Skip to main content

 

Cisco Meraki Documentation

脅威からの保護

  1. Last updated
  2. Save as PDF

このドキュメントは原文を 2025年08月22日付けで翻訳したものです。
最新の情報は原文をご確認ください。

概要

脅威からの保護は、Snort 侵入検知エンジンおよび AMP アンチマルウェア技術で構成されています。

脅威からの保護は Advanced Security Edition ライセンスでのみ利用できます。

Meraki Learning Hub で無料のオンライン トレーニング コースをご利用いただけます:

Cisco SSO でサインインするか、無料アカウントを作成してトレーニングを開始してください。

高度なマルウェア対策(AMP)

高度なマルウェア対策(AMP)は、MX セキュリティ アプライアンスを通じて HTTP ファイルダウンロードを検査し、AMP クラウドから取得した脅威インテリジェンスに基づいてファイルダウンロードをブロックまたは許可します。AMP の詳細については、こちらの記事をご覧ください。

AMP は、モードオプションを有効に設定し、セキュリティ & SD-WAN > 設定 > 脅威からの保護ページで有効化できます。

トラフィックがフィルタリングされると、URL または ID と実行されたアクションが セキュリティ & SD-WAN > 監視 > セキュリティセンターに記録されます。

マルウェア対策は、MX 12.20 以降で Advanced Malware Protection エンジンによって提供されます。以前のリリースでは Kaspersky Lab がマルウェア対策エンジンとして使用されています。

組織内の MX アプライアンスのファームウェア バージョンの確認およびファームウェア アップグレードのスケジューリングについては、オーガナイゼーション > 監視 > ファームウェア アップグレードページをご参照ください。

誤検知(False Positive)への対応

稀に、管理者が安全と判断したファイルや URL が MX アプライアンスによってブロックされる場合があります。その場合は、MX に対してそのコンテンツやウェブページのダウンロードを許可するよう設定できます。

許可リスト URL

イベントログページでブロックされた URL を見つけ、「許可リスト URL」セクションに入力することで、今後その URL を許可できます。このフィールドに入力された値はすべて URL として扱われ、IP アドレスも含まれます。

許可リストに登録された IP アドレスへのリクエストは許可されますが、その IP アドレスに解決されるドメインへのリクエストは許可されません。

許可リスト URL エントリーは末尾ワイルドカード(例:http://meraki.cisco.com/*)をサポートしています。

許可リスト ファイル

ファイル、JavaScript、その他 URL ではないオブジェクトの場合、MX アプライアンスは一意の ID を割り当てます。ブロックされた項目はイベントログページで確認できます。許可したいオブジェクトの ID を「許可リスト ファイル」セクションに入力することで、URL が異なっていても検出されたシグネチャを許可できます。

侵入の検出と防止

MX の侵入検知・防御システム(IDS/IPS)は Snort を搭載しています。Snort は、悪意のあるアクティビティを検出・防止するためにネットワークトラフィックを監視する、オープンソースの侵入防止システムです。Snort はルールセットを用いてネットワークパケットを分析し、ウイルスやワームなどの既知・新たな脅威と照合します。これらのルールは Cisco の脅威インテリジェンス研究グループ Talos Intelligence が管理しており、Meraki クラウドが MX を自動的に最新状態に保つことでネットワークの安全性を確保します。

ルールは次のカテゴリに分類されます:

  • コネクティビティ:ネットワークパフォーマンスを維持しつつ最小限のセキュリティ制御を行います

  • バランス:セキュリティとパフォーマンスのバランスを提供します

  • セキュリティ:ネットワーク速度が低下する場合でもセキュリティを最優先します

バージョン

MX アプライアンスで動作する Snort のバージョンは、デバイスに現在インストールされている特定のファームウェアリリースによって異なります。

Snort 2

  • MX ファームウェア 17.6 より前のリリース

  • MX64/65

注: MX 18.1.7.13 より前のファームウェアを実行している MX64 および MX65 デバイス、ならびに MX 17.6 より前のファームウェアを実行しているその他すべての MX デバイスは、Snort 2 のバージョンを実行しており、2025 年 12 月 18 日以降はアップデートの提供が停止します。

これらのデバイスが更新されたルール セットの提供を引き続き受けられるよう、期限までに MX 18.1.7.13 以降にアップグレードしてください。

詳細については、Snort のブログ記事を参照してください。

Snort 3

  • MX ファームウェア 17.6 以降のリリース

  • MX64/65 は引き続き Snort 2 を実行します

 

