[an error occurred while processing this directive]
製品情報トップ
セキュリティ
Cisco Secure ACS for Windows
製品資料

Cisco Secure Access Control Server for Windows
Cisco Secure Access Control Server
ダウンロード
Cisco Secure Access Control Server

データ シート


Cisco Secure Access Control Server Version 3.3 for Windows


Cisco Secure Access Control Server(ACS)は、シスコのインテリジェント インフォメーション ネットワークに、包括的なアイデンティティ ネットワーキング ソリューションと安全なユーザ サービスを提供します。これは、すべての企業ユーザ、管理者、およびネットワーク インフラストラクチャのリソースを統合および制御するレイヤです。


製品概要

今日、ネットワークにアクセスする方法は増え続けており、セキュリティ違反や不正なユーザ アクセスが重大な問題になっています。インターネットの利用が増加するにつれて、ネットワーク管理者は、セキュアなトランザクションを保証し、ウィルスやDoS攻撃の広がりを防ぐために、ユーザだけでなくデバイスについても認証しなければならないという課題に直面しています。このような問題は、ネットワークの境界だけでなく、ネットワークの内部にも存在します。IEEE 802.11無線LANや常時接続の高速インターネット接続(DSL、ケーブルなど)が普及したことで、組織のネットワーク内部では、これらの問題がさらに深刻になっています。このような、どこにでも存在しうるセキュリティの脆弱性を緩和するためにアイデンティティ ネットワーキング テクノロジーへの投資を行うことは、運用および投資回収率のいずれの観点からも、検討に値します。

変化の激しいネットワークの成長と、増大するセキュリティ上の脅威は、アクセス制御管理ソリューションにおける新しい分野を生み出しています。企業では、公開鍵インフラストラクチャや二因子認証など、強力な形式の認証を使用することで、パブリック ネットワークやVPNから企業内のリソースにアクセスするユーザを制御するようになっています。ネットワーク管理者は、エンド ポイントのユーザの身元だけでなく、ユーザがアクセスするサービスの種類や、ネットワークへのアクセスに使用するマシンの種類にも及ぶ、柔軟な許可ポリシーを提供できるソリューションを模索しています。また、ユーザが接続に使用するアクセス手段にかかわらず、ネットワーク ユーザの動作を追跡およびモニタする機能は、貴重なネットワーク リソースの不必要な使用や過度な使用を識別するために非常に重要です。

Cisco® Secure Access Control Server(ACS)を使用すれば、アイデンティティ ネットワーキングを実現し、ユーザまたはデバイスに合わせたサービスを提供するネットワークにすることができます。Cisco Secure ACSは、スケーラビリティおよびパフォーマンスに優れたアクセス制御サーバであり、中央集中型のRADIUSサーバまたはTACACS+サーバとして機能します。Cisco Secure ACSは、中央集中型のアイデンティティ ネットワーキング ソリューションにより、認証、ユーザまたは管理者によるアクセス、およびポリシー制御を組み合わせることで、アクセス セキュリティを拡張します。これにより、優れた柔軟性と機動性を実現し、セキュリティを向上させ、ユーザの生産性を高めることができます。Cisco Secure ACSは、ネットワークへのユーザ アクセスおよび管理アクセスの増加に伴う管理の負担を軽減します。Cisco Secure ACSでは、すべてのユーザ アカウントを1つの中央データベースで管理することで、すべてのユーザのアクセス権を一元的に制御し、ネットワーク全体で数百または数千のアクセス ポイントに同じ情報を提供します。Cisco Secure ACSは、アカウンティング サービスとして、ネットワーク ユーザの動作を詳細にレポートおよびモニタする機能を提供し、ネットワーク上のすべてのアクセス接続とデバイス構成の変更を記録することで、IT運用のコストを削減します。Cisco Secure ACSは、有線および無線LAN、ダイヤルアップ、ブロードバンド、コンテンツ、ストレージ、VoIP、ファイアウォール、VPNなど、さまざまなアクセス接続タイプをサポートします。

