1. Distributed Secure Internet GateWay

1.1. サービス概要

  • Distributed Secure Internet GateWay(以下、DSIGW)では、データセンターを跨いだ広域負荷分散されたプロキシ及びセキュリティ機能一式をパッケージとして提供します。
  • 本サービスを利用することで、Flexible InterConnectを経由し、NTT Comが提供する高品質・高信頼なVPNサービスであるArcstar Universal Oneからのセキュアプロキシ環境を実現できます。
  • オンデマンドによるサービス提供のため、リアルタイムにセキュアプロキシ環境の増減を可能とします。
_images/DSIGW_overview_01.png

サービスの特長

DSIGWは、以下の特長を持ったサービスです。

  • インターネット接続, UTM, ロードバランサー, プロキシ, DNS(プロキシホスト名を解決する権威DNS)及びFlexible InterConnectとの接続機能をパッケージとして、定型化された構成(以下、セル)を提供
  • 複数のセルを用意することで、広域負荷分散されたプロキシ及びセキュリティ機能を提供
  • 複数のセルをグループ(以下セルグループ)として管理し、グループ内で統一管理されたセキュリティポリシーによるインターネットアクセスを提供

用語定義

DSIGWでは下記のように用語を定義しています。

_images/DSIGW_word_01.png
用語 概要
セル インターネット接続, UTM, ロードバランサー, プロキシ, DNS(プロキシホスト名を解決する権威DNS)及びFlexible InterConnectとの接続機能のリソース群をパッケージとしたもの。
セルグループ
同じポリシーが適用されるセル群。設定情報は「セルグループ」単位で管理されます。
上図ではセルA, セルBが同じセルグループに属し、同じセキュリティポリシーが適用されます。

リソース配置

DSIGWでは下記のようにリソース配置されます。

_images/DSIGW_resource_01.png
  • お客さまが購入したDSIGWリソースを管理するための単位として「Tenant」を定義しています。1契約に対して複数Tenantを作成可能です。
  • 1つのTenantに、8個のセルグープを作成することが可能です。
  • 1つのセルグループに、31個のセルを作成することが可能です。

1.2. サービスを利用するための前提条件

DSIGWを利用するにあたり、お客さまにて下記をご用意頂く必要があります。

  • 本サービスは、Flexibe InterConnect との接続性を必要とするため、Flexible InterConnect サービスの FIC-Router を作成頂く必要がございます。
  • 1つのセルにつき/26のアドレスを必要とします。(お客様が保有するグローバルIPアドレスの持ち込みも可能)
  • お客さまArcstar Universal One拠点とお客さまFlexible InterConnectとの接続は、お客さまにて実施して頂きます。詳細は、Flexible InterConnect サービスの FIC-Connection Arcstar Universal One を参照ください。

注釈

  • /26の借用アドレスに関して下記は利用不可となります。
  • お客様Arcstar Universal One及び各拠点で利用するアドレスと重複するIPアドレス
  • RFC1918指定のプライベートアドレス以外のIPv4アドレス
  • キャリアシェアードアドレス
  • リンクローカルアドレス
  • マルチキャストアドレス
  • IPv6アドレス

1.3. 利用できる機能一覧

機能一覧

本サービスで利用できる機能は、以下の機能です。これら機能を一式として定型化された構成を提供します。

機能 機能概要
外部接続機能 お客さまArcstar Universal One拠点と接続するためのFlexible InterConnect接続と、インターネットへの接続機能を提供します。
プロキシ機能 お客さまがインターネット接続する際のプロキシ機能(HTTP/HTTPS)を提供します。
ロードバランサ機能 お客さまのHTTP/HTTPS通信を最適なセルに振り分けるGSLB機能を提供します。
DNS機能 お客さまが設定したプロキシホスト名の名前解決を行う権威DNSサーバ機能を提供します。
セキュリティ機能 お客さまのインターネット接続する際の各種セキュリティ機能を提供します。
オブジェクト定義機能 DSIGWの設定で利用できるオブジェクトを定義する機能を提供します。
モニタリング機能 お客さまのセルステータスや統計情報, セキュリティログ, アラート通知機能を提供します。
セキュリティログ外部転送機能 お客さまのセキュリティログを外部に転送する機能を提供します。
セルバージョン変更機能 お客さまのセルのバージョンを変更する機能を提供します。
セルプラン変更機能 お客さまのセルのプランを変更する機能を提供します。
AD連携機能 お客さまのADサーバーと連携した認証機能を提供します。

1.4. 各機能の説明

外部接続機能

項番 機能 機能概要
1 Flexible InterConnect接続機能 Flexible InterConnect サービスにおけるお客さま FIC-Router とDSIGWセルとの接続を提供します。
2 インターネット接続機能 冗長化された設備で構築されたインターネット接続を提供します。
_images/DSIGW_gateway_01.png

