1. 概要

1.1. 概要

本サービスは、Palo Alto Networksが提供するクラウド型セキュリティ基盤「Prisma Access」を活用し、オフィス・自宅・外出先など場所を問わず、安全なネットワークアクセスを実現します。
クラウドから高度なセキュリティを一元的に提供することで、拠点・リモート・モバイルユーザーすべてに対して一貫したセキュリティポリシーを適用可能です。

1.2. ネットワーク構成

グローバルSASE powered by Prisma Accessは単体利用のほか、Arcstar Universal One グローバルとの併用にも対応しています。またお客さま拠点向けインターネット回線サービス「Internet Services」と組み合わせた利用も可能であり、お客さまの環境に合わせて導入いただけます。
※Arcstar Universal One グローバルやInternet Serviceの併用をご希望の場合は、弊社営業までご相談ください。

networkconfiguration.png

項番

項目

説明

1

Arcstar Universal One グローバル

Arcstar Universal One グローバルは、NTTドコモビジネスが提供する拠点間ネットワークサービスです。国内外の拠点を閉域網で安全に接続できます。拠点から Prisma Accessに接続する際には、本サービスの閉域ネットワークを併用することも可能です。

2

Internet Services

Internet Services は、NTTドコモビジネスが提供するインターネット回線とマネージドCPEをセットで提供するサービスです。拠点から Prisma Access に接続する際のインターネット回線として、本サービスをご利用いただくことも可能です。

1.3. 機能一覧


項番

機能名

説明

1

モバイルユーザー(Mobile User) ※以降、Mobile Usersを「MU」と表記します。

テレワークや出張先など、どこからでも安全に社内へアクセスできる環境を提供します。

2

リモートネットワーク(Remote Networks) ※以降、Remote Networksを「RN」として表記します。

拠点からのインターネットアクセスやクラウド利用を統合し、セキュアな接続環境を構築できます。

3

サービスコネクション(Service Connection) ※以降、Service Connectionを「SC」として表記します。

データセンターやクラウド(IaaS)環境との安全な接続を提供します。

4

セキュアウェブゲートウェイ(Secure Web Gateway) ※以降、Secure Web Gatewayを「SWG」として表記します。

インターネット利用時の Web アクセスを保護し、不正サイトやマルウェアなどの脅威を防御することで、お客さまに安全な通信環境を提供します。

5

InterConnect

Enterpriseエディションでは、クライアント⇔拠点間や拠点⇔拠点間など拠点間通信が必要となる場合にご利用いただける追加オプションです。

1.3.1. MUの機能

■ MU概要
MUは、お客さまの端末から Prisma Accessへリモートアクセスするためのサービスです。
社外やリモート環境からでも、安全に企業ネットワークへ接続できます。
■ 接続方式
MUでは、専用アプリケーションである GlobalProtectを使用したトンネル方式を採用しています。
端末に GlobalProtectをインストールすることで通信が暗号化され、安全なリモートアクセス環境を提供します。
■ 契約単位
MUのご契約は 200ID以上からお申し込みいただけます。
契約ID数は 1ID単位で設定可能で、契約いただいたID数分を同時にご利用いただけます。
例:200IDをご契約いただいた場合、最大200名のIDが接続可能です。

1.3.1_1. MUの機能詳細

※本項に記載しているPrisma Accessの機能に関する数値は、2026年5月時点での情報に基づいています。
今後Prisma Accessの仕様変更により、記載内容が変更となる可能性がありますので、あらかじめご了承ください。

項番

項目

説明

1

GlobalProtect

GlobalProtectは、社員が社外から安全に社内ネットワークへ接続するための専用クライアントアプリケーションです。アプリを起動すると、端末の状態確認や接続先の判定を自動で行い、必要に応じてVPN接続を確立します。

2

IPsec接続 or SSL接続

IPsecまたはSSL接続を用いて接続します。初期設定ではIPsec接続を優先し、利用できない場合は自動的にSSL接続へフォールバックします。通信ポートはIPsec時はUDP 4501、SSL時はTCP 443を使用します。また、接続先ゲートウェイ(GW)として共通URLと個別URLが提供され、共通URLでは最適なGWへ自動接続、個別URLでは接続先を固定できます。

