| リモートアクセスVPN |
| 幅広いオペレーティングシステムのサポート |
● Windows 10、8.1、8、および7
● Mac OS X 10.8以降
● Linux Intel(x64)
●モバイルプラットフォームの情報については、AnyConnect Mobileのデータシートを参照してください。
|
ネットワークアクセスの最適化:VPNプロトコルの選択SSL
(TLSおよびDTLS)、IPsec IKEv2 |
● AnyConnectではVPNプロトコルを選択できるので、管理者はビジネスニーズに最適なプロトコルを使用できます。
●トンネリングのサポートには、SSL(TLS 1.2およびDTLS)と次世代IPsec IKEv2が含まれます。
● DTLSは、VoIPトラフィックやTCPベースのアプリケーションアクセスなど、遅延の影響を受けやすいトラフィックの接続を最適化します。
● TLS 1.2(HTTP over TLSまたはSSL)により、ロックダウンされた環境(Webプロキシサーバを使用する環境など)を通じてネットワーク接続の可用性を確保できます。
● IPsec IKEv2は、セキュリティポリシーでIPsecを使用する必要がある場合に、遅延の影響を受けやすいトラフィックに対して最適化された接続を提供します。
|
| 最適なゲートウェイの選択 |
●最適なネットワークアクセスポイントを判別して接続を確立し、エンドユーザが最寄りの場所を特定する必要がなくなります。
|
| モビリティ対応 |
●モバイルユーザ向けの設計
● IPアドレスの変更時、接続の消失時、または休止状態やスタンバイ状態の時にも、VPN接続が維持されるように設定できます。
● Trusted Network Detectionを使用すると、VPN接続はエンドユーザがオフィスにいるときに自動的に切断され、ユーザがリモートロケーションにいるときに接続されます。
|
| 暗号化 |
● AES-256および3DES-168(セキュリティゲートウェイデバイスで強力な暗号化ライセンスが有効になっている必要があります)
● NSA Suite Bアルゴリズム、IKEv2を使用したESPv3、4096ビットのRSAキー、Diffie-Hellmanグループ24、および拡張SHA2(SHA-256およびSHA-384)。 IPsec IKEv2接続にのみ適用されます。AnyConnect Apexライセンスが必要です。
|
| 幅広い導入オプションと接続オプション |
導入オプション:
● Microsoft Installerを含む導入前
● ActiveX(Windowsのみ)およびJavaによる自動セキュリティゲートウェイ展開(初期インストールには管理者権限が必要)
接続モード:
●システムアイコンによるスタンドアロン
●ブラウザ起動(Web起動)
●クライアントレスポータル開始
● CLI起動
● API開始
|
| 幅広い認証オプション |
●半径
● NT LAN Manager(NTLM)へのパスワード期限切れ機能を備えたRADIUS(MSCHAPv2)
● RADIUSワンタイムパスワード(OTP)のサポート(状態および応答メッセージ属性)
● RSA SecurID(SoftID統合を含む)
● Active DirectoryまたはKerberos
●組み込み認証局(CA)
●デジタル証明書またはスマートカード(マシン証明書のサポートを含む)、自動またはユーザー選択
● Lightweight Directory Access Protocol(LDAP)(パスワード期限切れ、エージング付き)
●汎用LDAPサポート
●証明書とユーザ名/パスワードを組み合わせた多要素認証(二重認証)
|
| 一貫したユーザエクスペリエンス |
●フルトンネルクライアントモードは、LANと同様の一貫したユーザエクスペリエンスを必要とするリモートアクセスユーザをサポートします。
●複数の配信方式により、AnyConnectの幅広い互換性を確保できます。
●ユーザはプッシュされた更新を保留できます。
●カスタマーエクスペリエンスフィードバックオプションを利用できます。
|
| 中央集中型のポリシー制御および管理 |
●ポリシーは事前設定またはローカルでの設定が可能で、VPNセキュリティゲートウェイから自動的に更新できます。
● API for AnyConnectは、Webページまたはアプリケーションを使用して簡単に導入できます。
●信頼できない証明書に対しては、確認とユーザ警告が発行されます。
●証明書はローカルで表示および管理できます。
|
| 高度なIPネットワーク接続 |
● IPv4およびIPv6ネットワークとのパブリック接続
●内部IPv4およびIPv6ネットワークリソースへのアクセス
●管理者が制御するスプリットトンネリングと全トンネリングのネットワークアクセスポリシー
●アクセスコントロールポリシー
● Google Android(Lollipop)およびSamsung KNOX用のアプリケーション単位のVPNポリシー(リリース4.0の新機能。OS 9.3以降を搭載したCisco ASA 5500-XおよびAnyConnect 4.0ライセンスが必要)
IPアドレス割り当てメカニズム:
●静的
●内部プール
●ダイナミックホストコンフィギュレーションプロトコル(DHCP)
● RADIUS/LDAP
|
堅牢な統合エンドポイントコンプライアンス
(Apexライセンスが必要)
|
●エンドポイントのポスチャ評価および修復は、有線およびワイヤレス環境でサポートされます(Cisco Identity Services Engine NAC Agentの後継)。 Identity Services Engine 1.3以降とIdentity Services Engine Apexライセンスが必要です。
