Cisco Jabber 10.6 計画ガイド
セキュリティ
セキュリティ

セキュリティ

連邦情報処理規格(FIPS)

Cisco Jabber for Windows のみ。

連邦情報処理規格(FIPS)140 は、承認されたセキュリティ機能を実装し、暗号境界内に存在するハードウェア、ソフトウェア、およびファームウェアのセットを含む暗号モジュールのセキュリティ要件を規定した米国およびカナダ政府の標準です。

FIPS では、Cisco Jabber for Windows 内部で使用される暗号化、キー交換、デジタル署名、ハッシュ、および乱数生成関数のすべてが暗号モジュールのセキュリティに関する FIPS 140.2 要件に準拠している必要があります。

Cisco Jabber for Windows は FIPS 140.2 に準拠しています。 クライアントを FIPS モードで実行するには、Windows オペレーティング システム上で FIPS を有効にする必要があります。 クライアントは、オペレーティング システムが FIPS モードになっており、それに応じて FIPS モードで動作していることを検出します。

FIPS モードではクライアントによる証明書の管理がより厳密になります。 サービスの証明書が期限切れになり、その前に FIPS モードのユーザが自分のクレデンシャルを再入力しなかった場合は、クライアントに証明書エラーが表示されます。 ハブ ウィンドウにも、クライアントが FIPS モードで実行中であることを示す FIPS アイコンが表示されます。

ファイル転送および画面キャプチャのコンプライアンスおよびポリシー管理

Cisco Unified Communications Manager IM and Presence 10.5(2) 以降の管理されたファイル転送オプションを使用してファイル転送と画面キャプチャを送信する場合は、監査およびポリシー強制用のコンプライアンス サーバにファイルを送信できます。

コンプライアンスの詳細については、『Instant Messaging Compliance for IM and Presence Service on Cisco Unified Communications Manager』ガイドを参照してください。

ファイル転送と画面キャプチャの詳細については、『Cisco Unified Communications Manager IM and Presence Deployment and Installation Guide』を参照してください。

インスタント メッセージの暗号化

Cisco Jabber は、TLS を使用して、クライアントとサーバ間のネットワーク上で XMPP トラフィックを保護します。 また、ポイント ツー ポイント インスタント メッセージを暗号化します。

オンプレミス暗号化

次の表に、オンプレミス展開におけるインスタント メッセージ暗号化の詳細を示します。

接続

プロトコル

ネゴシエーション証明書

想定される暗号化アルゴリズム

クライアントからサーバへ

XMPP over TLS v2

X.509 公開キー インフラストラクチャ証明書

AES 256 ビット

サーバとクライアントのネゴシエーション

次のサーバは、X.509 公開キー インフラストラクチャ(PKI)証明書と次のものを使用して Cisco Jabber と TLS 暗号化をネゴシエートします。
  • Cisco Unified Presence

  • Cisco Unified Communications Manager

サーバとクライアントが TLS 暗号化をネゴシエートした後、インスタント メッセージのトラフィックを暗号化するためにクライアントとサーバの両方がセッション キーを生成して交換します。

次の表に、Cisco Unified Presence と Cisco Unified Communications Manager IM and Presence Service の PKI 証明書キー長を示します。

バージョン

キーの長さ

Cisco Unified Communications Manager IM and Presence Service バージョン 9.0.1 以降

2048 ビット

Cisco Unified Presence バージョン 8.6.4

2048 ビット

Cisco Unified Presence バージョン 8.6.4 以前

1024 ビット

XMPP 暗号化

Cisco Unified Presence と Cisco Unified Communications Manager IM and Presence Service はどちらも、Cisco Jabber とプレゼンス サーバ間のインスタント メッセージ トラフィックを保護するために AES アルゴリズムで暗号化された 256 ビット長のセッション キーを使用します。

サーバ ノード間のトラフィックのセキュリティを強化する必要がある場合は、Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence Service 上で XMPP セキュリティ設定を構成できます。 セキュリティ設定の詳細については、次のドキュメントを参照してください。
  • Cisco Unified Presence:『Configuring Security on Cisco Unified Presence

  • Cisco Unified Communications Manager IM and Presence Service:『Security configuration on IM and Presence

インスタント メッセージのロギング

必要に応じて、規制ガイドラインへのコンプライアンスのためにインスタント メッセージをログに記録し、アーカイブできます。 インスタント メッセージをログに記録するには、外部データベースを設定するか、またはサードパーティ製のコンプライアンス サーバと統合します。 Cisco Unified Presence と Cisco Unified Communications Manager IM and Presence Service は、外部データベースまたはサードパーティ製コンプライアンス サーバに記録されたインスタント メッセージを暗号化しません。 必要に応じて、外部データベースまたはサードパーティ製のコンプライアンス サーバを設定し、ログに記録したインスタント メッセージを保護する必要があります。

コンプライアンスの詳細については、次のドキュメントを参照してください。
  • Cisco Unified Presence:『Instant Messaging Compliance Guide

