Cisco AnyConnect セキュア モビリティ クライアント データ シート

データ シート
Cisco AnyConnect セキュア モビリティ クライアント
データ シート
製品概要
使いやすく、安全性が高いため、Cisco AnyConnect® セキュア モビリティ クライアントは世界中に幅広く導入され
ています。新しいリリースごとにリモート アクセス テクノロジーのレベルを一貫して引き上げている Cisco
AnyConnect については、すでにお客様から高い評価をいただいていますが、Cisco AnyConnect セキュア モビリ
ティ クライアントは、さまざまな PC およびモバイル端末において安全性が高い接続を実現します。モバイル ワー
カーがさまざまな場所でローミングを行う際にも、常時接続可能なインテリジェント VPN により、AnyConnect セ
キュア モビリティ クライアントは自動的に最適なネットワーク アクセス ポイントを選択し、最も効率的なトンネリング
プロトコル方式を適用します。この方式には、遅延の影響を受けやすいトラフィック(Voice over IP(VoIP)トラフィッ
クや TCP ベースのアプリケーション アクセスなど)に適した Datagram Transport Layer Security(DTLS)プロトコ
ルなどがあります。トンネリングでは、IP Security Internet Key Exchange バージョン 2(IPsec IKEv2)もサポートし
ています。Apple iOS で Cisco AnyConnect 4.0 を使用している場合、Per-App VPN 機能により、アプリケーション
による VPN アクセスが制限される場合があります。
Cisco AnyConnect 4.0 では、堅牢で統合されたエンドポイントの適合性をサポートしています。これにより、エンド
ポイントのセキュリティ ポスチャに基づいて Cisco 適応型セキュリティ アプライアンス(ASA)の VPN アクセスが制
限され、企業ネットワークの完全性が保護されます。有線/ワイヤレス環境全体でのエンドポイントのポスチャ評価と
修復により、さまざまなアンチウイルス、パーソナル ファイアウォール、アンチスパイウェア製品の状態が検証されま
す。適合性に欠けるエンドポイントの導入には、アクセスを許可する前に修復と追加のシステム チェックの実装を行
うためのオプションがあります。
Cisco AnyConnect セキュア モビリティ ソリューションには、Web セキュリティ機能とマルウェア脅威に対する防御
機能が組み込まれているため、社内ベースの Cisco® Web セキュリティ アプライアンス(WSA)またはクラウドベー
スのシスコ クラウド Web セキュリティ(CWS)のいずれかを利用することで、従業員は企業リソースへ安心かつ安
全にアクセスできるようになります。Web セキュリティ機能、マルウェア脅威に対する防御機能、リモート アクセス機
能を組み合わせることにより、包括的でセキュアなエンタープライズ モビリティ ソリューションが実現します。一貫性
のあるコンテキスト認識型セキュリティ ポリシーを採用しているため、生産性の高い保護された作業環境が維持さ
れます。
Cisco AnyConnect セキュア モビリティ クライアントは、業界をリードする VPN 機能に加えて IEEE 802.1X に対応
しており、有線ネットワークからワイヤレス ネットワークへのスムーズな移行に必要なユーザ ID、デバイス ID、ネッ
トワーク アクセス プロトコルを管理する単一の認証フレームワークを提供します。また、VPN 機能のサポートととも
に 、 有 線 ネ ッ ト ワ ー ク に お け る デ ー タ の 機 密 性 と 整 合 性 の 確 保 お よ び 発 信 元 の 認 証 用 に IEEE 802.1AE
(MACsec)をサポートし、信頼済みのコンポーネント間によるネットワーク通信を保護します。
All contents are Copyright © 1992–2014 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 1 of 9
図 1 に、Microsoft Windows での Cisco AnyConnect の VPN 設定の例を示します。
図1
Microsoft Windows での Cisco AnyConnect のアイコンと VPN 設定の例
図 2 に、Apple OS X での Cisco AnyConnect の VPN 設定の例を示します。
図2
Apple OS X での Cisco AnyConnect のアイコンと VPN 設定の例