Cisco Secure ACSは、Cisco Identity-Based Networking Services(IBNS)アーキテクチャの主要なコンポーネントです。Cisco IBNSは、802.1X(ポートベースのネットワーク アクセス制御を行うためのIEEE標準)やExtensible Authentication Protocol(EAP)などのポート セキュリティ標準に基づいており、従来はネットワーク境界で管理されていたAuthentication, Authorization, Accounting(AAA;認証、許可、アカウンティング)セキュリティを強化し、LAN全体にまで広げました。この新しいアーキテクチャでは、ユーザごとのリソース割り当て制限、VLAN、ACLなどを新しいポリシー制御として組み入れることが可能となり、認証システム(スイッチ、無線アクセス ポイントなど)はRADIUSクライアントとして機能してAAAサーバに対してこれらの制御に関する問い合わせを行います。

Cisco Secure ACSは、Cisco Network Admission Control(NAC)ソリューションの主要なコンポーネントでもあります。Cisco NACは、シスコシステムズが開発したマルチベンダー プログラムで、ウィルスやワームなど、新しいセキュリティの脅威による被害を防ぐことを目的としています。NACソリューションを使用すれば、所定のセキュリティポリシーに準拠した信頼できるエンドポイント デバイス(PC端末、サーバ、PDAなど)に対してのみネットワーク アクセスを許可し、不適合なデバイスのアクセスを制限できます。Cisco NACは、シスコ自己防衛型ネットワーク構想の第1段階として位置付けられるものであり、後の段階の基盤となります。今後の段階では、エンドポイントとネットワーク セキュリティの相互動作を拡張して、感染を抑制する機能が組み込まれます。これにより、システムに準拠したエンドポイントまたはその他のシステム要素から、不正なシステムまたは感染したシステムによる不正使用が報告されるようになります。シスコでは、このインテリジェントな機能を使用することで、感染したシステムをネットワークのその他のシステムから動的に隔離し、ウィルス、ワーム、およびその他の脅威の伝播を最小化できると考えています。

Cisco Secure ACSは強力なアクセス制御サーバであり、WANまたはLAN接続を拡張しようと考える企業に対して、パフォーマンスおよびスケーラビリティに優れたさまざまな機能を提供します。表1に、Cisco Secure ACSの主な利点を示します。

表1 Cisco Secure ACSの主な利点
使いやすさ Webベースのユーザ インターフェイスにより、ユーザ プロファイル、グループ プロファイル、およびCisco Secure ACSを容易に設定できます。
スケーラビリティ 大規模なネットワーク環境に対応するように構築されており、冗長サーバ、リモート データベース、およびユーザ データベース バックアップ サービスをサポートします。
拡張性 Lightweight Directory Access Protocol(LDAP)認証転送により、Sun、Novell、Microsoftなどの主要なディレクトリ ベンダーが提供するディレクトリに格納されたユーザ プロファイルを使った認証が可能となります。
管理性 Windows Active DirectoryおよびWindows NTデータベースをサポートしているため、Windowsのユーザ名とパスワード管理を利用できます。また、Windows Performance Monitorを使用して、リアルタイムの統計情報を表示できます。
運用性 Cisco Secure ACSの各管理者に異なるアクセス レベルを割り当て、ネットワーク デバイスをグループ化することにより、制御を簡単にして、柔軟性を最大限に高めます。これにより、ネットワーク内のすべてのデバイスで、セキュリティ ポリシーの実行および変更が容易になります。
柔軟性 Cisco IOS®ソフトウェアにはAAAサポートが組み込まれているため、Cisco Secure ACSは、シスコ製ネットワーク アクセス サーバのほとんどで使用できます(Cisco IOSソフトウェアのリリースが、RADIUSまたはTACACS+をサポートしている必要があります)。
統合性 Cisco IOSルータおよびVPNソリューションとの緊密な連携により、マルチシャーシ マルチリンク ポイントツーポイント プロトコル、Cisco IOSソフトウェアのコマンド実行権限などの機能を提供します。
サードパーティ製品のサポート RFCに準拠したRADIUSインターフェイスを提供するすべてのOTP(ワンタイム パスワード)ベンダー(RSA、PassGo、Secure Computing、ActiveCard、Vasco、CryptoCardなど)のトークン サーバをサポートします。
制御 時間帯、ネットワークの使用、ログインしているセッション数、および曜日によるアクセス制限を動的に割り当てることができます。

