9.3. リモートクライアントコネクション

../../_images/image318.png
 リモートクライアントコネクションはSSL-VPN技術、および多要素認証基盤を利用して、Enterprise Cloud サービス上の仮想サーバーに対し、インターネット経由による安全な接続機能を提供するサービスです。

重要

  • リモートクライアントコネクションは、以下のデータセンターで提供されます。

    • 日本(横浜第1データセンター/埼玉第1データセンター/関西1データセンター)
    • 香港(Hong Kong Tai Po Data Center)
    • シンガポール(Singapore Serangoon Data Center)
    • アメリカ(San Jose Lundy Data Center / Virginia Sterling Data Center)
    • イギリス(Hemel Hempstead2 Data Center)
    • タイ(Thailand Bangna Data Center)
    • マレーシア(Malaysia Cyberjaya3 Data Center)
    • オーストラリア(Australia Sydney1 Data Center)

    なお、お客様と弊社との間で契約した場合でのみ上記データセンターで提供されます。弊社現地法人と契約した場合は、RCCを提供できません。

注釈

  • オンプレミス環境のサーバーにも、リモートクライアントコネクションを適用できます。
  • リモートクライアントコネクションを利用するには、以下のサービスを申し込む必要があります。なお、申し込み内容については、弊社で指定します。
    • コンピュートリソースプール
    • サーバーセグメント
    • vファイアウォール
    • グローバルIPアドレス
    • インターネット接続
    • VPN接続もしくはサービス相互接続ゲートウェイ経由でのVPN網への接続回線
    • アプリケーション接続サービスを利用可能な弊社VPNサービス

9.3.1. 利用できる機能

 リモートクライアントコネクション(以下、RCC)では以下の機能を利用できます。
機能 概要
SSL接続 仮想ゲートウェイ経由でのSSLトンネリングにより、インターネットからお客様社内ネットワークに接続させる機能。
グループ別アクセス制御 SSL接続後、VPNグループ単位で接続先IPアドレス/ポート番号による接続制御を行う機能。
端末検疫 VPNグループごとに定められた検疫ポリシーを満たしていない端末からのSSL接続を防止する機能。
同時接続保証 仮想ゲートウェイごとに、同時に接続可能な一般ユーザー数を保証する機能。
認証 一般ユーザーがSSL接続する際の認証機能
ユーザー管理 ユーザー情報の追加、変更、削除が可能なWebベースの管理機能(管理ツールを提供)。

9.3.2. SSL接続

 RCC用サーバーセグメント内に構築する仮想ゲートウェイを経由してSSL-VPNを確立し、インターネット経由で一般ユーザー端末と社内ネットワーク間の接続を提供します。
 SSL-VPNの提供方式はSSLトンネリング方式です。仮想ゲートウェイ接続後にお客様ネットワーク内アドレスを一般ユーザー端末に付与し、トンネリングを確立することで、一般ユーザー端末が社内ネットワーク内に接続されている状態になります。

9.3.3. グループ別アクセス制御

 VPNグループ(認証後のユーザー属性を定義するグループ)毎に、以下の項目を設定できます。
  • IPアドレス払出方式(Pool IP方式・固定IP方式から選択)
  • SSL接続時間(最大接続時間・最大無通信時間を定義)
  • スプリットトンネリング利用有無(SSL-VPN接続中のインターネット同時利用有無)
  • アクセスリスト利用有無
  • ネットワークオプション(SSL-VPN接続後の参照DNS、WINS、Proxyサーバーを定義)

注釈

  • VPNグループは最大30グループまで設定可能です。
  • 設定内容が同一であっても、PC用VPNグループとスマートデバイス用VPNグループは分けて作成する必要があります。
  • 最大接続時間は、SSL接続を持続できる最大時間です。超過した場合、ユーザーが通信を行っていても強制的に切断します。15分~無制限まで設定可能です。
  • 最大無通信時間は、SSL接続中に通信がない状態が続いた場合に、自動的に切断させるまでの時間を設定します。16分~無制限まで設定可能です。
  • アクセスリストは、宛先ネットワークアドレス及びポート番号で制御可能です。1VPNグループにつき、最大20行まで設定できます。
  • ネットワークオプションでは、自動構成スクリプト(pacファイル)の設定も可能です。お客様社内の自動構成スクリプトダウンロード用サーバのURLを「http://~」の形式で指定頂きます。(FQDNではなく、IPアドレスで指定いただく必要があります)

