モバイルデバイスでの AnyConnect の動作およびオプション
AnyConnect Mobile VPN 接続について
このリリースの AnyConnect Secure Mobility Client は、次のモバイルプラットフォームに対応しています。
-
Android
-
Apple iOS
-
Chromebook
-
Windows Phone
AnyConnect Secure Mobility Client は、サポートされている各プラットフォームのアプリストアに用意されています。www.cisco.com では入手できません。また、セキュリティで保護されたゲートウェイから配布されていません。
AnyConnect モバイルアプリには、コア VPN クライアントのみが含まれています。Network Access Manager、ポスチャ(VPN ポスチャ または システムスキャン)などの他の AnyConnect モジュールは含まれていません。VPN が接続中の場合は、モバイル ポスチャと呼ばれるポスチャ情報が、AnyConnect Identify Extensions(ACIDex)を使用してヘッドエンドに提供されます。
AnyConnect VPN 接続は、次のいずれかの方法で確立できます。
-
ユーザが手動で確立する。
-
ユーザが管理者により提供された自動接続アクションをクリックする際に手動で確立する(Android および Apple iOS のみ)。
-
自動:Connect on-Demand 機能により確立される(Apple iOS のみ)。
モバイルデバイスでの AnyConnect VPN 接続エントリ
接続エントリは、セキュア ゲートウェイのアドレスを完全修飾ドメイン名または IP アドレス(必要に応じてトンネル グループ URL を含む)で識別します。また、他の接続属性を含めることもできます。
AnyConnect では、1 台のモバイルデバイス上の複数の接続エントリをサポートすることで、異なるセキュア ゲートウェイや VPN トンネルグループに対応します。複数の接続エントリが設定されている場合は、VPN 接続を開始するためにユーザがどれを使用するかを理解することが重要です。接続エントリは次の方法のいずれかで設定されます。
-
ユーザが手動で設定します。モバイル デバイスの接続エントリを設定する手順については、該当するプラットフォームのユーザ ガイドを参照してください。
-
ユーザが管理者により提供されたリンクをクリックした後で追加し、接続エントリを設定します。
ユーザにこの種の接続エントリ設定を提供するには、「VPN 接続エントリの生成」を参照してください。
-
AnyConnect VPN クライアントプロファイルで定義されます。
AnyConnect VPN クライアントプロファイルでは、クライアント動作を指定し、VPN 接続エントリを定義します。詳細については、「AnyConnect VPN プロファイルでのモバイルデバイス接続の設定」を参照してください。
トンネリング モード
AnyConnect は、マネージド BYOD またはアンマネージド BYOD 環境で動作可能です。これらの環境での VPN トンネリングは、次のいずれかのモードでのみ動作します。
-
システム トンネリング モード:VPN 接続が、すべてのデータをトンネリングするために(完全トンネリング)、または特定のドメインまたはアドレスとの間で送受信されるデータのみをトンネリングするために(スプリット トンネリング)使用されます。このモードは、すべてのモバイル プラットフォームで使用できます。
-
アプリケーションごとの VPN モード:VPN 接続は、モバイルデバイス(Android と Apple iOS のみ)上の特定のアプリケーションセットで使用されます。
AnyConnect では、管理者によってヘッドエンドで定義されているアプリケーションのセットを使用できます。このリストを定義するには、Cisco Secure Firewall ASA のカスタム属性のメカニズムを使用します。このリストは AnyConnect に送信され、デバイスで適用されます。他のすべてのアプリケーションに対しては、データはトンネルを介さずに、または暗号化されずに送信されます。
Apple iOS でこのモードで実行するには、マネージド環境が必要です。Android では、マネージドとアンマネージドの両方の環境がサポートされます。いずれのプラットフォームでも、マネージド環境では、AnyConnect でトンネリングするように設定されている一連のアプリケーションと同じアプリケーションをトンネリングするように Mobile Device Manager でデバイスを設定する必要があります。
-
マルチトンネル:iOS 上の AnyConnect は、次のパターンを使用して複数のトンネルをサポートします。 -
1 つの通常の(アプリケーションごとではない)VPN トンネルと、一度に接続された 1 つ以上のアプリケーションごとのトンネル
-
一度に接続されたアプリケーションごとの VPN トンネルの数
追加情報については、「iOS 向けの複数のトンネル」を参照してください。
-
