1. Flexible Secure Gateway¶
1.1. サービス概要¶
- Flexible Secure Gateway(以下、FSG)では、データセンターを跨いだ広域負荷分散されたプロキシおよびセキュリティ機能一式をパッケージとして提供します。
- 本サービスを利用することで、Flexible InterConnect(略称:FIC)を経由し、NTT Comが提供する高品質・高信頼なVPNサービスであるArcstar Universal One(略称:UNO)からのセキュアプロキシ環境を実現できます。
- オンデマンドによるサービス提供のため、リアルタイムにセキュアプロキシ環境の増減を可能とします。
サービスの特長¶
FSGは、以下の特長を持ったサービスです。
- インターネット接続, UTM, ロードバランサー, プロキシ, DNS(プロキシホスト名を解決する権威DNS)およびFlexible InterConnectとの接続機能をパッケージとして、定型化された構成(以下、セル)を提供
- 複数のセルを用意することで、広域負荷分散されたプロキシおよびセキュリティ機能を提供
- 複数のセルをグループ(以下セルグループ)として管理し、グループ内で統一管理されたセキュリティポリシーによるインターネットアクセスを提供
用語定義¶
FSGでは下記のように用語を定義しています。
| 用語 | 概要 |
| セル | インターネット接続, UTM, ロードバランサー, プロキシ, DNS(プロキシホスト名を解決する権威DNS)およびFlexible InterConnectとの接続機能のリソース群をパッケージとしたもの。 |
| セルグループ | 同じポリシーが適用されるセル群。設定情報は「セルグループ」単位で管理されます。
上図ではセルA, セルBが同じセルグループに属し、同じセキュリティポリシーが適用されます。
|
リソース配置¶
FSGでは下記のようにリソース配置されます。
- お客さまが購入したFSGリソースを管理するための単位として「Tenant」を定義しています。1契約に対して複数Tenantを作成可能です。
- 1つのTenantに、8個のセルグループを作成することが可能です。
- 1つのセルグループに、31個のセルを作成することが可能です。
1.2. サービスを利用するための前提条件¶
FSGを利用するにあたり、お客さまにて下記を用意する必要があります。
- 本サービスは、Flexibe InterConnect との接続性を必要とするため、Flexible InterConnect サービスの FIC-Router を作成する必要があります。
- 1つのセルにつき/26のアドレスが必要です。(お客様が保有するグローバルIPアドレスの持ち込みも可能)
- お客さまArcstar Universal One拠点とお客さまFlexible InterConnectとの接続は、お客さまにて実施してください。詳細は、Flexible InterConnect サービスの FIC-Connection Arcstar Universal One を参照ください。
注釈
- /26の借用アドレスに関して下記は利用不可となります。
- お客様Arcstar Universal Oneおよび各拠点で利用するアドレスと重複するIPアドレス
- RFC1918指定のプライベートアドレス以外のIPv4アドレス
- キャリアシェアードアドレス
- リンクローカルアドレス
- マルチキャストアドレス
- IPv6アドレス
1.3. 利用できる機能一覧¶
機能一覧¶
本サービスで利用できる機能は下記のとおりです。これら機能を一式として定型化された構成を提供します。
| 機能 | 機能概要 |
| 外部接続機能 | お客さまArcstar Universal One拠点と接続するためのFlexible InterConnect接続と、インターネットへの接続機能を提供します。 |
| プロキシ機能 | お客さまがインターネット接続する際のプロキシ機能を提供します。 |
| ロードバランサ機能 | お客さまの通信を最適なセルに振り分けるGSLB機能を提供します。 |
| DNS機能 | お客さまが設定したプロキシホスト名の名前解決を行う権威DNSサーバ機能を提供します。 |
| セキュリティ機能 | お客さまのインターネット接続する際の各種セキュリティ機能を提供します。 |
| オブジェクト定義機能 | FSGの設定で利用できるオブジェクトを定義する機能を提供します。 |
| モニタリング機能 | お客さまのセルステータスや統計情報, セキュリティログ, アラート通知機能を提供します。 |
| セキュリティログ外部転送機能 | お客さまのセキュリティログを外部に転送する機能を提供します。 |
| セルバージョン変更機能 | お客さまのセルのバージョンを変更する機能を提供します。 |
| セルプラン変更機能 | お客さまのセルのプランを変更する機能を提供します。 |
| AD連携機能 | お客さまのADサーバーと連携した認証機能を提供します。 |
| デフォルトルート配信機能 | お客さまのFICルーターにデフォルトルートを配信する機能を提供します。 |
1.4. 各機能の説明¶
外部接続機能¶
| 項番 | 機能 | 機能概要 |
|---|---|---|
| 1 | Flexible InterConnect接続機能 | Flexible InterConnect サービスにおけるお客さま FIC-Router とFSGセルとの接続を提供します。 |
| 2 | インターネット接続機能 | 冗長化された設備で構築されたインターネット接続を提供します。 |
注釈
- 1つのセルにつき、Flexible InterConnect接続機能、インターネット接続機能をそれぞれ1つずつ提供します。
1. Flexible InterConnect接続機能¶
- Flexible InterConnect サービスにおけるお客さま FIC-Router とお客さまFSGセルとの接続を提供します。
- 機能の詳細は、Flexible InterConnect サービスの FIC-Connection SDPF クラウド/サーバー を参照ください。
- 選択可能な情報の詳細は以下のとおりです。
| 選択可能なパラメータ | 詳細 |
|---|---|
| FIC-Router ID | お客さまがFIC-Consoleにて作成した同一エリアのFIC-RouterのIDが自動表示されます。必要なFIC-RouterのIDを選択してください。 |
| FIC Routing Group ID | FIC-RouterのRouting Groupをgroup_1~8までのどれかを選択可能。 |
注釈
- FSGのFIC-Connectionは、Flexible InterConnect サービスのFIC-Consoleにて作成することはできません。必ず、FSGコンソールから作成する必要があります。
- FSGコンソールにてFIC-Connectionを作成すると、Flexible InterConnect サービスのFIC-ConsoleにてFIC-Connection SDPF クラウド/サーバーリソース(コネクション名:FSG_connection_任意の数字羅列)が生成されます。
