Cisco ASA 5500シリーズ

Cisco AnyConnect VPN Client

Hierarchical Navigation
ダウンロード

データ シート




Cisco AnyConnect セキュア モビリティ クライアント


製品概要


Cisco® AnyConnect セキュア モビリティ クライアントは、リモート アクセス テクノロジーのレベルを一貫して引き上げ、これまで以上にシームレスでセキュアなエクスペリエンスを実現します。AnyConnect セキュア モビリティ クライアントは、PC や スマートフォンなどのさまざまなモバイル機器(Apple iPhone など)にセキュアな接続を提供します。モバイル ワーカーがさまざまな場所でローミングを行う際にも、常時接続可能なインテリジェント VPN により、AnyConnect セキュア モビリティ クライアントは自動的に最適なネットワーク アクセス ポイントを選択し、遅延の影響を受けやすいトラフィック(VoIP トラフィックや TCP ベースのアプリケーション アクセスなど)に適した Datagram Transport Layer Security(DTLS)プロトコルなど、最も効率的なトンネリング プロトコル方式を適用します。

Cisco AnyConnect セキュア モビリティ ソリューションの一部として、Web セキュリティ機能とマルウェア脅威に対する防御機能が組み込まれているため、社内ベースの Cisco IronPort® Web セキュリティ アプライアンスまたはクラウドベースの Cisco ScanSafe Web セキュリティのいずれかを利用することで、従業員は企業リソースへ安心かつ安全にアクセスできるようになります。Web セキュリティ、マルウェア脅威に対する防御、リモート アクセス機能を組み合わせることにより、包括的でセキュアなエンタープライズ モビリティ ソリューションが実現します。一貫性のあるコンテキスト認識型セキュリティ ポリシーを採用しているため、生産性の高い保護された作業環境が維持されます。

堅牢なポスチャ評価機能により、エンドポイントのセキュリティ ポスチャに基づいて VPN アクセスが制限され、企業ネットワークの完全性が保護されます。接続を確立する前にさまざまなアンチウイルス、パーソナル ファイアウォール、アンチスパイウェア製品などでシステムの検証を行ったり、その他のシステム チェックを実行することが可能です。高度なエンドポイント評価オプションを利用すると、適合性に欠けるエンドポイント セキュリティ アプリケーションの修復プロセスを自動化できます。

Cisco AnyConnect セキュア モビリティ クライアントは、業界をリードする VPN 機能に加えて IEEE 802.1X に対応しており、有線ネットワークからワイヤレス ネットワークへのスムーズな移行に必要なユーザ ID、デバイス ID、ネットワーク アクセス プロトコルを管理する単一の認証フレームワークを提供します。また、VPN 機能のサポートとともに、有線ネットワークにおけるデータの機密性と整合性の確保および発信元の認証用に IEEE 802.1AE(MACsec)をサポートし、信頼済みのコンポーネント間によるネットワーク通信を保護します。

AnyConnect セキュア モビリティ クライアントのモジュール


Cisco AnyConnect セキュア モビリティ クライアントは、軽量で高度にモジュール化されたセキュリティ クライアントで、個別のビジネス ニーズに基づいて簡単にカスタマイズできます。VPN、802.1X、Secure Mobility for ScanSafe などの機能は、個別に導入可能なモジュールで利用できます。これによって、組織はニーズに最適な機能を選択し、セキュアな接続を実現できます。このため、高い俊敏性と運用効率が維持され、組織は AnyConnect の柔軟性と利点を最大限に活用できます。

機能と利点


表 1 に、Cisco AnyConnect セキュア モビリティ クライアントの機能と利点を示します。

表 1 機能と利点

リモート アクセス バーチャル プライベート ネットワーキング(VPN)