注釈

  • 1つのセルにつき、Flexible InterConnect接続機能、インターネット接続機能をそれぞれ一つずつ提供します。

1. Flexible InterConnect接続機能

  • Flexible InterConnect サービスにおけるお客さま FIC-Router とお客さまDSIGWセルとの接続を提供します。
  • 機能の詳細は、Flexible InterConnect サービスの FIC-Connection SDPF クラウド/サーバー を参照ください。
  • 選択可能な情報の詳細は以下の通りです。
選択可能なパラメータ 詳細
FIC-Router ID お客さまがFIC-Consleにて作成した同一エリアのFIC-RouterのIDが自動表示されます。必要なFIC-RouterのIDを選択してください。
FIC Routing Group ID FIC-RouterのRouting Groupをgroup_1~8までのどれかを選択可能。

注釈

  • DSIGWのFIC-Connectionは、Flexible InterConnect サービスのFIC-Consoleにて作成することはできません。必ず、DSIGWポータルから作成する必要があります。
  • DSIGWポータルにてFIC-Connectionを作成すると、Flexible InterConnect サービスのFIC-ConsoleにてFIC-Connection SDPF クラウド/サーバーリソース(コネクション名:DSIGW_connection_任意の数字羅列)が生成されます。
  • FIC-Connection SDPF クラウド/サーバーリソースが生成された際、Flexible InterConnect サービスにて、FIC-Connection SDPF クラウド/サーバーリソース分の料金が請求されます。料金は、 こちら を参照してください。
  • DSIGWセルと接続されたFIC-Connection ECL2.0リソース(コネクション名:DSIGW_connection_任意の数字羅列)を、FIC-Consoleにて削除しないでください。削除した場合、DSIGWサービスの利用が出来なくなります。

2. インターネット接続機能

  • お客さまDSIGWセルからインターネットに接続するための機能を提供します。
  • インターネットに接続するためのグローバルIPを提供します。提供するグローバルIP数は、プラン に応じて異なります。

プロキシ機能

項番 機能 機能概要
1 プロキシ機能 お客さまがインターネット接続する際のプロキシ機能(HTTP/HTTPS)を提供します。

1. プロキシ機能

  • お客さまArcstar Universal One拠点からインターネットへのHTTP/HTTPS通信をプロキシする機能を提供します。
  • DSIGWにてプロキシするのはHTTP/HTTPS通信のみとなるため、HTTP/HTTPS通信以外のインターネット接続に関しては別途インターネットGWが必要となります。
_images/DSIGW_proxy_01.png

注釈

  • DSIGWではデフォルトゲートウェイの提供を行っていないため、DSIGW以外のインターネットGWにデフォルトゲートウェイを向ける必要があります。

ロードバランサ機能

項番 機能 機能概要
1 優先セル設定機能 お客さまのHTTP/HTTPS通信を最適なセルに振り分けるGSLB機能を提供します。

1. 優先セル設定機能

  • お客さまにて、HTTP/HTTPS通信を優先的に流したいセルを設定する機能を提供します。
  • 設定できる情報の詳細は以下の通りです。
参照可能なパラメータ 詳細
名前 優先セル設定を行う名前を設定することが可能です。
セルID HTTP/HTTPS通信を優先的に流したいセルIDを選択することが可能です。
送信元IPアドレス 優先すべき送信元IPアドレスを設定することが可能です。
_images/DSIGW_LB_01.png

注釈

  • 優先セル設定を行わない場合は、ラウンドロビンにてセルを選択することになります。
  • セルの優先度制御は、セルが提供するDNSサーバへの送信元IPアドレスによって決まります。プロキシホスト名の名前解決のために社内DNSを利用する場合、端末によってセルの優先度を変更するためには、端末が参照する社内DNSを上図のように複数準備し、セルのDNSサーバへ問い合わせを行う社内DNSのIPアドレスを分ける必要があります。

DNS機能

項番 機能 機能概要
1 権威DNS機能 お客さまが設定したプロキシホスト名の名前解決を行う権威DNSサーバ機能を提供します。

1. 権威DNS機能

  • お客さまが設定したプロキシホスト名の名前解決を行います。
  • 設定できる情報の詳細は以下の通りです。
設定可能なパラメータ 詳細
DNSドメイン名 DSIGWのセルグループで利用するDNSのドメイン名を設定することが可能です。
プロキシホスト名 GSLBで用いるプロキシホスト名を設定することが可能です。
TTL値 GSLBで用いるプロキシホスト名(Aレコード)のTTLを10-86400秒の範囲で設定することが可能です。(デフォルト10秒)
_images/DSIGW_DNS_01.png

  • 上記構成図におけるDNSの動作は下記の通りです。
  1. お客さま端末は、お客さま内部DNSサーバへ、プロキシサーバ(プロキシホストのFQDN)のAレコードを問い合わせ
  2. お客さま内部DNSサーバは、セルの権威DNSサーバへ、プロキシサーバ(プロキシホストのFQDN)のAレコードを問い合わせ
  3. セルの権威DNSサーバは、広域負荷分散機能で選定したプロキシサーバ(プロキシホストのFQDN)のIPアドレスをAレコードとして応答
  4. お客さま内部DNSサーバは、お客さま端末へ、セルの権威DNSサーバから応答のあったプロキシサーバのAレコードを応答
  5. お客さま端末は、お客さま内部DNSサーバから応答のあったAレコードを、プロキシサーバ(プロキシホストのFQDN)のIPアドレスとしてHTTP/HTTPS通信を開始。