3

他の機能との接続可否

SC-MU間通信、同一GW内のMU-MU間通信、インターネット通信(SWG)を利用できます。なお、RN-MU間通信や他GW間のMU-MU通信を行う場合はInterConnectの契約が必要です。

4

セキュリティ機能

GW側でセキュリティポリシー制御やアンチウイルス対策などのセキュリティ機能を提供します。これらはグローバル SASE(Prisma Access)へ接続する通信に適用されます。ただし端末自体は保護しないため、端末にはEDRなどのエンドポイントセキュリティ製品の導入を推奨します。

5

冗長性

複数のGWを起動することで冗長構成が可能です。故障時には他のGWへ自動的に接続します。

1.3.1_2. スプリットトンネル

GlobalProtect接続時に、あらかじめ指定した通信のみをローカルネットワークから直接インターネットへ送信することができます。 この仕組みにより、不要なトンネル通信を削減し、ネットワーク全体の通信効率向上が期待できます。ドメイン指定は 最大 200 行(URL)まで設定できます。 ※なお、DNS ドメイン指定は ワイルドカード形式に対応していますが、正規表現は利用できません。

1.3.1_3. プロキシ

本プロキシ機能は、MUライセンスに付随して提供される機能です。※RNのみをご利用の場合は、本プロキシ機能はご利用いただけません。
ご利用には GlobalProtect エージェント バージョン 6.3.0 以上 が必要です。本サービスでは、explicit proxy(PACファイル)方式によるプロキシ機能を提供しており、以下の 3 つのモードから、お客さまの利用形態に応じて選択いただけます。※各モードの詳細は次項でご説明します。
① Agentless モード
② Agent(プロキシ)モード
③ Agent(トンネル&プロキシ)モード
認証方式は GlobalProtectのローカル認証 または SAML認証に対応しています。

また、プロキシ経由の通信に対しても、セキュリティポリシー制御を含む各種セキュリティ機能が適用されます。 対応 OS は Windows および macOS です。

① Agentless モード

本モードはインターネット通信のみをご利用いただけます。エージェントを導入せずに、手軽にインターネットアクセスをご利用いただける点が本モードの特長です。
Prisma Access内部向けの通信(社内向けアプリケーション・内部ネットワークへのアクセスなど)はご利用いただけませんので、あらかじめご了承ください。
認証方式は SAML認証に対応しており、既存の認証基盤と連携してご利用いただくことが可能です。
また、本モードをご利用いただく際は、お客さま端末側でプロキシ設定を行っていただく必要があります。所定のプロキシ設定を端末に適用したうえでご利用ください。
※なお、GlobalProtect のインストールは不要です。


Agentlessmode.png

② Agent(プロキシ)モード

本モードでは、インターネット通信のみをご利用いただけます。ご利用にあたって、GlobalProtectのインストールが必要です。
※社内ネットワークや特定の内部システムには接続できませんので、あらかじめご了承ください。
プロキシ設定は GlobalProtectが自動的に制御するため、お客さまによる個別設定は必要ありません。
認証方式は GlobalProtect のローカル認証とSAML 認証のいずれにも対応しており、お客さまの運用方針に合わせて柔軟に認証方法を選択いただけます。

Agentmode.png

③ Agent(トンネル&プロキシ)モード

本モードでは、インターネット通信はプロキシ経由でご利用いただけます。ご利用にあたって、GlobalProtectのインストールが必要です。
GlobalProtectが必要なプロキシ設定を自動的に制御するため、お客さまによる個別設定作業は不要です。
認証方式については、GlobalProtectのローカル認証とSAML 認証の両方に対応しており、お客さまの認証基盤や運用ポリシーに合わせて柔軟にご選択いただけます。