All contents are Copyright © 1992–2014 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 2 of 9
Cisco AnyConnect セキュア モビリティ クライアントのモジュール
Cisco AnyConnect セキュア モビリティ クライアントは、軽量で高度にモジュール化されたセキュリティ クライアント
で、個別のビジネス ニーズに基づいて簡単にカスタマイズできます。VPN、802.1X、コンプライアンス チェック、
Cisco CWS との統合などの機能は、個別に導入可能なモジュールで利用できます。これによって、組織はニーズ
に最適な機能を選択し、セキュアな接続を実現できます。このため、高い俊敏性と運用効率が維持され、組織は
AnyConnect の柔軟性と利点を活用できます。
図 3 に、有線/ワイヤレス環境全体での Cisco AnyConnect の統合されたエンドポイントの適合性を示します。
図3
Cisco AnyConnect のエンドポイントの適合性チェック
機能と利点
表 1 に、Cisco AnyConnect セキュア モビリティ クライアントの機能と利点を示します。
表1
機能と利点
機能
利点と詳細
リモート アクセス バーチャル プライベート ネットワーキング
幅広いオペレーティング システ
ムのサポート
● Windows 8 および 8.1
● Windows 7 32 ビット(x86)および 64 ビット(x64)
● Mac OS X 10.8 以降
● Linux Intel(x64)
ソフトウェアの提供方法
● Cisco.com Software Center で入手可能
● AnyConnect のテクニカル サポートおよびソフトウェアの権限は、期間ベースの Plus ライセンスおよび
Apex ライセンスすべてに含まれており、無期限 Plus ライセンスの場合は別途購入可能
All contents are Copyright © 1992–2014 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 3 of 9
機能
利点と詳細
最適化されたネットワーク アク
セス:VPN プロトコルを SSL
(TLS と DTLS)および IPsec
IKEv2 から選択可能
● AnyConnect で VPN プロトコルを選択できるようになり、管理者はビジネス ニーズに適したプロトコルを使
用可能
● トンネリングでは、SSL(TLS 1.2 および DTLS)と次世代 IPsec(Internet Key Exchange バージョン 2)も
サポート
● DTLS を使用して、VoIP トラフィックや TCP ベースのアプリケーション アクセスなど、遅延の影響を受けや
すいトラフィックの接続を最適化
● TLS 1.2(HTTP over TLS/SSL)を使用して、ロックダウンされた環境(Web プロキシ サーバを使用する環
境などを含む)を通じてネットワーク接続の可用性を確保
● セキュリティ ポリシーで IPsec を使用する必要がある場合に IPsec IKEv2 を使用して、遅延の影響を受け
やすいトラフィックの接続を最適化
最適なゲートウェイの選択
● 最適なネットワーク アクセス ポイントが特定され接続が確立されるため、エンドユーザによる最寄りのロ
ケーションの特定が不要
モビリティ機能
● モバイル ユーザに適した設計
● IP アドレスが変更されたとき、接続が失われたとき、またはデバイスが休止状態やスタンバイ状態になった
ときにも、VPN 接続が維持されるように設定可能
● 信頼ネットワークの検出機能により、エンドユーザがオフィスにいる間は VPN 接続を自動的に切断し、ユー
ザが遠隔地にいる場合には接続することが可能
暗号化
● AES-256 や 3DES-168 などの強力な暗号化をサポート(セキュリティ ゲートウェイ デバイスで高強度の暗
号ライセンスが有効になっている必要があります)
● NSA Suite B アルゴリズム、IKEv2 を使用した ESPv3、4096 ビットの RSA キー、Diffie-Hellman グルー
プ 24、拡張版 SHA2(SHA-256 と SHA-384)など、次世代暗号化をサポート(IPsec IKEv2 接続にのみ適
用、Cisco AnyConnect Apex ライセンスが必要です)
幅広い導入と接続のオプション
導入オプション:
● 事前導入(Microsoft Installer など)
● ActiveX(Windows のみ)および Java による自動的なセキュリティ ゲートウェイの導入(初期インストール
