| リモートアクセスVPN |
| 幅広いオペレーティングシステムのサポート |
● Windows 10、8.1、8、および7
● Mac OS X 10.8以降
● Linux Intel(x64)
●モバイルプラットフォームの情報については、AnyConnectモバイルデータシートを参照してください。 |
ネットワークアクセスの最適化:VPNプロトコルの選択SSL
(TLSおよびDTLS)、IPsec IKEv2 |
● AnyConnectはVPNプロトコルの選択肢を提供するため、管理者はビジネスニーズに最適なプロトコルを使用できます。
●トンネリングのサポートには、SSL(TLS 1.2およびDTLS)と次世代IPsec IKEv2が含まれます。
● DTLSは、VoIPトラフィックやTCPベースのアプリケーションアクセスなど、遅延の影響を受けやすいトラフィック用に最適化された接続を提供します。
● TLS 1.2(HTTP over TLSまたはSSL)は、ロックダウンされた環境(Webプロキシサーバを使用する環境を含む)を通じて、ネットワーク接続の可用性を確保します。
● IPsec IKEv2は、セキュリティポリシーでIPsecを使用する必要がある場合に、遅延の影響を受けやすいトラフィック用に最適化された接続を提供します。 |
| 最適なゲートウェイ選択 |
●最適なネットワークアクセスポイントへの接続を決定して確立するため、エンドユーザが最寄りの場所を特定する必要がなくなります。 |
| モビリティ対応 |
●モバイルユーザ向けの設計
● IPアドレスの変更時、接続の喪失、休止またはスタンバイ時にVPN接続が確立されるように設定できます。
● Trusted Network Detectionを使用すると、エンドユーザがオフィスにいるとVPN接続が自動的に切断され、ユーザがリモートロケーションにいると接続されます。 |
| 暗号化 |
● AES-256および3DES-168(セキュリティゲートウェイデバイスでは、強力な暗号ライセンスが有効になっている必要があります)。
● NSA Suite Bアルゴリズム、IKEv2を使用したESPv3、4096ビットRSAキー、Diffie-Hellmanグループ24、および拡張SHA2(SHA-256およびSHA-384)。 IPsec IKEv2接続にのみ適用されます。AnyConnect Apexライセンスが必要です。 |
| 幅広い導入および接続オプション |
導入オプション:
● Microsoft Installerを含む事前導入
● ActiveX(Windowsのみ)およびJavaによる自動セキュリティゲートウェイ導入(初期インストールには管理者権限が必要)
接続モード:
●システムアイコンによるスタンドアロン
●ブラウザ起動(Web起動)
●クライアントレスポータル開始
● CLI開始
● API開始 |
| 幅広い認証オプション |
● RADIUS
● NT LAN Manager(NTLM)に対するパスワード期限切れ(MSCHAPv2)のRADIUS
● RADIUSワンタイムパスワード(OTP)のサポート(状態および返信メッセージ属性)
● RSA SecurID(SoftID統合を含む)
● Active DirectoryまたはKerberos
●組み込み認証局(CA)
●デジタル証明書またはスマートカード(マシン証明書のサポートを含む)、自動またはユーザ選択
● Lightweight Directory Access Protocol(LDAP)とパスワードの期限切れとエージング
●一般的なLDAPサポート
●証明書とユーザ名とパスワードの複合多要素認証(二重認証) |
| 一貫したユーザエクスペリエンス |
●フルトンネルクライアントモードは、一貫したLANのようなユーザエクスペリエンスを必要とするリモートアクセスユーザをサポートします。
●複数の配信方式により、AnyConnectの幅広い互換性が確保されます。
●ユーザはプッシュされた更新を延期できます。
●カスタマーエクスペリエンスフィードバックオプションを利用できます。 |
| 一元化されたポリシー制御と管理 |
●ポリシーは、事前に設定またはローカルに設定でき、VPNセキュリティゲートウェイから自動的に更新できます。
● AnyConnect用APIにより、Webページまたはアプリケーションを介した導入が容易になります。
●信頼できない証明書のチェックとユーザ警告が発行されます。
●証明書はローカルで表示および管理できます。 |
| 高度なIPネットワーク接続 |
● IPv4およびIPv6ネットワークとのパブリック接続
●内部IPv4およびIPv6ネットワークリソースへのアクセス
●管理者制御のスプリットトンネリングおよびオールトンネリングネットワークアクセスポリシー
●アクセスコントロールポリシー
● Google Android(Lollipop)およびSamsung KNOX(リリース4.0で新規)のアプリごとのVPNポリシーCisco ASA 5500-X(OS 9.3以降およびAnyConnect 4.0ライセンスが必要)
IPアドレス割り当てメカニズム:
●スタティック
●内部プール
● Dynamic Host Configuration Protocol(DHCP)
● RADIUS/LDAP |
堅牢なユニファイドエンドポイントのコンプライアンス
(Apexライセンスが必要) |
●エンドポイントのポスチャアセスメントと修復は、有線およびワイヤレス環境でサポートされます(Cisco Identity Services Engine NAC Agentの交換)。 Identity Services Engine 1.3以降とIdentity Services Engine Apexライセンスが必要です。