- FIC-Connection SDPF クラウド/サーバーリソースが生成された際、Flexible InterConnect サービスにて、FIC-Connection SDPF クラウド/サーバーリソース分の料金が請求されます。料金は、 こちら を参照してください。
- FSGセルと接続されたFIC-Connection ECL2.0リソース(コネクション名:FSG_connection_任意の数字羅列)を、FIC-Consoleにて削除しないでください。削除した場合、FSGサービスの利用が出来なくなります。
プロキシ機能¶
| 項番 | 機能 | 機能概要 |
|---|---|---|
| 1 | プロキシ機能 | お客さまがインターネット接続する際のプロキシ機能を提供します。 |
1. プロキシ機能¶
- お客さまArcstar Universal One拠点からインターネットへの通信をプロキシする機能を提供します。
注釈
- プロキシ機器はOCNのDNSサーバーを参照しています。(OCNのDNSサーバーに障害が発生した場合、FSGも影響を受けます)
ロードバランサ機能¶
| 項番 | 機能 | 機能概要 |
|---|---|---|
| 1 | 優先セル設定機能 | お客さまの通信を最適なセルに振り分けるGSLB機能を提供します。 |
1. 優先セル設定機能¶
- お客さまにて、通信を優先的に流したいセルを設定する機能を提供します。
- 設定できる情報の詳細は以下のとおりです。
| 参照可能なパラメータ | 詳細 |
|---|---|
| 名前 | 優先セル設定を行う名前を設定することが可能です。 |
| セルID | HTTP/HTTPS通信を優先的に流したいセルIDを選択することが可能です。 |
| 送信元IPアドレス | 優先すべき送信元IPアドレスを設定することが可能です。 |
注釈
- 優先セル設定を行わない場合は、ラウンドロビンにてセルを選択することになります。
- セルの優先度制御は、セルが提供するDNSサーバへの送信元IPアドレスによって決まります。プロキシホスト名の名前解決のために社内DNSを利用する場合、端末によってセルの優先度を変更するためには、端末が参照する社内DNSを上図のように複数準備し、セルのDNSサーバへ問い合わせを行う社内DNSのIPアドレスを分ける必要があります。
DNS機能¶
| 項番 | 機能 | 機能概要 |
|---|---|---|
| 1 | 権威DNS機能 | お客さまが設定したプロキシホスト名の名前解決を行う権威DNSサーバ機能を提供します。 |
1. 権威DNS機能¶
- お客さまが設定したプロキシホスト名の名前解決を行います。
- 設定できる情報の詳細は以下のとおりです。
| 設定可能なパラメータ | 詳細 |
|---|---|
| DNSドメイン名 | FSGのセルグループで利用するDNSのドメイン名を設定することが可能です。 |
| プロキシホスト名 | GSLBで用いるプロキシホスト名を設定することが可能です。 |
| TTL値 | GSLBで用いるプロキシホスト名(Aレコード)のTTLを10-86400秒の範囲で設定することが可能です。(デフォルト10秒) |
- 上記構成図におけるDNSの動作は下記のとおりです。
- お客さま端末は、お客さま内部DNSサーバへ、プロキシサーバ(プロキシホストのFQDN)のAレコードを問い合わせ
- お客さま内部DNSサーバは、セルの権威DNSサーバへ、プロキシサーバ(プロキシホストのFQDN)のAレコードを問い合わせ
- セルの権威DNSサーバは、広域負荷分散機能で選定したプロキシサーバ(プロキシホストのFQDN)のIPアドレスをAレコードとして応答
- お客さま内部DNSサーバは、お客さま端末へ、セルの権威DNSサーバから応答のあったプロキシサーバのAレコードを応答
- お客さま端末は、お客さま内部DNSサーバから応答のあったAレコードを、プロキシサーバ(プロキシホストのFQDN)のIPアドレスとして通信を開始。
注釈
- 上図の例の場合、プロキシサーバのFQDNはproxy.fsg.example.comとなります。このFQDNをお客さま端末に設定する必要があります。
- プロキシホスト名のAレコードのデフォルトTTLは10秒となります。また、プロキシサーバのポート番号は8080となります。
- お客さま社内DNSサーバ、お客さま端末のDNSキャッシュの保持の方法により、必ずしも10秒で切り替わる訳ではありません。お客さま社内DNSサーバ・お客さま端末の仕様に準じます。
セルが提供するDNSサーバのIPアドレス¶
各セルのDNSサーバのIPアドレスは、お客様がセルに割り当てたIPアドレスブロック(/26)の先頭アドレスに38を加えたアドレスとなります。
- /26がx.x.x.0/26 (IPアドレス範囲 x.x.x.0-63)の場合、x.x.x.38
- /26がx.x.x.64/26 (IPアドレス範囲 x.x.x.64-127)の場合、x.x.x.102
- /26がx.x.x.128/26 (IPアドレス範囲 x.x.x.128-191)の場合、x.x.x.166
- /26がx.x.x.192/26 (IPアドレス範囲 x.x.x.192-255)の場合、x.x.x.230
セキュリティ機能¶
| 項番 | 機能 | 機能概要 |
|---|---|---|
| 1 | FireWall機能 | IPアドレスおよびアプリケーションによりセッションを識別し、セッション個々に許可/拒否を設定可能。 |
| 2 | IPS/IDS機能 | 脆弱性を利用した攻撃を検知、防御します。通信フレームのシグネチャから独自のルールで重要度を判定し、重要度ごとにアクションを設定可能。 |
| 3 | アンチウイルス機能 | 通信をスキャンし、シグネチャと一致する場合はActionに定義された処理を行うことでウイルスを発見、感染を防御可能。 |
| 4 | アンチスパイウェア機能 | 通信をスキャンし、シグネチャと一致する場合はActionに定義された処理を行うことでスパイウェアを発見し、感染を防御可能。 |
| 5 | URLフィルタリング機能 | 特定のWebサイト・特定カテゴリのWebサイトへの通信を制御可能。 |
| 6 | ファイルブロッキング機能 | ファイル種別を識別し、種別ごとに通信を制御可能。 |
| 7 | サンドボックス機能 | 通信をスキャンし、シグネチャ定義のないファイルをクラウド上で分析が可能。 |
| 8 | SSL/TLS復号機能 | 暗号化通信の通信スキャンのため通信を一時的に復号します。
デフォルト設定では、Microsoft365通信のSSL/TLS復号を実施いたしません。(設定を変更することでMicrosoft365通信に対してSSL/TLS復号することも可能です)
特定のサイトに対してSSL/TLS復号対象外に設定することも可能です。
|
1. FireWall機能¶
