for SecurePlanetFAQ

Firewallマネジメントサービス全般

• Q. セキュリティポリシーはどのようなものですか？
• Q. WatchGuard製品とJuniper製品の違いを価格面以外で教えてください？
• Q. 他社セキュリティサービスと比べてSecurePlanetの良さはなんですか？
• Q. 障害を検出した際にどのような方法で通知を行ないますか？
• Q. 最低契約期間はありますか？
• Q. 契約の途中で解約したり機種を変更することは可能ですか？
• Q. 冗長化構成において、別機種(メイン系はハイスペック機器、バックアップ系はロースペック機器)で構成可能ですか？
• Q. 設定変更の依頼を出してから、実際に設定変更が行なわれるまでにどの程度の時間がかかるのですか？
• Q. PatchやVersion Upは常に最新版が適用されるのですか？また、このような作業の場合に、FireWallの機能は停止するのですか？
• Q. 自分で設定変更することは可能ですか？
• Q. 設定変更申請はどのようにして行えばよいですか？
• Q. 緊急の設定変更申請は可能ですか？
• Q. 設定変更実施は24時間可能ですか？
• Q. オンサイト保守契約なし時の故障対応について教えてください。
• Q. ログをメールで送付してもらうことは可能ですか？
• Q. 設定変更後の切り戻し作業は即時実施できますか？

Firewallマネジメントサービス/FireBoxシリーズ

• Q. Fireboxの機器仕様を教えてください。
• Q. Firewareとは何ですか？
• Q. FireboxのインターフェースのDuplexは変更できますか？
• Q. 現在のファームウェアのバージョンはいくつですか？
• Q. Firebox設定変更作業中に通信は切断されますか？
• Q. ドロップインとは何ですか？
• Q. プロキシサーバ機能はありますか？
• Q. プロキシタイプサービスとフィルタータイプサービスの違いはなんですか？
• Q. FTPコマンド制限とは何ですか？
• Q. 通信元、通信先の制限にドメイン名は使用できますか？
• Q. WEBコンテンツフィルター機能はありますか？
• Q. スパムメールフィルター機能はありますか？
• Q. SpamBlockerで、スパムメールを判断した場合、スパムメールをメールサーバーには送らず削除する設定は出来ますか？
• Q. Fireware upgradeに伴う通信断時間はどのくらいですか？
• Q. 帯域制御をかけられますか？
• Q. Fireboxで認証を使用できますか？
• Q. 動的アドレス変換をおこなう際の送信アドレスを任意に設定できますか？
• Q. １対１のNAT機能はありますか？
• Q. 動的ルーティングプロトコルを使用できますか？
• Q. FireboxでSNMPを使用できますか？
• Q. アタックに対する防御はどうなっていますか？
• Q. メールに対して制限をかけられますか？
• Q. ログ通信は暗号化されていますか？
• Q. 実施する設定変更の回数に制限はありますか？

Firewallマネジメントサービス/SSGシリーズ

• Q. サービスでの取り扱い機器を教えてください。
• Q. SSGシリーズ各機器のInterface数はいくつになりますか？
• Q. FirewallのPerformanceを教えてください。
• Q. SSG5（128M)と通常のSSG5との違いは何ですか？
• Q. 同時セッション数を超えた場合、パケット処理はどうなりますか？
• Q. Firewallの方式はどのようなものですか？
• Q. Stateful Inspection方式とは、どの様な方式ですか？
• Q. FTPのPassiveモードは可能ですか？
• Q. トランスペアレントモード（透過モード）での利用はできますか？
• Q. MIP(Mapped IP)とは何ですか？
• Q. VIP(Virtual IP)とは何ですか？
• Q. PPPoEはサポートされていますか？
• Q. xDSL回線には対応していますか？
• Q. Unnumberd接続には対応できますか？
• Q. High Availability(HA)とは何ですか？
• Q. High Availability(HA)の対応機器を教えてください。
• Q. High Availability(HA)が切り替わった際にInterfaceのIPアドレスはどうなりますか？
• Q. サポートされるルーティングは何ですか？