9.3.4. 端末検疫

 PCの場合はVPNグループごと、スマートデバイスの場合はユーザーグループごとに検疫ポリシーを設定し、検疫ポリシーを満たしていない一般ユーザー端末からのSSL接続を防止します。
 検疫ポリシーは、以下の項目を設定できます。
  • 指定プロセスの起動有無(PC・スマートデバイス)
  • 指定ファイルの存在有無(PCのみ)
  • 指定レジストリーの存在有無(PCのみ)
  • 指定OSのインストール有無(PCのみ)
  • 指定AntiVirusソフトの起動有無(PC・スマートデバイス)

注釈

  • PCの場合、VPNグループごとに最大5行の検疫ポリシーが設定できます。
  • スマートデバイスの場合、設定可能な検疫ポリシー数に制限はありません。

9.3.5. 同時接続保証

 仮想ゲートウェイごとに、同時に接続可能な一般ユーザー数を保証します。

9.3.6. 認証

 一般ユーザーがSSL接続する際の認証機能を提供します。

9.3.7. ユーザー管理

 RCCでは、ユーザー管理Webを提供します。
 ユーザー管理Webへの認証には、ID/パスワード/クライアント証明書を使用します。

注釈

  • ユーザー管理ポータルは、標準機能で提供するカスタマーポータルとは異なるポータルです。

9.3.8. 注意事項

仮想ゲートウェイ

  • お客様より借用するサーバーセグメント内に仮想ゲートウェイ用仮想サーバーを構築します。お客様による設定変更などはできません。
  • 一般ユーザー端末へのIPアドレスの提供方式は以下のとおりです。VPNグループ単位で選択できます。
    • PoolIP方式
    • 固定IP方式
  • 仮想ゲートウェイ1つにつき、一般ユーザー端末が利用できるIPアドレスブロックのプレフィックス長は/28~/21です。
  • 仮想ゲートウェイ1つにつき、インターネット接続のグローバルIPアドレスが1つ必要です。
  • 仮想ゲートウェイ用のサーバー証明書を含めて提供されます。
  • Windows/Apple iOS/Android端末について、利用可能な仮想ゲートウェイ数に制限はありません。
  • 複数の仮想ゲートウェイを利用している場合、接続先の仮想ゲートウェイをプルダウンで選択可能です。(マルチサイト接続機能)
  • 接続先の仮想ゲートウェイは、ユーザーグループ単位で定義します。
  • SSLの仕様は、以下のとおりです。
SSL Version TLS 1.0
共通鍵(長さ) 128 bit
公開鍵(長さ) 2,048 bit

ID
 最低ご利用ID数は、10個です。

注釈

  • ID数は、1個ずつ変更できます。
同時接続数
 ご利用同時接続数は、仮想ゲートウェイごとに以下に記載した範囲で指定できます。
  下限 上限 設定単位
同時接続数 10 1,000 10

注釈

  • 仮想ゲートウェイを複数構築し、ユーザー毎に接続先ゲートウェイを分けて利用することはできますが、複数の仮想ゲートウェイで等しく負荷分散させることはできません。

  • 複数のデータセンターで仮想ゲートウェイを同時に利用する場合、仮想ゲートウェイごとに同時接続数を指定してください(Windows端末は、同時に複数のデータセンターで仮想ゲートウェイを利用できます)。

  • 設定した同時接続数の範囲内であれば、仮想ゲートウェイ間で同時接続数を共有できます。(設定変更SOが必要です。)

    例:日本のデータセンターは100回線、香港のデータセンターは100回線で設定している場合、日本のデータセンターで150回線、香港のデータセンターで50回線同時接続することができます。

