Cisco AnyConnect セキュアモビリティクライアントデータシート

データシート
Cisco AnyConnect セキュアモビリティクライアント
データシート
製品概要
使いやすく、安全性が高いため、Cisco AnyConnect® セキュアモビリティクライアントは世界中に幅広く導入され
ています。新しいリリースごとにリモートアクセステクノロジーのレベルを一貫して引き上げている Cisco
AnyConnect については、すでにお客様から高い評価をいただいていますが、Cisco AnyConnect セキュアモビリ
ティクライアントは、さまざまな PC およびモバイル端末において安全性が高い接続を実現します。モバイルワー
カーがさまざまな場所でローミングを行う際にも、常時接続可能なインテリジェント VPN により、AnyConnect セ
キュアモビリティクライアントは自動的に最適なネットワークアクセスポイントを選択し、最も効率的なトンネリング
プロトコル方式を適用します。この方式には、遅延の影響を受けやすいトラフィック（Voice over IP（VoIP）トラフィッ
クや TCP ベースのアプリケーションアクセスなど）に適した Datagram Transport Layer Security（DTLS）プロトコ
ルなどがあります。トンネリングでは、IP Security Internet Key Exchange バージョン 2（IPsec IKEv2）もサポートし
ています。Apple iOS で Cisco AnyConnect 4.0 を使用している場合、Per-App VPN 機能により、アプリケーション
による VPN アクセスが制限される場合があります。
Cisco AnyConnect 4.0 では、堅牢で統合されたエンドポイントの適合性をサポートしています。これにより、エンド
ポイントのセキュリティポスチャに基づいて Cisco 適応型セキュリティアプライアンス（ASA）の VPN アクセスが制
限され、企業ネットワークの完全性が保護されます。有線/ワイヤレス環境全体でのエンドポイントのポスチャ評価と
修復により、さまざまなアンチウイルス、パーソナルファイアウォール、アンチスパイウェア製品の状態が検証されま
す。適合性に欠けるエンドポイントの導入には、アクセスを許可する前に修復と追加のシステムチェックの実装を行
うためのオプションがあります。
Cisco AnyConnect セキュアモビリティソリューションには、Web セキュリティ機能とマルウェア脅威に対する防御
機能が組み込まれているため、社内ベースの Cisco® Web セキュリティアプライアンス（WSA）またはクラウドベー
スのシスコクラウド Web セキュリティ（CWS）のいずれかを利用することで、従業員は企業リソースへ安心かつ安
全にアクセスできるようになります。Web セキュリティ機能、マルウェア脅威に対する防御機能、リモートアクセス機
能を組み合わせることにより、包括的でセキュアなエンタープライズモビリティソリューションが実現します。一貫性
のあるコンテキスト認識型セキュリティポリシーを採用しているため、生産性の高い保護された作業環境が維持さ
れます。
Cisco AnyConnect セキュアモビリティクライアントは、業界をリードする VPN 機能に加えて IEEE 802.1X に対応
しており、有線ネットワークからワイヤレスネットワークへのスムーズな移行に必要なユーザ ID、デバイス ID、ネッ
トワークアクセスプロトコルを管理する単一の認証フレームワークを提供します。また、VPN 機能のサポートととも
に、有線ネットワークにおけるデータの機密性と整合性の確保および発信元の認証用に IEEE 802.1AE
（MACsec）をサポートし、信頼済みのコンポーネント間によるネットワーク通信を保護します。
All contents are Copyright © 1992–2014 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 1 of 9
図 1 に、Microsoft Windows での Cisco AnyConnect の VPN 設定の例を示します。
図1
Microsoft Windows での Cisco AnyConnect のアイコンと VPN 設定の例
図 2 に、Apple OS X での Cisco AnyConnect の VPN 設定の例を示します。
図2
Apple OS X での Cisco AnyConnect のアイコンと VPN 設定の例
