1. 提供機能¶
Flexible Remote Access では以下の機能を提供しています
1.1. ネットワーク機能¶
図1.1.1 FRAネットワーク構成
| 項番 | 項目 | 機能 | 説明/備考 |
| 1 | 冗長構成(VM) | ACT/ACT構成でのご提供です | インターネット接続時はエリア毎にグローバルIPアドレス(2IP固定)を付与いたします |
| 2 | エリア | 東日本エリア
西日本エリア
|
お申し込みいただく際に利用するエリアを選択することが可能です |
| 3 | 東西冗長 | BCP対策として東日本/西日本エリア間での冗長化機能をオプションサービスとして提供いたします
|
お申し込みいただく必要がございます
メイン利用は東日本固定となります
|
| 4 | インターネット接続帯域 | Tier2/3/4/5は1Gベストエフォートでのご提供です
Tier1は100Mべストエフォートでのご提供です
|
オプションとして帯域確保をお申し込みいただくことが可能です |
| 5 | FIC接続帯域 | Tier2/3/4/5は1Gベストエフォートでのご提供です
Tier1は100Mべストエフォートでのご提供です
|
オプションとして帯域確保をお申し込みいただくことが可能です
FIC-Connectionはお客様にてお申し込みいただきます
各Tier毎のFIC-Connectionの推奨接続帯域は以下の通りとなります
Tier2/3/4/5:10M,100M,200M,300M,500M,1G
Tier1:10M,100M
帯域確保を利用する場合は以下の帯域から選択してください
Tier2/3/4/5:10M,100M,200M,300M,500M,1G,2G,3G,4G,5G
Tier1:10M,100M
帯域確保とFIC接続の帯域は同一にすることを推奨いたします
|
| 6 | 最大同時セッション数(目安) | Tier1:64,000
Tier2:250,000
Tier3:819,200
Tier4:2,000,000
Tier5:10,000,000
|
最大同時セッション数はVM1台当たりの数値です
お客様の利用環境(セキュリティ機能の利用 等)によっては最大同時セッション数までご利用できない場合がございます
|
| 7 | 帯域確保 | インターネットからVPN待ち受け用インターネットGWまでの接続区間、および本サービス基盤内のFIC接続設備からFIC-Routerまでの接続区間をお客様指定の品目にて帯域を確保して提供いたします
|
各Tier毎の提供品目は以下の通りとなります
Tier1:100M
Tier2:100M,200M,300M,500M,1G
Tier3:100M,200M,300M,500M,1G,2G
Tier4:100M,200M,300M,500M,1G,2G,3G,4G
Tier5:100M,200M,300M,500M,1G,2G,3G,4G,5G
|
| 8 | 帯域確保(インターネットオプション) | VPN接続後アクセス用インターネットGWからインターネットまでの接続区間をお客様指定の品目にて帯域を確保して提供いたします
|
各Tier毎の提供品目は以下の通りとなります
Tier1:100M
Tier2:100M,200M,300M,500M,1G
Tier3:100M,200M,300M,500M,1G,2G
Tier4:100M,200M,300M,500M,1G,2G,3G,4G
Tier5:100M,200M,300M,500M,1G,2G,3G,4G,5G
|
注釈
FRA基盤において、VMのASは「64606」、対向のインターネットGWおよびFRAルータ(FIC接続用)のASは「64605」となります
注釈
帯域確保をお申し込みいただいても、利用環境(セキュリティ機能の利用やSSL復号化機能の利用等)により契約帯域までスループットが出ない場合がございます
1.2. 端末¶
1.2.1. サポートバージョン¶
| 項目 | 説明/備考 |
| 対象OS | WindowsOS/MacOS/iPadOS/iOS/AndroidOSのみ対象となります |
| 対象OSバージョン | Microsoft Windows10
Apple Mac OS BigSur11以降のバージョンおよびリビジョン
iPadOS 14以降のバージョンおよびリビジョン
iOS 15以降のバージョンおよびリビジョン
AndroidOS 11以降のバージョンおよびリビジョン
※Microsoft社およびApple社において既にサポート対象外となっているOSバージョンおよびリビジョンについてはサポート対象外となります
Windows10/Mac OS Big Sur11.4については動作確認済みです
iPadOSについては14.6にて動作確認済みです
iOS 15.4/AndroidOS 11にて動作確認済みです
|