認証方式

  • 利用可能な認証方式は以下のとおりです。
    • BASIC認証(ID/パスワード認証)
    • MCOP認証(マトリックス型ワンタイムパスワード認証)
    • 機体認証
    • BASIC+機体認証
    • MCOP+機体認証
  • 異なる認証方式のグループ(ユーザーグループ)を作成し、IDごとに所属するユーザーグループを分けて認証方式を選択することができます。ただし、1つのIDを複数のユーザーグループに所属させることはできません。
  • スマートデバイスの場合、機体認証のみでご利用いただくことはできません。

利用者環境(一般ユーザー端末)

  • 一般ユーザー端末の対応プラットフォームは、Windows端末、Apple iOS端末、Android端末です。
  • Webブラウザでの指定言語(日本語/英語)で表示されます。指定言語が日本語以外の場合は英語で表示されます。

注釈

  • サポート対象OSのうち、アップグレード版ソフトウェアを使用してインストールした場合の動作はサポート対象外です。
  • 提供バージョン以外のJuniper社製ソフトウェアと併用する場合の動作はサポート対象外です。
  • 複数バージョンのOS・Webブラウザを併用した場合の動作はサポート対象外です。
  • 一般ユーザー端末において、Webブラウザ標準の操作で前のページに戻る操作を行った場合の動作はサポート対象外です。
  • 画面全体が表示される前に、ボタン操作を行った場合の動作はサポート対象外です。
Windows端末
サポート対象
Windows 7 SP1 32 bit/64 bit版(Internet Explorer 11)
Windows 8.1 32 bit版/64 bit版(Internet Explorer 11)
Windows 10 32 bit版/64 bit版(Internet Explorer 11)
  • Windows 8.1は、デスクトップモードのみ対応します
  • 上記ブラウザ以外でも標準ブラウザ以上であればサポート対象となります。(Microsoft社のサポート対象に限ります)
提供ソフトウェア
  • Network Connect
  • ActiveX/スクリプト
  • HostChecker(端末検疫利用時のみ)
提供方法
新規SSL接続時に必要ソフトウェアが自動でダウンロード/インストールされます。
2回目以降のSSL接続時には、新規接続時にインストール済みのプログラムが自動実行されます。

注釈

  • 自動ダウンロード/インストールには、管理者権限があること、およびユーザーアカウント制御(UAC)の無効化が必要です。
  • ブラウザで自動構成スクリプト(Pac)を利用している場合、「http://~」で記述されている必要があります。(「file://~」では接続不可)
Apple iOS端末
サポート対象 iOS 9.x、10.x、11.x
提供ソフトウェア
  • Pulse Secure
  • MobileConnect
提供方法 Appストアからダウンロード/インストールしてください。

注釈

  • Apple IDが必要です。
Android端末
サポート対象 Android 5.x、6.x、7.x、8.x
提供ソフトウェア
  • Pulse Secure
  • MobileConnect
提供方法 GooglePlayからダウンロード/インストールしてください。

注釈

  • Googleアカウントが必要です。
ネットワーク環境
  • 一般ユーザー端末からインターネットを経由して、仮想GWのTCPポート443番に接続できる必要があります。

注釈

  • ネットワーク環境によっては、接続までに時間がかかる場合や、接続できない場合があります。
  • 1台の一般ユーザー端末に複数IPアドレスを設定した状態では、正常に通信できない場合があります。
  • 1台の一般ユーザー端末からは、1つのWebブラウザで利用してください。
利用者環境(ユーザー管理Web)
 ユーザー管理Webの対応OS、Webブラウザおよびバージョンの推奨環境は以下のとおりです。
OS Webブラウザ
Windows Vista SP2 Internet Explorer 9
Windows 7 SP1 32bit/64bit版
Windows 8.1 SP1 32bit/64bit版
Windows 10 SP1 32bit/64bit版
Internet Explorer 11
※ OSでの利用言語(日本語/英語)で表示されます。指定言語が日本語以外の場合は英語で表示されます。

