シスコのField Notice(FN)とは
最近、シスコから Field Notice 情報がよく送られてきます。
シスコのWebサイトによると、
「Field Notice とは、セキュリティ脆弱性の問題以外でシスコ製品に直接関係し、アップグレード、回避策、またはその他の対策が通常必要となる重要な問題に関する通知のことです。製品の問題が古くなっている場合、または影響を受けるすべての製品がサポート終了になっている場合、その Field Notice には「期限切れ(Expired)」のラベルが表示される場合があります。」 ということです。
シスコの製品をお使いのお客様にとっては重要な情報となっています。
Field Notice (以後FN) は公式に英語のみで発行され、影響を受ける製品、障害 ID 番号、問題の症状、回避策、解決方法などの情報を提供します。具体的には、FN は主に次のような構成になっています。
- タイトル – FN 番号、問題の概要説明、推奨されるアクションを 1 行で体系的に示したものです。
- 影響を受ける製品 – 問題の影響を受ける製品 ID のリスト。
- 問題の説明 – 問題に関する簡単な説明。
- DDTS(Bug ID)– www.cisco.com の Bug Toolkit によるバグの検索に使用できる Bug ID。
- 背景説明 – 問題の経緯および考えられる原因。
- 問題の症状 – システムで発生する可能性がある状態と、問題の存在を示す動作または兆候に関する説明。
- 回避策 – 問題を回避する、または状況を修正するための、次に取るべき手段に関する説明。
- ハードウェア レベルの識別方法(オプション)– 必要に応じて、使用中のハードウェアが問題の影響を受けているかを判別する手順を説明します。
FNに記載されている問題が発生した場合は、「回避策/解決方法」セクションで推奨されるアクションを実行する必要があります。このセクションでは、発生している問題から回復する、または問題のリスクを軽減するための最良の方法を示されています。
また、右側のフレームには、“This Document Applies to These Products” とあり、対応が必要な製品名・型番・バージョンなどの表示とリンクがありますので、現在お使いの製品なのかを確認できますので、ページ内のリンク情報も合わせてご確認いただければと思います。
FN に関しては後述のシスコ web サイトをご覧ください。
“QuoVadis Root CA 2” が含まれるFNとその影響
ところで、最近公開されているFNに、“QuoVadis Root CA 2” というキーワードが含まれているものが続いています。
まとめて表にしてみました。(2022年3月14現在)
| Tech | Product | Field Notice # |
|---|---|---|
| EN | Catalyst Switching Products | 72323 |
cBR8 | 72116 | |
Prime Infrastructure | 72110 | |
Cisco Identity Services Engine | 72111 | |
Cisco DNA Center | 72359 | |
| SEC | ASA and Firepower | 72103 |
Security Management Appliance(SMA) | 72109 | |
Cisco Secure Email Gateway (ESA) and Web Security Appliance (WSA) | 72113 | |
Email Security Appliance | 72106 | |
| COLL | Customer Collaboration Portal | 72117 |
Cisco Unity Express | 72314 | |
Unified Contact Center Express | 70557 | |
Cisco Unified SIP Proxy | 72315 | |
CUCM, SME, and IM&P, Incoming Calls to Cisco Jabber/WebEx (Android and iOS) | 72120 | |
Expressway and VCS | 70527 | |
Cisco Unity Connection | 72291 | |
Cisco Unified Communications Manager / Session Management Edition | 72318 | |
Prime License Manager | 72121 | |
| DC | Nexus Product Line | 72115 |
| IoT | IE3x00 and ESS3x00 Switches | 72298 |
| SP | Cisco IOS XR Software | 72290 |
| Small Business | Cisco 2 Port Phone Adapter SPA112, Cisco SPA122 | 72345 |
Cisco IP Phones: SPA5xx | 72352 | |
| Cisco Unified IP Conference Phone 8831 for Third-Party Call Control | 72366 |
まず、この問題に関連する既知のセキュリティ上の影響はないとのことです。
さて、Cisco の製品およびソフトウェアは、TLS(Transport Layer Security) またはその前身であるSSL (Secure Sockets Layer) を使用して、バックエンドやクラウドサービスと通信します。PKI 証明書により、スマートライセンスやスマート コール ホームなど、Cisco.com 上のパブリック向けサービスへのセキュアな接続が可能になります。
2020年7月に、特定の認証局(CA) の失効能力に影響を与える業界全体の問題が発生しました。その結果、QuoVadis Root CA 2 を運営する DigiCert 社は、新しいTLS証明書の発行にこのルートの使用を廃止することに決定し、2021年3月31日に、QuoVadis ルート認証局(CA) を廃止します。
これは、Cisco のパブリック向けサービスが QuoVadis Root CA2 から IdenTrust 社の Commercial Root CA1 に証明書を移行し、Cisco製品やソフトウェアがそのPKI トラストストアに、 IdenTrust Commercial Root CA 1 を含むように更新されています。 つまり、QuoVadis ルート認証局(CA) から発行された一部の証明書の有効期限が切れると、この認証局から新しい証明書が発行されない、ということなります。 QuoVadis Root CA2 が廃止される前に発行された証明書は、個々の有効期限が切れるまでは有効ですが、有効期限が切れると更新されなくなります。
ですので、シスコ社では、多くの製品およびパブリック向けサービスが、IdenTrust PKI認証局(CA) へと移行しています。従って、この移行に影響を受けるすべてのCisco製品は、IdenTrust CA が提供するPKI証明書を認識できるようにアップグレードする必要があります。 Cisco からは、現在皆さんがお使いの製品・ソフトウェアについて、PKIアップグレードをどのように行うかについての具体的な方法を提供するために FN を発行しています。
シスコの製品の中で特に直近で期日が判明しているものとして tools.cisco.com がホストするスマートライセンシングおよびスマートコールホームサーバーの切り替えがあります。2022/2/5 より順次行われるため、バージョンアップまたは証明書の入れ替え等の対応が必要になります。
現在お使いのシスコの製品およびソフトウェアで対応が必要かどうかは、シスコから発行されている FN をご確認の上、ご対応ください。
また、シスコより情報が更新されましたら、ブログ等にてお知らせしたいと思います。
情報:
◇発行中の各種 Cisco Field Notices:
https://www.cisco.com/c/en/us/support/wireless/catalyst-9800-series-wireless-controllers/products-field-notices-list.html
◇Cisco の “Field Notice” について
https://www.cisco.com/c/ja_jp/support/web/tsd-products-field-notice-summary.html
参考・参照・転載元: https://www.cisco.com
<事例/ビジネスインサイトのホワイトペーパーはこちらから>
https://nttcdd.jp/insight/
