ArrayAGシリーズ 主な機能
SSL-VPNによってリモートアクセスやエクストラネットを実現。どこからでもプライベートネットワークへのセキュアな接続を可能にします。
AccessDirect
AccessDirect
ArrayAGシリーズのAccessDirect機能は、社内のコンテンツやアプリケーションに、社外から容易にかつセキュアにアクセスでき、業務効率が向上し、ビジネスの競争力を高めることができます。
さまざまな
AccessDirect機能は、WebコンテンツへのL7 SSL-VPNアクセス機能だけでなく、UDPも含めIP上のあらゆるアプリケーションやプロトコルを扱うL3 SSL-VPNアクセス機能も備えています。つまり、社外から、Webコンテンツに限らず、メールや独自開発のアプリケーション、TV会議システムなど、多種多様な社内コンテンツに対する、セキュアなVPNアクセスを提供します。
VPNアクセス
ArrayAGシリーズはL7 SSL-VPN機能は、社内Webリソースに対し、容易にSSL-VPNプロキシを経由した社内コンテンツへのWebアクセスを実現します。ユーザーからのアクセスはArrayAGのポータルサイトから行い、ユーザーごとにアクセス可能なコンテンツの制御などArrayAGで詳細に条件指定が可能です。これにより、煩雑な管理を行うことなくユーザー情報によって、接続先のコンテンツを制御可能です。
また、AccessDirect機能ではL7 SSL-VPNアクセス機能だけでなく、IPベースのL3 SSL-VPNアクセス機能も実現します。これにより、L3 SSL-VPNアクセスを行ったユーザーは、まるで社内に端末があるかのように、社内のさまざまなアプリケーションをリモートから操作可能です。
- ※以下PC端末のWebブラウザを利用し、ArrayAGポータルサイトへログインした場合のサンプル画面です。
"Webリンク"がL7-VPN機能、"ネットワーク"がL3-VPN機能を利用する場合に操作するメニューです。
アクセス制御機能
ArrayAGではユーザーやグループ単位でアクセスできるコンテンツやアプリケーションをコントロールできます。
アクセス制御
AccessDirect機能ではユーザーがアクセス可能な社内リソースを特定のWebコンテンツやネットワークセグメントといった条件で制限することが可能です。さらに、社内リソースの制限はユーザーやグループ、または特定の期間ごとに設定することも可能なため、例えば、部署ごとにリモートからアクセス可能なWebシステムを制限したり、PC端末のレンタルなど一定期間のみ社内コンテンツへのアクセスが可能なように制限するといった運用も実現します。
また、L3 SSL-VPNアクセスでは許可された宛先への通信のみVPNトンネルを経由し、それ以外の通信は、VPNを経由せず端末自身が持つ回線を利用させる、といった動作を実現します。これにより、社内システムにアクセスする場合は、VPNトンネルを経由し、インターネット上でWeb閲覧を行う場合は、VPNを経由しないといった動作も可能です。
DesktopDirect
DesktopDirect
ArrayAGシリーズのDesktopDirect機能は、社外のリモート端末から、オフィスにあるPCにセキュアなリモートデスクトップアクセス環境を提供します。
これにより、使いなれたツールや業務アプリケーション、頻繁に利用するデータなどが保存されたオフィスの自席PCを、いつでも、どこでも、さまざまなデバイスから利用できます。
PC端末だけでなく、スマートデバイス(タブレット端末/スマートフォン)からの接続にも対応し、モバイル用に新たなアプリケーション開発も必要ないため、システム導入工数を大幅に削減し、さらに導入したその日から、在宅勤務や出張先での緊急の業務など、使いなれた自席PCの画面で対応することが可能です。
情報漏洩防止と
リモートデスクトップでは、接続先PCの画面を操作側のリモートデバイスに表示し、離れた場所にあるPCをあたかも手元にあるかのように操作しますが、実際の動作は接続先PC上で行われているため、ファイルを開いたり保存したりしても、操作する側のデバイスに実データが送信されたり保存されることはありません。更に、リモートデスクトップ接続時のオプションもArrayAGのポリシーで管理可能です。
