輸出規制の遵守と地理的な制限によるセキュアなアクセス

はじめに

このドキュメントでは、Cisco Secure Accessのコンプライアンスおよび地理的な制限をエクスポートする方法について説明します。

バックグラウンド情報

シスコの一般的な輸出法令遵守ポリシーに従い、一部の国と地域ではセキュアアクセスが制限されています。最新のリストについては、『Cisco Global Trade Compliance』を参照してください。 

ドメイン ネーム サーバ（DNS）

• ロシア、ベラルーシ、クリミア、ルハンスク、ドネツク、シリア、キューバ、イラン、北朝鮮、およびジオブロッキングを使用するその他の認定された地域からのIPアドレスを送信元とするクエリのDNSサービスには、セキュリティポリシーまたはコンテンツフィルタリングポリシーは適用されません。レポート作成も無効になります。DNSクエリは有効な応答を受信し、他の地域からのトラフィックと同じサービスレベルで処理されます。
• DNSに使用する場合、Secure Client Roamingセキュリティモジュールは引き続きDNSトラフィックを解決します。
  
  

Webセキュリティ

• Webセキュリティサーバは、ブロックされた国または地域のいずれかから発信IPが着信するトラフィックを受け入れません。
• 既定のSecure Clientローミングセキュリティモジュール構成では、セキュアアクセスが利用できないときにインターネットに直接接続します。一部のお客様の設定は「フェールクローズ」モードで動作するため、ユーザがインターネットアクセスを失う可能性があります。
• デフォルトのSecure Access Protected Access Credential(PAC)ファイルでは、Secure Accessが使用できないときにインターネットに直接接続されます。一部の特定のお客様の設定（デフォルトルートのない設定など）は「フェールクローズ」され、ユーザがインターネットアクセスを失う原因となる可能性があります。
• IPsecトンネルは、IPブロッキングまたはインターネットキーエクスチェンジ(IKE)クレデンシャルの失効によって切断されます。動作とユーザエクスペリエンスは、お客様の構成によって異なります。インターネットへの直接接続に戻る設定もあれば、マルチプロトコルラベルスイッチング(MPLS)に戻る設定もあります。また、ユーザがインターネットアクセスを失う原因となる設定もあります。
  
  

VPNおよびゼロトラストアクセス

発信元IPがこれらの国または地域のいずれかから発信されている場合、VPNおよびゼロトラストアクセスサーバへの接続は拒否されます。

ダッシュボードおよび管理者アクセス

セキュアアクセスダッシュボードとAPIは、リストされているリージョンのいずれかから接続しているユーザに対してブロックされます。

FAQ

1. ユーザがブロックされても、影響を受けるリージョンに含まれていない場合はどうすればいいですか。
   サポートに問い合わせれば、喜んで調査してもらえます。
   
   
2. 地理的にブロックしているデータはどれくらい正確ですか。
   特定のIPアドレスの国を特定するために、業界をリードする位置情報サービスが使用されます。
   
   
3. IPアドレスに関連付けられた場所が間違っている場合は、何をする必要がありますか。
   修正要求を次のサービスに送信することを推奨します。

• https://www.maxmind.com/en/geoip-location-correction
• https://support.google.com/websearch/contact/ip/
• https://ipinfo.io/corrections
• https://www.ip2location.com/
• http://www.ipligence.com/