には管理権限が必要)
接続モード:
● システム アイコンによるスタンドアロン接続
● ブラウザからの接続(Web Launch)
● ポータルからのクライアントレス接続
● CLI からの接続
● API からの接続
多様な認証オプション
● RADIUS
● NT LAN Manager(NTLM)のパスワード期限切れ機能(MSCHAPv2)をサポートする RADIUS
● RADIUS ワンタイム パスワード(OTP)のサポート(State/Reply-Message 属性)
● RSA SecurID(SoftID 統合を含む)
● Active Directory または Kerberos
● 組み込みの認証局(CA)
● デジタル証明書またはスマートカード(マシン証明書のサポートを含む)、自動選択またはユーザによる選択
が可能
● パスワード期限切れ機能とエージング機能をサポートする Lightweight Directory Access Protocol
(LDAP)
● 汎用 LDAP のサポート
● 証明書とユーザ名またはパスワードを組み合わせた多因子認証(二重認証)
安定したユーザ エクスペリエンス
● LAN と同様の安定したユーザ エクスペリエンスを必要とするリモート アクセス ユーザを完全トンネル クラ
イアント モードでサポート
● 複数の配信方式で、Cisco AnyConnect の幅広い互換性を実現
● プッシュされた Cisco AnyConnect の更新の保留が可能
● カスタマー エクスペリエンスのフィードバック オプション
ポリシーの制御および管理の
一元化
● ポリシーを事前に設定またはローカルで設定し、VPN セキュリティ ゲートウェイから自動更新することが可能
● Web ページやアプリケーションを使用して、AnyConnect 用の API を簡単に導入可能
● 信頼されていない証明書のチェックとユーザへの警告
● 証明書の表示と管理をローカルで実行可能
All contents are Copyright © 1992–2014 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 4 of 9
機能
高度な IP ネットワーク接続
利点と詳細
● IPv4 および IPv6 ネットワークとのパブリック接続
● 内部の IPv4 および IPv6 ネットワーク リソースへのアクセス
● 管理者による制御が可能なネットワーク アクセス ポリシー(スプリットトンネリングおよび全トンネリング)
● アクセス制御ポリシー
● iOS 7 以降の Per-App VPN ポリシー(Cisco AnyConnect 4.0 の新機能:OS 9.3 以降を搭載した Cisco
ASA 5500-X と AnyConnect 4.0 のライセンスが必要です)
IP アドレス割り当てメカニズム:
● スタティック
● 内部プール
● Dynamic Host Configuration Protocol(DHCP)
● RADIUS/Lightweight Directory Access Protocol(LDAP)
堅牢で統合されたエンドポイント
の適合性
(AnyConnect の Apex ライセ
ンスが必要です)
● Cisco AnyConnect 4.0 の新機能:有線/ワイヤレス環境でのエンドポイントのポスチャ評価と修復(Cisco
Identity Service Engine の NAC Agent の後継)。ISE Apex ライセンスがある ISE 1.3 以降が必要です。
● シスコのホストは、ネットワーク アクセスを許可する前に、エンドポイント システムにウイルス対策ソフトウェ
ア、パーソナル ファイアウォール ソフトウェア、Windows サービス パックが存在することの検出を試みます。
● 管理者は実行中のプロセスの情報に基づいて、独自のポスチャ チェックも定義可能
● シスコのホストで、リモート システムのウォーターマークを検出。ウォーターマークは企業が所有する資産の
識別に使用できるため、これによって差別化されたアクセスを提供できます。ウォーターマーク チェック機能
には、システム レジストリ値、必要な CRC32 チェックサムと一致するファイルの確認、IP アドレス範囲の照
合、および証明書の発行元と発行先の照合が含まれます。
● 適合性に欠けるアプリケーション用に追加機能をサポート
クライアント ファイアウォール
ポリシー
ローカリゼーション
● スプリットトンネリング設定用に追加された保護機能
● Cisco AnyConnect セキュア モビリティ クライアントと組み合わせて、ローカルのアクセス例外(印刷、テザ
