Cisco Security Manager 4.5 展開計画ガイド

Configuration Manager

Configuration Manager を使用すると、250 以上のさまざまなタイプおよびモデルの Cisco セキュリティ デバイス上でセキュリティ ポリシーを集中管理できます。Security Manager は、次のデバイス全体で、ファイアウォール、IPS、および VPN（サイト間、リモート アクセス、および SSL）サービスの統合プロビジョニングをサポートします。

• IOS/ISR/ASR ルータ

• Catalyst スイッチ

• ASA および PIX セキュリティ アプライアンス

• ファイアウォール、VPN、および IPS に関連する Catalyst Service Module

• IPS アプライアンス、およびルータと ASA デバイスに関するさまざまなサービス モジュール

Security Manager でサポートされるデバイスおよび OS バージョンの一覧については、Cisco.com で『 Supported Devices and Software Versions for Cisco Security Manager 』を参照してください。

Event Viewer

高パフォーマンスで、使い勝手の良い統合 Event Viewer を使用すると、IPS、ASA、および FWSM デバイスからイベントを集中監視し、関連する設定ポリシーに相互に関連付けることができます。このことは、問題の特定や、設定のトラブルシューティングに役立ちます。さらに、Configuration Manager を使用して、設定を調整し、展開することができます。Event Viewer は、Cisco ASA、IPS、および FWSM デバイスのイベント管理をサポートします。

プライマリ イベント データ ストアだけではなく、拡張イベント データ ストアにイベントをコピーして格納できます。拡張イベント データ ストアは、大量のイベントのバックアップおよびアーカイブに使用できます。これは、Event Viewer がプライマリ イベント データ ストアと拡張イベント データ ストアの両方からイベント データを収集できる場合、イベントの履歴のレビューおよび分析に役立ちます。拡張イベント データ ストアは、Security Manager の管理設定内のイベント管理でイネーブルにできます。

サポートされているプラットフォームと詳細については、Cisco.com で『User Guide for Cisco Security Manager 4.5』の「Monitoring and Diagnostics」を参照してください。

Syslog リレー

Security Manager サーバで受信したイベントに加えて、最大 2 台の外部/リモート コントローラ（syslog ホスト）に転送できます。この syslog リレー機能は、UDP syslog プロトコルを使用して受信したメッセージを別の Syslog ホストに転送します。

Retain the original source address of the message

この機能は、メッセージの元の送信元 IP アドレスを維持するオプションを提供します。これは、ユーザがリモート コントローラの送信元 IP アドレスで受信したイベントを表示する場合です。これはデフォルトの設定です。

Use CSM server IP address as source IP address

このオプションがコンフィギュレーション ファイルでイネーブルの場合、Security Manager サーバから転送されたすべての syslog メッセージには、syslog メッセージの送信元 IP アドレスとして Security Manager サーバの IP アドレスが含まれます。

構成および設定の詳細については、Cisco.com で『User Guide for Cisco Security Manager 4.5』を参照してください。

Report Manager

この統合型の Report Manager アプリケーションでは、ASA、IPS、および Remote Access VPN レポートの生成とスケジュール作成を実行できます。ASA および IPS デバイスのレポートは、Event Viewer で収集されたイベントを集約することによって作成されます。Security レポートは、管理対象デバイスによって報告されたネットワークの使用状況やセキュリティの問題を効率的に監視、追跡、および監査できます。ユーザは、Report Manager を使用して、Cisco ASA および IPS デバイスのレポートを作成およびカスタマイズできます。

サポートされているプラットフォームと詳細については、Cisco.com で『User Guide for Cisco Security Manager 4.5』の「Monitoring and Diagnostics」を参照してください。

Health and Performance Monitor

Health and Performance Monitor には、次の機能があります。

• ASA、VPN、および IPS デバイスの監視機能の提供

• 重要なメトリックのトレンド グラフの提供

• 1 つのビュー内での、統合された稼働状態、アラート、およびメトリック値情報のサマリー パネルの提供

• さまざまなモニタリング パラメータのアラート メカニズムの提供

• 事前定義された一連のモニタリング ビューの提供

• ユーザへのカスタム モニタリング ビューの作成、編集、および削除の許可

Image Manager

Image Manager は、ASA デバイス用の完全なイメージ管理を提供します。特に、次の手順を実行することで、ASA イメージ アップグレード プロセス全体のさまざまな段階でユーザを支援します。

