2. ご利用条件¶
Flexible Remote Accessご利用における各種利用条件および留意事項を記載しております。
お申し込み前に内容ご確認いただけますようお願いいたします。
2.1. ご利用前に準備をいただくもの¶
Flexible Remote Accessはお申し込み前にご用意いただく項目、ならびにお申し込み時に必要な対応がございます。
| 項番 | 項目 | 説明 |
| 1 | プールIPアドレス | お申し込みいただく最大接続ID数に応じて、VPN接続後の端末に割り当てるIPアドレスを払い出しいただきます
東西冗長を利用する場合、エリア毎に最大接続ID数分払い出しいただきます
エリア毎に登録されたアドレス数を超えて利用することは出来ません
|
| 2 | サービス基盤利用アドレス①②③ | サービス基盤上に割り当てるIPアドレスを払い出しいただきます(/27のネットワークアドレスを2つと/28のネットワークアドレスを1つ)
東西冗長を利用する場合、エリア毎に払い出しいただきます
|
| 3 | サービス基盤利用アドレス④ | FRA基盤のインターネットゲートウェイで利用するIPアドレス帯を選択する必要があります
選択したIPアドレス帯の中から任意のアドレス(/27のネットワークアドレスを2つ)を本サービス基盤上で利用します
お客さまネットワーク内(Arcstar UniversalOne拠点やデータセンタなど)や本サービスで利用するサービス基盤利用アドレスとは重複していない必要があります
東西冗長を利用する場合、エリア毎に選択していただきます
選択可能なIPアドレス帯は下記の通りです
172.16.0.0/16
172.25.0.0/16
10.84.0.0/22
10.84.32.0/22
10.84.64.0/22
10.84.96.0/22
172.19.164.0/22
172.24.32.0/22
172.24.64.0/22
172.24.96.0/22
172.28.0.0/22
172.28.32.0/22
172.28.64.0/22
172.28.96.0/22
172.29.164.0/22
172.30.192.0/22
172.30.208.0/22
192.168.0.0/22
192.168.32.0/22
192.168.64.0/22
192.168.96.0/22
192.168.128.0/22
192.168.160.0/22
192.168.192.0/22
192.168.224.0/22
|
| 4 | FIC-Router | お客さまのFlexible InterConnect(以下FIC)サービスで購入済みのFIC-RouterとFRAを接続する場合に必要です。FICを申し込んでいない場合、事前にビジネスポータルよりお申し込みください
FRAを接続するFIC-Routerは同一のテナントに所属している必要があります
東日本エリアのFRAと接続する場合、提供エリア:Japan East、冗長有無:Pairedをご用意ください
西日本エリアのFRAと接続する場合、提供エリア:Japan West、冗長有無:Pairedをご用意ください
FRA接続後、インターネットゲートウェイを経由してインターネットに接続するご利用方法のみをご希望のお客さまにおかれましてはお客さま名義のFICは不要です
東西冗長を利用する場合、FICとの接続が必須となります
|
| 5 | FIC-Connection 接続IPアドレス | お客さまのFIC-Routerと本サービス基盤を接続する場合に必要なIPアドレスを払い出しいただきます(/30のネットワークアドレスを2つ)
東西冗長を利用する場合、エリア毎に払い出しいただきます
後述でご案内するFsecコンソールからお申し込みいただく必要がございます
操作方法は こちら からご確認ください
|
| 6 | クライアント証明書のCA証明書 | クライアント証明書認証を利用する場合、クライアント証明書に対応するCA証明書をfsecコンソールに登録する必要があります。CA証明書の証明書ファイル(.crt形式または.cer形式)を準備ください |
| 7 | LDAPサーバーのCA証明書 | LDAP認証連携においてLDAPSを利用する場合、LDAPサーバーのCA証明書をfsecコンソールに登録する必要があります |
注釈
お客さまに払い出していただくサービス基盤利用アドレスとして、下記の中からご準備ください。