| クライアントソフト(Windows/Mac) | Windows版/MacOS版:Version6.0.4
※クライアントソフトのインストール時には管理者権限が必要となります
バージョンアップ時は自動更新いたします
|
| クライアントソフト(iPad/iPhone) | iPadOS版:Apple社が提供するApp Storeからアプリケーション名「GlobalProtect™」の最新版をダウンロードしてください
※動作確認済みのバージョンはiPad版5.2.8、iPhone版6.0.0-16となります
|
| クライアントソフト(Android) | AndroidOS版:Google社が提供するGoogle Playからアプリケーション名「GlobalProtect」の最新版をダウンロードしてください
※動作確認済みのバージョンは6.0.1-13となります
|
注釈
上記表に記載のクライアントソフトは、NTT Com検証環境にて動作確認を行ったものであり、Paloalto社が提供する最新Versionではございません
1.2.2. FRAクライアントソフトのサポートポリシー¶
FRAクライアントソフトのサポートポリシーは以下の通りです
| サポート内容 |
サービス仕様および操作方法に関するお問い合わせ
想定外事象発生時の切り分け、ナレッジの提供およびメーカーによる解析依頼
|
1.3. リモートアクセス機能¶
1.3.1. リモートアクセス¶
リモートアクセス機能を構成するVMは冗長構成(Act-Act)でご提供いたします
VMの片系運用時は縮退運転となります。その場合の同時接続数はお申込みいただいた最大接続ID数の半分までが利用可能ID数となります。
例)300IDをご契約の場合、片系運用時には150IDまでがご利用可能上限となります
※まれに片系運用時の上限ID数を超えてご利用が可能な場合がございますが、仕様により規定した動作ではございません
東日本エリアまたは西日本エリアでご提供いたします
図1.3.1 片系運用時にFRAポータルへ接続する際の動作
1.3.2. リモートアクセス(東西冗長をご利用いただいている場合)¶
東西冗長を利用する場合、リモートアクセス機能を構成するVMは4冗長構成でご提供いたします
東日本エリアまたは西日本エリアから遅延の少ないVMをFRAクライアントソフトが自動選択し接続します
各エリアの両系故障、または東西エリアにおけるVMの片系運用時は縮退運転となります。
縮退運転時の同時接続数はお客様の設定によります。
東日本エリアと西日本エリアの組合せで提供いたしますが、メインの認証機能は東日本エリア(固定)でご提供いたします
東日本エリアにおいてFRA基盤が両系故障が発生した場合は、西日本エリアに接続することにより通信が回復いたします(通信回復の目安は2時間程度となります)
注釈
図1.3.2 東エリア障害時にFRAポータルへ接続する際の動作
1.3.3. 認証¶
ご提供する認証機能についてご説明いたします
注釈
- セキュリティ強化のため、二要素認証の設定を推奨いたします
| 項目 | 説明/備考 |
| Basic認証 | ID/Passによる認証
※ユーザIDは最大31文字、英字数字、ハイフン(-)、アンダースコア(_)のみ利用可能となります
|
| 外部認証連携 | SAML認証連携
LDAP認証連携
※認証連携先のサービスまで含めた全体の動作保証はいたしません
※認証連携時のユーザIDは最大80文字まで利用可能となります
※LDAP認証連携時において、連携できるのは10個のドメインまでとなります
※LDAP連携を利用することでグループ別アクセス制御が可能です(Azure ADにて動作確認済みです)
|
| 多要素認証 | 各認証方式+クライアント証明書による認証 |
注釈
- SAML認証連携をする場合、連携先のサービス(IdP)にエンティティIDとACS URLをそれぞれ3つ設定する必要があります
- SAML認証連携において、Azure ADにて動作確認を行っております
- 認証方式はBasic認証またはSAML認証またはLDAP認証のいずれかの認証方式を利用することが可能です
- LDAP認証とBasic認証を併用利用することは可能です
- SAML認証においては複数の認証方式を併用利用(Basic認証とSAML認証 等)することは出来ません
- LDAP認証連携をする場合、連携先サーバは「FIC接続経由」のみとなります
- LDAPサーバの登録は4台までとなります
- SAML認証連携でグループ別アクセス制御をする場合、連携先サーバは「インターネットGW経由のみ」となります
- LDAPSを利用する場合は、登録するLDAPサーバに対応するCA証明書をSOにてお客様より受領しNTT Com作業にてVMに登録を行います
| 項目 | 説明/備考 |
| クライアント証明書 | クライアント証明書によるアクセス制御 |
注釈
- クライアント証明書による認証を行う場合は、お客様にて証明書を作成する必要がございます