● Cisco Hostscanは、ネットワークアクセスを許可する前に、エンドポイントシステム上のアンチウイルスソフトウェア、パーソナルファイアウォールソフトウェア、およびWindowsサービスパックの存在を検出しようとします。
●管理者は、実行プロセスの存在に基づいてカスタムポスチャチェックを定義することもできます。
●ホストスキャンは、リモートシステム上のウォーターマークの存在を検出します。透かしは、企業が所有する資産を特定し、その結果として差別化されたアクセスを提供するために使用できます。ウォーターマークチェック機能には、システムレジストリ値、必要なCRC32チェックサムと一致するファイルの存在、IPアドレス範囲の照合、および一致する認証局または認証局が発行した証明書が含まれます。コンプライアンス違反のアプリケーションに対しては、追加機能がサポートされます。
●機能はオペレーティングシステムによって異なります。詳細については、ホスト・スキャン・サポートのチャートを参照してください。 |
| クライアントファイアウォールポリシー |
●スプリットトンネリング設定に対する追加の保護を提供します。
●ローカルアクセスの例外(印刷、テザリングされたデバイスのサポートなど)を許可するために、AnyConnectクライアントと組み合わせて使用されます。
● IPv4のポートベースのルールと、IPv6のネットワークおよびIPアクセスコントロールリスト(ACL)をサポートします。
● WindowsおよびMac OS Xプラットフォームで使用可能。 |
| ローカリゼーション |
英語に加えて、次の言語翻訳が含まれています。
●チェコ語(cs-cz)
●ドイツ語(de-de)
●スペイン語(es-es)
●フランス語(fr-fr)
●日本語(ja-jp)
●韓国語(ko-kr)
●ポーランド語(pl-pl)
●簡体字中国語(zh-cn)
●中国語(台湾)(zh-tw)
●オランダ語(nl-nl)
●ハンガリー語(hu-hu)
●イタリア語(it-it)
●ポルトガル語(ブラジル)(pt-br)
●ロシア(ru-ru) |
| クライアント管理の容易さ |
●管理者は、ヘッドエンドセキュリティアプライアンスからソフトウェアとポリシーの更新を自動的に配布できるため、クライアントソフトウェアの更新に関連する管理が不要になります。
●管理者は、エンドユーザの設定に使用できる機能を決定できます。
●管理者は、ドメインログインスクリプトを使用できない場合は、接続時および切断時にエンドポイントスクリプトをトリガーできます。
●管理者は、エンドユーザに表示されるメッセージを完全にカスタマイズおよびローカライズできます。 |
| プロファイルエディタ |
● AnyConnectポリシーは、Cisco Adaptive Security Device Manager(ASDM)から直接カスタマイズできます。 |
| 診断 |
●オンデバイスの統計情報とロギング情報を利用できます。
●デバイスでログを表示できます。
●ログは、シスコまたは管理者に簡単に電子メールで送信して分析できます。 |
| 連邦情報処理標準(FIPS) |
● FIPS 140-2 level 2準拠(プラットフォーム、機能、およびバージョンの制限が適用) |
| セキュアなモビリティとネットワークの可視性 |
Webセキュリティ統合
(クラウドWebセキュリティライセンスが必要) |
● Cloud Web Securityは、Software-as-a-Service(SaaS)Webセキュリティのグローバルプロバイダーで、企業ネットワークからマルウェアを排除し、従業員のWeb利用を制御および保護するために使用されます。
●クラウドホスト構成と動的なロードをサポート
●プレミスベースのサービスに加え、クラウドベースのサービスをサポートすることで、組織に柔軟性と選択肢を提供します。
● Webセキュリティアプライアンスとの統合
●信頼ネットワーク検出をサポートします。
●ユーザの場所に関係なく、すべてのトランザクションにセキュリティポリシーを適用します。
●アクセスが利用できない場合にネットワーク接続を許可または拒否するには、ポリシーを使用した常時接続の高度なセキュリティが必要です。
●ホットスポットとキャプティブポータルを検出します。 |
ネットワーク可視性モジュール
(Apexライセンスが必要) |
●アプリケーションの使用状況を監視して、潜在的な動作の異常を検出します。
●ネットワーク設計に関する詳細な判断が可能
● Internet Protocol Flow Information Export(IPFIX)対応のネットワーク分析ツールの数が増え続ける中、使用データを共有できます。 |
Advanced Malware Protection(AMP)for Endpoints Enabler
(エンドポイント用AMPは別途ライセンス供与) |
● CiscoAMP for Endpointを配布および有効にすることで、AnyConnectエンドポイントへの脅威サービスの有効化を簡素化します。
●エンドポイントの脅威サービスをリモートエンドポイントに拡張し、エンドポイントの脅威カバレッジを拡大する。
●よりプロアクティブな保護を提供し、リモートエンドポイントで攻撃を迅速に軽減します。 |
| 幅広いオペレーティングシステムのサポート |
● Windows 10、8.1、8、および7
● Mac OS X 10.8以降 |
| Network Access Managerおよび802.1X |
| メディアサポート |
●イーサネット(IEEE 802.3)
● Wi-Fi(IEEE 802.11a/b/g/n) |