- FIC と接続する場合、お客さま Arcstar Universal One 及び各拠点で利用するアドレスと重複しないIPアドレス
- RFC1918指定のプライベートアドレスIPv4アドレス
注釈
以下のアドレスは利用不可となりますのでご注意ください。
- RFC1918指定のプライベートアドレス以外のIPv4アドレス
- キャリアシェアードアドレス
- リンクローカルアドレス
- グローバルアドレス
- マルチキャストアドレス
- IPv6アドレス
注釈
- お客さまArcstar Universal One拠点とお客さまFlexible InterConnectとの接続は、お客さまにて実施していただきます。詳細は、Flexible InterConnect サービスの FIC-Connection Arcstar Universal One を参照ください。
2.1.1. FRA設定シートの提示と納期について¶
FRAで提供している一部機能を利用する場合は、FRA設定シートを提出いただく必要がございます。
2.1.1.1. FRA設定シートの提出が必要な機能一覧¶
| 項番 | 変更項目 | 標準納期 |
| 1 | WideAngle連携 | FRA設定シート受領後、5営業日 |
| 2 | FIC-Connection(バージョン1)(FIC側)の帯域変更 | FRA設定シート受領後、3営業日 |
2.1.1.2. FRA設定シートの記入と送付¶
- WideAngle連携を利用する場合、およびFIC-Connection(バージョン1)の帯域変更をする場合は、Fsecコンソールの確認画面に表示されているFRA SO担当までご連絡ください。FRA SO担当のメールアドレスはFsecコンソールの確認画面にも表示されています。
図2.1.1.2.1. FRA SO担当のメールアドレス
- メール本文には、お客さまの「FRAグループ」のIDと、「FRA設定シート送付希望」の旨をご記載ください。その後FRA SO担当より設定シートをお送りしますので、ご提出をお願いします。
2.2. ご利用時の注意点¶
2.2.1. 本サービスご利用における留意事項¶
- FRAサービスで提供している機能は、MDM等のアプリケーションの利用状況や端末種別等の組合せにより、サービス仕様として規定する動作にならない場合があります。そのため、事前にお客さま環境にて動作確認をした上で利用することを推奨いたします。
- FRAサービスで提供するFRAノードはAct-Act構成です。縮退運転時には利用可能なID数が半分になるため、ご利用上必要なID数の利用を希望する場合には、2倍の契約ID数もしくは東西冗長オプションをお申し込みください。ただし、東西冗長を利用していて縮退運転中においても契約している最大接続ID数を全て救済するには東西エリアにおいて最大接続ID数分が接続できる設定をしておく必要があります。
FRAクライアントソフトを用いてリモートアクセスする端末では、ローカルネットワークのIPアドレスとVPN接続時に割り当てられるアドレス(申し込み時に設定するクライアントプールIPから割り当てられるアドレス)が同一になった場合、正常な通信ができません。
- インターネット利用に規制がかかる国からの利用には制限がかかる可能性あります。また当該国での規制対象として調査対象になるリスクも踏まえ、利用することを推奨しません。
FIC接続「有」の場合、FIC-Connection(to XaaS)の料金が発生します。
端末のOSに依存するような問い合わせはベンダー問い合わせとなるため、回答までに時間を要することがあります。
- 各Tier毎にFRA側で受信できる経路数には上限があります。(例 Tier1:500経路 Tier5:5,000経路 など)ご契約Tierの上限経路数を超過いたしますと一部通信に影響が出る場合があります。経路数の上限を超えた後にお客さまにて配信する経路数を減らした際は、FICコンソールにて BGPセッションクリア を実施していただく必要がございます。BGPセッションクリアを行う際は、FRAと接続しているFIC-Connectionを選択してください。
- 外部認証連携機能のうち、SAML認証連携を利用する場合、連携先のサービス(IdP)にエンティティIDとACS URLをそれぞれ3つ設定する必要があります。連携先サービスの仕様よっては、仕様外や有償扱いとなる可能性もあるため、事前に連携先サービス仕様をご確認ください。