All contents are Copyright © 1992–2014 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 2 of 9
Cisco AnyConnect セキュアモビリティクライアントのモジュール
Cisco AnyConnect セキュアモビリティクライアントは、軽量で高度にモジュール化されたセキュリティクライアント
で、個別のビジネスニーズに基づいて簡単にカスタマイズできます。VPN、802.1X、コンプライアンスチェック、
Cisco CWS との統合などの機能は、個別に導入可能なモジュールで利用できます。これによって、組織はニーズ
に最適な機能を選択し、セキュアな接続を実現できます。このため、高い俊敏性と運用効率が維持され、組織は
AnyConnect の柔軟性と利点を活用できます。
図 3 に、有線/ワイヤレス環境全体での Cisco AnyConnect の統合されたエンドポイントの適合性を示します。
図3
Cisco AnyConnect のエンドポイントの適合性チェック
機能と利点
表 1 に、Cisco AnyConnect セキュアモビリティクライアントの機能と利点を示します。
表1
機能と利点
機能
利点と詳細
リモートアクセスバーチャルプライベートネットワーキング
幅広いオペレーティングシステ
ムのサポート
● Windows 8 および 8.1
● Windows 7 32 ビット（x86）および 64 ビット（x64）
● Mac OS X 10.8 以降
● Linux Intel（x64）
ソフトウェアの提供方法
● Cisco.com Software Center で入手可能
● AnyConnect のテクニカルサポートおよびソフトウェアの権限は、期間ベースの Plus ライセンスおよび
Apex ライセンスすべてに含まれており、無期限 Plus ライセンスの場合は別途購入可能
All contents are Copyright © 1992–2014 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 3 of 9
機能
利点と詳細
最適化されたネットワークアク
セス：VPN プロトコルを SSL
（TLS と DTLS）および IPsec
IKEv2 から選択可能
● AnyConnect で VPN プロトコルを選択できるようになり、管理者はビジネスニーズに適したプロトコルを使
用可能
● トンネリングでは、SSL（TLS 1.2 および DTLS）と次世代 IPsec（Internet Key Exchange バージョン 2）も
サポート
● DTLS を使用して、VoIP トラフィックや TCP ベースのアプリケーションアクセスなど、遅延の影響を受けや
すいトラフィックの接続を最適化
● TLS 1.2（HTTP over TLS/SSL）を使用して、ロックダウンされた環境（Web プロキシサーバを使用する環
境などを含む）を通じてネットワーク接続の可用性を確保
● セキュリティポリシーで IPsec を使用する必要がある場合に IPsec IKEv2 を使用して、遅延の影響を受け
やすいトラフィックの接続を最適化
最適なゲートウェイの選択
● 最適なネットワークアクセスポイントが特定され接続が確立されるため、エンドユーザによる最寄りのロ
ケーションの特定が不要
モビリティ機能
● モバイルユーザに適した設計
● IP アドレスが変更されたとき、接続が失われたとき、またはデバイスが休止状態やスタンバイ状態になった
ときにも、VPN 接続が維持されるように設定可能
● 信頼ネットワークの検出機能により、エンドユーザがオフィスにいる間は VPN 接続を自動的に切断し、ユー
ザが遠隔地にいる場合には接続することが可能
暗号化
● AES-256 や 3DES-168 などの強力な暗号化をサポート（セキュリティゲートウェイデバイスで高強度の暗
号ライセンスが有効になっている必要があります）
● NSA Suite B アルゴリズム、IKEv2 を使用した ESPv3、4096 ビットの RSA キー、Diffie-Hellman グルー
プ 24、拡張版 SHA2（SHA-256 と SHA-384）など、次世代暗号化をサポート（IPsec IKEv2 接続にのみ適
用、Cisco AnyConnect Apex ライセンスが必要です）
幅広い導入と接続のオプション
導入オプション：
● 事前導入（Microsoft Installer など）
● ActiveX（Windows のみ）および Java による自動的なセキュリティゲートウェイの導入（初期インストール
には管理権限が必要）
接続モード：
● システムアイコンによるスタンドアロン接続