- FireWall機能では、送信元IPアドレス、送信先IPアドレス、アプリケーション、サービスに基づき通信の許可または遮断を行い、トラフィックログに記録します。
- 設定できる情報の詳細は以下のとおりです。
| 設定可能なパラメータ | 詳細 |
|---|---|
| 名前 | セキュリティポリシールールの名前 |
| 送信元IPリスト | 通信の送信元IPアドレスリスト |
| セキュリティグループ | セキュリティポリシールールを適用するセキュリティグループ |
| 宛先IPリスト | 通信の宛先IPアドレスリスト |
| 宛先ポートリスト | 通信の宛先ポートリスト
1-65534の範囲または any指定可能(anyを指定した場合に通信可能なポート範囲は1-665534)
※ 65535ポートへの通信不可
|
| カスタムURLカテゴリ/URLカテゴリリスト | 宛先URLリスト
お客様が登録されたカスタムURLカテゴリリストとサービスとして事前に定義されたURLカテゴリリストから選択可能
|
| アプリケーションリスト | any(デフォルト) のみ選択可能 |
| アクション | ポリシーに合致する通信に対する動作を allow / deny から選択 |
| ログ抑制 | セキュリティポリシールールのログの取得について ON(ログを取得しない) / OFF(ログを取得する) から選択 |
注釈
- 構築初期はお客様用ポリシールールが設定されていないため、すべてのインターネット向けお客様通信が遮断されます。必ずallowのポリシーを追加してください。
- 上記セキュリティルールは、お客さまArcstar Universal One拠点→インターネット向けの通信に適用されます。
- インターネット→お客さまArcstar Universal One拠点向けの通信はすべて拒否します。
2. IPS/IDS機能¶
- IPS/IDSでは、通信フレームのシグネチャから独自のルールで重要度を判定し、重要度ごとにアクションを設定します。
| 種別 | 項目 |
|---|---|
| 重要度種別 | Critical / High / Medium / Low / Info |
| Action種別 |
|
- 事前に定義された下記のプロファイルを適用します。
- プロファイルのデフォルト設定は「IPS中」です。IPS/IDSの無効化も可能です。
| IPS/IDSプロファイル | Critial | High | Medium | Low | Info |
|---|---|---|---|---|---|
| IPS高 | reset-both | reset-both | reset-both | reset-both | alert |
| IPS中(推奨) | reset-both | reset-both | reset-both | alert | allow |
| IPS低 | reset-both | reset-both | alert | allow | allow |
| IDS高 | alert | alert | alert | alert | alert |
| IDS中 | alert | alert | alert | alert | allow |
| IDS低 | alert | alert | alert | allow | allow |
3. アンチウイルス機能¶
- シグネチャと一致する通信が発生した場合はActionに定義された処理を行います。
- また、一般定義されたシグネチャの他に、サンドボックス機能により作成されたシグネチャを基にした処理ができます。
- プロファイルは、「ブロック(推奨)」「ログのみ」「無効」から選択することができます。
| プロファイル | Action |
|---|---|
| ブロック(推奨) | reset-both |
| ログのみ | alert |
| 無効 |
4. アンチスパイウェア機能¶
- シグネチャと一致する通信が発生した場合にActionに定義された処理を行います。
| 種別 | 項目 |
|---|---|
| 重要度種別 | Critical / High / Medium / Low / Info |
| Action種別 |
|
- 事前に定義された下記のプロファイルを適用します。
- プロファイルのデフォルト設定は「中」です。アンチスパイウェア機能の無効化も可能です。
| プロファイル | Critial | High | Medium | Low | Info |
|---|---|---|---|---|---|
| 高 | reset-both | reset-both | reset-both | reset-both | alert |
| 中(推奨) | reset-both | reset-both | reset-both | alert | allow |
| 低 | reset-both | reset-both | alert | allow | allow |
| ログのみ | alert | alert | alert | alert | alert |
5. URLフィルタリング機能¶
- オブジェクト定義機能 で定義した カスタムURLカテゴリ および URLフィルタリングプロファイル をセキュリティポリシールール(FireWall機能)に適用することができます
6. ファイルブロッキング機能¶
- ファイルブロッキング機能により、FSGを特定のファイルが通過した場合のアクションとして、ブロックやアラートのアクションが設定できます。
| Action種別 | 説明 |
|---|---|
| alert | ログを残します。 |
| block | ブロックします。 |
| continue | ファイルの処理をユーザが選択するように画面を遷移します。(ログも残します) |
- 下記のプロファイルから選択可能です。ファイルブロッキング機能の無効化も可能です。
7. サンドボックス機能¶
- FSGを通過するファイルをクラウド上に展開し、ファイルのふるまいを検査します。
- 悪性のファイルと診断されたもの(製品ベンダーにて一元管理)に関しては、サンドボックスシグネチャとしてアンチウィルス機能で処理されます。
- 下記のプロファイルから選択可能です。
- ファイルのアップロード/ダウンロードの制御方向の設定ができます。サンドボックス機能の無効化も可能です。
| プロファイル | 制御方向 |
|---|---|
| 双方向(推奨) | アップロード/ダウンロード双方 |
| ダウンロードのみ | ダウンロード方向のみ |
- セルバージョン v6.0の検査ファイルサイズ上限
| File Type | Size Limit |
|---|---|
| pe(MB) | 10 |
| apk(MB) | 10 |
| pdf(KB) | 500 |
| ms-office(KB) | 500 |
| jar(MB) | 1 |
| flash(MB) | 5 |
| MacOSX(MB) | 1 |
| archive(MB) | 10 |
| linux(MB) | 2 |
| script(KB) | 20 |
- セルバージョン v7.0の検査ファイルサイズ上限
