9.3. リモートクライアントコネクション¶
リモートクライアントコネクションはSSL-VPN技術、および多要素認証基盤を利用して、Enterprise Cloud サービス上の仮想サーバーに対し、インターネット経由による安全な接続機能を提供するサービスです。
重要
リモートクライアントコネクションは、以下のデータセンターで提供されます。
- 日本(横浜第1データセンター/埼玉第1データセンター/関西1データセンター)
- 香港(Hong Kong Tai Po Data Center)
- シンガポール(Singapore Serangoon Data Center)
- アメリカ(San Jose Lundy Data Center)
- イギリス(Hemel Hempstead2 Data Center)
- タイ(Thailand Bangna Data Center)
- マレーシア(Malaysia Cyberjaya3 Data Center)
なお、お客様と弊社との間で契約した場合でのみ上記データセンターで提供されます。弊社現地法人と契約した場合は、RCCを提供できません。
注釈
- オンプレミス環境のサーバーにも、リモートクライアントコネクションを適用できます。
- リモートクライアントコネクションを利用するには、以下のサービスを申し込む必要があります。なお、申し込み内容については、弊社で指定します。
- コンピュートリソースプール
- サーバーセグメント
- vファイアウォール
- グローバルIPアドレス
- インターネット接続
- VPN接続もしくはサービス相互接続ゲートウェイ経由でのVPN網への接続回線
- アプリケーション接続サービスを利用可能な弊社VPNサービス
9.3.1. 利用できる機能¶
リモートクライアントコネクション(以下、RCC)では以下の機能を利用できます。
機能 | 概要 |
SSL接続 | 仮想ゲートウェイ経由でのSSLトンネリングにより、インターネットからお客様社内ネットワークに接続させる機能。 |
グループ別アクセス制御 | SSL接続後、VPNグループ単位で接続先IPアドレス/ポート番号による接続制御を行う機能。 |
端末検疫 | VPNグループごとに定められた検疫ポリシーを満たしていない端末からのSSL接続を防止する機能。 |
同時接続保証 | 仮想ゲートウェイごとに、同時に接続可能な一般ユーザー数を保証する機能。 |
認証 | 一般ユーザーがSSL接続する際の認証機能 |
ユーザー管理 | ユーザー情報の追加、変更、削除が可能なWebベースの管理機能(管理ツールを提供)。 |
9.3.2. SSL接続¶
RCC用サーバーセグメント内に構築する仮想ゲートウェイを経由してSSL-VPNを確立し、インターネット経由で一般ユーザー端末と社内ネットワーク間の接続を提供します。
SSL-VPNの提供方式はSSLトンネリング方式です。仮想ゲートウェイ接続後にお客様ネットワーク内アドレスを一般ユーザー端末に付与し、トンネリングを確立することで、一般ユーザー端末が社内ネットワーク内に接続されている状態になります。
9.3.3. グループ別アクセス制御¶
VPNグループ(認証後のユーザー属性を定義するグループ)毎に、以下の項目を設定できます。
- IPアドレス払出方式(Pool IP方式・固定IP方式から選択)
- SSL接続時間(最大接続時間・最大無通信時間を定義)
- スプリットトンネリング利用有無(SSL-VPN接続中のインターネット同時利用有無)
- アクセスリスト利用有無
- ネットワークオプション(SSL-VPN接続後の参照DNS、WINS、Proxyサーバーを定義)
注釈
- VPNグループは最大30グループまで設定可能です。
- 設定内容が同一であっても、PC用VPNグループとスマートデバイス用VPNグループは分けて作成する必要があります。
- 最大接続時間は、SSL接続を持続できる最大時間です。超過した場合、ユーザーが通信を行っていても強制的に切断します。15分~無制限まで設定可能です。
- 最大無通信時間は、SSL接続中に通信がない状態が続いた場合に、自動的に切断させるまでの時間を設定します。16分~無制限まで設定可能です。
- アクセスリストは、宛先ネットワークアドレス及びポート番号で制御可能です。1VPNグループにつき、最大20行まで設定できます。
- ネットワークオプションでは、自動構成スクリプト(pacファイル)の設定も可能です。お客様社内の自動構成スクリプトダウンロード用サーバのURLを「http://~」の形式で指定頂きます。(FQDNではなく、IPアドレスで指定いただく必要があります)
9.3.4. 端末検疫¶
PCの場合はVPNグループごと、スマートデバイスの場合はポリシーパターンごとに検疫ポリシーを設定し、検疫ポリシーを満たしていない一般ユーザー端末からのSSL接続を防止します。
