1. Flexible Secure Gateway

1.1. サービス概要

  • Flexible Secure Gateway(以下、FSG)では、データセンターを跨いだ広域負荷分散されたプロキシおよびセキュリティ機能一式をパッケージとして提供します。
  • 本サービスを利用することで、Flexible InterConnect(以下、FIC)を経由し、NTT Comが提供する高品質・高信頼なVPNサービスであるArcstar Universal One(以下、UNO)からのセキュアプロキシ環境を実現できます。
  • オンデマンドによるサービス提供のため、リアルタイムにセキュアプロキシ環境の増減を可能とします。
_images/FSG_overview_01.png

サービスの特長

FSGは、以下の特長を持ったサービスです。

  • インターネット接続、UTM、ロードバランサー、プロキシ、DNS(プロキシホスト名を解決する権威DNS)およびFlexible InterConnectとの接続機能をパッケージとして、定型化された構成(以下、セル)を提供
  • 複数のセルを用意することで、広域負荷分散されたプロキシおよびセキュリティ機能を提供
  • 複数のセルをグループ(以下、セルグループ)として管理し、グループ内で統一管理されたセキュリティポリシーによるインターネットアクセスを提供

_images/FSG_overview_02.png

注釈

セルはグローバルIPアドレスを複数持つことがあります。Webアクセス中にグローバルIPアドレスが切り替わる可能性があります。切り替わる可能性のある場合は以下になります。

  • お客様端末でプロキシFQDNの名前解決をした場合
  • セルから見た送信元IPアドレスが切り替わった場合

用語定義

FSGでは下記のように用語を定義しています。

_images/FSG_word_01.png
用語 概要
セル インターネット接続、UTM、ロードバランサー、プロキシ、DNS(プロキシホスト名を解決する権威DNS)およびFlexible InterConnectとの接続機能のリソース群をパッケージとしたもの。
セルグループ
同じポリシーが適用されるセル群。設定情報は「セルグループ」単位で管理されます。
上図ではセルA、セルBが同じセルグループに属し、同じセキュリティポリシーが適用されます。

リソース配置

FSGでは下記のようにリソース配置されます。

_images/FSG_resource_01.png
  • お客さまが購入したFSGリソースを管理するための単位として「Tenant」を定義しています。1契約に対して複数Tenantを作成可能です。
  • 1つのTenantに、8個のセルグループを作成することが可能です。
  • 1つのセルグループに、31個のセルを作成することが可能です。

1.2. サービスを利用するための前提条件

FSGを利用するにあたり、お客さまにて下記を用意する必要があります。

  • 本サービスは、Flexibe InterConnect との接続性を必要とするため、Flexible InterConnect サービスの FIC-Router を作成する必要があります。
  • 1つのセルにつき/26のアドレスが必要です。(お客様が保有するグローバルIPアドレスの持ち込みも可能)
  • お客さまArcstar Universal One拠点とお客さまFlexible InterConnectとの接続は、お客さまにて実施してください。詳細は、Flexible InterConnect サービスの FIC-Connection Arcstar Universal One を参照ください。

注釈

  • /26の借用アドレスに関して下記は利用不可となります。
    • お客様Arcstar Universal Oneおよび各拠点で利用するアドレスと重複するIPアドレス
    • RFC1918指定のプライベートアドレス以外のIPv4アドレス
    • キャリアシェアードアドレス
    • リンクローカルアドレス
    • マルチキャストアドレス
    • IPv6アドレス

1.3. 利用できる機能一覧

機能一覧

本サービスで利用できる機能は下記のとおりです。これら機能を一式として定型化された構成を提供します。

機能 機能概要
外部接続機能 お客さまArcstar Universal One拠点と接続するためのFlexible InterConnect接続と、インターネットへの接続機能を提供します。
プロキシ機能 お客さまがインターネット接続する際のプロキシ機能を提供します。
ロードバランサー機能 お客さまの通信を最適なセルに振り分けるGSLB機能を提供します。
DNS機能 お客さまが設定したプロキシホスト名の名前解決を行う権威DNSサーバー機能を提供します。
セキュリティ機能 お客さまのインターネット接続する際の各種セキュリティ機能を提供します。
オブジェクト定義機能 FSGの設定で利用できるオブジェクトを定義する機能を提供します。
モニタリング機能 お客さまのセルステータスや統計情報、セキュリティログ、アラート通知機能を提供します。
セキュリティログ外部転送機能 お客さまのセキュリティログを外部に転送する機能を提供します。
セルバージョン変更機能 お客さまのセルのバージョンを変更する機能を提供します。
セルプラン変更機能 お客さまのセルのプランを変更する機能を提供します。
AD連携機能 お客さまのADサーバーと連携した認証機能を提供します。
デフォルトルート配信機能 お客さまのFICルーターにデフォルトルートを配信する機能を提供します。

1.4. 各機能の説明

外部接続機能

項番 機能 機能概要
1 Flexible InterConnect接続機能 Flexible InterConnect サービスにおけるお客さま FIC-Router とFSGセルとの接続を提供します。
2 インターネット接続機能 冗長化された設備で構築されたインターネット接続を提供します。
_images/FSG_gateway_01.png

注釈

  • 1つのセルにつき、Flexible InterConnect接続機能、インターネット接続機能をそれぞれ1つずつ提供します。

1. Flexible InterConnect接続機能

  • Flexible InterConnect サービスにおけるお客さま FIC-Router とお客さまFSGセルとの接続を提供します。
  • 機能の詳細は、Flexible InterConnect サービスの FIC-Connection SDPF クラウド/サーバー を参照ください。
  • 選択可能な情報の詳細は以下のとおりです。
選択可能なパラメータ 詳細
FIC-Router ID お客さまがFIC-Consoleにて作成した同一エリアのFIC-RouterのIDが自動表示されます。必要なFIC-RouterのIDを選択してください。
FIC Routing Group ID FIC-RouterのRouting Groupをgroup_1~8までのどれかを選択可能。