| File Type | Size Limit |
|---|---|
| pe(MB) | 16 |
| apk(MB) | 10 |
| pdf(KB) | 3072 |
| ms-office(KB) | 16384 |
| jar(MB) | 5 |
| flash(MB) | 5 |
| MacOSX(MB) | 10 |
| archive(MB) | 50 |
| linux(MB) | 50 |
| script(KB) | 20 |
注釈
- 検査するファイルのサイズは上記表を参照ください。
- これを超えるファイルは検査対象外となります。
- ファイルサイズの変更はできません。
8. SSL/TLS復号機能¶
- 送信元IPアドレス、宛先URL、URLカテゴリごと(SSL/TLS復号除外ルール)にSSL/TLS復号除外するサイトを定義できます。
- デフォルトではMicrosoft365以外の通信をすべてSSL/TLS復号します。(設定を変更することでMicrosoft365通信もSSL/TLS復号可能です)
- 除外ルールは最大100行定義できます。
- 除外ルールのパラメータは表をご参照ください。
| 設定パラメータ | 値 |
|---|---|
| 送信元IPアドレス |
|
| 宛先URL |
|
| 宛先URLカテゴリ |
|
- URLカテゴリのリストは こちら のURLから確認できます。
- 除外ルールは上から順に評価されます。そのため、前述のルールが後述のルールを包含する場合、後述のルールは適用されませんのでご注意ください。
- 本機能はお客様Arcstar Universal One ⇒ インターネット方向の通信に対して、フォワードプロキシとして動作します(アウトバウンドSSL復号)。
- 証明書がお客様端末に適切にインストールされていない場合、クライアントブラウザは警告画面を受け取ることになります。
- 証明書はセルグループ作成後、FSGコンソールにてダウンロード可能です。
- デフォルト設定では、SSL/TLS復号セッションの上限を超えた場合は、SSL/TLS復号処理をスキップしてパケットを転送します。個別設定としてブロックに設定することも可能です。
注釈
- 高負荷状態においては、SSL/TLS復号セッションの上限を超えた場合のアクションをブロックに設定した場合でもSSL/TLS復号処理をスキップしてパケットを転送する場合があります。
オブジェクト定義機能¶
| 項番 | 機能 | 機能概要 |
|---|---|---|
| 1 | カスタムURLカテゴリ機能 | URLリストに対して、お客さまで任意のカスタムURLカテゴリを定義する機能。 |
| 2 | URLフィルタリングプロファイル機能 | URLカテゴリ(カスタムURLカテゴリも含む)ごとに通信を制御(Allow,Alert,Continue,Block)する設定を定義する機能。
定義したURLフィルタリングプロファイルは、セキュリティポリシールールで参照することで機能します。
|
1. カスタムURLカテゴリ機能¶
- カスタムURLカテゴリ機能では、URLのリストに対して内部で利用可能なカスタムURLカテゴリを登録することができます。
- 設定できる情報の詳細は以下のとおりです。
| 設定可能なパラメータ | 詳細 |
|---|---|
| 名前 | カスタムURLカテゴリ設定の名前。
(本設定はセキュリティポリシやSSL復号除外などの設定で利用するため、わかりやすい名前を付けることをお勧めいたします)
|
| URLリスト | カスタムURLリストとして取り扱うURLを登録できます。
1つのカスタムURLカテゴリに最大200件のURLを登録可能です。
|
注釈
- カスタムURLカテゴリは1セルグループに最大100件登録可能です。
- URLの最大文字数は255文字です。
- URLに利用可能な文字は、半角英数字と半角記号 - _ . / ? & = ; + * ^ ! % ~ です。
- URLに日本語を含む場合は、URLエンコードしたものを入力してください。
- URLリストには example.com:443 のようにポート番号を含むURLを記載することはできません。:(コロン)以下は省略した形で入力してください。
- URLは、FQDNまたはIPアドレスの形式で指定することができます。
- IPアドレス形式の指定は、名前解決を行わずにIPアドレスでサイトアクセスした場合にのみ機能します。ブラウザのアドレスバーにIPアドレス形式でURLを入力した場合などがこれに該当します。
- FQDN指定では、ワイルドカードとして、'*'(アスタリスク)および'^'(キャレット)を使用できます。
- ワイルドカードは、FQDNおよびパスにおける区切り文字('.'または'/')で挟まれた文字列を表します。
- '*'は区切り文字で連結された1つまたは複数の文字列、'^'は1つの文字列にマッチします。(sub1.sub2.sub3.comというURLは、sub1.*.comにマッチしますが、sub1.^.comにはマッチしません。)'*'を連続して利用することはできません。
- 指定可能な例:www.ntt.com, www.ntt.com/about-us, www.*.com, www.ntt.com/*, www.^.com, 203.0.113.1, 203.0.113.1/test
- 指定できない例(エラーになります):www.*.*.com, **/about-us, www.ntt*.com
2. URLフィルタリングプロファイル機能¶
- URLフィルタリングプロファイル機能では、URLカテゴリごとのアクションを登録できます。
- お客さまが登録したURLフィルタリングプロファイルは、セキュリティポリシールールで使用することができます。
- URLフィルタリングプロファイルは最大100設定できます。
| 設定可能なパラメータ | 詳細 |
|---|---|
| 名前 | URLフィルタリングプロファイルの名前
|
| カスタムURLカテゴリリスト | お客様が定義したカスタムURLカテゴリに対してアクションを選択することができます。
アクションは、無効,Allow,Alert,Continue,Blockから選択可能です。
お客様が定義した全カスタムURLカテゴリに対してアクションを設定する必要があります。(デフォルトは無効)
|
| URLカテゴリリスト | FSGサービスが定義したURLカテゴリに対してアクションを選択することができます。
アクションは、Allow,Alert,Continue,Blockから選択可能です。
デフォルト設定として、弊社が推奨するアクションが選択されています。お客様の運用ポリシーに従って、適時修正してください。
|
注釈
- カスタムURLカテゴリ間の優先順位はアクションに依存します。無効 < Allow < Alert < Continue < Block
- カスタムURLカテゴリで設定したアクションはURLカテゴリで設定したアクションよりも優先されます。URLカテゴリ < カスタムURLカテゴリ