不正アクセス対策サービス

• Q. IDSやIPSとは何ですか？
• Q. 現在Firewallを導入していますが、これだけで不正侵入が防げるのではないのでしょうか?
• Q. IDSを導入した場合、不正アクセス検出時の動作としては通知のみとなりますか？
• Q. 誤検出はどのくらい発生しますか？
• Q. 全ての不正アクセスを検出できますか？
• Q. IDS設置には、ネットワークの見直しが必要となりますか？
• Q. センサーの設置ポイントとして適当な場所を教えてください。

SecurID認証代行サービス

• Q. ワンタイムパスワードの利点は何ですか？
• Q. 取り扱っているトークン（パスワードを表示するもの）は何種類くらいありますか？
• Q. トークンはレンタルのみの取り扱いとなるのでしょうか？
• Q. 認証代行サービスではどんなことができますか？
• Q. 認証代行サービス部分のみの利用もできますか？
• Q. 認証レポートはありますか？

SSL-VPNマネジメントサービス

• Q. SSL-VPNとは何ですか？
• Q. サービスでの取り扱い機種を教えてください。
• Q. FTPはサポートされてますか？
• Q. NetworkConnectとは何ですか？
• Q. 冗長化構成はできますか？

---

• Q. セキュリティポリシーはどのようなものですか？
• A. セキュリティポリシーは広範囲な意味となりますので、通常FireWallでは許可ポリシーとして解釈します。
  本サービスでは、お客様のサービス形態や設計ポリシーに従い、お客様自身にてFirewallのポリシー（ヒアリングシート）をご記入いただくことがベースとなります、ご記入いただいた設定シートは、論理的な整合性を当社にてチェックし、実際の機器の設定へと落とします。
  オプションとして、ヒアリングシート作成代行サービスがあり、セキュリティポリシー作成に関するコンサルティングも行なっております。

---

• Q. WatchGuard製品とJuniper製品の違いを価格面以外で教えてください？
• A. WatchGuardサービスはJuniperサービスと比較し、URLフィルタやSpamフィルタなど一部UTMサービスを提供しております。
  また、Juniperサービスでは冗長化構成を提供しているのに対し、WatchGuardサービスでは冗長化構成は提供せず、コールドスタンバイでの対応となります。
  機能詳細はこちら
  

---

• Q. 他社セキュリティサービスと比べてSecurePlanetの良さはなんですか？
• A. 当社SecurePlanet Firewall管理サービスは、回線キャリアを限定せずにサービスの提供が可能です。
  お客様のご要望にてISPを変更する場合も柔軟に対応可能です。また、他プロダクトのPeacePlanetサービスを用いることにより、本サービスに特化した専用ツールにて非常に高度な監視を行なうことが可能であり、Firewallリソースの推移やコネクションの増減などを常に把握し、グラフ化して提供しています。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. 障害を検出した際にどのような方法で通知を行ないますか？
• A. ノード監視においてシステムに異常があると見込まれた場合、障害切り分けを行います。
  システム異常であることが判明した場合、ご担当者様へ通知され、ハードウェア交換等の必要な処置を行なう流れとなっております。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. 最低契約期間はありますか？
• A. 本サービスの契約期間の単位は１年です。尚、契約満了時には自動更新が適応されます。最低限１年間の継続的な契約が前提となります。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. 契約の途中で解約したり機種を変更することは可能ですか？
• A. 契約期間中途の解約時では、解約料金が適用されます。
  機種変更については、別途ご相談ください。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. 冗長化構成において、別機種(メイン系はハイスペック機器、バックアップ系はロースペック機器)で構成可能ですか？
• A. 構成上は可能ですが、切り替えが起こった後に性能がDownするため、可用性が確保できないことから提供しておりません。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. 設定変更の依頼を出してから、実際に設定変更が行なわれるまでにどの程度の時間がかかるのですか？
• A. 設定変更作業の実施につきましては、SEによる内容精査後(営業日内定時)となりますので、通常、翌営業日以降(最大5営業日程度)での実施となります。
  ある程度余裕を持ったスケジュールにて実施日時をご指定ください。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. PatchやVersion Upは常に最新版が適用されるのですか？また、このような作業の場合に、FireWallの機能は停止するのですか？
• A. バージョンアップやパッチは当社における評価後の適用となります。この評価結果次第ではバージョンアップしないケースもございます。 また、バージョンアップやパッチ適用の際にはシステム再起動を伴いますので、一時的に機能が停止いたします。ただし、ハイアベイラビリティオプションをご利用いただいているお客様は、再起動の間、通信断が継続することはございません。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. 自分で設定変更することは可能ですか？
• A. 本サービスでは、下記理由にて対応不可とさせていただいております。
  