- プロキシーを経由しFRA基盤へVPN接続をする場合、FRA基盤への接続が不安定になることがあります。その場合、Fsecコンソールから確認できる「認証ポータル」と「VPN待ち受け用ゲートウェイ」のアドレスをプロキシーの設定で除外すると接続が安定する場合があります。
FIC接続を廃止する場合、必ずFsecコンソールからFIC-Connectionの削除作業を行ってください。FICコンソールから削除作業を行わないでください。
- FRAで提供するリゾルバDNSを利用することにより、DNSによるC&Cサーバーへの通信遮断を行います。悪意のないサーバーであってもサイバー攻撃などによりC&Cサーバーと認定された場合は、DNSにより通信遮断される場合があります。
- FRAで提供するDNSにて、IoT製品など多数の端末を同時に接続すると、名前解決ができなくなる場合があります。その場合は、お客さまのDNSをご利用することを推奨します。
2.2.2. 海外利用時における留意事項¶
- はじめに海外居住者/法人※1へのFRAクライアントソフトの提供および、日本国外へFRAクライアントソフトを輸送する場合は、輸出規制の観点から「提供相手」、「利用/用途」の確認※2と共にNTT Com内にて手続きが必要になります。また、お客さま組織内でも同様の手続きが必要な場合があるため、海外から本サービスを利用する場合は予めお客さま組織内でご確認をお願いします。(※1) 非居住者といいます。海外居住者/法人の他、在任米軍や在日各国大使館を含みます。お客さまが内資であっても、日本国外での利用がわかっている場合を含みます。(※2)「取引チェックシート」を作成し、「取引相手」「用途」が核や武器開発関連でないかどうかを確認する必要があります。
- 手続きが必要な例- お客さまが日本国外の事務所からFRAクライアントソフトをダウンロードしてご利用になる場合- 営業担当者がお客さまの日本国外の事務所へFRAクライアントソフトを送付する場合上記の例に該当する場合は、FsecコンソールのFRAグループにて海外利用有無の項目を「利用する」としてお申し込みください。なお、NTT Com内での手続きは申し込み後2~3週間程度かかる見込みですので予めご留意ください。
- 手続きが不要な例- 日本国外への出張の際に、自分で利用するためにFRAクライアントソフトを持ち出す場合
- 海外でのVPN利用に関する留意各国でFRAクライアントソフトを利用したVPN接続可否は各国の法令や規制に準拠します。現時点の利用非推奨な国に関する情報は、弊社営業担当までご確認ください。
2.3. 制約事項¶
2.3.1. 契約条件¶
- 日本法人であること
- 1のSDPF契約に紐づくテナントにつき最大16のFRAを契約することが可能です
2.3.2. 提供条件¶
本サービスはSDPFサービス群のひとつであり、ここに記載のないものについては、SDPF規約の提供条件に準拠いたします
- 海外居住者/法人へのFRAクライアントソフトの提供および、日本国外へFRAクライアントソフトを輸送する場合は、輸出規制の観点から「提供相手」、「利用/用途」の確認と共にNTT Comにて別途手続きが必要です詳細は 海外利用時における留意事項 を参照ください
- FRAを経由してArcstar Universal Oneなどに接続する場合は、FIC接続契約が必須となります東西冗長をご利用いただく場合、FIC接続契約が必須となりますFIC接続を利用する場合の条件は以下の通りとなります- FRAとFIC-Connectionは同一テナントに所属していること
2.4. サポートするOS/ライセンス¶
2.4.1. 端末¶
2.4.1.1. サポートバージョン¶
注釈
- FRA基盤にインストール済みのOSバージョンにより、サポート対象となるOSやFRAクライアントソフトのバージョンが異なります
| 項番 | 項目 | 説明 |
| 1 | サポート対象OS | WindowsOS/MacOS/iPadOS/iOS/AndroidOSのみ対象となります |
| 2 | サポート対象OSバージョン | ・新OSバージョン(2023年10月4日リリース)
Microsoft Windows10,Microsoft Windows11
Apple Mac OS Monterey12以降のバージョンおよびリビジョン
iPadOS 16以降のバージョンおよびリビジョン
iOS 16以降のバージョンおよびリビジョン
AndroidOS 13以降のバージョンおよびリビジョン