Agent Proxy(Tunnel and Proxy)mode.png

1.3.2. RNの機能

■ RN概要
RNは、Prisma Accessへ拠点から接続するためのアクセスメニューで、主に支店・拠点向けに提供されるサービスです。各拠点から グローバル SASE(Prisma Access)へ安定したネットワーク接続を実現します。
■ 契約帯域
RNの契約は 200Mbps 以上からとなり、帯域は1 Mbps単位で設定可能です。
契約した総帯域の範囲内で、複数のGWに帯域を分割して割り当てることができます。各GWに設定可能な帯域は 50Mbps ~ 1Gbpsです。
例:200Mbps 契約の場合、最大4つのGW を作成でき、拠点構成やトラフィック分散に応じて柔軟な設計が可能です。
■ 拠点側機器および回線
拠点に設置するルータは、お客さまにてご用意いただく方式、または Internet Servicesが提供するルータを利用する方式のいずれかをお選びいただけます。
拠点でご利用いただくインターネット回線およびグローバル IP アドレスについては、お客さまがご用意された回線・IP アドレス、または Internet Servicesが提供する回線・IP アドレスのいずれもご利用可能です。
※グローバル IP アドレスは、固定 IP/動的 IP のいずれにも対応しています。

1.3.2_1. RNの機能詳細

※本項に記載しているPrisma Accessの機能に関する数値は、2026年5月時点での情報に基づいています。
今後Prisma Accessの仕様変更により、記載内容が変更となる可能性がありますので、あらかじめご了承ください。

項番

項目

説明

1

IPsec接続

IPsecによるトンネル接続方式を用いて接続します。契約帯域(1Mbps 単位)を上限として、指定したゲートウェイ(GW)へ帯域を割り当てることができ、1GWあたり 50Mbps~最大 1Gbpsまで設定可能です。同一のGWには複数拠点を接続可能で、各拠点の通信は当該 GW に割り当てられた帯域を上限として利用されます。なお、GW およびIPsecトンネル単位での通信帯域はベストエフォート提供です。GW側では、IPsecトンネルごとにグローバルIPアドレス(/32)が割り当てられます。

2

接続方法

IPsecまたはSSL接続を用いて接続します。初期設定ではIPsec 接続を優先し、利用できない場合は自動的に SSL 接続へフォールバックします。通信ポートは、IPsec時は UDP 4501、SSL時はTCP 443を使用します。また、接続先ゲートウェイ(GW)として共通URLと個別URLが提供され、共通 URL では最適な GW へ自動接続、個別 URLでは接続先を固定できます。

3

セキュリティ機能

GW側にてセキュリティポリシー制御、アンチウイルス対策などの各種セキュリティ機能を提供します。グローバルSASE(Prisma Access)へ接続する通信に対してこれらが適用されます。ただし、本機能はインターネット回線を持つ拠点内通信全体を保護するものではありません。そのため、拠点側には UTM 等をお客様ルータ側で導入することを推奨します。

4

ルーティング

スタティックルート数:15,000 経路 / BGP ルート数:15,000 経路。複数拠点から同一サブネットの IP アドレスを配信することはできません。

5

GWごとの拠点数

最大 500 拠点

6

冗長性

GWとお客さまルータ(CPE)間で IPsecトンネルを 2本構成することで Active/Standby(act/stb)の冗長構成が可能です。冗長構成には BGP 設定が必須です。お客さまルータ側で AS-Path Prepend や MED を設定することで冗長制御情報がGW 側へ反映され、経路切替が行われます。GW側は冗長構成となっており、障害発生時には自動的に代替GWへ切り替わります。拠点側のルータおよびインターネット回線を含む冗長構成については、お客さまにてご用意いただく必要があります。同一のグローバルIPアドレスに対して複数の IPsecトンネルを接続することはできません。そのため、冗長構成をご利用される場合は、複数のグローバルIPアドレスをご準備ください。