  １．お客様による設定変更は正規なものか、不正な行為か判別がつかない
  ２．設定変更履歴が残らない
  ３．通信障害が発生した場合、お客様により引き起こされたものであるかについて判別がつかない
  
  ⇒サービス紹介ページはこちら
  

---

• Q. 設定変更申請はどのようにして行えばよいですか？
• A. 各プロダクトごとの設定変更申請ページからご申請ください。
  なお設定変更の受付時間は、月曜から金曜の09:00〜17:00となっております。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. 緊急の設定変更申請は可能ですか？
• A. 設定変更申請の受付は、プロダクト担当SEが当社営業日9:00〜17:00に対応いたします。時間外での対応は有償となります。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. 設定変更実施は24時間可能ですか？
• A. 適用のみ対応可能ですが、事前の設定変更申請が必要です。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. オンサイト保守契約なし時の故障対応について教えてください。
• A. 当社営業日9:00〜17:00、土日・祝祭日の9:00〜15:00にご連絡いただいた場合、当日に代替機を発送いたします。代替機の到着後、故障機材をご返送いただきます。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. ログをメールで送付してもらうことは可能ですか？
• A. ポータルページから直近7日間のログがダウンロード可能となっております。それ以前のログについては、CD-ROM/DVDなどでの送付となり、有償となります。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. 設定変更後の切り戻し作業は即時実施できますか？
• A. 切り戻しにつきましては、原則営業日9:00〜17:00の時間内での対応となりますのでご了承ください。
  尚、上記時間外に設定変更を実施した場合、切り戻しは最短で翌営業日での対応となります。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. Fireboxの機器仕様を教えてください。
• A. 現在提供している機種はFirebox X e-seriesとなります。
  Firebox X550e、X750e、X1250e の3機種がリリースされており、RoHS/WEEE 対応、EU諸国での環境基準をクリアしたFireboxXシリーズの後継機となります。
  
  ⇒機器詳細はこちら
  

---

• Q. Firewareとは何ですか？
• A. FirewareはMSSに変わる新しい基本ソフトになります。
  従来のMSSソフトウェアに加えて各種UTM機能が利用可能となっております。また、設定変更時の再起動が不要となりました。
  ⇒サービス紹介ページはこちら
  

