[TKB] セキュリティ ドキュメント

はじめに アップグレード前の確認事項 注意事項 アップグレード方法 Step 1：HA 同期の一時停止 Step 2：セカンダリ / スタンバイでアップグレードパッケージをアップロード Step 3：準備状況の確認 Step 4：FMC のアップグレード Step 5：プライマリ / アクティブのアップグレード Step 6:　PrimaryのFMCをActiveにする   はじめに Secure Firewall Management Center（FMC）のハイアベイラビリティ（HA）環境...

1. 概要 2. HSTS とは 3. 警告画面と HSTS の関係について   ※ 2026 年 3 月 10 日現在の情報をもとに作成しています   1. 概要   Umbrella を有効にしている環境で、特定のサイトにアクセスした際、プライバシーが保護されていない旨の警告画面が表示され、HSTS が原因である旨の記載がされる場合があります。本記事では、両者の関係性と警告画面への対応策について説明します。   ※ 警告画面の表示内容は、使用している Web ブラウザの種類ごとに異なります...

日々のセキュリティ運用の中で、複数の機能をまたがるトラフィックのログを追跡・調査するのにご苦労されていませんか？ Cisco Secure Accessは多くのセキュリティ機能を提供しているため、DNS, Firewall, SWG, VPNなど多様なログが発生してしまっています。 今回はそんなログ調査の課題を劇的に改善する、最近リリースされたCisco Secure Accessの「Events Report（イベントレポート）」機能についてご紹介します。 ------------------...

以下は 2026 年 2 月 18 日に開催した  Cisco Secure Access - Zero Trust Access の Q＆A セッションでいただいた質問とその回答となります。多数のご質問誠にありがとうございました。なお、当日の資料や録画は以下より確認可能です。   プレゼンテーション資料  ウェビナー録画  イベント概要       質問 1  最初に Secure Client が Enroll する際、ユーザーは接続先 URL を指定せず、Secure Client に...

はじめに 本記事では、Identity Services Engine(ISE) をご利用いただいているお客様環境で発生した不具合のうち、1ヶ月間の Top 5 を紹介させていただきます。 ワールドワイドにおいて TAC に ervice Request(SR) での報告数をベースとしています。 本記事作成時点(2026/02/27)の情報のため、修正バージョンなど変更が発生している可能性があります。 各不具合の最新情報については ISE のリリースノートや各不具合情報をご確認ください。 特に...

はじめに 現在利用しているパーツの確認方法 スペアコンポーネントの確認 ログ確認時の注意点 参考情報   はじめに Cisco Identity Service Engine (ISE) の物理アプライアンスである Cisco Secure Network Server (SNS) は、Cisco UCS C220 ラックサーバに基づいており、ISE セキュリティアプリケーションをサポートするように特別に設定されています。 そのため、交換時のパーツは SNS を利用の際でも UCS のパ...

一、始めに 二、前提 三、設定手順 四、確認 五、参考文献 一、始めに 複数拠点を持っている組織で、各拠点側のファイアウォールでマルチキャストルーティングを設定すると、WANを超えて動画配信を受信することが可能になります。本稿ではCico Firepower Threat Defense(以下FTD)でマルチキャストルーティングを設定して、拠点側でマルチキャストトラフィックを受信する設定例を紹介します。 二、前提 (1) 以下の知識を前提としています   Cisco FMC(Firepowe...

クライアントからのトラフィックがSecure Accessを経由しているか確認する方法をいくつかご紹介します。 クライアントのDNSクエリがSecure Accessを経由しているか確認する方法以下のコマンドを実行し、”orgid [number]” を含むレコードの[number]部分に検証対象の Org ID が、対象のOrg IDであることを確認します。 nslookup -type=txt debug.opendns.com  クライアントのWebトラフィックがSecure Acc...

一、始めに 二、前提 三、設定手順 四、確認 五、参考文献 一、始めに 本稿ではCisco ASA(以下ASA)をCisco Duo(以下Duo)とMicrosoft Active Directory (以下 AD) に連携し、２段階認証によりCisco Secure Client(以下CSC)でRemote Access VPN を設定する設定例を紹介します。 ユーザがPCからCSCでリモートアクセスVPNの接続を開始すると、まずはASAがADに対してユーザの認証を実施し、それからDuoの...

1. 概要 2. Ingress Control とは 3. Ingress Control が契約を調べる方法 4. Ingress Control の新機能について   ※ 2026 年 2 月 20 日現在の情報をもとに作成しています   1. 概要   本記事では、Reserved IP の Ingress Control について説明します。   ※ Reserved IP を利用するには、SIG サブスクリプションの契約をしており、かつ別途 Reserved IP の契約が必要です...

1. 概要 2. Reserved IP について 3. Reserved IP が動作しない条件 4. Reserved IP が動作したかを確認する方法   ※ 2026 年 2 月 20 日現在の情報をもとに作成しています   1. 概要   本記事では、SWG からの出力の際、事前に予約された IP アドレスを使用する「Reserved IP」の機能が正しく動作しない場合の条件について説明します。   ※ Reserved IP を利用するには、SIG サブスクリプションの契約をしてお...

Windows版インストールオプション サービスの操作権限を制限する 「プログラムの追加と削除」で非表示にする Always-on ログオン前の挙動 Connect Failure Policy発動条件 Always-on利用時のVPNプロファイル マシントンネル マシントンネルが有効化される条件 VPNとZTAを併用する場合の宛先重複 Windowsで複数ユーザがログオンした場合の挙動   Windows版インストールオプション サービスの操作権限を制限する MSIインストーラ実行時に、”...

スループット Primary/Secondaryの優先順位 ルーティング BGP Peer IP 同一経路の広報 MTU 参考情報   スループット IPsecトンネルの1接続あたりの最大スループットは1Gbps (上り下り合計) です。 通信量の多いデータセンターなどの拠点を接続する場合に、スループットが不足する場合にはECMPを用いてトンネルを重畳化し、トラフィックをロードバランスすることにより、スループットを確保します。完全な冗長性を確保するため、Primary/Secondaryのト...

はじめに 前提条件 トポロジ 設定例 Secure Access - Network Tunnel Group R1 R2 R3 動作確認 Secure Access R1 R2 参考資料   はじめに 本ドキュメントでは、Cisco Secure AccessのNetwork tunnel groupに接続する、ユーザ (CPE) 側ルータの機器冗長を構成するための設定例を紹介します。   前提条件 本記事は2025年3月3日時点のSecure Access Dashboardの動作を前...

はじめに CLIからのFMC管理IPアドレスの変更方法 GUIからのFMC管理IPアドレスの変更方法 参考情報   はじめに 本ドキュメントでは FMC (旧名: FireSIGHT) の管理IPアドレス変更方法について紹介します。本ドキュメントは、FMC virtualの バージョン 6.6.0を利用し確認、作成しております。   CLIからのFMC管理IPアドレスの変更方法 FMCにコンソール経由などでCLIアクセスし expertモードに入った後、以下コマンドを実行します。 sudo ...