- サービスで定義しているURLフィルタリングプロファイルの推奨設定(推奨プロファイル)の内容は下記のとおりです。
| プロファイル | 説明 |
|---|---|
| デフォルト設定(プロファイル名recommended) |
|
| 個別設定 | 個別に各カテゴリのアクションが指定可能です。 |
モニタリング機能¶
| 項番 | 機能 | 機能概要 |
|---|---|---|
| 1 | セルステータス表示機能 | セルの提供状態と他セルのGSLB状態の情報を提供。 |
| 2 | セルメトリクス表示機能 | セルの稼働状態として、5種類のメトリクス値の推移を時系列データで提供。 |
| 3 | セキュリティログ機能 | UTMで取得する5種類のセキュリティログを提供。 |
| 4 | アラート通知機能 | UTMにおいてユーザが指定した種類のセキュリティログが含まれた場合、メールでアラート通知する機能を提供。 |
注釈
- ネットワークのメンテナンスおよび障害発生時にはログ情報が保存されない場合がございます。
1. セルステータス表示機能¶
- セルのサービス提供状態と、GSLBの機能で取得する他セルの状態について、最新の情報を提供します。
- 表示できる情報の詳細は以下のとおりです。
・セル提供状態
| セル提供状態 | 意味 | 状態詳細 |
|---|---|---|
| UP | セルが機能している | Proxyを介したInternet上のあるWebサーバへのアクセスとProxyホストのDNSによる名前解決が、どちらも正常に動作しており、サービス提供可能状態を示します。 |
| DOWN | セルが機能していない | Proxyを介したInternet上のあるWebサーバへのアクセスとProxyホストのDNSによる名前解決の、いずれかが動作しておらず、サービス提供不可状態を示します。 |
・GSLB状態
| 提供状態 | 意味 |
|---|---|
| All UP | そのセルからみて、そのセル自身を含むすべてのセルがUPしている。 |
| PARTIALLY DOWN | そのセルからみて、そのセル自身を含む一部のセルがDOWNしている。 |
| ALL DOWN | そのセルからみて、そのセル自身を含むすべてのセルがDOWNしている。 |
注釈
- 『セル提供状態』『GSLB状態』ともに、自動更新されないため、GUIブラウザ右上の「更新」ボタンにより最新の情報が表示されます。
2. セルメトリクス表示機能¶
- お客さまがセルの増設や減設を判断するために、セルごとにUTMの処理負荷に関わるメトリクス情報を時系列データとして提供します。
- グラフとして表示可能な期間は最大1か月となります。(指定できる対象期間は、6か月前から現在まで)
- 時刻は、指定、表示ともすべてJSTとなります。
- 表示できる情報の詳細は以下のとおりです。
| メトリクス種別 | 意味 |
|---|---|
| Incoming Traffic (bps) | Internetからセルへの内向きトラフィックの5分間平均量。単位はbps (bit per sec) |
| Outgoing Traffic (bps) | セルからInternetへの外向きトラフィックの5分間平均量。単位はbps (bit per sec) |
| 総セッション数 | ポーリングしたタイミングでの総セッション数。ポーリング間隔は5分。 |
| SSL/TLS復号セッション数 | ポーリングしたタイミングでのSSL/TLSセッション数。ポーリング間隔は5分。 |
| CPU使用率 (%) | ポーリングしたタイミングでのUTMの1分間平均CPU使用率。ポーリング間隔は5分。 |
3. セキュリティログ機能¶
- UTMで取得する5種類のセキュリティログを提供します。
- セルグループに含まれるすべてのセルのログをまとめて表示します。
- 表示可能な期間は、最大1週間となります。(ログのtyepごとに指定可能な期間が異なります)
- 表示できる情報の詳細は以下のとおりです。
| ログ種別 | 意味 |
|---|---|
| Traffic | トラフィックログ (指定できる対象期間は、6か月前から現在まで) |
| Threat | 脅威ログ(ウィルス、スパイウェア、脆弱性)(指定できる対象期間は、6か月前から現在まで) |
| URL Filter | URLフィルタリングログ(指定できる対象期間は、6か月前から現在まで) |
| WildFire | WildFire送信ログ(指定できる対象期間は、6か月前から現在まで) |
| DataFiltering | データフィルタリングログ(指定できる対象期間は、6か月前から現在まで) |
| User-IDログ | IPアドレスとユーザー名のマッピングログ(指定できる対象期間は、40日前から現在まで) |
| 認証ログ | Captive Portalを用いたユーザー認証のログ(指定できる対象期間は、40日前から現在まで) |
- セキュリティログを確認する際には以下の項目でフィルタリングすることができます。
| 項目 | 説明 |
| 対象期間(JST) | 表示するログの期間をJSTで指定できます。
|
| 検索タイプ | 完全一致、部分一致、正規表現から選択可能です。 |
| 詳細条件 | フィルター条件を最大5,000件登録することができます。
|
| 検索内容 | フィルタの値を指定できます。 |
4. アラート通知機能¶
- セキュリティログにおいて、お客さまが指定した種類のログが含まれた場合に、メールでのアラート通知を行います。
- アラート通知先として、指定できるメールアドレスは最大3件となります。
- セルごとにアラートの発生をチェックし、アラート通知条件に該当するログ1件以上あればメールで通知します。
- 設定可能なアラートは以下のとおりです。
- ログアラート
| アラート種別 | インターバル | インターバル時間当たりの発生件数 | 状態 |
|---|---|---|---|
| ウイルス検出(Alert) | 5分、10分、30分、1時間、2時間、6時間、12時間 | 1~10000000 | 有効/無効 |
| ウイルス検出(Block) | 5分、10分、30分、1時間、2時間、6時間、12時間 | 1~10000000 | 有効/無効 |
| スパイウェア検出(Alert) | 5分、10分、30分、1時間、2時間、6時間、12時間 | 1~10000000 | 有効/無効 |
| スパイウェア検出(Block) | 5分、10分、30分、1時間、2時間、6時間、12時間 | 1~10000000 | 有効/無効 |
| IPS/IDS検知(Alert) | 5分、10分、30分、1時間、2時間、6時間、12時間 | 1~10000000 | 有効/無効 |
| IPS/IDS検知(Block) | 5分、10分、30分、1時間、2時間、6時間、12時間 | 1~10000000 | 有効/無効 |
| FWブロック検出 | 5分、10分、30分、1時間、2時間、6時間、12時間 | 1~10000000 | 有効/無効 |