注釈

  • FSGのFIC-Connectionは、Flexible InterConnect サービスのFIC-Consoleにて作成することはできません。必ず、FSGコンソールから作成する必要があります。
  • FSGコンソールにてFIC-Connectionを作成すると、Flexible InterConnect サービスのFIC-ConsoleにてFIC-Connection SDPF クラウド/サーバーリソース(コネクション名:FSG_connection_任意の数字羅列)が生成されます。
  • FIC-Connection SDPF クラウド/サーバーリソースが生成された際、Flexible InterConnect サービスにて、FIC-Connection SDPF クラウド/サーバーリソース分の料金が請求されます。料金は、 こちら を参照してください。
  • FSGセルと接続されたFIC-Connection ECL2.0リソース(コネクション名:FSG_connection_任意の数字羅列)を、FIC-Consoleにて削除しないでください。削除した場合、FSGサービスの利用が出来なくなります。

2. インターネット接続機能

  • お客さまFSGセルからインターネットに接続するための機能を提供します。
  • インターネットに接続するためのグローバルIPを提供します。提供するグローバルIP数は、プラン に応じて異なります。

プロキシ機能

項番 機能 機能概要
1 プロキシ機能 お客さまがインターネット接続する際のプロキシ機能を提供します。

1. プロキシ機能

  • お客さまArcstar Universal One拠点からインターネットへの通信をプロキシする機能を提供します。
_images/FSG_proxy_01.png

注釈

  • プロキシ機器はOCNのDNSサーバーを参照しています。(OCNのDNSサーバーに障害が発生した場合、FSGも影響を受けます)
  • プロキシ機器では、UTMで端末の識別をするために送信元IPアドレスをアクセス元IPアドレスから変更せずにUTMへ送信します。

ロードバランサー機能

項番 機能 機能概要
1 優先セル設定機能 お客さまの通信を最適なセルに振り分けるGSLB機能を提供します。

1. 優先セル設定機能

  • お客さまにて、通信を優先的に流したいセルを設定する機能を提供します。
  • 設定できる情報の詳細は以下のとおりです。
参照可能なパラメータ 詳細
名前 優先セル設定を行う名前を設定することが可能です。
セルID HTTP/HTTPS通信を優先的に流したいセルIDを選択することが可能です。
送信元IPアドレス 優先すべき送信元IPアドレスを設定することが可能です。
_images/FSG_LB_01.png

注釈

  • 優先セル設定を行わない場合は、ラウンドロビンにてセルを選択することになります。
  • セルの優先度制御は、セルが提供するDNSサーバーへの送信元IPアドレスによって決まります。プロキシホスト名の名前解決のために社内DNSを利用する場合、端末によってセルの優先度を変更するためには、端末が参照する社内DNSを上図のように複数準備し、セルのDNSサーバーへ問い合わせを行う社内DNSのIPアドレスを分ける必要があります。

DNS機能

項番 機能 機能概要
1 権威DNS機能 お客さまが設定したプロキシホスト名の名前解決を行う権威DNSサーバー機能を提供します。

1. 権威DNS機能

  • お客さまが設定したプロキシホスト名の名前解決を行います。
  • 設定できる情報の詳細は以下のとおりです。
設定可能なパラメータ 詳細
DNSドメイン名 FSGのセルグループで利用するDNSのドメイン名を設定することが可能です。
プロキシホスト名 GSLBで用いるプロキシホスト名を設定することが可能です。
TTL値 GSLBで用いるプロキシホスト名(Aレコード)のTTLを10-86400秒の範囲で設定することが可能です。(デフォルト10秒)
_images/FSG_DNS_01.png

  • 上記構成図におけるDNSの動作は下記のとおりです。
  1. お客さま端末は、お客さま内部DNSサーバーへ、プロキシサーバー(プロキシホストのFQDN)のAレコードを問い合わせ
  2. お客さま内部DNSサーバーは、セルの権威DNSサーバーへ、プロキシサーバー(プロキシホストのFQDN)のAレコードを問い合わせ
  3. セルの権威DNSサーバーは、広域負荷分散機能で選定したプロキシサーバー(プロキシホストのFQDN)のIPアドレスをAレコードとして応答
  4. お客さま内部DNSサーバーは、お客さま端末へ、セルの権威DNSサーバーから応答のあったプロキシサーバーのAレコードを応答
  5. お客さま端末は、お客さま内部DNSサーバーから応答のあったAレコードを、プロキシサーバー(プロキシホストのFQDN)のIPアドレスとして通信を開始。

注釈

  • 上図の例の場合、プロキシサーバーのFQDNはproxy.fsg.example.comとなります。このFQDNをお客さま端末に設定する必要があります。
  • プロキシホスト名のAレコードのデフォルトTTLは10秒となります。また、プロキシサーバーのポート番号は8080となります。
  • お客さま社内DNSサーバー、お客さま端末のDNSキャッシュの保持の方法により、必ずしも10秒で切り替わる訳ではありません。お客さま社内DNSサーバー・お客さま端末の仕様に準じます。