• さまざまなタイプおよびバージョンのイメージのリポジトリのダウンロードおよび維持

• イメージの評価

• これらのイメージをデバイスに対してアップグレードする場合の影響の分析（分析にはデバイス構成へのアップグレードの影響が含まれます）

• アップグレードの準備と計画

• ダウンタイムを最小限にする、組み込みの十分なフォールバックとリカバリ メカニズムによる、信頼性があり安定したデバイスのアップグレード方法の提供

ダッシュボード（Security Manager 4.5 の新機能）

ダッシュボードは、IPS と FW タスクをより便利にする Security Manager で設定可能な起動点です。元のダッシュボードに加えて、新規ダッシュボードや追加のダッシュボードを作成したり、すべてのダッシュボードをカスタマイズしたりすることができます。ダッシュボードを使用することによって、Security Manager の他のいくつかの領域にある、IPS Health Monitor ページ、Report Manager、Health and Performance Monitor および IP Intelligence 設定などの多くのタクスを 1 箇所で実行できます。

CSM Mobile（Security Manager 4.5 の新機能）

CSM Mobile では、モバイル デバイスからのデバイスのヘルスに関するサマリー情報にアクセスできます。この方法で入手できる情報は、Device Health Summary ウィジェットで入手可能な情報と同じ、HPM によって生成される現在の重大度が低いまたは中程度のアクティブなアラートになります。アラートは、Alert-Description、Predefined-Category、Device または Alert Technology 別にグループ化できます。

CSM Mobile のプリンシパル ユーザは、Apple iPad、Apple iPhone、Google Chrome ブラウザ、Apple Safari ブラウザを使用するユーザであることが想定されています。

Common Services 4.2.2

CiscoWorks Common Services 4.2.2（Common Services）は、Security Manager 4.5 および Auto Update Server 4.5 が動作するために必要です。Common Services は、Security Manager 4.5 または Auto Update Server 4.5 のインストールを選択するとデフォルトでインストールされます。

Common Services は、データ保存、ログイン、ユーザ ロール定義、アクセス特権、セキュリティ プロトコル、およびナビゲーション用のフレームワークを提供します。また、インストール、データ管理、イベントおよびメッセージ処理、およびジョブおよびプロセス管理用のフレームワークも提供します。Common Services が Security Manager に供給する必須サーバ側コンポーネントは次のとおりです。

• SSL ライブラリ

• 組み込み型 SQL データベース

• Apache Web サーバ

• Tomcat サーブレット エンジン

• CiscoWorks ホームページ

• バックアップ/復元機能

詳細については、Security Manager のインストールに付属している Common Services のマニュアルを参照してください。これを行うには、Security Manager をインストールしたサーバにログオンし、[Cisco Security Manager] アイコンをダブルクリックしてログオンします。次に、[Server Administration] をクリックして、[Help] をクリックします。

共通サービスを使用するローカル RBAC

Security Manager 4.3 よりも前、Cisco Secure ACS を使用する重要なメリットは、（1）特殊な権限セット（特定のポリシー タイプの設定だけをユーザに許可する場合など）を使用して非常に粒度の高いユーザ ロールを作成できることと、（2）ネットワーク デバイス グループ（NDG）を設定することによって特定のデバイスにユーザを制限できることでした。このような粒度の高い特権（効率的な「ロールベース アクセス コントロール」（RBAC））は、Cisco Secure ACS を使用していない限り、Security Manager 4.2 以前のバージョンでは利用できませんでした。このような粒度の高い特権（RBAC）は、ACS を使用せずにローカル RBAC を利用できる Common Services 4.0 以降を使用するため、Security Manager 4.3 以降のバージョンで利用可能です。詳細については、『Installation Guide for Cisco Security Manager 4.5』を参照してください。

