Appearance
Network Security Design
| コンポーネント | 役割 |
|---|---|
| Threat defense | 脅威検知・遮断(IPS, URL filtering, malware対策) |
| Endpoint security | 端末保護(EDR, posture, access control) |
| NGFW (Next-Generation Firewall) | L7可視化とアプリ制御、IPS連携 |
| TrustSec | SGT(Security Group Tag)ベースのセグメンテーション |
| MACsec (802.1AE) | L2ホップバイホップ暗号化 |
設計観点
| 観点 | 例 |
|---|---|
| セグメンテーション | 役割単位で通信を最小許可 |
| 可視化 | フロー/ログで横断監視 |
| 防御深度 | 境界防御 + 内部東西トラフィック対策 |
| 運用連携 | SIEM/SOARや自動化との連携 |
システムの安全性・信頼性設計
| 設計方法 | 説明 |
|---|---|
| フェールセーフ (Fail-Safe) | 障害発生時に被害を最小限にとどめるようシステムを停止する |
| フェールソフト (Fail-Soft) | 障害の発生箇所を切り離し、性能が低下しても処理を継続する |
| フールプルーフ (Fool-Proof) | 誤った操作を行っても、誤動作せずに安全性を保つ設計 |
| フォールトトレラント (Fault-Tolerant) | 障害発生を前提に、機器を冗長化するなどして全体のシステムを止めない |
重要: フェールセーフとフェールソフトの違い。フェールセーフは「安全に停止」、フェールソフトは「縮退して継続」。セキュリティにおけるフェールセーフの例:認証サーバがダウンした場合に社内ネットワークへのアクセスを遮断し、安全な状態を確保する。
Cisco SAFE
Ciscoが提唱する安全なネットワーク設計のためのセキュリティフレームワーク。以下の環境を対象とする:
データセンター / ブランチ / キャンパスネットワーク / WAN / インターネットエッジ / クラウド
トラフィックの方向
| 方向 | 説明 | セキュリティ対策例 |
|---|---|---|
| North-South(南北) | 外部(インターネット)と内部(DC/社内)間の通信 | 境界NGFW, WSA, ESA |
| East-West(東西) | DC/社内ネットワーク内部のサーバ・アプリ間通信 | DC内NGFW(IPS機能付き) |
重要: East-Westトラフィックのセキュリティ対策は、DC内にIPS機能を備えたNGFWを設置してサーバ間のマルウェア横展開を防ぐこと。境界NGFWやWSA/ESAはNorth-South対策であり、East-West対策にはならない。
セキュアドメイン
| セキュアドメイン | 説明 |
|---|---|
| 管理 | ネットワーク機器/システムの一元管理(ポリシー適用、設定変更、パッチ適用) |
| セキュリティインテリジェンス | マルウェアや脅威の検出、タイムリーなセキュリティ保護 |
| コンプライアンス | セキュリティ基準や法規制に則った運用 |
| セグメンテーション | アドレス/VLANでデータやユーザの境界を確立 |
| 脅威に対する防御 | テレメトリ/ファイルレピュテーション/コンテキスト情報で脅威を可視化し対応 |
| セキュアサービス | アクセス制御やVPNでネットワークを保護 |
重要: 「脅威に対する防御」ドメインではネットワークトラフィックテレメトリやコンテキスト情報(デバイスタイプ、ユーザー名、特権レベル等)を活用して脅威に対応する。「管理」ドメインと混同しないこと。
Cisco TrustSec
SGT(Security Group Tag)ベースのアクセス制御機能。通常のACL(IP/ポート番号)ではなくグループ単位で制御するため、管理が簡素化される。
TrustSec 構成要素
| 用語 | 説明 |
|---|---|
| SG (Security Group) | ユーザ/デバイスを分類するグループ(例:社員、請負社員、ゲスト) |
| SGT (SG Tag) | パケットに付与される送信元SGを示すタグ。認証情報/IPアドレス/VLANから判断 |
| SGACL (SG Access Control List) | SGTを利用したアクセス制御リスト。ISEから各スイッチ/ルータに配布 |
| ISE (Identity Services Engine) | 認証サーバ。AAA/SGT/SGACLを一元管理 |
TrustSec アクセス制御フロー
- PC接続 → オーセンティケータ(スイッチ)に接続
- ISEで802.1X認証、認証情報からSGを確認
- 認証後、サーバにアクセス
- TrustSecドメイン入口の機器がパケットにSGTを付与
- TrustSecドメイン出口の機器がSGACLに従いフィルタリング
- 許可ならSGTを外して転送、拒否ならパケットを破棄