| URLフィルタ違反(Alert) | 5分、10分、30分、1時間、2時間、6時間、12時間 | 1~10000000 | 有効/無効 |
| URLフィルタ違反(Block) | 5分、10分、30分、1時間、2時間、6時間、12時間 | 1~10000000 | 有効/無効 |
| URLフィルタ違反(Block Continue) | 5分、10分、30分、1時間、2時間、6時間、12時間 | 1~10000000 | 有効/無効 |
| URLフィルタ違反(Continue) | 5分、10分、30分、1時間、2時間、6時間、12時間 | 1~10000000 | 有効/無効 |
- メトリクスアラート
| アラート種別 | 通知閾値 | 状態 |
|---|---|---|
| Incoming Traffic(bps) | 1~99(%)の自然数で指定 | 有効/無効 |
| Outgoing Traffic(bps) | 1~99(%)の自然数で指定 | 有効/無効 |
| 総セッション数 | 1~99(%)の自然数で指定 | 有効/無効 |
| SSL/TLS復号セッション数 | 1~99(%)の自然数で指定 | 有効/無効 |
| CPU使用率(%) | 1~99(%)の自然数で指定 | 有効/無効 |
セキュリティログ外部転送機能¶
| 項番 | 機能 | 機能概要 |
|---|---|---|
| 1 | セキュリティログ外部転送機能 | お客さまのセキュリティログを外部に転送する機能を提供します。 |
1. セキュリティログ外部転送機能¶
- 各セルからお客さま指定のsyslogサーバに対して、セルに接続するFlexible InterConnectを経由して、syslogプロトコルでログを転送します。
- 設定できる情報の詳細は以下のとおりです。
| 参照可能なパラメータ | 詳細 |
|---|---|
| 宛先IP | ログ転送宛先サーバのアドレスを設定することが可能です。 |
| 宛先Port | ログ転送宛先サーバのポート番号を設定することが可能です。 |
| プロトコル | ログ転送する際のプロトコルをtcpまたはudpから選択可能です。 |
| ログフォーマット | ログ転送する際のフォーマットをbsdまたはietfから選択可能です。 |
| ログメッセージフォーマット | ログ転送する際のメッセージフォーマットをcsvまたはcefから選択可能です。 |
| ログタイプ |
|
注釈
- 転送されるログは、セキュリティポリシーで「ログあり」を設定したログのみとなります。
- 転送先の宛先は、最大2つ指定することが可能です。
- セルが高負荷な状態や、セルとsyslogサーバの間のネットワークが輻輳した場合、転送するセキュリティログが欠損する可能性があります。
セルバージョン変更機能¶
| 項番 | 機能 | 機能概要 |
|---|---|---|
| 1 | セルバージョン変更機能 | お客さまのセルのバージョンを変更する機能を提供します。 |
1. セルバージョン変更機能¶
- セルグループで利用するセルバージョンを変更することができます。
- セルバージョンの変更では、まず、セルグループで利用するバージョン変更先を設定し、次に各セルのバージョン変更の操作を行います。
- 設定できる情報の詳細は以下のとおりです。
| 設定可能なパラメータ | 詳細 |
|---|---|
| セルグループID | バージョン変更対象のセルグループIDを指定することが可能です。 |
| バージョン変更先 | 変更先のセルバージョンを設定することが可能です。(利用可能なバージョンがプルダウンで表示されます) |
注釈
- セルのバージョン変更操作の開始から終了まで(おおむね40分)はそのセルを利用することはできません。バージョン変更の操作を開始していないその他のセルを経由した通信をご利用ください。
- セルのバージョン変更はお客様がGUIを操作して実施することができます。
- セキュリティ上重大な問題がない限り、弊社からのバージョンアップ操作は実施いたしません。
セルプラン変更機能¶
| 項番 | 機能 | 機能概要 |
|---|---|---|
| 1 | セルプラン変更機能 | お客さまのセルのプランを変更する機能を提供します。 |
1. セルプラン変更機能¶
- 各セルのプランを変更することができます。
- 設定できる情報の詳細は以下のとおりです。
| 設定可能なパラメータ | 詳細 |
|---|---|
| セルID | プラン変更対象のセルIDを指定することが可能です。 |
| 変更後のプラン | 変更先のプランを設定することが可能です。(利用可能なプランがプルダウンで表示されます) |
注釈
セルのプラン変更工程(おおむね60分~90分)の作業時間は通信断になりますのでご注意ください。プラン変更の操作を開始していないその他のセルを経由した通信をご利用ください。
セルのプラン変更はお客様がGUIを操作して実施することができます。
Smallセル(ベストエフォート)からプラン変更した場合、セルに設定されるグローバルIPが一つ増えます。(既存のグローバルIPはそのまま使用いたします)
プランを変更した月の請求金額は、料金が高いプランで計算いたしますのでご注意ください。
- プラン変更時にはFICコネクションを削除する必要があるため、FICコネクションのF番が変わります。FICコネクションの月額上限値に達している状態でFICコネクションを作り直した場合、FICコネクションの月額上限値がリセットされるため、請求金額が多くなる場合がございます。詳しくは FICの料金仕様 をご参照ください。
AD連携機能¶
| 機能 | 機能概要 |
|---|---|
| Active Directory連携機能 | お客さまのオンプレミス環境のActive Directoryサーバーと連携した認証機能を提供します。
Active Directoryと連携することで、Active Directoryサーバー側で定義したセキュリティーグループごとにセキュリティポリシールールを適用することができます。
|
| Microsoft Entra ID連携機能 | お客さまのMicrosoft Entra IDと連携した認証機能を提供します。
Microsoft Entra IDと連携することで、シングルサインオン(SSO)によるユーザー認証機能とセキュリティログへのエンドユーザー情報(ID)の表示を実現できます。
|
| Captive Portal認証機能 | Captive Portalを用いた認証機能を提供します。
Captive Portalと連携することで、トラフィックログ(セキュリティログのログタイプ(トラフィック))を発生させたユーザーを識別することができます。
|
| User-ID Agent機能 | User-ID Agentを用いた認証機能を提供します。
User-ID Agentと連携するとことで、トラフィックログ(セキュリティログのログタイプ(トラフィック))を発生させたユーザーを識別することができます。
User-ID Agentサーバーはお客さまで用意していただく必要があります。
|
1. Active Directory連携機能¶