セルが提供するDNSサーバーのIPアドレス

各セルのDNSサーバーのIPアドレスは、お客様がセルに割り当てたIPアドレスブロック(/26)の先頭アドレスに38を加えたアドレスとなります。

  • /26がx.x.x.0/26 (IPアドレス範囲 x.x.x.0-63)の場合、x.x.x.38
  • /26がx.x.x.64/26 (IPアドレス範囲 x.x.x.64-127)の場合、x.x.x.102
  • /26がx.x.x.128/26 (IPアドレス範囲 x.x.x.128-191)の場合、x.x.x.166
  • /26がx.x.x.192/26 (IPアドレス範囲 x.x.x.192-255)の場合、x.x.x.230

セキュリティ機能

項番 機能 機能概要
1 FireWall機能 IPアドレスおよびアプリケーションによりセッションを識別し、セッション個々に許可/拒否を設定可能。
2 IPS/IDS機能 脆弱性を利用した攻撃を検知、防御します。通信フレームのシグネチャから独自のルールで重要度を判定し、重要度ごとにアクションを設定可能。
3 アンチウイルス機能 通信をスキャンし、シグネチャと一致する場合はActionに定義された処理を行うことでウイルスを発見、感染を防御可能。
4 アンチスパイウェア機能 通信をスキャンし、シグネチャと一致する場合はActionに定義された処理を行うことでスパイウェアを発見し、感染を防御可能。
5 URLフィルタリング機能 特定のWebサイト・特定カテゴリのWebサイトへの通信を制御可能。
6 ファイルブロッキング機能 ファイル種別を識別し、種別ごとに通信を制御可能。
7 サンドボックス機能 通信をスキャンし、シグネチャ定義のないファイルをFSGから切り離された分析基盤へ転送し解析することが可能。
8 SSL/TLS復号機能
暗号化通信の通信スキャンのため通信を一時的に復号します。
デフォルト設定では、Microsoft365通信のSSL/TLS復号を実施いたしません。(設定を変更することでMicrosoft365通信に対してSSL/TLS復号することも可能です)
特定のサイトに対してSSL/TLS復号対象外に設定することも可能です。

1. FireWall機能

  • FireWall機能では、送信元IPアドレス、送信先IPアドレス、アプリケーション、サービスに基づき通信の許可または遮断を行い、トラフィックログに記録します。
  • 設定できる情報の詳細は以下のとおりです。
設定可能なパラメータ 詳細
名前 セキュリティポリシールールの名前
送信元IPリスト 通信の送信元IPアドレスリスト
セキュリティグループ セキュリティポリシールールを適用するセキュリティグループ
宛先IPリスト 通信の宛先IPアドレスリスト
宛先ポートリスト
通信の宛先ポートリスト
1-65534の範囲または any指定可能(anyを指定した場合に通信可能なポート範囲は1-665534)
※ 65535ポートへの通信不可
カスタムURLカテゴリ/URLカテゴリリスト
宛先URLリスト
お客様が登録されたカスタムURLカテゴリリストとサービスとして事前に定義されたURLカテゴリリストから選択可能
アプリケーションリスト any(デフォルト) のみ選択可能
アクション ポリシーに合致する通信に対する動作を allow / deny から選択
ログ抑制 セキュリティポリシールールのログの取得について ON(ログを取得しない) / OFF(ログを取得する) から選択

注釈

  • 構築初期はお客様用ポリシールールが設定されていないため、すべてのインターネット向けお客様通信が遮断されます。必ずallowのポリシーを追加してください。
  • 上記セキュリティルールは、お客さまArcstar Universal One拠点→インターネット向けの通信に適用されます。
  • インターネット→お客さまArcstar Universal One拠点向けの通信はすべて拒否します。

2. IPS/IDS機能

  • IPS/IDSでは、通信フレームのシグネチャから独自のルールで重要度を判定し、重要度ごとにアクションを設定します。
種別 項目
重要度種別 Critical / High / Medium / Low / Info
Action種別
  • default : reset-bothまたはalertを独自ルールで振り分けます。
  • reset-both : client/server双方へTCP resetを送信し、セッションをリセットします。
  • alert : ログを残して通信を許可します。
  • allow : そのまま通信を通過します。

  • 事前に定義された下記のプロファイルを適用します。
  • プロファイルのデフォルト設定は「IPS中」です。IPS/IDSの無効化も可能です。
IPS/IDSプロファイル Critial High Medium Low Info
IPS高 reset-both reset-both reset-both reset-both alert
IPS中(推奨) reset-both reset-both reset-both alert allow
IPS低 reset-both reset-both alert allow allow
IDS高 alert alert alert alert alert
IDS中 alert alert alert alert allow
IDS低 alert alert alert allow allow

3. アンチウイルス機能

  • シグネチャと一致する通信が発生した場合はActionに定義された処理を行います。
  • また、一般定義されたシグネチャの他に、サンドボックス機能により作成されたシグネチャを基にした処理ができます。
  • プロファイルは、「ブロック(推奨)」「ログのみ」「無効」から選択することができます。
プロファイル Action
ブロック(推奨) reset-both
ログのみ alert
無効  

4. アンチスパイウェア機能

  • シグネチャと一致する通信が発生した場合にActionに定義された処理を行います。
種別 項目
重要度種別 Critical / High / Medium / Low / Info
Action種別
  • default : 製品定義に従って処理を行います。
  • reset-both : client/server双方へTCP resetを送信し、セッションをリセットします。
  • alert : ログを残します。
  • allow : そのまま通過します。
  • 事前に定義された下記のプロファイルを適用します。
  • プロファイルのデフォルト設定は「中」です。アンチスパイウェア機能の無効化も可能です。
プロファイル Critial High Medium Low Info
reset-both reset-both reset-both reset-both alert
中(推奨) reset-both reset-both reset-both alert allow
reset-both reset-both alert allow allow
ログのみ alert alert alert alert alert