1.3.3. SCの機能

■ SC概要
SCは、Prisma Accessへ接続するためのアクセスメニューの一つで、データセンター(DC)拠点や重要拠点向けに提供されるサービスです。
本サービスでは SC-MU 間・SC-RN 間の通信が可能ですが、SWG 機能は提供対象外となります。
■ ライセンスと利用可能拠点
Enterprise Edition ライセンスには、SC が標準5拠点分含まれています。
各拠点は Active / Standby(act/stb)構成を構築可能で、act/stb 構成をとった場合でも、トンネル数は1 本としてカウントされます。
■ 拠点側ルータ
拠点に設置するルータは、お客さまにて準備いただく方式およびInternet Services が提供するルータを利用する方式のいずれかを選択できます。
既存機器構成や運用ポリシーに応じて柔軟に選択可能です。
■ インターネット回線・グローバル IP アドレス
拠点で利用するインターネット回線およびグローバルIPアドレスは、
お客様手配の回線・IP と、Internet Services 提供の回線・IP のいずれかを選択可能です。
拠点側で使用するグローバルIPアドレスは、固定IPアドレス/動的IPアドレスのいずれでも接続が可能です。
また、お客さま側ルータにて AS‑Path Prependや MED を設定することで、その経路制御設定を GW側へ反映させることも可能です。
GW側は冗長構成となっており、障害発生時には自動的に切り替わります。
拠点側のルータおよびインターネット回線を含む冗長構成については、お客さまにてご用意いただく必要があります。
なお、同一のグローバル IPアドレスに複数のIPsecトンネルを接続することはできないため、冗長構成時は複数のグローバルIPアドレスをご用意いただく必要があります。

SCconfiguration.png

1.3.3_1. SCの機能詳細

※本項に記載しているPrisma Accessの機能に関する数値は、2026年5月時点での情報に基づいています。
今後Prisma Accessの仕様変更により、記載内容が変更となる可能性がありますので、あらかじめご了承ください。

項番

項目

説明

1

IPsec接続

IPsecによるトンネル接続方式に対応しています。1 拠点あたり act–stb 用に2本までのトンネル接続が可能で、トンネル1本あたりの最大通信速度は1Gbps です。通信帯域はベストエフォート型の提供となります。また、ゲートウェイ側にはトンネルごとにグローバル IPアドレス(/32)が払い出されます。お客様側ルータに割り当てるグローバルIPアドレスおよびインターネット回線は、お客さまにてご用意いただきます。

2

接続方法

接続には、ゲートウェイ側で IPsec / IKE のプロファイル構築が必要です。あわせて、お客さま拠点に設置するルータ側でも IPsec/IKEの設定を行うことで、本サービスへの接続が可能となります。

3

セキュリティ機能

本サービスでは、ゲートウェイ側でのセキュリティポリシー設定やアンチウイルス対策などのセキュリティ機能は提供していません。そのため、インターネット回線を保有する拠点側では、ファイアウォールや UTM などのセキュリティ機能をお客さま側ルータにてご準備いただくことを推奨します。

4

ルーティング

スタティックルート数:15,000 経路 / BGP ルート数:15,000 経路。

5

GWごとの拠点数

上限なし。

6

冗長性

ゲートウェイとお客様ルータ(CPE)間に IPsec トンネルを 2 本確立することで冗長構成が可能です。冗長構成は act/act 構成および act/stb 構成に対応します。冗長構成を利用する場合、BGP設定が必須です。冗長時の経路制御はポータル上で冗長構成を指定できるほか、お客さまルータ側で AS-Path PrependやMEDを設定することで、その設定をGW側へ反映させることが可能です。GW2台のルータからIPsec接続を行うことでact/stb構成の冗長化が可能です。なお、同一のグローバル IPアドレスに複数のIPsecトンネルを接続することはできないため、冗長構成時は複数のグローバルIPアドレスをご用意いただく必要があります。

1.3.4. インターネット接続

■ SWG概要
SWGは、インターネットへアクセスする際のセキュリティを強化するための機能です。
MU、RN、またはプロキシを起動するとSWG が自動的に有効化され、安全なインターネットアクセスが可能になります。
■ ベストエフォート型の通信方式
インターネット通信は ベストエフォート型で提供されます。
■ グローバルDNSの提供
本サービスでは グローバルDNSを提供しており、インターネットアクセスに必要なドメイン名の名前解決を行うことができます。
■ SSL復号化(SSL Inspection)に対応
SWGはSSL復号化機能 を備えており、暗号化された通信についても内容を解析し、セキュリティポリシーに基づいたアクセス制御や脅威検知を実施します。

