KEYVPN™ CLIENT KeyVPN Client™の特長とベネフィット

KEYVPN™ CLIENT
アンドロイド端末OEMと企業ユーザ向けに最適化された、業界最先端のIPSEC VPNクライアント
KeyVPN Client™の特長とベネフィット
•
•
最新のアンドロイドバージョンをサポート(Ice
Cream Sandwich, Jelly Bean)
Configuration Wizard for IT administratorsによ
り、ユーザによるVPN設定はワンクリックで実現
•
出荷後の端末にインストール可能なアプリとして提供
(Android 4.x以降)
•
スプリットトンネリングにより、必要なデータのみをセ
キュアにし、バッテリ節約も実現
•
通信キャリア要件に準拠
•
エンタープライズ認証:Hybrid RSA、EAP—
MSCHPv2、EAP-MD5、RSA Secure ID
•
政府、金融機関、ヘルスケア産業のセキュリティ要件
を満たすスイートBアルゴリズムとFIPS140-2レベル
1認定暗号(オプション)
現在、モバイル市場では消費者レベルでのアンドロイド端末の普及が急激に進んでいます。現在企業は、世界各国の
消費者たちが容認していたアンドロイド端末の特徴、機能性、そしてユーザエクスペリエンス等に注目をしています。
ア
ンドロイド端末OEMは消費者向け端末を企業向きへと移行しつつありますがBlackberryやiPhoneと競争するにはよ
り高度なセキュリティ機能が必要など、課題は多々存在します。
KeyVPN™ Client: 業界最先端のモバイルVPNソリューション
KeyVPN Clientは徹底されたアンドロイドOEM用のセキュリティソリューションとして開発されました。企業機密を扱
う際に必要とされるVPN通信トンネルを簡単にアンドロイド端末へと組み込むことが出来ます。そのうえ、
アンドロイド
4.X の端末にはダウンロード可能なモバイルアプリとしてワンクリックで活用出来ます。
KeyVPN™ ClientはVPNコンソーシアムの相互接続性試験で実証済みであるNanoSecをベースに作られており、直
感的に操作できるGUIと最新のアンドロイドOS対応可能なサポートが付いています。
マルチプラットフォームにも対応可能なので、OEMは一つの暗号モジュールを複数のSecurity Detail™ Android
OEM製品(NanoSecやKeyDARなど)を活用する事が出来、
システムレベルでの効率そしてサイズやパフォーマンス
の改善が実現されます。
モカナの暗号モジュールは全てNSAスイートBを使用しています。
さらに、オプションであるモカナFIPS140-2レベル1
認証済み暗号モジュールを採用する事で、OEMは消費者、企業そして政府機関のセキュリティ要件全てに準拠する事
が可能となります。
© 2014 Mocana Corporation
Updated July 17, 2014
1
小規模なパッケージで大幅なVPN活用性
KeyVPN™ Clientは全てのエンドユーザに簡単で直感的な操作が出来るGUIを含んでいます。他にもマルチVPN構
成プロファイルや多数のゲートウェイ処理、VPN有無の同時トラフィックのサポートやスイートB暗号などが特長として
あります。
高度な構成を簡単操作
• モジュラーデザイン:GUIの無い組み込み端末に統合を促進
• カスタマイズ性が高い:ほぼ全ての市場にあてはまる、オープンソースIPSecベースVPNサーバソフトウェアまたは
アプライアンスへの接続が可能
• 多目的:一つのIPSecコアサポートをIMS 4Gと企業用VPNの連結性へ使用
• 効率が良い:一つの暗号モジュールを複数のセキュリティアプリケーションに使用することが可能
企業と政府アプリをサポート
• NSAスイートB暗号含む
• FIPS140-2レベル1認定暗号モジュール
モバイルOSプラットフォームをサポート
• アンドロイド Ice Cream Sandwich
• アンドロイド Jerry Bean
• アンドロイド KitKat
ハードウェア プラットフォームをサポート
KeyVPN™ Clientのベネフィット
アンドロイド情報端末が企業や政府機関へ普及するにつれ、バックエンドのITシステムや基盤などの安全性を確保す
る必要性が高まりつつあります。モカナのKeyVPN™ Clientを利用することでOEM は標準的なアンドロイドを遥かに
上回るセキュリティ機能を確保できます。
企業の通信手順に見合う
IKE/IPSec VPNは企業のデスクトップPCやラップトップPCなどに頻繁に活用されています。今や企業はモバイル端
末にもパソコンなどと同様のVPNを要しており、KeyVPN Clientはこれに見合う通信手順であります。
現在市場にあるBlackberryやiPhoneは既にIKE/IPSec VPNを使用しています。
© 2014 Mocana Corporation
Updated July 17, 2014
2
対応性と相互運用性