AnyConnect Cisco Secure Firewall ASA ヘッドエンドから受信した設定情報によって決定されるモードで動作します。具体的には、接続に関連付けられたグループポリシーまたはダイナミック アクセス ポリシー(DAP)内のアプリごとの VPN リストの有無です。アプリケーション単位 VPN のリストが存在する場合、AnyConnect はアプリケーション単位 VPN モードで動作し、存在しない場合は AnyConnect はシステム トンネリング モードで動作します。
iOS 向けの複数のトンネル
ユーザーは、1 つのトンネルに対して 1 つの VPN 接続しか手動で開始できません(アプリケーションごとの VPN を使用する、または使用しない、いずれの場合も)。アプリケーションごとの VPN は関連付けられたアプリケーションで自動的に開始されるため、マルチトンネルを使用するには、MDM VPN プロファイルの VendorConfig に MultiTunnel キーを追加し、それを true に設定する必要があります。
iOS AnyConnect のホーム画面には、接続されているかどうかに関係なく、選択したトンネルを示す表が表示されます。2 番目の表はダイナミックで、アプリケーションごとの VPN が接続されている場合にのみ表示されます。この 2 番目の表には、ユーザが [ステータス(Status)] をクリックして、送受信されたバイト数とともに接続の [詳細な統計情報(Detailed Statistics)] を表示するまで、アプリケーションごとのトンネルの接続ステータスのみが表示されます。
現在選択されている通常の VPN のログの [診断(Diagnostics)] を参照できます。ユーザがログを共有することを決定した場合、ログパッケージには、接続されている VPN 設定のすべての VPN デバッグログファイルが含まれます。
モバイル デバイスでのセキュア ゲートウェイ認証
信頼されていないサーバのブロック
VPN 接続を確立するときに、AnyConnect はセキュアゲートウェイから受信したデジタル証明書を使用してサーバーの身元を確認します。サーバ証明書が無効な場合(期限切れか無効な日付、キーの誤用、名前の不一致により証明書エラーがある)、または信頼できない場合(認証局が確認できない)場合、接続はブロックされます。ブロッキング メッセージが表示されるため、ユーザーは処理を選択する必要があります。
[信頼されていないサーバーをブロック(Block Untrusted Servers)] アプリケーション設定は、セキュア ゲートウェイを識別できない場合、AnyConnect がどのように反応するかを決定します。この保護はデフォルトではオンです。ユーザーはオフにできますが、これは推奨されません。
[信頼されていないサーバをブロック(Block Untrusted Servers)] がオンの場合、信頼できない VPN サーバをブロックするという通知によって、ユーザーにセキュリティ上の脅威が警告されます。ユーザーは以下を選択できます。
-
[安全を確保(Keep Me Safe)] を選択して、この接続を終わらせ、安全にしておきます。
-
[設定の変更(Change Settings)] を選択して、[信頼されていないサーバをブロック(Block Untrusted Servers)] アプリケーション プリファレンスをオフにします。ただし、これは推奨されません。ユーザーがこのセキュリティ保護を無効にすると、VPN 接続を再起動しなくてはなりません。
[信頼されていないサーバをブロック(Block Untrusted Servers)] がオフの場合、信頼できない VPN サーバをブロックしないという通知によって、ユーザーにセキュリティ上の脅威が警告されます。ユーザーは以下を選択できます。
-
[キャンセル(Cancel)] を選択して、接続をキャンセルし、安全にしておきます。
-
[続行(Continue)] を選択して、接続を続行します。ただし、これは推奨されません。
-
[詳細の表示(View Details)] を選択して、証明書の詳細を表示して受け入れるかどうかを判断します。
ユーザーが確認している証明書が有効であるが信頼できない場合、ユーザーは次のことを実行できます。
-
再使用できるようにサーバー証明書を AnyConnect 証明書ストアにインポートし、[インポートおよび継続(Import and Continue)] を選択して接続を継続します。
AnyConnect ストアにこの証明書がインポートされると、このデジタル証明書を使用しているそのサーバーに対する後続の接続は自動的に受け入れられます。
-
前の画面に戻り、[キャンセル(Cancel)] または [続行(Continue)] を選択します。
証明書が無効な場合、または何らかの理由で、ユーザーが前の画面にだけ戻ることができる場合、[キャンセル(Cancel)] または [続行(Continue)] を選択します。
-
VPN 接続の最も安全な設定では、[信頼されていないサーバーをブロック(Block Untrusted Servers)] の設定をオン(デフォルト設定)のままにし、自身のセキュアゲートウェイで設定された(有効で信頼できる)サーバー証明書を所有し、モバイルユーザーには常に [安全を確保(Keep Me Safe)] を選択させる必要があります。
(注) |