● ブラウザからの接続（Web Launch）
● ポータルからのクライアントレス接続
● CLI からの接続
● API からの接続
多様な認証オプション
● RADIUS
● NT LAN Manager（NTLM）のパスワード期限切れ機能（MSCHAPv2）をサポートする RADIUS
● RADIUS ワンタイムパスワード（OTP）のサポート（State/Reply-Message 属性）
● RSA SecurID（SoftID 統合を含む）
● Active Directory または Kerberos
● 組み込みの認証局（CA）
● デジタル証明書またはスマートカード（マシン証明書のサポートを含む）、自動選択またはユーザによる選択
が可能
● パスワード期限切れ機能とエージング機能をサポートする Lightweight Directory Access Protocol
（LDAP）
● 汎用 LDAP のサポート
● 証明書とユーザ名またはパスワードを組み合わせた多因子認証（二重認証）
安定したユーザエクスペリエンス
● LAN と同様の安定したユーザエクスペリエンスを必要とするリモートアクセスユーザを完全トンネルクラ
イアントモードでサポート
● 複数の配信方式で、Cisco AnyConnect の幅広い互換性を実現
● プッシュされた Cisco AnyConnect の更新の保留が可能
● カスタマーエクスペリエンスのフィードバックオプション
ポリシーの制御および管理の
一元化
● ポリシーを事前に設定またはローカルで設定し、VPN セキュリティゲートウェイから自動更新することが可能
● Web ページやアプリケーションを使用して、AnyConnect 用の API を簡単に導入可能
● 信頼されていない証明書のチェックとユーザへの警告
● 証明書の表示と管理をローカルで実行可能
All contents are Copyright © 1992–2014 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 4 of 9
機能
高度な IP ネットワーク接続
利点と詳細
● IPv4 および IPv6 ネットワークとのパブリック接続
● 内部の IPv4 および IPv6 ネットワークリソースへのアクセス
● 管理者による制御が可能なネットワークアクセスポリシー（スプリットトンネリングおよび全トンネリング）
● アクセス制御ポリシー
● iOS 7 以降の Per-App VPN ポリシー（Cisco AnyConnect 4.0 の新機能：OS 9.3 以降を搭載した Cisco
ASA 5500-X と AnyConnect 4.0 のライセンスが必要です）
IP アドレス割り当てメカニズム：
● スタティック
● 内部プール
● Dynamic Host Configuration Protocol（DHCP）
● RADIUS/Lightweight Directory Access Protocol（LDAP）
堅牢で統合されたエンドポイント
の適合性
（AnyConnect の Apex ライセ
ンスが必要です）
● Cisco AnyConnect 4.0 の新機能：有線/ワイヤレス環境でのエンドポイントのポスチャ評価と修復（Cisco
Identity Service Engine の NAC Agent の後継）。ISE Apex ライセンスがある ISE 1.3 以降が必要です。
● シスコのホストは、ネットワークアクセスを許可する前に、エンドポイントシステムにウイルス対策ソフトウェ
ア、パーソナルファイアウォールソフトウェア、Windows サービスパックが存在することの検出を試みます。
● 管理者は実行中のプロセスの情報に基づいて、独自のポスチャチェックも定義可能
● シスコのホストで、リモートシステムのウォーターマークを検出。ウォーターマークは企業が所有する資産の
識別に使用できるため、これによって差別化されたアクセスを提供できます。ウォーターマークチェック機能
には、システムレジストリ値、必要な CRC32 チェックサムと一致するファイルの確認、IP アドレス範囲の照
合、および証明書の発行元と発行先の照合が含まれます。
● 適合性に欠けるアプリケーション用に追加機能をサポート
クライアントファイアウォール
ポリシー
ローカリゼーション
● スプリットトンネリング設定用に追加された保護機能
● Cisco AnyConnect セキュアモビリティクライアントと組み合わせて、ローカルのアクセス例外（印刷、テザ
リングされたデバイスのサポートなど）を設定可能