注釈

  • Internet ExplorerでJavaScript実行が許可されている必要があります。
  • ユーザー管理Webを利用するWindows端末には、クライアント証明書をインストールしてください。
  • ユーザー管理Webの仕様については、サービス品質向上などの理由により予告なく変更することがあります。
検疫対象ソフトウェア
 端末検疫で指定OS/ブラウザの利用有無、およびAntiVirusソフトのインストール有無について、チェックする場合の対象ソフトウェアは以下のとおりです。
チェック項目 チェック対象ソフトウェア
指定OSの利用有無 「9.3.8 注意事項」の「利用者環境(一般ユーザー端末) 」を参照してください。
AntiVirusソフトのインストール有無(Windows端末)
トレンドマイクロ
  • ウイルスバスターCorporate Edition 10/11
  • ウイルスバスタークラウド(7.x,8.x)
シマンテック
  • Norton Internet Security(20.x,21.x)
  • Symantec Endpoint Protection 12
マカフィー
  • VirusScan Enterprise 8.7i/8.8
AntiVirusソフトのインストール有無(Android端末)
  • McAfee Antivirus & Security
  • ウイルスバスターモバイル for Android
  • ノートンモバイルセキュリティ
  • ドコモあんしんスキャン
  • スマートセキュリティ powered by McAfee
  • ウイルスバスター for au
  • Afaria samsung client AES1
  • Afaria samsung client AES2
AntiVirusソフトのインストール有無(Apple iOS端末)
  • Afaria

注釈

  • Windows端末では、HostCheckerでの検疫となります。
  • Windows端末は、すべての認証方式でご利用いただけます。
  • Android/Apple iOS端末は、機体認証を含む認証方式でのみご利用いただけます。
  • Afariaのご利用には、Biz MSS MDMへのお申込みが別途必要です。
IPアドレス
 RCCを利用するには、IPアドレスブロックを割り当てる必要があります。IPアドレスブロックプレフィックス長は以下のとおりです。
 なお、お客様環境内のIPアドレスブロックと重複することはできません。
機能 IPアドレスブロックプレフィックス長
①サーバーセグメント /24~/29から選択
②VPNトランジットアドレス(※) /29
③Cloud-GWアドレス(※) /27
④RCC基盤接続アドレス /27(第4オクテットは128)
⑤RCC基本サービスアドレス /32
⑥端末提供アドレス /28~/21から選択
※ サービス相互接続ゲートウェイ経由でのVPN網への接続回線がある場合は不要です。

../../_images/image333.png
制約事項

  • RCCの内容について、一般ユーザーからの直接のお問い合わせは、弊社サポートデスクでは対応できません。
  • RCCの利用にあたり、弊社指定の設定項目をvファイアウォールに設定してください。
  • RCCの利用にあたり、別途、一般ユーザー端末および一般ユーザー端末のインターネット接続を契約してください。
  • RCCのレスポンス、スループットは保証されません。

9.3.9. 申し込み方法、納期、最低利用期間

 新規、契約変更、設定変更を申し込んだ際の標準納期は、以下のとおりです。
申し込み内容 標準納期
新規 標準25営業日
契約変更 仮想ゲートウェイ追加 標準25営業日
ユーザーID数変更 標準5営業日
同時接続数変更(40以内) 標準5営業日
同時接続数変更(50以上) 標準15営業日
設定変更 ユーザーグループ追加以外 標準9営業日

注釈

  • 設定変更は、ACLやVPNグループといったパラメータ変更などが可能です。設定変更・保守作業代行に基づき実施します。
  • ACL変更の場合、最大25行までは上記標準納期で実施可能です。それ以上の行数に変更する場合の標準納期は、ご相談ください。
最低利用期間
2016年3月までに新規開通のお客様:1年間
2016年4月以降に新規開通のお客様:なし

重要

  • 仮想ゲートウェイ数/ユーザーID数/同時接続数の変更は可能ですが、最低利用期間を満たさずに、月額料の減額を伴う数の変更や廃止を実施する場合は、違約金が発生します。