Comments
Description
Transcript
2 - Cisco
本書の読み方 レッスン 4 Cisco ASAを 設置するには 設置と接続 Cisco ASAを実際に使えるように設定しま しょう。まずはじめは、設定用のパソコン を接続し、ウィザードによって初期設定を 実行します。 Cisco ASAの接続 2 セキュリティ警告が 表示されたら ラウンチャーを表示する インストーラーが 表示された [Next]を クリック 初期設定の途中でセキュリティ警告が 表示されることがあります。接続して も問題はないので、 [続行]をクリック して設定を続けましょう。 4 設置と接続 設定パソコンの環境に注意 Cisco ASAでは、初期設定時と運用時で接続方法が異なります。初 期設定時は設定用パソコンのみをGigabit Ethernet 1/2に接続し ます。初期設定のウィザードが終了したら、FirePOWERやスイッ Winodws 7/8.1に対応しています。ま できる次世代セキュリティ対策 た、対応するバージョンのJavaがパ [続行]を クリック ソコンにイストールされている必要が チを接続しましょう。 あります。なお、Windows 10で動作 ●初期設定時の接続 ポート1をイ ンターネット /WANに接続 「Cisco ASDM」は、2016年2月現在、 しない場合については、以下のURLを ◆ASA 5506-X ポート2を設定用 パ ソ コ ン のLAN ポートに接続 参照してください。 ▼Windows 10での利用について https://supportforums.cisco. com/ja/document/12739296 3 FirePOWER接続がエラーに なっても問題ない Cisco ASDMをインストールする ラウンチャーが 起動した ●運用時の接続 ポート1をイ ンターネット /WANに接続 ❶「192.168.1.1」 と入力 GE MEGMTポー トをスイッチの 「2」に接続 版 Cisco ASA ポート2をスイッ チの 「1」 に接続 ◆スイッチ ❷[OK]を クリック スイッチの「3」を 管理用パソコンの LANポートに接続 手順3の下の画面は、Cisco ASAに搭 載されているFirePOWERモジュール (IPSやAMPなどの機能)に接続でき ないというエラーです。初期設定用の 接続では、ケーブルがFirePOWERの 管理ポートに接続されていないために エラーが表示されます。初期設定では、 つ な が ら な く て も 問 題 な い の で、 [Cancel]ボタンをクリックして設定 を続行しましょう。 接続エラーを知ら せるダイアログボ ックスが表示され た 「Cisco ASDM」は英語版 設定用ツールのインストールと起動 Cisco ASAは「Cisco ASDM」と呼ばれる設定ツールによって設定 Cisco ASDMは、2016年2月時点では します。設定用パソコンにインストールして、起動しておきましょう。 英語版のみが提供されています。設定 ❸[Cancel]を クリック 画面の表記などはすべて英語になりま 1 すが、機能名が中心となるため、英語 インストーラーを起動する 管理用パソコンでブラ ウザーを起動しておく に不慣れな場合でも問題なく設定でき ます。 「https://192.168.1.1」に アクセスしておくしておく ❶[Install ASDM Launcher]をクリ ック ❷[実行]を クリック 4 Cisco ASDMがインストールされる Cisco ASDMをイ ンストールできた Cisco ASDM が起動した 間違った場合は? 設定環境を整えよう Cisco ASAの設定には、設定用の接続 が必要なほか、Cisco ASDMをパソコ 手順1でCisco ASDMのダウンロード ンにインストールする必要があります。 画面が表示されないときは、接続が正 複雑に思えるかもしれませんが、初回 しいかを確認します。それでも接続で のみに必要な作業です。環境をきちん きないときは、パソコンのIPアドレス と整えないと、初期設定を実行するこ が「192.168.1.XX」の範囲に設定さ とができないので、確実に環境を整え れているかどうかを確認しましょう。 ておきましょう。 10 11 ヒント レッスンに関連した、さまざまな機能を 紹介したり、一歩進んだ使いこなしのテ クニックまで解説します。 ※ここで紹介している紙面はイメージです。本書の内容と一部異なる場合があります。 ●用語の使い方 本文中では、 「Cisco ASA」 、 または「Cisco ASAシリーズ」 「 、Cisco ASA with FirePOWERシリーズ」のことを「Cisco ASA」と記述しています。また、本文中で使用している用語は、基本的に実際の画面に表示される名称に則ってい ます。 ●本書の前提 本書は2016年3月時点の「Cisco ASAシリーズ」に基づいて内容を構成しています。また、 「Windows 8.1 Update」 に「Internet Explorer 11」や「Cisco ASDM」がインストールされているパソコンで、インターネットに常時接続 されている環境を前提に画面を再現しています。 「できる」 「できるシリーズ」は、株式会社インプレスの登録商標です。 Cisco、Cisco Systems、およびCisco Systems ロゴは、Cisco Systems, Inc. またはその関連会社の米国およびその他の一定の国における登 録商標または商標です。 その他、本書に記載されている会社名、製品名、サービス名は、一般に各開発メーカーおよびサービス提供元の登録商標または商標です。 なお、本文中には™および®マークは明記していません。 Copyright © 2016 Masashi Shimizu and Impress Corporation. All rights reserved. 本書の内容はすべて、著作権法によって保護されています。著者および発行者の許可を得ず、転載、複写、複製等の利用はでき ません。 まえがき 標的型攻撃を代表とするセキュリティ被害が深刻な問題として取り上げられるようになってきま した。巧妙なメールでマルウェアを送り込み、重要な情報をひっそりと盗み出すその手口は、パソ コン用セキュリティ対策ソフトを中心とした今までの対策では対抗することが難しいとされ、実際 に数多くの企業がその対策と被害に苦しんでいます。 このような状況の中、その対策に本腰を入れ始めたのが世界的なネットワーク機器ベンダーと して知られるシスコです。世界有数のセキュリティベンダーでもある同社が、これまで大企業向け 製品で培ってきたセキュリティ技術を中小の現場でも導入しやすい製品として市場に投入したこと で、最新のセキュリティ被害に悩む多くの企業がその恩恵を受けられるようになりました。 本書は、このようなシスコのセキュリティ対策製品の中でも中心的な役割を担う「Cisco ASAシ リーズ」について解説した小冊子です。最新のセキュリティ被害の状況をわかりやすく紹介したう えで、その対策として統合セキュリティアプライアンスである「Cisco ASA」がどのような役割を 果たすのか、実際にどのように導入すればいいのかを解説しています。本書を手に取ることが、セ キュリティ対策に悩んでいる企業経営者やIT担当者の助けになれば幸いです。 