Cisco ASA デフォルトユーザーについて

Cisco ASAの後継製品はCisco Firepowerとなるのですが
Firepowerに搭載するOSはASA及びFTDから選択することができます。

イメージ的にはハードウェアがFirepowerという筐体、
仮想OSとしてFXOSがあり、その上で実際にファイアウォールとして
動作するOSをASA OS及びFTD OSから選択する。
基本的にユーザーが選択するのはFirepowerの機種及び、
動作するOS(ASA or FTD)となる。

現在本番環境で動作させているのがFirepowerASA(FPR2130-ASA-K9)と
なるのですがセキュリティ上の観点からデフォルトユーザーに
「admin」が存在するのか調査することになった。

ポイントとして以下4つの観点から調査した。
�@ASAのconfigにデフォルトで設定されているユーザ
�AFXOSへのアクセスで使用するデフォルトユーザ
�Bモジュールへのアクセスで使用するデフォルトユーザ
�Cその他、初期出荷状態で 使用する/できる ユーザ


■�@ASAのconfigにデフォルトで設定されているユーザ、
�Cその他、初期出荷状態で 使用する/できる ユーザについて
コンフィグ上にデフォルトで設定されているものはないが、
設定情報にはなく、削除もできないenable_Xのデフォルトユーザー
というユーザーが存在します。
デフォルトのコンソールログイン時にまずユーザ EXEC モードに
ログインして、enable_1というユーザーでログインします。
そこからenableコマンドにより特権 EXEC モードでログインすると、
enable_15というユーザーでのログインに変わる。
https://www.cisco.com/c/ja_jp/support/docs/security/adaptive-security-appliance-asa-software/215792-analyze-aaa-device-administration-behavi.html

ユーザー認証が設定されておらず、enableパスワードが
設定されている状態でASDMの接続設定を実施した場合は
ユーザー名：空欄もしくはenable_15
パスワード：enableパスワードでASDMからログイン可

■�AFXOSへのアクセスで使用するデフォルトユーザについて
FXOSではデフォルトでadminが設定されている。
このadminユーザーはいつもアクティブで削除や無効化は出来ない。
これはFirepowerシリーズ(FPR1000/2100/4100/9300)共通の認識。
https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/fxos2160/cli-guide/b_CLI_ConfigGuide_FXOS_216/user_management.html#concept_2770BFB3259042F5A4420595A0A6946C

■�Bモジュールへのアクセスで使用するデフォルトユーザについて
拡張インターフェース等の追加モジュールに
ついてはモジュールへのアクセスにユーザー情報は必要なく、
ASAでログインしているユーザーで管理している。
FPR4100シリーズの場合は論理デバイスとして作成されている
ASAに対してコンソールアクセスをする際、論理モジュールへ
アクセスするが、その際モジュール接続自体にはユーザー
情報を必要とせず、ASAへアクセスする際はASAのユーザー
情報でのアクセスとなる。

やはりデフォルトで存在するユーザーは消せないようですね。
最近セキュリティの観点からデフォルトのアドミンユーザーを
削除しないといけない場面があるのですが影響範囲が
わからなかったりするのでなるべくはやりたくないです。

■Cisco ASAログイン時のデフォルトユーザー＆パスワード
default user: cisco
default password: cisco