Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager バージョン 6.2.3 用)

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager バージョン 6.2.3 用)

Chapter Title

システムのライセンス

検索結果

Updated:
2020年1月5日

章のタイトル: システムのライセンス

システムのライセンス

ここでは、Firepower Threat Defense デバイスにライセンスを付与する方法について説明します。

Firepower システムのスマート ライセンス

Cisco Smart Licensing によって、ライセンスを購入し、ライセンスのプールを一元管理することができます。製品認証キー(PAK)ライセンスとは異なり、スマート ライセンスは特定のシリアル番号またはライセンス キーに関連付けられません。スマート ライセンスを使用すると、ライセンスの使用状況と要件をひと目で確認できます。

また、スマート ライセンスでは、まだ購入していない製品の機能を使用できます。Cisco Smart Software Manager に登録すると、すぐにライセンスの使用を開始できます。また、後でライセンスを購入することもできます。これによって、機能の展開および使用が可能になり、発注書の承認による遅延がなくなります。

Cisco Smart Software Manager

Firepower Threat Defense デバイスの 1 つ以上のライセンスを購入する場合は、Cisco Smart Software Manager(https://software.cisco.com/#SmartLicensing-Inventory)で管理します。Cisco Smart Software Manager では、組織のマスター アカウントを作成できます。

デフォルトでは、ライセンスはマスター アカウントの下のデフォルトの仮想アカウントに割り当てられます。アカウントの管理者として、たとえば、地域、部門、または子会社ごとに、追加の仮想アカウントを作成できます。複数の仮想アカウントを使用することで、多数のライセンスおよびアプライアンスの管理を行うことができます。

ライセンスとアプライアンスは仮想アカウントごとに管理されます。つまり、その仮想アカウントのアプライアンスのみが、そのアカウントに割り当てられたライセンスを使用できます。追加のライセンスが必要な場合は、別の仮想アカウントから未使用のライセンスを転用できます。また、仮想アカウント間でのアプライアンスの譲渡も可能です。

Cisco Smart Software Manager にデバイスを登録するとき、そのマネージャで製品インスタンス登録トークンを作成し、Firepower Device Manager にそのトークンを入力します。登録済みデバイスが、使用されているトークンに基づいて仮想アカウントに関連付けられます。

Cisco Smart Software Manager の詳細については、マネージャのオンライン ヘルプを参照してください。

ライセンス認証局との定期通信

Firepower Threat Defense デバイスの登録に製品インスタンス登録トークンを使用すると、デバイスはシスコのライセンス認証局に登録されます。ライセンス認証局は、デバイスとライセンス認証局の間の通信用に ID 証明書を発行します。この証明書の有効期間は 1 年ですが、6 ヵ月ごとに更新されます。ID 証明書の期限が切れた場合(通常は、9 ヵ月または 1 年間通信がない状態)、デバイスは登録が解除された状態になり、ライセンスされた機能は使用停止になります。

デバイスは、定期的にライセンス認証局と通信します。Cisco Smart Software Manager に変更を加えた場合は、すぐに変更が有効になるようにデバイス上で認証を更新できます。また、スケジュールどおりにデバイスが通信するのを待つこともできます。通常のライセンス通信は 30 日ごとに行われますが、これには猶予期間があり、デバイスはホームをコールすることなく最大で 90 日間は動作します。90 日が経過する前にライセンス認証局と連絡を取る必要があります。

スマート ライセンスのタイプ

次の表に、Firepower Threat Defense デバイスで使用可能なライセンスを示します。

Firepower Threat Defense デバイスを購入すると、自動的に基本ライセンスが含まれます。すべての追加ライセンスはオプションです。


(注)  

ISA 3000 デバイス用のマルウェアや URL フィルタリングのライセンスを購入することはできません。

表 1. スマート ライセンスのタイプ

ライセンス

期間

付与される機能

基本(Base)(自動的に含まれる)

永久

オプションのターム ライセンスでカバーされないすべての機能。

[このトークンに登録した製品でエクスポート制御機能を許可する(Allow export-controlled functionality on the products registered with this token)] かどうかも指定する必要があります。このオプションは、自国が輸出管理の標準規格に適合している場合のみ選択できます。このオプションは、高度な暗号化や、高度な暗号化を必要とする機能の使用を制御します。

脅威(Threat)