Auto Update Server 4.5

AUS を使用して、自動アップデート機能を使用している PIX Security Appliance（PIX）および Adaptive Security Appliance（ASA）デバイス上のデバイス コンフィギュレーション ファイルおよびソフトウェア イメージをアップグレードすることができます。AUS は、デバイス設定、設定アップデート、デバイス OS アップデート、および定期設定確認に使用可能な設定のプル モデルをサポートします。加えて、自動アップデート機能と組み合わせて動的 IP アドレスを使用するサポート対象デバイスは、AUS を使用してコンフィギュレーション ファイルをアップグレードしたり、デバイス情報とステータス情報を渡したりできます。

この方法では、Security Manager が設定のアップデートを AUS サーバに展開し、管理対象のデバイスが、定期的な間隔、特定の日付と時間、およびオンデマンドのタイミングで、新しい設定のアップデートをダウンロードするために AUS サーバに接続します。

AUS は、リモート セキュリティ ネットワークのスケーラビリティを向上させ、リモート セキュリティ ネットワークの維持コストを削減し、アドレス指定されたリモート ファイアウォールを動的に管理できるようにします。

AUS はブラウザベースのグラフィカル ユーザ インターフェイスを使用しており、Common Services 4.0 が必要です。AUS の詳細については、 http://www.cisco.com/go/csmanager のマニュアルを参照してください。

Resource Manager Essentials

バージョン 4.3 から、Cisco Security Manager には、コンパニオン アプリケーションの CiscoWorks Resource Manager Essentials（RME）は付属していません。

Performance Monitor

バージョン 4.3 から、Cisco Security Manager には、コンパニオン アプリケーションの Performance Monitor は付属していません。

関連アプリケーション

Security Manager に統合して追加の機能とメリットを提供するその他のアプリケーションがシスコから提供されています。

Cisco Secure Access Control Server（ACS）4.2.x

Security Manager ユーザの認証および許可に対して ACS を使用するために、オプションで Security Manager を設定することができます。ACS は、ロールベース アクセス コントロール（RBAC）、および特定のデバイス セットにユーザを制限する機能に基づいて、きめ細かいロールについてのカスタム ユーザ プロファイルの定義をサポートしています。

Security Manager と ACS の統合の設定方法については、『Installation Guide for Cisco Security Manager 4.5』を参照してください。ACS の詳細については、 http://www.cisco.com/go/acs を参照してください。

Cisco CNS Configuration Engine 3.5 および 3.5(1)

Security Manager は、デバイスの設定を展開するためのメカニズムとして、Cisco Configuration Engine 3.5 および 3.5(1) の使用をサポートしています。Security Manager は、差分コンフィギュレーション ファイルを Cisco Configuration Engine に渡して、保存を依頼し、デバイスから読み取れるようにします。Cisco IOS ルータ、および Dynamic Host Configuration Protocol（DHCP）サーバを使用する PIX ファイアウォールや ASA ファイアウォールなどのデバイスは、設定（およびイメージ）のアップデートについて Cisco Configuration Engine に通知します。Security Manager は、CNS コンフィギュレーション エンジンを介してスタティック IP アドレスを持っているデバイスの管理もサポートします。このような場合には、検出はライブで行われ、デバイスへの展開は CNS コンフィギュレーション エンジンを介して行われます。

Configuration Engine の詳細については、 http://www.cisco.com/en/US/products/sw/netmgtsw/ps4617/index.html を参照してください。

仮想マシンのハードウェアおよびソフトウェア要件

仮想マシンのハードウェアおよびソフトウェア要件については、 表 3 の 「VMware ESX 4.1、VMware ESXi 4.1、VMware ESXi 5.0、VMware ESXi 5.1 または VMware ESXi Update 1 による小規模な展開」 を参照してください。

VMware ESX 4.1、VMware ESXi 4.1、VMware ESXi 5.0、VMware ESXi 5.1 または VMware ESXi 5.1 Update 1 による小規模な展開