2016年3月 清水理史 目 次 できる 次世代セキュリティ対策 Cisco ASA版 ● セキュリティ被害について知ろう <ネットワーク・セキュリティの被害> ······················ 2 ❶ ❷ セキュリティ対策について知ろう <ネットワーク・セキュリティの対策> ······················ 4 ● ❸ Cisco ASAでネットワークを保護しよう <Cisco ASAでできること> ······················· 6 ● ❹ Cisco ASAを設置するには <設置と接続> ······························································ 10 ● ❺ Cisco ASAを設定するには <初期設定> ································································· 12 ● ❻ トラフィックやアプリの可視化・制御を設定するには <トラフィック、AVC> ····· 16 ● ❼ 侵入防御やマルウェア防御を設定するには <IPS、AMP> ····································· 20 ● レッスン 1 セキュリティ被害に ついて知ろう ネットワーク・セキュリティの被害 企業を狙ったセキュリティ被害が大きく取 り上げられるようになってきました。どの ような被害が、どのような手口によって発 生しているのかを見てみましょう。 変化しつつあるセキュリティ被害 インターネット・セキュリティ とネットワーク・セキュリティ これまでのセキュリティ被害は、ウイルスなどの不正なプログラム によってパソコンを誤動作させたりするものが多く、世間からの注 目を集めるために不特定多数を狙うものがほとんどでした。しかし、 できる次世代セキュリティ対策 最近では、犯罪行為としての側面がより強い「標的型攻撃」と呼ば れる手口が増えてきました。特定の企業にターゲットを絞り込み、 これまでのセキュリティ対策は、Web サイトからダウンロードしたファイル やメールなどから感染するウイルスに 対抗するための「インターネット・セ キュリティ」が主流でした。しかし、 最新の手口では、メールなどでパソコ 金銭を要求するに値する情報を盗み出すなど、より深刻な被害を与 ンをウイルスに感染させた後、さまざ えるものが増えつつあります。 まな指令を外部から感染したパソコン に送って情報を盗み取るなどの手口が あります。このため、インターネット と企業の出入り口で通信を監視・遮断 する「ネットワーク・セキュリティ」 も重要になっています。パソコンにセ キュリティ対策ソフトをインストール するといった従来型の対策だけでな く、ネットワークを監視する新しい対 版 Cisco ASA 策が必要不可欠です。 求められる マイナンバー対策 2016年1月から、社会保障や税の一部 の手続きなどでマイナンバーの運用が 企業の機密情報や社員情報、取 引先の情報入手など、特定の目 的を持ってサイバー攻撃を行う 開始されました。企業には、社員のマ イナンバーを安全に保管する義務が発 生し、情報漏洩などの際には法による 罰則も定められています。このため、 悪質化するセキュリティ被害から大切 官公庁や公共サー ビ ス、 企 業 な ど を 特定して攻撃する 2 な情報を守ることは、もはや企業規模 の大小を問わず不可欠となっています。 標的型攻撃の手口を知る こんなメールが使われる 標的型攻撃は、文字通り、特定の企業を狙ったサイバー攻撃です。 業務メールなどを装って添付ファイルなどから攻撃用プログラム (マ ルウェア)をパソコンに感染させ、ファイアウォールに再侵入する ためのバックドアを開けます。その後、直接侵入を試みたり、 「C&C サーバー」経由で次の攻撃をしかけます。こうして、より深い階層 ・Webで公開されている組織名を参照 して、その組織を送信元とする ・社内でよくある業務連絡メールを装う イルではなく、 リンクを使ってマルウェ ことで、重要なIDやパスワードを入手し、機密情報を盗み出します。 アを仕込む また、盗み出す際に、改ざんWebサイトなどを経由させることもあ ・新規顧客や取引先の新規担当者など ります。なぜなら、 後で破壊することで追跡を難しくできるからです。 1 ・チェックをすり抜けるために添付ファ ネットワーク・セキュリティの被害 にあるサーバーを攻撃したり、通信やメールの内容などを盗み見る 標的型攻撃では、以下のように非常に 巧妙なメールを使って侵入を試みます。 を装って数回メールをやり取りしてか ら不正プログラムを送る ●サイバー攻撃を仕掛ける C&Cサーバーって何? C&Cは、Command and Controlの略 で、侵入したマルウェアに命令を出す ためのサーバーのことです。マルウェ アに特定の動作を指示したり、複数の マルウェアを一斉に動作させて特定の メールの添付ファイルなどにマ ルウェアを仕込み送りつける 添付ファイルを開いたりリンク 先を開くとパソコンが感染する サーバーを攻撃する際に使われます。 バックドアってなに? ●バックドアを作成する バックドアは、 「裏口」のことです。通 常、企業のネットワークでは、インター ネット側からの通信が内部のネット ワークに通過しないように、ファイア ウォールなどで通信が遮断されていま すが、ここに不正な方法で穴を開け、 外部から通信可能な状態にします。 次回侵入のためのバッ クドアを作成する 悪質化する手口で 被害も深刻に ●バックドアから侵入する 企業が持つ「情報」と引き換えに金銭 を要求したり、最近では、非常に巧妙 な手口で企業から重要な情報を盗み出 す深刻なセキュリティ被害が増えてい ます。被害に遭えば、情報流出による 自社の強みや社会的信用を失うことに なりかねません。また、大企業を攻撃 する足がかりとして小規模な取引先や 関連企業を先に攻撃する場合もありま 重要なデータなどを 盗み出す バックドアが作成されると、IDや パスワードがなくても入り込める す。今や標的型攻撃は、すべての企業 にとって対策が不可欠です。 3 レッスン 2 セキュリティ対策に ついて知ろう ネットワーク・セキュリティの対策 企業によっては、すでにセキュリティ対策 をしている場合もあるでしょう。しかし、 それだけでは十分とは言えません。標的 型攻撃に備えた対策を整えましょう。 従来のセキュリティ対策だけでは不十分 対応が難しいゼロデイ攻撃 企業によってはファイアウォールを導入している場合もあるでしょ う。ただし、標的型攻撃では、メールやWebなどのファイアウォー WindowsなどのOSやサーバーソフト ウェアは、リリース後に発見された不 できる次世代セキュリティ対策 ルを通過可能な通信が利用されるため、それだけでは防ぐことが困 具合を修正するために更新プログラム 難です。通常、内部から外部への通信も許可されるため、この通信 を配信しています。このような更新プ がバックドアやC&Cサーバーとの通信として使われることもありま ログラムが提供される前に、発見され た不具合を悪用してシステムを攻撃す す。もちろん、これらの通信を遮断することもできますが、ルール るのが「ゼロデイ攻撃」です。無防備 の設定が複雑で手間もかかります。セキュリティ対策ソフトを導入 な状態で攻撃を受けるため、非常に危 することも重要ですが、定義ファイルのアップデートが遅れてゼロ 険な状況と言えます。 デイ攻撃の対象となったり、まだ検知できない未知のマルウェアな どにも対応しきれません。 サーバーやスマートフォンが 未対策の場合もある 版 Cisco ASA パソコンにはセキュリティ対策がイン ストールされている場合でも、社内に あるサーバーやスマートフォン、タブ レットはどうでしょうか? このよう ファイアウォールを導入して いても標的型攻撃を防げない な未対策の機器がある場合は、そこか ら攻撃を受ける可能性があります。個 別の対策だけでは、すべてを網羅する ことは難しいと言えるでしょう。 添付ファイルのチェック ができない ネットワーク上のすべての マルウェアは駆除できない 4 バックドアを作成されてC&C サーバーとの通信に使われる 標的型攻撃を防ぐにはより高度な対策が必要 出口対策が重要 標的型攻撃のような最新の手口に対抗するには、今までとは違う、高 度な対策が必要です。