- セルとお客様のActive Directoryサーバー間で認証連携することができます。
- Active Directory連携機能で設定できる項目は以下のとおりです。
| 項目 | 説明 |
| ドメイン名 | お客さまのActive Directoryで設定したドメイン名。 |
| ベースDN | 連携先ドメイン情報。 |
| バインドDN | AD連携用ユーザ名。 |
| パスワード | AD連携用パスワード。 |
| セキュリティグループ | セキュリティポリシー設定で指定するセキュリティグループ名。 |
| Active Directoryサーバー | 連携するお客さまActive Directoryサーバー情報。 |
| IPアドレス | お客さまのActive Directoryサーバーに設定したIPアドレス。 |
| ポート番号 | お客さまのActive Directoryサーバーの待受ポート番号。 |
注釈
- 連携するActive Directoryサーバーはお客さまで用意していただく必要があります。
- FIC Routerから連携するActive Directoryサーバーへの経路を用意していただく必要があります。
- Active Directoryの設定方法については本サービスの対象外になります。
- Active Directoryの保守運用については本サービスの対象外になります。
2. Microsoft Entra ID連携機能¶
- セルとお客様のMicrosoft Entra ID間で認証連携することができます。
- Microsoft Entra ID連携機能で設定できる項目は以下のとおりです。
| 項目 | 説明 |
| フェデレーションメタデータXML | Azure Portalで生成したSAML連携用メタファイル。 |
注釈
- Azure環境はお客さまで用意していただく必要があります。
- Microsoft Entra ID連携機能をご利用される場合は、Captive Portal認証機能が有効化されます。
- Azureの設定方法については本サービスの対象外になります。
- Azureの保守運用については本サービスの対象外になります。
3. Captive Portal認証機能¶
- ブラウザを利用したWeb通信に対して認証を行うための機能です。ブラウザを利用でない端末(サーバやIoT機器など)はCaptive Portal認証をご利用できません。(Captive Portal認証除外の設定をすることで認証せずに通信することも可能です)
- Captive Portal認証機能を利用するためには、Active Directory連携機能の設定を行う必要があります。Active Directoryサーバーに登録されたID/PWを用いてCaptive Portalで認証を行います。
Captive Portal認証機能で設定できる項目は以下のとおりです。
| 項目 | 説明 |
| Captive Portalの利用 | Captive Portal機能を利用するか否か。 |
| タイマー | 通信が行われている状態で再認証されるまでの時間。 |
| アイドルタイマー | 通信が行われていない状態で認証情報がクリアされるまでの時間。 |
| ログ | Captive Portalのログを出力するか否か。 |
| sAMAccountNameによる認証の許可 | Captive Portal認証のUserとしてsAMAccountNameを利用するか否か。 |
注釈
- sAMAccountNameによる認証を「ON(許可する)」に設定すると、Captive Portal認証のUserとして、UserPrincipleName(@を含む形式)を利用することができます。
- 複数のADドメインを利用する場合、sAMAccoutNameの利用を許可すると意図しないADドメインで認証される可能性がありますのでご注意ください。
- 認証ログの保存期間は最大40日になります。
- Captive Portalを利用する場合、SSL復号除外設定が機能しなくなります。
4. User-ID Agent機能¶
- User-ID Agent連携機能を利用することでActive Directoryサーバーで認証した端末のIPアドレスとユーザー情報の紐付け情報を取得できます。
- User-ID Agent機能で設定できる項目は以下のとおりです。
| 項目 | 説明 |
|---|---|
| IPアドレス | 連携したいUser-ID AgentサーバーのIPアドレス。 |
| ポート番号 | 連携したいUser-ID Agentサーバーのポート番号。 |
注釈
- User-ID Agentはお客さまで運用していただく必要があります。
- Windows版User-ID Agentのインストーラは弊社営業から配布いたします。
- FIC Routerから連携するUser-ID Agentサーバーへの経路を用意していただく必要があります。
- User-ID Agentの設定方法については本サービスの対象外になります。(マニュアルは弊社営業から配布いたします)
- User-ID Agentの保守運用については本サービスの対象外になります。
- User-IDログの保存期間は最大40日になります。
デフォルトルート配信機能¶
| 機能 | 機能概要 |
|---|---|
| デフォルトルート配信機能 | お客様のFICルーターにデフォルトルートを配信する機能を提供します。
|
| リゾルバDNS機能 | リゾルバDNS機能を提供します。
|
1. デフォルトルート配信機能¶
- セルグループに含まれる各セルでデフォルトルート配信のON/OFFを制御できます。
- 冗長性を担保するためには2セル以上でデフォルトルート配信機能をONにしてください。
- デフォルトルート優先度を設定することで、デフォルトルートを配信するセルの優先度を調整可能です。
- デフォルトルート配信機能で設定できる項目は以下のとおりです。
| 項目 | 説明 |
|---|---|
| デフォルトルート配信設定 | デフォルトルート配信機能を有効化する場合ONを選択します。 |
| デフォルトルート優先度 | デフォルトルート配信設定がONになっているセルが複数存在する場合の優先度設定。
0~255の範囲で設定可能。数値が小さいセルから優先的にデフォルトルートが配信される。
|
注釈
- デフォルトルート配信セルを手動で切り替える場合は、デフォルトルート優先度を変更することで任意のセルに切り替え可能です。(切り替えには約1分ほど時間を要する場合がございます)
- FICのBGPフィルタにてデフォルトルートをフィルタリングされる場合、本機能をご利用いただくことはできません。(本機能をご利用される場合は、FICルーター側でデフォルトルートの経路を受信する必要があります)
- FIC-GWより先の範囲で故障が発生した場合、優先度に従ったデフォルトルートを配信するセルの切り替えは自動で行われません。この場合、お客さまにてデフォルトルート配信設定、または優先度を変更し、故障影響を受けているセルからデフォルトルートを配信しないように設定してください。