これにより、重要データの持ち歩きや情報の持ち出しを防ぐことができ、万が一、リモートデバイスの盗難や紛失による事故が発生しても、情報漏洩の心配がありません。
DesktopDirect機能によるリモートデスクトップアクセス時には、ユーザー認証に加え、端末自体が持つパスコードロックや端末固有のデバイスIDによる認証も行うことができ、より強固なセキュリティを確保します。以下iPhone端末でのサンプル画面ですが、PC端末、iPad端末、Android端末でも同様のステップで認証できます。
接続先PCの電源を
DesktopDirect機能ではWake-on-LAN機能との連携により、接続先PCの電源をリモートから投入することができます。
リモートデスクトップを利用する場合、接続先PCを常に起動しておく必要があるのが一般的でしたが、DesktopDirect機能では、必要なときだけ接続先PCの電源を投入することができるため、節電対策にも有効であり、環境負荷を低減するとともにITのランニングコストも抑えることができます。
Wake-on-LAN機能は、マジックパケットを利用しています。 電源を投入したい接続先PCが、ArrayAGと同一のセグメントに存在しない場合は、マジックパケットを中継するリレーエージェントが必要です。リレーエージェントの詳細につきましては、お問い合わせください。
ユーザー認証
認証システム
ローカルDB
外部認証システムを使用せず、ArrayAGシリーズ内部に認証情報を設定する方法です。
外部認証システムが不要なので低コストで容易にシステムを導入できます。
ArrayAGシリーズに
Array自身の内部に存在する認証データベースをローカルDBと呼びます。外部の認証システムは使わず、Array内に認証情報を設定する方法です。外部認証システムが不要なので、低コストで容易にシステムを導入できます。
ローカルDBにはユーザーアカウントとパスワード情報登録で、SSL-VPNシステムをシンプルにご利用可能ですが、ユーザーグループの作成や一定期間でパスワードを変更を促すパスワード規則の設定など、ArrayAG単体でもさまざまな認証のご要件に対応可能です。
外部認証サーバーとの
ArrayAGでは自身が内部に持つ、ローカルDBだけでなく、お客さま既設環境のLDAPやActiveDirectory、Radiusなど、さまざまな認証サーバーと連携することが可能です。 また、ワンタイムパスワード製品のSecureMatrixとも連携可能です。
既存のActive Directoryを
LDAP、Radius、Active Directoryなど、一般的な認証サーバーと連携することが可能です。企業内のユーザー認証にすでにこれらの認証サーバーを導入済みである場合、ArrayAGシリーズは容易にそれらのユーザー認証情報を利用することができます。
Array独自の
ArrayAGでは、以下の方法によりArrayAG単体でもワンタイムパスワード認証を提供することが可能です。
*外部メールサーバーとの連携によりEメール送信による認証コードを使用する。
*スマートフォンへ専用アプリケーションである「MotionPro OTP」をインストールし、MotionPro OTPをソフトウェアトークンとして使い捨てパスワードを使用する。
- ※MotionPro OTPは、App StoreおよびGoogle Playから無償でダウンロード可能です。
ログイン画面
AccessDirect機能を使用し、Webブラウザからアクセスした場合の基本的な認証イメージです。
ユーザーIDとパスワードによる認証を基本とします。上記のようなデフォルトのログイン画面のほか、下記のようにロゴを利用するなど、ログインページをカスタマイズして表示することも可能です。
クライアント証明書を利用してさらにセキュアな認証を実現したり、ログイン画面の表示を省略することも可能です。
ワンタイムパスワード認証を
Eメール送信による認証コードを使用したワンタイムログイン認証をする場合、以下のような画面遷移となります。
ログイン画面
iPhone/iPad/Androidといったスマートデバイス端末からArrayAGへアクセスを行う場合、専用アプリケーション「MotionPro Plus」を利用してアクセスを行います。 以下iOS端末を利用して「MotionPro Plus」からArrayAGへログインする場合の画面イメージです。