機能 利点
VPN プロトコルを SSL(TLS および DTLS)と IPsec/IKEv2 から選択可能 AnyConnect 3.0 の新機能
  • AnyConnect で VPN プロトコルを選択できるようになり、管理者はビジネス ニーズに適したプロトコルを使用可能
  • トンネリングでは、SSL(TLS および DTLS)と次世代 IPsec(IKEv2)もサポート
  • DTLS を使用して、VoIP トラフィックや TCP ベースのアプリケーション アクセスなど、遅延の影響を受けやすいトラフィックの接続を最適化
  • TLS(HTTP over TLS/SSL)を使用して、ロックダウンされた環境(Web プロキシ サーバを使用する環境などを含む)を通じてネットワーク接続の可用性を確保
  • セキュリティ ポリシーで IPsec を使用する必要がある場合に IPsec/IKEv2 を使用して、遅延の影響を受けやすいトラフィックの接続を最適化
最適なゲートウェイの選択
  • 最適なネットワーク アクセス ポイントが特定され接続が確立されるため、エンド ユーザによる最寄りのロケーションの特定が不要に
モビリティ機能
  • モバイル ユーザに適した設計
  • IP アドレスが変更されたとき、接続が失われたとき、またはデバイスが休止状態やスタンバイ状態になったときにも、VPN 接続が維持されるように設定可能
  • 信頼ネットワークの検出機能により、エンド ユーザがオフィスにいる間は VPN 接続を自動的に切断し、ユーザが遠隔地にいる場合には接続することが可能
暗号化
  • AES-256 や 3DES-168 などの強力な暗号化をサポート(ヘッドエンド デバイスで高強度の暗号ライセンスが有効になっている必要があります)
さまざまなオペレーティング システムのサポート
  • Windows 7 32 ビット(x86)および 64 ビット(x64)
  • Windows Vista 32 ビット(x86)および 64 ビット(x64)、Service Pack 1 および 2(SP1/SP2)を含む
  • XP SP2 以降の 32 ビット(x86)および 64 ビット(x64)
  • Mac OS X 10.5 および 10.6.x
  • Linux Intel(2.6.x カーネル)
Cisco AnyConnect Mobile(AnyConnect Mobile ライセンスが別途必要)
  • Apple iOS 4
  • Windows Mobile 5.0、6.0、6.1(Professional および Classic)
幅広い導入と接続のオプション 導入オプション:
  • 事前導入(Microsoft Installer など)
  • ActiveX(Windows のみ)および Java を用いた、自動的なヘッドエンド式の導入(初期インストールには管理権限が必要)
接続モード:
  • システム アイコンを用いたスタンドアロン接続
  • ブラウザからの接続(Weblaunch)
  • ポータルからのクライアントレス接続
  • CLI からの接続
  • API からの接続
幅広い認証オプション
  • RADIUS
  • NT LAN Manager(NTLM)のパスワード期限切れ機能(MSCHAPv2)をサポートする RADIUS
  • RADIUS One Time Password(OTP; ワンタイム パスワード)のサポート(State/Reply-Message 属性)
  • RSA SecurID(SoftID 統合を含む)
  • Active Directory/Kerberos
  • 組み込みの Certificate Authority(CA; 認証局)
  • デジタル証明書/スマートカード(マシン証明書のサポートを含む)、自動選択またはユーザによる選択が可能
  • パスワード期限切れ機能とエージング機能をサポートする LDAP
  • 汎用 LDAP のサポート
  • 証明書とユーザ名/パスワードを組み合わせた多因子認証(二重認証)
簡単なクライアント管理
  • 管理者はヘッドエンド セキュリティ アプライアンスからソフトウェアおよびポリシーのアップデートを自動的に配信できるため、クライアント ソフトウェアのアップデートに伴う管理作業が不要に
  • エンドユーザが利用可能な設定機能を、管理者が指定可能
  • ドメイン ログイン スクリプトを利用できない場合に、管理者は接続/切断時のエンドポイント スクリプトをトリガーすることが可能
  • 管理者は、エンドユーザに表示されるメッセージを完全にカスタマイズまたはローカライズ可能
安定したユーザ エクスペリエンス
  • LAN と同様の安定したユーザ エクスペリエンスを必要とするリモートアクセス ユーザを完全トンネリング クライアント モードでサポート
  • 複数の配信方式で、Cisco AnyConnect の幅広い互換性を実現
接続前のポスチャ評価(Premium ライセンスが必要です)
  • Cisco Secure Desktop と連携し、ネットワーク アクセスを許可する前にホスト スキャン検証を行って、エンドポイント システムにアンチウイルス ソフトウェア、パーソナル ファイアウォール ソフトウェア、および Windows サービス パックが存在することを検出
  • 管理者は実行中のプロセスの情報に基づいて、独自のポスチャ チェックを定義可能
  • Cisco Secure Desktop で、リモート システムのウォーターマークを検出。ウォーターマークは企業が所有する資産の識別に使用できるため、これによって差別化されたアクセスを提供できます。ウォーターマーク チェック機能には、システム レジストリ値、必要な CRC32 チェックサムと一致するファイルの確認、IP アドレス範囲の照合、および証明書の発行元と発行先の照合が含まれます。
  • 高度なエンドポイント評価オプションにより、適合性に欠けるアプリケーションの修復プロセスを自動化
高度な IP ネットワーク接続
  • 内部の IPv4 および IPv6 ネットワーク リソースへのアクセス
  • ネットワーク アクセスを最適化するスプリット トンネリングの集中制御
IP アドレス割り当てメカニズム:
  • 静的
  • 内部プール
  • Dynamic Host Configuration Protocol(DHCP)
  • RADIUS/LDAP
クライアント ファイアウォール ポリシー
  • スプリット トンネリング設定用に追加された保護機能
  • Cisco Secure Mobility と組み合わせて、ローカルのアクセス例外(印刷、テザリングされたデバイスのサポートなど)を設定可能
  • ポートベースのルール(IPv4 の場合)、およびネットワーク/IP のアクセス コントロール リスト(ACL)(IPv6 の場合)をサポート
  • Windows XP SP2、Vista、Windows 7、Mac OS X で利用可能
AnyConnect Profile Editor
  • AnyConnect ポリシーを Cisco Adaptive Security Device Manager(ASDM)から直接カスタマイズ可能


