質問 1  AMP によるマルウェア検知は Cisco Endpoint Security ライセンスを購入していなくても利用できるのか。
「Cisco DNA Essentials」ライセンスをご購入されると使用可能になります。詳細は Cisco DNA Software for SD-WAN Feature Matrix をご参照ください。

質問 2  拠点からの接続だけで、リモートアクセスユーザを利用していない企業で、Catalyst SD-WAN のセキュリティ要件で満足する場合は、Cisco Secure Access を提案の意味がないという認識で良いか。ただ、規模により CiscoSA の方が安くなるコスト差分岐点があれば教えて欲しい。
ご認識のとおり、リモートアクセスユーザが存在するユースケースと比較すると、Secure Access のメリットは限定されます。ただ、Secure Access はクラウドサービスですので、クラウドのメリットが享受可能です。例えば拠点内の従業員が増加した際に、Secure Access の場合はお客様によるリソース拡張などが不要なことも大きなメリットとなります。「コスト差分岐点」についてはユースケースによりケースバイケースの為、恐れ入りますが定量的な回答が困難となります。

質問 3  SD-WAN Manager の Cisco SSE の API Key 等の登録画面に、選択肢として zScaler も存在していますが、zScaler との連携についても、トンネルの自動作成など Cisco SSE と同等の連携機能は持っているのでしょうか。 機能差分はありますででしょうか。
基本的な機能は Secure Access 連携、Zscaler 連携で同等ですが、Secure Access のみ Context Sharing をサポートしています。

質問 4  日本国内の cEdge のトンネルの張り先を Secure Access の日本国内の Region のみに制限したいのですがどのように実現可能でしょうか。
SSE の Regionに「Asia Pacific (Tokyo)」を指定することで、cEdge の接続先の Secure AccessのRegion を Tokyo Region に限定することが可能になります。

質問 5  CiscoSA で Tokyo リージョン（日本）に接続した場合は、アクセス先サイトへの接続も日本の IP アドレス範囲で接続されるのか。シンガポールリージョンの場合はシンガポールの IP アドレス範囲でアクセス先サイトに接続されるのか。
アクセス先が「インターネットの宛先（つまり SIA)」の場合は、日本（例えば東京リージョン）から送出されます。つまり、サーバーから見ると東京リージョンの Secure Access の IP アドレスが送信元 IP となります。アクセス先が「Secure Access に接続されたお客様の拠点のリソース（つまり SPA)」の場合は、そのリソースが接続されているリージョンまで Secure Access クラウド内で転送されます。

質問 6  Manager で管理できる仮想の cEdge が Secure Access 側にデプロイされるという理解でよろしいでしょうか。 cEdge とは異なるコンポーネントを使用する場合、戻りのルーティング等の関係で SD-WAN 側に機能制限などが出るのではと思いました。
Secure Access のクラウド側では cEdge は動作してなく、汎用的なルータで IPsec VPN を終端しています。そのため、cEdge と Secure Access 間では、AAR などの SD-WAN 独自のトラフィック制御機能は動作不可になります。

質問 7  Secure Access の国内リージョンで、「リクエストにより利用可能なリージョン」として大阪がありますが、リクエストのための前提条件はありますでしょうか。
Secure Access のドキュメントに記載されている「リクエストにより利用可能なリージョン」については、前提条件を含め担当営業に相談していただけますようお願いいたします。

質問 8  大阪リージョンを使用する場合も、cEdge との IPSec VPN の自動作成の機能は使用できるのでしょうか。
20.15.1 時点では、日本国内では Tokyo Region のみサポートしています。

質問 9  SD-WAN の App セキュリティ設定と、CiscoSA の App セキュリティ設定の両方が矛盾して設定されていた場合はどちらが優先されるのか。またはエラーで管理者通知されるのか。
トラフィックに対しては、SD-WAN 側のポリシーが最初に適用され、そのポリシーの中で許可され、Secure Access に転送されたトラフィックに対して Secure Access 側のポリシーが適用されます。

質問 10  Secure Access はユーザライセンスという認識でしたが、月間で利用できるトラフィック量について明確な上限が存在するのでしょうか。
月間で利用可能なトラフィック量については契約により異なる可能性がある為、担当営業に相談していただけますようお願いいたします。使用可能なトラフィック量の目安に関しましては、「Secure Access Product Description」の「5.3 Usage and Range Limits」をご参照ください。

質問 11  Context Sharing を利用する場合、ISEは必須でしょうか。  
SGT の場合、ISE から Secure Access に対して、SGT の一覧情報を共有する必要があるため、ISE は必須になります。また、pxGrid Cloud を使用する必要があるため、ISE 側には Advantage License が必要になります。

質問 12  SD-WAN がデータセンターにある場合を想定します。リモートユーザーからのトラフィックのバックホール通信のための SD-WAN と Secure Access の設定はどのようにしますか。
Service Side 側で IPsec VPN を設定し、Secure Access  とIPsec VPN を確立するか、Resource Connector を配置し、ZTNA 経由でアクセスするかの 2 パターンが存在します。

