この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
1. Cisco Identity Services Engine のユースケースについて
この項では、Cisco Identity Services Engine(ISE)が課題の解決に役立つことをさまざまなユースケースを通して説明していきます。ユースケースの内容を理解して何がニーズに合うのかを見極め、必要なライセンスの数とタイプを把握しようとする場合は、ぜひお読みください。複数のユースケースを導入することもできます。
Cisco Identity Services のユースケース
1.1 ゲストおよび安全なワイヤレスアクセス
1.1.1 ゲストを設ける理由
多くの組織では、短時間の来訪者(ゲスト)に対してインターネットに無料でアクセスできるようにしています。ゲストには、ベンダー、小売業の顧客、短期ベンダー、短期請負業者などが含まれます。Cisco ISE はゲスト用のアカウントを作成して認証する機能を備えており、アカウントは監査の対象になります。Cisco ISE によりゲストにアクセスを提供する方法として、ホットスポット(ログイン情報を使用しない即時アクセス)、自己登録、およびスポンサーゲストアクセスの 3 通りがあります。また、Cisco ISE には、ベンダー管理システムなど他のシステムと連携してゲストアカウントを作成、編集、削除するための API も豊富に揃っています。さらに、エンドユーザーに表示される各種ポータルは、お客様のブランドのルックアンドフィールに合わせた適切なフォント、色、テーマなどを使用して自由にカスタマイズできます。
1.1.2 ゲストの仕組み
Cisco ISE ゲストのユースケース
Cisco ISE ではゲスト用にローカルアカウントが作成されます。このアカウントは、ゲスト(スポンサー)に応対している従業員が組み込みポータルを使用して作成することも、ゲスト自身が基本情報を入力して作成することもできます。ゲストは電子メールや SMS を介してログイン情報を受け取ります。このログイン情報を使用して、ゲストがネットワークに対して自身を認証すると、ネットワークにアクセスできます。管理者は、ゲストユーザーに提供するアクセスレベルを定義できます。
必要なライセンス:ISE Essentials
1.1.3 安全なワイヤレスアクセスが必要な理由
ほとんどの組織がまず最初に取り組むことは、ワイヤレスネットワークの保護です。ワイヤレスネットワークの保護は、どの組織にとっても最も基本的なニーズです。ネットワーク管理者は Cisco ISE を使用して、許可されたユーザーと、携帯電話、タブレット、ラップトップなどのワイヤレスデバイス(BYOD や組織所有のワイヤレスデバイスなど)のみがネットワークに接続できるようにし、後からさまざまなセキュリティポリシーを適用することで、ネットワークへのアクセスを保護できます。認証と許可は Cisco ISE のコア機能です。すべての Cisco ISE セッションは、対象がユーザーであれデバイスであれ、認証から始まります。認証は、アクティブ認証またはパッシブ認証(802.1X セッションを除く)のどちらかになります。アクティブ認証は、Cisco ISE がアイデンティティソースに対してユーザーを認証するときに、802.1X を使用して実行されます。これに対してパッシブ認証(Easy Connect で使用)では、Microsoft の Active Directory(AD)をはじめとしたアイデンティティソースに対してユーザー認証が行われ、AD が Cisco ISE に通知すると、ISE はユーザーについて学習します。
1.1.4 セキュアワイヤレスアクセスの仕組み
Cisco ISE セキュアワイヤレスアクセスのユースケース
認証に成功すると、接続の種類がパッシブ ID セッション(Easy Connect)、MAB(MAC アドレスバイパス)、802.1X のどれであるかに関係なく、Cisco ISE はグループ情報に基づいて、適切なアクセスをワイヤレス接続に提供します。ユーザーを VLAN、DACL、ACL に割り当てるか、あるいは、SGT、SGACL に割り当てることで、これが実現します。
必要なライセンス:ISE Essentials(SGT または SGACL には ISE Advantage が必要)
1.2 アセットの可視性
1.2.1 アセットの可視性が必要な理由
デバイスに付与すべきネットワークアクセスのタイプを決定する上で、デバイスタイプを理解することが非常に重要な要素になります。たとえば、IP カメラやエレベータなどのビルディング管理システムには、ネットワークの特定部分(ビルディング管理サービスネットワークなど)へのアクセス権を付与し、プリンタにはネットワークの別の部分(IT サービスなど)へのアクセス権を付与する必要があります。可視性を備えることで、IT 管理者はネットワーク上にあるデバイスのタイプを把握し、どのような方法で適切なレベルの権限をデバイスに割り当てるべきかを判断できます。基本的なアセットの可視性では、デバイスのネットワーク属性が既知のプロファイルと照合されて、エンドポイントがプロファイリングされます。高度なアセットの可視性では、デバイス上のアプリケーションとネットワーク上の他のエンドポイントやサーバーとの間で行われたさまざまな通信が、ディープパケットインスペクション(DPI)を通じて詳細に分析されます。基本的なアセットの可視性では、ネットワークの大部分、特に従来のデバイス(プリンタ、携帯電話など)に対する可視性が提供されます。高度なアセットの可視性では、業種に特化したデバイスや IoT タイプのデバイスに対する可視性が提供されます。
1.2.2 基本的な可視性(Cisco ISE プロファイリング可視性)の仕組み
Cisco ISE の基本的な可視性のユースケース
Cisco ISE の基本的なアセットの可視性は、プロファイラサービスによって可能になります。プロファイラサービスは、ネットワーク通信をリッスンすることで、デバイスに関する情報を収集します。最も確実性の高い情報から最も確実性の低い情報まで、属性に重み付けすることで、候補となるデバイスタイプが判断されます。
アセットの可視性に基づいて一連のネットワークアセットを保護するための次のステップは、アクセス権の適用です。基本的なアセットの適用では、エンドポイントの分類をプロファイル別に使用することも、ネットワーク アクセス ポリシー内で使用することもできます。これにより、エンドポイントについて学習された可視性に基づいて、そのエンドポイントのプロファイルに応じたネットワーク権限のみが付与されます。データセンター内の他のサーバーからの認証データ(ユーザー名、IP アドレス、MAC)の収集、照合、キャッシング、および登録システムへの認証データの配布
必要なライセンス:ISE Advantage
1.2.3 高度なアセットの可視性(エンドポイント分析可視性)の仕組み
エンドポイント分析は、エンドポイント プロファイリングの精度を向上させることを目的としています。きめ細かいエンドポイント識別を提供し、さまざまなエンドポイントにラベルを割り当てます。このとき、ディープ パケット インスペクション(DPI)だけでなく、SD-AVC、Cisco ISE、他のサードパーティ コンポーネントなどのさまざまなソースから集約されたプローブを使用して、エンドポイント属性が分析されます。
人工知能(AI)と機械学習を使用して、共通の属性を持つエンドポイントを直感的に分かるようグループ化します。さらに、適切なエンドポイント プロファイリング ラベルを選択するための提案を IT 管理者に行います。多要素分類は、ラベルカテゴリを使用してエンドポイントを分類し、柔軟なプロファイリングを可能にします。これらのエンドポイントラベルを Cisco ISE で使用して、カスタムプロファイルを作成できます。カスタムプロファイルは、認証ポリシーを通じてエンドポイントとエンドポイントグループに適切なアクセス権限セットを提供するための基盤となります。
Cisco ISE 高度なアセットの可視化のユースケース
必要なライセンス:
基本的なアセットの可視性と適用 - ISE Advantage
エンドポイント分析の可視性と適用 – ISE Advantage
1.3 コンプライアンス(ポスチャ)
1.3.1 コンプライアンスの可視性が必要な理由
攻撃者が集中的に行うのは、意図的なデータ破損(ランサムウェア)とネットワーク上のエンドポイントを侵害するデータ漏洩です。最も効果的で広く知られている侵害で利用されるのは、簡単に修復できたにもかかわらず見落とされた既知の問題です。コンプライアンスの可視性により、組織はポスチャを使用するか、モバイルデバイス管理(MDM)システムやエンタープライズモビリティ管理(EMM)システムと連携して(または両方)、ユーザーのエンドポイントが企業ポリシーにどの程度準拠しているかを確認できます(サポートされている MDM/EMM システムについては、『Cisco Identity Services Engine リリース 2.7 ネットワークコンポーネントの互換性』を参照してください)。組織は Cisco ISE のポスチャエンジンまたは MDM を使用して、ポリシーに準拠しているエンドポイント数を評価し、準拠していないソフトウェアがインストールされていないか、また実行中でないかを確認できます。
1.3.2 コンプライアンスの仕組み
Cisco ISE コンプライアンス可視性のユースケース
ポスチャは、エンドポイント内を検証するために一時的にインストールされたエージェントを利用して、オペレーティングシステムのパッチ、マルウェア対策、ファイアウォールなどがインストールおよび有効化され、最新の状態であることを確認した後に、ネットワークへのデバイス接続を許可します。
一般的には、エンドポイントが企業のソフトウェアポリシーに準拠しているかを正しく可視化しているだけでは不十分です。お客様は、コンプライアンスレベルに基づいてエンドポイントへのアクセスを差別化することを望んでいる場合があります。コンプライアンスの適用により、Cisco ISE 独自のポスチャエンジンまたは前述した MDM や EMM との連携を通じて包括的なコンプライアンスステータスを取得し、アクセスポリシーで使用できます。アクセスポリシーをアイデンティティなどの他の属性と組み合わせることで、強力な機能を実現します。組織のリスクは軽減され、ネットワークに接続しようとして非準拠の不健全なエンドポイントで作り出された攻撃対象領域全体が縮小されます。このようなポリシーを設定することで、ポリシーに完全に準拠したエンドポイントを使用するユーザーは、必要なリソースへのフルアクセスが許可されます。一方、ポリシーに準拠しないことが判明したエンドポイントからは、修復システム、ヘルプデスクシステム、低リスクサービスへのアクセスのみが許可されます。組織は Cisco ISE のポスチャエンジンまたは MDM を使用して、ポリシーに準拠しているエンドポイントの数を評価できます。また、古いソフトウェアやサポートされていないソフトウェアが存在する非準拠のエンドポイントから重要リソースへのアクセスは、拒否できます。