● Cisco Hostscanは、ネットワークアクセスを許可する前に、エンドポイントシステム上のアンチウイルスソフトウェア、パーソナルファイアウォールソフトウェア、およびWindowsサービスパックの存在を検出しようとします。
●管理者は、実行中のプロセスの存在に基づいてカスタムポスチャチェックを定義することもできます。
● Hostscanは、リモートシステム上にウォーターマークが存在することを検出します。ウォーターマークを使用して、企業が所有する資産を特定し、その結果として差別化されたアクセスを提供することができます。ウォーターマークチェック機能には、システムレジストリ値、必要なCRC32チェックサムと一致するファイルの有無、IPアドレス範囲の一致、および一致する証明機関によって、またはによって発行された証明書が含まれます。コンプライアンス違反のアプリケーションに対して追加機能がサポートされています。
●機能はオペレーティングシステムによって異なります。詳細については、「Host Scan Support charts」を参照してください。
|
| クライアントファイアウォールポリシー |
●スプリットトンネリング設定に対する保護が追加されています。
● AnyConnectクライアントと組み合わせて、ローカルアクセスの例外(印刷、テザリングされたデバイスのサポートなど)を許可するために使用されます。
● IPv4のポートベースのルール、およびIPv6のネットワークとIPアクセスコントロールリスト(ACL)をサポートします。
● WindowsおよびMac OS Xプラットフォームで使用できます。
|
| ローカリゼーション |
英語に加えて、次の言語翻訳が含まれています:
●チェコ語(cs-cz)
●ドイツ語(de-de)
●スペイン語(es-es)
●フランス語(fr-fr)
●日本語(ja-jp)
●韓国語(ko-kr)
●ポーランド語(pl-pl)
●簡体字中国語(zh-cn)
●中国語(台湾) (zh-tw)
●オランダ語(nl-nl)
●ハンガリー語(hu-hu)
●イタリア語(it-it)
●ポルトガル語(ブラジル)(pt-br)
●ロシア語(ru-ru)
|
| クライアント管理の容易さ |
●管理者は、ヘッドエンドセキュリティアプライアンスからソフトウェアとポリシーの更新を自動的に配布できるため、クライアントソフトウェアの更新に関連する管理を排除できます。
●管理者は、エンドユーザの設定に使用する機能を決定できます。
●管理者は、ドメインログインスクリプトを使用できない接続時および切断時に、エンドポイントスクリプトをトリガーできます。
●管理者は、エンドユーザに表示されるメッセージを完全にカスタマイズおよびローカライズできます。
|
| プロファイルエディタ |
● AnyConnectポリシーは、Cisco Adaptive Security Device Manager(ASDM)から直接カスタマイズできます。
|
| 診断 |
●オンデバイスの統計情報とロギング情報を使用できます。
●ログはデバイスで表示できます。
●分析のために、ログをシスコまたは管理者に電子メールで簡単に送信できます。
|
| 連邦情報処理標準(FIPS) |
● FIPS 140-2 level 2準拠(プラットフォーム、機能、およびバージョンの制限が適用されます)
|
| セキュアモビリティとネットワークの可視性
|
Webセキュリティの統合
(Cloud Web Securityライセンスが必要)
|
● Software-as-a-Service(SaaS)Webセキュリティの最大のグローバルプロバイダーであるクラウドWebセキュリティを使用して、企業ネットワークへのマルウェアの侵入を防ぎ、従業員のWeb利用を制御および保護します。
●クラウドホスト型の構成と動的なロードをサポートします。
●プレミスベースのサービスに加えてクラウドベースのサービスをサポートすることで、組織に柔軟性と選択肢を提供します。
● Webセキュリティアプライアンスと統合
●信頼ネットワーク検出をサポートします。
●ユーザの場所に関係なく、すべてのトランザクションでセキュリティポリシーを適用します。
●アクセスが不可能になった場合にネットワーク接続を許可または拒否するポリシーを備えた、常時稼働の安全性の高いネットワーク接続が必要です。
●ホットスポットとキャプティブポータルを検出します。
|
Network Visibilityモジュール
(Apexライセンスが必要) |
●アプリケーションの使用状況を監視して、潜在的な動作の異常を検出します。
●より多くの情報に基づいたネットワーク設計の決定が可能。
●ますます多くのInternet Protocol Flow Information Export(IPFIX)対応ネットワーク分析ツールと使用状況データを共有できます。
|
Advanced Malware Protection(AMP)for Endpointsイネーブラ
(AMP for Endpointsは別途ライセンスされます) |
● CiscoAMP for Endpointsを分散して有効化することで、AnyConnectエンドポイントに対する脅威サービスの有効化を簡素化します。
●エンドポイントの脅威サービスをリモートエンドポイントに拡張し、エンドポイントの脅威カバレッジを拡大します。
●より予防的な保護を提供し、リモートエンドポイントでの攻撃を迅速に軽減します。
|
| 幅広いオペレーティングシステムのサポート |
● Windows 10、8.1、8、および7
● Mac OS X 10.8以降
|
| Network Access Managerおよび802.1X
|