注釈

  • 上図の例の場合、プロキシサーバのFQDNはproxy.dsigw.example.comとなります。このFQDNをお客さま端末に設定する必要があります。
  • プロキシホスト名のAレコードのデフォルトTTLは10秒となります。また、プロキシサーバのポート番号は8080となります。
  • お客さま社内DNSサーバ、お客さま端末のDNSキャッシュの保持の方法により、必ずしも10秒で切り替わる訳ではありません。お客さま社内DNSサーバ・お客さま端末の仕様に準じます。

セルが提供するDNSサーバのIPアドレス

各セルのDNSサーバのIPアドレスは、お客様がセルに割り当てたIPアドレスブロック(/26)の先頭アドレスに38を加えたアドレスとなります。

  • /26がx.x.x.0/26 (IPアドレス範囲 x.x.x.0-63)の場合、x.x.x.38
  • /26がx.x.x.64/26 (IPアドレス範囲 x.x.x.64-127)の場合、x.x.x.102
  • /26がx.x.x.128/26 (IPアドレス範囲 x.x.x.128-191)の場合、x.x.x.166
  • /26がx.x.x.192/26 (IPアドレス範囲 x.x.x.192-255)の場合、x.x.x.230

セキュリティ機能

項番 機能 機能概要
1 FireWall機能 IPアドレスおよびアプリケーションによりセッションを識別し、セッション個々に許可/拒否を設定可能。
2 IPS/IDS機能 脆弱性を利用した攻撃を検知、防御します。通信フレームのシグネチャから独自のルールで重要度を判定し、重要度毎にアクションを設定可能。
3 アンチウイルス機能 通信をスキャンし、シグネチャと一致する場合はActionに定義された処理を行うことでウイルスを発見、感染を防御可能。
4 アンチスパイウェア機能 通信をスキャンし、シグネチャと一致する場合はActionに定義された処理を行うことでスパイウェアを発見し、感染を防御可能。
5 URLフィルタリング機能 特定のWebサイト・特定カテゴリのWebサイトへの通信を制御可能。
6 ファイルブロッキング機能 ファイル種別を識別し、種別ごとに通信を制御可能。
7 サンドボックス機能 通信をスキャンし、シグネチャ定義のないファイルをクラウド上で分析が可能
8 SSL/TLS復号機能
暗号化通信の通信スキャンのためHTTPS通信を一時的に復号します。
デフォルト設定では、Microsoft365通信のSSL/TLS復号を実施いたしません。(設定を変更することでMicrosoft365通信に対してSSL/TLS復号することも可能です)
特定のサイトに対してSSL/TLS復号対象外に設定することも可能です。

1. FireWall機能

  • FireWall機能では、送信元IPアドレス、送信先IPアドレス、アプリケーション、サービスに基づき通信の許可もしくは遮断を行い、トラフィックログに記録します。
  • 設定できる情報の詳細は以下の通りです。
設定可能なパラメータ 詳細
名前 セキュリティポリシールールの名前
送信元IPリスト 通信の送信元IPアドレスリスト
セキュリティグループ セキュリティポリシールールを適用するセキュリティグループ
宛先IPリスト 通信の宛先IPアドレスリスト
宛先ポートリスト
通信の宛先ポートリスト
1-65534の範囲または any指定可能(anyを指定した場合に通信可能なポート範囲は1-665534)
※ 65535ポートへの通信不可
アプリケーションリスト any(デフォルト) のみ選択可能
アクション ポリシーに合致する通信に対する動作を allow / deny から選択
ログ抑制 セキュリティポリシールールのログの取得について ON(ログを取得しない) / OFF(ログを取得する) から選択

注釈

  • 構築初期はお客様用ポリシールールが設定されていないため、全てのインターネット向けお客様通信が遮断されます。必ずallowのポリシーを追加してください。
  • 上記セキュリティルールは、お客さまArcstar Universal One拠点→インターネット向けの通信に適用されます。
  • インターネット→お客さまArcstar Universal One拠点向けの通信は全て拒否します。

2. IPS/IDS機能

  • IPS/IDSでは、通信フレームのシグネチャから独自のルールで重要度を判定し、重要度毎にアクションを設定します。
種別 項目
重要度種別 Critical / High / Medium / Low / Info
Action種別
  • default : reset-bothまたはalertを独自ルールで振り分けます。
  • reset-both : client/server双方へTCP resetを送信し、セッションをリセットします。
  • alert : ログを残して通信を許可します。
  • allow : そのまま通信を通過します。