必要なライセンス:ISE Premier(AnyConnect または AnyConnect Stealth を使用する場合は、AnyConnect Apex も必要)
1.4 安全な有線アクセス
1.4.1 安全な有線アクセスが必要な理由
不正なユーザーがデバイスをネットワークに接続するのを防ぐには、有線ネットワークの保護が不可欠です。ネットワーク管理者は、Cisco ISE を使用してユーザーとデバイスを認証および許可することで、安全なネットワークアクセスを提供できます。認証方式はアクティブまたはパッシブになります。Cisco ISE がアイデンティティソースに対してユーザーを認証する際には、802.1X を使用してアクティブ認証が行われます。パッシブ認証では、Active Directory(AD)ドメインへのログイン、または他の間接的な方法を通じて、Cisco ISE がユーザーのアイデンティティを学習します。ユーザーまたはデバイスが正常に認証されると、許可が行われます。許可は、ダイナミック VLAN、ダウンロード可能 ACL、またはその他のセグメンテーション方式を使用してエンドポイントのネットワーク アクセス セッションを割り当てることで実現できます。
1.4.2 安全な有線アクセスの仕組み
Cisco ISE の安全な有線アクセスのユースケース
Cisco ISE は、802.1X、Web 認証、MAB などの方法でユーザーとエンドポイントを認証します。また、ネットワークデバイスに指示することで、外部アイデンティティソースにアイデンティティ解決を問い合わせて、適切なネットワークポリシーを適用できます。
必要なライセンス:ISE Essentials
1.5 Bring Your Own Device(BYOD; 個人所有デバイス持ち込み)
1.5.1 BYOD が必要な理由
多くの組織では、従業員がスマートフォンなどの個人所有のデバイスを企業のワイヤレスネットワークに接続して、業務で使用することを許可するポリシーを定めています。これは、Bring Your Own Device(BYOD; 個人所有デバイス持ち込み)ポリシーと呼ばれます。ただし、これらのデバイスは個人が所有しているため、管理ソフトウェアをインストールして組織がエンドポイントを「管理」できるようにすることは好まれません。このような状況下においても、Cisco ISE はデバイスの登録からサプリカントのプロビジョニング、証明書のインストールまでの BYOD オンボーディングプロセスすべてを、非常に合理化された方法で自動化できます。iOS、Android、Windows、macOS、ChromeOS などのさまざまな OS プラットフォームのデバイスで自動化が可能です。エンドユーザーは、自由にカスタマイズ可能な Cisco ISE の My Device ポータルを使用して、さまざまなデバイスをオンボードして管理できます。
1.5.2 BYOD の仕組み
Cisco ISE BYOD のユースケース
Cisco ISE には、BYOD のオンボーディング全体の自動化に役立つ要素がいくつかあります。その中の 1 つの組み込み認証局(CA)は、さまざまなタイプのデバイスに証明書を作成して配布します。組み込み CA によって、証明書ライフサイクルが完全に管理されます。また、Cisco ISE はエンドユーザー向けの My Device ポータルも提供しています。エンドユーザーは BYOD のエンドポイントを登録するだけでなく、エンドポイントに紛失のマークを付けてネットワークから切り離し、ブロックリストに追加することもできます。BYOD のオンボーディングは、シングル SSID またはデュアル SSID のアプローチがあります。シングル SSID のアプローチでは、同じ SSID を使用してエンドユーザーのデバイスのオンボーディングと接続を行います。一方、デュアル SSID のアプローチでは、デバイスのオンボーディングプロセスで使用したオープンな SSID とは異なる、より安全な SSID を使用してデバイスを接続します。さらに完全な管理ポリシーを求める場合は、BYOD を使用してエンドユーザーを MDM のオンボーディングページに接続することもできます。
Cisco ISE との統合を行うエンタープライズおよびモビリティ管理パートナーのリストについては、『Security Technical Alliance パートナー』のページを参照してください。[市場セグメント(Market Segment)] でフィルタして [EMM/MDM] を選択するとご確認いただけます。
必要なライセンス:ISE Advantage
1.6 Rapid Threat Containment (RTC)
1.6.1 Rapid Threat Containment が必要な理由
Cisco RTC を使用すると、ネットワーク上の脅威に関する解決策を素早く入手し、脅威を迅速に阻止できます。シスコセキュリティ製品のオープンな統合、シスコパートナーのテクノロジー、および Cisco ISE の広範なネットワーク制御が活用されています。
統合ネットワーク アクセス コントロール テクノロジーを使用することで、疑わしいアクティビティ、脅威、または脆弱性が検出された場合に、ユーザーのアクセス権限を手動または自動で変更できます。感染の疑いがあるデバイスから重要データへのアクセスは拒否されますが、デバイスのユーザーは、重要度の低いアプリケーションで作業を継続できます。
1.6.2 Rapid Threat Containment の仕組み
Cisco ISE RTC のユースケース
エンドポイントで著しい脅威が検出されると、pxGrid エコシステムパートナーは、感染したエンドポイントを手動または自動のどちらで封じ込めるかを ISE に指示できます。脅威の封じ込めでは、デバイスを監視のためにサンドボックスへ移動させることも、修理のために修復ドメインへ移動させることも、完全に削除することもできます。ISE は、標準化された共通脆弱性評価システム(CVSS)による分類と脅威情報構造化記述(STIX)の脅威分類も受け取ることができるため、ユーザーのセキュリティスコアに基づいてユーザーのアクセス権限を手動または自動で適切に変更できます。
Cisco ISE は、ユースケースを導入するために、pxGrid を介して 75 を超えるエコシステムパートナーと統合しています。Cisco ISE 統合の技術詳細については、『Cisco ISE セキュリティエコシステム統合ガイド(ISE Security Ecosystem Integration Guides)』を参照してください。
Cisco ISE との統合を行うエンタープライズおよびモビリティ管理パートナーのリストについては、『Security Technical Alliance パートナー』のページを参照してください。[市場セグメント(Market Segment)] でフィルタして [EMM/MDM] を選択するとご確認いただけます。
必要なライセンス:ISE Advantage
1.7 セグメンテーション
1.7.1 セグメンテーションが必要な理由
ネットワーク セグメンテーションは、重要なビジネスアセットを保護するための実績のあるテクノロジーですが、従来のアプローチは複雑です。シスコのグループベースのポリシーと TrustSec ソフトウェアデファインド セグメンテーションは、VLAN ベースのセグメンテーションよりも簡単に設定できます。ポリシーは、セキュリティグループを使用して定義します。これは IETF のオープンテクノロジーであり、Open Daylight 内で使用できます。また、サードパーティやシスコのプラットフォームでサポートされています。Cisco ISE は、スイッチ、ルータ、ワイヤレス、およびファイアウォールルールの管理を簡素化するセグメンテーション コントローラの機能を果たします。グループベースのポリシーと TrustSec セグメンテーションは、従来のセグメンテーションと比較して低コストでより優れたセキュリティを実現します。Forrester Consulting 社の顧客分析によると、運用コストは 80% 削減され、ポリシーの変更は 98% 迅速化されています。
1.7.2 セグメンテーションの仕組み
Cisco ISE セグメンテーションのユースケース
上の図では、ユーザーとデバイスがセキュリティグループに割り当てられているため、グループのメンバーシップがネットワーク全体で認識されます。これにより、パス上のすべての適用デバイスは、グループ間で承認された通信に基づいてポリシーを評価できます。
1.7.3 Software-Defined Access
セグメンテーションは、Software-Defined Access(SDA)の重要な要素です。Cisco Digital Network Architecture(DNA)のコントローラと Cisco ISE を組み合わせることで、ネットワークのセグメンテーションとグループベースのポリシーを自動化できます。アイデンティティベースのポリシーとセグメンテーションにより、セキュリティポリシーの定義が VLAN や IP アドレスから分離されます。ソフトウェアデファインド(SD)のアクセス設計と導入のガイドでは、グループベースポリシーの設定と導入について詳しく説明しています。
Cisco ISE SDA 統合のユースケース
エンタープライズ ネットワーク全体にセグメンテーションを拡張するために、Cisco ISE は Cisco Application Centric Infrastructure(ACI)のコントローラと連携しています。これは、Application Policy Infrastructure Controller – Data Center(APIC-DC)とも呼ばれ、EPG 名を学習し、ソフトウェアグループ(SG)名および対応する EPG 値、SGT 値、Virtual Routing and Forwarding(VRF)名を共有します。これにより、Cisco ISE は SG-EPG 変換表を作成および入力できます。変換表は境界デバイスによって取得され、トラフィックがドメインを通過する際に TrustSec-ACI 識別子が変換されます。ACI の概要とポリシープレーン統合の設定については、『TrustSec – ACI ポリシープレーン統合ガイド 』を参照してください。