質問 13  cEdge での A でのトラフィック識別方法は？DNS ベースでしょうか？TLS Decryption が必要でしょうか。
NBAR2 と呼ばれる DPI エンジン、DNS Snooping、SD-AVC などを使用してトラフィックのアプリケーションを識別します。TLS Decryption は不要になります。

質問 14  Secure Access のライセンスを買うと、Catalyst SD-WAN の機能（C-Edge の自動設定等）も使用できるのか。
Catalyst SD-WAN の機能を使用するには、別途 DNA License が必要になります。Catalyst SD-WAN の DNA Essential ライセンスをご購入いただけますと「SSE Connectivity (IPsec)」が使用可能になります。詳細は Cisco DNA Software for SD-WAN Feature Matrix をご参照ください。

質問 15  vSD-WANのZTP は、厳密には PPPoE 等の設定を事前に入れる必要があるため、一度は手元で設定を流し込む必要がある認識で間違いないでしょうか。設置予定場所に既存の PPPoE ルータがあり、DHCP が稼働している場合は除いて。
はい、PPPoE 環境では ZTP は未サポートで、手動で設定を投入する必要があります。cEdge に「事前に作成した設定ファイルを格納した USB」を挿入して、cEdge を起動することで、疑似的な ZTP を実現しているケースもあります。

質問 16  SD-WAN のログは Manager がデプロイされているリージョンに保管されるのでしょうか。
Manager のログは Manager である仮想マシン内部に保持されます。

質問 17 vManage のスナップショットの保存先リージョンはどのように決定されるのでしょうか。
Manager の Snapshot は Manager と同一リージョンに配置されます。SSP Portal 上で Manager をデプロイする際に Manager の Region を指定します。以下の資料をご参照ください。
Cisco SD-WAN Self Service Portal (SSP) - The love story of SD-WAN cloud

質問 18  Secure Access へのルートは、ポリシールーティングでのみ転送可能でルーティングテーブルには登録されないの認識で合いますでしょうか。
ネクストホップインタフェースに SSE トンネルを指定したスタティックルートを設定することも可能になります。

質問 19  cEdge の使用する機能ごとに推奨メモリなどは公開されているでしょうか。
以下のサイトに各種機能を使用する場合に必要なメモリ量が記述されております。
Minimum Resource Requirements for AppQoE, ThousandEyes & UTD

質問 20  SD-WAN のセキュリティ機能も Talos と連携されているのでしょうか？
IPS は Talos のシグネチャを使用して、危険なトラフィックを検出しております。
Cisco Catalyst SD-WAN Security Configuration Guide, Cisco IOS XE Catalyst SD-WAN Release 17.x (Cisco Catalyst SD-WAN IPS Solution)

質問 21  将来的に、SD-WAN が SA に吸収されて一本化されるようなことは起こりうるのでしょうか。またそのような要望はでているのでしょうか。機能が被っている箇所があるため。
現時点で、Catalyst SD-WAN と Secure Access の統合/吸収の話はでておりません。

質問 22  SD-WAN への移行時の構成の確認です。閉域網が Tag VLAN（透過型）をサポートしている前提です。移行時に閉域網の 1 つの TagVLAN を cEdge の Service VPN に関連付けて、Service VPN は閉域網内の現行 NW（例：VLAN10)と SD-WAN の IPSec VPN (例：Transport VPN は VLAN20 を使用）でルーティングを行うことは可能でしょうか？ (Transport VPN と Service VPN 間のルートリーク機能は使用しない場合の構成の確認です）
図のように、Service VPN 経由で閉域網の非 SD-WAN 拠点のルート情報を学習し、それを OMP 経由で他の  SD-WAN拠点に広報することは可能です。

質問 23  Service VPN 側で Secure Access の Region の宛先を Route Leak で Transport VPN 側に誘導すれば Transport VPN Sideでトンネルを張る事は可能ですか？また、このような手法はサポートの範囲でしょうか。
社内情報を検索致しましたが、Route Leaking と Service Side VPN を組み合わせてた Secure Access との IPsec VPN の構築実績はございませんでした。実案件で本構成の採用を検討されている場合は弊社の Professional Service の活用をご検討ください。

質問 24  Catalyst SD-WAN の Tloc-Extension 構成でも自動でトンネルを Secure Access 宛に貼る事は可能でしょうか。
実機で動作確認しましたところ、無事に TLOC Extension 経由でも Secure Access と  IPsec VPNを確立でき、Secure Access 側の Activity Search でも端末のトラフィックを確認できました。

質問 25  Catalyst SD-WAN の導入バージョンが 20.13 以前のため、SD-WAN SSE の自動化での連携設定が使用できない。
旧バージョン用の SD-WAN SSE 連携設定がまとまっている資料/URL はないか。
以下の記事に Generic SIG を用いて cEdge と Secure Access 間で IPsec VPN を構築する設定方法をまとめました。ぜひお役立てください。
Catalyst SD-WAN : Generic SIGを用いたSecure AccessとのIPsec VPNの確立

公開の難しい情報などは掲載を見送らせていただくこともございます。ご容赦いただけますと幸いです。
当オンラインセミナーのご参加、誠にありがとうございました。 またのご参加をお待ちしております。