  • 事前に定義された下記のプロファイルを適用します。
  • プロファイルのデフォルト設定は「IPS中」です。IPS/IDSの無効化も可能です。
IPS/IDSプロファイル Critial High Medium Low Info
IPS高 reset-both reset-both reset-both reset-both alert
IPS中(推奨) reset-both reset-both reset-both alert allow
IPS低 reset-both reset-both alert allow allow
IDS高 alert alert alert alert alert
IDS中 alert alert alert alert allow
IDS低 alert alert alert allow allow

3. アンチウイルス機能

  • HTTP通信でシグネチャと一致する通信が発生した場合はActionに定義された処理を行います。
  • また、一般定義されたシグネチャの他に、サンドボックス機能により作成されたシグネチャを基にした処理ができます。
  • プロファイルは、「ブロック(推奨)」「ログのみ」「無効」から選択することができます。
プロファイル Action
ブロック(推奨) reset-both
ログのみ alert
無効  

4. アンチスパイウェア機能

  • シグネチャと一致する通信が発生した場合にActionに定義された処理を行います。
  • また、独自に定義するドメインリストと一致するDNSクエリがあった場合はログに残します。
種別 項目
重要度種別 Critical / High / Medium / Low / Info
Action種別
  • default : 製品定義に従って処理を行います。
  • reset-bot : client/server双方へTCP resetを送信し、セッションをリセットします。
  • alert : ログを残します。
  • allow : そのまま通過します。
  • 事前に定義された下記のプロファイルを適用します。
  • プロファイルのデフォルト設定は「中」です。アンチスパイウェア機能の無効化も可能です。
プロファイル Critial High Medium Low Info
reset-both reset-both reset-both reset-both alert
中(推奨) reset-both reset-both reset-both alert allow
reset-both reset-both alert allow allow
ログのみ alert alert alert alert alert

5. URLフィルタリング機能

  • URLフィルタリングプロファイルを作成することで、Webサイトへの通信に対し任意のアクションを登録可能です。
  • 作成したURLフィルタリングリストは、各ポリシールールに対して適用でき、最大250設定できます。
  • 事前に定義された下記のプロファイルを適用します。プロファイルのデフォルト設定は「デフォルト設定(プロファイル名recommended) 」が有効です。
プロファイル 説明
デフォルト設定(プロファイル名recommended)
  • 全URLカテゴリの中でセキュリティおよび業務に関わる推奨カテゴリに属するWebサイトへの通信をブロックします。
  • 「コマンドアンドコントロール(C&C)」「パークドメイン」「ピアツーピア」「プロキシ回避と匿名プロキシ」「ドラッグ」「アダルト」「ギャンブル」「ハッキング」「マルウェア」「フィッシング」「疑わしいサイト」「兵器」をブロックします。
  • 上記以外のカテゴリはalertのアクションを実行します。
個別設定 個別に各カテゴリのアクションが指定可能です。
  • 個別設定で、URLカテゴリに対して選択できるアクションは下記の4種類になります。
Action種別 説明
block 当該通信をブロックします。
continue ページへのアクセスをユーザが選択するように画面を遷移ます。ログも残します。
alert ログを残して通信を許可します。
allow そのまま通過します。
  • また、個別にブラックリスト/ホワイトリストを作成することで、個別のURLを追加することも可能です。

6. ファイルブロッキング機能

  • ファイルブロッキング機能により、DSIGWを特定のファイルが通過した場合のアクションとして、ブロックやアラートのアクションが設定できます。
Action種別 説明
alert ログを残します。
block ブロックします。
continue ファイルの処理をユーザが選択するように画面を遷移します。(ログも残します)

  • 下記のプロファイルから選択可能です。ファイルブロッキング機能の無効化も可能です。

7. サンドボックス機能

  • DSIGWを通過するファイルをクラウド上に展開し、ファイルのふるまいを検査します。
  • 一度悪性のファイルと診断されたもの(製品ベンダーにて一元管理)に関しては、サンドボックスシグネチャとしてアンチウィルス機能で処理されます。
  • 下記のプロファイルから選択可能です。
  • ファイルのアップロード/ダウンロードの制御方向の設定ができます。サンドボックス機能の無効化も可能です。
プロファイル 制御方向
双方向(推奨) アップロード/ダウンロード双方
ダウンロードのみ ダウンロード方向のみ
  • cell Version v6.0の検査ファイルサイズ上限
File Type Size Limit
pe(MB) 10
apk(MB) 10
pdf(KB) 500
ms-office(KB) 500
jar(MB) 1
flash(MB) 5
MacOSX(MB) 1
archive(MB) 10
linux(MB) 2
script(KB) 20
  • cell Version v7.0の検査ファイルサイズ上限
File Type Size Limit
pe(MB) 16
apk(MB) 10
pdf(KB) 3072
ms-office(KB) 16384
jar(MB) 5
flash(MB) 5
MacOSX(MB) 10
archive(MB) 50
linux(MB) 50
script(KB) 20

