¶ 合法的に無料で最新OSを入手する方法(制限有り)
今回、中古で入手したNexusスイッチに対して、メーカー公式から「合法的に、かつ無料で」最新の修正版OSを引き出すことに成功しました。ネット上には「保守契約がないと絶対にOSは手に入らない」という情報が溢れていますが、一定の条件を満たせば可能なルートが存在します。同じように自宅サーバーで検証環境を構築している方々の助けになればと思い、私の実体験を交えてその具体的な手法とナレッジを共有します。
¶ はじめに:なぜ保守契約なしでOSが入手可能なのか?
一般的に、シスコのルータやスイッチの中古機器を個人や検証目的で入手した際、「有効な保守契約(Service Contract)がないと、OSのダウンロードは絶対に不可能である」と諦めてしまうケースがほとんどです。通常の機能追加やバグ修正を目的としたアップグレードにおいては、確かにその認識が正解です。
しかし、稼働中のOSに重大なセキュリティ脆弱性(CVSSスコアの高いHigh/Criticalレベル)が存在する場合に限り、シスコはネットワーク社会の安全性を担保するため、「保守契約のないユーザーや中古購入者であっても、該当の脆弱性を塞いだ修正版OSを無償で提供する」という特例の公式ポリシーを設けています。
この記事では、この「Security Vulnerability Policy」の例外規定を根拠として、サードパーティ(中古市場など)から機器を調達した個人ユーザーが、TAC(サポート窓口)との交渉を経て合法かつ確実に最新の修正版OSを引き出すための具体的なプロセスと、その根拠となる公式ドキュメントを解説します。
¶ 概要と前提条件
この手法は、あらゆる機器の最新OSを無条件で貰える裏技ではありません。シスコの公式ポリシーに基づき、以下の条件を厳密に満たしている必要があります。
¶ 対象となる2つの必須条件
- 該当する脆弱性の存在:
稼働中の機器のOSに、公式が認定した致命的な脆弱性(CVE)が存在し、公式の「セキュリティアドバイザリ」で影響を受けるバージョンとして明記されていること。
Customers Without Service Contracts
Customers who purchase directly from Cisco but do not hold a Cisco service contract and customers who make purchases through third-party vendors but are unsuccessful in obtaining fixed software through their point of sale should obtain upgrades by contacting the Cisco TAC:
https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.htmlCustomers should have the product serial number available and be prepared to provide the URL of this advisory as evidence of entitlement to a free upgrade.
- 製品が「現在サポートされている」こと:
機器が 「現在サポートされているハードウェアまたはソフトウェア製品(Currently supported hardware or software products)」 であること。
If the concern is in currently supported hardware or software products, the Cisco PSIRT, at the request of the Cisco TAC, will make a reasonable effort to validate the concern, collect required data, and report the findings back to the customer. Further in-depth analysis, assessment of “lateral” impact, or detailed characterizations of sources and other impacts are beyond the scope of the Cisco PSIRT and require that customers engage a full-service forensics analysis and impact assessment provider.
¶ 1. 事前準備
TAC(サポート窓口)へ連絡する前に、以下の4点を必ず準備してください。
- 実機のエビデンス
実機のコンソールから show version および show inventory の出力結果を取得しておきます。(※当該機器の所有証明および現在のOSバージョンの証明として必須です) - 申請根拠となる公式アドバイザリのURL
稼働中のOSバージョンが「Vulnerable Products(影響を受ける製品)」として明記されている、該当のセキュリティアドバイザリのURL。 - 希望する修正版OSの正確なファイル名とURL
Software Download ページで、脆弱性が修正された推奨リリース(星マーク付き等)の正確なファイル名(例: nxos.9.3.16.bin)と、そのページの直接URL(例: https://software.cisco.com/download/home/286290428/type/282088129/release/9.3(16) )を控えます。 - 整備されたCCO ID(アカウント)
Ciscoのログインページでアカウントを作成します。
輸出管理審査(Export Hold)の自動ブロックを回避するため、プロフィールの Company(会社名) 欄は絶対に空欄にせず 「Personal Use」 等と入力し、実在する正確な住所・電話番号(英語表記)を登録してください。
¶ 2. 初回申請(Webフォームからのチケット作成)
Frontline(一次受付窓口)のメールアドレスへ直接要求を送ると、自動システムに弾かれる仕様になっています。必ず指定のWebフォームからケース(チケット)を開設します。
- 整備済みのCCO IDでログインした状態で Web Help へアクセスします。
- ページ下部の 「Submit Inquiry」 をクリックします。
- カテゴリを以下のように選択します。