5. URLフィルタリング機能


6. ファイルブロッキング機能

  • ファイルブロッキング機能により、FSGを特定のファイルが通過した場合のアクションとして、ブロックやアラートのアクションが設定できます。
Action種別 説明
alert ログを残します。
block ブロックします。
continue ファイルの処理をユーザーが選択するように画面を遷移します。(ログも残します)

  • 下記のプロファイルから選択可能です。ファイルブロッキング機能の無効化も可能です。
プロファイル ファイル種別 Action
デフォルト設定(ログのみ) すべて alert
個別設定(高) 7z,bat,cab,chm,class,cpl,dll,exe,flash,hlp,hta,msi,Multi-Level-Encoding,ocx,PE,plf,rar,scr,tar,torrent,vbe,ws block
encrypted-rar,encrypted-zip continue
alert
個別設定(低) 7z,bat,chm,class,cpl,dll,exe,hlp,hta,jar,ocx,PE,plf,rar,scr,torrent,vbe,wsf block
encrypted-rar,encrypted-zip continue
alert

7. サンドボックス機能

  • FSGを通過するファイルをクラウド上に展開し、ファイルのふるまいを検査します。
  • 悪性のファイルと診断されたもの(製品ベンダーにて一元管理)に関しては、サンドボックスシグネチャとしてアンチウィルス機能で処理されます。
  • 下記のプロファイルから選択可能です。
  • ファイルのアップロード/ダウンロードの制御方向の設定ができます。サンドボックス機能の無効化も可能です。
プロファイル 制御方向
双方向(推奨) アップロード/ダウンロード双方
ダウンロードのみ ダウンロード方向のみ
  • セルバージョン v6.0の検査ファイルサイズ上限
File Type Size Limit
pe(MB) 10
apk(MB) 10
pdf(KB) 500
ms-office(KB) 500
jar(MB) 1
flash(MB) 5
MacOSX(MB) 1
archive(MB) 10
linux(MB) 2
script(KB) 20
  • セルバージョン v7.0の検査ファイルサイズ上限
File Type Size Limit
pe(MB) 16
apk(MB) 10
pdf(KB) 3072
ms-office(KB) 16384
jar(MB) 5
flash(MB) 5
MacOSX(MB) 10
archive(MB) 50
linux(MB) 50
script(KB) 20

注釈

  • 検査するファイルのサイズは上記表を参照ください。
  • これを超えるファイルは検査対象外となります。
  • ファイルサイズの変更はできません。

8. SSL/TLS復号機能

  • 送信元IPアドレス、宛先URL、URLカテゴリごと(SSL/TLS復号除外ルール)にSSL/TLS復号除外するサイトを定義できます。
  • デフォルトではMicrosoft365以外の通信をすべてSSL/TLS復号します。(設定を変更することでMicrosoft365通信もSSL/TLS復号可能です)
  • 除外ルールは最大100行定義できます。
  • 除外ルールのパラメータは表をご参照ください。
設定パラメータ
送信元IPアドレス
  • IPアドレス/Netmaskを複数設定可能(例:10.0.0.0/24)
  • any
宛先URL
  • URLを複数設定可能(例:www.ntt.com)
  • any
宛先URLカテゴリ
  • URLカテゴリを複数設定可能(例:travel)
  • any
  • URLカテゴリのリストは こちら のURLから確認できます。
  • 除外ルールは上から順に評価されます。そのため、前述のルールが後述のルールを包含する場合、後述のルールは適用されませんのでご注意ください。
  • 本機能はお客様Arcstar Universal One ⇒ インターネット方向の通信に対して、フォワードプロキシとして動作します(アウトバウンドSSL復号)。
  • 証明書がお客様端末に適切にインストールされていない場合、クライアントブラウザーは警告画面を受け取ることになります。
  • 証明書はセルグループ作成後、FSGコンソールにてダウンロード可能です。
  • デフォルト設定では、SSL/TLS復号セッションの上限を超えた場合は、SSL/TLS復号処理をスキップしてパケットを転送します。個別設定としてブロックに設定することも可能です。

注釈

  • 高負荷状態においては、SSL/TLS復号セッションの上限を超えた場合のアクションをブロックに設定した場合でもSSL/TLS復号処理をスキップしてパケットを転送する場合があります。

オブジェクト定義機能

項番 機能 機能概要
1 カスタムURLカテゴリ機能 URLリストに対して、お客さまで任意のカスタムURLカテゴリを定義する機能。
2 URLフィルタリングプロファイル機能
URLカテゴリ(カスタムURLカテゴリも含む)ごとに通信を制御(Allow,Alert,Continue,Block)する設定を定義する機能。
定義したURLフィルタリングプロファイルは、セキュリティポリシールールで参照することで機能します。

1. カスタムURLカテゴリ機能

  • カスタムURLカテゴリ機能では、URLのリストに対して内部で利用可能なカスタムURLカテゴリを登録することができます。
  • 設定できる情報の詳細は以下のとおりです。
設定可能なパラメータ 詳細
名前
カスタムURLカテゴリ設定の名前。
(本設定はセキュリティポリシーやSSL復号除外などの設定で利用するため、わかりやすい名前を付けることをお勧めいたします)
URLリスト
カスタムURLリストとして取り扱うURLを登録できます。
1つのカスタムURLカテゴリに最大200件のURLを登録可能です。

