この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
インストール時に、 Cisco Unified Communications Manager は非セキュア モードで起動します。Cisco Unified Communications Manager のインストール後に電話機が起動すると、すべてのデバイスは Cisco Unified Communications Manager に非セキュアとして登録されます。
Cisco Unified Communications Manager 4.0(1)以降のリリースにアップグレードすると、電話機はアップグレード前に有効になっているデバイスのセキュリティ モードで起動します。すべてのデバイスは選択したセキュリティ モードを使用して登録されます。
Cisco Unified Communications Manager インストールは自己署名証明書を Cisco Unified Communications Manager および TFTP サーバで作成します。また、自己署名証明書ではなく、サードパーティの Cisco Unified Communications Manager 用 CA 署名付き証明書を使用するように選択できます。認証を設定すると、 Cisco Unified Communications Manager は証明書を使用してサポートされている Cisco Unified IP Phone を認証します。証明書が Cisco Unified Communications Manager および TFTP サーバ に存在する場合は、 Cisco Unified Communications Manager は Cisco Unified Communications Manager のアップグレードごとに証明書を再発行しません。新しい証明書エントリに新しい CTL ファイルを作成する必要があります。
ヒント | サポートされていないシナリオまたは安全でないシナリオについては、インタラクションと制限事項に関連したトピックを参照してください。 |
Cisco Unified Communications Manager はデバイスレベルで認証と暗号化のステータスを維持しています。すべてのデバイスがセキュアとしてコール登録に関係すると、コール ステータスはセキュアとして登録されます。1 つのデバイスが非セキュアとして登録されると、発信者または受信者の電話がセキュアとして登録されていても、コールは非セキュアとして登録されます。
Cisco Unified Communications Manager はユーザが Cisco Extension Mobility(EM; エクステンション モビリティ)を使用する場合デバイスの認証および暗号化ステータスを保持します。Cisco Unified Communications Manager は共有回線が設定される場合もデバイスの認証および暗号化ステータスを保持します。
ヒント | 共有回線を暗号化された Cisco Unified IP Phone に設定するとき、暗号化の回線を共有するすべてのデバイスを設定します。つまり、暗号化をサポートするセキュリティ プロファイルを適用することで、すべてのデバイスのセキュリティ モードを暗号化に設定します。 |
Cisco Unified Communications Manager は Cisco Unified IP Phoneの 電話モデルによってセキュリティ アイコンを有効にできます。セキュリティ アイコンは、コールがセキュアであるかどうか、接続されたデバイスが信頼できるかどうかを示します。
信頼できるデバイスとは、シスコ製デバイスか、シスコの信頼される接続のセキュリティ基準に合格したサードパーティ製デバイスを表します。これには、シグナリングおよびメディア暗号化、プラットフォーム ハードニング、保証などがあります。デバイスが信頼できる場合、セキュリティ アイコンが表示され、サポートされるデバイスでセキュア トーンが再生されます。さらに、デバイスはセキュア コールに関係する他の機能やインジケータも備えていることがあります。
デバイスをシステムに追加すると、Cisco Unified Communications Manager はデバイスが信頼できるかどうかを判断します。セキュリティ アイコンは情報目的でだけ表示され、管理者は直接設定できません。
Cisco Unified Communications Manager アイコンおよびメッセージを Cisco Unified Communications Manager Administration に表示することでゲートウェイが信頼できるかを示します。
このセクションでは、信頼できるデバイスのセキュリティ アイコンの動作を Cisco Unified IP Phone および Cisco Unified Communications Manager Administration の両方で説明します。
Cisco Unified Communications Manager Administration の次のウィンドウには、デバイスが信頼されているかどうかが表示されます。
ゲートウェイ タイプごとに、[ゲートウェイの設定(Gateway Configuration)] ウィンドウ( )に、対応するアイコンと共に、[デバイスが信頼されています(Device Is Trusted)] または [デバイスが信頼されていません(Device Is Not Trusted)] が表示されます。
システムはデバイス タイプに基づいて、デバイスが信頼できるかどうかを判断します。ユーザはデバイスが信頼できるかどうかを設定できません。
電話デバイス タイプごとに、[電話の設定(Phone Configuration)] ウィンドウ( )に、対応するアイコンと共に、[デバイスが信頼されています(Device Is Trusted)] または [デバイスが信頼されていません(Device Is Not Trusted)] が表示されます。
システムはデバイス タイプに基づいて、デバイスが信頼できるかどうかを判断します。ユーザはデバイスが信頼できるかどうかを設定できません。
ユーザがコールするデバイスのタイプは、電話に表示されるセキュリティ アイコンに影響します。システムは次の 3 つの基準を考慮して、コールがセキュアであるかどうかを判断します。
サポートされる Cisco Unified IP Phone にロック セキュリティ アイコンが表示される前に、3 つの基準がすべて満たされている必要があることに注意してください。信頼できないデバイスを含むコールでは、シグナリングおよびメディアのセキュリティに関係なく、コール全体のステータスはセキュアでないままで、電話機にロック アイコンが表示されません。たとえば、会議で信頼できないデバイスを含めた場合、システムは、そのコール レッグと会議自体をセキュアでないものと見なします。
