ISE 3.2と3.4のポリシー設計における主な違いは何ですか？

Cisco ISE 3.4は、ISE 3.2と比較して、Messaging Serviceの信頼性向上、クラウドアイデンティティプロバイダー向けのSAML 2.0サポートの拡張、より粒度の細かいポスチャアセスメントオプションを導入しています。また、デフォルトで古い安全でないプロトコルを廃止することでセキュリティを強化しています。

ISEポリシー評価における遅延を最小限に抑えるにはどうすればよいですか？

大規模なデプロイメントでは、Service SelectionポリシーでDevice GroupsおよびLocation-based属性を使用し、個々のPolicy Setsを絞り込み、それぞれを100ルール未満に保つべきです。トップダウン評価ロジックを使い、最も頻繁なトラフィック（dot1x）をあまり頻繁でないトラフィック（Guest/CWA）の上に配置します。

MAB（MAC認証バイパス）はZero Trust環境でまだ有効ですか？

MABは常にDHCPおよびHTTPプロファイリングと組み合わせるべきです。MAC OUIだけで信頼してはいけません。高セキュリティ環境では、未知のMABデバイスはSGTを使って隔離し、NMAPでスキャンしてから制限付きアクセスを許可すべきです。

セグメンテーションにVLANの代わりにSGTを使用すべきなのはなぜですか？

TrustSec SGT（Security Group Tags）は、基盤となるVLAN/IPトポロジーに依存しない、アイデンティティベースのセグメンテーションを可能にします。これにより、ファイアウォールルールセットの複雑さを軽減し、大規模なキャンパスネットワークにおける「VLAN sprawl」を防ぎます。

「EAP Session Timed Out」エラーをトラブルシューティングするにはどうすればよいですか？

「Operations > RADIUS > Live Logs」を確認し、エラー5411を探します。これは通常、サプリカントとISE間の通信ギャップを示しており、多くの場合、ネットワークスイッチまたはエンドポイントのEAP設定でのタイムアウトが原因です。

グローバルなISE 3.4デプロイメントに推奨されるハードウェアは何ですか？

大規模なデプロイメントでは、地域ごとに3700シリーズのアプライアンスまたは同等のVMをペアで使用します。PSNとPrimary PANの間でデータベース同期のために300ms未満のラウンドトリップ遅延があることを確認してください。EAPトラフィックにはセッションパーシステンスを持つロードバランサーを使用します。

エンタープライズデザイン：Cisco ISE 3.4 ポリシーセット活用術 2026年版

Cisco Identity Services Engine (ISE) 3.4は、単なるRADIUSサーバーではなく、プログラマブルネットワークのポリシーエンジンです。もしあなたが、未だにISEをロジックが多すぎるポリシーセットの平坦なリストで展開している場合や、コンテキストに基づかないセグメンテーションによる古い「ヒットファースト」ロジックに依存している場合、IoTの普及と2026年のZero Trust要件の重みに耐えきれず崩壊する砂上の楼閣を構築していることになります。ISE 2.xから3.xへの移行は、多くのエンジニアが見過ごしているアーキテクチャ上のニュアンスをもたらし、パフォーマンスの低下やトラブルシューティングを悪夢にする「ポリシーの肥大化」につながっています。

モダンポリシーセットのアーキテクチャ

ISEを大規模に設計するには、「レガシーサイロ」アプローチから脱却する必要があります。グローバルエンタープライズでは、Policy Setsは、グローバルなデバイスタイプではなく、サイトタイプやビジネスユニットによって構造化されるべきです。ISE 3.4はポリシーをトップダウンで処理しますが、評価速度は各セット内の条件数に大きく依存します。我々は、評価パスを最小限に抑えるためにPolicy Set hierarchyを利用します。