ACS Version 3.3の主な機能

Cisco NACのサポート — Cisco Secure ACS 3.3は、NACにおけるポリシー決定ポイントとして機能します。Cisco Secure ACSは、設定されたポリシーを使用して、Cisco Trust Agentによって送信された証明書を評価し、ホストの状態を判断して、ホストの状態に適したAAAクライアントACLを送信します。ホスト証明書の評価により、オペレーティング システムのパッチ レベル、アンチウィルスDATファイルのバージョンなど、さまざまな固有のポリシーを実行できます。Cisco Secure ACSは、モニタリング システムで使用するために、ポリシー評価の結果を記録します。ポリシーは、Cisco Secure ACSによってローカルで評価することもできますし、Cisco Secure ACSから外部ポリシー サーバへ証明書を転送し、そのサーバから評価結果を受け取ることもできます。たとえば、あるアンチウィルス ベンダー固有の証明書は、そのベンダーのアンチウィルス ポリシー サーバに転送できます。

無線認証に対するEAP-Flexible Authentication via Secure Tunneling(FAST)のサポート — EAP-FASTは、シスコによって開発され公開された新たなタイプの802.1X EAPであり、強力なパスワード ポリシーを実行できないお客様に有効です。このようなお客様は、デジタル認証を必要とせず、さまざまなタイプのユーザおよびパスワードデータベースを使用でき、パスワードの失効および変更をサポートし、柔軟性があり、さらに導入と管理が容易なタイプの802.1X EAPを必要としています。たとえば、Cisco EAPを使用しているお客様が、強力なパスワード ポリシーを実行できないため、証明書を使用していない場合でも、EAP-FASTに移行することにより、辞書攻撃からの保護が可能となります。Cisco Secure ACS 3.3には、シスコ製品と互換性のあるクライアント デバイスおよびCisco Aironet® 802.11a/b/g WLANクライアント アダプタで使用できる、EAP-FASTサプリカントのサポートが追加されています。

ダウンロード可能なIP ACL — Cisco Secure ACS Version 3.3では、この機能をサポートするすべてのレイヤ3ネットワーク デバイス(Cisco PIX® Firewall、Cisco VPNソリューション、およびCisco IOSルータ)でユーザごとのACLサポートが可能となります。これによって、ユーザまたはグループごとに適用される一連のACLが定義できます。この機能は、適切なACLポリシーを実行できるようにすることで、NACのサポートを補完します。NAFとともに使用すると、ダウンロード可能なACLをAAAクライアントごとに設定できるため、ユーザまたはアクセス デバイスに固有のACLを適用できます。

Certification Revocation List(CRL;証明書失効リスト)の比較 — Cisco Secure ACS 3.3では、X.509 CRLプロファイルを使用した、証明書失効のサポートが追加されています。CRLは、失効した証明書を識別するタイムスタンプ付きのリストで、認証局またはCRLの発行者によって署名され、パブリック リポジトリで公開されています。Cisco Secure ACS 3.3は、LDAPまたはHTTPを使用して、設定されたCRL Distribution Point(CDP)からCRLを定期的に取得し、EAP-TLS認証時に使用できるよう保存します。EAP-TLS認証時にユーザが提示した証明書が、取得したCRLに存在する場合、Cisco Secure ACSはそれを認証せず、ユーザへのアクセスを拒否します。この機能は、組織変更が頻繁にある場合に特に重要であり、不正なネットワークの使用から貴重な企業資産を保護します。

Machine Access Restrictions(MAR) — Cisco Secure ACS 3.3には、Windowsマシン認証の拡張機能としてMARが含まれています。Windowsマシン認証が有効な場合、MARを使用することにより、Windows外部ユーザ データベースを使用して認証を行うEAP-TLSユーザおよびMicrosoft Protected Extensible Authentication Protocol(PEAP)ユーザの権限を制御できます。設定された時間内であればマシン認証を通過していないコンピュータを使用してネットワークにアクセスするユーザを特定のユーザ グループとして許可します。必要に応じて、許可を制限するように設定することもできます。ネットワーク アクセスをまとめて拒否することもできます。

Network Access Filtering(NAF) — Cisco Secure ACS 3.3には、新しいタイプの共有プロファイル コンポーネントとしてNAFが組み込まれています。NAFを使用すると、AAAクライアント名、ネットワーク デバイス グループ、またはAAAクライアントのIPアドレスに基づいて、ネットワーク アクセス制限およびダウンロード可能なACLを柔軟に適用することができます。IPアドレスに基づいてNAFを適用する場合には、IPアドレスの範囲ワイルドカードでの指定も可能です。以前は、すべてのデバイスに対して同一のアクセス制限またはACLを使用する必要がありましたが、この機能により、ネットワーク アクセス制限とダウンロード可能なACLをきめ細かく設定できます。NAFによって可能になる柔軟なネットワーク デバイス制限ポリシーの定義は、大規模なネットワーク環境に共通の要件です。

