Cisco AnyConnect Secure Mobility Client 管理者ガイド リリース 3.1

ASA と ASDM に関する要件

AnyConnect Secure Mobility Client をテレメトリ モジュールととも使用するには、最低でも次のような ASA コンポーネントが必要です。

• ASA 8.4

• ASDM が 6.3.1

AnyConnect Secure Mobility Client モジュールに関する要件

テレメトリ モジュールは AnyConnect Secure Mobility Client のアドオンであり、以下のモジュールを以下の順序でエンドポイントにインストールする必要があります。

1. AnyConnect VPN モジュール

2. AnyConnect ポスチャ モジュール

3. AnyConnect テレメトリ モジュール

Cisco IronPort Web セキュリティ アプライアンスの相互運用性に関する要件

テレメトリ機能は、Cisco IronPort Web セキュリティ アプライアンス（WSA）と組み合わせて AnyConnect セキュア モビリティ ソリューションを使用している場合のみイネーブルにできます。WSA を使用するには、WSA セキュア モビリティ ソリューション ライセンスが必要です。必要な WSA の最小バージョンは 7.1 です。

AnyConnect テレメトリ機能を使用するには、セキュア モビリティ ソリューションを適切に設定しておく必要があります。まだ設定していない場合は、『 Cisco AnyConnect Secure Mobility Solution Guide 』を参照し、説明に従って、WSA と適切に連携するように ASA を設定してください。

Cisco IronPort Web セキュリティ アプライアンス上での SenderBase のイネーブル化

テレメトリ モジュールでは、Threat Operations Center に転送したり、他の脅威情報と集約したりできるように、ウイルス攻撃のインシデント情報およびアクティビティ情報を WSA に送信します。これを行うには、WSA で、標準モードの SenderBase ネットワーク参加がイネーブルになっている必要があります。

以下は、SenderBase セキュリティ サービスをイネーブルにする手順の概略です。SenderBase セキュリティ サービスの詳細な説明については、WSA のマニュアルを参照してください。

1. Web ブラウザを使用して、WSA 管理者 GUI にログインします。

2. [Security Services] > [SenderBase] を選択します。

3. SenderBase ネットワーク参加がディセーブルの場合は、[Enable] をクリックしてから [Edit Global Settings] をクリックして、参加レベルを設定します。標準（フル）参加をお勧めします。

（注） 制限付き参加レベルと標準参加レベルの違いの詳細については、『IronPort AsyncOS for Web User Guide』を参照してください。

4. 変更を送信し、保存します。

AnyConnect テレメトリ モジュールの高速展開

AnyConnect とともにテレメトリ モジュールを展開する場合に実行する必要のある手順の概略を以下に示します。この手順は、グループ ポリシーおよび AnyConnect VPN ユーザ用の接続プロファイルをすでに設定してあることを前提としています。AnyConnect テレメトリ モジュールを展開するには、次の手順を実行します。

ステップ 1 Cisco.com から AnyConnect Windows パッケージをダウンロードします。このファイルは、anyconnect-win-<version>-k9.pkg の命名規則に従っています。

ステップ 2 AnyConnect Windows パッケージを ASA にアップロードします。

a. ASDM を起動し、[Configuration] > [Remote Access VPN] > [Network(Client) Access] > [AnyConnect Client Settings] を選択します。

b. [Add] をクリックします。

c. AnyConnect Windows パッケージを ASDM に アップロード します。プロンプトが表示されたら、AnyConnect パッケージを現在の新しいイメージとして使用するために、[OK] をクリックします。

d. [OK] をクリックします。[Apply] をクリックします。

e. ASDM を再起動します。

ステップ 3 AnyConnect パッケージをホスト スキャン パッケージに指定し、ホスト スキャンをイネーブルにします。

a. ASDM で、[Configuration] > [Remote Access VPN] > [Host Scan Image] の順に選択します。

b. [Browse Flash] をクリックし、前のステップでホスト スキャン イメージとしてアップロードした anyconnect-win-< version >-k9.pkg を選択します。

c. [Enable Host Scan/CSD] をオンにします。

d. [Apply] をクリックします。

e. ASDM を再起動します。

（注） このステップを実行すると、クライアントレス SSL VPN アクセスのホスト スキャンもイネーブルになります。

ステップ 4 テレメトリをオプション モジュールとして展開するように、グループ ポリシーを設定します。

a. ASDM で、[Configuration] > [Remote Access VPN] > [Network(Client) Access] > [Group Policies] を選択し、編集するグループ ポリシーを選択して [Edit] をクリックします 。