ターム ベース

[侵入検知および防御(Intrusion detection and prevention)]:侵入ポリシーが侵入とエクスプロイトを検出するためネットワーク トラフィックを分析し、またオプションで違反パケットをドロップします。

[ファイル制御(File control)]:ファイル ポリシーが特定タイプのファイルを検出し、オプションでこれらのファイルのアップロード(送信)またはダウンロード(受信)をブロックできます。マルウェア ライセンスが必要な AMP for Firepower を使用すると、マルウェアを含むファイルのインスペクションを実行してブロックできます。どのタイプのファイル ポリシーを使用する場合でも、脅威ライセンスが必要です。

[セキュリティ インテリジェンス フィルタ(Security Intelligence filtering)]:トラフィックがアクセス制御ルールによって分析を受ける前に、選択されたトラフィックをドロップします。ダイナミック フィードにより、最新の情報に基づいて接続をただちにドロップできます。

マルウェア(Malware)

ターム ベース

マルウェアを確認するポリシーであり、Cisco Advanced Malware Protection(AMP)と一緒に AMP for Firepower (ネットワークベースの高度なマルウェア保護)とCisco Threat Grid を使用します。

ファイル ポリシーは、ネットワーク上で伝送されるファイルに存在するマルウェアを検出してブロックできます。

URL フィルタリング(URL Filtering)

ターム ベース

カテゴリとレピュテーションに基づく URL フィルタリング。

このライセンスなしでも、個々の URL で URL フィルタリングを実行できます。

RA VPN:

  • AnyConnect Plus

  • AnyConnect Apex

  • AnyConnect VPN Only

ライセンス タイプに基づきタームベースまたは永久

リモート アクセス VPN の設定。RA VPN を設定するには、基本ライセンスによるエクスポート制御機能を許可する必要があります。デバイスを登録するときに、エクスポート要件を満たすかどうかを選択します。

Firepower Device Manager は、AnyConnect の任意の有効なライセンスを使用できます。使用できる機能はライセンス タイプによって異なります。まだ購入していない場合は、リモート アクセス VPN のライセンス要件を参照してください。

Cisco AnyConnect Ordering Guide』(http://www.cisco.com/c/dam/en/us/products/collateral/security/anyconnect-og.pdf)も参照してください。

期限切れまたは無効なオプション ライセンスの影響

オプションのライセンスが期限切れになっても、そのライセンスを必要とする機能を使用し続けることはできます。ただし、ライセンスは非準拠とマークされます。ライセンスを準拠状態に戻すには、ライセンスを購入してアカウントに追加する必要があります。

オプションのライセンスを無効にすると、システムは次のように反応します。

  • [マルウェアライセンス(Malware license)]:システムは AMP クラウドへの問い合わせを停止し、AMP レトロスペクション クラウドから送信されたレトロスペクティブ イベントの認証も停止します。既存のアクセス コントロール ポリシーにマルウェア検出を適応するファイル ポリシーが含まれている場合、このアクセス コントロール ポリシーを再展開することはできません。マルウェア ライセンスが無効にされた後、システムが既存のキャッシュ ファイルの性質を使用できるのは極めて短時間のみであることに注意してください。この時間枠の経過後、システムは Unavailable という性質をこれらのファイルに割り当てます。

  • [脅威(Threat)]:システムは侵入またはファイル制御ポリシーを適用しなくなります。セキュリティ インテリジェンス ポリシーの場合、システムはこのポリシーを適用せず、フィード更新のダウンロードを停止します。ライセンスを必要とする既存のポリシーを再展開することはできません。

  • [URLフィルタリング(URL Filtering)]:URL カテゴリ条件が指定されたアクセス コントロール ルールは URL のフィルタリングをただちに停止し、システムは URL データへの更新をダウンロードしなくなります。既存のアクセス コントロール ポリシーに、カテゴリ ベースまたはレピュテーション ベースの URL 条件を含むルールが含まれている場合は、それらのポリシーを再展開することができません。

  • [RA VPN]:リモート アクセス VPN 設定は編集できませんが、削除は可能です。ユーザは引き続き RA VPN 設定を使用して接続できます。ただし、デバイスの登録を変更してシステムがエクスポートに準拠しなくなると、リモート アクセス VPN 設定はただちに停止し、リモート ユーザは VPN に接続できなくなります。