---

• Q. FireboxのインターフェースのDuplexは変更できますか？
• A. インターフェイスのLink/Duplexは変更可能です。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. 現在のファームウェアのバージョンはいくつですか？
• A. Firebox e シリーズの場合、Fireware 10.2.10でのご利用となります。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. Firebox設定変更作業中に通信は切断されますか？
• A. Firewareになったことにより設定変更時の再起動は不要となりました。
  但し、パッチ適用、バージョンアップ等の作業をおこなった際には必ず再起動が発生します。
  バージョンアップ等でファームウェアを転送している際に通信が切断されることはありませんが、再起動時に通信は切断されます。
  再起動に要する時間は数分程度となりますが、その間は通信をおこなうことが出来ません。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. ドロップインとは何ですか？
• A. ドロップインとは、透過モードのことです。
  Fireboxのインターフェイス（例．External, Trusted, Optional）に同一のIPアドレスを割り当てることによって、External（外部ネットワーク）側、Trusted（内部LAN）側、Optional（DMZ）側のネットワークを同一セグメントとする設定です。
  ドロップイン・ネットワーク構成にはいくつかの利点があります。まず既存のネットワークでLANとルータの間にFireboxを接続するだけで、既存のネットワークの構成変更を行うこと無しに、透過的にFireboxを導入することができます。
  またFireboxに割り当てるIPアドレスがひとつで済み、ネットワークをサブネットに分割する必要がないので小規模なネットワークにも容易にFireboxを導入できます。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. プロキシサーバ機能はありますか？
• A. Fireboxには、いわゆるプロキシ（キャッシュ）サーバー機能は搭載されていません。
  ユーザ様のクライアントPCのインターネット・ブラウザなどでこの種の設定を行っている場合には解除する必要があります。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. プロキシタイプサービスとフィルタータイプサービスの違いはなんですか？
• A. Fireboxは基本的に、パケットフィルタータイプのFirewallです。パケットのIPヘッダの情報でフィルタリングを行います。
  プロキシタイプのサービスを使用すると、パケットの内容まで精査します（特定のヘッダの有無で通信を拒否／許可、特定のヘッダを削除等）。それにより、より詳細なフィルタリングの設定が可能になります。ただし、内容を精査するため、フィルタータイプに比べてスループットは低下します。
  Fireboxで、プロキシタイプのサービスが設定可能なプロトコルはHTTP、SMTP、FTP、DNSとなります。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. FTPコマンド制限とは何ですか？
• A. FTPプロキシ使用時にFTPのコマンドを制限する機能のことです。
  外部へのFTP接続をおこなった際に、ファイルダウンロードは許可するが、ファイルアップロードは禁止する設定が可能です。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. 通信元、通信先の制限にドメイン名は使用できますか？
• A. サービスの通信元（先）の制限にドメイン名は使用できません。通信元（先）の指定はIPアドレスで設定する必要があります。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. WEBコンテンツフィルター機能はありますか？
• A. WEBサイトの不要な閲覧を防ぐコンテンツフィルター、WebBlockerがございます。
  WebBlockerは、Webサイトへのアクセスが発生した際に有害サイトのデータベース（SurfControl社製）に照らし合わせて内部ユーザのWeb閲覧の許可／拒否を判断するという方式のフィルターです。
  有害サイトのリストは、ポルノやギャンブルなど数十カテゴリに分類されており、管理者の判断によって、不必要な分野のサイト閲覧 のみを禁止することができます。
  ※ご利用にはライセンスの購入が必要となります。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. スパムメールフィルター機能はありますか？
• A. スパムメールフィルターとして、SpamBlockerがございます。
  SpamBlockerはCommtouch社開発のソフトウェアを利用しております。
  既存のフィルタリングソフトウェアはキーワード認識やRealtime Blackhole Lists (RBLs)に基づいて迷惑メールをブロックしておりましたが、SpamBlockerでは迷惑メールの特徴的なパターンを判断し迷惑メールをブロックします。
  Commtouch社では常時インターネットを監視し迷惑メールの特徴的なパターンを収集しており、迷惑メールの発生検知を分単位で検出し、SpamBlockerへと反映いたします。
  ※ご利用にはライセンスの購入が必要となります。
  ※導入時にFireboxにDNSの設定値が必要です。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. SpamBlockerで、スパムメールを判断した場合、スパムメールをメールサーバーには送らず削除する設定は出来ますか？
• A. 削除することはできます。ただし、誤検知したメールも削除されてしまいます。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. Fireware upgradeに伴う通信断時間はどのくらいですか？
• A. Fireware upgradeの際はFireboxの再起動を伴いますので、この間は通信断となります。
  再起動に要する時間は5分程度となります。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. 帯域制御をかけられますか？
• A. 本サービスでは対応しておりません。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. Fireboxで認証を使用できますか？
• A. はい。Firebox内部のDBによる認証、Active Directoryによる認証が提供可能です。
  ※Active Directoryのサーバはお客様で用意していただく必要がございます。
  ⇒サービス紹介ページはこちら
  

---

• Q. 動的アドレス変換をおこなう際の送信アドレスを任意に設定できますか？
• A. サービス毎に設定することが可能です。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. １対１のNAT機能はありますか？
• A. Firewareでは1対1NATがサポートされております。
  またプライベートアドレスを持ったサーバを公開する場合に、各サービスポート毎にポートフォワーディングを設定することができます。
  FireboxのExternalに複数のIPアドレスを設定し、それぞれをプライベートアドレスにポートフォワーディングすることも可能です。またこの際、公開するポート番号とサーバの受信ポート番号を異なるものに設定することも可能です。
  ただし、プライベートアドレスを持ったホストから外部へ通信する場合、アドレス変換（DynamicNAT）により、FireboxのExternalアドレスに変換されます。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. 動的ルーティングプロトコルを使用できますか？
• A. 本サービスでは対応しておりません。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. FireboxでSNMPを使用できますか？
• A. 本サービスでは対応しておりません。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. アタックに対する防御はどうなっていますか？
• A. FireboxはExternal側からのポートスキャンやアドレススキャン、各種Floodなどのアタックを検知すると、その通信元を悪意のあるものとし、一時的にブロックサイトへ登録します。ブロックサイトに登録されたホストからの通信はデフォルトで20分間（変更可）すべて拒否されます。
  またExternal側から特定ポートへのアクセスがあった場合も、通信元を一時的にブロックサイトへ登録します。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. メールに対して制限をかけられますか？
• A. プロキシタイプSMTPサービスを使用することによって、外部から受け取るメールに次のような制限をかけることが可能です。
  ・メール容量上限制限
  ・同時通報上限制限
  ・MIMEタイプ制限
  ・特定ファイル名の添付ファイル削除
  ・From: または To: におけるドメイン名での制限
  