- お客様にてクライアント証明書(秘密鍵あり)を作成し、対応するCA証明書(秘密鍵なし)をSOにてお客様より受領し
NTT Com作業にてVMに登録を行います
- クライアントCA証明書を更新する場合は変更SOにて証明書を再登録する必要がございます
※有効期限切れ等で登録済みの証明書が無効化された場合は証明書による認証が出来なくなる点、ご容赦願います
- クライアント証明書を利用して認証を行う場合は登録している全てのユーザIDが対象となります
1.3.4. パスワードポリシー¶
パスワードポリシーについてご説明いたします
パスワードは以下の条件を全て満たす必要があります
| 全体文字数 | 8文字以上31文字以下 |
| 英字(大文字) | 1文字以上 |
| 英字(小文字) | 1文字以上 |
| 数字 | 1文字以上 |
注釈
- 本項のパスワードポリシーは管理者アカウントおよび、Basic認証におけるユーザアカウント共通のポリシーとなります
1.3.5. ロックアウト設定¶
FRAクライアントソフトのロックアウトについてご説明いたします
初期設定では以下の値が設定されています
| 設定 | 設定値 |
| 許容ログイン回数 | 5回
※ロックアウトするまでの最大試行回数です
|
| ロックアウト時間 | 15分 |
注釈
-ロックアウトの設定はBasic認証のときのみ適用されます
1.3.6. 接続方式¶
| 項目 | 説明/備考 |
| 接続方式 | IPSecまたは、SSL-VPNを用い接続いたします
IPsec接続がNGの場合、自動的にSSL接続いたします
IPsec:UDP 4501,SSL:TCP 443で通信いたします
|
| FRAクライアントソフトの接続 | 初期設定では手動で接続をいたします
|
| 内外判定 | FRAクライアントソフトで接続する際に社内社外を自動判別することが可能です
FRAポータルにて内外判定するためのホスト情報を登録しておくことにより、登録されているIPアドレスの逆引きが成功すると社内にいると判断します
本機能はFRAクライアントソフトの接続が「User-logon(Always On)」でのみ有効となります
FRAポータルでの設定方法は こちら を参照ください
|
注釈
- 内外判定をするためには、社内のみで解決するホスト情報を登録したDNSサーバを用意いただく必要がございます
- お客様社内でプロキシを利用している場合、内外判定機能が正常に動作しない場合があります。その場合、FRAサービスで利用するURLをプロキシから除外設定をすると動作が安定する場合があります。
1.3.7. プロトコル¶
本サービスにおいてご利用可能なプロトコルは以下の通りです
本サービスではIPv4通信に対応しておりますIPsec接続またはSSL接続が可能なプロトコルであれば意図的な制限はございませんただし、本件は全プロトコルおよびアプリケーションの組合せを担保するものではございませんお客様環境下における組み合わせによっては、本サービスをご利用いただくことで通信が不可になる場合がございます
1.3.8. スプリットトンネル¶
お客様指定のIPアドレスをFRAサービスを経由せずに直接インターネットに通信可能とするスプリットトンネル機能を提供いたします※NWアドレスおよびFQDNにて指定いただくことが可能です※NWアドレスは100個まで、FQDNは200個まで、それぞれご指定いただくことができます
1.4. セキュリティ機能¶
- セキュリティ(UTM機能)機能をご提供いたします- リモート拠点からセキュリティ機能を介して直接インターネット環境にアクセスいただくことが可能です
1.4.1. アクセス制御¶
本サービスにおいて以下アクセス制御機能をご提供しております
| 機能 | 説明/備考 |
| ポリシー管理 | ポリシールールを作成する事が可能です
送信元/送信先IP制御、FQDN制御、アプリケーション制御、ポート番号制御、ユーザ、グループ単位の制御が実施頂けます
※ただし、FQDN制御においてはHTTP(HTTPSは復号化している通信)のみ制御対象となります
|
注釈
- ご契約頂いておりますTierに応じて、作成可能なポリシー上限値が異なります
- Tier1:100
- Tier2:500
- Tier3:1000
- Tier4:1000
- Tier5:2000
1.4.2. URLフィルタリング¶
本サービスにおいて以下URLフィルタリング機能をご提供しております
| 機能 | 説明/備考 |
| URLフィルタリングプロファイル | URLフィルタリングプロファイルを作成し、好ましくないWebサイトへの通信を遮断することができます
プロファイルの作成はTier1は10個まで、Tier2~5は100個までとなります
※ただし、Tier1においてはSSL復号化を利用している場合、復号プロファイルと合計して10個までとなります
事前に定義済みのプロファイルを提供いたします