検疫ポリシーは、以下の項目を設定できます。
- 指定プロセスの起動有無(PCのみ)
- 指定ファイルの存在有無(PCのみ)
- 指定レジストリーの存在有無(PCのみ)
- 指定OSのインストール有無(PCのみ)
- 指定AntiVirusソフトの起動有無(PCのみ)
- 指定アプリのインストール有無・起動有無(スマートデバイスのみ(起動有無はAndroidのみ)
注釈
- PCの場合、VPNグループごとに最大5行の検疫ポリシーが設定できます。
- スマートデバイスの場合、指定可能なアプリ数は5つまでです。
9.3.7. ユーザー管理¶
RCCでは、ユーザー管理Webを提供します。
ユーザー管理Webへの認証には、ID/パスワード/接続元IPアドレスを使用します。
注釈
- ユーザー管理ポータルは、標準機能で提供するカスタマーポータルとは異なるポータルです。
9.3.8. 注意事項¶
仮想ゲートウェイ- お客様より借用するサーバーセグメント内に仮想ゲートウェイ用仮想サーバーを構築します。お客様による設定変更などはできません。
- 一般ユーザー端末へのIPアドレスの提供方式は以下のとおりです。VPNグループ単位で選択できます。
- PoolIP方式
- 固定IP方式
- 仮想ゲートウェイ1つにつき、一般ユーザー端末が利用できるIPアドレスブロックのプレフィックス長は/28~/21です。
- 仮想ゲートウェイ1つにつき、インターネット接続のグローバルIPアドレスが1つ必要です。
- 仮想ゲートウェイ用のサーバー証明書を含めて提供されます。
- Windows/Apple iOS/Android端末について、利用可能な仮想ゲートウェイ数に制限はありません。
- 複数の仮想ゲートウェイを利用している場合、接続先の仮想ゲートウェイをアイコンから選択可能です。(マルチサイト接続機能)
- 接続先の仮想ゲートウェイは、ユーザーグループ単位で定義します。
- SSLの仕様は、以下のとおりです。
SSL Version | TLS 1.2 |
共通鍵(長さ) | 128 bit |
公開鍵(長さ) | 2,048 bit |
最低ご利用ID数は、10個です。
注釈
- ID数は、1個ずつ変更できます。
ご利用同時接続数は、仮想ゲートウェイごとに以下に記載した範囲で指定できます。
下限 | 上限 | 設定単位 | |
同時接続数 | 10 | 1,000 | 10 |
注釈
仮想ゲートウェイを複数構築し、ユーザー毎に接続先ゲートウェイを分けて利用することはできますが、複数の仮想ゲートウェイで等しく負荷分散させることはできません。
複数のデータセンターで仮想ゲートウェイを同時に利用する場合、仮想ゲートウェイごとに同時接続数を指定してください(Windows端末は、同時に複数のデータセンターで仮想ゲートウェイを利用できます)。
設定した同時接続数の範囲内であれば、仮想ゲートウェイ間で同時接続数を共有できます。(設定変更SOが必要です。)
例:日本のデータセンターは100回線、香港のデータセンターは100回線で設定している場合、日本のデータセンターで150回線、香港のデータセンターで50回線同時接続することができます。
- 利用可能な認証方式は以下のとおりです。
- BASIC認証(ID/パスワード認証)
- MCOP認証(マトリックス型ワンタイムパスワード認証)
- 機体認証
- BASIC+機体認証
- MCOP+機体認証
- IDごとに認証方式を選択することができます。
- 機体認証のみでご利用いただくことはできません。
- 一般ユーザー端末の対応プラットフォームは、Windows端末、Apple iOS端末、Android端末です。
- Webブラウザでの指定言語(日本語/英語)で表示されます。指定言語が日本語以外の場合は英語で表示されます。
注釈
- サポート対象OSのうち、アップグレード版ソフトウェアを使用してインストールした場合の動作はサポート対象外です。
- 提供バージョン以外のVPNソフトウェアと併用する場合の動作はサポート対象外です。
- 複数バージョンのOS・Webブラウザを併用した場合の動作はサポート対象外です。
- 一般ユーザー端末において、Webブラウザ標準の操作で前のページに戻る操作を行った場合の動作はサポート対象外です。
- 画面全体が表示される前に、ボタン操作を行った場合の動作はサポート対象外です。
Windows端末
サポート対象 | Windows 8.1 32 bit版/64 bit版(Internet Explorer 11)
Windows 10 32 bit版/64 bit版(Internet Explorer 11)
|
提供ソフトウェア |
|
提供方法 | 新規SSL接続時に必要ソフトウェアが自動でダウンロード/インストールされます。
2回目以降のSSL接続時には、新規接続時にインストール済みのプログラムが自動実行されます。
|
注釈