注釈

  • 検査するファイルのサイズは上記表を参照ください。
  • これを超えるファイルは検査対象外となります。
  • ファイルサイズの変更はできません。

8. SSL/TLS復号機能

  • 送信元IPアドレス、宛先URL、URLカテゴリ毎(SSL/TLS復号除外ルール)にSSL/TLS復号除外するサイトを定義できます。
  • デフォルトではMicrosoft365以外の通信をすべてSSL/TLS復号します。(設定を変更することでMicrosoft365通信もSSL/TLS復号可能です)
  • 除外ルールは最大100行定義できます。
  • 除外ルールのパラメータは表をご参照ください。
設定パラメータ
送信元IPアドレス
  • IPアドレス/Netmaskを複数設定可能(例:10.0.0.0/24)
  • any
宛先URL
  • URLを複数設定可能(例:www.ntt.com)
  • any
宛先URLカテゴリ
  • URLカテゴリを複数設定可能(例:travel)
  • any
  • URLカテゴリのリストは こちら のURLから確認できます。
  • 除外ルールは上から順に評価されます。その為、前述のルールが後述のルールを包含する場合、後述のルールは適用されませんのでご注意ください。
  • 本機能はお客様Arcstar Universal One ⇒ インターネット方向の通信に対して、フォワードプロキシとして動作します(アウトバウンドSSL復号)。
  • 証明書がお客様端末に適切にインストールされていない場合、クライアントブラウザは警告画面を受け取ることになります。
  • 証明書はセルグループ作成後、DSIGWポータルにてダウンロード可能です。
  • デフォルト設定では、SSL/TLS復号セッションの上限を超えた場合は、SSL/TLS復号処理をスキップしてパケットを転送します。個別設定としてブロックに設定することも可能です。

注釈

  • 高負荷状態においては、SSL/TLS復号セッションの上限を超えた場合のアクションをブロックに設定した場合でもSSL/TLS復号処理をスキップしてパケットを転送する場合があります。

オブジェクト定義機能

項番 機能 機能概要
1 カスタムURLカテゴリ機能 URLリストに対して、お客さまで任意のカスタムURLカテゴリを定義する機能。
2 URLフィルタリングプロファイル機能
URLカテゴリ(カスタムURLカテゴリも含む)ごとに通信を制御(Allow,Alert,Continue,Block)する設定を定義する機能。
定義したURLフィルタリングプロファイルは、セキュリティポリシールールで参照することで機能します。

1. カスタムURLカテゴリ機能

  • カスタムURLカテゴリ機能では、URLのリストに対して内部で利用可能なカスタムURLカテゴリを登録することができます。
  • 設定できる情報の詳細は以下の通りです。
設定可能なパラメータ 詳細
名前
カスタムURLカテゴリ設定の名前
(本設定はセキュリティポリシやSSL複合除外等の設定で利用するため、わかりやすい名前を付けることをお勧めいたします)
URLリスト
カスタムURLリストとして取り扱うURLを登録できます。
1つのカスタムURLカテゴリに最大200件のURLを登録可能です。

注釈

  • カスタムURLカテゴリは1セルグループに最大100件登録可能です。
  • URLには'*'や'^'を含むことができます。

2. URLフィルタリングプロファイル機能

  • URLフィルタリングプロファイル機能では、URLカテゴリごとのアクションを登録できます。
  • お客さまが登録したURLフィルタリングプロファイルは、セキュリティポリシールールで使用することができます。
  • URLフィルタリングプロファイルは最大100設定できます。
設定可能なパラメータ 詳細
名前
URLフィルタリングプロファイルの名前
カスタムURLカテゴリリスト
お客様が定義したカスタムURLカテゴリに対してアクションを選択することができます。
アクションは、無効、Allow,Alert,Continue,Blockから選択可能です。
お客様が定義した全カスタムURLカテゴリに対してアクションを設定する必要があります。(デフォルトは無効)
URLカテゴリリスト
DSIGWサービスが定義したURLカテゴリに対してアクションを選択することができます。
アクションは、Allow,Alert,Continue,Blockから選択可能です。
デフォルト設定として、弊社が推奨するアクションが選択されています。お客様の運用ポリシーに従って、適時修正してください。

注釈

  • カスタムURLカテゴリ間の優先順位はアクションに依存します。
    無効 < Allow < Alert < Continue < Block
  • カスタムURLカテゴリで設定したアクションはURLカテゴリで設定したアクションよりも優先されます。
    URLカテゴリ < カスタムURLカテゴリ

モニタリング機能

項番 機能 機能概要
1 セルステータス表示機能 セルの提供状態と他セルのGSLB状態の情報を提供。
2 セルメトリクス表示機能 セルの稼働状態として、5種類のメトリクス値の推移を時系列データで提供。
3 セキュリティログ機能 UTMで取得する5種類のセキュリティログを提供。
4 アラート通知機能 UTMにおいてユーザが指定した種類のセキュリティログが含まれた場合、メールでアラート通知する機能を提供。