TrustSec テクノロジーは、50 を超えるシスコ製品ファミリでサポートされており、オープンソース製品やサードパーティ製品で採用されています。Cisco ISE は、ルータ、スイッチ、ワイヤレス、およびセキュリティ製品のポリシーコントローラとして機能します。各種製品の TrustSec 機能の詳細については、『プラットフォーム機能マトリックス』を参照してください。『コンフィギュレーション クイック スタート ガイド』には、サンプル環境における一般的な TrustSec ネットワークの設定手順が詳しく記載されています。その他のオプションについては、設計ガイドを参照してください。
必要なライセンス:ISE Advantage
注: SDA を使用してセグメンテーションを設定するには、Cisco ISE の Advantage または Premier ライセンスのほかに、Cisco DNA Premier または Cisco DNA Advantage ライセンスが必要です。詳細については、『SDA 発注ガイド』を参照してください。
1.8 セキュリティエコシステムの統合
1.8.1 セキュリティエコシステムの統合が必要な理由
Cisco ISE は、デバイスタイプ、ロケーション、アクセス時間、ポスチャ、アセットに関連付けられたユーザーなどの観点から、エンドポイントに関するコンテキストデータを構築します。エンドポイントは、これらの属性に基づいてスケーラブルグループタグ(SGT)でタグ付けできます。この豊富なコンテキストに基づく分析を活用して、効果的なネットワークアクセス制御ポリシーを適用できます。また、ネットワークアクセス制御ポリシーをエコシステムパートナーと共有してサービスを強化することもできます。たとえば、シスコの次世代ファイアウォール(NGFW)では、デバイスタイプ、ロケーション、ユーザーグループなど、Cisco ISE から受け取ったアイデンティティ コンテキストに基づいてポリシーを作成できます。それとは逆に、サードパーティ製システムの特定のコンテキストを Cisco ISE にインポートして、検知機能とプロファイリング機能を強化し、脅威を封じ込めることもできます。プラットフォーム間のコンテキスト交換は、Cisco® pxGrid または REST API を使用して実行できます。
Cisco ISE の外部 RESTful サービス(ERS)は、REST API による特定の一連のユースケースにおいて、コンテキストの共有(内部および外部)と Cisco ISE 管理の両方の目的で使用されます。
1.8.2 セキュリティエコシステムの統合の仕組み
Cisco ISE セキュリティの統合
プラットフォーム間のコンテキスト交換は、Cisco® pxGrid または REST API を使用して実行できます。
Cisco ISE は pxGrid を介して 75 を超えるエコシステムパートナーと統合し、テクノロジーパートナーのユースケースを導入しています。統合に関する技術的詳細については、ISE セキュリティエコシステム統合ガイドを参照してください。
エコシステムパートナーの一覧は、Cisco Secure テクニカル アライアンス パートナーで確認できます。
必要なライセンス:ISE Advantage
1.9 デバイス管理(TACACS+)
1.9.1 デバイス管理が必要な理由
ネットワーク管理者とセキュリティ管理者は、企業内のネットワークデバイスとセキュリティデバイスの管理および監視を担当することが一般的です。デバイスの数が少ない場合は、admin ユーザー、権限、および構成変更の追跡はそれほど難しいことではありません。しかし、ネットワークが拡張されてデバイスの数が数十台、数百台、数千台になると、自動化や円滑なワークフローなしにデバイスを管理することはきわめて困難です。Cisco ISE は、整然としたワークフローを用いてデバイス管理タスクを自動化する機能を備えています。また、UI の制御スペース内には TACACS+ プロトコルを使用したモニタリング機能があり、ネットワークオペレータにさまざまな権限を提供できます。
1.9.2 デバイス管理の仕組み
Cisco ISE デバイス管理のユースケース
ネットワーク管理者がネットワークデバイスに接続しようとすると、デバイスは Cisco ISE に「接続要求」を送信し、Cisco ISE はデバイスに対してログイン情報を要求します。ログイン情報はアイデンティティリソースの照合によって検証されます。
次に、ネットワークデバイスは Cisco ISE に対してネットワーク管理者の許可を要求します。ネットワーク管理者はシェルプロンプトにアクセスすると、コマンドを実行できるようになります。コマンドを個別に許可するように Cisco ISE を設定することもできます。
1.9.3 デバイス管理ライセンスの取得方法
● デバイス管理が可能なライセンス:デバイス管理ライセンス
● ライセンス消費:デバイス管理ライセンスはポリシーサービスノード(PSN)ごとに消費されます。TACACS+ サービスを使用するポリシーサービスノードごとに、デバイス管理ライセンスが必要です。TACACS+ によるデバイス管理では、エンドポイントのライセンスは消費されません。また、デバイス管理の対象にするネットワークデバイスに制限はありません。ユーザーは Essentials ライセンスを必要としません。
● Cisco ISE デバイス管理用 SKU で SKU を確認してください。
この項では、新たに ISE を導入する際に必要な主要コンポーネントについて説明します。Cisco ISE のライセンス、アプライアンス、およびサービスを理解するためにも、ぜひお読みください。
Cisco ISE の導入
2.1 ライセンス
2.1.1 ライセンスモデルについて
サブスクリプションの概要
Cisco ISE のライセンスは、サブスクリプション型のライセンス契約となります。サブスクリプションの標準契約期間は、1 年、3 年、および 5 年です。期間が満了したサブスクリプションは、更新を取り消さない限り自動的に更新され、1 年間延長されます。
既存のサブスクリプションをサブスクリプション期間中に変更できます。変更は、発注した製品や数量に加えることができます。サブスクリプション期間中はいつでも、「サブスクリプションの変更」を発注することで、サブスクリプション数を追加できます。「サブスクリプションの変更」を発注して追加した数量の契約は、既存のサブスクリプションと同時に終了します。サブスクリプションの更新時に数量を減らすことはできますが、現在のサブスクリプションの期間中に減らすことはできません。サブスクリプション変更トランザクションの詳細については、こちらをクリックして Job Aid を確認してください。
Cisco ISE ライセンス
Cisco ISE ライセンスにより、Cisco ISE ネットワークリソースを使用できる同時エンドポイント数など、アプリケーションの機能やアクセスを管理できます。Cisco ISE のライセンスは機能ベースのパッケージとして提供され、Essentials、Advantage、Premier の各ライセンスで異なる機能がサポートされます。このライセンス構造はネストモデルと呼ばれます。つまり、上位のライセンスには下位の機能がすべて含まれています。たとえば、ISE Premium ライセンスには、ISE Advantage および ISE Essential の機能がすべて含まれます。同様に、ISE Advantage ライセンスには ISE Essential の機能がすべて含まれます。各階層のサブスクリプション期間は 1 年、3 年、および 5 年です。
ライセンスモデルの変更
セッションバンド
セッションベースのライセンスは、レベル別の価格体系に基づきます。価格はサブスクリプションのセッション数と期間によって異なります。営業担当者とパートナーは、お客様それぞれの導入環境に最適な規模を判断し、適切なセッション数を選択できるようにします(最小セッション数:100)。入力されたセッション数に対応する適切な価格が、Cisco Commerce(CCW)によって動的に決定されます。
セッションバンド |
100 〜 999 セッション |
1000 〜 2499 セッション |
2500 〜 4999 セッション |
5000 〜 9999 セッション |
10,000 〜 24,999 セッション |
25,000 〜 49,999 セッション |
50,000 〜 99,999 セッション |
100,000 セッション以上 |
2.1.2 ライセンスごとの機能一覧
提供される Cisco ISE ライセンスのリストを以下に示します。上位の各ライセンスパッケージには、下位の Cisco ISE ライセンス階層パッケージの機能が含まれています。例:Advantage には Advantage と Essentials の機能が含まれ、Premier には Premier、Advantage、および Essentials の機能が含まれます。デバイス管理ライセンスと IPsec ライセンスには、それぞれのライセンスの機能のみが含まれています。
|
Cisco ISE の機能またはサービス |
ライセンス |
||||
Essentials |
Advantage |
Premier |
DA |
|||
ネットワークへのアクセス |
基本 RADIUS 認証、許可、アカウンティング(802.1X、MAC 認証バイパス、Easy Connect、Web 認証を含む) |
✓ |
✓ |
✓ |
X |
|
MACsec(すべて) |
✓ |
✓ |
✓ |
X |
||
SSO、SAML、ODBC ベースの認証 |
✓ |
✓ |
✓ |
X |
||
ゲストポータルおよびスポンサーサービス |
✓ |
✓ |
✓ |
X |
||
Representational State Transfer(モニタリング)API |
✓ |
✓ |
✓ |
X |
||
外部 RESTful サービス(CRUD)対応 API |
✓ |
✓ |
✓ |
X |
||
PassiveID(シスコのサブスクライバ) |
✓ |
✓ |
✓ |
X |
||
PassiveID(シスコ以外のサブスクライバ) |
X |
✓ |
✓ |
X |
||
有線およびワイヤレスのセキュアアクセス |
✓ |
✓ |
✓ |
X |
||
組み込み認証局(CA)を使用したデバイス登録(My Devices ポータル)および Bring Your Own Device(BYOD; 個人所有デバイス持ち込み)のプロビジョニング |
X |
✓ |
✓ |
X |
||
