Transcript PPT

PSU Week 2015 May
[SEC-1]
Security製品のオーダー/ライセンスについて
セキュリティ事業
プロタクト マネージャ 藤生 昌也
アジェンダ
1. ASA with FirePOWER
2. AMP for Endpoint
3. ESA/WSA
4. AnyConnect
5. ISE
6.Smart Account / Smart License
1. ASA with FirePOWER
Cisco ASA 5500-X シリーズ
ASA 5585-X SSP-60
(40 Gbps, 350K cps)
Performance and Scalability
ASA 5585-X SSP-40
(20 Gbps, 200K cps)
ASA 5585-X SSP-20
(10 Gbps, 125K cps)
ASA 5555-X
(4 Gbps,50K cps)
ASA 5585-X SSP-10
(4 Gbps, 50K cps)
ASASM
for Catalyst6500,Cisco7600
(16-20 Gbps,300K conn/s)
ASA 5545-X
(3 Gbps,30K cps)
ASA 5525-X
(2 Gbps,20K cps)
Trusted Firewall/VPN
New!
ASA 5506-X
ASA 5508-X
ASA 5515-X
(1.2 Gbps,15K cps)
ASA 5512-X
(1 Gbps, 10K cps)
New!
ASA 5516-X
(1.8 Gbps,20K cps)
ASA 5505
(150 Mbps, 4K cps)
SOHO
Branch Office
Internet Edge
ASAv30
New!
(1-2Gbps, 60K conn/s)
ASAv10
(500M-1Gbps, 20K conn/s)
(50M-100Mbps, 8K conn/s)
ASAv5
Campus
Data Center
InCisco ASA with FirePOWER Services for SMB,
Midsized, & Distributed Enterprise
Q3FY15
２月リリース済
5506-X
Desktop Form Factor
Refresh for 5505
FirePOWER Services
Default
5月リリース済
5月リリース済
7月リリース予定
5506W-X
ワイヤレス
5508-X
5516-X
Integrated Wireless AP
1 RU Rack-Mount
1 RU Rack-Mount
Higher performance
Enable additional SMB
& branch deployments
Green field opportunity
with new pricing point
FireSIGHT Management Center
FS 2000
70 Sensor, 12000EPS
FS 4000
300 Sensor, 20000EPS
FS 750
10 Sensor, 2000EPS
FirePOWER 8300 Series
10Gbps-60Gbps
仮想アプライアンス
(FirePOWER)
(FireSIGHT Management Center)
FirePOWER 8100
2 Gbps-10 Gbps
FirePOWER 7120/7125/8100
1 Gbps-2 Gbps
FirePOWER 7010/20/30
50-250Mbps
Small Office
FirePOWER 7100 Series
500 Mbps – 1Gbps
Branch Office
Internet Edge
Campus
Data Center
購入構成 1/2 ハードウェア
Cisco ASA FirePOWER Services （アプライアンス）
もしくはFirePOWER アプライアンス
実際に監視ポートをもち、スイッチやSPANポートに
接続してネットワークトラフィックの監視・解析を行う
実装形態としてはInlineとPassiveの両方もしくは片
方を使用することが可能。
Cisco FireSIGHT Management Center
管理専用アプライアンス
FirePOWERによって検出したイベントを保管、閲覧する為
の専用アプライアンスパッチ管理やシグニチャのアップ
デート自動チューニングなどを行う事が可能。
管理セグメント
Cisco
FirePOWER
Services
Cisco
FireSIGHT
MC
ESXi
Gi0/0
outside
Gi0/1
inside
監視対象ネットワーク
購入構成 2/2 ソフトウェア サブスクリプション


URL
1, 3 年期間
サブスクリプションライセンス
URL
AMP
AMP
5年期間サブスクリプション
今後日本でも販売予定
URL
IPS
IPS
IPS
IPS
URL
TA
TAC
TAM
TAMC
“NGIPS”
Packages
© 2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
8
サブスクリプション
ライセンス SKUの例および標準的な見方
例: FirePOWERでIPSとAMPを使用する場合
