Cisco Secure Connect - ZTNA エンドポイントポスチャプロファイル
このドキュメントは原文を 2025年06月25日付けで翻訳したものです。
最新の情報は原文をご確認ください。
概要
エンドポイントポスチャプロファイルは、ZTNAルールに適用できるオプションのセキュリティ要件です。ポスチャは接続中のエンドポイントがプロファイルで定義されたセキュリティ要件を満たしているかを検証します。本ドキュメントでは、ZTNAのクライアントベースおよびクライアントレス(ブラウザベース)のポスチャプロファイルについて解説します。
プロファイル設定
- セキュアコネクト → ポリシー → エンドポイント要件 に移動
- ゼロトラストネットワークアクセス を選択
- 画面右上の + プロファイルを追加 をクリック
各アクセス方式にはデフォルトのシステム提供ポスチャプロファイルが実装されています。画面右上の デフォルト設定ボタンをクリックすると、システム定義プロファイルを別のデフォルトプロファイルに切り替えられます。
クライアントベースアクセス ZTNA ポスチャ
クライアントベース ZTNA ポスチャでは、Windows、macOS、Apple iOS、Samsung(Android)端末に対して以下のチェックを実行します。以下の例および表は、各 OS でサポートされるチェック項目を示しています。
- 「+ プロファイルを追加」をクリック後、分かりやすいプロファイル名を入力し、クライアントベースを選択
- 以下のポスチャ条件のうち少なくとも1つを設定
ポスチャ例
チェック項目と対応 OS
| チェック項目 | Windows | macOS | Apple iOS | Samsung (Android) |
| オペーレーティングシステム | はい | はい | はい | はい |
| ファイアウォール | はい | はい | いいえ | いいえ |
| セキュリティソフト | はい | はい | いいえ | いいえ |
| システムパスワード | はい | はい | いいえ | いいえ |
| ディスク暗号化 | はい | はい | いいえ | いいえ |
- オペーレーティングシステム
- OS のバージョンをチェック
- 猶予期間として 0 日、2 週間、1 か月、2 か月、3 か月を選択可
- ファイアウォール
- OS 標準のファイアウォールが有効かをチェック
- セキュリティソフト
- 特定のエンドポイントセキュリティエージェント(例:Cisco Secure Endpoint、CrowdStrike)がインストールされているかをチェック
- システムパスワード
- 接続端末にパスワードが設定されているかをチェック
- ディスク暗号化
- OS 標準のディスク暗号化が有効かをチェック
Cisco Secure Client ZTA(Zero Trust Access)モジュールは、エンドポイントポスチャを評価し 5 分ごとにクラウドポスチャサービスへ報告するスタンドアロンコンポーネント「Duo Health App(DHA)」をインストールします。ZTA Proxy はアプリケーションにアクセスする際(CONNECT 時)に Duo クラウドポスチャサービスから情報を取得します。
クライアントレス(ブラウザベース)アクセス ZTNA ポスチャ
クライアントレス(ブラウザベース)アクセスの ZTNA ポスチャは、エンドポイントのブラウザが送信するユーザーエージェントに基づいて判定されます。ユーザーエージェントを変更した端末ではポスチャ判定に問題が生じる可能性があります。
- 「+ プロファイルを追加」をクリック後、分かりやすいプロファイル名を入力し、ブラウザベースを選択
- 以下のポスチャ条件のうち少なくとも1つを設定
ブラウザポスチャの例
OS 要件
OS およびブラウザのバージョンによる制限はサポート対象外です。位置情報に基づく制限が必要な場合は、サポートまたは営業担当者にご相談ください。
- 対象 OS を選択
- プロファイルに追加 ボタンで要件を追加
次のステップ
以下を参照してください:Zero Trust Access ポリシーの構成