- はじめに
- FMCからSCCへの接続と、AIアシスタント 有効化
- AI アシスタント機能の利用例
- 1. 設定変更例「Webex通信の許可例」
- 2. 簡易パラメーターシートの作成例「Access Control」
- 3. 簡易パラメーターシートの作成例「Prefiler (L4-ACL)」
- 4. トラブルシューティングのガイド
- 5. 日本語で設定やアップグレード手順のガイド
- よくある質問
- 参考情報
はじめに
本ドキュメントでは、Firewall Management Center (FMC) バージョン 7.6 からサポートされた「AIアシスタント」機能の有効化方法と活用例をご紹介します。 本ドキュメントは、FMC バージョン 7.6.0 を用いて確認、作成しております。
なお、「AIアシスタント」は、FMCと Cisco Security Cloud Control (SCC) が連携することで提供している高度機能のため、はじめて利用する場合は、FMCから SCC への接続が必要です。FMCをお持ちであれば、どなたでも利用可能です。
また、「AIアシスタント」は設定や最適化、トラブルシューティングの"支援"機能であり、その出力や実行結果が正しいかは、利用者様で確認するようにしてください。
FMCからSCCへの接続と、AIアシスタント 有効化
1. Cisco Security Cloud を選択
2. Current Cloud Regionから「ap-northeast-1 (APJ Region)」を選んでから、
「Enable Cisco Security Cloud」ボタンをクリック
※補足:Cisco Security Cloud (は、Cisco FMC や XDR・SSEを接続・統合管理できる、シスコの統合セキュリティクラウドです。接続にライセンスは不要です。接続することで、AIアシスタントや ポリシー最適化、他製品とAI連携など、様々な高度機能を利用できるようになります
3. 以下画面に切り替わるため「Continue to Cisco SSO」をクリック
4. 以下画面に切り替わるため、自身のCCOアカウントでログイン、もしくはサインアップ
5. 以下の画面に切り替わるため、既存テナントがない場合は、「Create Tenant」から任意名称のテナントを作成し、「Authorize FMC」をクリック
6. 接続に成功すると、Cisco Security Cloud が「Enbale」に変わります。「AI アシスタント」や関連した高度ポリシー分析・最適化機能である「Policy Analyzer and Optimizer(PAO)」、クラウド連携機能「Enable Cisco Success Network」が有効であることを確認してください。
クラウドとFMC間で設定状況などが自動同期とAI機能のインテグレートが始まり、画面右上「Cloud Onboarding Statsu」 より、AIアシスタントのセットアップ状況を確認できます。「Onboarding」はセットアップ中の状況です。FMCの設定量にもよりますが、通常、Onbaording 完了には数時間かかります。
7. AIアシスタントのOnboardingが完了すると、画面右上に青い丸印の「AIアシスタント」の呼び出しボタンが自動追加され、「Cloud Onboarding Status」が「Online」になります。
8. 画面右上の青い丸印「AIアシスタント」アイコンから、AIアシスタント機能の利用が可能です。
AI アシスタント機能の利用例
AIアシスタントは以下のような様々な機能に対応しています。以下は一例であり、機能は日々進化しており、随時追加されていきます。
・設定支援
・既存設定の分析と最適化
・設定手順のガイド
・簡易パラメーターシートの作成(※2025年1月時はAccess Control関係のみ)
・トラブルシューティングのガイド
・上記の日本語での指示や出力 、など
以下は実際のAIアシスタントの活用例です。
1. 設定変更例「Webex通信の許可例」
以下の指示文を入力
ホスト名「CoreFTD-FPR1010」で、Inside から Outsideに、Webex通信を許可するポリシーを設定してください。ログは有効化してください。
ウィザードが起動し、指示文に不足していた設定項目の入力を求められるため、順番に入力していく
適用予定の設定が表示されるため、問題なければ「Yes」をクリック
設定は「Disable(一時無効化)」状態で適用されるため、Access Policyにアクセスし、末端に追加された上記ルールを最終確認した後、ルールの「Enable」、Policyの「Save」、そして「Deploy」で上記設定をデプロイし、設定完了です。
2. 簡易パラメーターシートの作成例「Access Control」
以下の指示文を実行します。「ACCESS-POLICY」はAccess Control Policyの名前のため、ご利用の環境のポリシー名に書き換えてください。なお、表に含める列数が「6列以上」になると処理が複雑となり、現行の処理能力だとタイムアウトしてしまうことがあるため、作成する表は4~5列以内にして指示をします。
Firewall Management Center の「ACCESS-POLICY」のルールを、表形式で出力してください。
表の列には、「Rule Number」「Name」「Action」「Source Zone」「Destination Zone」のみ含めてください。表の行は各「Rule Number」毎に出力し、複数設定がある場合は1つのセル内に統合してください。「Rule Number」で昇順に並べてください。以下は実際のAIアシスタントの出力例です。
上記の表出力を、任意エクセルファイルにペーストします
他のパラメーター同様に表形式で出力を依頼します。以下の場合、「Rule Number」は固定列として残しながら、追加で、「Network IPs」情報を出力依頼してます。