| ネットワーク認証 |
● IEEE 802.1X-2001、802.1X-2004、および802.1X-2010
●企業は、有線ネットワークとワイヤレスネットワークの両方にアクセスするための単一の802.1X認証フレームワークを導入できます。
●高度なセキュリティで保護されたアクセスに必要なユーザおよびデバイスのIDとネットワークアクセスプロトコルを管理します。
●シスコの統合された有線およびワイヤレスネットワークへの接続時にユーザエクスペリエンスを最適化します。 |
| Extensible Authentication Protocol(EAP)方式 |
● EAP-Transport Layer Security(TLS)
● EAP-Protected Extensible Authentication Protocol(PEAP)(内部方式は次のとおりです。
-EAP-TLS
- EAP-MSCHAPv2
- EAP-Generic Token Card(GTC)
● EAP-Flexible Authentication via Secure Tunneling(FAST)(内部で次の方式を使用):
-EAP-TLS
- EAP-MSCHAPv2
- EAP-GTC
● EAP-Tunneled TLS(TTLS)(内部方式は次のとおりです。
– パスワード認証プロトコル(PAP)。
– チャレンジハンドシェイク認証プロトコル(CHAP)。
- Microsoft CHAP(MSCHAP)。
- MSCHAPv2
- EAP-MD5
- EAP-MSCHAPv2
● Lightweight EAP(LEAP)、Wi-Fiのみ
● EAP-Message Digest 5(MD5)、管理設定、イーサネットのみ
● EAP-MSCHAPv2、管理設定、イーサネットのみ
● EAP-GTC、管理設定、イーサネットのみ |
| ワイヤレス暗号化方式(対応する802.11 NICのサポートが必要) |
●オープン
● Wired Equivalent Privacy(WEP)
● Dynamic WEP
● Wi-Fi Protected Access(WPA)Enterprise
● WPA2 Enterprise
● WPA Personal(WPA-PSK)
● WPA2 Personal(WPA2-PSK)
● CCKM(Cisco CB21AGワイヤレスNICが必要) |
| ワイヤレス暗号化プロトコル |
● Advanced Encryption Standard(AES)アルゴリズムを使用したCipher Block Chaining Message Authentication Code Protocol(CCMP)によるカウンタモード
● Rivest Cipher 4(RC4)ストリーム暗号を使用したTemporal Key Integrity Protocol(TKIP) |
| セッション再開 |
● EAP-TLS、EAP-FAST、EAP-PEAP、およびEAP-TTLSを使用したRFC2716(EAP-TLS)セッション再開
● EAP-FASTステートレスセッション再開
● PMK-IDキャッシング(Proactive Key CachingまたはOpportunistic Key Caching)、Windows XPのみ |
| イーサネット暗号化 |
●メディアアクセスコントロール:IEEE 802.1AE(MACsec)
●キー管理:MACsec鍵契約(MKA)
●有線イーサネットネットワーク上にセキュリティインフラストラクチャを定義し、データの機密性、データの整合性、およびデータの発信元の認証を提供します。
●ネットワークの信頼できるコンポーネント間の通信を保護します。 |
| 一度に1つの接続 |
●ネットワークへの1つの接続のみを許可し、他の接続はすべて切断します。
●アダプタ間のブリッジングなし
●イーサネット接続は自動的に優先されます。 |
| 複雑なサーバ検証 |
● 「Ends with」および「Exact match」ルールをサポートします。
●名前の共通性のないサーバに対して、30以上のルールをサポート |
| EAPチェーン(EAP-FASTv2) |
●企業資産と企業以外の資産に基づいてアクセスを差別化
●単一のEAPトランザクションでユーザとデバイスを検証します。 |
| Enterprise Connection Enforcement(ECE) |
●ユーザが正しい企業ネットワークにのみ接続できるようにします。
●ユーザがオフィスにいる間にサードパーティのアクセスポイントに接続してインターネットを閲覧できないようにします。
●ユーザがゲストネットワークへのアクセスを確立できないようにします。
●煩雑なブラックリスト化を排除 |
| 次世代暗号化(スイートB) |
●最新の暗号化規格をサポート
●楕円曲線Diffie-Hellmanキー交換
●楕円曲線デジタル署名アルゴリズム(ECDSA)証明書 |
| 資格情報の種類 |
●インタラクティブユーザパスワードまたはWindowsパスワード
● RSA SecurIDトークン
●ワンタイムパスワード(OTP)トークン
●スマートカード(Axalto、Gemplus、SafeNet iKey、Alladin)
● X.509証明書。
●楕円曲線デジタル署名アルゴリズム(ECDSA)証明書 |
| リモートデスクトップのサポート |
●リモートデスクトッププロトコル(RDP)を使用している場合、ローカルネットワークに対するリモートユーザの資格情報を認証します。 |
| サポートされるオペレーティングシステム |
● Windows 10、8.1、8、および7 |
フィードバック