セグメンテーション |
セキュリティグループタグの割り当て(Cisco TrustSec® SGT)および ACI の統合 |
X |
✓ |
✓ |
X |
|
アセットの可視性 |
基本的なアセットの可視性と適用(プロファイリング) |
X |
✓ |
✓ |
X |
|
基本的なアセットのフィードサービス |
X |
✓ |
✓ |
X |
||
高度なアセットの可視性(エンドポイント分析) |
X |
✓ |
✓ |
X |
||
高度なアセットの適用(エンドポイント分析) |
X |
✓ |
✓ |
X |
||
ロケーションベースの統合に基づく可視性と適用 |
X |
✓ |
✓ |
X |
||
コンテキストの共有と応答 |
コンテキスト共有とセキュリティエコシステムの統合 |
X |
✓ |
✓ |
X |
|
エンドポイント保護サービス(EPS) |
X |
X |
✓ |
X |
||
Rapid Threat Containment(RTC)(適応型ネットワーク制御とコンテキスト共有を使用) |
X |
✓ |
✓ |
X |
||
コンプライアンス |
ポスチャの可視性と適用(*) |
X |
X |
✓ |
X |
|
エンタープライズモビリティ管理およびモバイルデバイス管理(EMM と MDM)の連携による可視性と適用 |
X |
X |
✓ |
X |
||
脅威中心型 NAC |
X |
X |
✓ |
X |
||
デバイス管理 |
デバイス管理(TACACS+) |
X |
X |
X |
✓ |
|
2.1.3 ライセンスを消費する機能と例外
lSE ライセンスの種類に関係なく、次の表に示す例外を除くほぼすべての機能は、ライセンスセッションを消費します。
表 2. ライセンスセッションを消費しない ISE の機能
Cisco ISE の機能またはサービス |
説明 |
消費されるライセンス数 |
PassiveID(シスコ専用サブスクライバ) |
データセンター内の他のサーバーからの認証データ(ユーザー名、IP アドレス、MAC)の収集、照合、キャッシング、および登録システムへの認証データの配布 |
× |
PassiveID(シスコ以外のサブスクライバ) |
データセンター内の他のサーバーからの認証データ(ユーザー名、IP アドレス、MAC)の収集、照合、キャッシング、および登録システムへの認証データの配布 |
× |
プロファイラ フィード サービス |
エンドポイント分類ルールの動的ダウンロード |
× |
My Devices ポータル*および NSP |
自動ネットワーク サプリカント プロビジョニング(NSP)によってユーザーがエンドポイントを追加および管理するセルフサービス Web ポータル |
× |
コンテキストの共有 |
pxGrid を介した Cisco ISE とサードパーティシステム間のユーザーとエンドポイントのコンテキスト属性(誰が、いつ、どこで、何をなど)のデータ交換 |
× |
エンドポイント保護サービス(EPS) |
アクティブなネットワークセッションの動的なネットワーク制御を行う API |
× |
Cisco TrustSec と ACI の統合 |
Cisco TrustSec と Application Centric Infrastructure(ACI)の管理ドメインを相互接続するソリューションを提供し、一貫性のあるエンドツーエンドのポリシーセグメンテーションを実現 |
× |
注: セッションを直接消費しない機能についても、少なくとも導入環境内のエンドポイント数と同じ数のライセンスを持つ必要があります。
2.1.4 コンテキスト交換ライセンスの要件
表 3. コンテキスト交換のライセンス要件
認証メカニズム |
コンテキスト共有先 |
ライセンス要件 |
Cisco ISE |
シスコのプラットフォーム |
Advantage 1 : 1 のエンドポイント数 |
Cisco ISE |
サードパーティのプラットフォーム |
Advantage 1 : 1 のエンドポイント数 |
非 ISE 認証(AD など) |
シスコのプラットフォーム |
Essentials |
非 ISE 認証(AD など) |
サードパーティのプラットフォーム |
Advantage 1 : 1 のエンドポイント数 |
注: 外部システムと共有される各アクティブエンドポイントのコンテキストは、Advantage ライセンスを消費します。外部システムと共有されるアクティブな各エンドポイントセッションの情報には、 1 : 1 の Advantage ライセンスが必要です。たとえば、Windows ラップトップが 802.1X 経由で認証される場合、1 つの Essentials ライセンスが消費されます。このエンドポイントのコンテキストが Cisco Stealthwatch または NGFW と共有される場合、1 つの Advantage ライセンスが追加で消費されます。
2.1.5 デバイス管理ライセンスと対応する機能
ネットワークデバイスへの管理アクセスを制御します。
2.1.6 IPSec ライセンスと対応する機能
Cisco ISE PSN と Cisco Network Access デバイス間の VPN 通信を許可します。
2.1.7 製品とソリューションのバンドル製品
ISE ライセンスは、シスコの多くの製品およびソリューションバンドル製品の一部としても利用できます。
2.2 アプライアンス
Cisco ISE は物理アプライアンスと仮想アプライアンスの両方をサポートします。Cisco ISE アプライアンスの詳細については、Cisco Secure Network Server データシートを参照してください
2.2.1 ハードウェア
シスコが提供し、お客様の導入環境に存在する物理アプライアンスです。
Cisco ISE アプライアンスは常に最新バージョンのソフトウェアを搭載して出荷されますが、ソフトウェアのバージョンは手動で変更できます。この場合、新規インストールを行うことになります。インストールする Cisco ISE リリースのリリースノートと管理者ガイドを参照してください。
2.2.2 仮想マシン
Cisco ISE 仮想アプライアンスは、VMware ESX/ESXi 5.x と 6.x のほか、Red Hat Enterprise Linux(RHEL)7 の KVM、Amazon Web Services(AWS)、Microsoft Windows Server 2012R2 以降の Microsoft Hyper-V に対応しています。仮想アプライアンスは、Cisco ISE のデータシートに記載されている物理プラットフォームと同等以上の構成のハードウェアで実行する必要があります。Cisco ISE 仮想ターゲットは、必要なメモリおよびディスク容量の要件を満たしている必要があります。この要件については、Cisco Identity Services Engine インストールガイドを参照してください。AWS で稼働させる Cisco ISE の詳細については、『Install Cisco ISE with Amazon Web Services』を参照してください。
2.3 サービス
2.3.1 テクニカルサービス
アプライアンスおよび永続的ライセンスのサポート
お客様は、Cisco ISE 物理アプライアンス向け Smart Net Total Care® と、Cisco ISE 仮想マシンまたは ISE-PIC 仮想マシン向けソフトウェアサポート(SWSS)契約を、サポートを Solution Support にアップグレードするオプションとともに購入できます。Cisco ISE 物理アプライアンスまたは仮想アプライアンスのサポートは、Base と Device Admin の導入でも利用可能です。
Cisco Software Support Basic(SWSS)は、Cisco ISE サブスクリプションのすべてのライセンス期間で利用できますが、物理または仮想アプライアンスで SWSS を有効にするには、Smart Net Total Care、または別のレベルのサービスを購入する必要があります。
サブスクリプション ライセンスのサポート
高価値サービスレベルの Solution Support と Software Support(Enhanced および Premium)を、Cisco ISE サブスクリプションのすべてのライセンスで利用できます。Solution Support は、ISE Plus と Apex のライセンスでは利用できません。
Software Support Enhanced と Premium では、Software Support Basic のすべてのサービスに加え、優先順位付けしたケース処理、ソリューションレベルの専門知識と高度なスキルを持つエンジニアへの直接の問い合わせ、オンボーディングと技術導入支援といったさまざまなサポートを利用できます。Cisco ISE 向け Software Support の詳細については、『Cisco Software Support For Security Data Sheet』を参照してください。ISE サブスクリプション ライセンスでは、Software Support Enhanced が推奨のサポートレベルであることにご注意ください。
ISE 3.0 以降のソフトウェアサポートを発注する場合、製品構成でサポートオプションを利用できます。まず、Cisco Commerce Workspace(CCW)で製品を構成し、[ISEサポート(ISE Support)] セクションを編集します。
CCW で、ISE 3.0 以降のサブスクリプション ライセンスに Software Support を選択する
ISE 3.0 より前の ISE サブスクリプション ライセンス向けに、CCW で Software Support を発注するには、次の PID を使用します:CISE-SW-SUPP。同時セッション数に基づいて、対象の ISE ライセンスに Software Support Enhanced または Premium を選択します。次の図を参照してください。
CCW で、ISE 3.0 より前のサブスクリプション ライセンスに Software Support を選択する
2.3.2 アドバイザリサービス
シスコはアドバイザリサービスを提供し、お客様がシスコのテクノロジーを活かしてビジネス目標を達成するお手伝いをします。たとえば、Cisco Security Segmentation Service ではインフラストラクチャの戦略的なセグメンテーションの方法を提案し、セグメンテーションへの取り組みを成功へと導きます。
