質問 1. SD-WAN のライセンスによって、本日ご紹介いただいたセキュリティ機能の違いはありますか？ある場合には内容を教えてください。
はい。ライセンスの種類によって、実装されるセキュリティ機能に違いがあります。SD-WANのライセンスでは、Cisco DNA Essentials、Cisco DNA Advantage、Cisco DNA Premier の 3 つがあります。Cisco DNA Essentials には、Enterprise FW などの基本的なセキュリティ機能が含まれています。本日ご紹介した、URL フィルタリングや AMP などの高度なセキュリティ機能は Cisco DNA Advantage で利用可能になります。Cisco DNA Premier では、それらに加えて、Umbrella SIG のライセンスが含まれていたり、マルウェア検知用のSandbox 機能などが利用できます。詳細については、下記の機能マトリックスをご覧ください。
Cisco DNA Software SD-WAN and Routing Matrices

質問 2. Umbrella との連携や 3rd パーティのクラウドセキュリティ製品との連携は ライセンスによる制限がありますか？
Umbrella や 3rd パーティのクラウドセキュリティ製品との連携については、Cisco DNA Essentials （一番お手頃なライセンスです）にて実施可能です。Cisco DNA Essentials で Umberlla 連携の際には別途 Umbrella 側のライセンスの購入が必要です。Cisco DNA Premier を購入した場合は、そのまま Umbrella 側 の SIG Essential ライセンスもバンドルされるため、新たに Umbrella 側のライセンスの購入なく、Umbrella 連携の利用が可能です。

質問 3.  Umbrella には 数種類のポリシーがあるが、それらの処理順序は決められているか？スライドの中に番号が振ってある図があったがあの処理順序であっているか？
ご認識のとおり、ポリシーのご説明の際に図に記載しておりました順番で、ポリシーの設定内容をなめていく仕様となっています。今回のような、SD-WAN での IPSecトンネル接続で利用するケースの場合には、
① DNSポリシー
② CDFW(L3/L4 L7 ファイアウォールの制御)
③ SWG のポリシー

質問 4.  DNS ポリシー内や SWG 内で動作するポリシー内でも複数の機能がある。例えばブラックリストやアプリケーションフィルタなどです。これらの処理順序も決まっている場合には教えてほしいです。
個々のポリシー機能内でどのコンポーネントが優先して検査が行われるかについては、公式には公開されていませんが、実際の動作を通してどうなっているか検証をしたコミュニティ記事の情報がありましたので URL を共有します。口頭で補足すると下記のようになります。1 つの DNS ポリシーの中で、接続先リスト、コンテンツカテゴリ、アプリケーション設定、セキュリティ設定を行った際の検査の優先順位は以下のとおりです。
① 接続先リストまたはアプリケーション設定の許可
② セキュリティ設定のブロック
③ 接続先リストのブロック
④ コンテンツカテゴリのブロック
⑤ アプリケーション設定のブロック
SWG の WEB ポリシーの場合には下記になります。
① セキュリティ設定のブロック
② ルールセットルールの上位から順に検査し、合致した許可またはブロック。どちらにも合致しない場合は次の検査へ
③ ファイルの種類のコントロールのブロック
④ ファイル分析・テナントコントロールのブロック
ご参考：Umbrella: ポリシーコンポーネントの優先順位について 

質問 5. cEdge と Umbrella 間で IPsec VPN 確立後、端末側で自身が送信した Web トラフィックが Umbrella を経由しているか確認する方法はありますか？
端末の Web ブラウザで、以下の URL にアクセスすることで、端末のトラフィックが SWG を経由しているか確認可能です。
policy-debug.checkumbrella.com
Troubleshooting Umbrella Secure Web Gateway: Policy Debug and Diagnostic Tests 

質問 6. cEdge と Umbrella 間で複数の IPsec VPN を確立している状況で、最も通信品質のよい IPsec VPN に優先的にトラフィックを転送することは可能でしょうか。
SD-WAN のバージョン 20.6.1/17.6.1.a から、SIG のトンネル上でも、Cloud OnRamp for SaaS を用いて、MS365 などのSaaS サービスに対して HTTP Probe を送信して、通信品質を測定し、最も品質の良い SIG トンネルにトラフィックを転送することが可能です。
Cisco Catalyst SD-WAN Cloud OnRamp Configuration Guide, Cisco IOS XE Catalyst SD-WAN Release 17.x

質問 7. MS 365 のTenant Control の解説で、企業アカウントへのアクセスを制御できるとおっしゃっておりましたが、
個人アカウントへのアクセスを禁止することは可能でしょうか。
Block Personal Microsoft 365 Account Access と呼ばれる機能を有効化することで、個人の MS 365 アカウントへのアクセスを一律にブロックすることが可能です。
ご参考：Umbrella: Microsoft 365 のテナント制御 (コントロール) について 

質問 8. Umbrella 向けの IPsec VPN がすべてダウンした場合、cEdge はインターネット宛のパケットをどうしますか？
Data Policy の SIG アクションで「Fallback to Routing」オプションが有効な場合、cEdge は SIG トンネル向けのトラフィックを別の経路に迂回可能です。「Fallback to Routing」オプションが無効な場合、cEdge は SIG トンネル向けのトラフィックを破棄します。
ご参考：Configure Traffic Redirection to SIG with Data Policy: Fallback to Routing

