この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
AnyConnect には、Cisco Common Cryptographic Module(C3M)が組み込まれています。この Cisco SSL の実装には、新世代の暗号化(NGE)アルゴリズムの一部として、連邦情報処理標準(FIPS)140-2 に準拠した暗号化モジュールや国家安全保障局(NSA)Suite B 暗号化が含まれます。
NGE には、増え続けるセキュリティおよびパフォーマンス要件のための新しい暗号化、認証、デジタル署名、キー交換アルゴリズムが導入されています。RFC 6279 では、Suite B 暗号化アルゴリズムが定義されています。これは、米国の FIPS 140-2 標準を満たすデバイスでサポートする必要があります。
AnyConnect コンポーネントは、ヘッドエンド(ASA または IOS ルータ)の設定に基づいて FIPS 標準暗号化をネゴシエートして使用します。次の AnyConnect クライアント モジュールは FIPS をサポートしています。
AnyConnect コア VPN:VPN クライアントの FIPS 準拠は、ユーザ コンピュータ上のローカル ポリシー ファイルの FIPS モード パラメータを使用して有効化されます。Suite B 暗号化は、IKEv2/IPsec VPN 接続でだけ使用可能です。詳細および手順については、「AnyConnect コア VPN クライアントのための FIPS の設定」を参照してください。
AnyConnect ローカル ポリシー ファイル AnyConnectLocalPolicy.xml には、ローカル クライアントに適用される FIPS モードの他に追加のセキュリティ設定が含まれています。これは ASA によって展開されないため、手動でインストールするか、社内のソフトウェア展開システムを使用して展開する必要があります。このプロファイルの使用方法については、「AnyConnect ローカル ポリシーの設定」を参照してください。
AnyConnect ネットワーク アクセス マネージャ:ネットワーク アクセス マネージャの FIPS 準拠は、AnyConnectLocalPolicy.xml ファイルの FIPS モード パラメータ、およびネットワーク アクセス マネージャ プロファイルの FIPS モード パラメータを使用して有効にします。ネットワーク アクセス マネージャのための FIPS は Windows でサポートされています。詳細および手順については、「ネットワーク アクセス マネージャのための FIPS の設定」を参照してください。
AnyConnect クライアントの [統計情報(Statistics)] パネル([トランスポート情報(Transport Information)] ヘッダーの下)には、使用中の暗号名が表示されます。
AES-GCM は、計算集約型のアルゴリズムであるため、これらのアルゴリズムを使用するときは、全体的なデータ レートが低くなる可能性があります。新しい Intel プロセッサの一部は、特に AES-GCM の性能を向上させるために採用された特別な命令を含むものもあります。AnyConnect は、それが実行されるプロセッサ上でそれらの新しい命令がサポートされているかどうかを自動的に検出します。サポートされている場合は、AnyConnect は新しい命令を使用し、特別な命令を持たないプロセッサと比較して VPN データ レートを大幅に向上させます。新しい命令をサポートするプロセッサのリストについては、http://ark.intel.com/search/advanced/?s=t&AESTech=true を参照してください。詳細については、http://software.intel.com/en-us/articles/intel-carry-less-multiplication-instruction-and-its-usage-for-computing-the-gcm-mode/ を参照してください。
暗号化と整合性の検証の両方が 1 回の操作で実行される複合モードの暗号化アルゴリズムは、ハードウェア クリプト アクセラレーションを使用する SMP ASA ゲートウェイ(5585 および 5515-X など)でのみサポートされます。AES-GCM は、シスコがサポートする複合モードの暗号化アルゴリズムです。
ASA が SSL および IPsec 用の異なるサーバ証明書で設定されている場合は、信頼できる証明書を使用してください。異なる IPsec および SSL 証明書を持つ Suite B(ECDSA)の信用されていない証明書を使用する場合、ポスチャ評価、WebLaunch、またはダウンローダの障害が発生する可能性があります。
コア AnyConnect クライアントの FIPS を有効にすると、エンドポイントで Windows レジストリの設定が変更されます。エンドポイントの他のコンポーネントでは、AnyConnect が FIPS を有効にしたこと、および暗号化の使用を開始したことを検出できます。たとえば、Remote Desktop Protocol(RDP)では、サーバで FIPS 準拠の暗号化を使用している必要があるため、Microsoft Terminal Services クライアントの RDP は機能しません。
これらの問題を回避するために、パラメータ [Use FIPS compliant algorithms for encryption, hashing, and signing] を Disabled に変更することにより、[Windows Local System Cryptography] 設定で FIPS 暗号化を一時的に無効にできます。エンドポイント デバイスをリブートすると、この設定が変更されて有効に戻ることに注意してください。
次の表に、認識の必要がある、AnyConnect によって実行される Windows レジストリ変更を示します。
ステップ 1 | AnyConnect プロファイル エディタで、VPN ローカル ポリシー プロファイルを開くか、作成します。 |
ステップ 2 | [FIPS モード(FIPS Mode)] を選択します。 |
ステップ 3 |
VPN ローカル ポリシー プロファイルを保存します。
|
Windows インストールでは、Cisco MST ファイルを標準 MSI インストール ファイルに適用して、AnyConnect ローカル ポリシーで FIPS を有効にできます。この MST のダウンロード元の詳細については、FIPS 用に受け取ったライセンシング情報を参照してください。インストール時に、FIPS が有効にされた AnyConnect ローカル ポリシー ファイルが生成されます。このユーティリティを実行した後、ユーザのシステムを更新します。
(注) |
この MST は FIPS だけを有効にします。その他のパラメータは変更しません。Windows インストール中に他のローカル ポリシーの設定を変更するには、「MST ファイルでのローカル ポリシー パラメータの有効化」を参照してください。 |
ネットワーク アクセス マネージャは、FIPS ネットワークと非 FIPS ネットワークの両方に同時に接続したり、FIPS ネットワークだけに接続したりするように設定できます。
ステップ 1 |
ネットワーク アクセス マネージャのために FIPS を有効にします(9-5 ページ)。
FIPS を有効にすると、ネットワーク アクセス マネージャは FIPS ネットワークと非 FIPS ネットワークの両方に接続できます。 |
ステップ 2 |
必要に応じて、ネットワーク アクセス マネージャに対して FIPS モードを適用します(9-6 ページ)。
|
ステップ 1 |
AnyConnect ローカル ポリシーで FIPS モードを有効にします。
|
ステップ 2 |
AnyConnect ネットワーク アクセス マネージャ クライアント プロファイルで FIPS モードを有効にします。
|
ネットワーク アクセス マネージャ プロファイルで、許可する関連付け、暗号化モード、認証方式を制限することにより、企業の従業員に対して FIPS 準拠のネットワークのみへの接続を強制します。
まず、ネットワーク アクセス マネージャのための FIPS の有効化を行い、FIPS モードを適用します。