  ⇒サービス紹介ページはこちら
  

---

• Q. ログ通信は暗号化されていますか？
• A. はい。ログ通信は暗号化され、ログ転送されます。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. 実施する設定変更の回数に制限はありますか？
• A. 特に上限は設けておりませんが、一日に３回以上の頻繁な設定変更に関しては、お断りする場合がございます。ご了承ください。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. サービスでの取り扱い機器を教えてください。
• A. 取り扱い機器は以下となります。
  SSG5,140,320M,350M,520M,550M
  
  ⇒サービス紹介ページはこちら
  

---

• Q. SSGシリーズ各機器のInterface数はいくつになりますか？
• A. 以下をご参照下さい。
  
  Juniper SSG 機器スペック表
  

---

• Q. FirewallのPerformanceを教えてください。
• A. 以下を参照下さい。
  
  Juniper SSG 機器スペック表
  

---

• Q. SSG5（128M)と通常のSSG5との違いは何ですか？
• A. 基本的にメモリサイズのみの違いとなります。本サービスで提供するサービス仕様上では通常のSSG5と同様となります。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. 同時セッション数を超えた場合、パケット処理はどうなりますか？
• A. 同時セッション数を越える場合、それまで張られていたセッションを維持し、新しくきた要求を破棄します。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. Firewallの方式はどのようなものですか？
• A. Stateful Inspection方式を採用しています。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. Stateful Inspection方式とは、どの様な方式ですか？
• A. パケットフィルタリング方式のFirewallではTCPのヘッダ（Port番号やIPアドレス）までしか判断しませんが、Stateful Packet Inspection（パケット状態監視)ではセッションまで管理します。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. FTPのPassiveモードは可能ですか？
• A. 可能です。Stateful Inspection方式を採用しておりますので、FTPのセッションに応じてデータポートを開放いたします。FTP-dataが20番以外であってもStatefullにパケット処理を行うことが可能です。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. トランスペアレントモード（透過モード）での利用はできますか？
• A. 本サービスではトランスペアレントモードはサポートしておりません。
  通常のルータモードでのご利用となります。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. MIP(Mapped IP)とは何ですか？
• A. 1つのIPアドレスに宛てられたTrafficを別のIPアドレスに直接1対1でマッピングするものになります。
  一般的にStatic-NAT（1対1NAT）と呼ばれているものと同様になります。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. VIP(Virtual IP)とは何ですか？
• A. 1つのIPアドレス宛の特定のポートの通信をFirewall内部のホストへフォワーディングする機能となります。グローバルIPアドレス数が少ないお客様が、ポート単位で複数のホストを公開することに向いています。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. PPPoEはサポートされていますか？
• A. サポートされています。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. xDSL回線には対応していますか？
• A. xDSL回線はファームウェアのアップグレード時に満足な帯域を確保できないことがあり失敗することがあるため、回線についてはxDSL系のメタル回線ではなく、光回線を推奨しております。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. Unnumberd接続には対応できますか？
• A. インタフェースには必ずIPアドレスを割り当てる必要があるので、Unnumberedはサポートしておりません。
  ただし、ISPより複数の固定IPアドレスを付与された場合に限り、Unnumberd機能と類似した動作をさせることが可能です。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. High Availability(HA)とは何ですか？
• A. 冗長化機能のことです。２台のSSGを利用し１台をマスター機、１台をバックアップ機として構成し、通常利用しているマスター側のSSGが故障したと判断された場合、バックアップ機へと自動的に切り替わるシステムです。この際、Session（VPNのSA含む）情報は引き継がれることから、通信は保持されます。
  Firewallマネジメントサービス/SSGシリーズ,どのようにHigh Availability（HA）が実現されますか？,HA専用ポート間においてNSRP(NetScreen Redundant Protocol)を利用した情報交換が行われます。設定情報、セッション情報は全て同期されます。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. High Availability(HA)の対応機器を教えてください。
• A. SSG5から対応しております　※Extended版のみ
  