注釈

  • ネットワークのメンテナンスおよび障害発生時にはログ情報が保存されない場合がございます。

1. セルステータス表示機能

  • セルのサービス提供状態と、GSLBの機能で取得する他セルの状態について、最新の情報を提供します。
  • 表示できる情報の詳細は以下の通りです。

・セル提供状態

セル提供状態 意味 状態詳細
UP セルが機能している Proxyを介したInternet上のあるWebサーバへのアクセスとProxyホストのDNSによる名前解決が、どちらも正常に動作しており、サービス提供可能状態を示します。
DOWN セルが機能していない Proxyを介したInternet上のあるWebサーバへのアクセスとProxyホストのDNSによる名前解決の、いずれかが動作してらず、サービス提供不可状態を示します。

・GSLB状態

提供状態 意味
All UP そのセルからみて、そのセル自身を含む全てのセルがUPしている。
PARTIALLY DOWN そのセルからみて、そのセル自身を含む一部のセルがDOWNしている。
ALL DOWN そのセルからみて、そのセル自身を含む全てのセルがDOWNしている。

注釈

  • 『セル提供状態』『GSLB状態』共に、自動更新されないため、GUIブラウザ右上の「更新」ボタンにより最新の情報が表示されます。

2. セルメトリクス表示機能

  • お客さまがセルの増設や減設を判断するために、セルごとにUTMの処理負荷に関わるメトリクス情報を時系列データとして提供します。
  • グラフとして表示可能な期間は最大1ヶ月となります。(指定できる対象期間は、6ヶ月前から現在まで)
  • 時刻は、指定、表示ともすべてUTCとなります。
  • 表示できる情報の詳細は以下の通りです。

メトリクス種別 意味
Incoming Traffic (bps) Internetからセルへの内向きトラフィックの5分間平均量。単位はbps (bit per sec)
Outgoing Traffic (bps) セルからInternetへの外向きトラフィックの5分間平均量。単位はbps (bit per sec)
総セッション数 ポーリングしたタイミングでの総セッション数。ポーリグ間隔は5分。
SSL/TLS複合セッション数 ポーリングしたタイミングでのSSL/TLSセッション数。ポーリグ間隔は5分。
CPU使用率 (%) ポーリングしたタイミングでのUTMの1分間平均CPU使用率。ポーリグ間隔は5分。

3. セキュリティログ機能

  • UTMで取得する5種類のセキュリティログを提供します。
  • セルグループに含まれるすべてのセルのログをまとめて表示します。
  • 表示可能な期間は、最大1日(24時間)となります。(ログのtyepごとに指定可能な期間が異なります)
  • 表示できる情報の詳細は以下の通りです。

ログ種別 意味
Traffic トラフィックログ (指定できる対象期間は、6ヶ月前から現在まで)
Threat 脅威ログ(ウィルス、スパイウェア、脆弱性)(指定できる対象期間は、6ヶ月前から現在まで)
URL Filter URLフィルタリングログ(指定できる対象期間は、6ヶ月前から現在まで)
WildFire WildFire送信ログ(指定できる対象期間は、6ヶ月前から現在まで)
DataFiltering データフィルタリングログ(指定できる対象期間は、6ヶ月前から現在まで)
User-IDログ IPアドレスとユーザー名のマッピングログ(指定できる対象期間は、40日前から現在まで)
認証ログ Captive Portalを用いたユーザー認証のログ(指定できる対象期間は、40日前から現在まで)

  • セキュリティログを確認する際には以下の項目でフィルタリングすることができます。
ログ検索項目
項目 説明
対象期間(UTC)
表示するログの期間をUTCで指定できます。
検索タイプ 完全一致、部分一致、正規表現から選択可能です。
詳細条件
フィルター条件を最大5,000件登録することができます。
検索内容 フィルタの値を指定できます。

4. アラート通知機能

  • セキュリティログにおいて、お客さまが指定した種類のログが含まれた場合に、メールでのアラート通知を行います。
  • アラート通知先として、指定できるメールアドレスは最大3件となります。
  • セル毎にアラートの発生をチェックし、アラート通知条件に該当するログ1件以上あればメールで通知します。
  • 設定可能なアラートは以下の通りです。

  • ログアラート
アラート種別 インターバル インターバル時間当たりの発生件数 状態
ウイルス検出(Alert) 5分、10分、30分、1時間、2時間、6時間、12時間 1~10000000 有効/無効
ウイルス検出(Block) 5分、10分、30分、1時間、2時間、6時間、12時間 1~10000000 有効/無効
スパイウェア検出(Alert) 5分、10分、30分、1時間、2時間、6時間、12時間 1~10000000 有効/無効
スパイウェア検出(Block) 5分、10分、30分、1時間、2時間、6時間、12時間 1~10000000 有効/無効
IPS/IDS検知(Alert) 5分、10分、30分、1時間、2時間、6時間、12時間 1~10000000 有効/無効
IPS/IDS検知(Block) 5分、10分、30分、1時間、2時間、6時間、12時間 1~10000000 有効/無効
FWブロック検出 5分、10分、30分、1時間、2時間、6時間、12時間 1~10000000 有効/無効
URLフィルタ違反(Alert) 5分、10分、30分、1時間、2時間、6時間、12時間 1~10000000 有効/無効
URLフィルタ違反(Block) 5分、10分、30分、1時間、2時間、6時間、12時間 1~10000000 有効/無効
URLフィルタ違反(Block Continue) 5分、10分、30分、1時間、2時間、6時間、12時間 1~10000000 有効/無効
URLフィルタ違反(Continue) 5分、10分、30分、1時間、2時間、6時間、12時間 1~10000000 有効/無効