● ポートベースのルール（IPv4 の場合）、およびネットワーク/IP のアクセス制御リスト（ACL）（IPv6 の場合）
をサポート
● Windows 7、8、8.1、Mac OS X 10.8 以降で利用可能
英語に加えて、以下の言語に翻訳：
● チェコ語（cs-cz）
● ドイツ語（de-de）
● スペイン語（es-es）
● フランス語（fr-fr）
● 日本語（ja-jp）
● 韓国語（ko-kr）
● ポーランド語（pl-pl）
● 簡体字中国語（zh-cn）
● 中国語（台湾）（zh-tw）
● オランダ語（nl-nl）
● ハンガリー語（hu-hu）
● イタリア語（it-it）
● ポルトガル語（ブラジル）（pt-br）
● ロシア語（ru-ru）
簡単なクライアント管理
● 管理者はヘッドエンドセキュリティアプライアンスからソフトウェアおよびポリシーの更新を自動的に配信で
きるため、クライアントソフトウェアの更新に伴う管理作業が不要
● 管理者はエンドユーザが利用可能な設定機能を指定可能
● ドメインログインスクリプトを利用できない場合に、管理者は接続/切断時のエンドポイントスクリプトをトリ
ガーすることが可能
● 管理者は、エンドユーザに表示されるメッセージを完全にカスタマイズまたはローカライズ可能
AnyConnect プロファイル
エディタ
● AnyConnect ポリシーを Cisco Adaptive Security Device Manager（ASDM）から直接カスタマイズ可能
診断機能
● デバイスごとの統計情報およびロギング情報
● デバイスでのログ表示
● シスコや管理者に分析用として電子メールでログを簡単に送信可能
米国連邦情報処理標準（FIPS）
● FIPS 140-2 Level 2 に準拠（プラットフォーム、機能、バージョンに関する制限が適用されます）
All contents are Copyright © 1992–2014 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 5 of 9
機能
利点と詳細
セキュアモビリティ
Web セキュリティの統合
● Software-as-a-Service（SaaS）型 Web セキュリティのグローバルプロバイダーである Cisco CWS を使
用して、企業ネットワークをマルウェアから保護し、従業員の Web 利用を制御および保護
● クラウドホスト型の構成と動的なロード
● プレミスベースの Cisco IronPort Web セキュリティソリューションとクラウドベースのサービスをサポートし
て、組織に柔軟性と幅広い選択肢を提供
● Cisco WSA の統合
● 信頼ネットワーク検出
● ユーザのロケーションに関係なく、すべてのトランザクションでセキュリティポリシーを適用
● ネットワーク接続を許可、またはアクセス不能な場合は拒否するポリシーを備えた、常時接続可能な安全性
の高いネットワーク接続が必要
● ホットスポットおよびキャプティブポータル検出
幅広いオペレーティングシステ
ムのサポート
● Windows 8 および 8.1
● Windows 7 32 ビット（x86）および 64 ビット（x64）
● Mac OS 10.8 以降
Network Access Manager および 802.1X
メディアサポート
● イーサネット（IEEE 802.3）
● Wi-Fi（IEEE 802.11 a/b/g/n）
ネットワーク認証
● IEEE 802.1X-2001、802.1X-2004、および 802.1X-2010
● 単一の 802.1X 認証フレームワークを導入して、有線ネットワークとワイヤレスネットワークの両方にアクセ
スすることが可能
● セキュアなアクセスに必要な、ユーザ ID、デバイス ID、ネットワークアクセスプロトコルを管理
● シスコの有線およびワイヤレス統合ネットワークに接続する場合のユーザエクスペリエンスを最適化
拡張認証プロトコル（EAP 方式）
● EAP-Transport Layer Security（TLS）
● EAP-Protected Extensible Authentication Protocol（PEAP）（内部で以下の方式を利用します）
◦ EAP-TLS
◦ EAP-MSCHAPv2
◦ EAP-FAST Generic Token Card（GTC）
● EAP-Flexible Authentication via Secure Tunneling（FAST）（内部で以下の方式を利用します）
◦ EAP-TLS
◦ EAP-MSCHAPv2
◦ EAP-GTC
● EAP-Tunneled TLS（TTLS）（内部で以下の方式を利用します）