IPSecベースのVPNトンネルをアンドロイドのエンドポイントと企業のVPNゲートウェイ間に設定すること
で、KeyVPN™ Clientは遠方にあるアンドロイドスマートフォンやタブレットに企業資料への安全なアクセスを許可す
ることが出来ます。
エンドポイントとゲートウェイ間の通信手順として主にIKEv/v2を使用しています。KeyVPN™ Clientは相互運用性の
ある標準に基づいたソリューションな為、事前のVPNゲートウェイベンダーとエンドツーエンドの実装が不要となりま
す。
米国政府機関との関係
全ての米国政府機関関係者とその大半の外注業者は、認証が至難なFIPS暗号法の使用を要します。
(*FIPSに関して
の資料はウェブサイトに記載されていますので、是非ご参照ください)
KeyVPN™ Clientのコアな暗号モジュールはソースまたはFIPS140-2レベル1承認のバイナリモジュールにてお届け
しています。
ソースとモジュールは両方ともNSAのスイートBアルゴリズムのフルサポートを含んでいる為、高度な保証
度システムと標準保証度のシステム間の異なるセキュリティレベル同士でも安全が確保された通信が行われます。
簡単な使用方法と開発時間の削減
KeyVPN™ ClientはGPLコードを一切使用していません。そのため、オープンソースのプロジェクトのように知的財産
が知らぬ間に公有に属していたなどのGPL Contaminationの心配は無用です。KeyVPN™ Clientの暗号は表にはそ
の複雑性が見えないデザインになっているので使用する際に暗号法専門知識を必要としません。KeyVPN™ Client を
採用したOEMは製品開発へ専念することができ、競争の激しいモバイル市場において製品出荷に要する時間を大幅
に短縮する事ができます。
さらに、KeyVPN™ Clientはハードウェアアーキテクチャ内に依存していないため小さなメモリ使用量で利用出来ま
す。
モカナの特許取得中であるAcceleration Harnessを使用するこで非同時的な送信方式が可能になり、ハードウェア
をオフロードする際にパフォーマンスの改善とバッテリー消耗防止が実現できます。KeyVPN™ Clientは必要な要素
を含んだパッケージであるため、
プロジェクトを適切にそして時間をかけず完成させることができます。
新規市場への上場
企業のアンドロイド採用にはIKE/IPsecVPNが不可欠です。KeyVPN™ Clientを採択することによりアンドロイド
OEMはアンドロイド端末を企業市場へと進出する事ができます。
さらに、オプションであるモカナFIPS140-2レベル1
認証済み暗号モジュールを採用する事で、OEMは消費者や企業以外にも政府機関や金融機関など新規市場への上場
が可能となります。
競争力の向上
アップル社のiPhoneとiPadはIKE/IPsecVPNをサポートしていますが、対応するのはCisco社のみで機能性は限られ
ています。KeyVPN™ Clientは先導しているVPNゲートウェイベンダーとの相互運用性があるため、99+%の企業市場
で活用できます。
Get There Fast
多くのアンドロイド情報端末OEMのロードマップ上にはVPNクライアントの機能性が用意されています。KeyVPN™
Clientを採択することで、市場で数少ない企業向けのプロバイダになることが実現されます。企業向けアンドロイド端
末として、
さらに、先導するOEMとして、情報端末の業務使用化に Key VPN Clientは最適な機能性を発揮します。
© 2014 Mocana Corporation
Updated July 17, 2014
3
KeyVPN™ Clientの特長
特長
ベネフィットと明細
簡単な操作 & ユーザフレンドリー
最小のクリック数になるよう最適化
直感的なデザイン
ITのトラブルシュートとチケットを減少
IKEv1 (アグレッシブとメインモード) IKEv2/IPv4/IPv6/XAUTH/
NAT Traversal
徹底的な通信手順
Data Encryption Standard (DES)/Triple DES (3DES)
(56/168ビット)またはMD5かSHAのAES (128/256ビット)を使用し
たIPSec (ESP)
ベスト・イン・クラス暗号法/
RSA、Diffie-Hellman 、Elliptic Curve、NSAスイートB暗号法のフ
ルサポート
認証
RSA SecurID、Hybrid RSA、EAP-MD5、EAP-MSCHAPv2
NSAスイートBアルゴリズムとオプション
のFIPS140-2 レベル1認証暗号法
高度な暗号法基準と認証を使用
ヘルスケア、金融そして米国政府機関が必要最低限とする暗号法
余分な設備は不要
VPNC(VPNコンソーシアム)承認の
相互運用性
現存しているVPNゲートウェイと共存可能
最高限度で事業水準の通信手順との共存
MDMコンソールで
VPNプロフィール設定
MDMコンソールからVPNプロファイルを設定する場合APIを提供