注釈

  • カスタムURLカテゴリは1セルグループに最大100件登録可能です。
  • URLの最大文字数は255文字です。
  • URLに利用可能な文字は、半角英数字と半角記号 - _ . / ? & = ; + * ^ ! % ~ です。
  • URLに日本語を含む場合は、URLエンコードしたものを入力してください。
  • URLリストには example.com:443 のようにポート番号を含むURLを記載することはできません。:(コロン)以下は省略した形で入力してください。
  • URLは、FQDNまたはIPアドレスの形式で指定することができます。
  • IPアドレス形式の指定は、名前解決を行わずにIPアドレスでサイトアクセスした場合にのみ機能します。ブラウザーのアドレスバーにIPアドレス形式でURLを入力した場合などがこれに該当します。
  • FQDN指定では、ワイルドカードとして、'*'(アスタリスク)および'^'(キャレット)を使用できます。
  • ワイルドカードは、FQDNおよびパスにおける区切り文字('.'または'/')で挟まれた文字列を表します。
  • '*'は区切り文字で連結された1つまたは複数の文字列、'^'は1つの文字列にマッチします。(sub1.sub2.sub3.comというURLは、sub1.*.comにマッチしますが、sub1.^.comにはマッチしません。)'*'を連続して利用することはできません。
  • 指定可能な例:www.ntt.com、www.ntt.com/about-us、www.*.com、www.ntt.com/*、www.^.com、203.0.113.1、203.0.113.1/test
  • 指定できない例(エラーになります):www.*.*.com、**/about-us、www.ntt*.com

2. URLフィルタリングプロファイル機能

  • URLフィルタリングプロファイル機能では、URLカテゴリごとのアクションを登録できます。
  • お客さまが登録したURLフィルタリングプロファイルは、セキュリティポリシールールで使用することができます。
  • URLフィルタリングプロファイルは最大100設定できます。
設定可能なパラメータ 詳細
名前
URLフィルタリングプロファイルの名前
カスタムURLカテゴリリスト
お客様が定義したカスタムURLカテゴリに対してアクションを選択することができます。
アクションは、無効,Allow,Alert,Continue,Blockから選択可能です。
お客様が定義した全カスタムURLカテゴリに対してアクションを設定する必要があります。(デフォルトは無効)
URLカテゴリリスト
FSGサービスが定義したURLカテゴリに対してアクションを選択することができます。
アクションは、Allow,Alert,Continue,Blockから選択可能です。
デフォルト設定として、弊社が推奨するアクションが選択されています。お客様の運用ポリシーに従って、適時修正してください。

注釈

  • カスタムURLカテゴリ間の優先順位はアクションに依存します。
    無効 < Allow < Alert < Continue < Block
  • カスタムURLカテゴリで設定したアクションはURLカテゴリで設定したアクションよりも優先されます。
    URLカテゴリ < カスタムURLカテゴリ

  • サービスで定義しているURLフィルタリングプロファイルの推奨設定(推奨プロファイル)の内容は下記のとおりです。
プロファイル 説明
デフォルト設定(プロファイル名recommended)
  • 全URLカテゴリの中でセキュリティおよび業務に関わる推奨カテゴリに属するWebサイトへの通信をブロックします。
  • 「コマンドアンドコントロール(C&C)」「パークドメイン」「ピアツーピア」「プロキシ回避と匿名プロキシ」「ドラッグ」「アダルト」「ギャンブル」「ハッキング」「マルウェア」「フィッシング」「疑わしいサイト」「兵器」「ランサムウェア」をブロックします。
  • 上記以外のカテゴリはalertのアクションを実行します。
個別設定 個別に各カテゴリのアクションが指定可能です。

モニタリング機能

項番 機能 機能概要
1 セルステータス表示機能 セルの提供状態と他セルのGSLB状態の情報を提供。
2 セルメトリクス表示機能 セルの稼働状態として、5種類のメトリクス値の推移を時系列データで提供。
3 セキュリティログ機能 UTMで取得する5種類のセキュリティログを提供。
4 アラート通知機能 UTMにおいてユーザーが指定した種類のセキュリティログが含まれた場合、メールでアラート通知する機能を提供。

注釈

  • ネットワークのメンテナンスおよび障害発生時にはログ情報が保存されない場合がございます。

1. セルステータス表示機能

  • セルのサービス提供状態と、GSLBの機能で取得する他セルの状態について、最新の情報を提供します。
  • 表示できる情報の詳細は以下のとおりです。

・セル提供状態

セル提供状態 意味 状態詳細
UP セルが機能している Proxyを介したInternet上のあるWebサーバーへのアクセスとProxyホストのDNSによる名前解決が、どちらも正常に動作しており、サービス提供可能状態を示します。
DOWN セルが機能していない Proxyを介したInternet上のあるWebサーバーへのアクセスとProxyホストのDNSによる名前解決の、いずれかが動作しておらず、サービス提供不可状態を示します。

・GSLB状態

提供状態 意味
All UP そのセルからみて、そのセル自身を含むすべてのセルがUPしている。
PARTIALLY DOWN そのセルからみて、そのセル自身を含む一部のセルがDOWNしている。
ALL DOWN そのセルからみて、そのセル自身を含むすべてのセルがDOWNしている。

注釈

  • 『セル提供状態』『GSLB状態』ともに、自動更新されないため、GUIブラウザー右上の「更新」ボタンにより最新の情報が表示されます。

2. セルメトリクス表示機能

  • お客さまがセルの増設や減設を判断するために、セルごとにUTMの処理負荷に関わるメトリクス情報を時系列データとして提供します。
  • グラフとして表示可能な期間は最大1か月となります。(指定できる対象期間は、6か月前から現在まで)
  • 時刻は、指定、表示ともすべてJSTとなります。
  • 表示できる情報の詳細は以下のとおりです。