VMware ESX 4.1、VMware ESXi 4.1、VMware ESXi 5.0、VMware ESXi 5.1 または VMware ESXi 5.1 Update 1 による小規模な展開で推奨される Security Manager の仕様は、 表 3 に示してあります。

小規模な企業での展開

表 4 に、小規模な企業での展開用に推奨される Security Manager サーバの仕様を示します。

中規模な企業での展開

表 5 に、中規模な企業での展開用に推奨される Security Manager サーバの仕様を示します。

大規模な企業での展開

表 6 に、大規模な企業での展開用に推奨される Security Manager サーバの仕様を示します。

（注） イベント記録を有効にする場合は、プライマリ ストアと同サイズまたはそれ以上の追加のストレージ容量が必要です。

（注） 上記のサイジングのガイドラインは、平均 3000 ～ 5000 のルールを持つファイアウォール デバイスに基づいています。ルール数がこれよりも大幅に多い場合は、展開でサポートされるデバイスの数を減らすか、すぐ上のハードウェアを考慮する必要があります。

大規模な小売店舗での展開

表 7 に、大規模な小売店舗での展開用に推奨される Security Manager サーバの仕様を示します。

（注） イベント記録を有効にする場合は、プライマリ ストアと同サイズまたはそれ以上の追加のストレージ容量が必要です。

（注） 1）上記のサイジングのガイドラインは、平均 600 個のルールを持ち、合計で約 20,000 個のオブジェクトが関連付けられたファイアウォール デバイスに基づいています。ルール数がこれよりも大幅に多い場合は、展開でサポートされるデバイスの数を減らすか、デバイス管理を複数のサーバに分割することを検討します。

2） 設定変更の展開を 1 つのジョブで多数のデバイスに対して実行した場合、展開の合計時間は実際のデバイスの応答（つまり、Security Manager がデバイスに接続し、最新の設定を取得するためなどに要する時間）に依存することに注意してください。したがって、展開ジョブのジョブあたりのデバイスの数が 100 未満になるよう検討することをお勧めします。

展開のスケーラビリティを向上させるために、次の点も考慮してください

a） ASA ベースのブランチ ファイアウォール用の AUS については、「Auto Update Server 4.5」を参照してください。

b） IOS ベースのブランチ デバイス用の Cisco CNS CE については、「Cisco CNS Configuration Engine 3.5 および 3.5(1)」を参照してください。

3） 展開の更新を並行して実行できるデバイスの総数を増やすために Security Manager サーバを調整することもできます。これは、インベントリ内のデバイスの設定サイズ、デバイスの応答時間や場所などによって異なります。大規模な小売環境向けにそれらのパラメータを調整するには、Cisco Technical Assistance Center（TAC）にお問い合わせください。

単一サーバのインストール

単一サーバは、最も簡単な展開シナリオで、Security Manager の対象のアプリケーションをすべて同じサーバにインストールします。ネットワークのセキュリティ管理者が 1 人、または 2 人の小規模なセキュリティ環境では、通常は単一サーバの展開で十分です。

複数サーバのインストール

デバイスが数百台または数千台あるような大規模な環境では、単一サーバですべてのデバイスを効率よく管理できないことがあります。パフォーマンス上の理由から、Security Manager の対象のアプリケーションを複数のサーバ間に展開することを選択できます。アプリケーション配布の例としては、たとえば次のようになります。