1. 期間ライセンスFP7010-TAM-LIC=を選択
プラットフォーム
使用年数:1年,3年を選択
FP7010-TAM-1Y
FirePOWER
URL: URL フィルタリング
TA: IPS
TAC: IPS+URLフィルタリング
TAM: IPS+AMP
TAMC: IPS+AMP+URLフィルタリング
FirePOWER 7010 アプライアンス向け CCW 設定 例
品目
説明
注記
Cisco FirePOWER 7010 シャーシおよびサブスクリプション
1
FP7010-BUN(*1)
FP7010 バンドル向けの基本バンドル PID
のバンドル
1.1 FP7010-K9
Cisco FirePOWER 7010 シャーシ、1U、 8 ポート銅線 FP7010 ハードウェア アプライアンス
SMARTNET 8X5XNBD FirePOWER FP7010 期間：12 か
1.1.0.1 CON-SNT-FP7010 月
SMARTnet サポート契約（ハードウェアとソフトウェア）
1.1.1 CAB-AC
AC 電源コード
電源コード（必須）
1.1.2 SF-FP5.2-K9
Cisco FirePOWER ソフトウェア リリース 5.2
FirePOWER ソフトウェア バージョン（必須）
1.1.3 FP7010-VPN-K9
Cisco FirePOWER 7010 VPN ライセンス
VPN ライセンス（任意）
1.1.4 FP-PWR-BRICK
7000 シリーズ向け Cisco FirePOWER Power Brick
電源（デフォルトで付属）
最大 2 つの FP7000 シリーズ アプライアンスにラックマウント
1.1.5 FP7000-RACK
Cisco FirePOWER アプライアンス - ラック キット（トレイ）
機能を提供
PID
1.1.6 FP7010-CTRL-LIC Cisco FirePOWER 7010 Control ライセンス
IPS およびアプリケーション向け Cisco FirePOWER 7010
1.2
FP7010-TA-LIC= サービス ライセンス
IPS およびアプリケーション向け Cisco FirePOWER 7010
1.2.0.1 FP7010-TA-1Y (*2) の 1 年間のサービス サブスクリプション 期間：12 か月
（デフォルトで付属）
IPS およびアプリケーション向けサブスクリプション コンテナの
選択、1 年間（必須）
IPS およびアプリケーション サブスクリプション、1 年間 （必須）
(*1)ハードウェア ?サブスクリプションおよびソフトウェア ?サブスクリプションをまとめたバンドル（BUN）PID を発注する必要があります。
(*2)1 年間または 3 年間のいずれかのソフトウェア サブスクリプションを提供しています。
BOM例：ASA with FirePOWER Services/
FireSIGHT Management Center
想定
 期待スループット：350Mbps程度
 機能：統合的なセキュリティ対策機能（ベーシックファイアウォール、アプリケーションの可視化・制御（AVC）、次世代IPS、
マルウェア対策（防御およびすり抜けたマルウェアの侵入経路解析）および冗長構成（ホットスタンバイ）、電源冗長
 セキュリティアプライアンス（ライセンス期間は1年）
Item Name
ASA5555-FPWR-BUN
ASA5555-FPWR-K9※
SF-FP5.3.1-K9
ASA5555-CTRL-LIC
ASA-PWR-AC
L-ASA5555-TAMC=
L-ASA5555-TAMC-1Y
Description
Quantity
ASA 5555-X with FirePOWER Svcs. Chassis and Subs. Bundle
ASA 5555-X with FirePOWER Services 8GE AC 3DES/AES 2SSD
Cisco FirePOWER Software v5.3.1
Cisco ASA5555 Control License
ASA 5545-X/5555-X AC Power Supply
Cisco ASA5555 FirePOWER IPS Apps AMP and URL Licenses
Cisco ASA5555 FirePOWER IPS, AMP and URL 1YR Subs
 集中管理・解析サーバ（バーチャルアプライアンス）
Item Name
Description
Cisco FireSIGHT Management Center (VMWare) for 10 devices
FS-VMW-10-SW-K9※※
SW APP SUPP + UPGR Cisco FireSIGHT Mana
CON-SAU-VMWSW10※※※
2
2
2
2
2
2
2
Quantity
1
1
※
本体保守、電源ケーブル等細かいパーツのSKUは省略しております。
※※
FireSIGHT Management Center および CSM を収容するVmwareおよびサーバが別途必要。
※※※ CON-SAU-VMWSW2 は、FireSIGHT Management Centerのアップグレード権利の為、不要な場合には削除可能。
ライセンス - PAK or no PAK?