◦
◦
◦
◦
◦
◦
パスワード認証プロトコル（PAP）
Challenge Handshake Authentication Protocol（CHAP）
Microsoft CHAP（MSCHAP）
MSCHAPv2
EAP-MD5
EAP-MSCHAPv2
● Lightweight EAP（LEAP）、Wi-Fi のみ
● EAP-Message Digest 5（MD5）、管理設定済み、イーサネットのみ
● EAP-MSCHAPv2、管理設定済み、イーサネットのみ
● EAP-GTC、管理設定済み、イーサネットのみ
ワイヤレス暗号化方式（対応
する 802.11 NIC のサポート
が必要です）
● オープン
● Wired Equivalent Privacy（WEP）
● ダイナミック WEP
● Wi-Fi Protected Access（WPA）
● WPA2 エンタープライズ
● WPA パーソナル（WPA-PSK）
● WPA2 パーソナル（WPA2-PSK）
● CCKM（Cisco CB21AG ワイヤレス NIC が必要です）
ワイヤレス暗号化プロトコル
● 高度暗号化規格（AES）アルゴリズムを使用する Cipher Block Chaining Message Authentication Code
Protocol（CCMP）によるカウンタモード
● Rivest Cipher 4（RC4）ストリーム暗号を使用する Temporal Key Integrity Protocol（TKIP）
All contents are Copyright © 1992–2014 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 6 of 9
機能
セッション回復
利点と詳細
● EAP-TLS、EAP-FAST、EAP-PEAP、および EAP-TTLS を使用する RFC2716（EAP-TLS）によるセッショ
ン回復
● EAP-FAST によるステートレスなセッション回復
● PMK-ID キャッシング（Proactive Key Caching または Opportunistic Key Caching）、Windows XP のみ
イーサネット暗号化
● Media Access Control：IEEE 802.1AE（MACsec）
● キー管理：MACsec Key Agreement（MKA）
● 有線イーサネットネットワークのセキュリティインフラストラクチャを定義し、データの機密性と整合性を確保
して発信元の認証を実行
● 信頼済みのコンポーネント間によるネットワーク通信を保護
一度に 1 つの接続
● ネットワークに対して一度に 1 つだけの接続を許可し、その他すべの接続を切断
● アダプタ間にブリッジングなし
● 自動的にイーサネット接続を優先
複雑なサーバの検証
● 「で終わる」ルールと「完全一致」のルールをサポート
● 名前共有がないサーバに対して 30 を超えるルールをサポート
EAP チェーン（EAP-FASTv2）
● 企業の資産と企業以外の資産に基づいてアクセスを差別化
● 1 つの EAP トランザクションでユーザとデバイスを検証
エンタープライズ接続の実現
（ECE）
● ユーザが正しい企業ネットワークにのみ接続するように支援
● オフィスにいるユーザがサードパーティのアクセスポイントにアクセスしてインターネットを閲覧するのを禁止
● ユーザがゲストネットへのアクセスを確立するのを禁止
● 手間のかかるブラックリスト化を排除
次世代暗号化（スイート B）
● 最新の暗号化規格をサポート
● 楕円曲線 Diffie-Hellman キー交換
● 楕円曲線デジタル署名アルゴリズム（ECDSA）証明書
クレデンシャルタイプ
● インタラクティブなユーザパスワードまたは Windows パスワード
● RSA SecurID トークン
● ワンタイムパスワード（OTP）トークン
● スマートカード（Axalto、Gemplus、SafeNet iKey、Alladin）
● X.509 証明書
● 楕円曲線デジタル署名アルゴリズム（ECDSA）証明書
リモートデスクトップのサポート
● Remote Desktop Protocol（RDP）の使用時に、リモートユーザのクレデンシャルをローカルネットワークに
対して認証
サポートされるオペレーティング
システム
● Windows 8 および 8.1
● Windows 7（32 ビットおよび 64 ビット）
プラットフォームの互換性
Cisco AnyConnect セキュアモビリティクライアントは、Cisco ASA ソフトウェアリリース 8.0(4) 以降を実行してい