b. [Advanced] > [AnyConnect Client] の順に選択します。

c. [Optional Client Modules to Download Inherit] チェックボックスをオフにします。ドロップダウン ボックスから、[AnyConnect Telemetry] および [AnyConnect Posture] を選択します。

d. [OK] をクリックします。[Apply] をクリックします。[Save] をクリックします。

ステップ 5 ここで設定したグループ ポリシーを指定する接続プロファイルを設定します。

a. ASDM で、[Configuration] > [Remote Access VPN] > [Network(Client) Access] > [AnyConnect Connection Profiles] を選択し、テレメトリ用に設定する接続プロファイルを選択します。[Edit] をクリックします。[Basic] 設定パネルが自動的に開きます。

b. [Default Group Policy] エリアで、前のステップでテレメトリの展開用に設定したグループ ポリシーを選択します。

c. [OK] をクリックします。[Apply] をクリックします。[Save] をクリックします。

ステップ 6 テレメトリ クライアント プロファイルを作成し、テレメトリをイネーブルにします。

a. ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Client Profiles] を選択します。

b. [Add] をクリックしてテレメトリ プロファイルを作成します。プロファイルに名前を付け、[Profile Usage] フィールドで [Telemetry] を選択します。

c. [Group Policy] フィールドで、テレメトリの展開用に作成したグループ ポリシーをオプション モジュールとして選択します。[OK] をクリックします。

d. [Profile Names] リストから、ここで作成したテレメトリ クライアント プロファイルを選択し、[Edit] をクリックします。

e. [Telemetry Policy] パネルの [Enable Service] をクリックし、テレメトリ クライアント プロファイルに対するすべてのデフォルト値を受け入れます。

f. [OK] をクリックします。[Apply] をクリックします。[Save] をクリックします。

ステップ 7 セキュア モビリティ ソリューションをイネーブルにします。

a. ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Secure Mobility Solution] を選択します。

b. [Service Setup] エリアで、[Enable Mobile User Security Service] をオンにします。

c. [Apply] をクリックします。[Save] をクリックします。

AnyConnect VPN モジュール

AnyConnect VPN モジュールでは、次の方法でテレメトリ モジュールと対話します。

• AnyConnect の VPN サービス プロセスは、サービスの開始時に、他のすべてのプラグイン モジュールとともに、テレメトリ モジュールのロードと初期化を行います。

• AnyConnect VPN モジュールでは、状態が変化したときに、セッション状態情報および AnyConnect Secure Mobility（ACSM）状態情報を提供します。

• AnyConnect VPN モジュールでは、WSA からテレメトリ設定を取得するための、WSA からのセキュア モビリティ サービス ステータス応答の XML を用意します。

これ以外に、テレメトリ モジュールと VPN モジュールとの対話はほとんどなく、VPN モジュールがテレメトリ モジュールをシャットダウンするか、VPN プロセスが終了するまで、テレメトリ モジュールは独立してを実行されます。

AnyConnect ポスチャ モジュール

AnyConect ポスチャ モジュール（以降「ポスチャ モジュール」）は、ホスト スキャン イメージを含みます。ホスト スキャン イメージは、ホスト スキャン互換のアンチウイルス ソフトウェアからのウイルス検出情報をテレメトリ モジュールに渡します。ホスト スキャンでは、テレメトリ レポートで必要な場合、システム ポスチャ情報を AnyConnect テレメトリ モジュールに渡すこともできます。

テレメトリ モジュールでは、24 時間ごとに ASA を調べて更新されたホスト スキャン イメージを確認します。更新されたホスト スキャン イメージが ASA にインストールされている場合、テレメトリ モジュールはイメージを取得して、更新をエンドポイントに自動的にインストールします。

サードパーティ製アンチウイルス ソフトウェア

AnyConnect テレメトリ モジュールを使用するには、ウイルスおよびマルウェアを検出する、ホスト スキャン準拠のアンチウイルス アプリケーションが必要です。ホスト スキャンでは、アンチウイルス アプリケーションの脅威ログを定期的に確認し、ウイルス検出インシデントをテレメトリ モジュールに転送します。