1ポリシーに割り当てられるプロファイルは1つまでとなります
|
| カスタムURLカテゴリ | URLのみ登録可能です(ワイルドカードの利用も可能)
カスタムURLカテゴリの作成は100個までとなります
1つのカスタムURLカテゴリには1000行まで登録することが可能です
カスタムURL全体で登録可能なURLの行数は合計で20000行までとなります
|
| アクション | 「許可」,「監視」,「拒否」,「継続」の中から指定いただくことができます
許可(allow):Webサイトへのアクセスを許可
監視(alert):Webサイトへのアクセスは許可されるが、URLフィルタリングログへの記録がされる
拒否(block):Webサイトへのアクセスを拒否しブロック画面を通知
※復号化していないhttpsサイトへアクセスした場合は通知画面が表示できないため、ブラウザのエラー画面が表示されます
継続(continue):Webサイトへアクセスする前に警告画面を表示し、画面上の「continue」ボタンを押下すると15分間ほどアクセスすることが可能
※復号化していないhttpsサイトでは確認画面が表示できないため、continueボタンによる一時アクセス許可はできません
|
| 適用順位 | カスタムURLカテゴリ→URLフィルタリングの順で評価します
|
注釈
URLフィルタリングにおいて復号化されていないhttps通信では、Server Name Indication(SNI)または証明書のCommon Name(CN)を用いてカテゴリ、URL単位の制御を行います
1.4.3. アンチウイルス¶
本サービスにおいて以下アンチウイルス機能をご提供しております
| 機能 | 説明/備考 |
| アンチウイルスプロファイル | 通信を許可するルールに対してアンチウイルスの機能を有効にすることができます
セキュリティレベルに応じて、定義済みのプロファイルの指定が可能です
|
| 対象プロトコル | HTTP,HTTP2,FTP,SMTP,IMAP,POP3,SMB
|
| 圧縮ファイルへの適用 | zip,gzipファイルのスキャンが可能
|
| 定義済みプロファイル | 「高」,「中」,「ログのみ」
|
| シグネチャ更新 | 毎日
|
| プロファイル名 | 説明 |
| 高 | HTTP,HTTP2,SMTP,IMAP,POP3,FTP,SMB通信でシグネチャに一致した場合は、全てブロックします
|
| 中 | HTTP,HTTP2,FTP,SMB通信でシグネチャに一致した場合は、全てブロックします
SMTP, IMAP,POP3通信でシグネチャに一致した場合は、ログのみ出力してそのまま通信を許可します
|
| ログのみ | HTTP,HTTP2,SMTP,IMAP,POP3,FTP,SMB通信でシグネチャに一致した場合は、ログのみ出力してそのまま通信を許可します
|
注釈
復号化されていないHTTP2通信は、プロファイルの定義はしておりますが暗号化されているため検査対象とはなりません
復号化されていない暗号化ファイルは対象外です
ブロックされた対象ファイルのキャプチャは行われません
1.4.4. アンチスパイウェア¶
本サービスにおいて以下アンチスパイウェア機能をご提供しております
| 機能 | 説明/備考 |
| アンチスパイウェアプロファイル | スパイウェアおよびマルウェアのネットワーク通信を検知して防御することができます
セキュリティレベルに応じて、定義済みのプロファイルの指定が可能です
|
| 定義済みプロファイル | 「高」,「中」,「低」,「ログのみ」
|
| シグネチャ更新 | 毎日
|
| プロファイル名 | 説明 |
| 高 | シグネチャと一致する通信が発生した場合は、重大度Critical,High,Medium,Lowはブロック、Informationalはログのみ出力してそのまま通信を許可します
|
| 中 | シグネチャと一致する通信が発生した場合は、重大度がCritical,High,Mediumはブロック、Lowはログのみ出力してそのまま通信を許可、Informationalはログも出力せずに通信を許可します
|
| 低 | シグネチャと一致する通信が発生した場合は、重大度がCritical,Highはブロック、Mediumはログのみ出力してそのまま通信を許可、Low,Informationalはログも出力せずに通信を許可します
|
| ログのみ | シグネチャと一致する通信が発生した場合は、重大度がCritical,High,Medium,Low,Informationalはログのみ出力してそのまま通信を許可します
|
注釈
復号化していない場合、SSL/SSH通信では暗号化されているためUTMで検査し制御することはできません
1.4.5. 脆弱性防御(IPS/IDS)¶
本サービスにおいて以下脆弱性防御機能をご提供しております
| 機能 | 説明/備考 |