メトリクス種別 意味
Incoming Traffic (bps) Internetからセルへの内向きトラフィックの5分間平均量。単位はbps (bit per sec)
Outgoing Traffic (bps) セルからInternetへの外向きトラフィックの5分間平均量。単位はbps (bit per sec)
総セッション数 ポーリングしたタイミングでの総セッション数。ポーリング間隔は5分。
SSL/TLS復号セッション数 ポーリングしたタイミングでのSSL/TLSセッション数。ポーリング間隔は5分。
CPU使用率 (%) ポーリングしたタイミングでのUTMの1分間平均CPU使用率。ポーリング間隔は5分。

3. セキュリティログ機能

  • UTMで取得する5種類のセキュリティログを提供します。
  • セルグループに含まれるすべてのセルのログをまとめて表示します。
  • 一度の検索で表示可能な期間は、最大1週間となります。
  • 表示できる情報の詳細は以下のとおりです。

ログ種別 意味 指定可能な期間
Traffic トラフィックログ 6か月前から現在まで
Threat 脅威ログ(ウィルス、スパイウェア、脆弱性) 6か月前から現在まで
URL Filter URLフィルタリングログ 6か月前から現在まで
WildFire WildFire送信ログ 6か月前から現在まで
DataFiltering データフィルタリングログ 6か月前から現在まで
User-IDログ IPアドレスとユーザー名のマッピングログ 40日前から現在まで
認証ログ Captive Portalを用いたユーザー認証のログ 40日前から現在まで

  • セキュリティログを確認する際には以下の項目でフィルタリングすることができます。
ログ検索項目
項目 説明
対象期間(JST)
表示するログの期間をJSTで指定できます。
検索タイプ 完全一致、部分一致、正規表現から選択可能です。
詳細条件
フィルター条件を最大5,000件登録することができます。
検索内容 フィルタの値を指定できます。

4. アラート通知機能

  • セキュリティログにおいて、お客さまが指定した種類のログが含まれた場合に、メールでのアラート通知を行います。
  • アラート通知先として、指定できるメールアドレスは最大3件となります。
  • 設定可能なアラートは以下のとおりです。

  • ログアラート
アラート種別 インターバル インターバル時間当たりの発生件数 状態
ウイルス検出(Alert) 5分、10分、30分、1時間、2時間、6時間、12時間 1~10000000 有効/無効
ウイルス検出(Block) 5分、10分、30分、1時間、2時間、6時間、12時間 1~10000000 有効/無効
スパイウェア検出(Alert) 5分、10分、30分、1時間、2時間、6時間、12時間 1~10000000 有効/無効
スパイウェア検出(Block) 5分、10分、30分、1時間、2時間、6時間、12時間 1~10000000 有効/無効
IPS/IDS検知(Alert) 5分、10分、30分、1時間、2時間、6時間、12時間 1~10000000 有効/無効
IPS/IDS検知(Block) 5分、10分、30分、1時間、2時間、6時間、12時間 1~10000000 有効/無効
FWブロック検出 5分、10分、30分、1時間、2時間、6時間、12時間 1~10000000 有効/無効
URLフィルタ違反(Alert) 5分、10分、30分、1時間、2時間、6時間、12時間 1~10000000 有効/無効
URLフィルタ違反(Block) 5分、10分、30分、1時間、2時間、6時間、12時間 1~10000000 有効/無効
URLフィルタ違反(Block Continue) 5分、10分、30分、1時間、2時間、6時間、12時間 1~10000000 有効/無効
URLフィルタ違反(Continue) 5分、10分、30分、1時間、2時間、6時間、12時間 1~10000000 有効/無効

  • メトリクスアラート
アラート種別 通知閾値 状態
Incoming Traffic(bps) 1~99(%)の自然数で指定 有効/無効
Outgoing Traffic(bps) 1~99(%)の自然数で指定 有効/無効
総セッション数 1~99(%)の自然数で指定 有効/無効
SSL/TLS復号セッション数 1~99(%)の自然数で指定 有効/無効
CPU使用率(%) 1~99(%)の自然数で指定 有効/無効

セキュリティログ外部転送機能

項番 機能 機能概要
1 セキュリティログ外部転送機能 お客さまのセキュリティログを外部に転送する機能を提供します。

1. セキュリティログ外部転送機能

  • 各セルからお客さま指定のsyslogサーバーに対して、セルに接続するFlexible InterConnectを経由して、syslogプロトコルでログを転送します。
  • 設定できる情報の詳細は以下のとおりです。
参照可能なパラメータ 詳細
宛先IP ログ転送宛先サーバーのアドレスを設定することが可能です。
宛先Port ログ転送宛先サーバーのポート番号を設定することが可能です。
プロトコル ログ転送する際のプロトコルをtcpまたはudpから選択可能です。
ログフォーマット ログ転送する際のフォーマットをbsdまたはietfから選択可能です。
ログメッセージフォーマット ログ転送する際のメッセージフォーマットをcsvまたはcefから選択可能です。
ログタイプ
  • ログ転送するログ種別を下記から選択することが可能です。
  • traffic : トラフィックログ
  • threat : 脅威ログ(ウィルス、スパイウェア、脆弱性)
  • url : URLフィルタリングログ
  • wildfire : WildFire送信ログ
  • data : データフィルタリングログ
  • User-IDログ : IPアドレスとユーザー名のマッピングログ
  • 認証ログ : Captive Portalを用いたユーザー認証のログ

注釈

  • 転送されるログは、セキュリティポリシーで「ログあり」を設定したログのみとなります。
  • 転送先の宛先は、最大2つ指定することが可能です。
  • セルが高負荷な状態や、セルとsyslogサーバーの間のネットワークが輻輳した場合、転送するセキュリティログが欠損する可能性があります。