具体的には、以下のような複数のセキュリティ 標的型攻撃の手口では、内部のパソコ ンをマルウェアに感染させた後、外部 対策機能をすべて搭載しているCisco ASAシリーズのようなセキュ のC&Cサーバーと通信を確立します。 リティアプライアンスをネットワークに設置することが重要です。 このため、外部から内部への通信を チェックするだけでなく、内部から外 ●直接の侵入を防ぐ 2 従来のファイアウォールに加えて、IPS(詳しくはレッスン❸参照) 対策が重要になります。このような内 と呼ばれる機能によって、インターネットから入ってくる通信を 部から外部への通信に対して施すセ チェックし、不正な攻撃を自動的に検知して遮断 ●添付ファイルのチェック ネットワーク・セキュリティの対策 部への通信をチェックするIPSなどの キュリティ対策を一般的に「出口対策」 と呼びます。 メールの添付ファイルを自動的にチェックし、マルウェアを自動的 に駆除。標的型攻撃の第一歩を阻止 ●不審なWebサイトへのアクセスを遮断 URLをチェックして不審なWebサイトへのアクセスを遮断。標的型 攻撃のメールにマルウェアダウンロード用のURLがあった場合で 世界中のセキュリティ情報を 収集 シスコでは、世界中のシスコ製品から 送られてくる最新の脅威情報を収集・ も、そのアクセスを防止 分 析 す る「Cisco CSI(Collective ●ネットワーク全体のマルウェア対策 Security Intelligence) 」というセキュ パソコンだけでなく、サーバーやスマートフォンなど、ネットワー リティ基盤を構築しています。世界中 の何億もの通信を600名以上の専門家 クにつながるすべての機器のマルウェア対策が可能 が常時解析しているため、最新の攻撃 ●内部からの通信もチェック にも迅速に対応可能です。 バックドアを使った不正な通信や、マルウェアに感染した端末が内 部から勝手に送信する情報もIPSによって遮断 添付ファイルを自動的に チェックして駆除する 従来型セキュリティ対策だけで は守り切れない 最新のセキュリティ被害から身を守る ネットワーク上でマル ウェアを駆除する には、マルウェアのダウンロードやメー ルの添付ファイルをチェックするイン ターネット・セキュリティと、ネット ワークを流れる通信を監視して不正な アクセスを遮断するネットワーク・セ キュリティの2つの対策を組み合わせ、 多段的な対策をすることが重要です。 しかし、単に多段的な対策をするだけ でなく、それぞれの機能が最新の攻撃 に 対 応 できるかど うか も 重 要 で す。 Cisco ASAのような高度な機能を備え バックドアを使った不正な 通信を遮断する たセキュリティアプライアンスの導入 を検討しましょう。 5 レッスン 3 Cisco ASAでネット ワークを保護しよう Cisco ASAでできること Cisco ASAを使うと、どうしてネットワー クを保護できるのでしょうか? ここで は、Cisco ASAの特長と搭載されている 機能の詳細を解説します。 Cisco ASAの特長 Snort って何? シスコから発売されているASA with FirePOWERシリーズ(以下 Cisco ASA)は、 IPSやアンチウイルス/マルウェア機能、 次世代ファ Snortは、オープンソースで開発が進め られているIPS(Intrusion Prevention できる次世代セキュリティ対策 イアウォールを備えた統合型セキュリティアプライアンスです。複 System:侵入防止機能)です。検知 数の機能で多段的に対策することで、標的型攻撃などの高度な最新 できる通信のパターン(シグネチャ) の攻撃を防ぐことができます。数あるセキュリティアプライアンス が豊富で、さまざまな通信プロトコル に対応しており、開発も容易なことか のなかでも、Cisco ASAが高く評価されている理由は、ネットワー ら、さまざまなセキュリティ機器で採 ク機器メーカーとして長年培ってきた信頼性の高さと技術力の高 用されています。 さ、そして企業が必要とする機能を適切に備えている点にあります。 業界標準のIPS機能で攻撃を検知 「Snort(スノート) 」と呼ばれる業界標準のエンジンをIPS機能に採用。 シスコが配信する最新の推奨ルールセットを自動で適用することで、常に 最新の脅威に対応できる。 未知のマルウェアも 検知できる オプションとして提供されている専用 集中管理・解析サーバー(FireSIGHT 版 Cisco ASA Management Center)を利用すると、 未知のマルウェアを検知することがで クラウド連携のマルウェア対策 きます。たとえば、 Webアクセスやメー ル受信時に、一般的なファイルとは異 シスコの脅威対策チームが世界中から収集したビッグデータを元に更新さ れたクラウドデータベースを使用するため、最新のマルウェアに対応可能。 シグネチャレス検知で高速な処理が可能なうえ、未知のマルウェアにも対 応可能。 なる疑わしいファイルを発見すると、 サンドボックスと呼ばれる解析用の仮 想的な閉鎖実行環境にファイルを転送 し、そこでファイルを実行して動作を 解析します。また、過去に検知した未 アプリケーション利用やWebサイト閲覧の可視化と制限 海外製品では判断できないこともある国内のWebサイトにも対応。シス コが分類した豊富かつ的確なカテゴリーから、企業ポリシーに応じて利用 可能なWebサイトやアプリを制御できる。 知のファイルを記憶し、後からマル ウェアであることがわかったときに通 知することができます。さらに、マル ウェアの感染状況や拡散状況をレポー トとして表示できるため、感染時の迅 速な対応にも効果的です。 リアルタイムモニターとレポーティング リアルタイムのモニターに加えて、豊富なレポートを生成可能。報告用に 利用アプリケーションや攻撃/マルウェア検知の統計情報を作成したり、 法令対策としてイベントをsyslog転送して長期保存も可能。 6 IPS:双方向の通信をチェックして遮断 IDSとは何が違うの? IPS(Intrusion Prevention System:侵入防止機能)は、ネット ワークを通過する通信をリアルタイムにチェックし、そのパターン を解析して、警告や遮断などの特定の処理を実行する機能です。た とえば、外部からの攻撃としてよく知られる方法の通信を検知した 場合に、その通信を自動的に遮断します。また、ネットワーク内部 がありますが、IDSでは不正な通信を 検知することしかできません。このた め、 管 理 者 が ロ グ な ど を 定 期 的 に 3 チェックし、手動で不正な通信を遮断 する必要があります。一方、IPSでは の通信目的で、内部から外部に対して不正に行われる通信も検知し 検知だけでなく、遮断まで自動的に実 て遮断できます。 行できます。 Cisco ASA の機器がマルウェアに感染した場合に、情報漏洩やC&Cサーバーと IPSと似た機能として、IDS(Intrusion Detection System:侵入検知機能) で で き る こ と IPSで内部から外部への不正 通信も検知して遮断できる AMP:Webやメールのマルウェアを駆除 スマートフォンやタブレット のマルウェア対策にも有効 AMP(Advanced Malware Protection)は、Cisco ASAに組み 込まれたマルウェア対策機能です。Webサイトからのダウンロード やメールの受信時に、ファイル(添付ファイル)を自動的にチェッ クし、マルウェアであった場合に警告、排除することができます。 パソコンにインストールするセキュリティ対策ソフトと異なり、ネッ トワーク上で危険を排除できるため、機器にマルウェアがたどり着 AMPは、ネットワーク上でマルウェア を検知・駆除するため、Cisco ASAを 通して通信するすべての機器に対して 機能します。