セキュアなモビリティ

Cisco ScanSafe の統合 AnyConnect 3.0 の新機能
  • SaaS 型 Web セキュリティのグローバル プロバイダーである Cisco ScanSafe を使用して、企業ネットワークをマルウェアから保護し、従業員の Web 利用を制御および保護
  • 社内ベースの Cisco IronPort Web セキュリティ ソリューションとクラウドベースのサービスをサポートして、組織に柔軟性と幅広い選択肢を提供
Cisco AnyConnect セキュア モビリティ
(Premium または Cisco IronPort Web セキュリティ アプライアンスのセキュア モビリティ ライセンスが必要です)
  • ユーザのロケーションに関係なく、すべてのトランザクションでセキュリティ ポリシーを適用
  • ネットワーク接続を許可、またはアクセス不能な場合は拒否するポリシーを備えた、常時接続可能なセキュアなネットワーク接続が必要
  • ホットスポット/キャプティブ ポータルの検出
  • Cisco IronPort Web セキュリティ アプライアンスまたは Cisco ScanSafe サービスの使用に最適
テレメトリ AnyConnect 3.0 の新機能
  • 感染原因となる悪意のあるコンテンツの発信元に関する情報を使用して、エンドポイントから Web フィルタリング インフラストラクチャにフィードバックを提供
  • エンドポイント データの分析と関連付けによって、フィルタリング アルゴリズムの強化と URL レピュテーション データベースの精度向上を図り、Web セキュリティの保護レベルを強化
  • Windows 7、Vista、および XP SP2 以降でサポート
さまざまなオペレーティング システムのサポート
  • Windows 7 32 ビット(x86)および 64 ビット(x64)
  • Windows Vista 32 ビット(x86)および 64 ビット(x64)
  • XP SP2 以降の 32 ビット(x86)および 64 ビット(x64)
  • Mac OS 10.5.x および 10.6.x(社内ベースの場合のみ)


Network Access Manager:802.1X(AnyConnect 3.0 の新機能)

