IIJ GIOリモートアクセスサービス/タイプA 主な機能
通信の暗号化(VPN)
クライアント端末からの通信を暗号化することで、社内ネットワークへの安全なアクセスを実現します。接続方式はL2TP/IPsec、SSTP、IIJダイレクトアクセスの3種類から選択できます。
| 接続方式 | 認証 | 暗号化 | 対応OS (Windows) |
対応OS (Mac) |
対応OS (iOS) |
対応OS (Android) |
|---|---|---|---|---|---|---|
| L2TP/IPsec | MS-CHAP-V2 | AES、Triple-DES | ○ | ○ | ○ | ○ ※1 |
| SSTP | AES | - | - | - | ||
| IIJダイレクトアクセス ※2 | CHAP、PAP | - | - |
- Android 12以降はL2TP/IPsecに対応していないためご利用いただけません。
- IIJダイレクトアクセスはクローズドな環境で提供することによりセキュリティを確保するため暗号化は行いません。
接続元IPアドレス限定
クライアント端末の接続元IPアドレスを限定することで、事前に許可したネットワーク以外からの不正なアクセスを防止します。
IPアドレスによる認証
地方拠点からのアクセス等、IPアドレスが限定される場合に有効です。多段認証の1つの要素として、その他の認証と組み合わせて利用することにより、高いセキュリティを確保できます。
- モバイル端末など固定グローバルIPアドレスを持たない接続元からの制限には利用できません。
端末認証
クライアント端末の固有の識別子を事前に登録しておくことで、不正な端末が社内リソースへアクセスするリスクを回避します。端末固有の識別子の登録・編集は、お客様専用ページ(IIJサービスオンライン)からいつでも行うことができます。
端末固有の識別子による認証
ユーザ名・パスワードでの認証後に、端末固有の識別子での認証を行います。
端末にインストールした専用アプリをVPN接続ごとに実行することで、Windows、macOS、iOS、Androidで利用可能です(端末やメーカに依存する問題はサポート対象外です)。
VPNプロトコルに依存しないので、どの接続方式でサービス設備にアクセスしても利用可能です。
- ダイレクトアクセスで接続する場合は、端末認証は利用できません。
端末固有の識別子の登録/編集
CSVファイルをインポートすることで、端末固有の識別子を一括登録できます。初めてリモートアクセスVPN接続を行った際に、ユーザの端末固有の識別子を自動的に登録することも可能です。
認証サーバ連携
お客様が利用されているRADIUS等、ユーザ情報を持つサーバに認証情報を問い合わせることができます。これにより、ユーザアカウントの一元管理と認証時のセキュリティ強化が可能になります。
お客様側に利用可能な認証サーバが存在しない場合は、「IIJ接続アカウント管理サービス/タイプA」などを利用して認証用のアカウントを発行できます。
アクセス制御
ユーザ単位でアクセスすることのできるサーバ及びアプリケーションを制御できます。適切なルールにしておけば、万一の場合も社内ネットワークへの影響は最小限に抑えられます。
ユーザ(グループ)単位での制御
ユーザ、接続先サーバ、利用アプリケーションを元に社内ネットワークへのアクセス制限を実施します。
TCP/UDP/ICMPの通信を制御できます。
- ユーザの通信は基本的にすべてお客様ネットワークを経由します(弊社が別途指定する通信は除く)。
アプリケーションレベルでの制御
HTTP/HTTPSの通信を、お客様担当者が指定するプロキシサーバに向けることができます。
- プロキシサーバの仕様によって、利用できない場合があります。
時間帯制御
ユーザごとに接続できる時間を制限し、ユーザの不要な社内ネットワークへのアクセスを禁止します。
時間・曜日による制限
ユーザが社内に接続する時間帯や曜日が限定されている場合に有効です。業務時間外の利用を禁止することで、不正な利用のリスクを下げることができます。
許可時間外ユーザのリモートアクセスVPN接続を切断
指定された時間を過ぎても利用を続けるユーザがいた場合、当該ユーザのリモートアクセスVPNトンネルを切断できます。
継続して接続させ、許可時間外の新規リモートアクセスVPNセッションを拒否することもできます。
マトリックス認証オプション
マルチデバイスに対応したWebアプリ型ワンタイムパスワード認証です。ユーザはWebブラウザに表示される乱数表の中から、あらかじめ決めておいた“場所”と“順番”を選ぶだけで、特別な装置なしに安全なワンタイムパスワードを使うことができます。
トークン不要でWebブラウザだけで動作可能
トークンや乱数表カードなどを用いず、Webブラウザがあればワンタイムパスワードが利用できます。そのため、配布・紛失・故障・盗難・棚卸作業・電池切れなどが発生せず、運用・サポートの手間を軽減できます。
マルチデバイスUIに対応
JAVA・FLASHなどの追加プラグインを使わずWeb標準のテクノロジー(HTML、CSS、JavaScript)で構成されているため、「クライアント環境が多種混在する企業」やクライアント環境の管理が難しい「パートナー企業間での利用」でも、問題なくご利用いただけます。
桁数制限やロックアウト等、強力なセキュリティを実現
企業ごとのセキュリティガイドラインに柔軟に対応し、それらを順守できるよう強力なセキュリティ設定機能を提供します。 桁数制限、ロックアウト回数設定等、企業ごとのポリシーやリスクに応じたセキュリティレベルを設定できます。
- ワンタイムパスワード認証技術に関しては、パスロジ株式会社のPassLogic方式を採用しています。