リングされたデバイスのサポートなど)を設定可能
● ポートベースのルール(IPv4 の場合)、およびネットワーク/IP のアクセス制御リスト(ACL)(IPv6 の場合)
をサポート
● Windows 7、8、8.1、Mac OS X 10.8 以降で利用可能
英語に加えて、以下の言語に翻訳:
● チェコ語(cs-cz)
● ドイツ語(de-de)
● スペイン語(es-es)
● フランス語(fr-fr)
● 日本語(ja-jp)
● 韓国語(ko-kr)
● ポーランド語(pl-pl)
● 簡体字中国語(zh-cn)
● 中国語(台湾)(zh-tw)
● オランダ語(nl-nl)
● ハンガリー語(hu-hu)
● イタリア語(it-it)
● ポルトガル語(ブラジル)(pt-br)
● ロシア語(ru-ru)
簡単なクライアント管理
● 管理者はヘッドエンド セキュリティ アプライアンスからソフトウェアおよびポリシーの更新を自動的に配信で
きるため、クライアント ソフトウェアの更新に伴う管理作業が不要
● 管理者はエンドユーザが利用可能な設定機能を指定可能
● ドメイン ログイン スクリプトを利用できない場合に、管理者は接続/切断時のエンドポイント スクリプトをトリ
ガーすることが可能
● 管理者は、エンドユーザに表示されるメッセージを完全にカスタマイズまたはローカライズ可能
AnyConnect プロファイル
エディタ
● AnyConnect ポリシーを Cisco Adaptive Security Device Manager(ASDM)から直接カスタマイズ可能
診断機能
● デバイスごとの統計情報およびロギング情報
● デバイスでのログ表示
● シスコや管理者に分析用として電子メールでログを簡単に送信可能
米国連邦情報処理標準(FIPS)
● FIPS 140-2 Level 2 に準拠(プラットフォーム、機能、バージョンに関する制限が適用されます)
All contents are Copyright © 1992–2014 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 5 of 9
機能
利点と詳細
セキュア モビリティ
Web セキュリティの統合
● Software-as-a-Service(SaaS)型 Web セキュリティのグローバル プロバイダーである Cisco CWS を使
用して、企業ネットワークをマルウェアから保護し、従業員の Web 利用を制御および保護
● クラウドホスト型の構成と動的なロード
● プレミスベースの Cisco IronPort Web セキュリティ ソリューションとクラウドベースのサービスをサポートし
て、組織に柔軟性と幅広い選択肢を提供
● Cisco WSA の統合
● 信頼ネットワーク検出
● ユーザのロケーションに関係なく、すべてのトランザクションでセキュリティ ポリシーを適用
● ネットワーク接続を許可、またはアクセス不能な場合は拒否するポリシーを備えた、常時接続可能な安全性
の高いネットワーク接続が必要
● ホットスポットおよびキャプティブ ポータル検出
幅広いオペレーティング システ
ムのサポート
● Windows 8 および 8.1
● Windows 7 32 ビット(x86)および 64 ビット(x64)
● Mac OS 10.8 以降
Network Access Manager および 802.1X
メディア サポート
● イーサネット(IEEE 802.3)
● Wi-Fi(IEEE 802.11 a/b/g/n)
ネットワーク認証
● IEEE 802.1X-2001、802.1X-2004、および 802.1X-2010
● 単一の 802.1X 認証フレームワークを導入して、有線ネットワークとワイヤレス ネットワークの両方にアクセ
スすることが可能
● セキュアなアクセスに必要な、ユーザ ID、デバイス ID、ネットワーク アクセス プロトコルを管理
● シスコの有線およびワイヤレス統合ネットワークに接続する場合のユーザ エクスペリエンスを最適化
拡張認証プロトコル(EAP 方式)
● EAP-Transport Layer Security(TLS)
● EAP-Protected Extensible Authentication Protocol(PEAP)(内部で以下の方式を利用します)
◦ EAP-TLS
◦ EAP-MSCHAPv2
◦ EAP-FAST Generic Token Card(GTC)
● EAP-Flexible Authentication via Secure Tunneling(FAST)(内部で以下の方式を利用します)
◦ EAP-TLS
◦ EAP-MSCHAPv2
