シスコ技術者認定 CCNP Security Learning@Cisco Interop Tokyo 2014

2014年6月

Cisco Public 2 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

ルーティング ＆スイッチング

Cisco Certified Architect

CCIE Routing & Switching

CCNP

セキュリティ

CCIE Security

CCNP Security

CCNA Security

ボイス

CCNP Voice

CCNA Voice

ワイヤレス

CCIE Wireless

CCNP Wireless

CCNA Wireless

サービス プロバイダー

CCIE Service Provider

CCNP SP

CCIE SP Operations

CCNP SP

Operations

サービス プロバイダー オペレーション

CCNA SP

Operations

CCNA SP

CCIE Data

Center

ネットワーク デザイン

CCDE

CCDP

CCENT

データセンター

CCDA

エキスパート

アーキテクト

アソシエイト

プロフェッショナル

エントリー

CCNP Data

Center

CCNA Data

Center

ビデオ

CCNA Video

CCENT

CCIE Collabo-

ration

CCNA Routing& Switching

コラボレーション

CCENT

シスコ技術者認定ロードマップ（2014年6月現在）

Cisco Public 3 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

CCNP Security 改訂理由

製品から ソリューションへ

• セキュリティは、全アーキテクチャにおいて組込みの方向性にシフト

組込みセキュリティ

スタンドアローンセキュリティ

34%

66%

51% 49%

• エンドツーエンドのネットワーク セキュリティ ポスチャを全体的に把握している ネットワーク セキュリティ エンジニアに対するニーズが企業の間で高まっている

Cisco Public 4 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

製品とソリューション トレーニングに注力

• 特定の Cisco ネットワーク ･セキュリティ製品に関する

高度な専門知識取得のため、ネットワーク・セキュリティの専門家向けに

最新かつ適切な Cisco 製品やソリューションのトレーニング提供を継続

• 新 CCNP Security 主なソリューション

Core and Advanced Adaptive Security Appliances (ASA)

Intrusion Prevention Systems (IPS)

Implementing Bring your own device (BYOD) Solutions

Configuring Identity Services Engine (ISE) for Wireless Engineers

Cisco Public 5 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Implementing Cisco Edge Network Security Solutions

Implementing Cisco Threat Control Solutions

Implementing Cisco Secure Access Solutions

Implementing Cisco Secure Mobility Solutions

CCNP Security 関連4 試験

CCNP Security マイグレーション ツール

http://cs.co/9004i4BQ

Cisco Public 6 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

CCNP Security Topology

HQ-ASA

HQ-ISR

L3-Sw

HQ-Srv

Attacker PC

Guest PC Employee PC

DMZ

Management

Outside

Inside

Site-to-site

Partner-ISR

Branch-ISR

Partner-Srv

Branch-Srv

HQ-ISE Admin

PC

HQ-CDA

HQ-ESA

HQ-WSA

DMZ-Srv

HQ-ISR

IPS/CX SW Module

L3-Sw

Attacker PC

Guest PC Employee PC

SP-Srv

Internet-RTR

Internet

Cisco SIO

ScanSafe

Cisco Public 7 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Implementing Cisco Edge Network Security Solutions (300-206 SENSS)

• ネットワーク境界に設置されるエッジ デバイス (Cisco Switch, Router,

ASA Firewall 等) に対するセキュリティ機能の設定・実装に必要な知識

ネットワーク アドレス変換 (NAT)

Cisco Switch: レイヤ2 セキュリティ

ASA Firewall: セキュリティ ポリシーや Application Inspection

ASA Firewall: Packet Tracer や Packet Capture によるトラブル シューティング

Cisco Router: Zone-Based Firewall

ASDM, CSM 等によるデバイス管理

Cisco Public 8 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Implementing Cisco Edge Network Security Solutions (300-206 SENSS)

• 従来試験 (642-618 FIREWALL) との主な差分

対象製品の追加: Cisco Router / Switch

→ Switch のレイヤ2 セキュリティ (DHCP Snooping, Dynamic ARP Inspection, Private VLAN 等) や Router の Zone-Based Firewall 等に関する設定・運用