IEEE 802.1X
  • 単一の 802.1X 認証フレームワークを導入して、有線ネットワークとワイヤレス ネットワークの両方にアクセスすることが可能
  • セキュアなアクセスに必要な、ユーザ ID、デバイス ID、ネットワーク アクセス プロトコルを管理
  • シスコの有線およびワイヤレス統合ネットワークに接続する場合のユーザ エクスペリエンスを最適化
IEEE 802.1AE(MACsec)
  • 有線イーサネット ネットワークのセキュリティ インフラストラクチャを定義し、データの機密性と整合性を確保して発信元の認証を実行
  • 信頼済みのコンポーネント間によるネットワーク通信を保護
メディア サポート
  • 有線イーサネット(IEEE 802.3)
  • Wi-Fi(IEEE 802.11a、802.11b、802.11g、802.11n)
ネットワーク認証
  • IEEE 802.1X-2001、802.1X-2004、および 802.1X-2010
Extensible Authentication Protocol(EAP; 拡張認証プロトコル)の方式
  • EAP-Transport Layer Security(TLS)
  • Lightweight EAP(LEAP)
  • EAP-Message Digest 5(MD5)
  • EAP-Protected Extensible Authentication Protocol(PEAP)(内部で以下の方式を利用します)
    • EAP-TLS
    • EAP-MSCHAPv2
    • EAP-GTC
  • EAP-Flexible Authentication via Secure Tunneling(FAST)(内部で以下の方式を利用します)
    • EAP-TLS
    • EAP-MSCHAPv2
    • EAP-GTC
  • EAP-Tunneled TLS(TTLS)(内部で以下の方式を利用します)
    • Password Authentication Protocol(PAP; パスワード認証プロトコル
    • Challenge Handshake Authentication Protocol(CHAP; チャレンジ ハンドシェイク認証プロトコル)
    • Microsoft CHAP(MSCHAP)
    • MSCHAPv2
    • EAP-MD5
    • EAP-MSCHAPv2
ワイヤレス暗号化方式(対応する 802.11 NIC のサポートが必要です)
  • オープン
  • Wired Equivalent Privacy(WEP)
  • ダイナミック WEP
  • WPA エンタープライズ
  • WPA2 エンタープライズ
  • WPA パーソナル(WPA-PSK)
  • WPA2 パーソナル(WPA2-PSK)
  • CCKM(Cisco CB21AG ワイヤレス NIC が必要です)
ワイヤレス暗号化プロトコル
  • Advanced Encryption Standard(AES; 高度暗号化規格)アルゴリズムを使用する Cipher Block Chaining Message Authentication Code Protocol(CCMP)によるカウンタ モード
  • Rivest Cipher 4(RC4)ストリーム暗号を使用する Temporal Key Integrity Protocol(TKIP))
IEEE 802.3 による有線ネットワークの暗号化
  • IEEE 802.1AE(MACsec))
セッション回復
  • EAP-TLS、EAP-FAST、EAP-PEAP、および EAP-TTLS を使用する RFC2716(EAP-TLS)によるセッション回復
  • EAP-FAST によるステートレスなセッション回復
  • PMK-ID キャッシング(プロアクティブ キー キャッシング))
クレデンシャル タイプ
  • インタラクティブなユーザ パスワードまたは Windows パスワード
  • RSA SecurID トークン
  • One Time Password(OTP; ワンタイム パスワード)トークン
  • スマートカード(Axalto、Gemplus、SafeNet iKey、Alladin)
  • X.509 証明書)
Federal Information Processing Standard(FIPS; 米国連邦情報処理標準)140-2 Level 1(Windows XP のみ)
  • 完全な FIPS 140-2 Level 1 クライアント ソリューションには別途ドライバの購入が必要
  • 一般的な Intel、Broadcom、Atheros の Wi-Fi チップセットを多数サポート
  • FIPS モードでは EAP-TLS、EAP-FAST、EAP-PEAP 方式をサポート
サポートされるオペレーティング システム
  • Windows 7(32 ビットおよび 64 ビット)
  • Windows Vista(32 ビットおよび 64 ビット)
  • Windows XP SP2 以降(32 ビット)
  • Windows Server 2003(32 ビット))


この製品には、OpenSSL Toolkit で使用するために OpenSSL Project によって開発されたソフトウェアが含まれています (http://www.openssl.org/ [英語])。

プラットフォームの互換性


Cisco AnyConnect セキュア モビリティ クライアントは、Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスの全モデル(Cisco ASA ソフトウェア リリース 8.0.3 以降)および各種の Cisco IOS® ソフトウェアベース ルータと互換性があります。Cisco AnyConnect セキュア モビリティ クライアントに、Cisco PIX® セキュリティ アプライアンスおよび Cisco VPN 3000 シリーズ コンセントレータとの互換性はありません。