- Issue Category: Software Download
- Issue Subcategory: Access to Download Software Image
- Software Download URL: 事前準備(3)で控えたダウンロードページのURL(またはアドバイザリのURL)を入力します。
- Description(詳細): 事前に準備した要件(脆弱性対応である旨、機器情報、CCO ID、事前準備(1)の show version と show inventory の結果等)を英文で記載し、「Submit」を押して送信します。
¶ 3. エスカレーション(最大の山場)
初回申請後、TACのFrontline(一次受付担当者)から 「あなたの機器は保守契約がないため提供できない」というマニュアル通りの定型文で却下される可能性が非常に高い です。
ここで引き下がらず、相手の上司とPSIRTを巻き込んでエスカレーション(上位部署への引き上げ)を行います。却下メールが届いたら、元の件名を変更せずに「返信」 で以下の対応を行います。
※重要(スレッドIDの保持と手動での宛先追加):
却下メールの件名にはケース番号が含まれていないことがありますが、本文の最下部にSalesforceのシステムが管理するスレッドID(thread:: ***** ::)が記載されています。これを絶対に消さずにそのまま返信してください。
また、相手のメールには上司のアドレスがCCに含まれていません。単に返信するだけではエスカレーションにならないため、手動で宛先(CC)を追加する必要があります。
- 宛先 (To): 却下してきたメールの送信元アドレス(例: ent-dl@cisco.com または担当者アドレス)
- CC(超重要): 担当者の署名欄から チームリード(Team Lead) と マネージャー(Direct Manager) のアドレスを拾い出し、さらに psirt@cisco.com(シスコ製品セキュリティチーム)とともに手動で追加します。
この交渉の最大の武器は、シスコ公式アドバイザリ内の Customers Without Service Contracts セクションに明記されている「サードパーティから購入した顧客もTACへ連絡せよ」という一文を直接引用することです。直属の上司とPSIRTをCCに入れることで、一次担当者が独断でチケットをクローズすることを防ぎ、社内ポリシー違反のリスク(プレッシャー)を与えて例外処理を通させます。
¶ 4. ファイル指定とダウンロード完了
エスカレーションが成功すると、TAC側が例外対応(EntitlementのBypass)を承認し、「対象のファイル名を教えてほしい(Publishします)」と態度を軟化させます。
事前準備で調べた正確なファイル名と、該当ページへの直リンク(URL)を提示し、アクセス権の付与を依頼します。
¶ 最終手続きと完了
手続きが完了すると、シスコから別途専用ダウンロードリンクが記載された自動メールが届きます。
※重要: このリンクの有効期限は発行から「72時間のみ」です。
リンク切れを避けるため、メールを受信次第、速やかにファイルのダウンロードを実行してください。
無事にファイルが取得できたら、サポート担当者へ「無事にダウンロードできました。このケースはクローズして構いません(This case can now be closed.)」とお礼のメールを送り、すべての手続きが完了となります。
¶ 実体験:Nexus 92160YC-X のOS取得記録
¶ 1. 申請のきっかけ
某オークションで Nexus 92160YC-X (バージョン 7.0(3)I4(7)) を入手しましたが、当然ながら保守契約はありませんでした。このバージョンには CVE-2020-3119 (CDPのリモートコード実行) という深刻度Highな脆弱性が存在していたため、シスコの「Security Vulnerability Policy」に基づく無償パッチの申請を決意しました。
¶ 2. 最初につまずいた「一次受付の壁」
最初、TACの窓口アドレス(Frontline)へ、PSIRTをccに入れて直接メールを送ったところ、見事に「自動システムからの定型文」で弾き返されました。そこで、案内された web-help のフォームから「Software Download」カテゴリを選択し、改めて申請を行いました。
¶ 3. PSIRTからの援護とTACの却下
フォーム申請後、事態は少し複雑に動きました。
まず、TACの一次受付(Frontline)担当者から、予想通り「保守契約がないから提供できない。パートナーから契約を買ってくれ」という冷たい定型文の却下メールが届きました。
しかし、ほぼ同時にPSIRTのIncident Managerから、非常に心強いメールが届いていました。彼からのメールには、「もしFrontlineが資格を理由に拒否してきた場合は、『PSIRTが公開した重大な脆弱性のため、例外処理(bypass entitlement)をせよ』と要求しろ。それでもダメならTAC Duty Managerを呼べ」という明確な指示が含まれていました。
¶ 4. 上司とPSIRTを巻き込んだエスカレーション
私はこのPSIRTからの指示を盾にし、Frontlineからの却下メールに対して返信を行いました。
この時、非常に重要なポイントがありました。Frontlineからの却下メールにはCase番号が件名になく、上司のアドレスもCCに含まれていなかったのです。
単に返信するだけではエスカレーションになりません。そこで私は、以下の手順を踏みました。
- 件名はそのまま(Re: のまま)にし、メール本文最下部のシステム連携用スレッドID(thread::...::)を絶対に消さずに残す。
- 署名から「Team Lead」と「Direct Manager」のアドレスを拾い出し、さらに「PSIRT」とともにすべてCCに追加して送信する。
メール本文には「私はPSIRTとすでに話がついており、担当マネージャーから『例外処理を通せ』と指示を受けている」と明記し、前述のアドバイザリの「保守契約なしユーザーへの例外規定」を突きつけました。
¶ 5. 即日でのOS入手
このエスカレーションは絶大な効果を発揮しました。上司とPSIRTの目が入ったことで、TAC側は即座に「必要なファイル名を教えてほしい」と手のひらを返したように対応が軟化しました。
Software Downloadのページで確認した最新安定版のファイル名(nxos.9.3.16.bin)と、その直接のダウンロードURLを返信したところ、無事に私のCCO ID宛に専用のダウンロードリンク(72時間限定)が発行され、OSの取得を完遂しました。