2026年対応のポリシーセット構造の「ゴールデンスタンダード」は以下の通りです。

Global Infrastructure: (ネットワーク管理者向けTACACS+)
Wireless - Corporate: (802.1X, EAP-TLS, マネージドデバイス)
Wireless - Guest: (WebAuth, CWA)
Wired - Dot1X: (ワークステーション向け厳格な802.1X)
Wired - MAB/IoT: (ヘッドレスデバイス向けプロファイリング重視)
VPN/ZTNA: (SAML 2.0 / Azure AD統合によるAnyConnect/Secure Client)

有線と無線をポリシーセットレベル（トップレベル）で分離することで、エンジンがすべてのMAC認証バイパス（MAB）リクエストに対してチェックしなければならない認証ルール数を減らすことができます。もしIoTスキャナーがCEOのiPadと同じポリシーセットにヒットしているなら、あなたの設計は欠陥があります。

高度な条件：基本的なRADIUS属性を超えて

ISE 3.4では、Smart Conditionsを活用します。IPアドレスや特定のSwitch IDをポリシーにハードコーディングするのをやめましょう。代わりに、Device GroupsとLocation階層を使用してください。もし500のオフィスがある場合、DEVICE:Device-Location属性を使用します。これにより、新しい支店が開設されてもポリシーロジックに1行も追加することなく、10万以上のエンドポイントにスケールすることができます。

Condition: Wired_Auto_Condition
Logic: Radius:Service-Type EQUALS Framed-User 
AND Cisco-VPN-3000:CVPN3000-User-Group CONTAINS 'Finance'
AND DEVICE:Device-Location STARTSWITH 'Americas#West'

PassiveIDの導入とMicrosoft Azure AD (Entra ID)との深い統合により、条件にはAzureAD:ExternalGroupsを頻繁に使用すべきです。しかし、一般的な落とし穴は、クラウドへの複数のREST APIコールによって引き起こされる遅延です。3.4では、認証タイムアウト（エラー5411）を防ぐために、ADコネクタからの高頻度属性フェッチを処理するためにISE Messaging Serviceを利用していることを確認してください。

認証プロファイルとTrustSec (SGT) 統合

従来のVLANベースのセグメンテーションは終焉を迎えました。それはあまりにも脆いです。モダンなCisco DNA Centerまたは手動のVXLAN/EVPN環境では、認証プロファイルがSecurity Group Tags (SGTs)をプッシュする必要があります。SGTは、ユーザーがキャンパス内のどこに移動してもパケットに付随する「IDラベル」です。

ISE 3.4で認証プロファイルを構成する際は、常に以下を返す必要があります。

VLAN ID/Name: SGT非対応スイッチ向けのフォールバックとして。
SGT (Security Group Tag): Catalyst 9kシリーズでのハードウェアベースの強制のため。
Voice Domain Permission: 単一ポートでのマルチ認証デプロイメントに必要。

たとえば、「Developer_Access」プロファイルはSGT 15を返すべきです。その後、ASA/FTDまたはCatalyst Core上のポリシーが、実際の15 -> 20 (DB_Servers)の許可/拒否ロジックを処理します。これにより、過去10年間キャンパスネットワークを悩ませてきた「VLAN Sprawl」を排除できます。

MAB vs. Dot1X：Zero Trustの対立

業界は「Dot1X everywhere」を推進していますが、2026年の現実は管理されていないIoTの爆発的な増加です。MAC認証バイパス（MAB）は本質的に安全ではありません。MACアドレスは容易に偽装されるからです。ISE 3.4でこれを軽減するために、Profiling + Probingを使用します。MACアドレスがリストにあるという理由だけで、MABデバイスがネットワークに接続することを許可してはなりません。

高精度プロファイリングのために、以下のプローブ階層を使用してください。

DHCP Probe: Option 55およびOption 60文字列をキャプチャします（OS検出に最も正確）。
HTTP Probe: ブラウザからのUser-Agent文字列をキャプチャします。
SNMP Query: レガシーな産業用スイッチに使用されます。
NMAP Scan: デバイスが「Unknown」の場合にCoA (Change of Authorization)としてトリガーされます。