基盤となる製品は永続的なものですが、関連するサポートは期間ベースで提供されるため、サポート期間が終了したお客様は、サポートを個別に更新する必要があります。Software Support Basic は、期間ライセンスの期間中ご利用いただけます。
仮想マシンのバージョンをアップグレードしたり、ライセンスを移行したりしても、関連するサポートは自動的には移行されません。ただし、お客様は、最初に購入したサポート契約に基づいて、その後もサポートを受けることができます。最初に購入した製品の販売が終了(EOL)し、EOL アナウンスに従ってサービス更新の最終日に達するまで、サポートの更新を継続できます。EOL の場合に継続してサポートを受けるには、シスコカスタマーサービスでケースをオープンし、販売が終了した製品 PID を希望の製品 PID に置き換える申請を行う必要があります。これにより、サポートを更新しその後もご利用いただけます。
この項では、ISE をすでにお使いのお客様のお役に立てるように、ISE 向けの最新 SKU リリース情報、ISE の SKU サポート終了のお知らせ、およびレガシー SKU と最新 SKU の比較情報を記載します。
3.1 サポート終了通知
ISE の各種ライセンスとアプライアンスのサポート終了に関するすべてのお知らせは、こちらをご覧ください。
3.2 仮想マシンライセンスの簡素化
3.2.1 ISE 3.1 の仮想マシン共通ライセンスとライセンス移行
ISE 3.1 以降の VM 共通ライセンスを登録する必要があります。3.1 リリース以降では、クラウドから Cisco ISE を利用できるため、Cisco ISE の大規模な導入を迅速かつ容易に行い、変化するビジネスニーズに対応できるようになりました。Cisco ISE をコードベースのインフラストラクチャ ソリューションとして利用すると、ネットワークアクセスと制御サービスをどこにでも迅速に展開できます。たとえば、ホームネットワークの Cisco ISE ポリシーを、AWS を介して、リモートの新しい導入環境に安全に拡張できます。AWS には 3 種類の Cisco ISE インスタンスがあり、それらに、ポリシー管理ノード(PAN)またはモニタリングとトラブルシューティング(MnT)ノードを設定できます。次の一覧を参照してください。
表 4. Cisco ISE インスタンスの仕様
Cisco ISE インスタンスのタイプ |
CPU コア |
RAM |
推奨されるペルソナ |
エンドポイントの最大セッション数 |
||
専用 PSN |
共有 PSN |
MnT |
||||
c5.4xlarge |
16 |
32 |
専用 PSN |
40,000 |
10,000 |
該当なし |
c5.9xlarge |
36 |
72 |
専用 PSN |
100,000 |
25,000 |
該当なし |
m5.4xlarge |
16 |
64 |
専用 PAN または専用 MnT ノード |
該当なし |
該当なし |
500,000 |
お客様はニーズに合わせて Cisco ISE インスタンスタイプを選択できます。そのため、お客様の便宜を図って、仮想マシンライセンスに複数の階層を設けず、1 階層のライセンス(共通ライセンス)で、仮想マシンのあらゆるユースケースに対応できるようにしました。仮想マシンの共通ライセンスを購入するには、CCW で、PID、「R-ISE-VMC-K9=」を選択してください。VM 共通ライセンスも、VM Small/Medium/Large ライセンスと同様に永続的です。
このライセンス階層では、VM 共通ライセンスが最上位に位置します。そのため、Cisco ISE 3.0 以降の VM 共通ライセンスは、VM Large ライセンスと同様にご利用いただけます。ただし、Cisco ISE 3.1 イメージには VM 共通ライセンスが必要であるため、従来形式の VM ライセンスをお持ちのお客様は、Cisco ISE 3.1 にアップグレードする際に、VM 共通ライセンスに移行する必要があります。
従来形式の VM ライセンスを VM 共通ライセンスに移行するには、CCW で、0 ドルのアップグレード PID、「L-ISE-VMC-UPG=」を取得する必要があります。詳細な手順については、『ISE Licensing Migration Guide』を参照してください。移行では、キャパシティに関係なく、1 つの従来形式 VM ライセンスと引き換えに 1 つの VM 共通ライセンスを取得できます。
表 5. 従来形式の VM から VM 共通への移行率
アップグレード元 |
アップグレード先 |
比率 |
R-ISE-VML-K9= |
R-ISE-VMC-K9= |
1 対 1 |
R-ISE-VMM-K9= |
R-ISE-VMC-K9= |
1 対 1 |
R-ISE-VMS-K9= |
R-ISE-VMC-K9= |
1 対 1 |
注: 2.4 より前のリリースで、古い形式の VM ライセンス(R-ISE-10VM-K9=)を使用している場合は、VM 共通ライセンスに直接移行できないため、最初に VM Medium ライセンスに移行する必要があります。古い形式の VM ライセンスを VM Medium ライセンスに移行する方法については、第 3.2.2 項を参照してください。
3.2.2 ISE 3.0 以前の仮想マシンライセンス
ISE 2.4、2.6、2.7、3.0 では、VM 共通ライセンスだけでなく、従来形式の VM Small、Medium、Large ライセンスも引き続き使用できます。ただし、従来形式の VM ライセンスを ISE 3.0 のスマートライセンスに変換する必要があります。
古い形式の VM ライセンスをご購入のお客様は、ISE 2.4、2.6、2.7 にアップグレードする際に、購入済みの各 VM ライセンスの製品認証キー(PAK)を取得する必要があります。PAK の取得をご希望の場合は、ise-vm-license@cisco.com まで電子メールでお知らせください。ISE VM を購入されたことを示す SO 番号とシスコ ID を電子メールに記載してください。折り返し、Medium VM の PAK を提供します。この PAK は ISE 2.4 で Small、Medium、Large VM ライセンスを導入する前に提供されるもので、VM の仕様が反映されています。Medium VM の PAK は、Small VM と Medium VM のインストールで使用できます。
PAK を取得する前に ISE 2.4 にアップグレードした場合は、導入時に警告が表示されますが、この時点から購入した新しいライセンスの使用を開始できます。これは ISE 2.4 上の警告メッセージにすぎないため、ISE のユーザーエクスペリエンスに支障をきたすことはありません。過去に購入した ISE VM の SO 番号が見当たらない場合は、シスコの営業担当者またはパートナーにお問い合わせください。
3.3 特定のライセンス予約(SLR)
Cisco ISE スマートライセンスでは、Cisco ISE を Smart Software License Manager に接続する必要があります。最も一般的なのは、Cisco ISE を、クラウドベースの Smart Software Manager(CSSM)に接続することです。エアギャップネットワークでは、ISE で、Smart Software Manager(SSM)のオンプレミス接続方式を設定します。「Smart Software Manager(SSM)オンプレミス接続方式」は、Cisco ISE リリース 3.0 パッチ 2 以降で設定できます。詳細については、エアギャップネットワークのライセンス方式を参照してください。
エアギャップネットワークで SSM オンプレミス接続方式が設定されていない場合、Cisco ISE はライセンスの使用状況を報告できません。報告がないと、Cisco ISE に管理アクセスできず、Cisco ISE 機能が制限されます。
特定のライセンス予約(SLR)は、組織のセキュリティ要件で Cisco ISE と CSSM 間の永続的な接続が許可されていない場合にスマートライセンスを管理するためのスマートライセンス方式です。SLR では、Cisco ISE PAN で特定のライセンス権限を予約できます。予約する必要があるライセンスのタイプと数を定義して SLR を作成し、Cisco ISE ノードで予約をアクティブ化します。登録して予約を有効にした Cisco ISE ノードは、ライセンスの使用を追跡し、ライセンス消費のコンプライアンスを適用します。SLR は、それが生成された Cisco ISE ノードでのみ有効にできます。
分散展開では、プライマリおよびセカンダリ PAN で SLR を有効にすることをお勧めします。プライマリ PAN がフェールオーバーした場合、プライマリ PAN に昇格したセカンダリ PAN で SLR が有効になっていないと、Cisco ISE がコンプライアンス違反となり、Cisco ISE サービスが中断されます。プライマリ PAN とセカンダリ PAN 間で 80:20 の比率でライセンス数を割り振ることをお勧めします。たとえば、展開用に 100 ライセンスを予約する場合、80 ライセンスをプライマリ PAN に、20 ライセンスをセカンダリ PAN に登録します。
SLR に含まれていないライセンス権限を使用することはできません。ライセンス使用状況が SLR に準拠していない場合、コンプライアンス違反アラートが Cisco ISE 管理ポータルに表示されます。ユースケースを次に示します。
表 6. SLR の例
CSSM のバーチャルアカウントで使用可能なライセンス(*1) |
CSSM で SLR を適用する際に選択するライセンス |
ISE の導入で予約済みのライセンス |
CSSM のバーチャルアカウントに残っているライセンス(*1) |
ルール 1. バーチャルアカウントで所有している数のライセンスを予約できます。 |
|||
100 Essentials |
50 Essentials |
50 Essentials |
50 Essentials |
100 Essentials |
100 Essentials |
100 Essentials |
該当なし |
100 Essentials |
150 Essentials |
100 Essentials(*2) |
該当なし |
ルール 2. 権限のある適切なタイプのライセンスを予約する必要があります。 |
|||
100 Essentials |
100 Advantage |
該当なし(*3) |
100 Essentials |
100 Essentials 100 Premier |
150 Essentials 100 Advantage |