Firewall Management Center の「ACCESS-POLICY」のルールを、表形式で出力してください。
表の列には、「Rule Number」「Source Network IPs」「Destination Network IPs」のみ含めてください。表の行は各「Rule Number」毎に出力し、複数設定がある場合は1つのセル内に統合してください。「Rule Number」で昇順に並べてください。
得られた以下のような表形式の出力を、先ほどのエクセルファイルに追記します。
他のパラメーター同様に表形式で出力を依頼します。以下の場合、「Rule Number」は固定列として残しながら、追加で、「宛先Ports」と「Applications」情報を出力依頼してます。得られた結果は、先ほどのエクセルファイルに更に追記します。
Firewall Management Center の「ACCESS-POLICY」のルールを、表形式で出力してください。
表の列には、「Rule Number」「Destination Port」「Applications」のみ含めてください。表の行は各「Rule Number」毎に出力し、複数設定がある場合は1つのセル内に統合してください。「Rule Number」で昇順に並べてください。
上記のようなやり取りを繰り返し、作成したAccess Control Policyのパラメータシート例が以下です。実際のFMC設定画面と比較し、差異がないか最終確認してください。慣れると数分程度で最新設定のパラメータシートを作ることができます。
【AIアシスタントを利用し作成したパラメータシート例】
【FMCからみたFTDの実際の設定状況】
3. 簡易パラメーターシートの作成例「Prefiler (L4-ACL)」
Prefilterは表の列数が多いため、まずは必要な4列のみ出力を指示します。「ASA-ACL」はご利用のプレフィルターポリシー名を入力してください。まず、送信元と宛先のIP情報を出力します。
Prefiler Policy名「ASA-ACL」の設定を、表形式で出力してください。
表の列には、「Rule-ID」「Name」「Source Network IPs」「Destination Network IPs」のみ含めてください。表の行は各「Rule-ID」毎に出力し、複数設定がある場合は1つのセル内に統合してください。「Rule-ID」で昇順に並べてください。
以下は、AIアシスタントの出力例です。
他のパラメーター同様に表形式で出力を依頼します。以下の場合、「Rule ID」と「Name」は固定列として残しながら、追加で、送信元と宛先のポート情報を出力依頼してます。
Prefiler Policy名「ASA-ACL」の設定を、表形式で出力してください。
表の列には、「Rule-ID」「Name」「Source Port Number」「Destination Port Number」のみ含めてください。表の行は各「Rule-ID」毎に出力し、複数設定がある場合は1つのセル内に統合してください。「Rule-ID」で昇順に並べてください。
以下は、AIアシスタントの出力例です。
他のパラメーター同様に表形式で出力を依頼します。以下の場合、「Rule ID」と「Name」は固定列として残しながら、追加で、「Rule Action」と「Logging有効有無」情報を出力依頼してます。
Prefiler Policy名「ASA-ACL」の設定を、表形式で出力してください。
表の列には、「Rule-ID」「Name」「Rule Action」「Logが有効か (Yes/No)」」のみ含めてください。表の行は各「Rule-ID」毎に出力し、複数設定がある場合は1つのセル内に統合してください。「Rule-ID」で昇順に並べてください。
以下は、AIアシスタントの出力例です。
AIアシスタントからの3つの表出力を、任意エクセルファイルを開きマージし、以下のように Prefilter Policy のパラメータシートを完成させます。FMCの実際の設定画面と表記が一致するか最終確認し完成です。
【AIアシスタントを利用し作成したパラメータシート例】
4. トラブルシューティングのガイド
例えば以下は、オンプレミスFMCで管理のFTDデバイスで障害が発生時のトラブルシューティング方法の出力指示です。
オンプレミスFMCで管理しているFTDデバイスをアップグレードしようとしたところ、FTDデバイスがオフラインであることがわかりました。詳細なトラブルシューティングと解決方法を例示してください。
以下は、AIアシスタントの出力例で、トラブルシューティング手順や、追加の質問例を確認できます。以下の出力例では、電源接続状況の詳細な確認方法も確認しています。
5. 日本語で設定やアップグレード手順のガイド
日本語での、FMCのアップグレード手順のガイド出力の指示例です。
Firewall Management Center (FMC) の High Availability (HA) 構成の場合の、FMC HAのアップグレード手順を日本語で出力してください
以下は、AIアシスタントの出力例で、日本語の手順と、AIアシスタントが参照したドキュメントURLを得ることができます。
なお、日本語出力は、内部的に「英語から日本語に変換」という処理が追加で発生するため、若干低速となり、AIアシスタント側の負荷が高くなります。そのため、日本語でうまく出力できない時や 膨大な情報を出力したい場合は、日本語での出力指示はせず、英語出力を利用するようにしてください。
よくある質問
Q: AIアシスタントの利用に有料ライセンスは必要ですか
いいえ、Firewall Management Center (FMC)のライセンスをお持ちでしたら、どなたでも、Cisco Security Cloud Controlと AIアシスタント を利用可能です。
Q: 初回のAIアシスタントのオンボーディングに数時間かかる理由を教えてください