パソコンだけでなく、ス マートフォンやタブレット、サーバーな ど、さまざまな機器のセキュリティ対策 として効果的です。 く前にネットワーク上で遮断できます。 AMPでWebやメー ルのマルウェアを ネットワーク上で 駆除する 次のページに続く 7 次世代ファイアウォール:不正なWeb・アプリを遮断 企業に合わせて ポリシーを設定できる 次世代ファイアウォールは、従来のファイアウォールの機能を発展 させたセキュリティ機能です。従来のファイアウォールでは、通信 に使うポート番号(たとえばWebアクセスならポート80)を個別 に指定して通信可否を設定する必要がありましたが、次世代ファイ アウォールではWebサイトのURLやアプリを指定して通信の可否を 設定できます。マルウェアなどの感染経路として使われる可能性が 次世代ファイアウォールでは、 「アル コール」や「オークション」など、カ テゴリーごとにアクセスを禁止する Webサイトを指定できます。どのWeb サイトへのアクセスを禁止するかは、 企業のポリシーや業務内容によって異 なるため、Cisco ASAの設定によって、 多いWebサイトへのアクセスをブロックできるほか、業務と関係の 自由にカスタマイズ可能です。カテゴ ないWebサイトやアプリの利用も禁止できます。 リーだけでなく、評価でも設定できる ため、同じアルコールのカテゴリーで できる次世代セキュリティ対策 も危険性の高いWebサイトだけを遮断 することもできます。 次世代ファイアウォー ル で 不 審Webサ イ ト やアプリを禁止する 版 Cisco ASA Cisco ASAのラインアップ Cisco ASAには、用途や性能の違いによっていくつかのラインナッ プがあります。なかでも中小規模の環境向けの製品となるCisco ASA5500-Xシリーズには、以下の4つのモデルがあります。 8 ◆5506-X コンパクトなサイズで設置場所を選 ばないデスクトップタイプのモデル ◆5506W-X 5506-Xをベースに無線LANアク セスポイント機能を搭載したモデル ◆5506H-X 5506-Xをベースに工場などでの利 用にも対応できる高耐久性を実現し たモデル ◆5508-X(上)/5516-X(下) より大規模な環境にも対応可能な、 ラックマウントに対応した高性能モ デル 使う機能ごとに選択できるライセンス ライセンスが切れたら どうなるの? Cisco ASAのライセンスは、ユーザー数ごとではなく、利用する機 能ごとに提供されています。URL(次世代ファイアウォール) 、 ライセンスを適用しなかったり、適用 したライセンスの 期 限 が 切 れると、 IPS、AMPのそれぞの機能の組み合わせによって5種類のライセン Cisco ASAの一部の機能が停止しま スが用意されています。必要な機能のライセンスを必要な年数分購 す。禁止したURLへのアクセスができ るようになってしまったり、マルウェ 入しましょう。 3 アがチェックされずに通過したりする ●Cisco ASAのライセンス 「TAMC」や「AMP」等を 指定する Cisco ASA Cisco ASAのアプライアンスの種類を 指定する(例:5506H、5516など) ため、外部からの攻撃に対して無防備 な状態になってしまいます。 L-ASA-55XX-XX-XYR で で き る こ と 期間(1年または3年)を 指定する Cisco ASA導入の流れを確認 必要な機能を好みの順番で 設定できる Cisco ASA導入の流れを確認しておきましょう。機器の接続だけで なく、初期設定やライセンスの適用、IPSやAMP、次世代ファイア ウォールなどの各機能の有効化といった設定が必要になります。 ここで紹介した設定の流れは、あくま でも一例に過ぎません。接続や初期設 定、ライセンスの登録、基本設定など は、はじめに実行しておくことをおす ❶Cisco ASAの接続 すめしますが、そのほかの機能につい ては必要な機能だけを利用したり、異 なる順番で設定してもかまいません。 ❷Cisco ASAの初期設定 利用するライセンスの種類によって も、使える機能が異なるので、柔軟に 対応しましょう。 ❸ライセンス適用 ❹基本設定 Cisco ASAを導入する 準備を整えよう ❺アプリケーション可視化・制御 Cisco ASAは、IPSやAMP、次世代ファ イアウォールといった複数の機能に ❻IPSの設定 よってネットワークを保護する機器で す。機能ごとに役割が異なるため、自 社に必要な機能を確認し、その機能を ❼AMPの設定 利用するための設定をしておきましょ う。もちろん、ライセンスも必要です。 Cisco ASAのライセンスは、ユーザー ❽URLフィルタ 数ではなく、利用する機能ごとに設定 されているため、企業が成長し、ユー ザー数が増えたとしても費用的な負担 ❾レポートの参照 が増すことはありません。 9 レッスン 4 Cisco ASAを 設置するには 設置と接続 Cisco ASAを実際に使えるように設定しま しょう。まずはじめは、設定用のパソコン を接続し、ウィザードによって初期設定を 実行します。 Cisco ASAの接続 設定パソコンの環境に注意 Cisco ASAでは、初期設定時と運用時で接続方法が異なります。初 期設定時は設定用パソコンのみをGigabit Ethernet 1/2に接続し 「Cisco ASDM」は、2016年2月現在、 Winodws 7/8.1に対応しています。ま できる次世代セキュリティ対策 ます。初期設定のウィザードが終了したら、FirePOWERやスイッ た、対応するバージョンのJavaがパ チを接続しましょう。 ソコンにイストールされている必要が ●初期設定時の接続 しない場合については、以下のURLを ポート1をイ ンターネット /WANに接続 あります。なお、Windows 10で動作 ◆ASA 5506-X ポート2を設定用 パ ソ コ ン のLAN ポートに接続 参照してください。 ▼Windows 10での利用について https://supportforums.cisco. com/ja/document/12739296 ●運用時の接続 ポート1をイ ンターネット /WANに接続 GE MEGMTポー トをスイッチの 「2」に接続 版 Cisco ASA ポート2をスイッ チの「1」に接続 ◆スイッチ スイッチの「3」を 管理用パソコンの LANポートに接続 「Cisco ASDM」は英語版 設定用ツールのインストールと起動 Cisco ASAは「Cisco ASDM」と呼ばれる設定ツールによって設定 Cisco ASDMは、2016年2月時点では します。設定用パソコンにインストールして、起動しておきましょう。 英語版のみが提供されています。設定 画面の表記などはすべて英語になりま 1 すが、機能名が中心となるため、英語 インストーラーを起動する 管理用パソコンでブラ ウザーを起動しておく に不慣れな場合でも問題なく設定でき ます。 「https://192.168.1.1」に アクセスしておくしておく ❶[Install ASDM Launcher]をクリ ック ❷[実行]を クリック 間違った場合は? 手順1でCisco ASDMのダウンロード 画面が表示されないときは、接続が正 しいかを確認します。それでも接続で きないときは、パソコンのIPアドレス が「192.168.1.XX」の範囲に設定さ れているかどうかを確認しましょう。 10 2 セキュリティ警告が 表示されたら ラウンチャーを表示する インストーラーが 表示された [Next]を クリック 初期設定の途中でセキュリティ警告が 表示されることがあります。接続して も問題はないので、 [続行]をクリック して設定を続けましょう。 