GUI Management Software の追加: CSM (Cisco Security Manager), SDM (Secure Device Manager)

他

Cisco Public 9 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

HQ-ASA

HQ-ISR

L3-Sw

HQ-Srv

Attacker PC

Guest PC Employee PC

DMZ

Management

Outside

Inside

Site-to-site

Partner-ISR

Branch-ISR

Partner-Srv

Branch-Srv

HQ-ISE Admin

PC

HQ-CDA

HQ-ESA

HQ-WSA

DMZ-Srv

HQ-ISR IPS/CX

SW Module

L3-Sw

Attacker PC

Guest PC Employee PC

SP-Srv

Internet-RTR

Internet

Cisco SIO

ScanSafe

Implementing Cisco Edge Network Security Solutions (300-206 SENSS)

Cisco Public 10 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Implementing Cisco Threat Control Solutions (300-207 SITCS)

• Cisco の次世代 Firewall を使用した高度なファイアウォール アーキテクチャや

その設定、アクセス ポリシー (トラフィックベース) とアイデンティティ ポリ

シー

(ホスト ベース) の利用等に関する知識

• Intrusion Prevention System (IPS)

• Context-Aware Firewall (ASA CX)

• Cloud Web Security

• E-mail / Web Content Security (ESA / WSA)

Cisco Public 11 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Implementing Cisco Threat Control Solutions (300-207 SITCS)

• 従来試験 (642-627 IPS) との主な差分

• 対象製品の追加: ASA CX, Cloud Web Security, ESA / WSA

→ Web や E-mail の Contents を監視する製品群の機能・実装に関する知識が必要

• 他

Cisco Public 12 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

HQ-ASA

HQ-ISR

L3-Sw

HQ-Srv

Attacker PC

Guest PC Employee PC

DMZ

Management

Outside

Inside

Site-to-site

Partner-ISR

Branch-ISR

Partner-Srv

Branch-Srv

HQ-ISE Admin

PC

HQ-CDA

HQ-ESA

HQ-WSA

DMZ-Srv

HQ-ISR IPS/CX

SW Module

L3-Sw

Attacker PC

Guest PC Employee PC

SP-Srv

Internet-RTR

Internet

Cisco SIO

ScanSafe

Implementing Cisco Threat Control Solutions (300-207 SITCS)

Cisco Public 13 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Implementing Cisco Secure Access Solutions (300-208 SISAS)

• IEEE 802.1X や Cisco TrustSec を利用したセキュアなアクセスを実現するための

コンポーネントやアーキテクチャに関する知識

Cisco Identity Services Engine (ISE) の製品概要

ISE のポスチャ ポリシー・プロファイリング ポリシー等を利用した

Bring your own device (BYOD) の基本概念

AAA の基本プロトコル: RADIUS, TACACS+ 等

Identity Management: LDAP, Active Directory, PKI, ワンタイム パスワード等

Switch での認証: IEEE 802.1X, MAB (MAC Authentication Bypass), Web 認証等

Cisco Public 14 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Implementing Cisco Secure Access Solutions (300-208 SISAS)

• 従来試験 (642-637 SECURE) との主な差分

Cisco Identity Services Engine (ISE) を中心として大幅に刷新

(従来の内容の大半は SENSS へ)

AAA (Authentication, Authorization, Accounting) の運用に則した知識が必要

Switch と ISE を組み合わせた認証ソリューションとアーキテクチャ:

IEEE 802.1X, MAB (MAC Authentication Bypass), Web 認証等

他

Cisco Public 15 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Implementing Cisco Secure Access Solutions (300-208 SISAS)

• Cisco Identity Service Engine (ISE) とは?