| 脆弱性防御プロファイル | シグネチャによるパターンマッチングを行います
セキュリティレベルに応じて、定義済みのプロファイルの指定が可能です
|
| 定義済みプロファイル | 「IPS高」,「IPS中」,「IPS低」,「IPSログのみ」,「IDS高」,「IDS中」,「IDS低」
|
| シグネチャ更新 | 毎日
|
| プロファイル名 | 説明 |
| IPS高 | シグネチャと一致する通信が発生した場合は、重大度がCritical,High,Medium,Lowはブロック、Informationalはログのみ出力してそのまま通信を許可します
|
| IPS中 | シグネチャと一致する通信が発生した場合は、重大度がCritical,High,Mediumはブロック、Lowはログのみ出力してそのまま通信を許可、Informationalはログも出力せずに通信を許可します
|
| IPS低 | シグネチャと一致する通信が発生した場合は、重大度がCritical,Highはブロック、Mediumはログのみ出力してそのまま通信を許可、Low,Informationalはログも出力せずに通信を許可します
|
| IPSログのみ | シグネチャと一致する通信が発生した場合は、重大度がCritical,High,Medium,Low,Informationalはログのみ出力してそのまま通信を許可します
|
| IDS高 | シグネチャと一致する通信が発生した場合は、重大度がCritical,High,Medium,Low,Informationalはログのみ出力してそのまま通信を許可します
|
| IDS中 | シグネチャと一致する通信が発生した場合は、重大度がCritical,High,Medium,Lowはログのみ出力してそのまま通信を許可、Informationalはログも出力せずに通信を許可します
|
| IDS低 | シグネチャと一致する通信が発生した場合は、重大度がCritical,High,Mediumはログのみ出力してそのまま通信を許可、Low,Informationalはログも出力せずに通信を許可します
|
注釈
復号化されていない場合、SSL/SSH通信では暗号化されているためUTMで検査し制御することはできません
注釈
重大度
critical:広く配布されたソフトウェアのデフォルトのインストール状態で影響を受け、サーバのルート権限を搾取し、攻撃者が攻撃に必要な情報を広く利用可能である脆弱性
high:Criticalになる可能性を持っているが、攻撃するのが難しかったり、上位権限を獲得できなかったり、攻撃対象が少なかったりするなど、攻撃者にとって攻撃する魅力を抑制するいくつかの要因がある脆弱性
medium:Dos攻撃のように情報搾取までいかない潜在的攻撃や、標準ではない設定、人気のないアプリケーション、なりすまし、非常に限られた環境からしか攻撃できない場合mediumとなる
low:ローカルまたは物理的なシステムアクセスを必要とするか、クライアント側のプライバシーやDoSに関する問題、システム構成やバージョン、ネットワーク構成の情報漏出を起こすような影響の小さい脅威
informational:実際には脆弱性ではないかもしれないが、より深い問題が内在する可能性があり、セキュリティ専門家に注意を促すことが報告される疑わしいイベント
1.4.6. SSL復号化機能¶
本サービスにおいて以下SSL復号化機能をご提供しております
| 機能 | 説明/備考 |
| SSL復号化 | SSLで暗号化されている通信をFRA基盤で復号化し、UTMの各機能で制御することを可能にします
SSL復号化を利用するにあたり、端末にFRAサービスで発行したSSL復号化用証明書をインストールする必要があります
|
| SSL復号セッション数 | SSL復号化が可能なセッション数はTier毎に以下の通りとなります
Tier1:1,024、Tier2:6,400、Tier3:15,000、Tier4:50,000、Tier5:100,000
※復号可能なセッション上限を超過したトラフィックはプロファイルの設定によります(事前定義済みのプロファイルでは超過した分は復号化をせず透過します)
※SSL復号セッション数はVM1台当たりの上限です
|
| 復号プロファイル | SSL復号化に関する復号プロファイルを作成することができます
プロファイルの作成はTier1は10個まで、Tier2~5は20個までとなります
※ただし、Tier1においてはURLフィルタリングプロファイルと合計して10個までとなります
事前に定義済みのプロファイルを提供いたします
|
| 復号ポリシー | 復号化ポリシーを作成し、復号化したいトラフィックを定義することができます
復号化ポリシーの作成上限は各Tier毎に以下の通りとなります
Tier1:50個まで Tier2~5:100個まで
|
| SSL復号例外リスト | 復号化をしないホスト名を事前に登録することができます