機能 Snort 2 Snort 3
マルチスレッド アーキテクチャ
クラウドからの脅威シグネチャの毎日アップデート
クラウド配信型エンジンのランタイム入替(サービスとして)
複数の Snort プロセスの同時実行
ポート非依存のプロトコル検査
IPS アクセラレーター / Hyperscan サポート
モジュール性
スケーラブルなメモリアロケーション
次世代 Talos ルール(例:正規表現/ルールオプション/スティッキーバッファ)
新機能 HTTP インスペクタ - HTTP/2 対応

トラフィック検査

IDS および IPS モードの両方で、以下のトラフィックが検査対象となります:

  • LAN とインターネット間のすべてのトラフィック

  • VLAN 間のすべてのトラフィック

 

IDS および IPS モードの両方で、以下のトラフィックは検査対象外となります:

  • 同一 VLAN 内のトラフィック(クライアント 1 とクライアント 2 が同じ VLAN 内の場合)

 

Snort 3 の最新の強化ではゼロトラスト原則を採用しており、インターネット向けトラフィックと同様に内部トラフィックも厳格に検査します(内部トラフィックがインターネット トラフィックよりも信頼できるとは限らないため)。これにより、従来の MX 上の Snort 展開と比較して、より高い有効性と保護が実現します。場合によってはアラート数が増加することがあります。誤検知と判断された場合は、許可リストに登録したり、信頼できるトラフィック除外 を使ってクライアント/サーバーを信頼済みとして扱うことができます。

侵入の検出と防止の設定

侵入検知

セキュリティ & SD-WAN > 設定 > 脅威からの保護 > 侵入の検出と防止モード検知に設定することで侵入検知を有効化できます。侵入検知を有効にする際は、ルールセット セレクターから次の 3 種類のルールセットから選択できます:

  • コネクティビティ(Connectivity):CVSS スコアが 10 の脆弱性に対して、当年および過去 2 年分のルールが含まれます。
  • バランス(Balanced):CVSS スコアが 9 以上の脆弱性について、当年および過去 2 年分のルールが含まれ、以下のカテゴリのいずれかに該当します。
    • Malware-CNC:既知のボットネットトラフィックに対する悪意のあるコマンド&コントロール活動のルール(コールホーム、落とされたファイルのダウンロード、データの持ち出しなどを含む)
    • Blocklist:悪意のあるアクティビティの指標と判定された URI、ユーザーエージェント、DNS ホスト名、IP アドレスのルール
    • SQL Injection:SQL インジェクション攻撃の検知ルール
    • Exploit kit:エクスプロイトキットの活動を検知するルール
  • セキュリティ(Security):CVSS スコアが 8 以上の脆弱性について、当年および過去 3 年分のルールが含まれ、以下のカテゴリのいずれかに該当します。
    • Malware-CNC:既知のボットネットトラフィックに対する悪意のあるコマンド&コントロール活動のルール
    • Blocklist:悪意のあるアクティビティの指標と判定された URI、ユーザーエージェント、DNS ホスト名、IP アドレスのルール
    • SQL Injection:SQL インジェクション攻撃の検知ルール
    • Exploit kits:エクスプロイトキットの活動を検知するルール
    • App-detect:特定のアプリケーションが生成するネットワークトラフィックを検出および制御するルール

バランス ルールセットがデフォルトで選択されます。

 

侵入防御

セキュリティ & SD-WAN > 設定 > 脅威からの保護 > 侵入の検出と防止モード ドロップダウンを 防止 に設定することで、侵入防御を有効にできます。上記で指定したルールセットに基づき、悪意のあると検知されたトラフィックは自動的に最善の方法でブロックされます。

「保護対象ネットワーク」セクションでは、保護したいシステムの IP アドレスまたはサブネットをカンマまたは空白で区切って指定します。ここに入力されたサブネットのみが保護対象となります。

注意:「保護対象ネットワーク」セクションはパススルーモードのセキュリティアプライアンスでのみ利用可能です。

許可リスト ルール

特定の Snort シグネチャを許可したい場合は、IDS ルールを許可リストに追加 をクリックします。アプライアンスで検出されたトラフィックに一致したシグネチャが オプション選択 ドロップダウンに表示され、許可したいシグネチャを選択できます。この設定は組織内すべてのネットワークで共有されます。

注意:許可リストルールは、フルオーガナイゼーション管理者のみが表示できます。読み取り専用のオーガナイゼーション管理者やネットワーク管理者はこれらのルールを表示・編集できません。

ログ記録

AMP または IPS/IDS を有効化すると、パケットやファイルの検査に関連するイベントが「セキュリティセンター(セキュリティ & SD-WAN > 監視 > セキュリティセンター)」で確認できるようになります。セキュリティセンターの詳細については、この KB 記事をご覧ください。セキュリティイベントはネットワーク単位で Syslog にエクスポートできます。Syslog によるイベントエクスポートの設定方法については、この KB 記事 をご参照ください。