TA:IPSライセンスは’Right-to-use‘となりPAKはありません。
但し、Control ライセンスはPAKがありアクティベートすることで
Control(AVC)とProtection(IPS）が有効になります。
またControl(AVC)とProtection(IPS）については、機能面として有効
期限はありませんが、利用する期間のサブスクリプションを購入してく
ださい。 URLとMalware(AMP)はPAKがあり有効期限があります。
SF ver 5.4時点ではControl(AVC)
とProtection(IPS）の有効期限が
なく、再度ライセンスを適用する必
要がありません。
ライセンス期限と動作について
URL
TA
TAC
TAM
TAMC
URL
IPS
URL
IPS
AMP
IPS
URL
AMP
IPS
Protection
Control
URL
Protection
Control
Protection
Control
URL
Protection
Control
Malware
Protection
Control
Malware
URL
URLのみ期限付き
無期限
URLのみ期限付き
AMPのみ期限付き
AMPとURLのみ期限
付き
期限切れ時は現状の
Policyのまま
FirePOWERが動作
するが、Policyの変
更は出来ない
期限切れ時はAMP
の機能が停止し、マ
ルウェアのチェックが
出来なくなる
期限切れ時は現状
のPolicyのまま
FirePOWERが動作
するが、Policyの変
更は出来ない
期限切れ時はURL
期限が切れないため
フィルタ機能が停止し、 運用上問題は無い
URLのチェックが行
われなくなる
2. AMP for Endpoint
Cisco AMP Everywhere
•
様々な環境に、適切な形でセキュリティ対策を行えるソリューション。
ネットワーク
エンドポイント
モバイル
専用ネットワークアプライアンス
Windows, Mac
Android
エンドポイントにインストール
アンドロイド端末にインストール
エンドポイントではなくネットワーク上に
実装し通信経路上でマルウェアを検知・
防御
エンドポイントに実装することで、OS上
の全てのファイルに対してマルウェアを
検知・防御
携帯端末上でインストールされるアプリ
ケーションを検査しマルウェアを検知・防
御
HTTP,FTP,SMTP,IMAP,POP3,SMB
のプロトコルに対応
WinXP SP3,Win Vista SP2
Win 7, 8, 8.1,Win Server
2003,2008,2012
OSX 10.7-10.9
Android2.1以上
ネットワーク上に設置
サンプルBOM：AMP for Endpoints
想定
 エンドポイント数：1,000
 機能：マルウェア検出/隔離、デバイス/ファイルトラジェクトリ
 Cisco AMP for Endpoints（ライセンス期間は１年）
Item Name
FP-AMP-LIC=
FP-AMP-1Y-S4
Description
Cisco Advanced Malware Protection Service License
Cisco Advanced Malware Protection 1YR 1K-4999 Nodes
※
ソフトウェア
Quantity
1000
1000
ライセンス - PAK or no PAK?
AMP for EndPointは’Right-to-use‘となりPAKはありません。
使用する必要端末数分のライセンスを購入してください。
3. ESA/WSA
WSA購入構成
基本ライセンス
WSAハードウェア
WSA用ライセンス
SASU込み
- Web Essential WebBundle
WEBセキュリティアプライアンス
Sシリーズ
S680/S380/S670/S370/S170
標準機能：
Proxy(AsyncOS)
L4TM
Policy Filter
Etc.
(WREP + WUC)
- Anti-Malware Bundle
+
×ユーザ数
- Premium SW Bundle
(WREP + WUC + Sophos + Webroot)
基本サポート
SMARTnet
※1/3/5年選択可能
オプション1
アンチマルウェア・オプション
-McAfee Anti-Malware
-※1/3/5年選択可能
オプション2
×ユーザ数
管理ライセンス
SMAハードウェア
統合管理サーバー
セキュリティマネージメントアプライアンス
Mシリーズ
M680/M380/M1070/M670/M170
基本サポート
SMARTnet
© 2010 Cisco and/or its affiliates. All rights reserved.
(WREP + WUC + Webroot)
SASU込み
+
オプション3
SMA用マネージメントライセンス
Web Management SW Bundle
※1/3/5年選択可能
×ユーザ数
別途ワークステーションをご用意ください。
Splunkライセンス
Advanced Web Reporting
※1/3/5年選択可能
×ユーザ数 +
Cisco Systems GK
19
WSAサンプル構成
ライセンス内容：
- URL Filter
- Web Reputation Filter
Internet
端末数：1000
WEBトラフィック
HTTP/FTP
DNS
S380
Active
Firewall
DMZ
HTTP/FTP
HTTP/FTP
© 2010 Cisco and/or its affiliates. All rights reserved.
Cisco Systems GK
20
BOM例：WSA
想定
 ユーザー数：1,000
 機能：Cisco Security Intelligence Operations（SIO）からの脅威インテリジェンス 、レイヤ 4 トラフィック モニタリング 、ア
プリケーションの可視性と制御（AVC） 、ポリシー管理 、実行可能なレポート 、URL フィルタリング
 シングル構成
 ESA（ライセンス期間は１年）
Item Name
WSA-S380-K9
SF-WSA-7.7.0-K9
WSA-WSE-LIC=
WSA-WSE-1Y-S4
Description
WSA S380 Web Security Appliance with Software
WSA Async OS v7.7.0
Web Essentials SW Bundle (WREP+WUC) Licenses
Web Essentials SW Bundle (WREP+WUC) 1YR 1K-1999 Users
※
※
本体保守、電源ケーブル等細かいパーツのSKUは省略しております。
冗長構成の場合はアプライアンス本体の数量を２としてください。
Quantity
1
1
1000
1000
ESA購入構
ESAハードウェア
SWバンドル
Eメールセキュリティアプライアンス
Cシリーズ
C680/C380
X1070/C670/C370/C170
- Inbound Essential Bundle
(IPAS + Sophos + OF)
- Outbound SW Bundle
標準機能：
MTA(AsyncOS)
Message Filter
Contents Filter
Etc.