100 Essentials(*3) |
100 Premier |
ルール 3. ノードあたり 1 つの ISE-PIC ライセンス(*4)を予約する必要があります。 |
|||
ISE-PIC ライセンス X 5 |
ISE-PIC ライセンス X 1 |
ISE-PIC ライセンス X 1 |
ISE-PIC ライセンス X 4 |
ISE-PIC ライセンス X 5 |
ISE-PIC ライセンス X 2 |
ISE-PIC ライセンス X 1(*5) |
ISE-PIC ライセンス X 3(*5) |
ルール 4. ISE-PIC-UPG ライセンス(*6)を予約する場合は、1 つの ISE-PIC ライセンスを一緒に予約する必要があります。 |
|||
ISE-PIC ライセンス X 5 ISE-PIC-UPG ライセンス X 3 |
ISE-PIC ライセンス X 1 ISE-PIC-UPG ライセンス X 1 |
ISE-PIC ライセンス X 1 ISE-PIC-UPG ライセンス X 1 |
ISE-PIC ライセンス X 4 ISE-PIC-UPG ライセンス X 2 |
ISE-PIC ライセンス X 5 ISE-PIC-UPG ライセンス X 3 |
ISE-PIC ライセンス X 1 |
ISE-PIC ライセンス X 1(*7) |
ISE-PIC ライセンス X 4 ISE-PIC-UPG ライセンス X 3 |
ルール 5. Essentials、Advantage、Premier ライセンスを ISE-PIC ノードに対して予約することはできません(その逆も同様)(*8)。 |
|||
ISE-PIC ライセンス X 5 100 Essentials 100 Premier |
ISE-PIC ライセンス X 1 |
ISE-PIC ライセンス X 1 |
100 Essentials 100 Premier |
ISE-PIC ライセンス X 5 100 Essentials 100 Premier |
100 Essentials 100 Advantage |
100 Essentials(*3) |
ISE-PIC ライセンス X 5 100 Premier |
ISE-PIC ライセンス X 5 100 Essentials 100 Premier |
ISE-PIC ライセンス X 1 100 Essentials |
ISE-PIC ライセンス X 1(*9) |
ISE-PIC ライセンス X 4 100 Premier(*9) |
ISE-PIC ライセンス X 5 100 Essentials 100 Premier |
ISE-PIC ライセンス X 1 100 Premier |
100 Premier(*10) |
ISE-PIC ライセンス X 4 100 Essentials(*10) |
SLR 有効化の詳細なプロセスについては、『Cisco Identity Services Engine Administrator Guide, Release 3.1』を参照してください。
3.4 ライセンスと機能のマッピングの更新
3.4.1 Advantage ライセンス
Premier ライセンスで提供されていた次のような機能が Advantage ライセンスでも利用できるようになり、ライセンス構造がシンプルかつ直感的になりました。
● AI エンドポイント分析の適用
● Rapid Threat Containment(RTC)
● ユーザー定義ネットワーク(UDN)
Cisco ISE 3.0 には次回のパッチでこの変更が適用されるため、Cisco ISE 3.0 と Cisco ISE 3.1 には機能上の差異が生じます。
3.5 その他のライセンス
3.5.1 ISE アプライアンス
対応の必要はありません。有効なサポート期間中の ISE アプライアンスについては、最新のソフトウェアにアップグレードできます。そのアプライアンスに追加でライセンスを取得する必要はありません。
3.5.2 Base、Plus、Apex
これらのライセンスは、ISE 3.0 リリース以降では新しい ISE Essentials、Advantage、および Premier ライセンスに移行されます。
ISE リリース 3.0 にアップグレードした場合のライセンスの完全な動作については、第 4 項を参照してください。
3.5.3 デバイス管理
対応の必要はありません。レガシーデバイスの管理ライセンスはアップグレードの対象外です。ISE 3.0 リリースにアップグレードする際は、デバイス管理ライセンスをスマートライセンスに変換する必要があります。
デバイス管理ライセンスでは、ISE の導入環境全体に TACACS+ 機能を使用する資格が与えられます。つまり、50 のすべての ISE ポリシーサービスノード(PSN)で TACACS+ の機能を有効にできます。ISE リリース 2.4 にアップグレードした場合にも、同じレガシーデバイスの管理ライセンスで、引き続き合計 50 の PSN を備えた環境で、TACACS+ 機能を有効にできます。
表 7. デバイス管理ライセンスのユースケース
リリース時のライセンス |
リリース 2.4 より前 |
リリース 2.4、2.6、2.7、3.0 |
リリース 3.1 以降 |
|
デバイス管理ライセンス |
新規 |
識別され、カウントせずに消費される(導入環境内の ISE TACACS+ のアプリケーション数は無制限) |
識別され、1 つの ISE TACACS+ ポリシーサービスノード(PSN)の使用が可能 |
|
レガシー |
識別され、最大 50 の ISE TACACS+ ポリシーサービスノード(PSN)の使用が可能 |
3.0 リリース以降では、スマートライセンスが必要です。また、ISE ライセンスをアップグレードまたは移行する前に、スマートアカウントを作成して設定する必要があります。シスコ スマート ソフトウェア ライセンスを使用すると、デバイスが自己登録してライセンス消費を報告し、製品アクティベーションキー(PAK)が不要になるため、ライセンスの購入、導入、管理を簡単に行えるようになります。このライセンスでは、Cisco Smart Software Manager(CSSM)を使用して必要な認証が取得されます。
過去に購入したレガシーライセンス(Base、Plus、Apex)を現在のライセンスに移行する方法については、移行ガイドを参照してください。
ライセンスのサポート終了に関するすべてのお知らせは、こちらをご覧ください。
ライセンスや移行に関する問題が発生した場合は、Cisco Support Case Manager(SCM)を使用してケースをオープンできます。SCM でライセンスオプションを選択して Cisco SO 番号を入力すると、ISE の購入内容が反映されます。
4.1 ISE Base/Plus/Apex ライセンス
以下のライセンスは、ISE 3.0 より前のリリースでのみ有効です。次の機能が含まれています。
Base |
Plus |
Apex |
AAA |
プロファイリング |
ポスチャ |
ゲスト |
コンテキスト共有 |
エンタープライズモビリティ管理(EMM)統合 |
PassiveID |
BYOD(マイデバイスポータル含む) |
TC-NAC |
セキュリティグループタグ |
脅威の迅速な封じ込め |
|
Cisco ISE Base/Plus/Apex ライセンスでは、現在の Essentials/Advantage/Premier のそれぞれと同様の機能セットが提供されていました。
4.2 ISE VM ライセンス
以下の VM ライセンスは、Cisco ISE 3.0 以前のリリースで有効です。Cisco ISE をリリース 3.1 にアップグレードするには、VM 共通ライセンスが必要です。既存の VM ライセンスを VM 共通ライセンスに変換する際は、移行ガイドを参照してください。
アップグレード元 |
アップグレード先 |
比率 |
R-ISE-VML-K9= |
R-ISE-VMC-K9= |
1 対 1 |
R-ISE-VMM-K9= |
R-ISE-VMC-K9= |
1 対 1 |
R-ISE-VMS-K9= |
R-ISE-VMC-K9= |
1 対 1 |
5. Cisco ISE の発注(SKU)および権限付与情報
5.1 Cisco ISE ライセンスの発注
● Cisco ISE のすべてのライセンスはグローバル価格表(GPL)に記載されており、Cisco Commerce Workspace(CCW)から発注できます。
● Cisco ISE エンドポイントのセッションベースのライセンスは、100 セッションから任意の数量で発注できます。
● サブスクリプション ライセンスの場合は、次の点に注意してください。
◦ サブスクリプション ライセンスは、1 年、3 年(デフォルト)、または 5 年の期間で発注できます。
◦ ISE の期間ベースのライセンスを購入して使用するには、環境内のすべての Cisco ISE アプライアンス(物理または仮想)のサポート契約が必要になります。
◦ デフォルトでは、ライセンス使用はすぐに開始されます。発注時に、この開始日を現在の日付から最大 120 日先まで調整できます。この計算は CCW によって自動的に行われます。ライセンスの期間は、終了日から逆算することも、開始日から加算することもできます。
◦ 期間は 1 〜 60 ヵ月で、ライセンスの期間を統一することができます。
◦ お客様は、複数の ISE 環境で同じスマートアカウント/スマートライセンスを使用できます。
5.1.1 Cisco ISE ソフトウェア利用資格
お客様は、購入時に合意した契約条件に従って、ライセンスの数量と期間を使用できます。
関連する ISE リリース:2.2 以降
コンプライアンス違反:次の場合に、ライセンスはコンプライアンス違反となります。
(a) 導入環境下で、購入した数量と比較して 100%(*)を超えるセッションを使用した場合、または
(b) ライセンスが更新されずに期限切れになった場合。
(*) クラシック(PAK)ライセンスを使用している場合、一時的な使用量の急増に対応するために購入した数量と比較して、125% を超えるセッションが導入環境で使用されると、ライセンスが、コンプライアンス違反になります。
コンプライアンスの適用:連続する 60 日のうち 45 日間にわたって導入環境がコンプライアンス違反になった場合、次の措置を講じます。
ライセンスがコンプライアンスに違反していることを示すアラートが毎日表示されます。期限付きライセンスの場合は、有効期限の 90 日前、60 日前、および 30 日前と、有効期限前の連続 30 日間にわたってアラートが表示されます。