  ⇒サービス紹介ページはこちら
  

---

• Q. High Availability(HA)が切り替わった際にInterfaceのIPアドレスはどうなりますか？
• A. バックアップ側はマスター側と同じIP,MAC(Virtual IP,Virtual MAC)を引継ぎますので、通信断は発生致しません。　※SSG5 Extended版は除く
  
  ⇒サービス紹介ページはこちら
  

---

• Q. サポートされるルーティングは何ですか？
• A. スタティックのみとなります。それ以外のルーティングを利用する必要のある場合は、ご相談ください。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. IDSやIPSとは何ですか？
• A. IDSとはIntrusion Detection Systemの略称で不正侵入検知システムの事であり、IPSとはIDSに遮断機能がついたIntrusion Prevention Systemのことを示します。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. 現在Firewallを導入していますが、これだけで不正侵入が防げるのではないのでしょうか?
• A. Firewallポリシを適切に設定することによって不正アクセスの機会を抑制することは可能ですが、不正アクセスを完全に防ぐことはできません。一例をあげるとすれば、一般的にDMZ上の公開サーバなどの前段にあるFirewallポリシーでは、どこからでもHTTPやDNSなどの公開を目的にしたサービスを通す〔あける〕必要があります。
  
  Firewall上では、認められた通信であることをIPヘッダ情報により判断します。そのため、不特定多数の端末の中に悪意を持ったものがあったとしても、通過するパケットの中身までは検査できないことから、これらを判別することはできません。
  
  IDS／IPSでは、ネットワーク上を流れるパケットの中身までリアルタイムに検査し、これを自身に持っているDB（シグネチャ）と照らし合わせ、不正アクセスと思われる傾向を検知することを目的としております。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. IDSを導入した場合、不正アクセス検出時の動作としては通知のみとなりますか？
• A. あらかじめ設定されたベントが発生した場合、これを専門アナリストが解析し、ご指定の連絡先へ通知を行います。緊急対応の必要性があればこれを告知し、また発生したイベントに対する対応処置もアドバイスいたします。
  
  また本サービスにはオプションとして、初期導入時の不正アクセス監視運用設計に定める、対象イベント及び手順に従って、Firewallやルータのアクセスリストを変更する一時対処サービスがあります。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. 誤検出はどのくらい発生しますか？
• A. 本サービスでは、セキュリティデバイス（IDS）からの大量データをリアルタイムにシステム解析し、更に専門のアナリストが誤報を除いた不正アクセスのみを24時間365日検知及び分析いたしますので、セキュリティデバイス（IDS）での誤検知は相当数抑制可能です。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. 全ての不正アクセスを検出できますか？
• A. IDSは通過するパケットをシグネチャファイルと呼ばれるDB情報と常に照会し、不正なものか否かを判断します。 このファイルに登録されていない攻撃は検知できません。製品開発元により、シグネチャファイルの更新が行われた場合、この内容を精査し、必要に応じてセンターから速やかにシグネチャファイルの更新作業を行う運用サービスも本サービスには含まれております。
  また、ネットワーク負荷が非常に高い場合においては、IDSの処理能力の限界から、検知対象のパケットを取りこぼすことがあります。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. IDS設置には、ネットワークの見直しが必要となりますか？
• A. IDSは監視対象のネットワーク上をモニタするだけですので、通常ネットワーク設計に影響を与えません。 監視セグメント側はステルス(IPアドレスを付与しない)設定となっております。これによりIDS自体への攻撃回避を可能にします。
  尚、スイッチ環境の場合には、スイッチに到着したパケットすべてをIDSに検知させるため、この接続ポートをSPANポート設定に変更する必要があります。
  IPSの場合には、不正なアクセスを遮断する必要があるため、インラインでネットワーク機器の間に挟み込む必要はありますが、透過的な動作のためIPアドレスは不要となります。
  但し、IDS/IPS共に管理用のIPアドレスは別途必要となります
  