ACS と NAC の機能を兼ね備える

ユーザ / デバイスの認証

ネットワーク上のエンドポイント デバイスの検出、

プロファイリング、ポリシーの割り当て

エンドポイントのデバイス ポスチャ評価

有線 / Wireless / VPN のエンドポイント接続形態に

対応

Stand-alone / Distributed (HA) の機器構成、

サービス毎の分散構成に対応

ACS

NAC Guest

NAC Profiler

NAC Manager

NAC Server

Identity Services Engine

Cisco Public 16 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

HQ-ASA

HQ-ISR

L3-Sw

HQ-Srv

Attacker PC

Guest PC Employee PC

DMZ

Management

Outside

Inside

Site-to-site

Partner-ISR

Branch-ISR

Partner-Srv

Branch-Srv

HQ-ISE Admin PC

HQ-CDA

HQ-ESA

HQ-WSA

DMZ-Srv

HQ-ISR IPS/CX

SW Module

L3-Sw

Attacker PC

Guest PC Employee PC

SP-Srv

Internet-RTR

Internet

Cisco SIO

ScanSafe

Implementing Cisco Secure Access Solutions (300-208 SISAS)

Cisco Public 17 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

Implementing Cisco Secure Access Solutions (300-208 SISAS) ISE Architecture

Cisco Public 18 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

• Cisco ASA Firewall や Cisco IOS Software プラットフォーム (Cisco Router 等) で

利用可能な各種 VPN (Virtual Private Network) ソリューションにより

セキュアなリモート通信を適切に実装するのに必要な知識

リモート アクセス VPN:

Cisco AnyConnect Secure Mobility Client による IKEv2 / SSL VPN, Clientless SSL VPN

サイト間 (L2L) VPN:

GETVPN, DMVPN, FlexVPN 等の実装やソリューション、トラブル シューティング

Implementing Cisco Secure Mobility Solutions (300-209 SIMOS)

Cisco Public 19 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

• 従来試験 (642-648 VPN) との主な差分

対象製品の追加: Cisco Router

→ IOS Software を利用した Router で構成可能な L2L VPN ソリューション:

GETVPN, DMVPN, FlexVPN 等の実装や設定に関する知識

他

Implementing Cisco Secure Mobility Solutions (300-209 SIMOS)

Cisco Public 20 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

HQ-ASA

HQ-ISR

L3-Sw

HQ-Srv

Attacker PC

Guest PC Employee PC

DMZ

Management

Outside

Inside

Site-to-site

Partner-ISR

Branch-ISR

Partner-Srv

Branch-Srv

HQ-ISE Admin PC

HQ-CDA

HQ-ESA

HQ-WSA

DMZ-Srv

HQ-ISR IPS/CX

SW Module

L3-Sw

Attacker PC

Guest PC Employee PC

SP-Srv

Internet-RTR

Internet

Cisco SIO

ScanSafe

Implementing Cisco Secure Mobility Solutions (300-209 SIMOS)

Cisco Public 21 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

シスコ コンテンツを利用した勉強方法 ＃１ シスコ ラーニング ネットワーク ジャパン

http://cs.co/9003iCBx

Cisco Public 22 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

シスコ コンテンツを利用した勉強方法 ＃２ シスコ ラーニング ネットワーク US（英語）

http://cs.co/9003iCBx

Cisco Public 23 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

シスコ コンテンツを利用した勉強方法 ＃３

• ブルー プリント

各試験のブルー プリントには、

出題率が表示

Cisco Public 24 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

シスコ コンテンツを利用した勉強方法 ＃４

• CCO にログインせずに Command

Reference や Configuration Guide が

ダウンロード可能

• 全ページを読まずとも、“Overview”や

“Information About”を読むだけでも

非常に参考になる

Cisco Public 25 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

シスコ サポート コミュニティ

https://supportforums.cisco.com/community/5036/csc-japan

Cisco Public 26 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

シスコシステムズ 認定試験情報＆お問合せ先

• シスコシステムズ認定トレーニング / 認定資格

• www.cisco.com/jp/go/training/

• シスコ ラーニング ネットワーク ジャパン

• www.cisco.com/go/learningnetwork/jp

• シスコ技術者認定 Facebook

• http://www.facebook.com/Cisco.Learning.Japan

• シスコ技術者認定 Twitter

• https://twitter.com/#!/CiscoCertJapan

• 認定試験関連問合せ先 １： 試験内容、受験方法、トラッキング システムなど

• http://ciscocert.force.com/japan

• 認定試験関連問合せ先 ２：マーケティング活動：イベント、セミナーなど

• certification-japan@cisco.com

Thank you.