質問 9. URL フィルタリングの際にどの IP アドレスから接続を試みてたなどの情報は確認可能でしょうか？
Umbrella では Activity Search で確認可能になります。vManage では現在 GUI 上で URL Filtering で通信したセッションの詳細の確認は不可能になりますが、Alert 機能を有効にすることで、URL Filtering で通信をブロックした際に、外部にSyslogメッセージを飛ばす事が可能になります。こちらの Syslog メッセージの通信の送信元  IPアドレスなどの情報が含まれています。
以下は Cisco SD-WAN の URL Filtering の Alert 機能有効時に送信された Syslog メッセージのパケットキャプチャになります。 

質問 10. インターネット接続のない環境で使用できるセキュリティ機能はありますか？
ZBFW、IPS、TLS/SSL Decryptionは、インターネット接続のない環境でも利用可能です。IPS を使用する場合は、以下のサイトから Signature を手動でダウンロードし、vManage に Upload する必要があります。
ご参考：4451-X Integrated Services Router 

質問 11. umbrella への接続先ですが、国内ですと東京以外はございますでしょうか？国外には接続したくないというお客様もいると想定されるため。東京プライマリ、大阪セカンダリみたいな形になると想定しています。その他はございますでしょうか。また、国内セカンダリの有無問わず、今後接続先が増える予定はございますでしょうか。
Umbrella の SWG と CDFW 対応DC (Umbrella 単体利用) の場合には Tokyo 2 拠点 Osaka 1 拠点、IPSec の接続先として利用する場合には Tokyo 1 拠点のみとなります。
■ Cisco Umbrellaへのトンネル経由の接続
https://docs.umbrella.com/umbrella-user-guide/docs/cisco-umbrella-data-centers
■ SWGデータセンター
https://docs.umbrella.com/umbrella-user-guide/docs/swg-datacenters

質問 12. パケットを転送する場合、SD-WAN SIG では cEdge と Umbrella 間で IPsec VPN を確立すると思いますが、SD-WAN DNS Security では、cEdge と Umbrella 間で IPsec VPN は確立しないのでしょうか？
SD-WAN の DNS Security では、cEdge と Umbrella 間では IPsec VPN は確立しませんが、DNSCrypto と呼ばれる機能を用いて、DNS パケットの中身を暗号化して転送可能です。また、現在のUmbrellaでは、以下の条件を満たせば、IPsec VPN 経由で転送された DNS パケットに対して、DNS Policy を適用可能です。
・DNS Policy の Identity に IPsec VPN を確立しているルータのグローバル IP アドレスを指定
・DNS パケットの宛先 IP アドレスが 208.67.220.220、または、208.67.222.222

質問 13. デザインガイドで、セキュリティ機能を使用する際に、cedge を冗長化している拠点では、ルーティングの制御等でトラフィックを片側に寄せるといった記載があったと思いますが、必須でしょうか？ネットワーク構成上（障害が起こった際等）、上り/下りのトラフィックが異なる cedge を通ってしまうことも起こりうると思うのですが、問題ないでしょうか？
行きと戻りのパケットの経路が異なる場合、セッション管理や IPS・マルウェアチェックが正しく動作できなくなるため、トラフィックを片側に寄せるのは必須になります。

質問 14. Cisco SD-WAN は CLI（設定や確認コマンド）が使えるのが強味でもありますが、Umbrella 連携についても CLI（設定や確認コマンド）可能ですか？
可能ですが、設定量が多いため、Feature Template や Policy Group 経由で Umbrella 関連の設定を行うことを推奨いたします。

質問 15. Umbrella の役目は大雑把に言えばクラウドプロキシと考えればよいですか？
DNS Security の場合は DNS の宛先が健全か評価の確認先になります。 SIG をご利用時はクラウドプロキシに近い動作となりご認識のとおりです。

質問 16. cEdge 単体、Umbrella の URL フィルタリングは、ホワイトリスト形式の登録も可能でしょうか？
cEdge、Umbrella 共に、ホワイトリスト、ブラックリストの両方をサポートしています。

質問 17. cEdge ⇔ Umbrella 間でも OMP で情報をやり取りして、IPsec VPN を確立しているのでしょうか。
cEdge ⇔ Umbrella間では、OMPは動作しておりません。cEdge ⇔ Umbrella間でのIPsec VPNの確立には、Auto-Tunnelと呼ばれるメカニズムを使用します。
ご参考：SD-WAN Auto Tunneling FAQ
大まかな流れは以下になります。
① vManageがcEdgeに対して、Umbrella向けのIPsec VPNの設定を投入
② vManageはcEdgeに対して、UmbrellaのAPI Keyの設定を投入
③ cEdgeがUmbrellaにAPI経由で「cEdge向けのIPsec VPN」の設定を投入
④ cEdgeとUmbrella間でIPsec VPNが確立

質問 18. 最初の説明で cEdge の FW 機能においては、ステートレス（片方向づつ）と言う説明がありましたが、ステートレスも可能という意味でステートフル（一般的な FW の基本）も可能ですか？
アクションが Inspect の場合は、セッション情報が生成され、戻りのトラフィックが自動的に許可されます（ステートフル）。一方、アクションが Pass の場合は、セッション情報は生成されず、戻りのトラフィックは自動的に許可されません（ステートレス）。

質問 19. umbrella 側の負荷状況を確認する方法はありますでしょうか。
Umbrella のデータセンターの運用/障害状況に関しましては、以下のサイトから確認可能です。
Cloud Security Service Status

公開の難しい情報などは掲載を見送らせていただくこともございます。ご容赦いただけますと幸いです。
当オンラインセミナーのご参加、誠にありがとうございました。 またのご参加をお待ちしております。