影響:エンドユーザーへの影響はありません。既存の構成は中断することなく動作し続けます。
ただし、コンプライアンス違反のライセンスに関連付けられている機能の可視性と管理に影響が及びます。
つまり、コンプライアンス違反が修正されるまで、ISE の導入管理者が使用できるのは、関連する機能を通した読み取り専用の機能に限定されます。
これらの措置は今後変更される可能性があります。変更につきましては、関連するリリース資料でお伝えします。
5.1.2 Cisco ISE SKU の概要
Cisco ISE ライセンス サブスクリプションの発注では、次の 3 つのタイプの SKU を使用します。
● サブスクリプション SKU:サブスクリプションの期間と開始日の定義に使用されます。
● 製品 SKU:サブスクリプションを構成する製品と数量の定義に使用されます。
● サポート SKU:サブスクリプションのサポートレベルを定義します。
発注時には、まず Umbrella のサブスクリプション SKU を選択し、次にサブスクリプションを構成する製品 SKU とサポート SKU を選択してサブスクリプションを設定します。
SKU タイプ |
SKU |
説明 |
サブスクリプション |
ISE-SEC-SUB |
Cisco Identity Service Engine のサブスクリプション |
製品 SKU:ISE Essentials、ISE Advantage、ISE Premium
ISE Essentials、ISE Advantage、および ISE Premium には、SKU がそれぞれ 1 つあります。料金は段階別の料金モデルに基づき、サブスクリプションのユーザー数と期間に応じて動的に計算されます。
SKU タイプ |
SKU |
説明 |
請求 |
ISE-E-LIC |
Cisco Identity Service Engine Essentials サブスクリプション |
ISE-A-LIC |
Cisco Identity Service Engine Advantage サブスクリプション |
|
ISE-P-LIC |
Cisco Identity Service Engine Premier サブスクリプション |
Cisco ISE のサポート
SKU タイプ |
SKU |
説明 |
サポート |
SVS-ISE-SUP-B |
Cisco ISE Basic サポート |
SVS-ISE-SUP-S |
Cisco ISE Solution Support |
|
SVS-ISE-SUP-E |
Cisco ISE Enhanced サポート |
|
SVS-ISE-SUP-P |
Cisco ISE Premium サポート |
5.1.3 ISE ライセンスの発注
ステップ 1.
サブスクリプション SKU を選択します。Cisco ISE のサブスクリプション SKU は 1 つ(ISE-SEC-SUB)です。サブスクリプション SKU に価格はありません。価格は製品 SKU を追加して設定すると決定されます。お客様はそれぞれ 1 つのサブスクリプションのみを所有できるため、数量は 1 を選択します。製品の数量は、サブスクリプションに製品 SKU を追加するときに入力します。
サブスクリプション SKU を選択したら、[オプションの選択(Select Options)] を選択してサブスクリプションの期間と開始希望日を編集します。
CCW でのサブスクリプション SKU の選択
サブスクリプションの期間は、デフォルトでは 36 ヵ月になります。
CCW でのサブスクリプション期間の変更
ここで開始希望日も変更できます。
サービス開始日にサービスがプロビジョニングされ、サブスクリプションが開始されます。サービスのプロビジョニングは、すべての発注情報が正しく入力されていれば、72 時間以内に完了します。
ステップ 2. 製品 SKU の選択
サブスクリプションの期間を設定したら、次はサブスクリプションに製品を追加します。製品の期間はサブスクリプションの期間によって決定されます。サブスクリプション構成の概要で該当する製品を選択することから始めます。以下のガイダンスでは、ISE-P-LIC を例として使用します。製品のサブスクリプション構成を選択したら、次にセッション数に基づいて数量を入力します。
CCW での課金 SKU の選択
価格は、注文数量と期間に応じて動的に決定されます。階層型の価格体系に基いて計算されます。選択した SKU の月額料金が表示されますが、請求はサブスクリプション期間分の前払いとなります。期間分の金額は [小計(Subtotal)] に表示されます。次の図は、100 セッションの ISE-E-LIC と 1500 セッションの ISE-P-LIC を 3 年間の契約期間で選択した場合の動的な価格設定の例を示しています。
CCW で課金 SKU 数量を選択して動的な価格設定を表示
ステップ 3. サポート SKU の選択
製品を追加したら、次はサブスクリプションに必要なサポートレベルを定義します。Cisco ISE のサポート SKU は 3 つあり、3 つのサポートレベルに対応しています。サブスクリプションのサポートを設定するには、まず、サブスクリプション構成概要で [Cisco ISE サポート(Cisco ISE Support)] オプションを選択します。
Cisco Software Support Basic は、Cisco ISE サブスクリプション ライセンスの期間中ご利用いただけます。高価値サービスレベルの Solution Support もしくは Software Support Enhanced または Premium サポートを購入するには、サポートオプションから該当するレベルのサポートを選択します。Solution Support は、ISE Plus と Apex のライセンスでは利用できません。高価値サービスレベルの価格は、該当する場合、製品価格に対する比率に基づいて動的に計算され、年間最小要件を満たす必要があります。
CCW でのサービス SKU の選択
見積と発注についてご不明な点がございましたら、cs-support@cisco.com にお問い合わせください。
5.1.4 既存の注文またはサブスクリプションの変更
Cisco Commerce Workspace(CCW)には、アクティブな注文のサブスクリプションを変更、更新、置換する機能が用意されています。
詳細については、サブスクリプション変更 Job Aid を参照してください。
デバイス管理トランザクションで動作するポリシーサービスノードごとに 1 つの ISE デバイス管理ライセンスが必要です。
表 8. Cisco ISE デバイス管理ライセンス
型番(SKU) |
説明 |
L-ISE-TACACS-ND = |
Cisco ISE デバイス管理ノードライセンス |
NAD への IPsec VPN 通信で使用するポリシーサービスモードごとに、1 つの Cisco ISE IPsec ライセンスが必要です。ポリシーサービスノードごとに最大 150 の IPsec トンネルを使用できます。
表 9. Cisco ISE IPsec ライセンス
型番(SKU) |
説明 |
L-ISE-IPSEC |
Cisco Identity Services Engine IPsec ライセンス |
5.2 評価ソフトウェアおよびライセンス
5.2.1 ダウンロード
software.cisco.com から Identity Services Engine ソフトウェアをダウンロードします。
ISE 2.4 以降の ISO ファイルと OVA ファイルは、どなたでもダウンロードして評価できます。ソフトウェアのダウンロードには、有効な cisco.com ログイン情報が必要です。追加のパッチまたはパッケージをダウンロードするには、既存の ISE サポート契約が必要になる場合があります。
ソフトウェアを入手したら、『Getting Started with ISE』と、ISE コミュニティリソースにあるその他のガイドとビデオを参照してください。デモやラボ用の ISE を希望するシスコの従業員とパートナー様は、『Selling ISE: Demos』を参照してください。
5.2.2 評価
新規 ISE インストール(ISO または OVA のいずれか)の場合、すべての ISE サービスで、最大 100 エンドポイントの 90 日間無料評価ライセンスをご利用いただけます。
● 90 日間のトライアルライセンスには、100 エンドポイント用の Premier ライセンスとデバイス管理が含まれています。
● すべての ISE インスタンスでトライアルライセンスを有効にするには、CLI から「setup」を実行します。
● 90 日間の評価ライセンスを追加すると、トライアルライセンスを延長できます。後述の「追加の評価ライセンス」を参照してください。
● ライセンスの期限切れを通知するアラームは送信されません。
● 有効期限が切れた後に cisco.com のライセンスページにログインすると、リダイレクトされ、ダッシュボードやその他のツールにアクセスできなくなります。
5.2.3 追加の評価ライセンス
評価ライセンスを 90 日を超えて延長、または 100 を超えるエンドポイントに拡大する必要がある場合は、www.cisco.com/go/scm にアクセスし、ご利用中の UDI、ライセンス要求である旨、正当性を示して、ケースをオープンしてください。
注:ISE 管理ノードの Unique Device Identifier(UDI)がない場合、追加のライセンスは発行できません。また、プライマリとセカンダリの ISE PAN を指定しないと、ライセンスの取得に時間がかかります。
5.2.4 Unique Device Identifier(UDI)
ライセンスは、ISE のプライマリポリシー管理ノード(PAN)から、または、フェールオーバーした場合はオプションでセカンダリ PAN から、インストール済み ISE の Unique Device Identifier(UDI)に対して生成されます。UDI は次の識別子と数字で構成されます。
● 製品 ID(PID)
● バージョン ID(VID)
● シリアル番号(SN)
プライマリおよびセカンダリ PAN ISE の UDI は、ISE の [管理(Administration)] > [システム(System)] > [ライセンス(Licensing)] の下部ですぐに確認できます。
UDI の詳細 |
|||
プライマリ PAN 製品識別子(PID) |
ISE-VM-K9 |
プライマリ PAN 製品識別子(PID) |
ISE-VM-K9 |
プライマリ PAN バージョン識別子(VID) |