事前定義済みのリストを提供いたします
復号例外リストに登録できる上限は事前定義済みのリストを含めて1,024までとなります
|
注釈
SSL復号化を利用する場合、SOシートにて「SSL復号化を利用する」としてお申込みください
SSL復号化をするためには端末にFRAサービスで発行したSSL復号化証明書をインストールする必要があります
SSL復号セッション数の上限を超過しなくても装置が高負荷の状態において、プロファイルの設定によらず復号化はされません
SSL復号化の機能を有効にすることにより装置に負荷がかかるため、スループットが落ちることがあります
帯域確保オプションを利用している場合においても、SSL復号化機能を利用することにより契約帯域までスループットが出ない場合があります
SSL復号化をすることにより装置に負荷がかかり、最大同時接続セッション数の低下やVPN接続エラーが発生することがあります
1.4.7. デバイスポスチャ機能(HIP検疫)¶
本サービスにおいて以下デバイスポスチャ機能をご提供しております
| 機能 | 説明/備考 |
| デバイスポスチャ | 端末にインストールされているOSやアンチマルウェアソフトのバージョンやパッチ情報を識別し接続可否を判別します
|
| 項目 | 詳細 | 説明 | Win | Mac | iPad/iPhone | Android |
| 全般 | OS | WindowsOS/MacOS/iPadOS/iOS/AndroidOS | 〇 | 〇 | 〇 | 〇 |
| クライアントバージョン | FRAクライアントソフトのバージョンをチェック | 〇 | 〇 | 〇 | 〇 | |
| ホストID | Windows端末:GUID
Mac端末:Macアドレス
|
〇 | 〇 | - | - | |
| パッチ管理 | パッチ番号 | WindowsOSのパッチ情報をチェック | 〇 | 〇 | - | - |
| パッチ管理ソフト | WindowsUpdateの情報をチェック | 〇 | - | - | - | |
| アンチマルウェア | アンチウイルスソフト | 端末にインストールされているアンチウイルスソフトをチェック | 〇 | 〇 | - | - |
| ソフトウェアバージョン | アンチウイルスソフトのバージョン情報をチェック | 〇 | 〇 | - | - | |
| ウイルス定義バージョン | アンチウイルスソフトのウイルス定義バージョン情報をチェック | 〇 | 〇 | - | - | |
| 最終スキャン時間 | アンチウイルスソフトで最終スキャンをした時間をチェック | 〇 | 〇 | - | - | |
| カスタムチェック | プロセスリスト | 指定したプロセス名の起動をチェック | 〇 | 〇 | - | - |
| レジストリキー | 指定したレジストリキーの存在をチェック | 〇 | - | - | - | |
| Plist | 指定したPlistの存在をチェック | - | 〇 | - | - |
注釈
- アンチマルウェアにおいては、利用するソフトウェアにより取得できる情報に差分があり、設定できる値が異なります
1.4.8. テナントアクセス制御サポート機能¶
本サービスにおいて以下テナントアクセス制御サポート機能をご提供しております
| 機能 | 説明/備考 |
| テナントアクセス制御サポート機能 | 対象アプリケーション:Microsoft 365(以下M365)
M365のログインURLに対してHTTPヘッダを挿入することでM365側でアクセスするテナントを制限します
M365のテナントに登録されている「ドメイン」または「テナントID」単位で指定することが可能です
対象となる通信はVPN接続後アクセス用インターネットGWを経由したインターネット通信のみとなります
本機能を利用するにはSSL復号化の利用が必須となります
SSL復号化やURLフィルタ等の設定を行う必要があります
FRAポータルでの設定方法は こちら を参照ください
|
1.4.9. URL¶
本サービスにおいてポータルおよびGWのURLをFQDNで提供いたしますxxxはお客様任意の名称をご指定可能ですFRAポータル(初回アクセス時):xxx-portal.fra.ntt.comGW:xxx-gw0.fra.ntt.com,xxx-gw1.fra.ntt.com
1.5. DNS機能¶
- FRA接続後にお客様端末のインターネット通信に際し、名前解決に必要なリゾルバDNSを提供いたします- FRAポータルにてDNSサーバーの設定をしてご利用ください- 設定手順については こちら をご確認ください
注釈
- FRA利用時にFIC接続経由でインターネット通信をする場合、FIC接続先のインターネットサービスで利用可能なDNSサーバーをご利用ください。
1.5.1. リゾルバDNS¶
本DNSサーバーを設定することによりC&Cサーバーなどの不正なアクセス先への通信を自動的にブロックします