+
(RSA DLP + PXE暗号メール)
×ユーザ数
- Premium SW Bundle
(IPAS + Sophos + OF + RSA DLP + PXE暗号メール)
※1/3/5年選択可能
基本サポート
SMARTnet
アラカルト・オプションライセンス
- Email Security Anti-Spam (IPAS)
- Sophos Anti-Virus
- McAfee Anti-Virus
- Outbreak Filter (OF)
- RSA DLP
- PXE暗号メール
- Email Image Analyzer
- Cloudmark Anti-Spam
- Intelligent Multi-Scan
※1/3/5年選択可能
オプション2
統合管理サーバー
セキュリティマネージメントアプライアンス
Mシリーズ
M680/M380/M1070/M670/M170
基本サポート
© 2010 Cisco and/or its affiliates. All rights reserved. SMARTnet
+
SMA用マネージメントライセンス
Email Management SW Bundle
※1/3/5年選択可能
×ユーザ数
×ユーザ数
+
Cisco Systems GK
22
ESAサンプル構成
ライセンス内容：
- IPAS
- McAfee AV
Internet
spam
Eメール・トラフィック
Mailbox数：1000
C380
DNS
Active
SMTP
Firewall
SMTP
DMZ
SMTP
正常メール配信
SMTP
© 2010 Cisco and/or its affiliates. All rights reserved.
Mail Spool Server
POP3/IMAP
Cisco Systems GK
23
BOM例：ESA
想定
 メールアドレス数：1,000
 機能：MTA、コンプライアンス、Eメールの暗号化とデータ損失防止
 シングル構成
 ESA（ライセンス期間は１年）
Item Name
ESA-C380-K9
SF-ESA-8.5.6-K9
ESA-ESO-LIC=
ESA-ESO-1Y-S4
Description
ESA C380 Email Security Appliance with Software
ESA Async OS v8.5.6
ESA Outbound SW Bundle (DLP Encryption) License
ESA Outbound SW Bundle(ENC+DLP) 1YR Lic 1K-1999 Users
※
※
本体保守、電源ケーブル等細かいパーツのSKUは省略しております。
冗長構成の場合はアプライアンス本体の数量を２としてください。
Quantity
1
1
1000
1000
ライセンス - PAK or no PAK?
ESA/WSAともにPAKがあります。
使用するメールボックスや必要ユーザ分のライセンスを購入してくださ
い。
4. AnyConnect
AnyConnect 4.xライセンス種別
Any Connect 4.0より、従来、細分化されていたAnyConnect関連のライセンス種をAPEX
およびPLUSライセンスの２種類に集約いたしました。
【従来】～AnyConnect 3.x
【今後】AnyConnect 4.x～
 無期限(Perpetual)ライセンス
 同時(Concurrent)アクセス数にてカウント
 期間(Term)ライセンス(1年、3年、5年)
 Plusライセンスは無期限（Perpetual）の設定有
 ユニークID数にてカウント
“APEX”
Premium/Shared
•
Advanced PC + Mobile Services
•
Unified Endpoint Compliance
/Remediation (Posture)
•
Suite B
•
Clientless
•
Includes PLUS
•
Basic
•
•
•
•
•
•
(Perpetual)
Mobile
(Perpetual)
“PLUS”
•
Essentials
(Perpetual)
Basic
•
•
•
•
•
•
PC + Mobile Services
Device VPN / Per app VPN
Always On
ASA, ISE, ASR, CSR
FIPS
CWS / Web Security
NAM
PC Services
Device VPN / Per app VPN
Always On
ASA, ISE, ASR, CSR
FIPS
CWS / Web Security
NAM
【ご注意ください】
AnyConnect Plus perpetual licensesにはSASUが必要です
 Cisco AnyConnect Plus perpetual（無期限） ライセンスを除く、すべてのCisco
AnyConnect のサブスクリプションライセンスに、SASU（Software Application Services
plus Upgrades）が含まれております。
 Cisco AnyConnect Plus perpetual（無期限） ライセンス購入時には、別途、本ライセン
ス用のSASUを購入いただく必要がございます。
http://www.cisco.com/web/JP/services/portfolio/tss/sas_sasu.html
ライセンス種別選定時のチェックポイント
【新規ユーザ】新たにAnyConnectのライセンスを購入する場合
PlusまたはApexライセンスのいずれかをご選択ください。
Plusの場合は期間(Term)を1、3、5年、または無期限（Perpetual）のいずれかをご選択ください。