重要: SGTの管理はISE(認証サーバ)が行い、オーセンティケータ(スイッチ)ではない。通常のACLよりもグループ単位で柔軟に制御でき、運用負担が軽減される。
Cisco Firepower NGFW
NGIPS(侵入防御)、AMP(マルウェア防御)などを備えた多層防御のNGFW製品。
防御機能
| 機能 | 説明 |
|---|---|
| NGFW | L7可視化、アプリケーション制御 |
| NGIPS | 次世代侵入防御システム(シグネチャベース + 振る舞い検知) |
| AMP (Advanced Malware Protection) | マルウェアの検出・ブロック・追跡 |
ソフトウェア構成
| 構成 | 説明 |
|---|---|
| ASA + Firepower Services | ASA(従来FW)にFirepower Servicesモジュールを追加。別々のソフトウェアを組み合わせる |
| FTD (Firewall Threat Defense) | FW機能 + NGIPS + AMP等を統合したソフトウェア。組み合わせ不要 |
重要: FTDはASA + Firepower Servicesの機能を1つに統合したもの。FTDなら別々のソフトウェアを組み合わせる必要がない。
Cisco Umbrella
DNSの仕組みを用いたクラウド型セキュリティサービス。外部DNSの参照先をCiscoのクラウドDNSに向け、危険なドメインへのアクセスをブロックする。
| 項目 | 内容 |
|---|---|
| 仕組み | DNSクエリをCisco Umbrellaに向け、脅威DBで判定 |
| 脅威インテリジェンス | Cisco Talos(Ciscoのセキュリティ研究チーム)のデータを活用 |
| 導入方法 | DNSサーバの参照先を変更するだけ(クラウド型のため導入が容易) |
重要: UmbrellaはDNSレイヤーの防御。FW/IPSのようにパケットを検査するのではなく、名前解決の段階で危険なドメインをブロックする。
Cisco StealthWatch
NetFlowを収集してネットワークの監視・分析を行い、脅威を自動検出するセキュリティ製品。
| 項目 | 内容 |
|---|---|
| データソース | ルータ/スイッチのNetFlow |
| 検出対象 | DDoS攻撃、不正な暗号化、未知のマルウェア、ランサムウェア等 |
| 可視化 | デバイス、ユーザ、トラフィックをリアルタイムで認識 |
| 監視範囲 | 内外対策(North-South)+ 内部間通信(East-West)の両方 |
重要: StealthWatchは脅威の検出を行うが、自動ブロックは行わない。また内部間通信(East-West)の監視も可能であり、外部通信のみの対策という記述は誤り。ゲストポータルはISEの機能でありStealthWatchではない。
Cisco WSA (Web Security Appliance)
Webサイト経由のマルウェア侵入をブロックするセキュリティ製品。オンプレミス/クラウドに展開可能。Cisco Talosの脅威インテリジェンスを活用。
Before / During / After 防御モデル
| フェーズ | 対策内容 |
|---|---|
| Before(攻撃前) | 脅威インテリジェンスに基づき、疑わしいWebサイトへのアクセスをブロック |
| During(攻撃中) | ネットワークに侵入した脅威を特定してブロック |
| After(攻撃後) | 未知のマルウェアを特定、感染デバイスの調査 |
重要: WSAは攻撃後(After)対策も行う。「脅威が侵入したネットワークでは動作しない」は誤り。オンプレミス限定ではなくクラウド展開も可能。
Cisco ESA (Email Security Appliance)
Eメール経由の脅威対策に用いるセキュリティ製品。スパムメールのブロック、メール経由のマルウェア感染防止。
重要: WSA = Web対策、ESA = Email対策。選択肢でEDR/ネットワーク監視/DNS/Webサイトの記述があればESAではない。
用語分類:デファクト vs Cisco語
| 用語 | 分類 |
|---|---|
| NGFW, IPS, VPN, AAA, RADIUS | デファクト(業界標準) |
| FTD, ASA, Firepower, AMP, NGIPS | Cisco語(製品/ブランド名) |
| ISE, TrustSec, SGT, SGACL, pxGrid | Cisco語(技術/機能名) |
| Umbrella, WSA, ESA, Talos, StealthWatch | Cisco語(サービス/製品名) |
| SAFE, aWIPS, DNA Center, DNA Spaces | Cisco語(フレームワーク/管理基盤) |
試験ポイント
- 5.4 は無線方式(WPA/802.1X)ではなく、ネットワーク全体のセキュリティ設計コンポーネントを問う。
- TrustSec は「分類」、MACsec は「暗号化」という役割分担を区別する。