サーバ A：ファイアウォール ポリシーおよびデバイス管理

• 共通サービス

• Security Manager

• Event/Log Monitoring

• Report Manager

• Auto Update Server（オプション）

• Image Manager

サーバ B：IPS ポリシーおよびデバイス管理

• 共通サービス

• Security Manager

• Event/Log Monitoring

• Report Manager

• Health and Performance Monitor

サーバ C：VPN ポリシーおよびデバイス管理

• 共通サービス

• Security Manager

• Event/Log Monitoring

• Report Manager

• Health and Performance Monitor

サーバ A は、すべての ASA/PIX/FWSM ファイアウォール デバイスのコンフィグレーションおよびイベント管理専用です。サーバ B は、すべての IPS デバイスのコンフィグレーションおよびイベント管理専用で、サーバ C は、ASA/IOS/ISR VPN デバイスの VPN ポリシー管理専用です。サーバ C は、ファイアウォール デバイスは VPN トポロジの一部であるため、ファイアウォール デバイスの管理も行います。この展開方法では、各サーバはそれ自身の中ではほとんど同じポリシー データしか使用しないため、サーバ間でポリシー データを共有する必要性はほとんどありません。ただし、Security Manager サーバと管理デバイスが非常に離れた場所に展開されているようなネットワークでは、この展開は適していません。このようにすると、モニタリング、設定の検出、および展開に影響を与えることがあります。

もうひとつの方法として、地域ごとにデバイスを分けて、各 Security Manager は、地域内（米国西部、米国中部、米国東部、ヨーロッパ、アジアなど）の少数のデバイスのみを管理する、というものがあります。この方法では、管理コンソール、イベント モニタリング、および管理デバイスの設定展開について、ローカルな Security Manager サーバから最適なパフォーマンスを提供できます。

複数のサーバ展開では、ポリシーのインポート/エクスポート機能を使用して、共有ポリシーおよびオブジェクトを異なるサーバ間でエクスポートおよびインポートできます。ポリシーのインポート/エクスポートを使用して、デバイスを別のサーバに移行（移動）することもできます。これは、さまざまなサーバの多数のデバイスにわたってポリシーとオブジェクトの同期を保持しながら、管理をスケールアップするのに役立ちます。

VMware の仮想マシン環境でのインストール

Security Manager は、VMware ESX 4.1、VMware ESXi 4.1、VMware ESXi 5.0、VMware ESXi 5.1 および VMware ESXi 5.1 Update 1 での動作をサポートしています。VMware Server や VMware Workstation などの VMware の他の環境はサポートしていません。

VMware のゲスト オペレーティング システムとして、Security Manager でサポートされている任意のサーバ オペレーティング システムを使用できます。VMware の認定作業では、通常の仮想化されていないサーバ上で稼働している Security Manager で実行されたものと同じパフォーマンス テストおよび耐久性テストを行う必要がありました。テスト結果として、VMware ESX Server 4.0 で Security Manager を実行すると、イベント管理機能をオンにしない場合、アプリケーション パフォーマンスが少し低下することがわかりました。これは、関連するリファレンス ネットワークのサイズや、特定のテスト ケースによって異なります。VMware 環境で Security Manager を展開することは、小さいサイズのネットワークにのみ適しています。

パフォーマンスが常に大きく低下するようなエリアでは、多数の PIX デバイスや ASA デバイスへの展開を行っていたり、または多数（約 5,000 ～ 50,000）のルールを使用するデバイスへの展開を行っていました。このような場合には、展開にかかる時間が、容認できる範囲を超えてしまいます。VMware のパフォーマンスのベスト プラクティスについては、次のマニュアル（ http://www.vmware.com/pdf/Perf_Best_Practices_vSphere4.1.pdf ）を参照してください。

ただし、通常、デフォルトの値または設定は最適になっているため、詳細な VMware パラメータは調整すべきではありません。

また、仮想化の効率を向上させることに特化して設計されたテクノロジーが含まれているプロセッサを使用した、最新世代のサーバを使用することが推奨されます。たとえば、Intel® Virtualization Technology（IVT）が含まれている Intel® Xeon® X5500 シリーズの Quad-core プロセッサ上で、VMware ESX Server 4.0 で実行している Security Manager をテストした場合には、良好な結果が得られました。AMD は、仮想化の機能拡張に対して 64 ビット x86 アーキテクチャ プロセッサを提供しており、これは AMD Virtualization（AMD-V）と呼ばれます。

仮想マシンのハードウェアおよびソフトウェア要件については、 表 3 の 「VMware ESX 4.1、VMware ESXi 4.1、VMware ESXi 5.0、VMware ESXi 5.1 または VMware ESXi Update 1 による小規模な展開」 を参照してください。