Apexの場合は期間（Term）を1、3、5年よりご選択ください。
ユーザ数（同時アクセス数/端末数ではありません）をご選択ください。
【既存ユーザ】移行用（マイグレーション）用ライセンスを購入する場合
移行先のPlusまたはApexライセンスの「マイグレーションライセンス」のいずれかをご選択ください。
期間（Term）を1、3、5年よりご選択ください。
※Plusライセンスの無期限（Perpetual）の設定はございません。
※Apexライセンスの期間は3年のみとなります。
ユーザ数（同時アクセス数/端末数ではありません）をご選択ください。
マイグレーション・プログラム
～AnyConnect 3.x
AnyConnect 4.x～
 無期限(Perpetual)ライセンス
 同時(Concurrent)アクセス数にてカウント
 APEX（Migration）は3年のみとなります、PLUS（Migration）は1，3，5年から
ご選択いただけます
 ユニークID数にてカウント
“APEX”
Premium/Shared
(Perpetual)
•
Advanced PC + Mobile Services
•
Unified Endpoint Compliance
/Remediation (Posture)
•
Suite B
•
Clientless
•
Includes PLUS
•
Basic
•
•
•
•
•
•
$０ライセンスの提供
Mobile
(Perpetual)
ディスカウント
Essentials
(Perpetual)


“PLUS”
•
Basic
•
•
•
•
•
•
PC + Mobile Services
Device VPN / Per app VPN
Always On
ASA, ISE, ASR, CSR
FIPS
CWS / Web Security
NAM
PC Services
Device VPN / Per app VPN
Always On
ASA, ISE, ASR, CSR
FIPS
CWS / Web Security
NAM
本プログラムの内容は事前の告知なく変更されることがあります。
本プログラムの終了時期は未定です。確定次第、パートナー様向けニュースレター、オンラインセミナー等を通じてご案内申し上げます。
マイグレーション・プログラムに関して（続き）
【現行、3.X利用ユーザがAnyConnect(以下、AC) Plus Migration Licenseの購入によってAC4.0へ移
行する為の条件】
 2015/3/1までにAC Essential Licenseを購入していること

【現行、3.XでのユーザがAnyConnect Apex Migration Licenseの購入によってAC4.0へ移行する
為の条件】
 2015/3/1までにAC Premium及びAC Shared Premium Licenseを購入していること

Cisco AnyConnect Essentials Mobile, Premium等のEOS/EOLSアナウンスを2015/03/02付でリリースいたしました。
http://www.cisco.com/c/en/us/products/security/asa-5500-series-next-generation-firewalls/eos-eol-notice-listing.html
ライセンスとサブスクリプションのSKUのサンプル
Cisco AnyConnect Plus Licenses
Term License: L-AC-PLS-xYR-G
Perpetual License: L-AC-PLS-G
Term Subscription: L-AC-PLS-S-xY-zzzz
User License: L-AC-PLS-P-zzzz
 (x= 5, 3, 1) year term
 (zzzz= 25, 50, 100, 250, 500, 1K, 1500, 2500,
3500, 5K, 10K, 25K, 50K, 100K, 250K) unique
users
 (x= 5,3,1) year term
 (zzzz= 25, 50, 100, 250, 500, 1K, 1500, 2500,
3500, 5K, 10K, 25K, 50K, 100K, 250K) unique
users
Cisco AnyConnect Plus Migration Licenses
Term License: L-AC-PLS-M-xYR-G
Term Subscription: L-AC-PLSM-S-x-zzzz
 (x= 5, 3, 1) year term
 (zzzz= 25, 50, 100, 250, 500, 1K, 1500, 2500, 3500, 5K, 10K, 25K, 50K, 100K, 250K) unique users
ライセンスとサブスクリプションのSKUのサンプル
Cisco AnyConnect Apex -Licenses
Term License: L-AC-APX-xYR-G
Term Subscription: L-AC-APX-S-xY-zzzz
 (x= 5, 3, 1) year term
 (zzzz= 25, 50, 100, 250, 500, 1K, 1500, 2500, 3500, 5K, 10K, 25K, 50K, 100K, 250K) unique users
Cisco AnyConnect Apex Migration Licenses
Term License: L-AC-APX-M-3YR-G
Term Subscription: L-AC-APXM-S-x-zzzz
 3 year term
