リモートアクセス VPN

リモートアクセス VPN

AnyConnect の VPN 機能の特長は、「フル トンネル」VPN が可能であることです。Web ブラウザからログインしてイントラネットに接続するという方式の「クライアントレス VPN」は、Web ブラウザさえあれば接続が可能ですが、利用できるアプリケーションは HTTP、FTP、Windows ファイル共有(CIFS)などに限られます。これに対して、フル トンネル VPN では、端末にクライアント ソフトウェアをインストールする必要がありますが、社内にいるときと同様にイントラネット上のリソースにアクセスできるうえ、IP 上で動作するアプリケーションならどれでも使用できます。 

COVID-19の課題に対し皆様の事業継続をサポート

シスコは、この困難な時期にコミュニティの助けとなるソリューション、テクノロジー、ヒント、リソースを提供することで私たちの役割を果たしています。

AnyConnect がサポートする接続プロトコル

一般的なリモートアクセス VPN として、IPsec と SSL-VPN があります。かつては、この IPsec と SSL-VPN には一長一短がありました。IPsec は当初からフルトンネルVPNを実現可能でしたが、NAT(Network Address Translation)や PAT(Port Address Translation)を越えた通信のためには、シスコ独自の機能や NAT トラバーサルなどのソリューションが必要でした。一方 SSL は、ファイアウォールとの親和性が高かったものの、Web ブラウザを通して限定的なアクセスしかできないといった問題がありました。 

現在、SSL プロトコルを使ったフルトンネル VPN がサポートされているため(AnyConnect バージョン 2.x より対応)、従来のクライアント SSL-VPN の問題は解決されています。また、AnyConnect バージョン 3.x からは、IKEv2 での IPsec もサポートされました。 

IKEv2(Internet Key Exchange Version 2)とは、IPsec(IP ネットワーク層で暗号化を行うプロトコル)の一部として標準化されている、暗号鍵交換のためのプロトコルです。IKE の役割は、IPsec による暗号化通信に先立って暗号化方式を決定し、相互認証を行い、セキュリティ アソシエーション(SA; セキュリティが保証された接続)を確立することです。IKEv2 では、バージョン 1 に存在していた問題を解決するために、ユーザ レベル認証、NAT 対応、DoS 攻撃対策などの機能が追加されています。その結果、セキュリティがさらに強化され、相互運用性も向上しています。

Always-On 機能

Always-On は、クライアント端末からのネットワーク接続を監視し、社外に持ち出した PC に対してもセキュリティ ポリシーを適用するための機能です。クライアント端末が社内にいるか社外にいるかを自動的に判断し、社内にいるときは VPN を使用せず社内 LAN に接続しますが、社外にいる場合は自動的に VPN 接続を確立します*1。社外にいるクライアント端末が社外のリソース(インターネット上のサイトなど)にアクセスする場合も、必ず社内を経由することになるので、社内ポリシーに従って特定のサイトへのアクセスを禁止することができます*2

*1 クライアント端末が社内、あるいは社外にいるかは、ドメイン サフィックスと DNS サーバ名から判断します。
*2 Web アクセスの制御は、Cisco IronPort WSAで行います。 

スマート デバイス対応

AnyConnect は、下記のオペレーティングシステムを搭載したデバイスで動作します。

  • Windows
  • Mac OS
  • Linux
  • iOS(Apple iPhone、iPod touch、iPad)
  • Android(2011 年 8 月現在、Samsung Galaxy S/S2/Tab のみ)
  • Cisco Cius

従来のコンピュータに加えて、スマートフォン デバイスや Cisco Cius でも動作するなど、幅広い端末に対応し、利便性の高い VPN 接続を実現しています。

スマートフォンでのVPN 利用について

iOS や Android のデバイスで利用するには、シスコが提供する AnyConnect アプリを App Store や Android Market からダウンロードしてインストールします。Cisco Cius については、ネイティブ機能として AnyConnect が組み込まれています。

ただし、iOS や Android のデバイスでは機能面での制限があります。たとえば、VPN トンネリングの方式は SSL のみとなり、IPsec(IKEv2)は使用できません。また、Always-On 機能もこれらのデバイスでは使用できませんが、iOS デバイスでは代わりに iOS の Connect on Demand という機能を使用すると、特定のドメインへの接続が要求されたときに自動的に VPN 接続を起動することができます。 


Android


iPhone/iPod touch


iPad

Posture モジュール(Host Scan 機能)

Host Scan とは、クライアント端末を VPN で社内ネットワークに接続する前に端末のセキュリティに関する情報を収集する機能です。この機能は、最新バージョンの 3.0 では「Posture」という名称の独立したモジュールとして実装されています。収集する情報には、端末の OS のバージョン、ウイルス/スパイウェア対策ソフトウェアやパーソナル ファイアウォールの動作状況、特定のレジストリの内容などがあります。これらを組織のポリシーと照らし合わせて端末のセキュリティのステータス(ポスチャ)を判断し、接続を許可するかどうか、許可する場合はアクセス先を限定するかどうかを決定します。つまり、ネットワークに接続するデバイスの簡易検疫を行うことができます。どのような情報を収集するかについては、ASA 5500 シリーズから指示が AnyConnect に送られます。Host Scan には修復機能もあり、たとえばウイルス対策ソフトウェアが実行されていない場合に強制的に起動することもできます。

AnyConnect だから実現できること

社内のリソースにインターネットを介してリモート アクセスする仮想プライベート ネットワーク(VPN)を実現するために、現在さまざまなソリューションが提供されていますが、AnyConnect をクライアントとして使用するリモート アクセス VPN ならば、社外からでも社内と同じように簡単に、かつ安全に社内のリソースにアクセスできます。ファイアウォールで保護された社内リソースにも、フル トンネル VPN 接続を通して、普段使用しているアプリケーションからアクセスが可能です。VPN 接続が必要かどうかは、Always-On 機能によって自動的に判断されますし、社外からのインターネット アクセスも VPN 接続を経由させることによって、社内のセキュリティ ポリシーを常時適用できます。AnyConnect は、ノート パソコンのほかにスマートフォンやタブレットなどでも動作するため、VPN を利用できる場面も一段と広がります。また、VPN 接続の前にデバイスのセキュリティ ポスチャをチェックする機能があり、VPN 経由で持ち込まれる恐れのあるセキュリティ リスクを未然に防止できます。

つまり、AnyConnect ならば、いつでも、どこでも、どのデバイスからでも、社内リソースに安全にリモート アクセスできるようになります。 

関連テクノロジー

Network Access Manager

無線/有線ネットワークにおけるレイヤ 2 レベルのセキュリティを維持するためのソフトウェア モジュールです。

Web Security

Cisco AnyConnect の Web Security モジュールの目的は、ネットワークに接続した後のセキュリティを強化することです。