◦ EAP-GTC
● EAP-Tunneled TLS(TTLS)(内部で以下の方式を利用します)
◦
◦
◦
◦
◦
◦
パスワード認証プロトコル(PAP)
Challenge Handshake Authentication Protocol(CHAP)
Microsoft CHAP(MSCHAP)
MSCHAPv2
EAP-MD5
EAP-MSCHAPv2
● Lightweight EAP(LEAP)、Wi-Fi のみ
● EAP-Message Digest 5(MD5)、管理設定済み、イーサネットのみ
● EAP-MSCHAPv2、管理設定済み、イーサネットのみ
● EAP-GTC、管理設定済み、イーサネットのみ
ワイヤレス暗号化方式(対応
する 802.11 NIC のサポート
が必要です)
● オープン
● Wired Equivalent Privacy(WEP)
● ダイナミック WEP
● Wi-Fi Protected Access(WPA)
● WPA2 エンタープライズ
● WPA パーソナル(WPA-PSK)
● WPA2 パーソナル(WPA2-PSK)
● CCKM(Cisco CB21AG ワイヤレス NIC が必要です)
ワイヤレス暗号化プロトコル
● 高度暗号化規格(AES)アルゴリズムを使用する Cipher Block Chaining Message Authentication Code
Protocol(CCMP)によるカウンタ モード
● Rivest Cipher 4(RC4)ストリーム暗号を使用する Temporal Key Integrity Protocol(TKIP)
All contents are Copyright © 1992–2014 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 6 of 9
機能
セッション回復
利点と詳細
● EAP-TLS、EAP-FAST、EAP-PEAP、および EAP-TTLS を使用する RFC2716(EAP-TLS)によるセッショ
ン回復
● EAP-FAST によるステートレスなセッション回復
● PMK-ID キャッシング(Proactive Key Caching または Opportunistic Key Caching)、Windows XP のみ
イーサネット暗号化
● Media Access Control:IEEE 802.1AE(MACsec)
● キー管理:MACsec Key Agreement(MKA)
● 有線イーサネット ネットワークのセキュリティ インフラストラクチャを定義し、データの機密性と整合性を確保
して発信元の認証を実行
● 信頼済みのコンポーネント間によるネットワーク通信を保護
一度に 1 つの接続
● ネットワークに対して一度に 1 つだけの接続を許可し、その他すべの接続を切断
● アダプタ間にブリッジングなし
● 自動的にイーサネット接続を優先
複雑なサーバの検証
● 「で終わる」ルールと「完全一致」のルールをサポート
● 名前共有がないサーバに対して 30 を超えるルールをサポート
EAP チェーン(EAP-FASTv2)
● 企業の資産と企業以外の資産に基づいてアクセスを差別化
● 1 つの EAP トランザクションでユーザとデバイスを検証
エンタープライズ接続の実現
(ECE)
● ユーザが正しい企業ネットワークにのみ接続するように支援
● オフィスにいるユーザがサードパーティのアクセス ポイントにアクセスしてインターネットを閲覧するのを禁止
● ユーザがゲスト ネットへのアクセスを確立するのを禁止
● 手間のかかるブラックリスト化を排除
次世代暗号化(スイート B)
● 最新の暗号化規格をサポート
● 楕円曲線 Diffie-Hellman キー交換
● 楕円曲線デジタル署名アルゴリズム(ECDSA)証明書
クレデンシャル タイプ
● インタラクティブなユーザ パスワードまたは Windows パスワード
● RSA SecurID トークン
● ワンタイム パスワード(OTP)トークン
● スマートカード(Axalto、Gemplus、SafeNet iKey、Alladin)
● X.509 証明書
● 楕円曲線デジタル署名アルゴリズム(ECDSA)証明書
リモート デスクトップのサポート
● Remote Desktop Protocol(RDP)の使用時に、リモート ユーザのクレデンシャルをローカル ネットワークに
対して認証
サポートされるオペレーティング
システム
● Windows 8 および 8.1
● Windows 7(32 ビットおよび 64 ビット)
プラットフォームの互換性