[厳格な証明書トラスト(Strict Certificate Trust)] はこの設定を上書きします(以下の説明を参照)。 |
OCSP 失効
AnyConnect は OCSP(オンライン証明書状態プロトコル)をサポートします。これにより、OCSP レスポンダに要求を行い OCSP 応答を解析して証明書のステータスを取得することで、クライアントはリアルタイムで個々の証明書のステータスを照会できます。OCSP は、証明書チェーン全体を確認するために使用されます。OCSP レスポンダにアクセスする際、証明書ごとに 5 秒のタイムアウト間隔があります。
ユーザーは AnyConnect 設定アクティビティで OCSP 検証を有効または無効にすることができます。MDM 管理者がリモートでこの機能を制御するために使用できる新しい API がフレームワークに追加されました。現在、Samsung と Google MDM がサポートされています。
厳格な証明書トラスト
ユーザーによって有効にされた場合、リモート セキュリティ ゲートウェイの認証時に AnyConnect は確認できない証明書を許可しません。これらの証明書を受け入れるようユーザーにプロンプトを表示するのではなく、クライアントはセキュリティ ゲートウェイへの接続に失敗します。
(注) |
この設定は、[信頼されていないサーバをブロック(Block Untrusted Servers)] よりも優先されます。 |
オフにすると、クライアントはユーザーに証明書を受け入れるように求めます。これはデフォルトの動作です。
以下の理由があるため、AnyConnect の厳格な証明書トラストを有効にすることを、強くお勧めします。
-
明確な悪意を持った攻撃が増えているため、ローカル ポリシーで厳格な証明書トラストを有効にすると、パブリック アクセス ネットワークなどの非信頼ネットワークからユーザーが接続している場合に「中間者」攻撃を防ぐために役立ちます。
-
完全に検証可能で信頼できる証明書を使用する場合でも、AnyConnect は、デフォルトでは、未検証の証明書の受け入れをエンドユーザーに許可します。エンド ユーザーが中間者攻撃の対象になった場合は、悪意のある証明書を受け入れるようエンド ユーザーに求めます。エンド ユーザーによるこの判断を回避するには、厳格な証明書トラストを有効にします。
モバイル デバイスでのクライアント認証
VPN 接続を完了するには、ユーザはユーザ名とパスワード、もしくはデジタル証明書、またはその両方の形式でクレデンシャルを提供して認証する必要があります。管理者は、トンネル グループの認証方式を定義します。モバイルデバイスでの最適なユーザーエクスペリエンスを達成するために、認証設定に応じて複数の AnyConnect 接続プロファイルを使用することをお勧めします。ユーザ エクスペリエンスとセキュリティのバランスを最適に保つ方法を決める必要があります。推奨事項は次のとおりです。
-
モバイル デバイスの AAA 対応認証トンネル グループについては、クライアントを再接続状態にし、ユーザが再認証しなくても済むよう、グループ ポリシーは 24 時間など非常に長時間のアイドル タイムアウトが必要になります。
-
最もトランスペアレントなユーザ エクスペリエンスを達成するには、証明書のみの認証を使用します。デジタル証明書を使用すると、VPN 接続は、ユーザとの対話なしで確立されます。
証明書を使用してセキュア ゲートウェイにモバイル デバイスを認証するため、エンド ユーザは、デバイスに証明書をインポートする必要があります。インポートすると、この証明書が自動証明書選択の対象として有効になり、特定の接続エントリに手動で関連付けることもできるようになります。証明書は、次の方法を使用してインポートされます。
モバイル デバイスでのローカリゼーション
Android および Apple iOS 用 AnyConnect Secure Mobility Client は、ローカリゼーションをサポートし、AnyConnect Secure Mobility Client ユーザーインターフェイスやメッセージをユーザーのロケールに適用しています。
パッケージ済みのローカリゼーション
AnyConnect Secure Mobility Client Android および Apple iOS アプリには、次の言語訳が含まれます。
-
カナダ フランス語(fr-ca)
-
中国語(台湾)(zh-tw)
-
チェコ語(cs-cz)
-
オランダ語(nl-nl)
-
フランス語(fr-fr)
-
ドイツ語(de-de)
-
ハンガリー語(hu-hu)
-
イタリア語(it-it)
-
日本語(ja-jp)
-
韓国語(ko-kr)
-
中南米スペイン語(es-co)
-
ポーランド語(pl-pl)
-
ポルトガル語(ブラジル)(pt-br)
-
ロシア語(ru-ru)
-
簡体字中国語(zh-cn)
-
スペイン語(es-es)
AnyConnect Secure Mobility Client のインストール時には、これらの言語のローカリゼーションデータがモバイルデバイスにインストールされます。モバイルデバイスで指定された地域によって、表示される言語が決まります。AnyConnect は、言語仕様、次に地域仕様を使用して、最適な一致を決定します。たとえば、インストール後にロケール設定をスイス フランス語(fr-ch)にすると、カナダ フランス語(fr-ca)表示になります。AnyConnect の UI とメッセージは、AnyConnect の起動時に変換されます。