項番

項目

説明

1

セキュリティ接続

SWG は、RN、MU、プロキシ経由の通信に対してセキュリティ機能を適用し、インターネット利用時の安全性を確保します。

2

冗長性

故障発生時には、自動的に他のゲートウェイへ接続が切り替わります。

※SCからデフォルトルートを配信する構成の場合、RNはスタティックルートの設定によりSWGを優先した経路制御を行います。
これに対し、MUではSCからのデフォルトルートを優先して通信が行われます。

SWGconfiguration.png

1.3.5. SaaS Inline

■ SaaS Inline概要
SaaS Inline は、クラウドサービス(SaaS)の利用状況を可視化し、セキュリティ管理を強化するための機能です。
お客さまが利用しているSaaSの状況をPAポータル画面からリアルタイムに確認することができ、利用実態の把握やリスク評価にご活用いただけます。
PAポータルでは、次の情報をご確認いただけます。これにより、どのSaaSがどの程度利用されているか、誰がどのサービスを使っているかを分かりやすく把握することができます。
- SaaSごとの通信量(Upload/Download)
- 各 SaaS を利用しているお客さま情報
- 利用頻度の高いSaaSアプリケーションのランキング
- テナント単位での通信量およびお客さま情報
■ SaaS リスク評価
各 SaaS について、以下のような情報をもとに 10段階スコアでリスク評価を行います。
このスコアによって、リスクが高い SaaS を特定でき、適切なセキュリティ対策の検討を支援します。
- セキュリティ機能の有無
- 管理者権限の保護状況
- データ保護の仕組み
- その他セキュリティ関連指標
■ アクティビティ制御機能
SaaS Inline には、SaaSの利用動作を制御するための機能も備わっています。これにより、企業ポリシーに応じたSaaS の利用管理と安全な運用を実現できます。
- アプリケーション単位での利用制御
- テナント単位での利用制御

1.3.6. セキュリティポリシー

■ セキュリティポリシーの適用範囲
本サービスのセキュリティポリシーは、以下の通信を対象に適用されます。これらの通信は、共通のセキュリティポリシーに基づいて一元的に制御されます。
- RN(Remote Node)
- MU(Management Utility)
- プロキシ通信(RN および MU を経由して行われる Web 通信・インターネットアクセス通信)
■ セキュリティポリシー構成について
本サービスでは、サービス全体で 1 つのセキュリティポリシーを定義する方式を採用しています。
そのため、ゲートウェイ(GW)単位/個別サービス/接続単位で独立したセキュリティポリシーを作成することはできません。
※GWごと・サービスごとに異なるセキュリティ制御を行いたい場合には、単一のセキュリティポリシー内で、ルールの個別定義による制御を実施いただく必要があります。
■ 適用されるセキュリティ機能(best-practice プロファイル)
Prisma Access の起動時には、Palo Alto Networks が提供する推奨プロファイル 「best-practice」 が自動的に適用されます。これらの機能により、インターネットアクセスやSaaS利用における脅威を多層的に防御します。
このプロファイルには、以下のセキュリティ機能が含まれます。
- WildFire およびアンチウイルス
- アンチスパイウェア
- 脆弱性防御(IPS)
- DNSセキュリティ
- URLフィルタリング

1.3.6_1. セキュリティポリシー

セキュリティポリシー設定の概要については以下URLをご参照ください。
https://sdpf.ntt.com/services/docs/globalsase-pa/tutorials/feature2/default%20policy.html#id2

以下の表では、グローバルSASE powered by Prisma Accessにおけるセキュリティポリシー設定の仕様および各オブジェクトの上限値についてご案内します。
※本項に記載しているPrisma Accessの機能に関する数値は、2026年5月時点での情報に基づいています。
今後Prisma Accessの仕様変更により、記載内容が変更となる可能性がありますので、あらかじめご了承ください。