スマート ライセンスの管理

システムの現在のライセンス ステータスを表示するには、[スマートライセンス(Smart License)] ページを使用します。システムにはライセンスが必要です。

このページには、90 日間の評価ライセンスを使用しているかどうか、または Cisco Smart Software Manager に登録済みかどうかが表示されます。登録すると、Cisco Smart Software Manager への接続のステータス、および各ライセンス タイプのステータスを確認できます。

使用認証により、スマート ライセンス エージェントのステータスが特定されます。

  • 承認済み(「接続/接続中」、「十分なライセンス」):デバイスは、アプライアンスのライセンス権限を承認した License Authority に正常に登録されています。このデバイスはインコンプライアンスの状態です。

  • アウトオブコンプライアンス:デバイスで使用可能なライセンス権限がありません。ライセンスされた機能は動作を継続します。ただし、インコンプライアンスにするためには、追加の権限を購入するか、または解放する必要があります。

  • 認証期限切れ:デバイスは 90 日以上ライセンス認証局と通信していません。ライセンスされた機能は動作を継続します。この状態の場合、スマート ライセンス エージェントは認証要求を再試行します。再試行に成功すると、エージェントはアウトオブコンプライアンスまたは承認済み状態になり、新たな承認期間が始まります。手動でデバイスの同期を試します。


(注)  

スマート ライセンスのステータスの横にある [i] ボタンをクリックすると、バーチャル アカウント、輸出管理機能を確認でき、Cisco Smart Software Manager を開くリンクが表示されます。輸出管理機能により、国家安全保障、外交ポリシー、反テロリズム法令を対象としたソフトウェアが制御されます。

次の手順では、システム ライセンスの管理方法の概要について説明します。

手順

ステップ 1

[デバイス(Device)] をクリックし、[スマートライセンス(Smart License)] のサマリーで [設定の表示(View Configuration)] をクリックします。

ステップ 2

デバイスを登録します。

オプション ライセンスを割り当てる前に、Cisco Smart Software Manager に登録する必要があります。評価期間の終了前に登録してください。

デバイスの登録を参照してください。

(注)   

登録する際に、使用状況データをシスコに送信するかどうかを選択します。選択内容は、[歯車(gear)] アイコンの横にある [Cisco Success Networkにアクセス(Go To Cisco Success Network)] リンクをクリックすると変更できます。

ステップ 3

オプション機能のライセンスをリクエストして管理します。

ライセンスによって制御される機能を使用するためには、オプション ライセンスを登録する必要があります。オプション ライセンスの有効化と無効化を参照してください。

ステップ 4

システム ライセンスを維持します。

次の作業を実行できます。

デバイスの登録

Firepower Threat Defense デバイスを購入すると、自動的に基本ライセンスが付いてきます。基本ライセンスは、オプション ライセンスではカバーされないすべての機能をカバーしています。これは永久ライセンスです。

システムの初期設定時に、Cisco Smart Software Manager にデバイスを登録するように求められます。登録せずに 90 日間の評価ライセンスを使用する場合、評価期間の終了前にデバイスを登録する必要があります。

デバイスを登録すると、バーチャル アカウントからデバイスにライセンスが割り当てられます。デバイスを登録すると、有効にしているすべてのオプション ライセンスも登録されます。

手順

ステップ 1

[デバイス(Device)] をクリックし、[スマートライセンス(Smart License)] のサマリーで [設定の表示(View Configuration)] をクリックします。

ステップ 2

[Request Register] をクリックして、説明に従います。

  1. リンクをクリックして Cisco Smart Software Manager を開いて自分のアカウントにログインするか、必要に応じて新しいアカウントを作成します。

  2. 新しいトークンを生成します。

    トークンを作成する際に、トークンの有効使用期間を指定します。推奨の有効期間は 30 日です。この期間はトークン自体の有効期限を定義するものであるため、トークンを使用して登録するデバイスには影響しません。使用前にトークンが期限切れになった場合は、簡単に新しいトークンを生成できます。

    [このトークンに登録した製品でエクスポート制御機能を許可する(Allow export-controlled functionality on the products registered with this token)] かどうかも指定する必要があります。このオプションは、自国が輸出管理の標準規格に適合している場合のみ選択できます。このオプションは、高度な暗号化や、高度な暗号化を必要とする機能の使用を制御します。