Cisco AnyConnect セキュア モビリティ クライアントは、Cisco ASA ソフトウェア リリース 8.0(4) 以降を実行してい
る Cisco ASA 5500-X シリーズ適応型セキュリティ アプライアンスの全モデルと互換性があります。現在の ASA ソ
フトウェア リリースの導入が推奨されます。
シスコは、セキュリティ ゲートウェイとして機能する Cisco AnyConnect VPN アクセスを Cisco IOS® リリース
15.1(2)T 以降に対して サポートしています。ただし、特定の機能制限があります。詳細については、Cisco IOS
SSL VPN でサポートされていない機能 [英語] を参照してください。
Cisco IOS 機能サポートに関するその他の情報については、http://www.cisco.com/go/fn/ [英語] を参照してください。
互換性に関するその他の情報については、次の URL で参照できます。
http://www.cisco.com/en/US/docs/security/asa/compatibility/asa-vpn-compatibility.html [英語]
All contents are Copyright © 1992–2014 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 7 of 9
Cisco AnyConnect セキュア モビリティ クライアントのライセンス オプション
●
Cisco AnyConnect のライセンス オプションと発注に関する情報については、次の URL にある
Cisco AnyConnect 発注ガイドで参照できます。
http://www.cisco.com/c/dam/en/us/products/security/anyconnect-og.pdf [英語]
●
追加の Cisco ASA 5500-X ライセンス ドキュメントについては、次の URL で参照できます。
http://www.cisco.com/en/US/products/ps6120/products_licensing_information_listing.html [英語]
詳細情報
●
Cisco AnyConnect セキュア モビリティ クライアントのホームページ:
http://www.cisco.com/go/anyconnect [英語]
●
Cisco AnyConnect のマニュアル:
http://www.cisco.com/c/en/us/support/security/anyconnect-secure-mobility-client/tsd-productssupport-series-home.html [英語]
●
Cisco ASA 5500-X シリーズ適応型セキュリティ アプライアンス:
http://www.cisco.com/jp/go/asa/
●
Cisco AnyConnect ライセンス契約書およびプライバシー ポリシー:
http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/eula-seulaprivacy/AnyConnect_Supplemental_End_User_License_Agreement.htm [英語]
All contents are Copyright © 1992–2014 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 8 of 9
©2014 Cisco Systems, Inc. All rights reserved.
Cisco、Cisco Systems、およびCisco Systemsロゴは、Cisco Systems, Inc.またはその関連会社の米国およびその他の一定の国における登録商標または商標です。
本書類またはウェブサイトに掲載されているその他の商標はそれぞれの権利者の財産です。
「パートナー」または「partner」という用語の使用はCiscoと他社との間のパートナーシップ関係を意味するものではありません。(0809R)
この資料に記載された仕様は予告なく変更する場合があります。
お問い合わせ先
シスコシステムズ合同会社
C78-733184-00JA 14.11
〒107-6227 東京都港区赤坂9-7-1 ミッドタウン・タワー
http://www.cisco.com/jp
お問い合わせ先:シスコ コンタクトセンター
0120-092-255(フリーコール、携帯・PHS含む)
電話受付時間 : 平日10:00~12:00、13:00~17:00
http://www.cisco.com/jp/go/contactcenter/