  ⇒サービス紹介ページはこちら
  

---

• Q. センサーの設置ポイントとして適当な場所を教えてください。
• A. 保護対象ノードの位置や攻撃者の想定により監視ポイントが異なります。
  公開サーバがDMZ上にあり、攻撃対象を外部者と想定するのであればDMZ、内部犯を想定するのであれば内部を監視ポイントとする必要があります。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. ワンタイムパスワードの利点は何ですか？
• A. 通常のパスワード認証では、固有のユーザネームに対して既知の固定のキーワードを入力するものですが、ワンタイム・パスワードシステムではアクセスする度に使い捨てのパスワードを生成し、認証を行います。この仕組みを用いた場合、インターネットのような盗聴可能な通信路においても、パスワード自体が漏洩の対象にはなりません。
  
  また、本サービス対象のSecurIDでは、事前に専用のデバイスをユーザに配布し、アクセスする際、このデバイスが表示するキーを入力すること自体がパスワードの代わりとなるため、人の記憶に100%依存することもありません。また、複雑なシステム操作方法を習得しなければならないプロダクトに比較して、万人に理解しやすいセキュリティ実現方式であるといえます。
  
  加えて、本認証を利用する際、専用デバイスを保持していることや、簡単な既知のキーワードを知っていることが必要になります。これは、銀行のATM における暗証番号とキャッシュカードのように、利用者に固有な2つの要素を用いて行うもので、より強度なセキュリティレベルを実現できます。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. 取り扱っているトークン（パスワードを表示するもの）は何種類くらいありますか？
• A. レンタルさせていただくトークンは、以下の４タイプからお選びいただけます。
  ・鍵型のキーホルダータイプ（SID700）
  ・カードタイプ(SD200)
  ・携帯電話に導入するタイプ(NTTデータ製携帯用トークン)
  ・iphone用トークン
  
  ⇒サービス紹介ページはこちら
  

---

• Q. トークンはレンタルのみの取り扱いとなるのでしょうか？
• A. ハードウェア型のSecurIDは電池の寿命やライセンス上にて有効期限が定められております。
  本サービスにて使用する場合、通常はレンタルをお勧めしておりますが、既にお客様が保有しているトークンやトークンの買取にも対応させていただきますので、事前にご相談ください。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. 認証代行サービスではどんなことができますか？
• A. 本サービスでは、自宅や外出先、ホテル等からのリモートアクセス環境を自社に構築することが可能です。
  IPSecのVPN環境を提供するCiscoASAのVPNサービス、もしくはPC側はブラウザのみで利用可能なJuniper-SAを用いたSSL-VPNサービスとセットでご利用いただくことで、強固なセキュリティを保ちつつ、便利なリモートアクセス環境が構築可能となります。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. 認証代行サービス部分のみの利用もできますか？
• A. 認証代行サービス部分のみのご提供も可能です。
  既にお客様が保有しているトークンの認証先として弊社環境をご利用頂いたり、現在ご利用中のリモートアクセス環境やその他のゲートウェイシステムとの連携やWEBシステムとの連携なども可能です。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. 認証レポートはありますか？
• A. 月次で認証ログのレポートをご提出させていただきます。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. SSL-VPNとは何ですか？
• A. 暗号化にSSLを利用するVPNの技術です。 Webブラウザは通常、SSLに対応しているため、Webブラウザを利用するだけで簡単かつ安全に社内ネットワークにアクセスすることができます。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. サービスでの取り扱い機種を教えてください。
• A. 本サービスでの取り扱い機種は下記の２機種となります。
  ・Juniper Secure Access 700
  ・Juniper Secure Access 2500
  
  ⇒サービス紹介ページはこちら
  

---

• Q. FTPはサポートされてますか？
• A. NetworkConnectを利用した場合は、Active・Passive共にサポートされています。PortForwardを利用した場合は、Passiveのみのサポートとなります。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. NetworkConnectとは何ですか？
• A. トンネリング方式により、SSL-VPN通信を行う機能となります。
  
  ⇒サービス紹介ページはこちら
  

---

• Q. 冗長化構成はできますか？
• A. はい、可能です。
  ⇒サービス紹介ページはこちら
  
  

---