-
「MotionPro Plus」に事前に登録した接続先情報からログインをタップ
-
ユーザーIDとパスワードを入力し、ログインします。
- ※MotionPro Plusは、App StoreおよびGoogle Playから無償でダウンロード可能です。
Android/iPhone/iPadに以下の専用アプリケーション「MotionPro Plus」を事前にインストールしてください。
エンドポイント
ArrayAGシリーズは、ユーザー認証に限らず、リモートからアクセスを行う端末自体のOSやセキュリティ対策ソフトウェアといった端末環境や、端末ID情報を識別し、 社内環境へアクセス可能な端末を厳重なルールで制御し、セキュリティの低い端末など条件を満たさない端末からのアクセスを防止することが可能です。 これにより、不正端末からのアクセスやパスワード情報漏洩による不正ユーザーからのアクセスを防御します。
端末認証
ArrayAGシリーズでは、AccessDirect/DesktopDirect機能どちらでも、独自IDを利用した端末識別認証が可能です。クライアントがPCの場合、Macアドレスによる認証およびArrayAGシリーズの独自の個体識別認証が利用できます。 また、クライアントがスマートデバイスの場合でも、デバイスIDと呼ばれる独自IDを利用した個体識別認証を行えます。このため、PC端末に限らず、スマートフォンやタブレット端末でも許可された端末のみアクセスが可能なように制御可能です。
クライアントチェック(検疫)
クライアントが所定の条件を満たすか否かをチェックし、結果によってアクセスを許可/拒否/制限します。
カスタム設定にて以下の項目を条件にチェックできます。
- レジストリ
- OSバージョン
- ファイル
- アプリケーション
- ※カスタム設定の項目については複数登録も可能です。
また、以下の項目にも対応しています。
- アンチウイルスソフトウェア
- ファイアウォールソフトウェア
- Windowsのサービスパック
- アンチスパイウェアソフトウェア
- ※アンチウイルスソフトウェア、アンチスパイウェアソフトウェアの定義ファイルについては
どこまで古い定義ファイルなら接続許可するかを日単位で指定できます。
クライアント認証
X.509デジタル証明書を備えたクライアントからのアクセスだけを許可する、クライアント認証を行います。
X.509デジタル証明書を
SSLクライアント認証とは、クライアントが接続時に有効なデジタル証明書を示すことによって、クライアントを認証する仕組みです。
デジタル証明書とは、サーバーやクライアントが真正なものであることを、信頼できる認証機関が証明するものです。デジタル証明書には、証明対象の情報(名前やメールアドレスなど)と、証明対象の公開鍵、認証機関のデジタル署名などが記録されています。
SSLクライアント認証では、有効なデジタル証明書を装備したクライアントPCからのみ、SSL-VPNアクセスが可能になります。
冗長化
冗長化
ArrayAGシリーズ自身を冗長化し、リモートアクセス環境に高い信頼性を提供します。 ArrayAGシリーズでは、Active/ActiveとActive/Standby、どちらの構成でもご利用可能です。
また、仮想アプライアンスvxAGを含む全ArrayAGシリーズでご利用頂けます。
HA構成
ArrayAGシリーズ同士のネットワークインタフェースをLANケーブルで直結接続し、機器全体もしくはサービスグループといった単位で冗長化することが可能です。
また直結接続した機器間で、設定情報の自動同期やログイン情報同期などを行えます。これにより、ユーザー登録などの運用負荷軽減や、装置切替り時の再ログインといった手間をなくすことが可能です。 さらに、切替り条件のカスタマイズによりArrayAG間の障害検知だけでなく、上位装置などへの死活監視により切替りを行えます。
- ※HA構成は一般の通信と混在しないよう機器のインタフェース直結接続を推奨しています。
セッション同期