初回オンボーディング時はFMCから設定データを、Cisco Security Cloud Control 側に自動同期し、それらデータをAIアシスタントで利用可能になるように、FMC設定の解析・学習が行われるため、初回のみは時間がかかります。
Q: AIアシスタントがオンラインになった後の、FMC設定の同期間隔を教えてください
(2025年1月時) 24時間毎に同期されますが、当同期間隔は今後変わる可能性もございます。現時点では強制的な即座の同期には対応してませんが、今後機能追加がされる可能性も十分ございます。
Q: 複数FMCで、Cisco Security Cloud のテナントを共用してもよいですか
はい、共用自体は可能ですが、テナント毎にAIアシスタントは学習し答えの生成を行うため、1つのテナントに複数のFMCを登録すると、複数のFMCの学習データが混じってしまう恐れがあります。 AIアシスタントに学習させるFMC情報を、FMC毎に分離させたい場合は、各FMC毎にユニークなテナントを作成、割り当ててください。
Q: FMCのバージョンが 7.6以上であれば、FTD バージョン 7.4や 7.2のままでも利用できますか
はい、AIアシスタントを利用するには、FMCがバージョン 7.6 以上である必要がありますが、FMC は4世代前までの、Firewall Threat Defense (FTD) のバージョンを管理できるため、FMC 7.6で AIアシスタントを利用しつつ、FMC 7.6で FTD 7.4や 7.2の利用は可能です。
Q: AIアシスタントに指示をしたところ、「Something went wrong. Please try again.」と出力されタイムアウトします
指示文や単語が不明瞭、もしくは複雑すぎる、膨大過ぎる可能性があります。指示文を見直して、適宜修正し、入力しなおしてください。指示文は日本語でも構いませんが、日本語出力は負荷が高いため、英語出力を利用するのも有効です。一度に出力しきれない場合は、小分けし出力するのがお勧めです。
Q: AIアシスタントに指示をしたところ、「Network Error」と出力されタイムアウトします
接続が不安定である可能性があります。AIアシスタントを起動しなおせば、殆どの場合、解決します。
Q: 質問のスレッドを変えたいのですが、どのようにすればよいですか
Ai アシスタントのポップアップの画面右上「New Thread」から新しいスレッドを作ることができます。
Q: 表が思い通りに出力されません
一度に出力しようとする表の行数や列数が多いほど負荷があがるため、列数を数行に減らすなど調整してください。また、出力を要求する項目はできるだけ正確に記載してください。例えば、ポート番号を出力して欲しい場合は、「Souce Port」よりも「SourcePort Number」と明示したほうが、期待した結果を得やすいです。また、指示文に完全な正解はないため、いろいろと試してみて頂くのがお勧めです・・!
Q: AIアシスタントが思い通りの回答をしてくれません
指示文(プロント)が、「明確」、かつ、十分な「コンテキスト(背景情報)」が含まれているか、及び、「目的・ゴール」がはっきりしているか確認してください。また、略称は利用するのを控え、日本語で出力して欲しい場合は「日本語で出力」と明記するようにしてください。
良くない指示例: FTPを許可したいです
良い指示例: 運用中のFTD-01で、172.16.0.0/24から192.168.3.0/24宛のFTPを許可してください。ログ保存は有効化してください
良くない指示例: FMC HAのアップグレード手順を知りたいです
良い指示例: Firewall Management Center (FMC) の High Availability (HA) 構成の場合の、FMC HAのアップグレード手順を日本語で出力してください
AIアシスタントのプロンプトガイドについて詳しくは以下ガイドも参照してください。
https://www.cisco.com/c/ja_jp/td/docs/security/cdo/ai-assistant/cisco-ai-assistant-user-guide/m_prompt-guide-for-cisco-ai-assistant.html
Q: AIアシスタントの出力の正確性は、シスコとして保証されますか?
指示文の内容により、利用者様の意図と違った形で出力してしまうことがあります。また、AIアシスタントは支援機能となりますので、特に重要な出力の場合は、その出力が正しいか利用者様で確認をお願いいたします。
Q: SCC連携で AI Ops「Policy Analyzer and Opmitizer」機能を利用できますか
はい、利用可能です。Integration > Cisco Security Cloud から連携時に「Enbale Policy Analyzer and Optimizer」にチェックをいれ有効化することで、ACPの重複や未使用ルールの確認と、一時無効かや削除が可能になります。 SCC 上の、Insights & Reports > Policy Analyzer and Optimizer から、サマリーや詳細・チューニングが可能です。以下の画面は、SCC側でのFMC/FTDのポリシー分析結果の確認例です。
参考情報
Cisco Secre Firewall (FTD) How To
https://community.cisco.com/t5/-/-/ta-p/5024782
Cisco AI Assistant User Guide
https://www.cisco.com/c/en/us/td/docs/security/cdo/ai-assistant/cisco-ai-assistant-user-guide.html
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