4 設置と接続 [続行]を クリック 3 FirePOWER接続がエラーに なっても問題ない Cisco ASDMをインストールする ラウンチャーが 起動した ❶「192.168.1.1」 と入力 ❷[OK]を クリック 手順3の下の画面は、Cisco ASAに搭 載されているFirePOWERモジュール (IPSやAMPなどの機能)に接続でき ないというエラーです。初期設定用の 接続では、ケーブルがFirePOWERの 管理ポートに接続されていないために エラーが表示されます。初期設定では、 つ な が ら な く て も 問 題 な い の で、 [Cancel]ボタンをクリックして設定 を続行しましょう。 接続エラーを知ら せるダイアログボ ックスが表示され た ❸[Cancel]を クリック 4 Cisco ASDMがインストールされる Cisco ASDMをイ ンストールできた Cisco ASDM が起動した 設定環境を整えよう Cisco ASAの設定には、設定用の接続 が必要なほか、Cisco ASDMをパソコ ンにインストールする必要があります。 複雑に思えるかもしれませんが、初回 のみに必要な作業です。環境をきちん と整えないと、初期設定を実行するこ とができないので、確実に環境を整え ておきましょう。 11 レッスン 5 Cisco ASAを 設定するには Cisco ASAを自社の環境で使えるように 初期設定していきましょう。ウィザードに 従って設定を進めるだけなので、はじめ てでも簡単に設定できます。 初期設定 1 必要に応じて カスタマイズする [Startup Wizard]を起動する 管理用パソコンでCisco ASDMを起動しておく ❶[Wizards]を クリック ❷[Startup Wizard]を クリック ここでは、シンプルな構成で設定する ために、Cisco ASAのホスト名など、 できる次世代セキュリティ対策 一部の設定は標準値のままで変更して いません。また、IPアドレスなども例 として一般的な値で設定しています。 社内のルールなどがある場合は、それ に 合 わ せ て ホ スト 名 やIPアド レ ス、 DHCPサーバーなどの設定を変更しま しょう。 2 工場出荷時の設定に変更を加える [Startup Wizard] が起動した ❶ここを クリック 手動で設定することもできる Cisco ASAでは、ウィザードを使わず に初期設定をすることもできます。設 版 Cisco ASA 定に慣れている場合は、手順1の画面 で、 [Configuration]ボタンをクリッ ❷[Next]を クリック クして、メニューから設定したい項目 を選んで、各項目を手動で設定しま しょう。 3 ホスト名を設定する ホスト名やドメイ ン名を入力する画 面が表示された ❶ホスト 名を入力 ❷[Next]を クリック [ O u t s i d e I n t e r f a c e Configuration] の画面が表示され たら、[Next]を クリックする 12 間違った場合は? 手順2以降で、ウィザードの選択項目 を間違えたときは、 [Back]ボタンを クリックして、前の項目に戻って値を 修正します。 4 そのほかのインターフェイスを設定する インターフェイス の設定画面が表示 された LAN側のIPアドレスはWAN 側と別の範囲に設定する すでに設置されているインターネット 接 続 用 の ル ー タ ー の 配 下 にCisco ASAを接続する場合は、インターネッ ここではLAN側 のIPアドレスを 変更する ト接続用のルーターがDHCPサーバー ❶[G i g a b i t Ethernet1/2] をクリック 「192.168.1.XX」 「255.255.255.0」 ) 。 5 初期設定 ❷[Edit]を クリック 機能によって配布するIPアドレスが WAN側のIPアドレスになります(例 Cisco ASAのWAN側とLAN側では、 異なる範囲のIPアドレスを設定する必 要 が あ る た め、 上 位 の ル ー タ ー が 「192.168.1.XX」の範囲となる場合は、 手順4のようにLAN側は「192.168.10. XX」など別の範囲を割り当てる必要 があります。どの範囲にするかは、上 位ルーターのアドレスを考慮して決め ましょう。 ❸「192.168.10.1」 と入力 ❹[OK]を クリック 5 スタティックルートは 必要に応じて設定する ルートを設定する ルート設定の画面 が表示された ネットワーク上に複数のルーターが設 こ こ で はDHCP からデフォルトル ートを取得するの で、設定はそのま まにする ティックルートの設定で、どの通信時 定されている場合は、手順5のスタ にどのルーターを経由してインター ネットに接続するのかを指定できま す。インターネット接続用のルーター が1台しかない場合は、特に設定は不 [Next]を クリック 要です。 次のページに続く 13 6 環境に合わせて配布する IPアドレスの範囲を設定する DHCPサーバーを設定する DHCPサーバーの 設定画面が表示さ れた DHCPサーバーで配布するIPアドレス の範囲は、利用する環境によって変更 できます。ここでは、 「192.168.10.5」 ❶「192.168.10.5」 と入力 から「192.168.10.254」まで 配 布し ❷「192.168.10. 254」と入力 当てたい機器用に確保しておくことも ていますが、数を少なくすることで、 サーバーなど固定のIPアドレスを割り できます。 ❸[Next]を クリック できる次世代セキュリティ対策 7 NAT機能利用の設定を行う NAT/PAT機能って何? NAT機能利用の 設定画面が表示 された NAT/PATは、WANポートに割り当て られたIPアドレス、および通信に利用 するポートと、LANポート側に接続さ ❶ここを クリック れた端末のIPアドレス、および通信に 利用するポートを相互に変換する機能 です。インターネットに接続する場合 は、この機能を有効にするのが一般的 ❷ここを クリック です。 版 Cisco ASA ❸[Next]を クリック 8 Cisco ASDM管理IPを設定する IPアドレスの設定 画面が表示された ❶ここを クリック 管理用端末を制限できる ❷[Add]を クリック 手順8の画面では、Cisco ASAの設定 を可能にする端末のIPアドレスの範囲 を指定しています。ここでは、 「192. ❸ここをクリッ クして[HTTPS/ ASDM]を選択 ❹ここをクリック して[inside]を選択 168.10.0」を指定することで、LAN側 のすべての端末から設定を可能にして いますが、この値を変更することで、 特定の端末からのみ設定を可能にする こともできます。 ❺「192.168.10.0」 と入力 ❻「255.255.255. 0」と入力 ❼[OK]をクリック ❽[Next]を クリック 間違った場合は? 初期設定を間違えてしまったときは、 このレッスンの手順をはじめからやり 直すことで、ウィザードをもう一度、 実行することができます。 14 9 管理用のIPアドレスとGatewayを設定する 管理用のIPアドレ ス とGatewayの 設定画面が表示さ れた FirePOWERのアドレスを 設定する必要がある 手順9の設定は、Cisco ASAに内蔵さ れているFirePOWERモジュール用の IPアドレスです。ここで設定したIPア ドレスを利用して、IPSやAMP、次世 ❶「192.168.10.2」 と入力 代ファイアウォールなどを設定した 5 初期設定 り、その機能を使います。 ❷「255.255.255. 0」と入力 ❸「192.168.10.1」 と入力 接続を変更する ❹[Next]を クリック 10 ウィザードが完了したら、レッスン❹ を参考に、Cisco ASAの配線を変更し 自動管理機能を設定する ます。