  • メトリクスアラート
アラート種別 通知閾値 状態
Incoming Traffic(bps) 1~99(%)の自然数で指定 有効/無効
Outgoing Traffic(bps) 1~99(%)の自然数で指定 有効/無効
総セッション数 1~99(%)の自然数で指定 有効/無効
SSL/TLS復号セッション数 1~99(%)の自然数で指定 有効/無効
CPU使用率(%) 1~99(%)の自然数で指定 有効/無効

セキュリティログ外部転送機能

項番 機能 機能概要
1 セキュリティログ外部転送機能 お客さまのセキュリティログを外部に転送する機能を提供します。

1. セキュリティログ外部転送機能

  • 各セルからお客さま指定のsyslogサーバに対して、セルに接続するFlexible InterConnectを経由して、syslogプロトコルでログを転送します。
  • 設定できる情報の詳細は以下の通りです。
参照可能なパラメータ 詳細
宛先IP ログ転送宛先サーバのアドレスを設定することが可能です。
宛先Port ログ転送宛先サーバのポート番号を設定することが可能です。
プロトコル ログ転送する際のプロトコルをtcpもしくはudpから選択可能です。
ログフォーマット ログ転送する際のフォーマットをbsdもしくはietfから選択可能です。
ログメッセージフォーマット ログ転送する際のメッセージフォーマットをcsvもしくはcefから選択可能です。
ログタイプ
  • ログ転送するログ種別を下記から選択することが可能です。
  • traffic : トラフィックログ
  • threat : 脅威ログ(ウィルス、スパイウェア、脆弱性)
  • url : URLフィルタリングログ
  • wildfire : WildFire送信ログ
  • data : データフィルタリングログ
  • User-IDログ : IPアドレスとユーザー名のマッピングログ
  • 認証ログ : Captive Portalを用いたユーザー認証のログ

注釈

  • 転送されるログは、セキュリティポリシーで「ログあり」を設定したログのみとなります。
  • 転送先の宛先は、最大2つ指定することが可能です。
  • セルが高負荷な状態や、セルとsyslogサーバの間のネットワークが輻輳した場合、転送するセキュリティログが欠損する可能性があります。

セルバージョン変更機能

項番 機能 機能概要
1 セルバージョン変更機能 お客さまのセルのバージョンを変更する機能を提供します。

1. セルバージョン変更機能

  • セルグループで利用するセルバージョンを変更することができます。
  • セルバージョンの変更では、まず、セルグループで利用するバージョン変更先を設定し、次に各セルのバージョン変更の操作を行います。
  • 設定できる情報の詳細は以下の通りです。
設定可能なパラメータ 詳細
セルグループID バージョン変更対象のセルグループIDを指定することが可能です。
バージョン変更先 変更先のセルバージョンを設定することが可能です。(利用可能なバージョンがプルダウンで表示されます)

注釈

  • セルのバージョン変更操作の開始から終了まで(概ね40分)はそのセルを利用することはできません。バージョン変更の操作を開始していないその他のセルを経由した通信をご利用ください。
  • セルのバージョン変更はお客様がGUIを操作して実施することができます。
  • セキュリティ上重大な問題がない限り、弊社からのバージョンアップ操作は実施いたしません。

セルプラン変更機能

項番 機能 機能概要
1 セルプラン変更機能 お客さまのセルのプランを変更する機能を提供します。

1. セルプラン変更機能

  • 各セルのプランを変更することができます。
  • 設定できる情報の詳細は以下の通りです。
設定可能なパラメータ 詳細
セルID プラン変更対象のセルIDを指定することが可能です。
変更後のプラン 変更先のプランを設定することが可能です。(利用可能なプランがプルダウンで表示されます)

注釈

  • セルのプラン変更工程(概ね60分~90分)の作業時間は通信断になりますのでご注意ください。プラン変更の操作を開始していないその他のセルを経由した通信をご利用ください。
  • セルのプラン変更はお客様がGUIを操作して実施することができます。
  • Smallセル(ベストエフォート)からLargeセル(ベストエフォート/ギャランティ)に変更した場合、セルに設定されるグローバルIPが一つ増えます。(既存のグローバルIPはそのまま使用いたします)
  • Largeセル(ベストエフォート/ギャランティ)からSmallセル(ベストエフォート)に変更した場合、セルに設定されている2つのグローバルIPから1つ削除いたします。(削除するグローバルIPはシステム側で選択いたします)
  • プランを変更した月の請求金額は、料金が高いプランで計算いたしますのでご注意ください。