  3. トークンをコピーして、[スマートライセンスの登録(Smart License Registration)] ダイアログ ボックスの編集ボックスに貼り付けます。

  4. 使用状況データをシスコに送信するかどうかを決定します。

    Cisco Success Network ステップの情報を読み、[サンプルデータ(Sample Data)] をクリックして収集された実際のデータへのリンクを表示して、[Cisco Success Networkを有効にする(Enable Cisco Success Network)] オプションを選択したままにするかどうかを決定します。接続を有効にしていない場合でも、必要なときにクラウドサービスを有効にできるように シスコ クラウドサービスサーバに登録されます。

  5. [登録の要求(Request Register)] をクリックします。

オプション ライセンスの有効化と無効化

オプションのライセンスを有効化(登録)または無効化(リリース)できます。ライセンスによって制御される機能を使用するには、ライセンスを有効にする必要があります。

オプションのターム ライセンスの対象となる機能を使用しなくなった場合、ライセンスを無効化できます。ライセンスを無効にすると、Cisco Smart Software Manager アカウントでライセンスがリリースされるため、別のデバイスにそのライセンスを適用できるようになります。

評価モードで動作させる場合は、これらのライセンスの評価バージョンを有効にすることもできます。評価モードでは、デバイスを登録するまでライセンスは Cisco Smart Software Manager に登録されません。ただし、評価モードでは RA VPN ライセンスを有効にすることはできません。

始める前に

ライセンスを無効にする前に、そのライセンスが使用中でないことを確認します。 ライセンスを必要とするポリシーは書き換えるか削除します。

手順

ステップ 1

[デバイス(Device)] をクリックし、[スマートライセンス(Smart License)] のサマリーで [設定の表示(View Configuration)] をクリックします。

ステップ 2

必要に応じて、それぞれのオプション ライセンスの [有効化/無効化(Enable/Disable)] コントロールをクリックします。

  • [有効化(Enable)]:Cisco Smart Software Manager アカウントにライセンスを登録し、制御された機能が有効になります。ライセンスによって制御されるポリシーを設定し、展開できます。

  • [無効化(Disable)]:Cisco Smart Software Manager アカウントのライセンスを登録解除し、制御された機能が無効になります。新しいポリシーの機能の設定も、その機能を使用するポリシーの展開もできません。

ステップ 3

RA VPN ライセンスを有効にしている場合、アカウントで使用可能なライセンス タイプを選択します。

AnyConnect の任意のライセンス([Plus]、[Apex]、[VPNのみ(VPN Only)])を使用できます。両方のライセンスがあり、どちらも使用する場合は [PlusおよびApex(Plus and Apex)] を選択できます。

Cisco Smart Software Manager との同期

ライセンス情報は、定期的に Cisco Smart Software Manager と同期されます。通常のライセンスに関する通信は 30 日ごとに行われますが、これには猶予期間があり、アプライアンスはホームをコールすることなく最大で 90 日間は動作します。

しかし、Smart Software Manager に変更を加えた場合は、デバイス上で認証を更新し、即座に変更を有効にできます。

同期により、ライセンスの現在のステータスが取得され、認証と ID 証明書が更新されます。

手順

ステップ 1

[デバイス(Device)] をクリックし、[スマートライセンス(Smart License)] のサマリーで [設定の表示(View Configuration)] をクリックします。

ステップ 2

歯車のドロップダウンリストから [接続の再同期(Resync Connection)] を選択します。

デバイスの登録解除

デバイスを使用しなくなった場合は、Cisco Smart Software Manager からデバイスの登録を解除できます。登録を解除すると、仮想アカウントでデバイスに関連付けられている基本ライセンスとすべてのオプション ライセンスが解放されます。オプション ライセンスは他のデバイスに割り当てることができます。

デバイスの登録を解除すると、デバイスの現在の設定とポリシーはそのまま機能しますが、変更を加えたり展開したりすることはできません。

手順

ステップ 1

[デバイス(Device)] をクリックし、[スマートライセンス(Smart License)] のサマリーで [設定の表示(View Configuration)] をクリックします。

ステップ 2

歯車ドロップダウンリストから [Unregister Device] を選択します。

ステップ 3

警告を確認し、デバイスの登録を本当に解除する場合は [登録解除(Unregister)] をクリックします。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