ダウンロードされたローカリゼーション
AnyConnect パッケージにはない言語に関して、管理者は、AnyConnect VPN 接続のデバイスにダウンロードされるローカライズデータを Cisco Secure Firewall ASA に追加します。
シスコは、Cisco.com の製品ダウンロードセンターで、ローカライズ可能なすべての AnyConnect の文字列を含む anyconnect.po ファイルを提供しています。 AnyConnect の管理者は anyconnect.po ファイルをダウンロードし、利用可能な文字列の翻訳を提供してから、ファイルを Secure Firewall ASA にアップロードします。Cisco Secure Firewall ASA に anyconnect.po ファイルがすでにインストールされている場合、AnyConnect の管理者は更新バージョンをダウンロードします。
初期状態では、AnyConnect ユーザーインターフェイスおよびメッセージがインストールした言語でユーザーに表示されます。デバイスユーザーが Cisco Secure Firewall ASA への初めての接続を確立すると、AnyConnect では、デバイスの優先言語と Cisco Secure Firewall ASA 上で使用可能なローカリゼーション言語が比較されます。AnyConnect で一致するローカリゼーションファイルが検索されると、ローカライズされたファイルがダウンロードされます。ダウンロードが完了すると、AnyConnect は anyconnect.po ファイルに追加された変換文字列を使用してユーザーインターフェイスおよびユーザーメッセージを表示します。文字列が翻訳されていない場合、AnyConnect ではデフォルトの英語文字列が表示されます。
Cisco Secure Firewall ASA でのローカリゼーションの設定手順については、「Cisco Secure Firewall ASA への変換テーブルのインポート」を参照してください。Cisco Secure Firewall ASA にデバイスのロケールのローカリゼーションデータが含まれていない場合、AnyConnect アプリケーションパッケージにプリインストールされたローカリゼーションデータを引き続き使用します。
モバイル デバイスにローカリゼーションを提供するその他の方法
ユーザに URI リンクを提供することにより、AnyConnect UI とメッセージのローカライズを実行します。
モバイル デバイスのユーザに、所有するデバイスでのローカリゼーション データの管理を依頼します。次のローカリゼーション アクティビティを実行する手順については、該当するユーザ ガイドを参照してください。
-
指定したサーバからのローカリゼーション データのインポート。ユーザは、ローカリゼーション データのインポートを選択し、セキュア ゲートウェイのアドレスとロケールを指定します。ロケールは ISO 639-1 で指定されており、適用可能な場合には国コードが追加されます(たとえば、en-US、fr-CA、ar-IQ など)。このローカリゼーション データは、インストールされたローカリゼーション データの代わりに使用されます。
-
デフォルトのローカリゼーション データのリストア。AnyConnect パッケージから事前ロードされたローカリゼーションデータの使用を復元し、インポートされたローカリゼーションデータをすべて削除します。
SAML を使用した VPN 認証
以下のリリースで、SAML 2.0 のサポートがモバイルデバイスに追加されました。SAML 認証を使用した場合、AnyConnect セッションのみに適用されます。Web サイト、ブラウザが開始した SAML ログイン、またはインストールされているアプリケーションには適用されません。中断のないシームレスな再接続を提供するために、AnyConnect は意図的に SAML 認証プロセスの繰り返しをスキップします。さらに、ユーザーがブラウザを使用して IdP からログアウトしても、AnyConnect セッションは維持されます。
-
iOS:バージョン 4.6。バージョン 4.8 では SAML とクライアント証明書
-
Android:バージョン 4.6。バージョン 4.8 では SAML とクライアント証明書
-
Chrome:バージョン 4.0
SAML を使用する場合は、次の注意事項に従ってください。
-
フェールオーバーモードで常時接続の VPN を使用している場合、外部 SAML IdP はサポートされていません(ただし、内部 SAML IdP を使用すると、Cisco Secure Firewall ASA はすべてのトラフィックを IdP にプロキシします。また、ASA はサポートされています)。
-
信頼できないサーバー証明書は、組み込みブラウザでは許可されません。
-
組み込みブラウザ SAML 統合は、CLI モードまたは SBL モードではサポートされません。
-
(モバイルのみ)単一ログアウトはサポートされていません。