FirePOWERモジュールにケー ブルを接続し、別途スイッチを用意し Auto Update Serverの設定 画面が表示さ れた て、そこにパソコンなどの端末を接続 しましょう。なお、本書では、Cisco ASAのIPア ド レ ス を 標 準 設 定 の 「192.168.1.1」 か ら「192.168.10.1」 [Next]を クリック Smart Call Home のオプション管理 機能の設定画面 が 表 示 さ れ た ら、 [Next]をクリッ クする に変更しています。このため、 ウィザー ド完了後、パソコンのIPアドレスと Cisco ASAのIPアドレスの範囲が変更 されるため、一時的にインターネット に 接 続 で き な い 状 態 に な り ま す。 Cisco ASAを起動後、つながらない場 合はパソコンも再起動してみましょう (それでもつながらないときはIPアドレ 11 スを確認) 。 各種設定を確認する 設定内容がCLI形 式で表示された ❶内容を確認 ❷[Finish]を クリック ウィザードでCisco ASAの 初期設定を行う Cisco ASAを利用するには、本体のIP アドレスやネットワーク上のパソコン にIPアドレスを配布するためのDHCP の設定、各種セキュリティ機能を使う ためのFirePOWERのIPアドレスなど、 さまざまな設定が必要です。各項目を 個別に設定することもできますが、 ウィ Preview CLI Commands が 表 示 さ れ た ら、 [Send]をクリッ クする ザードを使えば必要な項目を順番に設 定できます。各項目を注意深く確認し ながら、自社の環境に合わせて設定し ておきましょう。 15 レッスン 6 トラフィックやアプリの可 視化・制御を設定するには トラフィック、AVC Cisco ASAの各種セキュリティ機能を有 効化しましょう。ライセンスを適用したり、 ポリシーを作成して、通信内容をチェック できるようにします。 ライセンスの適用 利用するすべての ライセンスを登録する IPSやAMP、次世代ファイアウォールの機能を使うには、ライセン スの登録が必要です。発行されたライセンスを登録しましょう。 できる次世代セキュリティ対策 1 ライセンスは、9ページで解説したよ うに契約形態によって異なります。す べての機能を利用するには、 「Control ライセンスの登録画面を表示する (AVC+IPS) 」 「AMP」 「URL」 の3つ のライセンスが必要です。ここではひ 管理用パソコンでCisco ASDMを起動しておく ❶[Configuration] をクリック ❷[192.168.10.1] をクリック とつのライセンスしか登録していませ んが、同様に他のライセンスも登録し ておきましょう。 ライセンスをコピーするには ライセンスは、 「.lic」というファイル で提供されます。そのままでは開くこ とができないので、ワードパッドを起 版 Cisco ASA 動し、 [ファイル]メニューの[開く] から[すべてのファイル]を選択して 読 み 込 み ま す。 フ ァ イ ル 内 の「--❸[A S A F i r e P O W E R をクリック Configuration] ❹[Licenses]を クリック ❺[Add New Licenses] をクリック BEGIN」と「--- END」に挟まれた部 分を選択し、コピーして貼り付けま しょう。 2 ライセンスを貼り付ける Add Feature License の画面が表示された ❶ライセンスキー を控えて申請する ❷送られてきたライ センスを貼り付ける ❸[Submit License] をクリック 3 この部分を選択して 貼り付ける ライセンスが適用される 間違った場合は? 手順3で、ライセンスが適用できない ライセンスが 適用された ときは、正確に内容がコピーされてい ない可能性があります。もう一度、 ファ イルを開いて、コピーし直してから貼 り付けましょう。 16 検査対象トラフィックの設定 FirePOWER停止時の動作を 選べる Cisco ASAを通過するすべての通信がFirePOWERモジュールを経 由するように設定します。これにより通信の検査が有効になります。 1 Add Service Policy Ruleのウイザード画面を 表示する 通 信をどう扱うかを設 定できます。 [Permit traffic]を選ぶと、検査機能 が働かなくてもインターネット接続が 6 可能になります。 [Close traffic]を トラフィック、 管理用パソコンでCisco ASDMを起動して、[Configuration]-[Firewall][Service Policy Rules]をクリックして[Service Policy Rules]を表示しておく 手順2の操作❺∼❻では、もしもFire POWERモジュールが停止した際に、 選ぶと、通信が遮断されます。より安 全性を重視するなら、検査されない通 ❶[Add]を クリック 信を許可すべきではないので[Close traffic]を選ぶこともできます。 ❷[Add Service Policy Rules] をクリック C V A 2 検査対象トラフィックを設定する Add Service Policy Ruleの画 面が表示された ❶ここを クリック ❷[Next]を クリック 設定は必ず保存する Cisco ASDMでは、設定を変更しただ ❸ここを クリック ❹[Next]を クリック けでは、Cisco ASAにその設定が適用 されません。必ず画面下の[Apply] を ク リッ ク し、 表 示 さ れ た 画 面 で [Apply Changes]をクリックして設 定を有効化しましょう。このページ以 降で紹介する他の設定も同様です。 ❺[ASA FirePOWER Inspection]をクリック ❻ここを クリック ❼[Finish]を クリック 3 [Apply Changes]を クリック 設定が反映される 検査対象トラフィッ クが設定された 次のページに続く 17 アプリケーション可視化の設定 可視化されたアプリケーショ ンを確認するには Cisco ASAでは、通信を検査し、その通信元アプリを可視化できます。 この機能を有効にすると、通信状況を詳細に把握できるようになります。 1 アプリケーションの可視化を設定する と、以後、ネットワークに接続された パソコンなどの機器が、いつ、どこ宛 標準のポリシーを編集する てに、どのような通信をしたのかを確 認 で き ま す。 以 下 の 手 順 を 参 考 に Cisco ASDMを起動して、[Configuration]-[ASA FirePOWER Configuration]-[Access Control Policy] を ク リ ッ ク し て [Access Control Policy]画面を表示しておく ❶[ASA FirePOWER] をクリック チェックしてみましょう。 できる次世代セキュリティ対策 [M o n i t o r i n g]-[A S A F i r e POWER Monitoring]-[Real Time Eventing]をクリックして [Real Time Eventing]画面を表 示しておく ❷ここをクリック ❶確認するイベントに マウスを合わせる 2 トラフィックのコネクションログを 出力するルールを追加する Policyの設定画 面が表示された ❶ここをダブルクリックして[Corporate Access Policy]と入力 ❷[Add Rule] をクリック ❷[View Details] をクリック 版 Cisco ASA イベントログが 表示された ❸ルール名を入力 ❹[Logging]を クリック ❺ここをクリック ❻[Add]をクリック 3 ルールが追加される Access Control Policy の画面に戻った ❶[Store ASA FirePOWER Changes]をクリック ❷[Apply ASA FirePOWER Changes]をクリック 間違った場合は? 