セルバージョン変更機能

項番 機能 機能概要
1 セルバージョン変更機能 お客さまのセルのバージョンを変更する機能を提供します。

1. セルバージョン変更機能

  • セルグループで利用するセルバージョンを変更することができます。
  • セルバージョンの変更では、まず、セルグループで利用するバージョン変更先を設定し、次に各セルのバージョン変更の操作を行います。
  • 設定できる情報の詳細は以下のとおりです。
設定可能なパラメータ 詳細
セルグループID バージョン変更対象のセルグループIDを指定することが可能です。
バージョン変更先 変更先のセルバージョンを設定することが可能です。(利用可能なバージョンがプルダウンで表示されます)

注釈

  • セルのバージョン変更操作の開始から終了まで(おおむね40分)はそのセルを利用することはできません。バージョン変更の操作を開始していないその他のセルを経由した通信をご利用ください。
  • セルのバージョン変更はお客様がGUIを操作して実施することができます。
  • セキュリティ上重大な問題がない限り、弊社からのバージョンアップ操作は実施いたしません。

セルプラン変更機能

項番 機能 機能概要
1 セルプラン変更機能 お客さまのセルのプランを変更する機能を提供します。

1. セルプラン変更機能

  • 各セルのプランを変更することができます。
  • 設定できる情報の詳細は以下のとおりです。
設定可能なパラメータ 詳細
セルID プラン変更対象のセルIDを指定することが可能です。
変更後のプラン 変更先のプランを設定することが可能です。(利用可能なプランがプルダウンで表示されます)

注釈

  • セルのプラン変更工程(おおむね60分~90分)の作業時間は通信断になりますのでご注意ください。プラン変更の操作を開始していないその他のセルを経由した通信をご利用ください。

  • セルのプラン変更はお客様がGUIを操作して実施することができます。

  • Smallセル(ベストエフォート)からプラン変更した場合、セルに設定されるグローバルIPが一つ増えます。(既存のグローバルIPはそのまま使用いたします)

  • プランを変更した月の請求金額は、料金が高いプランで計算いたしますのでご注意ください。

  • プラン変更時にはFICコネクションを削除する必要があるため、FICコネクションのF番が変わります。
    FICコネクションの月額上限値に達している状態でFICコネクションを作り直した場合、FICコネクションの月額上限値がリセットされるため、請求金額が多くなる場合がございます。
    詳しくは FICの料金仕様 をご参照ください。

デフォルトルート配信機能

機能 機能概要
デフォルトルート配信機能
お客様のFICルーターにデフォルトルートを配信する機能を提供します。
リゾルバDNS機能
リゾルバDNS機能を提供します。

1. デフォルトルート配信機能

  • セルグループに含まれる各セルでデフォルトルート配信のON/OFFを制御できます。
  • 冗長性を担保するためには2セル以上でデフォルトルート配信機能をONにしてください。
  • デフォルトルート優先度を設定することで、デフォルトルートを配信するセルの優先度を調整可能です。
  • デフォルトルート配信機能で設定できる項目は以下のとおりです。
デフォルトルート配信の設定項目
項目 説明
デフォルトルート配信設定 デフォルトルート配信機能を有効化する場合ONを選択します。
デフォルトルート優先度
デフォルトルート配信設定がONになっているセルが複数存在する場合の優先度設定。
0~255の範囲で設定可能。数値が小さいセルから優先的にデフォルトルートが配信される。

警告

特定の条件下において、デフォルトルート配信機能の切り替わりが発生しない場合があります。

  • SDPF クラウド/サーバーでメンテナンスを実施中
  • SDPF クラウド/サーバーで障害が発生中

上記の条件においては、セルを複数購入された場合でも切り替わりが発生しないことによる通信断が発生する可能性があります。 本仕様は2025年9月末に修正予定になります。

注釈

  • デフォルトルート配信セルを手動で切り替える場合は、デフォルトルート優先度を変更することで任意のセルに切り替え可能です。
    (切り替えには約1分ほど時間を要する場合がございます)
  • FICのBGPフィルタにてデフォルトルートをフィルタリングされる場合、本機能をご利用いただくことはできません。
    (本機能をご利用される場合は、FICルーター側でデフォルトルートの経路を受信する必要があります)
  • FIC-GWより先の範囲で故障が発生した場合、優先度に従ったデフォルトルートを配信するセルの切り替えは自動で行われません。
    この場合、お客さまにてデフォルトルート配信設定、または優先度を変更し、故障影響を受けているセルからデフォルトルートを配信しないように設定してください。

2. リゾルバDNS

本DNSサーバーを設定することによりC&Cサーバーなどの不正なアクセス先への通信を自動的にブロックします。
マルウェア感染などによる、インターネットバンキングの不正送金や個人情報流出などの被害を防止し、より安全・安心にインターネット通信をご利用いただけます。

図1.5.1 DNSサーバーのIPアドレス(C&Cサーバー遮断あり)

注釈

  • C&Cサーバー(Command and Control server):悪意のある第三者が管理し、感染端末などに遠隔指令を出すサーバー

C&Cサーバーへのブロックを希望しない場合は、DNSサーバーのIPアドレス情報を以下のとおりに設定してください。

図1.5.2 DNSサーバーのIPアドレス(C&Cサーバー遮断なし)