Cisco Unified Communications Manager をサポートする電話機モデルには 2 つの大項目があります。セキュアなシスコの電話機とセキュアな推奨ベンダーの電話機です。セキュアなシスコの電話機には、製造元でインストールされる証明書(MIC )がプリインストールされ、認証局プロキシ機能(CAPF)を使用してローカルで有効な証明書(LSC)の自動生成と交換をサポートします。セキュアなシスコの電話機は、追加の証明書の管理なしで MIC を使用して Cisco Unified CM に登録できます。セキュリティ強化のために、CAPF を使用して LSC を作成し、電話機にインストールできます。詳細については、電話のセキュリティ設定とセットアップのトピックを参照してください。
セキュアな推奨ベンダー電話機には、MIC がプリインストールされていないので、LSC の作成に CAPF をサポートしません。セキュアな推奨ベンダーの電話機が Cisco Unified CM に接続するには、証明書がデバイスにあるか、デバイスによって生成される必要があります。電話機のサプライヤは、電話機の証明書の取得または生成方法についての詳細を提供する必要があります。証明書が表示されたら、OS 管理者証明書の管理インターフェイスを使用して、Cisco Unified CM に証明書をアップロードする必要があります。詳細については、推奨ベンダーの SIP 電話のセキュリティセットアップに関するトピックを参照してください。
お使いの電話機でサポートされるセキュリティ機能のリストについては、この Cisco Unified Communications Managerリリースをサポートする電話管理およびユーザドキュメンテーション、またはファームウェアロードをサポートするファームウェアのドキュメンテーションを参照してください。
Cisco Unified Reporting を使用して特定の機能をサポートする電話機をリストすることもできます。Cisco Unified Reporting の詳細については、『Cisco Unified Reporting Administration Guide』を参照してください。
推奨ベンダーのセキュアな電話とは、サードパーティ ベンダーによって製造され、COP ファイルを通じて Cisco Unified データベースにインストールしている電話を指します。推奨ベンダーの SIP 電話のセキュリティは、Cisco Unified Communications Manager が提供しています。セキュリティをサポートするには、COP ファイルで、推奨ベンダーの SIP 電話のセキュリティ暗号化およびセキュリティ認証を有効にします。これらの電話のタイプは、[新しい電話を追加(Add a New Phone)] ウィンドウのドロップダウンリストに表示されます。すべての推奨ベンダーの電話はダイジェスト認証をサポートしています。一方で、TLS セキュリティをサポートしているのはその一部のみです。セキュリティ機能は電話機のモデルにより異なります。電話セキュリティ プロファイルに [デバイス セキュリティ モード(Device Security Mode)] フィールドが含まれる場合、電話は TLS をサポートしています。
推奨ベンダーの電話機が TLS をサポートしている場合は、デバイスごとの証明書、共有証明書の 2 つのモードが可能です。電話機のサプライヤは電話で使用できるモードを指定し、証明書の生成や取得についての説明を提供しなければなりません。
デバイスごとの証明書を使用して推奨ベンダーの SIP 電話機のセキュリティ プロファイルを設定するには、次の手順を実行します。
セキュリティをサポートする電話機の特定のセキュリティ関連の設定とその確認を行うことができます。たとえば、電話機にローカルで有効な証明書(LSC)または製造元でインストールされる証明書(MIC)がインストールされているかを確認できます。セキュリティのメニューとアイコンの詳細については、お使いの電話機モデルをサポートする Cisco Unified IP Phone 管理とユーザー ドキュメンテーションとこのバージョンの Cisco Unified Communications Manager を参照してください。
Cisco Unified Communications Manager がコールを認証済みまたは暗号化済みと分類すると、コール状態を示すアイコンが電話機に表示されます。Cisco Unified Communications Manager がどの時点でコールを認証済みまたは暗号化済みとして分類するかを決定する
ステップ 1 | Cisco CTL クライアントが設定されていない場合はこれを設定し、Cisco Unified Communications Manager のセキュリティ モードが混合モードであることを確認します。 | ||
ステップ 2 | 電話にローカルで有効な証明書(LSC)または製造元でインストールされる証明書(MIC)がない場合は、認証局プロキシ機能(CAPF)を使用して LSC をインストールします。 | ||
ステップ 3 | 電話のセキュリティ プロファイルを設定します。 | ||
ステップ 4 | 電話に電話セキュリティ プロファイルを適用します。 | ||
ステップ 5 | ダイジェスト クレデンシャルを設定した後、[電話の設定(Phone Configuration)] ウィンドウでダイジェスト ユーザを選択してください。 | ||
ステップ 6 | Cisco Unified IP Phone 7960G および 7940G(SIP のみ)では、[エンド ユーザ設定(End User Configuration)] ウィンドウで設定したダイジェスト認証ユーザ名とパスワード(ダイジェスト クレデンシャル)を入力します。
| ||
ステップ 7 | 電話設定ファイルを暗号化します(暗号化機能をもつ電話のみ)。 | ||
ステップ 8 | 電話のセキュリティをより強化するには、電話設定を無効にします。 |
このセクションでは、電話セキュリティの連携動作と制限を示します。
機能 |
連携動作および制限事項 |
||
---|---|---|---|
証明書の暗号化 |
Cisco Unified Communications Manager リリース 11.5(1)SU1 以降、CAPF サービスによって発行されるすべての LSC 証明書は、SHA-256 アルゴリズムで署名されています。したがって、IP 電話 7900/8900/9900 シリーズのモデルは、SHA-256 署名済み LSC 証明書および外部 SHA2 アイデンティティ証明書(Tomcat、CallManager、CAPF、TVS など)をサポートします。署名の検証が必要な、その他の暗号化の操作では、SHA-1 のみがサポートされます。
|