互換性に関するその他の情報については、http://www.cisco.com/en/US/docs/security/asa/compatibility/asa-vpn-compatibility.html [英語] を参照してください。

Cisco AnyConnect セキュア モビリティ クライアントのライセンス オプション


表 2 に、Cisco AnyConnect セキュア モビリティ クライアントのライセンス オプションを示します。

表 2 Cisco AnyConnect セキュア モビリティ クライアントのライセンス オプション

ライセンス オプション 説明
プラットフォーム ライセンス
AnyConnect Essentials
  • Network Access Manager
  • テレメトリ
  • 安全性の高いリモートアクセス接続
  • デバイス モデルごとに 1 ライセンス
  • エンタープライズ アプリケーションへの完全トンネリング アクセス
AnyConnect Premium
  • クライアントレス SSL VPN、Cisco Secure Desktop 機能(ホスト スキャンを含む)、および Cisco AnyConnect セキュア モビリティをサポート Essentials の機能を提供(エンタープライズ アプリケーションへの完全トンネリング アクセスを含む)
  • 同時ユーザ数に基づくライセンス。単一デバイスまたは共有ライセンスとして使用可能
  • Cisco AnyConnect セキュア モビリティには Cisco IronPort Web セキュリティ アプライアンスのライセンスも必要
オプション機能のライセンス
AnyConnect Mobile
  • モバイル OS プラットフォームの互換性を有効化
  • Essentials または Premium ライセンスとは別に、デバイスごとに必要
Advanced Endpoint Assessment
  • 高度なエンドポイント評価機能(自動修復など)を有効化
  • Premium ライセンスとは別に、デバイスごとに必要(AnyConnect Essentials では利用不可)
Cisco セキュア モビリティ
  • ユーザのロケーションに関係なく、すべてのトランザクションでセキュリティ ポリシーを適用
  • Cisco IronPort Web セキュリティ アプライアンス ライセンスおよびオプションの AnyConnect Premium ライセンスとともに使用する場合、または AnyConnect Premium ライセンスとスタンドアロンで使用する場合に必要
Cisco Secure Mobility for ScanSafe
  • ScanSafe の SaaS 型 Web セキュリティ サービスとともに使用する場合に必要
  • ローミングを行う従業員にもリアルタイムの保護とポリシーの適用を拡張
FIPS 140-2 Level 1 準拠
  • ASA ライセンスによって、AnyConnect の FIPS 準拠バージョンを使用可能


ライセンスの電子配布


ほとんどのライセンスは電子配布可能です。電子配布によってライセンスご利用までの時間を大幅に短縮できます。電子配布ライセンスを購入する場合は、「L-」で始まる製品番号を指定してください。

保証に関する情報


保証については、シスコの製品保証 [英語] のページを参照してください。

発注情報


シスコ製品の購入方法の詳細は、「購入案内」ページを参照してください。ソフトウェアをダウンロードするには、Download Software ページにアクセスしてください(Cisco SMARTnet® 契約が必要です)。

Cisco SMARTnet をご契約の場合は、Cisco.com から最新の Cisco AnyConnect セキュア モビリティ クライアント ソフトウェアをダウンロードできます。ただし、3 つ以上の同時接続をサポートする場合はヘッドエンド ライセンスが必要です。利用できるオプションの詳細については、前述の「Cisco AnyConnect セキュア モビリティ クライアントのライセンス オプション」を参照してください。

AnyConnect と接続するために必要なライセンス オプションの一覧については、「Cisco Secure Remote Access:VPN ライセンスの概要」[英語] を参照してください。

関連情報


Cisco AnyConnect セキュア モビリティ クライアントのドキュメント:http://www.cisco.com/en/US/products/ps8411/tsd_products_support_series_home.html [英語]

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス:http://www.cisco.com/jp/go/asa/

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス ライセンス情報:http://www.cisco.com/en/US/products/ps6120/products_licensing_information_listing.html [英語]

お問い合わせ