注釈

  • 本サービスで提供するDNSサーバーの利用想定台数は1000台以下となります。

1.6. セルバージョン

バージョンリスト

  • FSGでは、最新版を含めて2バージョンサポートしております。
バージョン UTMバージョン プロキシバージョン 提供開始日 提供終了日 備考
v6.0 PA-VM 8.1.19 ACOS 4.1.4-GR1-P1 2021/09/11 2022/03/01 初期バージョン
v7.0 PA-VM 9.1.10 ACOS 4.1.4-GR1-P1 2022/01/08 2023/01/31 UTM装置のアップデートに伴い安定性が向上いたします。
v8.0 PA-VM 9.1.10 ACOS 5.2.1-P4-SP1 2022/09/14 2023/12/06
Proxy装置のアップデートに伴い安定性が向上いたします。
Knowledge Centerで周知している以下の不具合が解消されます。
v9.0 PA-VM 10.2.4 ACOS 5.2.1-P4-SP1 2023/08/23 2024/11/10 UTM装置のアップデートに伴い安定性が向上いたします。
v10.0 PA-VM 10.2.11-h1 ACOS 5.2.1-P4-SP1 2024/10/09 未定 UTM装置のアップデートに伴い安定性が向上いたします。

ライフサイクルポリシー

セルのライフサイクルポリシーは以下のとおりです。

  • 基本方針
    • 原則、最大2バージョンまで提供いたします。
    • 提供バージョンは、バージョンの安定性、利用状況、サポート期間などを考慮し、弊社にて総合的に判断いたします。
  • 提供終了方針
    • 提供終了後は、カスタマーポータル/APIの故障対応以外のサポートを提供いたしません。
  • 新バージョン提供開始通知
    • 新バージョンのリリース1か月前にお客様へメールで通知いたします。(ただし、緊急性の高いリリースについてはその限りではありません)
  • バージョン切替方法
    • チュートリアル をご参照ください。
    • 上記サポート情報を参考にお客様の責任により切替計画をご検討ください。
  • 本情報は、お客さまへの事前通知なく、変更となる可能性がございます。ご了承ください。

1.7. 申込種別と方法

  • FSGコンソールから24時間365日で受け付けております。即日、開通/廃止できます。
申込種別 申込方法 納期
FSGセルの新設 FSGコンソール経由で、お客さまご自身の操作によりお申し込みいただけます。 即日
FSGセルの廃止 FSGコンソール経由で、お客さまご自身の操作によりお申し込みいただけます。 即日

注釈

  • 広域負荷分散を行うため、また冗長化を担保するため必ず2つ以上のセルをお申し込みください。
  • 同サイズのセルで構成することを推奨しますが、異なるサイズでの構成も可能です。
  • 東日本/西日本エリアそれぞれにセルをご用意されることを推奨しますが、東日本のみ、西日本のみでの構成も可能です。ただし、基盤の拠点障害により通信断の可能性があるため、十分にご留意ください。
  • セル内部はすべてシングル構成で設計されおります。
  • 冗長性を求められるお客様は、2つ以上のセルをご購入いただく必要がございます。
  • FSGでは、接続先プロキシの制御をDNSで行なっております。冗長化を実現するためにはお客様環境にDNSを用意していただき、セルグループに設定したFQDNに対して委任していただく必要がございます。
  • 複数セル購入された場合、障害が発生したセル以外のセルに自動的に迂回いたします。(同じセルグループに所属するセル間でヘルスチェックを行なっています)
  • 本サービスは、Flexibe InterConnect との接続性を必要とするため、Flexible InterConnect サービスの FIC-Router を事前に作成頂く必要がございます。

申込時の注意事項

FSGの申込条件は以下となります。

  • 本サービスは、1テナントに対し複数のセルグループをご契約頂くことが可能です。1テナントで契約できるセルグループ数は最大8個となります。
  • 本サービスは、1セルグループに対し複数セルをご契約頂くことが可能です。1セルグループで契約できるセル数は最大31個となります。

1.8. 制約事項

  • 本サービスで提供するセルを経由する通信に対してのみセキュリティ機能を提供します。
  • お客さまが設定したサイト・アプリケーションに対しての通信はSSL復号を適用しません。(デフォルト設定ではMicrosoft365)

1.9. 最低利用期間

本サービスの最低利用期間はございません。


1.10. 料金

各メニューの料金は こちら を参照ください。


1.11. 提供拠点

  • JP EASTエリア(東日本)、JP WESTエリア(西日本)を選択することが可能です。

1.12. サービス提供の品質

サポート範囲

  • 「本サービス説明書(機能一覧)」に記載されている機能はサポート対象です。
  • なお本サービスの契約後、お客さま自身で設定したパラメータの設定誤り(セキュリティポリシーの設定など)に起因する不具合については、サポート対象外です。

1.13. 運用

メンテナンス

品質維持を目的とした定期的なメンテナンス工事を実施します。


メンテナンス内容 メンテナンスウィンドウ 工事掲載条件
お客さまセルに影響がある場合
東エリア(JPEAST)の基盤メンテナンス 火曜日 22:00~6:00
西エリア(JPWEST)の基盤メンテナンス 木曜日 22:00~6:00
東西に影響があるメンテナンス 土曜日 20:00~6:00
工事に伴う該当セルの通信断が1分以上の場合
FSGコンソール閲覧・SO処理への影響の場合 日本時間 土曜日20:00~翌日曜日6:00 / 火曜日20:00~翌水曜日6:00 工事に伴う影響が30分以上の場合
  • 2週間前までにメールにてご連絡します。(※ただし、通信影響のないメンテナンスおよび脆弱性などの緊急を伴う対応の場合には、この限りではございません)
  • 工事連絡メールの通知先の設定は こちら をご参照ください。
  • 工事時間の調整はできません。
  • FSGは"クラウド/サーバー (旧Enterprise Cloud 2.0)"のメンテナンス影響を受けます。"クラウド/サーバー"のメンテナンスウィンドウは こちら をご参照ください。

故障通知

メンテナンスや障害に関わる通知はメールにてお客さまにご連絡します。

1.14. SLA

本サービスにSLAはございません。