マルウェア感染などによる、インターネットバンキングの不正送金や個人情報流出などの被害を防止し、より安全・安心にインターネット通信をご利用いただけます
図1.5.1 DNSサーバのIPアドレス(C&Cサーバ遮断あり)
- ※C&Cサーバー(Command and Control server):悪意のある第三者が管理し、感染端末などに遠隔指令を出すサーバー
1.5.2. C&Cサーバーへのブロックを希望しない場合¶
C&Cサーバーへのブロックを希望しない場合は、DNSサーバのIPアドレス情報を以下の通りに設定してください
図1.5.2 DNSサーバのIPアドレス(C&Cサーバ遮断なし)
注釈
- 本サービスで提供するDNSサーバーの利用想定台数は1000台以下となります。
- 1000台を超えてFRAサービスを利用する場合は、お客様のDNSなどをご利用ください。
1.6. ポータル機能¶
- お客様がご自分で管理、設定が可能なポータル機能である「FRAポータル」を提供いたします
1.6.1. 管理機能¶
各権限に応じてお客様にて変更が可能です
| 機能 | 説明/備考 |
| FRAポータルアカウント | FRAポータルにアクセスするためのアカウントを最大20個まで提供致します
権限は管理者権限、閲覧権限のいずれかとなります
管理者権限ではVPNユーザアカウントの発行を行うことが可能です
|
| 言語 | 日本語/英語 |
| リモートアクセスユーザー管理(管理者権限) | リモートアクセスユーザのアカウント管理が可能です
VPNユーザID/Passwordの登録削除、利用停止、パスワード管理、無操作時のタイムアウト時間設定がご利用頂けます
|
1.6.2. ログ¶
ご利用可能なログ機能は以下の通りです
| 機能 | 説明/備考 |
| ログ種別 | 各種ログを閲覧することが可能です
トラフィックログ、GlobalProtect(認証ログ)、HIPマッチログ(アクセスログ)、脅威ログ、URLフィルタリングログ
|
| ログ保管 | ログ種別毎にパーティションが設定されており、パーティションを超過してもログはログ領域に保存されます
ただし、ログ出力時にログ容量を超過した分は削除されます
各ログのパーティションは次の通りです
トラフィックログ約4.6G/GlobalProtectログ約150M/HIPマッチログ約450M/脅威ログとURLフィルタリングログの合計約2G
|
| ログ転送 | 外部ストレージサーバに対して、ログをSyslogメッセージとして転送することが可能です
転送サーバの指定は2つまで、転送先はFIC接続経由のみ指定可能です
転送プロトコルはTCP,UDPから選択いただけます
ログ転送を行うためにはログサーバに対するポリシー追加が必要となります
送信元アドレス/ユーザ/宛先アドレス/サービスの各項目に対する許可ポリシーを追加ください
-送信元アドレス:VPNFIC-IF
-ユーザ:any
-宛先アドレス:転送先のsyslogサーバのアドレス
-サービス:ログ転送のプロトコル,宛先ポート
※ポリシーの追加方法については こちら を参照ください
ログ転送の送信元IPアドレスは、開通案内書に記載のFRA利用NWアドレス➁のうち、末尾2つのアドレスになります
例)FRA利用NWアドレス➁が192.168.1.0/27の場合、192.168.1.29と192.168.1.30となります
|
注釈
- ログ保管において、故障発生時のログなどは保存出来ていない可能性がございます
- 故障発生により、保存されているログが消失する可能性がございます
- 本サービスで提供するログ機能はログの完全性を保証するものではございません
- パーティションログ容量に不足が懸念される場合は、外部ストレージへの転送を推奨いたします
- ログを転送することにより欠損が発生する場合がございます
- 閲覧可能なログと転送された先のサーバで確認できるログには差分が発生することがございます
1.7. ポータルで開放している機能¶
ポータルにて解放している各種機能、ならびにお客様権限を記載しております各種手順については こちら をご確認ください
1.7.1. ACC¶
| 項目 | 説明/備考 | お客さま権限 |
| ACC | アプリケーション利用率等のグラフ参照 | Read/Write |
1.7.2. ログモニター画面¶
| 項目 | 説明/備考 | お客さま権限 |
| トラフィック | トラフィックログ(セッション単位で表示) | Read/Write |
| 脅威 | ウイルスやスパイウェア検出などのログ | Read/Write |
| URLフィルタリング | URLフィルタリングログ | Read/Write |
| HIPマッチ | HIP検疫を有効にした端末のアクセスログ | Read/Write |
| Global Protect | Global Protectのアクセスログ(認証ログ) | Read/Write |