ハイ アベイラビリティ/ディザスタ リカバリ

Security Manager をハイ アベイラビリティまたはディザスタ リカバリの構成に展開して、サーバ、ストレージ、ネットワーク、またはサイトの障害時にアプリケーションの可用性および存続可能性を大幅に向上させることができます。これらの展開オプションについては、適用可能な Security Manager ハイ アベイラビリティに関するマニュアル（ http://www.cisco.com/en/US/products/ps6498/prod_installation_guides_list.html ）および Veritas マニュアルに詳しい説明が記載されています。

インストール可能なモジュール

Security Manager サーバのインストールは、複数の異なるコンポーネントに適用されます。コンポーネントのいくつかはオプションです。Security Manager のインストーラは、次のコンポーネントのインストールを行います。

• Common Services 4.2.2（Security Manager 4.5 または AUS 4.5 のインストールを選択するとデフォルトでインストールされる）

• Security Manager 4.5 Server（必須）

• AUS 4.5（任意）

• Security Manager 4.5 Client（クライアントが専用クライアント マシンにインストールされている場合はオプション）

Security Manager クライアントは、スタンドアロン インストーラを使用してインストールできます。このインストーラにアクセスする最も一般的な方法は、Web ブラウザ（https://server_hostname_or_ip）を使用してサーバにログインし、クライアント インストーラをクリックする方法です。

Security Manager のインストーラ、および Security Manager クライアント インストーラの詳細な使用方法については、『Installation Guide for Cisco Security Manager 4.5』を参照してください。

IP アドレス、ホスト名、および DNS 名

Cisco Security Manager では、DHCP アドレスではなく、スタティック IP アドレスが必要です。Security Manager サーバの IP アドレスは変更できます。変更後に、システムのリブートが必要です。Security Manager の TCP/IP 設定で DNS サーバを設定する場合は、Security Manager サーバのホスト名と DNS 名が同じで、設定されている DNS サーバで解決可能であることを確認してください。Security Manager をインストールする前に、サーバに対して永続的な DNS 名とコンピュータ ホスト名を選択する必要があります。これは、ホスト名と DNS 名はインストールの後に修正できないためです。インストール後に Security Manager サーバのホスト名を変更すると、Security Manager の再インストールが必要になる場合があります。

クライアントの展開

推奨される通常の手順では、Security Manager クライアントを個別のクライアント マシンにインストールし、実行します。Security Manager では、特定のマシン上にクライアントのシングル バージョンをインストールすることのみサポートしています。そのため、同じマシン上で Security Manager 4.4 と 4.5 の両方のクライアントを持つことはできません。サーバにクライアントをインストールして使用することはできますが、これは、規模の小さいネットワークにのみ適しており、規模の大きい企業ネットワークにはお勧めできません。

アプリケーション パフォーマンスに影響を与える要因の項に記載されているように、エンド ユーザとサーバの場所がかなり離れていて、相当な遅延が発生する場合（大陸間の距離がある場合）でも容認できるパフォーマンスを保持するために、サーバに近い場所にあるターミナル サーバ上に、クライアントを展開することをお勧めします。

ディスクの最適化

最適なパフォーマンスのために、ディスク サイズの 50 GB 増加ごとにディスク フラグメンテーションを行うことを推奨します。

Windows オペレーティング システムのスワップ ファイル サイズ

仮想メモリ（ページング ファイル）は、インストールされているメモリの 1.5 倍である必要があります。これは、Windows プラットフォームに関する Microsoft の推奨事項です。シスコの要件ではありません。メモリ ページングは、システムに搭載されたメモリが負荷を処理するのに足りない場合にのみ発生します。

Sybase データベースのレジストリ パラメータ

中規模または大規模な展開では、最適なパフォーマンスとスケーラビリティが得られるように、次のパラメータを調整する必要があります。

ステップ 1 Security Manager のサーバで、<NMSROOT>\databases\vms\orig\odbc.tmpl にある次のファイルを見つけ、テキスト エディタで下記のパラメータを変更します。

a. 「___Switches」パラメータには、「-gb high」があるはずです（あった場合は Enter を押します）。

b. 「net stop crmdmgtd」を使用して CSM をシャットダウンし、Security Manager が完全にシャットダウンするまで待ってから、次のステップに進みます。