VPNとVPN無しのトラフィックを同時サポート
スプリット・トンネル・モード
スムーズなユーザ・エクスピリアンスを提供
帯域幅のネックであった企業ネットワークを撤去
© 2014 Mocana Corporation
Updated July 17, 2014
4
Key Feature
Benefits & Specifications
組み込みエラー探知と
時間と資金の無駄を省く
ロギングメカニズム
早いトラブルシューティングと問題解決とITチケット
連結性
ネイティブのアンドロイドでWiFi (802.11a/b/g/b)、GPRS、3G、
Edge、UMTS、IMS 4Gワイヤレスをサポート
ホストベースの設定ツールでVPNプロファイルの作成
KeyVPN設定ウィザード
ユーザは複雑なVPN設定をする必要なし
主要のゲートウェイが作動しなくなった場合に自動的にバックアッ
プ・サーバへと繋がります
バックアップ・サーバ
X.509 v3証明書のサポート
電子証明書とアドバンス・キー・マネージメ
ント・サポート
PKCS#12、
プロビジョニング・サポート
(電子証明書)Diffie-Helman (DH法)グループ1、2、そして5の
Perfect Forward Secrecy (PFS)鍵変更
KeyVPN™ Client の機能性と実装
Figure 1: ユーザインターフェイスとホームスクリーン
端末のホームスクリーンにVPNアプリケーションアイコンが拝見できます。
© 2014 Mocana Corporation
Updated July 17, 2014
5
Figure2: 基本的な特長
KeyVPN Clientは完全に設定可能なVPNクライアントです。ユーザまたは企業のシステム管理者は独自のIKEバージ
ョン(v1)、ユーザ認証方法(証明書や既知共有鍵)またはXAUTHを選択できます。
Figure3: アドバンスレベルの特長
KeyVPN Clientは基本より高度なアドバンスレベル設定でDead Peer Detection (DPD)とスプリットトンネリング
などが利用できます。多くの設定可能なオプション(メインモードかアグレッシブモードの選択やスイートBアルゴリズ
ムの選択等)から選択利用できます
© 2014 Mocana Corporation
Updated July 17, 2014
6
KeyVPN™ Client コンプライアンスとサポート基準
KeyVPN Clientは実績があり、多くの端末に配置されているモカナNanoSec(IKE/IPSec)製品をベースに組み立て
られています。NanoSecは以下のIETF RFC、暗号化アルゴリズム、そして多々ある企業標準に準拠しています。
RFC コンプライアンス
•
RFC-2367, PF_KEY Key Management API,
Version 2
•
RFC-3566, The AES-XCBC-MAC-96 Algorithm
and Its Uses With IPsec
•
RFC 2401/4301, Security Architecture for the
Internet Protocol
•
RFC-3602, The AES-CBC Cipher Algorithm
and Its Use with IPsec
•
RFC-2402/4302, IP Authentication Header
•
RFC 3610: Counter with CBC-MAC (CCM)
•
RFC-2403/4303, The Use of HMAC-MD5-96
within ESP and AH
•
•
RFC-2404, The Use of HMAC-SHA-1-96 within
ESP and AH
RFC 3686: Using Advanced Encryption
Standard (AES) Counter Mode With IPsec
Encapsulating Security Payload (ESP)
•
RFC-3706, A Traffic-Based Method of
Detecting Dead Internet Key Exchange (IKE)
Peers
•
RFC-3715, IPsec-Network Address Translation
(NAT) Compatibility Requirements
•
RFC-3748, Extensible Authentication Protocol
(EAP)
•
RFC-3947, Negotiation of NAT-Traversal in IKE
•
RFC-3948, UDP Encapsulation of IPsec ESP
Packets
•
RFC 4106: The Use of Galois/Counter Mode
(GCM) in IPsec Encapsulating Security
Payload (ESP)
•