- 自動ダウンロード/インストール実行には、管理者権限があること、およびユーザーアカウント制御(UAC)の無効化が必要です。
- ブラウザで自動構成スクリプト(Pac)を利用している場合、「http://~」で記述されている必要があります。(「file://~」では接続不可)
Apple iOS端末
サポート対象 | iOS 11.x,12.x,13.x,14.x |
提供ソフトウェア |
|
提供方法 | Appストアからダウンロード/インストールしてください。 |
注釈
- Apple IDが必要です。
Android端末
サポート対象 | Android 6.x,7.x,8.x,9.x,10.x |
提供ソフトウェア |
|
提供方法 | GooglePlayからダウンロード/インストールしてください。 |
注釈
- Googleアカウントが必要です。
ネットワーク環境
- 一般ユーザー端末からインターネットを経由して、仮想GWのTCPポート443番に接続できる必要があります。
注釈
- ネットワーク環境によっては、接続までに時間がかかる場合や、接続できない場合があります。
- 1台の一般ユーザー端末に複数IPアドレスを設定した状態では、正常に通信できない場合があります。
- 1台の一般ユーザー端末からは、1つのWebブラウザで利用してください。
ユーザー管理Webの対応OS、Webブラウザおよびバージョンの推奨環境は以下のとおりです。
OS | Webブラウザ |
Windows 8.1 32bit/64bit版
Windows 10 32bit/64bit版
|
Internet Explorer 11 |
※ OSでの利用言語(日本語/英語)で表示されます。指定言語が日本語以外の場合は英語で表示されます。
注釈
- Internet ExplorerでJavaScript実行が許可されている必要があります。
- ユーザー管理Webの仕様については、サービス品質向上などの理由により予告なく変更することがあります。
端末検疫で指定OS/ブラウザの利用有無、およびAntiVirusソフトのインストール有無について、チェックする場合の対象ソフトウェアは以下のとおりです。
チェック項目 | チェック対象ソフトウェア |
指定OSの利用有無 | 「9.3.8 注意事項」の「利用者環境(一般ユーザー端末) 」を参照してください。 |
AntiVirusソフトのインストール有無(Windows端末) | トレンドマイクロ
シマンテック
マカフィー
|
注釈
- Windows端末では、HostCheckerでの検疫となります。
- Windows端末は、すべての認証方式でご利用いただけます。
RCCを利用するには、IPアドレスブロックを割り当てる必要があります。IPアドレスブロックプレフィックス長は以下のとおりです。
なお、お客様環境内のIPアドレスブロックと重複することはできません。
機能 | IPアドレスブロックプレフィックス長 |
①サーバーセグメント | /24~/29から選択 |
②VPNトランジットアドレス(※) | /29 |
③Cloud-GWアドレス(※) | /27 |
④RCC基盤接続アドレス | /25 |
⑤端末払い出しアドレス | /28~/16から選択 |
※ サービス相互接続ゲートウェイ経由でのVPN網への接続回線がある場合は不要です。
- RCCの内容について、一般ユーザーからの直接のお問い合わせは、弊社サポートデスクでは対応できません。
- RCCの利用にあたり、弊社指定の設定項目をvファイアウォールに設定してください。
- RCCの利用にあたり、別途、一般ユーザー端末および一般ユーザー端末のインターネット接続を契約してください。
- RCCのレスポンス、スループットは保証されません。
9.3.9. 申し込み方法、納期、最低利用期間¶
新規、契約変更、設定変更を申し込んだ際の標準納期は、以下のとおりです。
申し込み内容 | 標準納期 | |
---|---|---|
新規 | 標準25営業日 | |
契約変更 | 仮想ゲートウェイ追加 | 標準25営業日 |
ユーザーID数変更 | 標準5営業日 | |
同時接続数変更(40以内) | 標準5営業日 | |
同時接続数変更(50以上) | 標準15営業日 | |
設定変更 | ユーザーグループ追加以外 | 標準9営業日 |
注釈
- 設定変更は、ACLやVPNグループといったパラメータ変更などが可能です。設定変更・保守作業代行に基づき実施します。
- ACL変更の場合、最大25行までは上記標準納期で実施可能です。それ以上の行数に変更する場合の標準納期は、ご相談ください。
2016年3月までに新規開通のお客様:1年間
2016年4月以降に新規開通のお客様:なし
重要
- 仮想ゲートウェイ数/ユーザーID数/同時接続数の変更は可能ですが、最低利用期間を満たさずに、月額料の減額を伴う数の変更や廃止を実施する場合は、違約金が発生します。