Cisco Secure Firewallの入門者向け記事として、3回に分けて製品の全体的な情報を整理してお届けしております。第３回となる今回はライセンスの種類と提供形態についてご紹介したいと思います。

　　第１回：Secure Firewallの概要

　　第２回：製品ラインナップのご紹介

　　第３回：ライセンスの種類と提供形態について

Cisco Secure Firewallで稼働させるOS（ASA OS/FTD OS）によって、利用可能なライセンスが異なります。

1000/1200/2100/3100/4100/4200/9300筐体にASA OSを搭載した場合に利用可能なライセンスは下記となっています。

• Essentials（旧Standard）

  • 標準で付属する必須ライセンスです(無償)。ASA機能をサポートします。

  • 永久ライセンス

• Context

  • マルチコンテキストモード利用時にコンテキストを追加するためのライセンスです。

  • 永久ライセンス、有償

• Carrier

  • Diameter、GTP/GPRS、SCTPインスペクションを利用するためのライセンスです。

  • 永久ライセンス、有償

• Security Plus

  • Firepower1010でのみサポートされるライセンスです。FPR1010においてFailover機能(冗長化)を利用する場合に適用が必要です。

  • 永久ライセンス、有償

• Strong-encryption（3DES/AES）

  • 高度暗号化ライセンス。古いライセンスであり、通常は必要ありません。

  • 必要となるのは2.3.0より前のバージョンのスマートライセンスサテライトサーバ（On-Premサーバ）を利用する場合になります。

  • こちらのライセンスを購入せずとも、スマートライセンス認証の際のID Token発行時に「Allow export-controlled functionality on the products registered with this token（このトークンに登録された製品の輸出規制された機能を許可する）」へチェックを入れておけば暗号化機能は利用可能です。
    ※利用可能となる機能：SSH、VPN等

上記のライセンスに加え、リモートアクセスVPN機能を利用する場合はSecure Clientライセンスの購入が別途必要です。

1000/1200/2100/3100/4100/4200/9300筐体にFTD OSを搭載した場合に利用可能な主要ライセンスは下記となっています。

• Essentials（旧Base）
  • 標準で付属する必須ライセンスです(無償)。Firewall機能やAVC機能等をサポートします
  • 永久ライセンス
• IPS（旧Threat）
  • IPSや Security Intelligence、File Control機能を利用するためのライセンスです。
  • 期間ベースライセンス（サブスクリプション）
• Malware Defense(旧Malware)
  • アンチマルウェア機能を利用するためのライセンスです。
  • 期間ベースライセンス（サブスクリプション）
• URL Filtering
  • カテゴリやURL評価に基づくURLフィルタリングを利用するためのライセンスです。
  • 期間ベースライセンス（サブスクリプション）
• Carrier
  • Diameter、GTP/GPRS、M3UA、SCTPインスペクションを利用するためのライセンスです。
  • 3100、４１００、４２００、９３００、FTDｖで利用可能です。
  • 期間ベースライセンス（サブスクリプション）

Essentials以外のライセンスは必要に応じて適用します。それぞれのライセンスを組み合わせることも可能です。

上記のライセンスに加え、リモートアクセスVPN機能を利用する場合はSecure Clientライセンスの別途購入が必要です。

1000/1200/2100/3100/4100/4200/9300筐体の場合、ライセンスの形態はASA OS、FTD OSともにスマートライセンス形式のみのサポートとなります。

スマートライセンス形式となりますので、インターネットアクセスによるライセンス認証が必要です。初回の認証後にも、30日毎に自動でライセンスクラウドと定期認証が行われます。このタイミングで再認証ができない場合でも、90日以内にライセンスクラウドと疎通が取れれば、機能制限なく運用が可能です。

閉域網（インターネットアクセスができないクローズド環境）でSecure Firewallを利用したい場合、ライセンス認証の選択肢としては下記の3つの方法があります。
※「Smart Licensing Using Policy」は現時点ではサポートしておりません。（2026年1月時点）

① SSM On-Premサーバ（サテライトサーバ）経由でのライセンス認証

② SLR(Specified License Reservations)の利用

• SLRはFTD OSのみのサポートです。
• FTD Version 6.3.0 以降（FMC管理）でサポートされています。
  ※FDM管理の場合は非サポートです（2026年1月時点）
• 任意の既存ライセンスをSLR指定し利用。CSSM上で必要な数分だけSLR化します。

③​​​​​​UPLR(Universal Permanent License Reservations)の利用

• ASA OS、FTD OSともにサポートされています。
• ダークネットワークや完全なクローズネットワークで利用
• 通常のライセンスとは異なるPLR用の専用ライセンスを用意する必要があります。
• 利用にはCiscoアカウントチームへの申請が必要です。事前審査が行われます。

Cisco Secure Firewall（１０００/1200/2100/3100/4100/4200/9300）で稼働させるOS（ASA OS/FTD OS）によって、ライセンス認証方法が異なります。

ASA OSの場合、ライセンスの認証設定は筐体シリーズによって2つに分かれます。

•  1000/1200/2100/3100/4200

  • 認証設定は ASA OS側で実施します。

  •  ASA OSがスマートライセンス認証します。

•  4100/9300

  • 認証設定はFXOS側で実施します。

  • FXOSがスマートライセンス認証します。

  •  セキュリティアプリケーション(ASA)は、FXOS(※1)にライセンス利用要求します

図：ASA OSの場合のライセンス認証イメージ

※1 FXOS（Firepower eXtensible Operating System）
1000/1200/2100/3100/4100/4200/9300シリーズにおける管理OS(スーパーバイザ)。これらの筐体においてはASA OS/FTD OSはFXOSをベースとして、アプリケーション(論理デバイス)として動作します。

ライセンス認証手順については以下のメーカドキュメントをご参照ください。

FTD OSの場合、ライセンスの認証設定は管理方法によって2つに分かれます。  

• FMC管理

  • 認証設定は FMC上で実施します。

  • FMCがスマートライセンス認証を行います。そのためFMCのみがインターネットアクセスできれば認証可能です。

  • FMCが 管理デバイス(FTD)にライセンス割当てと管理を行います。

図：FTDOSでFMC管理の場合のライセンス認証イメージ

• FDM管理
  • FDM上で認証設定を行います。つまり、筐体が直接ライセンス認証を実施する形です（インターネットアクセス要）。

ライセンス認証手順については以下のメーカドキュメントをご参照ください。

シリーズの最終回となる第3回目となる今回はSecure Firewallのライセンスに関してご紹介させていただきました。筐体へ搭載するOSによって、ライセンス種別や適用方法等も異なるため混乱される部分もあるかと思いますが、今回の内容が少しでも皆さまのお役に立ちましたら幸いです。

■関連記事