V01 |
プライマリ PAN バージョン識別子(VID) |
V01 |
プライマリ PAN シリアル番号(SN) |
4DIQC598F2D |
プライマリ PAN シリアル番号(SN) |
4mK86688339 |
または、ISE ポリシー管理ノードの Web インターフェイスの [バージョン情報(About)] メニューを使用することもできます。
ISE 管理ノードのコンソールから「show udi」CLI コマンドで確認することも可能です。
5.3 Cisco ISE アプライアンスの SKU
表 10. Cisco ISE ハードウェア アプライアンス ライセンス
サーバー製品番号 |
製品説明 |
説明 |
SNS-3615-K9 |
ISE アプリケーション向け小規模 Secure Network Server |
ソフトウェアオプションの選択が必要 |
SNS-3655-K9 |
ISE アプリケーション向け中規模 Secure Network Server |
ソフトウェアオプションの選択が必要 |
SNS-3695-K9 |
ISE アプリケーション向け大規模 Secure Network Server |
ソフトウェアオプションの選択が必要 |
表 11. Cisco Secure Network Server のスペアコンポーネント
Secure Network Server |
コンポーネント製品番号 |
コンポーネントの説明 |
3515/3595 |
UCS-HD600G10K12G |
600-GB 12Gb SAS 10K RPM SFF ハードディスク/ホットプラグ可能/ドライブスレッド取り付け済み |
3615/3655/3695 |
UCS-HD600G10K12N |
600-GB 12Gb SAS 10K RPM SFF ハードディスク/ホットプラグ可能/ドライブスレッド取り付け済み |
3515/3595/3615/3655/3695 |
UCSC-PSU1-770W= |
770W 電源 |
3515/3595/3615/3655/3695 |
N20-BKVM= |
KVM ケーブル |
3515/3595/3615/3655/3695 |
UCSC-RAILB-M4= |
レールキット |
表 12. Cisco ISE 仮想マシンライセンス
サービス型番 |
製品説明とサポート対象 ISE リリース |
VM アプライアンスの仕様 |
R-ISE-VMS-K9= |
ISE 3.0 以前をサポートする VM Small ライセンス(ハイブリッドの場合 2.4 以降、スマートのみの場合 3.0) |
最小 16 GB RAM、CPU 12 コア(SNS-3515 相当) |
最小 32 GB RAM、CPU 16 コア(SNS-3615 相当) |
||
R-ISE-VMM-K9= |
ISE 3.0 以前をサポートする VM Medium ライセンス(ハイブリッドの場合 2.4 以降、スマートのみの場合 3.0) |
最小 64 GB RAM、CPU 16 コア(SNS-3595 相当) |
最小 96 GB RAM、CPU 24 コア(SNS-3655 相当) |
||
R-ISE-VML-K9= |
ISE 3.0 以前をサポートする VM Large ライセンス(ハイブリッドの場合 2.4 以降、スマートのみの場合 3.0) |
最小 256 GB RAM、CPU 16 コア(500,000 を超える同時セッションをサポートするクラスタの MnT) |
最小 256 GB RAM および CPU 24 コア(SNS-3695 相当) |
||
R-ISE-VMC-K9= |
ISE 2.4 以降をサポートする VM 共通ライセンス(スマートのみ) |
N/A |
Cisco ISE のサブスクリプションは、初回の発注時に自動更新の選択を解除しない限り、デフォルトで 12 ヵ月間追加で自動更新されます。見積や発注は必要ありません。初回の期間が終了する 120 日前から、お客様またはパートナーに更新通知が送信されるようになります。新しい期間の開始時に、お客様またはパートナーは請求書を受け取ります。
更新は、新しい期間の開始日の 60 日前までキャンセルできます。新しい期間が開始される 60 日前までにサブスクリプションをキャンセルしない場合、サブスクリプションは自動更新されます。クレジットのサブスクリプションは期間中にキャンセルすることはできません。
手動更新
お客様またはパートナーの希望に応じて、サブスクリプションを手動で更新し、標準期間の 12 ヵ月、36 ヵ月、または 60 ヵ月を追加することができます。手動更新の場合は、以下で説明するサブスクリプションの変更プロセスと同じプロセスを使用して見積を作成します。このプロセスでは新しい見積が作成されます。見積が承認されたら、標準プロセスに従って注文に変換できます。
サブスクリプションのキャンセル
更新は、新しい期間の開始日の 60 日前までキャンセルすることができます。新しい期間が開始される 60 日前までにサブスクリプションをキャンセルしない場合は、サブスクリプションは自動更新されます。クレジットのサブスクリプションは期間中にキャンセルすることはできません。
サブスクリプションの変更(Change-Subscription)
サブスクリプションの製品、数量、期間は、サブスクリプション期間中いつでも変更できます。サブスクリプションを変更するには、この『Cisco Commerce Change-Subscription Job Aide』を参照してください。新しいサブスクリプションを作成して製品またはユーザー数を追加しようとすると、発注エラーが発生します。
ISE 3.0 以降のリリースでは、ISE のライセンスはスマートライセンスのみとなります。ISE 3.0 より前のリリースのライセンスは、従来の製品認証キー(PAK)ベースのライセンスまたはスマートライセンスのどちらかとして使用できます。従来のライセンスを使用して、ライセンスファイル(PAK)が ISE の導入環境にインポートされます。購入済みの ISE ライセンスをスマートライセンスに変換する方法については、『スマートライセンス』を参照してください。
ライセンス登録ポータルには、さまざまなライセンス管理ツールが用意されています。ポータルにアクセスするには、有効な Cisco.com のユーザー名およびパスワードが必要です。シスコのライセンス登録ポータルの主な機能は次のとおりです。
● シンプルなアセット管理:お客様に登録されている PAK とライセンスがインストールされたデバイスを特定
● 自動ソフトウェア アクティベーション:PAK の登録とライセンスファイルの配布を迅速に処理
● ライセンス移行:新しい ISE 管理ノードに既存のライセンスを再度ホスティング
● デバイスの交換:「返品許可」を使用して、交換用の PAK とライセンスを要求
A
ACI:(Cisco)Application Centric Infrastructure
ACL:Access Control List(アクセス制御リスト)
AD:Active Directory
ANC:Access Network Controller(RTC と同義)
API:Application Programming Interface
APIC-DC:Application Policy Infrastructure Controller - Data Center
B
BYOD:Bring Your Own Device(個人所有デバイスの持ち込み)
C
CMDB:Configuration Management Database(構成管理データベース)
CSSM:Cisco Smart Software Management
CCW:Cisco Commerce Workspace
CVSS:Common Vulnerability Scoring System(共通脆弱性評価システム)
D
DACL:Discretionary Access Control List(任意アクセス制御)
DNA:Cisco Digital Network Architecture
DPI:Deep Packet Inspection
E
EMM:Enterprise Mobility Management(エンタープライズモビリティ管理)
ERS:External RESTful Services(外部 RESTful サービス)
I
IDP:Identity Provider
IETF:Internet Engineering Task Force(インターネット技術特別調査委員会)
ISE:Identity Services Engine
M
MAB:MAC Address Bypass
MAC Address:Media Access Control Address(MAC アドレス)
MDM:Mobile Device Management(モバイルデバイス管理)
N
NBA:Network Behavior Analysis(ネットワーク動作分析)
NGFW:(Cisco)Next-Generation Firewall(シスコ次世代ファイアウォール)
NGIPS:Next-Generation Intrusion Prevention System(次世代侵入防御システム)
P
PAK:Product Activation Key(製品認証キー)
PSN:Policy Service Node
R
REST:Representational State Transfer
RTC:Rapid Threat Containment(迅速な脅威の封じ込め、ANC と同義)
S
SAML:Security Assertion Markup Language
SCM:Cisco Support Case Manager
SDA:Software-Defined Access
SD-AVC:Software Defined Application Visibility and Control
SG:Software Group
SGACL:Security Group Access Control List
SGT:Security Group Tag
SSID:Service Set Identifier(サービスセット識別子)
STIX:Structured Threat Information Expression(脅威情報構造化記述形式)
SWSS:(Cisco)Software Support Service
V
VLAN:Virtual Local Area Networks(仮想ローカルエリアネットワーク)
VRF:Virtual Routing and Forwarding(仮想ルーティングおよびフォワーディング)