 (zzzz= 25, 50, 100, 250, 500, 1K, 1500, 2500, 3500, 5K, 10K, 25K, 50K, 100K, 250K) unique users
【参考】ライセンス SKUの例及び標準的な見方
1. ライセンス（期間【Term】または無期限【Perpetual】）を選択
PLS（Plus）又はAPX（Apex）の
いずれかを選択
使用年数(1,3,5年）または P(無期限）※を選
択 ※ Plusライセンスにのみ設定（除くPlus・マイグ
レーションライセンス）
L-AC- PLS APX - M - YR P-G
又は
又は
マイグレーション（Migration）ライセンスの場合のみ
新規の場合は「M-」は不要
ライセンス期間
1､3、5年
Plusのみ無期限（Perpetual）の設定あり
【参考】ライセンス SKUの例及び標準的な見方 （続き）
2. 次にサブスクリプションライセンスを選択（ユーザ数の選択）
 PLS（Plus）
 APX（Apex）
 PLSM（Plus・マイグレーションライセンス）
 APXM（Apexのマイグレーションライセンス）
が引き継がれます。
AC -
-
ユーザ数を選択
規定のユーザ数単位のうち、必要数を下回らないで
一番近いユーザ数のものを選択。
YR P又は
‐S
１で選択したものが引き継がれます。
（使用年数:1,3,5年 または P(無期限）※）
ユーザ数
25, 50, 100, 250, 500, 1K, 1500, 2500, 3500, 5K, 10K, 25K, 50K, 100K および250K
※ Plusライセンスにのみ設定（除くPlus・マイグレーションライセンス）
【参考】ライセンス SKUの例及び標準的な見方 （続き）
G型番
（SKUが「-G」で終わるもの）
期間ライセンスグループ
S型番
（SKUが「-S」で終わるもの）
期間ライセンス（期間の指定）
G/S無型番
期間サブスクリプション（ユーザ数の指定）
シナリオ【新規ユーザ】

•
•
•
•
•
•
要件
リモートアクセスVPNサービス総利用者数：1,000ユーザ
端末数：500
利用期間は5年
端末種別はPCとスマートデバイス
ASAはHA構成
自社のもつインターネット回線の混雑緩和のため、モバイル端末ではper app VPNの利用を検討している
パーツ
１
本体
型番
説明
数量
ASA5525-K9
ASA5525本体
2
1
2
ライセンス
L-AC-PLS-5YR-G
Cisco AnyConnect 5-Yr Plus Subscription License Group
• Plusライセンス/期間5年
※ 親型番のため金額設定はございません
※ CCW利用時にはまずこちらの型番を入力してください
3
ライセンス
AC-PLS-5YR-1K-S
Cisco AnyConnect 5-Yr 1K User Plus License
• １K=1,000
1
4
ライセンス
AC-PLS-5YR-1K
Cisco AnyConnect 5-Yr 1K User Plus Subscription
Duration: 60 Month(s)
1
※
ASA本体への製品保守が別途必要となります。
課金対象の変更
AnyConnect Secure Mobility Client 4.0より、ライセンスはASAに紐づくのではなく、ユーザに紐づきに変更いたしました。
その為、ASAはデバイス接続数の制限を設けません。接続数でなく、ユーザ数にてライセンス数をカウントしていただくことになります。
従来のハードウェ アに紐づく方式の場合では、デバイス接続数を元にライセンスやASAハードウェアの選定・購入と、導入・運用を頂いて
いましたが、現在のモバイルデバイス 利用の急激な増加と 利用形態の多様化に伴い、長期的な必要デバイス接続数や接続先の選定と、
その運用が複雑かつ困難になるをさけよりシンプルな運用管理を考慮いたしました。
必要なライセンス数はヘッドエンド (ASA) の数とは無関係
必要なライセンス数は同時接続数やデバイス数ではなく利用ユーザ数 (この図では4ユーザライセンス)
ライセンスについて
•
PAKの利用方法
ライセンス変更に伴い、Plus もしくは Apexライセンスを購入すると 入手できる Product
Authorization Key（PAK）を、"複数"のASAに利用可能な、当デバイス接続数の制限を解除する
multi-useなキーとして利用できます。複数のASAに、同じPAKを利用いただけます。
リ
交換
ASAへの適用方法は、最初に、www.cisco.com/go/license にアクセスし、PAKと 適用対象のASAのシ
アルを元に、activation keyを発行します。適用対象が複数ある場合は、対象のASAのシリアル毎に、
各activation keyを発行してください。この際、必ず、 Quantity(適用数)は 1個ずつ選択し、各デバイスを
登録してください。All Quantityオプションは利用しないでください。また、ASAのシリアルは “show
version”コマンドで確認したものを利用してください。 次に、発行した各activation keyを、各ASAに適用
します。適用後は、そのASAのハードウェアキャパシティの最大値まで デバイス終端が可能となります。
仮 にASAハードウェアが故障しRMAを行う際も、PAKの再利用が可能ですので、お客様にて新しい
ASAに、同様の手順で activation keyを発行・適用いただけます。その為、AnyConnect 4.x では、機器
に伴うリホスト(シリアル付け替え)が不要となり、保守上も簡便です
Source: https://supportforums.cisco.com/ja/document/12501781
ライセンス - PAK or no PAK?