アンチウイルス アプリケーションの脅威ログは、常にイネーブルにされている必要があります。そうでない場合、ホスト スキャンでは、テレメトリ レポートをトリガーできません。

テレメトリ モジュールによる個人情報の移動の可能性

テレメトリ インシデント レポートは、マルウェアの名前に加え、ローカル システム上でマルウェアが検出された場所も含みます。この場所であるディレクトリ パスは、多くの場合、マルウェアをダウンロードしたユーザのユーザ ID を含みます。たとえば、Jonathan Doe が「malware.txt」をダウンロードした場合、テレメトリ レポートに含まれるディレクトリ名は、「C:\Documents and Settings\ jdoe \Local Settings\Temp\Cookies\ jdoe @malware[1].txt」のようになります。

（注） シスコのエンド ユーザ ライセンス契約書に同意してテレメトリ モジュールをインストールすると、シスコによる個人情報および非個人情報の収集、使用、処理、保管に同意することになります。この個人情報と非個人情報は、ユーザによるシスコ製品との対話方法をシスコが知るためや、ネットワーク処理の技術サポートの提供とシスコの製品とサービスの改良を目的として、シスコに転送されます。これには、米国や欧州経済領域外のその他の国に対するこれらの情報の転送を含みます。シスコは、選ばれた第三者と、匿名化して集約された形式で、この情報を共有することがあります。この個人情報および非個人情報を使用して、個人の特定や問い合わせを行うことはありません。これらの個人情報および非個人情報の使用には、シスコのプライバシー ポリシー（http://www.cisco.com/web/siteassets/legal/privacy.html）が適用されます。個人情報および非個人情報の収集、使用、処理、保管に関するこの同意は、テレメトリ モジュールをオフにするか、テレメトリ モジュールをアンインストールすることにより、随時撤回できます。

テレメトリのワークフロー

以下の手順は、テレメトリ モジュールによる情報の収集方法と WSA へのレポート方法の一例を示します。

1. ユーザが Web サイト http://www.unabashedevil.com を開き、圧縮ファイル myriad_evils.zip をダウンロードします。テレメトリ モジュールは、両方のアクティビティを記録し、activity.dat に保存します。

2. 少し経ってから、ユーザが圧縮ファイルから内容の evil_virus.exe を解凍します。テレメトリ モジュールは、このアクティビティを記録し、activity.dat に保存します。

3. ホスト スキャン準拠のアンチウイルス アプリケーションが evil_virus.exe に含まれているウイルスを識別し、ファイルを削除します。アンチウイルス アプリケーションのアクティビティを契機として、テレメトリ モジュールは、このインシデントに関するレポートを作成します。

4. テレメトリ モジュールは、この時点で activity.dat ファイル内の情報をさかのぼりながら処理して、ウイルスの発信元を判別します。テレメトリ モジュールでは、アンチウイルス アプリケーション インシデントから、evil_virus.exe がウイルスであったこと、およびアンチウイルス アプリケーションによって削除されたことを確認します。テレメトリ モジュールは、activity.dat ファイルから、evil_virus.exe が myriad_evils.zip から解凍されたことおよびこの圧縮ファイルは http://www.unabashedevil.com からダウンロードされたことを確認します。

このすべての情報が、1 つのレポートに結合されます。

5. テレメトリ モジュールは、テレメトリ レポートを WSA に転送します。

• エンドポイントがバーチャル プライベート ネットワークを介して ASA に接続されている場合、テレメトリ モジュールでは、レポートを即座に WSA に送信し、レポートのローカル コピーを削除します。

• エンドポイントが VPN を介して ASA に接続されていない場合、テレメトリ モジュールは、レポート リポジトリにレポートを保存し、次回チャンスのあるときに WSA に送信します。

• エンドポイントにカスタマー エクスペリエンス フィードバック モジュールがインストールされ、それがイネーブルの場合、テレメトリ レポートはそのモジュールによって送信されます。

6. SenderBase ネットワークへの参加がイネーブルの場合、WSA では、Threat Operations Center にレポートを転送します。そこで、他の情報源からのデータと合わせて、この情報が分析されます。WSA は、テレメトリ データなど複数情報源からの情報を組み込んだ、URL カテゴリおよび Web レピュテーション データベースに対するシグニチャ更新を受信します。この新規シグニチャ更新および WSA に設定されているさまざまなポリシーに応じて、ユーザによる http://www.unabashedevil.com へのアクセスがブロックされ、myriad_evils.zip のダウンロードが禁止されます。