RFC-4306, Internet Key Exchange (IKEv2)
Protocol
•
RFC 4307: Cryptographic Algorithms for Use
in the Internet Key Exchange Version 2
•
RFC 4308: Cryptographic Suites for IPsec
•
RFC-4434, The AES-XCBC-PRF-128 Algorithm
for the Internet Key Exchange Protocol (IKE)
•
RFC-2405/4305, The ESP DES-CBC Cipher
Algorithm With Explicit IV
•
RFC-2406/4306, IP Encapsulating Security
Payload (ESP)
•
RFC-2407, The Internet IP Security Domain of
Interpretation for ISAKMP
•
RFC-2408, Internet Security Association and
Key Management Protocol (ISAKMP)
•
RFC-2409, The Internet Key Exchange (IKE)
•
RFC-2410, The NULL Encryption Algorithm
and Its Use With IPsec
•
RFC-2451, The ESP CBC-Mode Cipher
Algorithms
•
RFC-3280, Internet X.509 Public Key
Infrastructure Certificate and Certificate
Revocation List (CRL) Profile
•
RFC 3526: More Modular Exponential (MODP)
Diffie-Hellman groups for Internet Key
Exchange (IKE)
© 2014 Mocana Corporation
Updated July 17, 2014
7
•
RFC 4478: Repeated Authentication in
Internet Key Exchange (IKEv2) Protocol
•
RFC 4835: Cryptographic Algorithm
Implementation Requirements for ESP and AH
•
RFC 4543: The Use of Galois Message
Authentication Code (GMAC) in IPsec ESP
and AH
•
RFC 4868: Using HMAC-SHA-256, HMACSHA-384, and HMAC-SHA-512 with IPsec
•
RFC 4894: Use of Hash Algorithms in Internet
Key Exchange (IKE) and IPsec
•
RFC-4555, IKEv2 Mobility and Multihoming
•
RFC-4718, IKEv2 Clarifications and
Implementation Guidelines
•
RFC 4869: Suite B Cryptographic Suites for
IPsec
•
RFC 4753: ECP Groups for IKE and IKEv2
•
•
RFC 4754: IKE and IKEv2 Authentication
Using ECDSA
RFC 5685: Redirect Mechanism for the
Internet Key Exchange Protocol Version 2
(IKEv2)
•
RFC 4806: Online Certificate Status Protocol
(OCSP) Extensions to IKEv2
•
ModeConfig: draft-dukes-ike-mode-cfg-02.txt
•
XAUTH: draft-ietf-ipsec-isakmp-xauth-06.txt
•
RFC-2560, X.509 Internet Public Key
Infrastructure Online Certificate Status
Protocol - OCSP
•
RFC-3280, X.509 certificate and CRL profiles
Complete control of AH and ESP protocols
configuration
•
IKE APIs to handle VendorIDs, customization
of Initial Payload Exchange
–– Multiple concurrent instances for multihoming, VLAN, per-interface, etc.
