一部になります。

  • 管理対象デバイスでは、この設定をプラットフォーム設定ポリシーの一部として FMC から適用します。

いずれの場合も、システム設定変更を保存するか、共有プラットフォーム設定ポリシーを展開するまで、設定は有効にはなりません。


注意    
この設定を有効にした後に無効にすることはできません。アプライアンスを CC モードまたは UCAPL モードから解除する必要がある場合は、再イメージ化する必要があります。

始める前に

  • アプライアンスでセキュリティ認定コンプライアンスを有効にする前に、展開に組み込む予定のあるすべてのデバイスを FMC に登録することをお勧めします。

  • Firepower Threat Defense デバイスは評価ライセンスを使用できません。輸出管理機能を有効にするには、Cisco Smart Software Manager アカウントを有効にする必要があります。

  • Firepower Threat Defense デバイスはルーテッド モードで展開する必要があります。

手順

ステップ 1

FMC を設定するか管理対象デバイスを設定するかに応じて、次の操作を実行します。

  • FMC[System] > [Configuration] を選択します。
  • 従来型デバイス:[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)] を選択し、Firepower ポリシーを作成または編集します。
  • FTD デバイス:[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)] を選択し、Firepower Threat Defense ポリシーを作成または編集します。
ステップ 2

[UCAPL/CC コンプライアンス(UCAPL/CC Compliance)] をクリックします。

(注)   
UCAPL または CC コンプライアンスを有効にすると、アプライアンスがリブートします。FMC は、システム設定を保存するとリブートし、管理対象デバイスは、設定の変更を展開するとリブートします。
ステップ 3

アプライアンスのセキュリティ認定コンプライアンスを永続的に有効にするには、2 つの選択肢があります。

  • [コモン クライテリア(Common Criteria)] モードでセキュリティ認定コンプライアンスを有効にするには、ドロップダウン リストから [CC] を選択します。
  • [Unified 機能承認製品リスト(Unified Capabilities Approved Products List)] モードでセキュリティ認定コンプライアンスを有効にするには、ドロップダウン リストから [UCAPL] を選択します。
ステップ 4

[保存(Save)] をクリックします。

次のタスク

  • まだ適用していない場合は、制御と防御のライセンスを、展開内のすべての従来型デバイスに適用します。

  • 認証エンティティによって提供されるこの製品のガイドラインの説明に従い、追加の設定変更を行います。

  • 設定変更を展開します。設定変更の展開を参照してください。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