設定内容を間違えたときは、手順3で ❸[Apply All]を クリック 18 [Cancel]ボタンをクリックし、もう 一度、設定をやり直します。 特定のアプリケーションを禁止する いろいろなアプリや サービスを禁止できる Cisco ASAでは、特定のサービスやアプリを指定して利用を禁止で きます。例として 「2ちゃんねる」 へのアクセスを禁止してみましょう。 1 ここでは、 「2ch」で検索して「2ちゃ んねる」へのアクセスを禁止しました が、他のキーワードで検索したり、一 Add Ruleの画面を表示する 覧 か ら 選 択 す る こ と で、 メ ッ セ ン ジャーやゲームなどのさまざまなアプ 前ページの手順1と同様 の操作を行っておく ❶[Add Rule] をクリック 6 リやサービスを禁止できます。 トラフィック、 ここでは2ちゃんねるの 閲覧を禁止する ブロック状況を確認するには 禁止したアプリケーションの利用状況 は、Cisco ASDMから確認できます。 C V A [ H o m e ]-[ A S A F i r e P O W E R 2 Reporting]をクリックすると、ブロッ 閲覧を禁止するWebサイトを登録する Add Ruleの画面 が表示された ❶ルール 名を入力 ❷ここをクリック して[Block]を選択 ク状況がグラフ形式で表示されます。 ❸[Applications] をクリック ❹[2ch]と入力 してvを押す ❺[Add to Rule] をクリック ブロック状況が表示される ❻[Add ]を クリック ❼[Logging]を クリック ❽ここを クリック ❾[Add]を クリック 3 ルールが追加される アプリケーションごとに利用の 監視や禁止ができる Cisco ASAでは、ポリシーにさまざま なルールを追加することで、さまざま Corporate Access Policyの 画面に戻った ❶[Store ASA FirePOWER Changes]をクリック ❷[Apply ASA FirePOWER Changes]をクリック [Apply Access Control Policy]の画面が 表示されたら、[Apply All]をクリックする な機能を利用できます。ここで紹介し たルールを設定すれば、ネットワーク 上の端末がどのような通信をしている のかを判断したり、特定のアプリケー ションやサービスを使えないように制 限することもできます。危険なアプリ ケーションの利用や仕事の妨げになる サービスの利用を禁止するなど、必要 に応じて設定しましょう。 19 レッスン 7 侵入防御やマルウェア 防御を設定するには IPS、AMP Cisco ASAで、IPSとAMPを有効にしま しょう。通信を監視して、外部からの攻 撃や内部からの不正な通信を遮断したり、 マルウェアを発見・駆除できます。 IPSの設定 IPSシグネチャの アップデートが重要 IPSを有効化しましょう。ポリシーにIPSのルールを設定する前に、 アップデートと[IPS Variables]の設定が必要です。 できる次世代セキュリティ対策 1 IPSでは、シグネチャと呼ばれる定義 ファイルによって、通信内容が攻撃か どうかを判断します。このため、最新 IPSシグネチャの自動アップデートを設定する の攻撃に対抗するには、シグネチャの アップデートが必須です。本書で紹介 Cisco ASDMを起動し、 [Configuration]-[ASA FirePOWER Configuration] -[Updates]をクリックして[Updates]画面を表示しておく ❶[Rule Updates] をクリック ❷ここを クリック している手順のように、毎日、自動的 にアップデートされるように設定して おきましょう。 ❸[Import]を クリック IPSライセンスが必要 ❹ここをクリッ クしてチェック マークを付ける IPSを有効にするには、IPSのライセン スが必要です。あらかじめ対象となる ライセンスを契約して、レッスン❻を 版 Cisco ASA ❺[▼]をクリックして、 アップデートのタイミ ングと時間を設定 ❻ここをクリックしてチ ェックマークを付ける 2 参考にIPSライセンスを有効化してお きましょう。 ❼[Save]を クリック ネットワークオブジェクトを作成する [ Object Management ]-[Network]-[Individual Objects] をクリックして[Individual Objects]画面を表示しておく ❶ [Add Networks]をクリック ❷ネットワーク名を入力 間違った場合は? ❸保護対象ネットワー クサブネットを入力 手順2で、ネットワークオブジェクト のアドレスを間違えたときは、作成さ ❹ [Add] をクリック ❺[Store ASA Fire POWER Changes] をクリック 20 れたネットワークオブジェクトのペン マークをクリック後、間違えて登録し たアドレスを指定して削除し、もう一 度、登録し直します。 3 IPS Variablesを設定する [ Object Management ]-[Valuable Set]をク リックして[Valuable Set]画面を表示しておく IPS Variables って何? ❶ここを クリック Cisco ASAのIPSで 採 用されている Snortエンジンでは、検査を実行する ときに必要な各種パラメータを、 「IPS Variables」と呼ばれる変数によって 定義します。このため、 対象となるネッ 7 トワークなどを指定するには、ネット ❷[Inside Network] をクリック ❸[Include]を クリック ❹[Save]を クリック ワークオブジェクトを設定し、それを IPS、AMP Edit Variable Set Default Setの画面が表示されたら、 [HOME_NET]のペンマークをクリックする IPS Variablesとして登録しています。 ポリシーとルールの 設定を行う IPSを有効にするには、手順3で登録 したIPS Variablesを使ってIPSルール を設定する必要があります。 [Intrusion Policy] [ - Intrusion Ploclicy] [ - Create Policy]で[Connectivity Over Security] を ベ ー ス ポリシ ー に、 [Drop when Inline]にチェックマークを付けて新 しいポリシーを作成します。その後、 Edit Variable Set Default Setの画面が表示されたら、 [Store ASA FirePOWER Changes]をクリックする レッスン❻を参考にして、 ポリシー(本 書ではCorporate Access Policy)の 編集画面を表示し、18ページの「アプ AMP(マルウェア対策)の設定 リケーション可視化」で作成したルー ル(Application Monitoring)を編集 AMPを有効化し、受信メールの添付ファイルやWebからダウンロー します。 [Inspection] タブで [Intrusion ドされたファイルのマルウェアを検知・駆除できるようにしましょう。 Policy]に[IPS Policy]を、 [Variable 1 Set]に[Default Set]を指定して、 設定を適用すれば、IPSが有効になり Add File Ruleの画面を表示する ます。 