AnyConnectにはPAKがあり、multi-useなキーとして利用できます。複数の
ASAに、同じPAKを利用いただけます。
ユーザ分のライセンスを購入してください。
FAQ
Q1
現在、AnyConnectのPremium（又はPremium Shared）ライセンスを使用しています。この場合に適応され
るApexライセンスへのマイグレーションプログラムはありますか？
A1
はい、最長3年間ご利用いただける無償マイグレーションライセンスをご利用いただけます。
マイグレーション専用の$0型番をご用意いたしております。
Q2
現在、AnyConnectのEssentialsライセンスを利用しています。この場合に適応されるPlusライセンスへの
マイグレーションプログラムはありますか？
A2
はい、通常のPlusライセンスをディスカウント価格でご提供いたします。マイグレーション専用型番をご選
択ください。
FAQ（続き）
Q3
現在、AnyConnect3.X（Essentialライセンス）を利用しており、特に差し迫ってAnyConnect4.0を導入する
理由がないのですが、その場合はAnyConnectのライセンスをアップグレードせずに、現在のEssentialラ
イセンスを利用し続けることは可能でしょうか。
A3
はい、現在ご利用いただけますがEOS/EOLがアナウンスされておりますのでご注意ください。
Q4
モバイル端末用のAnyConnectは自動アップグレードされてしまうので、アップグレードをさせないなど情
報システム部門側で管理・制御ができません。どうしたらよいでしょうか。
モバイル端末用AnyConnectに限り、AnyConnect4.0でも継続して既存のライセンス（例：Essential、
Premium等）が2016年4月末日までと有限でご利用いただけます。
この期間中にAnyConnectライセンスのPlusまたはApexへの移行をお願いいたします。
A4
Supplemental End User License Agreement (“SEULA”) に利用期日を記載し、以下に掲載しております。
http://www.cisco.com/c/dam/en/us/td/docs/security/vpn_client/anyconnect/anyconnect40/license/end_user/AnyCo
nnect-SEULA-v4x.pdf
Q5
今回のライセンス体系の変更にともない、ASAで終端できる同時アクセス数に変更はありますか？
A5
ございません。
FAQ（続き）
Q6
ASA本体とAnyConnectライセンスのバンドル型番は今後も提供されますか？
A6
いいえ、AnyConnect4.0のリリースに伴い、ASA本体とAnyConnectライセンスのバンドル型番の用意は
なくなります。
Q7
Per-App VPN機能を使う場合、何か制約はありますか？
A7
利用に際してAnyConnectに制約はございませんが、各モバイルOSベンダー側で要件が設定されており
ます。詳細は各モバイルOSベンダーにお問合せください。
Q8
現在、Cisco ISE（Cisco ISEのAdvancedライセンスが実装済み）を使用しています。この場合、
AnyConnect4.0を使用して検疫を行う場合、追加で何らかのライセンスを購入する必要がありますか？
A8
Cisco ISEのAdvancedライセンスをすでにご利用中のユーザには、AnyConｎect Apexライセンスを無償
（いわゆる$0オーダー）で提供可能です。この無償ライセンスは、Cisco ISEのAdvancedライセンスの有
効期限中ご利用いただけます。
FAQ（続き）
Q9
ASAを冗長構成させている場合、AnyConnect 4.0用のPAKをアクティブ側・スタンバイ側の両方に適応し
ても構わないということでしょうか？
A9
はい、その通りです。
AnyConnect 4.0よりライセンスはASAに紐づくのではなく、ユーザーに紐づくという考え方になりました。
今回より、PAK（Product Activation Key） は複数の ASA に適用可能な key として使えますので、VPN
接続用として利用している ASA 全てに同じ PAKを適応していただくこととなります。
Q10 APEX/Plusライセンスを購入済みユーザーが、ユーザー数を増やしたい場合の購入方法は？
AnyConnect 4.0より、ユーザー数ベースでの課金モデルとなりましたので、運用中に発生するユーザー
数の増減に対応できるよう、
• 更新時のユーザー数/期間の変更
A10
• 運用開始後のユーザー数の追加
が可能となりました。
ユーザー数を追加されたい場合は、新たに、その際、必要なユーザー数と期間のライセンスをご購入い
ただくこととなります。
FAQ（続き）
例えば、
Q11
•
•
•
5台のASAがあります
AnyConnect500ユーザを一つ購入しました
各ASAにて、100ユーザずつAnyConnect 4.0を使ったリモートVPN接続サービスを提供します
という場合、PAKは一つしか発行されませんが、残り４台のASAにあてるライセンスはどのようにしたら
良いのでしょうか。
A11
複数台のASA に紐づけて登録することが可能なCisco AnyConnect用アクティベーション キー（PAK）
が発行されます。2台目以降に関しても、このPAKを使ってそれぞれのASA用にCisco AnyConnectのラ
イセンスを発行して、それらを各ASAにインストールしてください。
期間及びユーザのライセンスカウントは物理的に制限をかけているものではないため、購入した数に
従って、ユーザ様がご利用頂くものとなります。
Q12
PlusライセンスとApexライセンスを同一のASAに混在（同居）させることは可能ですか。
A12
はい、可能です。
FAQ（続き）
Q13
A13
AnyConnect（Plus/Apec）のTermライセンスを購入しました。ライセンスの開始日と終了日の考え方教