•
IKE APIs to set / retrieve information in
XAUTH and ModeConfig interactions
•
Complete control of transport and tunnel
modes
•
Support for Dead Peer Detection (DPD) and
hooks for customization of DPD interactions.
•
Simple and complete control of shared
secrets (IKE authentication)
•
Supports Dual-Mode Operation (IKEv1 and
IKEv2)
•
Complete control of IKE exchange
•
Tight integration with Mocana NanoEAP
•
Complete control of non-compliant security
policy packets
•
Supports RSA tokens for EAP-GTC with IKEv2
(RFC 3748)
•
Full-featured IKE implementation as initiator
or responder
認証マネージメントRFCs サポート
•
IETF Draft: draft-nourse-scep-14.txt
•
X.509 v3 certificate
•
X.509 v2 CRL format
Very Granular IKE / IPsec 機能のコントロール:
•
© 2014 Mocana Corporation
Updated July 17, 2014
8
豊富な暗号アルゴリズムのサポート
乱数生成期
•
FIPS 186-2 – General Purpose (x-change
notice; SHA1)
•
FIPS 186-2 - Regular ( x-change notice,
k-change notice; SHA1)
•
NIST SP 800-90 - Random Number
Generation Using Deterministic Random Bit
Generators (DRBG)
対称暗号:
•
3DES-168-CBC
•
AES-128-CBC
•
AES-256-CBC
•
Blowfish—CBC
•
AES-192-CBC
•
DHE with Perfect Forward
Secrecy (PFS)
•
Suite-B-GCM-256
•
ECDSA
•
Suite-B-GMAC-128
•
ECDH
•
Suite-B-GMAC-256
•
SUITE B CRYPTO:
•
Suite-B-GCM-128
•
HMAC-SHA1-160
•
SHA1
•
HMAC-MD5-96
•
SHA-224
•
MD2
•
SHA-256
•
MD4
•
SHA-384
•
MD5
•
SHA-512
非対称暗号:
•
RSA
•
PKCS #1 v 1.5
•
PKCS #7
•
PKCS #8
•
Diffie-Hellman Groups 1, 2, 5,
14, 24
シグネチャ / 認証 / インテグリティ
•
Certificate-based (X.509)
authentication
•
PKCS #10
•
PKCS #12
•
HMAC-SHA1-96
•
HMAC-MD5-128
© 2014 Mocana Corporation
Updated July 17, 2014
9
モカナの包括的なモバイルデバイスセキュリティソリュー
ション
システムレベルでの高効率性
KeyVPN™ Clientは業界最高レベルのモカナ暗号モジュールNanoCrypto™を使用し、完備されたVPN ソリューショ
ンをアンドロイドOSに組込む事が可能です。KeyVPN™ Clientは、NanoSec™ (IPSec)やKeyDAR™ Encryptionな
ど、他のモカナ製セキュリティモジュールを同時活用する事が可能で、同じNanoCrypto™ ベース の暗号アルゴリズム
を使用することが出来ます。
これにより、KeyVPN™ Clientは他社のDAR暗号化ソリューションに比べ、
より高いシステ
ムレベルの高効率性を提供しています。
将来性を考えたデザイン
さらに、将来性を考えたデザインのKeyVPN™ Clientを採用する事で、OEMはモカナSecurity Detail™に含まれて