| メディアサポート |
●イーサネット(IEEE 802.3)
● Wi-Fi(IEEE 802.11a/b/g/n)
|
| ネットワーク認証 |
● IEEE 802.1X-2001、802.1X-2004、および802.1X-2010
●単一の802.1X認証フレームワークを導入して、有線ネットワークとワイヤレスネットワークの両方にアクセスできます。
●安全性の高いアクセスに必要なユーザおよびデバイスIDとネットワークアクセスプロトコルを管理します。
●シスコの統合された有線およびワイヤレスネットワークに接続する際のユーザエクスペリエンスを最適化します。
|
| 拡張認証プロトコル(EAP)方式 |
● EAP-Transport Layer Security(TLS)
● EAP-Protected Extensible Authentication Protocol(PEAP)(内部で次の方式を使用)
-EAP-TLS
- EAP-MSCHAPv2
- EAP-Generic Token Card(GTC)
●次の内部方式によるEAP-Flexible Authentication via Secure Tunneling(FAST)
-EAP-TLS
- EAP-MSCHAPv2
- EAP-GTC
●次の内部方式によるEAP-Tunneled TLS(TTLS)
– パスワード認証プロトコル(PAP)。
– チャレンジハンドシェイク認証プロトコル(CHAP)。
- Microsoft CHAP(MSCHAP)。
- MSCHAPv2
- EAP-MD5
- EAP-MSCHAPv2
● Lightweight EAP(LEAP)、Wi-Fiのみ
● EAP-Message Digest 5(MD5)、管理用設定済み、イーサネットのみ
● EAP-MSCHAPv2、管理用設定済み、イーサネットのみ
● EAP-GTC、管理用設定済み、イーサネットのみ
|
| ワイヤレス暗号化方式(対応する802.11 NICのサポートが必要) |
●オープン
● Wired Equivalent Privacy(WEP)
●ダイナミックWEP
● Wi-Fi Protected Access(WPA)エンタープライズ
● WPA2エンタープライズ
● WPAパーソナル(WPA-PSK)
● WPA2パーソナル(WPA2-PSK)
● CCKM(Cisco CB21AGワイヤレスNICが必要)
|
| ワイヤレス暗号化プロトコル |
●高度暗号化規格(AES)アルゴリズムを使用するCipher Block Chaining Message Authentication Code Protocol(CCMP)によるカウンタモード
● Rivest Cipher 4(RC4)ストリーム暗号を使用するTemporal Key Integrity Protocol(TKIP)
|
| セッション再開 |
● EAP-TLS、EAP-FAST、EAP-PEAP、およびEAP-TTLSを使用したRFC2716(EAP-TLS)セッションの再開
● EAP-FASTによるステートレスセッション回復
● PMK-IDキャッシング(Proactive Key CachingまたはOpportunistic Key Caching)、Windows XPのみ
|
| イーサネット暗号化 |
●メディアアクセス制御:IEEE 802.1AE(MACsec)
●キー管理:MACsec Key Agreement(MKA)
●有線イーサネットネットワーク上にセキュリティインフラストラクチャを定義し、データの機密性、データの整合性、およびデータの発信元の認証を提供します。
●ネットワークの信頼できるコンポーネント間の通信を保護します。
|
| 一度に1つの接続 |
●ネットワークへの接続を1つだけ許可し、他のすべての接続を切断します。
●アダプタ間のブリッジングは行いません。
●イーサネット接続が自動的に優先されます。
|
| 複雑なサーバ検証 |
● 「で終わる」および「完全一致」のルールをサポートします。
●名前の共通性を持たないサーバに対して30を超えるルールをサポート。
|
| EAPチェーン(EAP-FASTv2) |
●企業資産と非企業資産に基づいてアクセスを区別します。
●単一のEAPトランザクションでユーザとデバイスを検証します。
|
| エンタープライズ接続の適用(ECE) |
●ユーザが正しい企業ネットワークにのみ接続できるようにします。
●ユーザがサードパーティアクセスポイントに接続して、オフィスにいる間インターネットを閲覧することを防止します。
●ユーザによるゲストネットワークへのアクセスの確立を禁止します。
●面倒なブラックリストの作成を排除します。
|
| 次世代暗号化(スイートB) |
●最新の暗号化規格をサポートします。
● Elliptic Curve Diffie-Hellman(ECDH)鍵交換
●楕円曲線デジタル署名アルゴリズム(ECDSA)証明書
|
| クレデンシャルタイプ |
●対話式ユーザパスワードまたはWindowsパスワード
● RSA SecurIDトークン
●ワンタイムパスワード(OTP)トークン
●スマートカード(Axalto、Gemplus、SafeNet iKey、Alladin)。
● X.509証明書。
● Elliptic Curve Digital Signature Algorithm(ECDSA)証明書。
|
| リモートデスクトップサポート |
●リモートデスクトッププロトコル(RDP)を使用するときに、ローカルネットワークに対するリモートユーザーの資格情報を認証します。
|
| サポートされるオペレーティングシステム |
● Windows 10、8.1、8および7
|
フィードバック