図 1 odbc.tmpl パラメータの編集

ステップ 2 このステップは、次の 2 つのサブステップから構成されています。

a. <NMSROOT>\objects\db\conf にある perl ユーティリティを使用して、Windows レジストリにデータベース パラメータを再登録します。以下にコマンドと構文の例を示します。

「perl configureDb.pl action=reg dsn=vms dmprefix=vms」

図 2 データベース パラメータの再登録

b. 上記のパラメータが正しく再登録されていることを確認し、次の場所にある Windows Registry の設定をチェックします。

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vmsDbEngine\Parameters（「-gb high -c 512M」というエントリがあるはずです）。

図 3 データベース パラメータの再登録の確認

ステップ 3 コマンド プロンプトから「net start crmdmgtd」を使用して Security Manager を起動し、Security Manager が完全に機能するまで待ちます。

ライセンスの例

ここでは、Security Manager のライセンスを理解しやすいように、いくつかの代表的なライセンスの例を示します。

例 1

管理対象ネットワークの説明：15 台の Cisco Integrated Services Router。

必要なライセンス：Enterprise Standard - 25 Device ライセンスが必要です。関連する Catalyst 6500 サービス モジュールがなく、デバイス数が 50 未満のため、Standard-25 ライセンスを注文します。

例 2

管理対象ネットワークの説明：5 台の IDSM-2 モジュールがあり、各モジュールには仮想センサーが 2 つずつある。

必要なライセンス：Enterprise Standard - 10 Device ライセンスが必要です（5 台のモジュールに 10 個の仮想センサーがあるため）。Standard-25 でも十分に思えますが、Catalyst 6500 サービス モジュールが含まれているため、Security Manager を使用して Catalyst 6500 スイッチを管理する必要がある場合は、最小でも Pro-50 ライセンスが必要です。

例 3

管理対象ネットワークの説明：フェールオーバー モードで動作する 250 の ASA ペアがある（500 台のデバイス）。

必要なライセンス： Professional-250 ライセンス。 また、Professional-50 ライセンスまたは Professional-100 ライセンスを、適切な差分（「追加」）デバイス ライセンスとともに注文することもできます。差分デバイス ライセンスは、50、100、および 250 台単位でデバイス数を追加できます。

例 4

管理対象ネットワークの説明：Security Manager Standard Edition の 25 台のデバイスがあり、追加で、シングル モードで稼働している 20 台の ASA デバイスを管理する必要がある。

必要なライセンス：Enterprise Standard 25 to Professional 50 Upgrade ライセンスが必要です。

例 5

管理対象ネットワークの説明：アクティブ/スタンバイ、またはアクティブ/アクティブのペアの組み合わせで展開されており、それぞれ 5 つのセキュリティ コンテキストを持つ、10 ペアのフェールオーバー ASA デバイス（20 台のデバイス）。

必要なライセンス：Enterprise Professional - 50、および Enterprise Professional Incremental 50 Device。

冗長性を得るためフェールオーバー デバイスのペアを展開する場合は、Security Manager にアクティブ デバイスおよびコンテキストを追加するだけで済みます。必要なデバイスのライセンス数は、（10 台のデバイス）×（5 つのコンテキスト）+（10 台のシャーシ）で、合計 60 個のデバイス ライセンスになります。

（注） 使用可能なライセンスの種類やサポートされているアップグレード パスに関する詳細の他、購入可能な Cisco Software Application Support サービス契約については、http://www.cisco.com/en/US/products/ps6498/prod_bulletins_list.html で Security Manager の最新メジャー リリースの製品速報を参照してください。

（注） 上記のすべての例では、Cisco Technical Assistance Center（TAC）およびアプリケーションのマイナー リリース アップデートを無料で使用できるようにするために、対応する Cisco Service Application Support（SAS）の注文を検討する必要があります。