1.7.3. ポリシー¶
| 項目 | 説明/備考 | お客さま権限 |
| セキュリティ | セキュリティポリシー設定(送信元アドレス/宛先アドレス/サービス(プロトコル、ポート等/)/各種プロファイル) | Read/Write |
| 復号 | 復号ポリシー設定(送信元/宛先/サービス/URLカテゴリなど)
※SSL復号化をお申込みいただいた場合のみ表示
|
Read/Write |
1.7.4. オブジェクト¶
| 項目 | 説明/備考 | お客さま権限 |
| アプリケーション | メーカー定義のアプリケーション一覧が参照可能 | Read only |
| サービス | セキュリティポリシー設定時に指定するサービス(プロトコル、ポート)の作成 | Read/Write |
| HIPオブジェクト | HIP検疫をする際の端末情報の登録 | Read/Write |
| HIPプロファイル | HIP検疫時のプロファイルを登録する | Read/Write |
| URLカテゴリ | URLリストの作成 | Read/Write |
| URLフィルタリング | URLフィルタリングのプロファイル作成 | Read/Write |
| ログ転送 | ログ転送のプロファイル作成 | Read/Write |
| 復号 | 復号プロファイル作成
※SSL復号化をお申込みいただいた場合のみ表示
|
Read/Write |
1.7.5. ネットワーク¶
| 項目 | 説明/備考 | お客さま権限 |
| Global Protectポータル | Global Protectポータルの設定項目:Globalプロテクトポータルのグローバルアドレス、認証プロファイル、証明書プロファイル、エージェント設定等 | Read/Write |
| Global Protectゲートウェイ | VMのグローバルアドレス、ユーザに割り当てるプールアドレス、接続先VMの優先度設定等を設定する | Read/Write |
1.7.6. デバイス¶
| 項目 | 説明/備考 | お客さま権限 |
| 管理者 | 管理者アカウント情報が確認できます
また、管理者アカウントのみ、パスワード変更が可能です
|
Read/Write |
| 認証プロファイル | 認証方式の設定項目 | Read/Write |
| 認証シーケンス | LDAP認証における複数ドメイン利用時の設定項目 | Read/Write |
| ユーザID | 認証連携時の設定項目
グループマッピングの設定を行えます
|
Read/Write |
| SSL復号化例外 | 復号化しないホスト名を登録する
※SSL復号化をお申込みいただいた場合のみ表示
|
Read/Write |
| ログ設定 | ログ転送の設定を行えます | Read/Write |
| Syslog | ログ転送先の設定を行えます | Read/Write |
| LDAP | 認証連携時の設定項目
LDAPサーバのサーバプロファイル情報を登録いただけます
|
Read/Write |
| SAMLアイデンティティプロバイダ | 認証連携時の設定項目
SAMLのサーバプロファイル情報を登録いただけます
|
Read/Write |
| ユーザ | Basic認証するユーザの登録を実施いただけます | Read/Write |
| ユーザグループ | ユーザのグループ化を行えます | Read/Write |
1.8. 連携サービス¶
1.8.1. WideAngle¶
WideAngleは国内外のオンプレミス、クラウド、ハイブリッドなど様々なICT環境に対して
総合的なセキュリティソリューションを提供するマネージドセキュリティサービス(MSS)です。
セキュリティ監視センター(SOC)アナリストによるセキュリティ機器の設定や運用、高度なセキュリティ監視を24時間365日行うことで
サイバー攻撃などのリスクを最小化するとともに、お客さまの日々の運用負担を軽減いたします。
FRAサービスはWideAngleと連携することで、セキュリティ脅威分析を実現できます
注釈
- WideAngleと連携するには、FRAのログ転送を活用いたします(FRAのログ転送はFIC接続経由となります)
- Flexible InterConnectの基盤上でWideAngle向けのFIC-Connection(XaaS)をご購入いただくことで、WideAngleをご利用いただけます。
- FIC-Connection(XaaS)については こちら を参照ください。
- WideAngleは、FRAおよびFIC契約には含まれておりません。
- WideAngleをご利用いただく際の構成については個別に協議・決定させていただきます
- WideAngleの詳細については弊社営業担当にお問い合わせください
- WideAngleの概要については こちら を参照ください