えてください。
ライセンスの開始日：出荷日（E-Delivery日）＋１日
ただし、ライセンスの開始日から30日間、配送、インストールのための猶予期間が自動的に設定されて
います。そのため、ライセンスの終了日は
ライセンスの終了日：ライセンス開始日＋30日からTerm期間後（1/3/5年後）
となります。
例：2014年10月25日に出荷された場合
ライセンス開始日：2014年10月26日
ただし契約管理システム上は 2014年11月26日
ライセンス終了日（3年契約の場合）：2014年11月26日から3年後
Q14
ユーザ数が150（同時アクセス数ではない）なのですが150のユーザ数の設定がありません。どのように
したら良いのでしょうか。
A14
ユーザ数の50と100をご購入ください。Cisco AnyConnect用アクティベーション キー（PAK）が複数発行
されますが、いづれか一つのPAKを使用し、ライセンスを取得後ASAにインストールしてください。残り
のPAKは保持してください。
5. ISE
BOM例：ISE
想定




エンドポイント管理数：1,000
有線、ワイヤレス、VPN エンドポイント
機能：AAA/RADIUS 認証、ゲスト ライフサイクル管理 、TrustSec対応
シングル構成
 ISE
Item Name
SNS-3415-K9
SNS-UCS-TPM
SW-3415-ISE-K9
ISE-SNS-ACCYKIT
L-ISE-BSE-1K=
Description
Small Secure Network Server for ISE NAC & ACS Applications
Trusted Platform Module for UCS servers
Cisco ISE Software for the SNS-3415-K9
ISE SNS Accessory Kit
Cisco Identity Services Engine 1000 EndPoint Base License
※
※
本体保守、電源ケーブル等細かいパーツのSKUは省略しております。
冗長構成の場合はアプライアンス本体の数量を２としてください。
Quantity
1
1
1
1
1
ライセンス - PAK or no PAK?
ISEにはPAKがあります。
必要なエンドポイント分のライセンスを購入してください。
その他 よく頂くご質問
Q1.PAKの発行のタイミングはいつなのか？
A1. 発注ツールや製品依存もありますが、通常のであれば以下の通りです
PAK発行のタイミング：
CCW Submit分：Booked後、24時間以内
** Early Ship Flag をNoで設定した先付のオーダは、Req DateまでPAK発行されませ
ん。
CSCC Submit分：ライセンスに紐づく、コントラクトがあれば発行は1日ですが、ステータス
がShippedになるまで（Entitelmentが完了）3日程度必要で、PAKが発行されても
Activation出来ません。
その他 よく頂くご質問
Q2. ライセンス開始日を指定できないのか？
A2. CCWでは６０日先まで指定することが可能です。
Smart Account / Smart Licensing概要
エンドユーザ
一次店
リセラー
Smart Account登録
発注
アクティベーション
Cisco Software
Workspace
Cisco Commerce
Workspace
Cisco Smart Software
Manager
(CSW)
(CCW)
(CSSM)
Customer Account登録
発注後にCAを
リアサイン
Tokenを発行、ライセンスのア
クティベーション、管理
Holding Account登録
CA割り当て＆発注 または
HA割り当て＆発注＆CA再割当
発注時にCA
をアサイン
ディストリビュー
ター
シスコ
Holding Account登録
Account/DomainIDの承
認
CA割り当て＆発注 または
HA割り当て＆発注＆CA再割当
管理権限付与
PAK発行のプロセスは
省かれます。
 使用許諾書（EULA)をeDelivery
で送付
 ライセンス情報をCSSMへ送付
Interop Tokyo 2015
Ciscoは”グローバルパートナー”として、
最新アーキテクチャ、ソリューションを一挙に展示予定。
Cisco 公式サイト:
http://www.cisco.com/web/JP/event/interop/index.html
セキュリティ製品購入対応表: CCW/CSCC
CCW（新規購入）
CCW（更新）
CSCC（新規購入）
CSCC(更新）
開始日/終了日指定可能
(CCW/CSCC)
DVARがCCWで日数単位
(1年以上での）で購入可能か?
DVARがCSCCで日数単位
(1年以上での）で購入可能か?
DistiがCSCC(CCW不可)で日数
単位(1年以上での）で購入可能
か?
ASA with FP FirePOWER AMP for EndPoint ISE
AnyConnect
Perpetual Term
OK
OK
N/A
OK
NG
NG
N/A
NG
ESA
WSA
OK
NG
OK
OK
OK
NG
OK
OK
OK
NG
NG
OK
OK
NG
NG
OK
OK
OK
NG
NG
OK
OK
NG
NG
OK
Ok
OK
OK
OK
NG
OK *1
OK *1
OK
OK
OK
OK
OK
NG
NG
NG
NG
NG
NG
NG
NG
NG
NG
NG
OK
OK
OK
OK
OK
NG
NG
NG
*1 日時指定でなく、日数指定（発注日+60日先まで選択可能）、ただし終了日は指定できません
免責事項:上記期間で確認された内容を記載しておりますが、予告なしに、情報を変更することがあります。本資料に含まれる情
報もしくは内容をご利用されたことで直接・間接的に生じた損失に関し、一切責任を負うものではありません。 (2015/6/1現在）