る Cisco ASA 5500-X シリーズ適応型セキュリティアプライアンスの全モデルと互換性があります。現在の ASA ソ
フトウェアリリースの導入が推奨されます。
シスコは、セキュリティゲートウェイとして機能する Cisco AnyConnect VPN アクセスを Cisco IOS® リリース
15.1(2)T 以降に対してサポートしています。ただし、特定の機能制限があります。詳細については、Cisco IOS
SSL VPN でサポートされていない機能 [英語] を参照してください。
Cisco IOS 機能サポートに関するその他の情報については、http://www.cisco.com/go/fn/ [英語] を参照してください。
互換性に関するその他の情報については、次の URL で参照できます。
http://www.cisco.com/en/US/docs/security/asa/compatibility/asa-vpn-compatibility.html [英語]
All contents are Copyright © 1992–2014 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 7 of 9
Cisco AnyConnect セキュアモビリティクライアントのライセンスオプション
●
Cisco AnyConnect のライセンスオプションと発注に関する情報については、次の URL にある
Cisco AnyConnect 発注ガイドで参照できます。
http://www.cisco.com/c/dam/en/us/products/security/anyconnect-og.pdf [英語]
●
追加の Cisco ASA 5500-X ライセンスドキュメントについては、次の URL で参照できます。
http://www.cisco.com/en/US/products/ps6120/products_licensing_information_listing.html [英語]
詳細情報
●
Cisco AnyConnect セキュアモビリティクライアントのホームページ：
http://www.cisco.com/go/anyconnect [英語]
●
Cisco AnyConnect のマニュアル：
http://www.cisco.com/c/en/us/support/security/anyconnect-secure-mobility-client/tsd-productssupport-series-home.html [英語]
●
Cisco ASA 5500-X シリーズ適応型セキュリティアプライアンス：
http://www.cisco.com/jp/go/asa/
●
Cisco AnyConnect ライセンス契約書およびプライバシーポリシー：
http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/eula-seulaprivacy/AnyConnect_Supplemental_End_User_License_Agreement.htm [英語]
All contents are Copyright © 1992–2014 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information.
Page 8 of 9
©2014 Cisco Systems, Inc. All rights reserved.
Cisco、Cisco Systems、およびCisco Systemsロゴは、Cisco Systems, Inc.またはその関連会社の米国およびその他の一定の国における登録商標または商標です。
本書類またはウェブサイトに掲載されているその他の商標はそれぞれの権利者の財産です。
「パートナー」または「partner」という用語の使用はCiscoと他社との間のパートナーシップ関係を意味するものではありません。（0809R）
この資料に記載された仕様は予告なく変更する場合があります。
お問い合わせ先
シスコシステムズ合同会社
C78-733184-00JA 14.11
〒107-6227 東京都港区赤坂9-7-1 ミッドタウン・タワー
http://www.cisco.com/jp
お問い合わせ先：シスココンタクトセンター
0120-092-255（フリーコール、携帯・PHS含む）
電話受付時間 : 平日10:00～12:00、13:00～17:00
http://www.cisco.com/jp/go/contactcenter/

Download Report