1.6. セルバージョン

バージョンリスト

  • DSIGWでは、最新版を含めて2バージョンサポートしております。
バージョン UTMバージョン プロキシバージョン 提供開始日 提供終了日 備考
v6.0 PA-VM 8.1.19 ACOS 4.1.4-GR1-P1 2021/09/11 2022/03/01 初期バージョン
v7.0 PA-VM 9.1.10 ACOS 4.1.4-GR1-P1 2022/01/08 2023/01/31 UTM装置のアップデートに伴い安定性が向上いたします
v8.0 PA-VM 9.1.10 ACOS 5.2.1-P4-SP1 2022/09/14 未定
Proxy装置のアップデートに伴い安定性が向上いたします
Knowledge Centerで周知している以下の不具合が解消されます

ライフサイクルポリシー

セルのライフサイクルポリシーは以下の通りです。

  • 基本方針
    • 提供数は原則最大2バージョンまで提供致します。
    • 提供バージョンは、バージョンの安定性、利用状況、サポート期間等を考慮し、弊社にて総合的に判断致します。
  • 提供終了方針
    • 提供終了後は、カスタマーポータル/APIの故障対応以外のサポートを提供いたしません。
  • 新バージョン提供開始通知
    • 新バージョンのリリース1ヶ月前にお客様へメールで通知いたします。(ただし、緊急性の高いリリースについてはその限りではありません)
  • バージョンの切替方法
    • チュートリアルを ご参照 ください。
    • 上記サポート情報を参考にお客様の責任により切替計画をご検討ください。
  • 本情報は、お客さまへの事前通知なく、変更となる可能性がございます。ご了承ください。

1.7. 申込種別と方法

  • DSIGWポータルにてDSIGWを申し込みいただくことが可能です。DSIGWポータルから申し込みいただくことで、即日に開通/廃止する事が可能になります。
申し込み種別 申し込み方法 納期
DSIGWセルの新設 DSIGWポータル経由で、お客さま自身の操作により申し込み 即日
DSIGWセルの廃止 DSIGWポータル経由で、お客さま自身の操作により申し込み 即日

注釈

  • 広域負荷分散を行うため、また冗長化を担保するため必ず2つ以上のセルをお申し込みください。
  • 同サイズのセルで構成することを推奨しますが、異サイズでの構成も可能です。
  • 東日本/西日本エリアにそれぞれセルを用意することを推奨としますが、東日本のみ、西日本のみでの構成も可能です。ただし、基盤の拠点障害により通信断の可能性があるため、十分に留意下さい。
  • お申し込みは新設・廃止のみとなり、変更に関しては廃止→新設となります。そのため利用するGIPが、廃止→新設後、変更されることになります。
  • 本サービスは、Flexibe InterConnect との接続性を必要とするため、Flexible InterConnect サービスの FIC-Router を事前に作成頂く必要がございます。

申込時の注意事項

DSIGWの申込条件は以下となります。

  • 本サービスは、1テナントに対し複数契約頂くことが可能です。1テナントで契約できる最大セルグループ数は最大8個となります。
  • 本サービスは、1セルグループに対して複数セルを契約頂くことが可能です。1セルグループで契約できる最大セル数は最大31個となります。

1.8. 制約事項

  • 本サービスで提供するプロキシを経由するHTTP/HTTPS通信に対してのみセキュリティ機能を提供します。HTTP/HTTPS以外の通信はプロキシしません。
  • HTTP/HTTPS通信以外をプロキシしたい場合は、別途GateWayをお客さまご自身でご用意頂く必要がございます。
  • お客様が設定したサイト・アプリケーションに対しての通信はSSL復号を適用しません。(デフォルト設定ではMicrosoft365)

1.9. 最低利用期間

本サービスの最低利用期間はございません。


1.10. 料金

各メニュー(Small-BE/GAセルとLarge-BE/GAセル)の料金は こちら を参照ください。


1.11. 提供拠点

  • JP EASTエリア(東日本)、JP WESTエリア(西日本)を選択することが可能です。

1.12. サービス提供の品質

サポート範囲

  • 「本サービス説明書(機能一覧)」に記載されている機能はサポート対象です。
  • なお本サービスの契約後、お客さま自身で設定したパラメータの設定誤り(セキュリティポリシーの設定など)に起因する不具合については、サポート対象外です。

1.13. 運用

メンテナンス

品質維持を目的とした定期的なメンテナンス工事を実施します。


メンテナンス内容 メンテナンスウィンドウ 工事掲載条件
お客さまセルに影響がある場合 日本時間 日曜20:00-6:00 (土曜日20:00-30:00) 工事に伴う該当セルの通信断が10分以上の場合
DSIGWポータル閲覧・SO処理への影響の場合 日本時間 土曜日20:00~翌日曜日6:00 / 火曜日20:00~翌水曜日6:00 工事に伴う影響が30分以上の場合
  • 2週間前までに お客さまサポートサイト に掲載します。(※ただし、通信影響のないメンテナンスおよび脆弱性などの緊急を伴う対応の場合には、この限りではございません。)
  • 工事時間の調整はできません。

故障通知

メンテナンスや障害に関わる通知はメールにてお客さまにご連絡いたします。

1.14. SLA

本サービスにSLAはございません。