Cisco ASDMを起動し、 [Configuration]-[ASA FirePOWER Configuration] -[Policies]-[Files]をクリックして[Files]を表示しておく ❶[New File Policy]をクリック ❷ポリシー名を入力 ❸[Store ASA Fire POWER Changes] をクリック ❹[Add New Rule] をクリック 次のページに続く 21 2 マルウェア検知・駆除の対象ファイルタイプを 選択する Add File Ruleの 画面が表示された ❶ここをクリック して[Any]を選択 ❷ここをクリックして [Block Malware]を選択 4つの動作が選べる 手順2の操作2では、検出したファイ ルに対してどのような動作をするのか を選択できます。ここではマルウェア ❸[ブロックするファイルのカテゴリー をクリックしてチェックマークを付ける ❹[Add ]を クリック の検知とブロックを選択しています が、ファイルを検知のみ、ファイルを 検知してブロック、マルウェアの検知 のみ、マルウェアの検知とブロックの 4種類から選べます。 できる次世代セキュリティ対策 ❺[Store ASA FirePOWER Changes]をクリック 3 オフィスドキュメントの社内外との送受信を 監視するルールを作成する マルウェアの感染を確認する には [FilePolicy]の画面に戻った マルウェアに感染したファイルを検知 ❶[Add File Rule]をクリック したかどうかは、レポート画面から確 認できます。以下の操作を参考にして、 ❷ここをクリック して[Any]を選択 レポート結果を確認しましょう。 ❸ここをクリックして [Detect Files]を選択 版 Cisco ASA ❹ここをクリック してチェックマー クを付ける [Monitoring]-[ASA Fire POWER Monitoring]-[Real Time Eventing]をクリックして[Real Time Eventing]画面を表示しておく [Malware File] をクリック ❺[MSOLE2 ]を クリック 4 ❻[Add ]を クリック ❼[Store ASA FirePOWER Changes]をクリック ファイルのログが 表示された ファイルポリシーを適用する [Configuration]-[ASA FirePOWER Configuration]-[Access Control Policy]をクリックして[Access Control Policy]画面を表示しておく ❶ [Inspection]をクリック 間違った場合は? あらかじめ[File Policy]を作成して ❷ここをクリックして作成した ファイルポリシーを選択 ❸[Store ASA FirePOWER Changes]をクリック おかないと、手順4でポリシーが表示 されません。表示されないときは、も う一度、手順1から3を実行して、作 成し直しましょう。 22 URLフィルターの設定 カテゴリーを選択できる URLフィルターを設定して、危険なWebサイトや仕事の妨げになる URLフィルターでは、アクセスを禁止 ようなWebサイトへのアクセスを禁止しましょう。 したいWebサイトをカテゴリーで指定 [Configuration] [ASA FirePOWER Configuration] [Local] -[Configuration]-[Cloud Services]をクリックして[Cloud Services] 画面を表示しておく します。ここでは[Games]を選択し ていますが、 [Gambling]や[Hacking] など、さまざまなカテゴリーが用意さ 7 れているので、自社の環境に合わせて ❷[Update Now]を クリック 18ページの手順1を参考にして、 [Corporate Access Policy]画面を表示しておく 選択しましょう。また、カテゴリー全 体ではなく、そのカテゴリーのWebサ イトのなかでも[High Risk]と判断 されたものなど、評価を基準に禁止す ることもできます。 ❸ルール名を 入力 ❹ここをクリック して[Block]を選 択 ❺[URLs]を クリック IPS、AMP ❶ここにチェックマーク が付いていることを確認 レポート画面で 確認できること レポート画面では、以下の項目を確認 できます。また、各項目をクリックす ると、詳細な情報を確認したり、集計 する期間を指定することもできます。 ・Policies ポリシーのルールに合致した通信 ・Users ❻ブロックするWebの カテゴリーをクリック ❼[Add to Rule] をクリック ❽[Add ]を クリック ユーザーごとの通信状況 ・Applications HTTPなど通信元のアプリケーショ ン レポート画面 ・Signatures [Home]画面の[ASA FirePOWER Reporting]を選択すると、 各端末の通信状況やIPS、AMP、次世代ファイアウォールなどの動 IPSシグネチャに合致した通信 ・Web categories アクセス先のWebサイトの種類 ・Top Destinations 作状況を確認することができます。 頻繁にアクセスしたIPアドレス ❶[Home]を クリック ❷[ASA FirePOWER Reporting] をクリック レポート画面が 表示された IPSやAMPでネットワークを 保護しよう IPSやAMPを有効化すると、外部から の不正アクセスやマルウェアの侵入を 防いだり、標的型攻撃で行われるC&C サーバーへの内部からの通信を遮断で きます。せっかくCisco ASAを導入し ても、これらの機能を有効化しておか ないと、ネットワークを保護すること ができません。忘れずにポリシーや ルールを設定しておきましょう。 次のページに続く 23 ■著者 清水理史(しみず まさし) 1971年東京都出身のフリーライター。雑誌やWeb媒体を中心に OSやネットワーク、ブロードバンド関連の記事を数多く執筆。 『Internet Watch』にて『イニシャルB』を連載中。主な著書に『で きるWindows 10』 『できるWindows 10 活用編』 『できるポケッ トdocomo iPhone 6 基本&活用ワザ 100』 『できるポケット au iPhone 6 基 本&活 用 ワ ザ 100』 『 で き る ポ ケ ッ ト SoftBank iPhone 6 基本&活用ワザ 100』 (インプレス)などがある。 「できる次世代セキュリティ対策 Cisco ASA版」 (以下、本書)は、シスコシステムズ合同会社から株式会社インプレスが委託を受け て制作した特別版です。本書は無償で提供されるものであり、本書の使用または使用不能により生じたお客様の損害に対して、著者、 シスコシステムズ合同会社ならびに株式会社インプレスは一切の責任を負いかねます。また、本書に関するお問い合わせはお受けして おりません。あらかじめご了承ください。 できる次世代セキュリティ対策 Cisco ASA 版 2016 年 3 月 初版発行 発行 株式会社インプレス 〒 101-0051 東京都千代田区神田神保町一丁目 105 番地 編集 ............ できるシリーズ編集部 執筆 ............ 清水理史 本文イメージイラスト .... 原田 香 シリーズロゴデザイン .... 山岡デザイン事務所 カバーデザイン ....... 横川信之 制作 ............ 島川敏範 高木大地 印刷所 ........... 株式会社廣済堂 Copyright © 2016 Masashi Shimizu and Impress Corporation. All rights reserved. 本書の内容はすべて、著作権法によって保護されています。著者および 発行者の許可を得ず、転載、複写、複製等の利用はできません。 「できるサポート」では、本書に関するお問い合わせにはお答えしてお りません。あらかじめご了承ください。