-
Web ブラウザに確立された SAML 認証は AnyConnect と共有されず、その逆も同じです。
-
設定に応じて、組み込みブラウザ搭載のヘッドエンドに接続するときに、さまざまな方法が使用されます。たとえば、AnyConnect では IPv6 接続よりも IPv4 接続の方が好ましく、組み込みブラウザでは IPv6 の方が好ましい場合もあります。あるいは、その逆もあります。同じく、プロキシを試して障害が発生したのに AnyConnect がどのプロキシにもフォールバックしない場合もあれば、プロキシを試して障害が発生した後で組み込みブラウザがナビゲーションを停止する場合もあります。
-
SAML 機能を使用するためには、Secure Firewall ASA の Network Time Protocol(NTP)サーバーを IdP NTP サーバーと同期する必要があります。
-
ASDM の VPN ウィザードは現在、SAML 設定をサポートしていません。
-
SAML IdP NameID 属性は、ユーザのユーザ名を特定し、認証、アカウンティング、および VPN セッション データベースに使用されます。
-
ユーザが SAML 経由で VPN セッションを確立するたびにアイデンティティ プロバイダー(IdP)による再認証を行う場合は、AnyConnect プロファイルエディタ、プリファレンス(Part 1)で [自動再接続(Auto Reconnect)] を ReconnectAfterResume に設定する必要があります。
-
組み込みブラウザ搭載の AnyConnect は VPN 試行のたびに新しいブラウザ セッションを使用するため、IDP が HTTP セッションクッキーを使用してログオン状態を追跡している場合には、毎回ユーザーの再認証が必要になります。この場合、 の [強制再認証(Force Re-Authentication)] は、AnyConnect が開始した SAML 認証には影響しません。
設定の詳細については、適切なリリース(9.7 以降)の『Cisco ASA Series VPN CLI or ASDM Configuration Guide』の「SAML 2.0」の項を参照してください。
Cisco Secure Firewall ASA への変換テーブルのインポート
手順
ステップ 1 |
www.cisco.com から目的の変換テーブルをダウンロードします。 |
ステップ 2 |
ASDM で、 に移動します。 |
ステップ 3 |
[インポート(Import)] をクリックします。[言語ローカリゼーション エントリのインポート(Import Language Localization Entry)] ウィンドウが表示されます。 |
ステップ 4 |
ドロップダウン リストから適切な言語を選択します。 |
ステップ 5 |
変換テーブルのインポート元を指定します。 |
ステップ 6 |
[今すぐインポート(Import Now)] をクリックします。この変換テーブルが、この優先言語で AnyConnect クライアントに展開されます。ローカリゼーションは、AnyConnect がリスタートし、再接続した後に適用されます。 |
モバイル デバイスでの FIPS および Suite B 暗号化
モバイルデバイス向け AnyConnect には、Cisco Common Cryptographic Module(C3M)が組み込まれています。これは、新世代の暗号化(NGE)アルゴリズムの一部として FIPS 140-2 に準拠した暗号化モジュールや NSA Suite B 暗号化が含まれる Cisco SSL の実装です。Suite-B 暗号化は、IPSec VPN でのみ使用可能です。FIPS 準拠の暗号化は、IPSec VPN および SSL VPN の両方で使用可能です。
暗号化アルゴリズムを使用すると、接続の間、ヘッドエンド ルータとネゴシエートされます。ネゴシエーションは、VPN 接続の両端の機能によって異なります。したがって、セキュア ゲートウェイは、FIPS に準拠する暗号化および Suite B の暗号化をサポートする必要があります。
ユーザーは、AnyConnect アプリケーション設定の FIPS モードを有効にすることで、ネゴシエーションにおいて NGE アルゴリズムだけを受け入れるように AnyConnect を設定します。FIPS モードが無効の場合、AnyConnect は VPN 接続の非 FIPS 暗号アルゴリズムも受け入れます。
モバイルのその他のガイドラインと制限事項
-
Apple iOS 5.0 以降が Suite B の暗号化に必要です。これは Suite B で使用される ECDSA の証明書をサポートする Apple iOS の最も低いバージョンです。
-
Android 4.0(Ice Cream Sandwich)以降が Suite B の暗号化に必要です。これは、SuiteB で使用される ECDSA の証明書をサポートする Android の最も低いバージョンです。
-
FIPS モードで動作しているデバイスには、プロキシ方式または従来の方法でデジタル証明書をモバイル ユーザに提供するための SCEP の使用との互換性がありません。状況に応じた展開計画を立ててください。