これらのプローブを洗練させることで、「このデバイスはMACがHPにOUI登録されており、DHCP Option 60が『HP-JetDirect』と一致する場合にのみHPプリンターとして識別する」というポリシーを作成できます。もしOSが「Kali Linux」に変更された場合、ISEは即座にCoA disconnectを送信します。

3.4におけるポスチャアセスメント：コンプライアンスは必須

ISE 3.4は、AnyConnect/Cisco Secure Clientを通じてポスチャを処理します。ポストCOVIDのハイブリッド環境では、マシンの状態はユーザー認証情報と同様に重要です。企業資産に対するポリシーセットロジックは、常に次の3つの状態を含むべきです。

Unknown: テンポラリVLAN / 制限されたSGT。クライアントプロビジョニングポータルにリダイレクトし、エージェントをダウンロードさせる。
Non-Compliant: 修復（WSUS/パッチ管理）にリダイレクト。高リスクSGTを適用する。
Compliant: フルアクセスSGTを適用する。

これについては、Secure Clientポスチャモジュールの最適化に関する詳細記事をご覧ください。高価値のターゲット（財務担当者、管理者ロール）に対しては、初期ログイン後にEDR/AVを無効にしていないことを確認するため、4～8時間ごとに定期的な再評価（PRA）の使用を推奨します。

ISE 3.4のトラブルシューティング：エンジニアリングの現実

ユーザーが接続できない場合、最初にSwitch CLIを見るのをやめてください。直接Operations > RADIUS > Live Logsにアクセスしてください。ISE 3.4では、詳細レポートの「Steps」セクションがあなたのロードマップとなります。「Step 11001: Received RADIUS Access-Request」から始まり、「Step 15008: Evaluating Service Selection Policy」まで追跡してください。

現場でよく見られる障害は以下の通りです。

11507 Ext-ID Store failure: ISEノードがDomain Controllersに到達できません。遅延を確認してください。200msを超える場合、認証は失敗します。
5411 EAP Session Timed Out: 通常、エンドポイントがユーザー認証情報の入力を待っている、またはスイッチのタイムアウトが早すぎるのが原因です。Catalystポートのdot1x timeout tx-periodを増やしてください。
12511 Unexpected Certificate in EAP-TLS: クライアントが、Trusted Certificatesストア内のCAによって署名されていない証明書を提示しているか、またはCRLチェックが失敗しました。

Cisco ISEノードに組み込まれているTCP Dumpツール（Operations > Troubleshoot > Diagnostic Tools）を使用して、Policy Service Node (PSN)のGi0インターフェースで直接トラフィックをキャプチャしてください。これは、スイッチでRSPANを設定するよりも高速であることがよくあります。

デプロイメントのスケーリング：PSNグループとロードバランシング

単なるラウンドロビンロードバランサーを使用するだけではいけません。大規模なISEデプロイメント（5万以上のエンドポイント）では、F5またはCitrix ADCでPersistent Sessionsを使用してください。エンドポイントがPSN-01でEAPシーケンスを開始した場合、PSN-01で完了する必要があります。もしロードバランサーがトランザクションの途中でPSN-02に切り替わると、EAPの状態はノードにローカルであるため、セッションは失敗します。

PSNノードは地理的な地域ごとにペアで設計してください。単一の3695（ラージ）アプライアンスは、約5万の同時セッションを処理できますが、プロファイリングが重いMABスパイク（停電時に5,000台のプリンタが一斉に再接続しようとする場合など）のヘッドルームを確保するため、3万で上限を設けることを推奨します。

要約すると、Cisco ISE 3.4はネットワークの頭脳です。ポリシーセットをコードと同じ厳密さで扱ってください。すべての条件に目的があり、すべてのルールがマクロセグメント化されたSGT駆動型環境へとあなたを近づけるものであるべきです。ISE設計やセキュリティ監査に関する実用的なサポートについては、techleague.ioまでお問い合わせください。