※Microsoft社およびApple社において既にサポート対象外となっているOSバージョンおよびリビジョンについてはサポート対象外となります
※Paloalto社においてサポート対象外となっているOSバージョンおよびリビジョンについてもサポート対象外となります
WindowsOSについては、Windows10、Windows11にて動作確認済みです
Mac OSについては、新OSバージョン:Monterey 12にて動作確認済みです
iPadOSについては、新OSバージョン:16.4.1にて動作確認済みです
iOSについては、新OSバージョン:16.4.1にて動作確認済みです
AndroidOSについては、新OSバージョン:13にて動作確認済みです
|
| 3 | FRAクライアントソフト(Windows/Mac) | Windows版/MacOS版:バージョン6.0.4 または 6.0.7
※FRAクライアントソフトのインストール時には管理者権限が必要となります
バージョンアップ時は自動更新いたします
|
| 4 | FRAクライアントソフト(iPad/iPhone) | NTT Comにて動作確認済みのバージョン以降についてサポートいたします
iPadOS/iOS版:Apple社が提供するApp Storeからアプリケーション名「GlobalProtect™」の最新版をダウンロードしてください
※動作確認済みのバージョンは以下の通りです
新OSバージョン:iPad版6.0.6、iPhone版6.0.6
|
| 5 | FRAクライアントソフト(Android) | NTT Comにて動作確認済みのバージョン以降についてサポートいたします
AndroidOS版:Google社が提供するGoogle Playからアプリケーション名「GlobalProtect」の最新版をダウンロードしてください
※動作確認済みのバージョンは以下の通りです
新OSバージョン:6.0.6
|
注釈
- 上記表に記載のFRAクライアントソフトは、NTT Com検証環境にて動作確認を行ったものであり、Paloalto社が提供する最新バージョンではございません
- サポートバージョン以外のOSやFRAクライアントソフトについてはお問い合わせをいただいてもサポート対象外となります
2.4.2. iPad/iPhone端末利用における留意事項¶
- VPN接続後、ローカルネットワークへのアクセスが常に出来る状態となります※ローカルネットワークへのアクセスなしを有効にしていてもiPad/iPhone端末では有効とはなりません
iPad/iPhone端末においてSAML認証を行う場合は、FRAクライアントソフトの接続方式が手動接続に限り認証を行うことが可能です
- スプリットトンネルの設定はIPアドレスベースでのみ有効となります※FQDNやアプリケーション指定でスプリットトンネルの設定をしていてもiPad/iPhone端末では動作しません
- クライアント証明書を利用した認証を行う場合は、MDMまたはMacOS端末でAppleConfigurator2を利用して証明書のインストールを行う必要があります※端末にクライアント証明書を直接インストールしても正しく認識されません※VPN接続情報もあわせて配信する必要があります
- iPad/iPhone端末のデバイスポスチャ機能はOSとクライアントバージョンのみ対応しております
2.4.3. Android端末利用における留意事項¶
- VPN接続後、ローカルネットワークへのアクセスが常に出来る状態となります※ローカルネットワークへのアクセスなしを有効にしていてもAndroid端末では有効とはなりません
SAML認証を利用する場合は、FRAクライアントソフトの接続方式で自動接続を設定していもFRAへ自動で接続することができません
- Android端末においてはスプリットトンネルの設定が有効になりません(IPアドレス/FQDN/アプリケーション全て不可)※スプリットトンネルの設定をしていてもAndroid端末では動作しません
Android端末のデバイスポスチャ機能はOSとクライアントバージョンのみ対応しております
SSL復号およびテナントアクセス制御サポート機能を利用する場合、利用するブラウザーやアプリケーションの仕様により動作しない場合があります。お客さま環境にて動作確認をした上でご利用ください。また、OSやアプリケーションのバージョンアップにより、動作しなくなる可能性があります。