2. リゾルバDNS¶
本DNSサーバーを設定することによりC&Cサーバーなどの不正なアクセス先への通信を自動的にブロックします
マルウェア感染などによる、インターネットバンキングの不正送金や個人情報流出などの被害を防止し、より安全・安心にインターネット通信をご利用いただけます
図1.5.1 DNSサーバのIPアドレス(C&Cサーバ遮断あり)
注釈
- C&Cサーバー(Command and Control server):悪意のある第三者が管理し、感染端末などに遠隔指令を出すサーバー
C&Cサーバーへのブロックを希望しない場合は、DNSサーバのIPアドレス情報を以下のとおりに設定してください
図1.5.2 DNSサーバのIPアドレス(C&Cサーバ遮断なし)
注釈
- 本サービスで提供するDNSサーバーの利用想定台数は1000台以下となります
1.6. セルバージョン¶
バージョンリスト¶
- FSGでは、最新版を含めて2バージョンサポートしております。
| バージョン | UTMバージョン | プロキシバージョン | 提供開始日 | 提供終了日 | 備考 |
|---|---|---|---|---|---|
| v6.0 | PA-VM 8.1.19 | ACOS 4.1.4-GR1-P1 | 2021/09/11 | 2022/03/01 | 初期バージョン |
| v7.0 | PA-VM 9.1.10 | ACOS 4.1.4-GR1-P1 | 2022/01/08 | 2023/01/31 | UTM装置のアップデートに伴い安定性が向上いたします |
| v8.0 | PA-VM 9.1.10 | ACOS 5.2.1-P4-SP1 | 2022/09/14 | 2023/12/06 | |
| v9.0 | PA-VM 10.2.4 | ACOS 5.2.1-P4-SP1 | 2023/08/23 | 2024/11/10 | UTM装置のアップデートに伴い安定性が向上いたします |
| v10.0 | PA-VM 10.2.11-h1 | ACOS 5.2.1-P4-SP1 | 2024/10/09 | 未定 | UTM装置のアップデートに伴い安定性が向上いたします |
ライフサイクルポリシー
セルのライフサイクルポリシーは以下のとおりです。
- 基本方針
- 原則、最大2バージョンまで提供いたします。
- 提供バージョンは、バージョンの安定性、利用状況、サポート期間などを考慮し、弊社にて総合的に判断いたします。
- 提供終了方針
- 提供終了後は、カスタマーポータル/APIの故障対応以外のサポートを提供いたしません。
- 新バージョン提供開始通知
- 新バージョンのリリース1か月前にお客様へメールで通知いたします。(ただし、緊急性の高いリリースについてはその限りではありません。)
- バージョン切替方法
- チュートリアル をご参照ください。
- 上記サポート情報を参考にお客様の責任により切替計画をご検討ください。
本情報は、お客さまへの事前通知なく、変更となる可能性がございます。ご了承ください。
1.7. 申込種別と方法¶
- FSGコンソールからお申し込みいただけます。即日、開通/廃止が可能です。
| 申込種別 | 申込方法 | 納期 |
| FSGセルの新設 | FSGコンソール経由で、お客さまご自身の操作によりお申し込みいただけます。 | 即日 |
| FSGセルの廃止 | FSGコンソール経由で、お客さまご自身の操作によりお申し込みいただけます。 | 即日 |
注釈
- 広域負荷分散を行うため、また冗長化を担保するため必ず2つ以上のセルをお申し込みください。
- 同サイズのセルで構成することを推奨しますが、異なるサイズでの構成も可能です。
- 東日本/西日本エリアそれぞれにセルをご用意されることを推奨しますが、東日本のみ、西日本のみでの構成も可能です。ただし、基盤の拠点障害により通信断の可能性があるため、十分にご留意ください。
- セル内部はすべてシングル構成で設計されおります。
- 冗長性を求められるお客様は、2つ以上のセルをご購入いただく必要がございます。
- FSGでは、接続先プロキシの制御をDNSで行なっております。冗長化を実現するためにはお客様環境にDNSを用意していただき、セルグループに設定したFQDNに対して委任していただく必要がございます。
- 複数セル購入された場合、障害が発生したセル以外のセルに自動的に迂回いたします。(同じセルグループに所属するセル間でヘルスチェックを行なっています)
- 本サービスは、Flexibe InterConnect との接続性を必要とするため、Flexible InterConnect サービスの FIC-Router を事前に作成頂く必要がございます。
申込時の注意事項¶
FSGの申込条件は以下となります。
- 本サービスは、1テナントに対し複数のセルグループをご契約頂くことが可能です。1テナントで契約できるセルグループ数は最大8個となります。
- 本サービスは、1セルグループに対し複数セルをご契約頂くことが可能です。1セルグループで契約できるセル数は最大31個となります。
1.8. 制約事項¶
- 本サービスで提供するセルを経由する通信に対してのみセキュリティ機能を提供します。
- お客さまが設定したサイト・アプリケーションに対しての通信はSSL復号を適用しません。(デフォルト設定ではMicrosoft365)
1.12. サービス提供の品質¶
サポート範囲¶
- 「本サービス説明書(機能一覧)」に記載されている機能はサポート対象です。
- なお本サービスの契約後、お客さま自身で設定したパラメータの設定誤り(セキュリティポリシーの設定など)に起因する不具合については、サポート対象外です。
1.13. 運用¶
メンテナンス¶
品質維持を目的とした定期的なメンテナンス工事を実施します。
| メンテナンス内容 | メンテナンスウィンドウ | 工事掲載条件 |
|---|---|---|
| お客さまセルに影響がある場合 | 東エリア(JPEAST)の基盤メンテナンス 火曜日 22:00~6:00
西エリア(JPWEST)の基盤メンテナンス 木曜日 22:00~6:00
東西に影響があるメンテナンス 土曜日 20:00~6:00
|
工事に伴う該当セルの通信断が1分以上の場合 |
| FSGコンソール閲覧・SO処理への影響の場合 | 日本時間 土曜日20:00~翌日曜日6:00 / 火曜日20:00~翌水曜日6:00 | 工事に伴う影響が30分以上の場合 |
- 2週間前までにメールにてご連絡いたします。(※ただし、通信影響のないメンテナンスおよび脆弱性などの緊急を伴う対応の場合には、この限りではございません。)
- 工事連絡メールの通知先の設定は こちら をご参照ください。
- 工事時間の調整はできません。
- FSGは"クラウド/サーバー (旧Enterprise Cloud 2.0)"のメンテナンス影響を受けます。"クラウド/サーバー"のメンテナンスウィンドウは こちら をご参照ください。
故障通知¶
メンテナンスや障害に関わる通知はメールにてお客さまにご連絡いたします。
1.14. SLA¶
本サービスにSLAはございません。