HA構成では、冗長機器間でセッション同期が可能です。ログインセッションの同期を行うため、障害発生時に装置が切替った後に、再ログインの手間なくすことができます。 また、HA構成では同時接続ユーザー情報の同期を行うため、機器ごとに持つユーザーライセンスを合算した値をシステム全体の同時接続ユーザー数として利用できます。
-
サンプル
ArrayAG 1号機:同時接続100ユーザー
ArrayAG 2号機:同時接続100ユーザー
この2台をHA構成で冗長化した場合、システム全体として、最大200ユーザーまで同時アクセスが可能です。
コンフィグレーションの
ネットワークインタフェースを介し、クラスタを構成するArrayAGシリーズ間で設定情報の同期を行うことが可能です。
通信プロトコルにはSSHを使用しており、SSL証明書や秘密鍵もセキュアにやりとりすることが可能です。
クラスタを構成するArrayAGシリーズが多数存在する場合でも、それぞれの機器での設定を迅速に行うことが可能です。
マルチテナントと
ArrayAGシリーズは、1台で複数の顧客にサービスを提供する利用形態や、複数部門での共用という用途にも適した機能を装備しています。複数の仮想サイト(クライアントからのアクセス先)を設定し、それぞれを独立して管理することができます。ある仮想サイトからは他の仮想サイトに侵入できないなど、独立性の高い複数のサービスを構築できます。
マルチテナント
1台のArrayAGシリーズに仮想サイトを、複数設定できる機能です。サービスプロバイダが複数の顧客に適用したり、企業において部門別にリモートアクセスを設定することができます。標準ライセンスでも5つまで設定が可能。更に、オプションの追加によって最大256まで設定が可能です(※)。
- ※最大拡張可能な仮想サイト数は、モデルにより異なります。
階層管理機能
複数の管理者に対し、ArrayAGのシステムの参照・設定権限を異なるレベルで定義することができる機能です。これにより、マルチテナントで顧客ごとに仮想サイトが分かれている場合に、1つ1つのサイト内のみ操作可能な管理者を定義する運用も実現できます。
- 筐体全体に関わる設定権限を持つグローバル管理者
- 特定の仮想サイトについてのみ権限を持つサイト管理者
- 特定の仮想サイトにより参照権限だけを持つサイト参照管理者
更に、特定の仮想サイト単位だけでなく、機能レベルでの設定・参照権限の制御も実現可能です。
仮想アプライアンス vxAG
仮想環境サーバー上で動作するソフトウェアアプライアンス版のArrayAGです。
ArrayAGの搭載する全機能を搭載しており(*)、オンデマンドにスケールアウト可能な新しいArrayのSSL-VPNゲートウェイ製品です。
また、サブスクリプション方式で提供されるライセンスにより、イニシャルコストを下げ、お客さまの提供サービス期間など用途に合わせた柔軟なご購入が可能です。
- ※サブスクリプションライセンスは月/年単位でご購入いただけます。(ご購入は最短6カ月分からとなります)。
システム要件
| 最大同時接続ユーザー数 | 600 | |
|---|---|---|
| 最大仮想ポータル数 | 20 | |
| 登録可能ユーザー数 | 20,000 | |
| ハイパーバイザー | VMware vSphere Hypervisor | |
| Citrix Xen | ||
| Open Xen | ||
| パプリッククラウド | Amazon Web Services | |
| Array vxAG用 仮想マシン環境 |
仮想CPU | 2 |
| メモリー | 2GB | |
| 仮想ネットワークアダプタ | 4 | |
| ディスク | 40GB | |
- ※ハイパーバイザーのバージョン詳細についてはお問い合わせください。
その他の機能
ArrayAGシリーズは、その他シングルサインオン機能や、アタック防止機能なども備えています。
シングルサインオン
Basic認証やPOST認証を要求するバックエンドサーバーに関して、シングルサインオン機能を提供できます。
ロギング
ユーザーのログイン/ログアウトのステータス、ネットワークステータス、その他セキュリティに関するイベントをロギングすることが可能です。
管理機能
CLI、WebUI、統計情報の取得とモニタ、ログ・アラート、SNMPなど充実し、洗練された管理機能を装備しています。