Cisco Security AgentとCisco Secure ACS Solution Engineの統合 — Cisco Secure ACS 3.3 Solution Engineには、スタンドアロンのCisco Security Agentがプリインストールされています。アプライアンスのベース イメージとして組み込まれたことにより、Day Zero攻撃からCisco Secure ACS Solution Engineを保護できます。Cisco Security Agentによって利用可能になる新しい動作ベースのテクノロジーは、ウィルスやワームなどの常に変化する脅威からCisco Secure ACS Solution Engineを保護します。

レプリケーション拡張機能 — Cisco Secure ACS 3.3を使用すると、ユーザ データベースとグループ データベースを個別に複製できます。ユーザ アカウントへの変更を複製した場合、グループを複製する必要はありません。同様に、グループを複製した場合、ユーザを複製する必要はありません。このように個々の複製が可能となったため、レプリケーション イベント中にCisco Secure ACS間で送信されるデータ量が削減されます。また、Cisco Secure ACSレプリケーション パートナーとのネットワーク接続に時間がかかる環境に対応できるように、設定変更可能なレプリケーション タイムアウト オプションが追加されました。

システム要件

Cisco Secure ACSには、Cisco Secure ACS WindowsとCisco Secure ACS Solution Engineという2つのオプションがあります。Cisco Secure ACS Solution Engineは、Cisco Secure ACSライセンスがプリインストールされ、セキュリティが強化された1 RUのアプライアンスです。

Cisco Secure ACS Windowsを実装する場合、表2に示す最小ハードウェア要件を満たすWindowsサーバが必要です。また、英語OS上での動作のみサポート対象となっています。

表2 Cisco Secure ACS Windowsの最小サーバ仕様
プロセッサ速度 550 MHz以上
メモリ 256 MB以上のRAM
ハード ドライブ 250 MB以上の空きディスク容量
ディスプレイ解像度 800×600以上(256色)

Cisco Secure ACS Solution Engineは、表3に示す仕様に準拠したCisco 1112プラットフォームで動作します。

表3 Cisco Secure ACS Solution Engineサーバの仕様
プロセッサ速度 Pentium 4、3.2 GHz
メモリ 1 GBのRAM
ハード ドライブ 80 GBの空きディスク容量
インターフェイス 内蔵10/100イーサネット コントローラ×2、フロッピー ディスク ドライブ×1

発注情報

Cisco Secure ACSは、世界各国の正規のシスコ製品販売チャネルから購入できます。Cisco Secure ACS Windowsには、Microsoft Windowsワークステーションへのインストールに必要なコンポーネントがすべて含まれています。ただし、現在は、英語OSのみをサポートしています。

Cisco Secure ACS Solution Engineは、Cisco Secure ACSソフトウェア ライセンスがプリインストールされた状態で出荷されます。製品番号については、Cisco Secure ACS Version 3.3製品情報を参照してください。

付属のRemote Agent は英語OS上での動作のみサポート対象となります。

シスコ製品の購入方法の詳細は、「発注方法」を参照してください。

サービスおよびサポート

シスコは、お客様のネットワークを支援するためのさまざまなサービス プログラムを提供しています。シスコの画期的なサービスプログラムは、スタッフ、プロセス、ツール、およびパートナーを統合した独自のサポート体制のもとに提供され、お客様からの高い支持と信頼を得ています。シスコは、お客様のネットワークへの投資を最大限に活用し、ネットワーク運用を最適化するとともに、最新アプリケーションに対応できるようにネットワークを整備し、よりインテリジェントなネットワークを構築することによって、お客様の事業拡大を支援しています。シスコが提供するサービスおよびサポートの詳細は、Cisco Technical Support Servicesをご覧ください。

その他の情報

製品の詳細については、http://www.cisco.com/jp/のセキュリティ製品からACSのページをご覧ください。その他のお問い合わせやご質問については、シスコ製品販売代理店までお願いいたします。



[an error occurred while processing this directive]