URL の暗号化

アクティビティ履歴リポジトリおよびテレメトリ レポート リポジトリに保存されている URL は、機密情報であると見なされます。テレメトリ モジュールは、これらの URL を暗号化して不正アクセスを防止します。

テレメトリ モジュールでは、URL を「内部」または「外部」のいずれかとして扱います。内部 URL の例としては、会社のイントラネット ホーム ページがあります。外部 URL の例としては、インターネット上でアクセスできる任意の URL があります。

SenderBase ネットワークへの参加から除外するように WSA 上に設定されているすべてのドメインおよび IP アドレスは、テレメトリ モジュールでは、内部 URL として定義されます。いずれのドメインおよび IP アドレスも Senderbase ネットワークへの参加から除外しない場合、テレメトリ モジュールでは、すべての URL を外部として扱います。

内部と外部の両方の URL が暗号化された形式でテレメトリ レポートに組み込まれ、WSA に送信されます。

テレメトリ レポートおよびアクティビティ履歴リポジトリに指定されるすべての内部 URL は、内部 URL 用の対称 AES キーを使用して暗号化されます。テレメトリ レポートおよびアクティビティ履歴リポジトリに指定されるすべての外部 URL は、外部 URL 用の対称 AES キーを使用して暗号化されます。これらの対称 AES キーは、各 VPN セッションの開始時またはテレメトリ サービスの開始時に、ランダムに生成されます。

内部 URL の暗号化に使用された AES キーは、自社の公開キーで暗号化されて、AES 暗号化された内部 URL とともに、テレメトリ レポートに含めて送信されます。テレメトリ プロファイル内の公開キーは、[Custom Certificates] エリアで指定できます。自社で用意した、PEM 形式の任意の X.509 公開キー証明書を公開キーとして使用できます。

外部 URL の暗号化に使用された AES キーは、シスコの公開キーおよび自社の公開キーによって暗号化されます。両方の暗号化バージョンの AES キーが、AES 暗号化された外部 URL とともに、テレメトリ レポートに含めて送信されます。シスコの公開キーは、シスコの公開証明書の 1 つであり、テレメトリ モジュールと一緒に配布されます。ASDM または ASA を使用してシスコの公開キーを変更することはできません。

したがって、内部 URL は、会社の秘密キーを使用して復号化できます。外部 URL は、シスコの秘密キーまたは自社の秘密キーを使用して復号化できます。これにより、シスコの秘密キーを持ち、他の会社の秘密キーを持たない Cisco Threat Operations Center では、外部 URL を調査できる一方で、内部 URL は復号化できません。

最後に、WSA の SenderBase 参加レベルによって、暗号化およびレポートされる URL の量が決まります。

• [Standard]。 URL 全体がシスコの公開キーで暗号化されてレポートされます。

• [Limited]。 URL の URI 部分が各社の秘密キーで暗号化されて、結果の URL 全体がシスコの公開キーで暗号化されます。

たとえば、URL https://www.internetdocs.example.com/Doc?docid=a1b2c3d4e5f6g7h8=en に関するテレメトリ レポートの場合は、 Doc?docid=a1b2c3d4e5f6g7h8=en の部分が各社の秘密キーで暗号化されます。使用する秘密キーに応じて、結果の URL は、次のような文字列になります。

https://www.internetdocs.example.com/93a68d78c787d8f6sa7d09s1455623

この文字列がシスコの公開キーで暗号化されてレポートされます。この結果、シスコの Threat Operations Center では、URL に含まれているドメイン名のみを復号化できます。

テレメトリ レポートの暗号化

新規テレメトリ レポートを WSA に送信する準備のできたテレメトリ モジュールでは、エンドポイント、ASA、WSA 間に設定されている共有秘密に基づいてレポートを暗号化します。テレメトリ モジュールでは、次に、HTTP POST 要求を WSA に送信することにより、暗号化されたレポートを送信します。WSA では、データを集約し、SenderBase ネットワークへの参加を使用して Threat Operations Center に送信します。この POST 要求が正常に完了した場合、テレメトリ モジュールでは、ローカル レポート リポジトリからレポートを削除します。