いるKeyDAR Encryption™などのモカナ社のアンドロイド用モジュールを自社コードベースに追加し、将来の機能拡
張・追加に備える事が可能です。
これにより、KeyVPN™ Clientを採用したOEMは製品開発へ専念することができ、競
争の激しいモバイル市場において製品出荷に要する時間を大幅に短縮する事ができます。
KeyVPN™
Client
Mocana’s
KeyVPN™ Client
IMS
NanoSec™
IPSec / IKEv1 /
v2 / MOBIKE
User
Space
Tools
GUI
KeyDAR™ Encryption
Data-at-Rest Encryption
Other Mocana Devie
Security Framework™
(DSF™) Modules
NanoCrypto™
FIPS 140-2 Level 1 Certified
Suite B Algorithms
モカナSecurity Detail™ for Android
mocana.com/sd/android
© 2014 Mocana Corporation
Updated July 17, 2014
10
モカナSmart Device Security Platform™ (SDSP)
全てのモカナ製品はモカナSmart Device Security Platform™ (SDSP)の一部で、多様なデバイスに対する全方位
セキュリティを提供する為に設計されています。SDSPの全てのコンポーネントは単一のコモンアーキテクチャとAPI上
に構築されています。デバイス開発者はプロジェクトに必要なコンポーネントのみを選択する事で、
コードサイズとリソ
ース使用量の削減、
さらには開発工程の短縮が可能となります。
さらに、ハードウェアやオペレーティングシステムに依
存しないSDSPの利点を活かし、共通基盤ソフトウェアを標準化・統一化する事で、全社的なソフトウェア資産の活用、
コストダウン、OEMとしての競争力強化を実現出来ます。
Device-Resident Code
LIT
M
ES
gm
Y
Ke
yD
cur
NanoS
SH™
fe
CA
Na
noEA
ty
TIO
N
P™
oot™
N a n o er ™
d
D efe n
DE
ion
Sa
TI
a
N d
Up
VIC
E
I
at
™
ed
TH
gn
TE
no
EN
N
Na
AU
Si
n
at o
e™
CE
ITY
Na
e rt ™
DEVI
NanoC
FIPS 140-2
Certified
Cryptographic
Core
vent Mgmt
VPN™
Key
ity E
Na
no
Nan
Wirele o
ss™
ty
VIC
Se
L™
SS
c™
noSe
Na
nti
™
AR
Integrati o
3r d P a r t y S n wi t h
y
and Appl ic stem
atio s
ns
VI
ON F I D ENT I A
CE C
Ide
ER
t
DE
Device
t
Cloud and On-Premise Services
m
ob
ile
Ap
gm
pM
&S
noB
M
D
ANAGEMENT
GR
SM
T
AR
CE M
EVI
Re
C o m pliance
© 2014 Mocana Corporation
Updated July 17, 2014
11
モカナコーポレーション会社概要
Mocanaは企業のデータモビリティ化の促進とInternet of Thingsから成る全てのスマートデバイスのセキュリティを
提供しています。数多くの賞を受賞した企業用モバイルアプリケーションのセキュリティプラットフォームは企業に安全
なアプリ対策をシンプルで優れたユーザエクスピリアンスを可能にしつつ、最高レベルのセキュリティを提供していま
す。Fortune50の企業を始めに、政府機関や多数の端末製造者などMocanaは幅広い分野にお客様があります。
Awards and Certificates
Mocana Corporation
710 Sansome Street
San Francisco, CA 94111
tel (415) 617-0055 toll free (866) 213-1273
www.mocana.com sales@mocana.com japansales@mocana.com
Mocana is Part of the
Trident Portfolio
© 2014 Mocana Corporation
Updated July 17, 2014
12