・ルールとオブジェクト

項目

上限値

最大ルール数

10,000

最大アドレス オブジェクト数

20,000

最大アドレス グループ数

2,500

アドレス グループごとのメンバー数

2,500

FQDNアドレス オブジェクト数

2,000

サービス オブジェクト数

2,000

サービス グループ数

250

サービス グループごとのメンバー数

500

セキュリティ プロファイル数

750

・URLフィルタリング

項番

項目

上限値・説明

1

許可リスト/ブロックリスト/カスタムカテゴリの合計エントリ数

25,000

2

カスタムカテゴリの最大数

20,000

3

データプレーン キャッシュサイズ

90,000

4

管理プレーン キャッシュサイズ

100,000

5

重大URLキャッシュ

100,000(MU)/ 300,000(RN)

・ユーザーID

項番

項目

上限値・説明

1

ユーザーIDーマッピング数(管理プレーン)

512,000

2

ユーザーIDーマッピング数(データプレーン)

512,000

3

アクティブで同一のユーザーIDグループ(ポリシーで使用)の数

10,000

App-ID

項番

項目

上限値・説明

1

カスタムApp-IDシグネチャ数

6,000

2

カスタムApp-ID数

5,000

1.3.7 認証

ご提供する認証機能についてご説明いたします。

項目

説明

Local認証

MU、デフォルト、認証ポータルへの接続時において利用可能な認証方式です。 ユーザーIDあるいはユーザーグループでの認証ができ、ユーザーIDの認証情報は本装置上に 格納されます。ローカルIDの作成は管理プレーン上でのみ可能です。

  • 認証情報は永続データベースに保存される

  • パスワードの保存形式は「平文」「暗号化」「ハッシュ」の3種類が選択可能

  • ユーザーID には名前とパスワードのみが設定可能

  • セキュリティグループについては、ユーザーまたはユーザーグループを指定した割り当てが可能

  • TOTPなど他要素認証(MFA)は非サポート

CIE認証

Prisma Accessが提供する認証連携機能で、主に社内Active Directory(AD)を参照して 利用する認証方式です。Directory Sync により連携されており、SAML無しでAD、および CIEユニットと統合してユーザ情報を取り込みます。

  • 認証情報は永続データベースに保存される

  • 設定情報も永続データベースに保存される

  • ユーザーID に紐づくセキュリティグループはADの属性をもとに判定される

  • Directory Syncを利用する場合、セキュリティグループはユーザーおよびユーザーグループを指定して利用可能

ポータル認証

デフォルト認証で、モバイルユーザーがPrisma Accessに接続する際に利用される方式です。 Prisma Accessが提供する認証ポータルにアクセスし、認証情報を入力して認証を行います。

  • 認証情報は永続データベースに保存される

  • 管理プレーン上で設定される

  • 各種認証の構成に関しては、Prisma Access仕様に準拠

  • CIE認証との併用も可能で、ユーザー属性でのアクセス制御やポリシーの適用が可能

1.3.8 ホストチェッカー(HIP)

ホストチェッカー(HIP:Host Information Profile) は、モバイルユーザーがGlobalProtect に接続した後に端末の状態を確認するための機能です。
端末が満たすべきセキュリティ条件(OS バージョン、パッチ適用状況、ウイルス対策の有効性 など)をチェックし、その結果に応じてアクセスを制御できます。HIPによる判定結果は、セキュリティポリシーの条件として利用することが可能です。これにより、定義したセキュリティポリシーのルールに従い、通信の 許可(allow) または 拒否(deny)を制御します。

HIP.png

1.3.9 SSL復号

SSL復号は、暗号化された HTTPS 通信を一時的に復号することで通信内容を可視化し、セキュリティ機能による検査を可能とする機能です。
これにより、暗号化通信に含まれる脅威の検知や、不正なWebアクセスに対する制御を行うことができます。

項目

説明

SSL復号

SSL復号に使用する証明書は、Prisma Access側で標準提供します。また、お客さまが用意した独自の証明書を利用することも可能です。 復号対象とする Webサイト/復号対象外とする Webサイトを指定した復号化プロファイルを作成できます。Webサイトの指定方法はカテゴリ単位またはURL単位が利用できます。作成した復号化プロファイルは、復号ポリシーに適用することでSSL復号の対象を制御します。

※ 初期設定では SSL 復号は無効となっています。
※ SSL復号を利用する場合は、QUIC(UDP/443)通信をブロックすることを推奨します。

<no title>
2. ご利用条件