  • Cisco Unified Communications Manager IM and Presence Service:『Instant Messaging Compliance for IM and Presence Service

AES などの対称キー アルゴリズムや RSA などの公開キー アルゴリズムを含め、暗号化レベルや暗号化アルゴリズムの詳細については、「Next Generation Encryption」を参照してください。

X509 公開キー インフラストラクチャ証明書の詳細については、『Internet X.509 Public Key Infrastructure Certificate and CRL Profile』のドキュメントを参照してください。

クラウドベースの暗号化

次の表に、クラウドベース展開におけるインスタント メッセージ暗号化の詳細を示します。

接続

プロトコル

ネゴシエーション証明書

想定される暗号化アルゴリズム

クライアントからサーバへ

TLS 内の XMPP

X.509 公開キー インフラストラクチャ証明書

AES 128 ビット

クライアント間

TLS 内の XMPP

X.509 公開キー インフラストラクチャ証明書

AES 256 ビット

サーバとクライアントのネゴシエーション

次のサーバが Cisco WebEx Messenger サービスと X.509 公開キー インフラストラクチャ(PKI)証明書を使用して Cisco Jabber と TLS 暗号化をネゴシエートします。

サーバとクライアントが TLS 暗号化をネゴシエートした後、インスタント メッセージのトラフィックを暗号化するためにクライアントとサーバの両方がセッション キーを生成して交換します。

XMPP 暗号化

Cisco WebEx Messenger サービスは Cisco Jabber と Cisco WebEx Messenger サービス間のインスタント メッセージング トラフィックを保護する AES アルゴリズムで暗号化された 128 ビット長のセッション キーを使用します。

必要に応じて、256 ビットのクライアント間の AES 暗号化を有効にしてクライアント間のトラフィックを保護します。

インスタント メッセージのロギング

Cisco WebEx Messenger サービスは、インスタント メッセージをログに記録できますが、それらのインスタント メッセージを暗号化形式でアーカイブしません。 ただし、Cisco WebEx Messenger サービスは、SAE-16 や ISO-27001 監査などの厳重なデータ センター セキュリティを使用して、記録したインスタント メッセージを保護します。

Cisco WebEx Messenger サービスは、AES 256 ビット クライアント間暗号化が有効になっていると、インスタント メッセージをログに記録できません。

AES などの対称キー アルゴリズムや RSA などの公開キー アルゴリズムを含め、暗号化レベルや暗号化アルゴリズムの詳細については、「Next Generation Encryption」を参照してください。

X509 公開キー インフラストラクチャ証明書の詳細については、「Internet X.509 Public Key Infrastructure Certificate and CRL Profile」のドキュメントを参照してください。

クライアント間の暗号化

デフォルトで、クライアントと Cisco WebEx Messenger サービス間のインスタント メッセージング トラフィックは保護されます。 必要に応じて、Cisco WebEx 管理ツールでクライアント間のインスタント メッセージング トラフィックを保護するためのポリシーを指定できます。

次のポリシーは、クライアント間のインスタント メッセージの暗号化を指定します。
  • IM の AES 符号化をサポートする:送信クライアントが AES 256 ビット アルゴリズムを使用してインスタント メッセージを暗号化します。 受信クライアントはインスタント メッセージを復号化します。

  • IM の符号化をサポートしない:クライアントは暗号化をサポートしない他のクライアントとインスタント メッセージを送受信できます。

次の表に、これらのポリシーを使用して設定できる組み合わせを示します。

ポリシーの組み合わせ

クライアント間の暗号化

リモート クライアントが AES 暗号化をサポートしている場合

リモート クライアントが AES 暗号化をサポートしていない場合

[IM の AES 符号化をサポートする(Support AES Encoding For IM)] = false

[IM の符号化をサポートしない(Support No Encoding For IM)] = true

No

Cisco Jabber は、暗号化されていないインスタント メッセージを送信します。

Cisco Jabber は、キー交換をネゴシエートしません。 そのため、他のクライアントは Cisco Jabber で暗号化されたインスタント メッセージを送信しません。

Cisco Jabber は、暗号化されていないインスタント メッセージを送受信します。

[IM の AES 符号化をサポートする(Support AES Encoding For IM)] = true

[IM の符号化をサポートしない(Support No Encoding For IM)] = true

Yes

Cisco Jabber は、暗号化されたインスタント メッセージを送受信します。

Cisco Jabber は、インスタント メッセージが暗号化されていることを示すアイコンを表示します。

Cisco Jabber は、暗号化されたインスタント メッセージを送信します。

Cisco Jabber は、暗号化されていないインスタント メッセージを受信します。

[IM の AES 符号化をサポートする(Support AES Encoding For IM)] = true

[IM の符号化をサポートしない(Support No Encoding For IM)] = false

Yes

Cisco Jabber は、暗号化されたインスタント メッセージを送受信します。

Cisco Jabber は、インスタント メッセージが暗号化されていることを示すアイコンを表示します。

Cisco Jabber は、リモート クライアントとインスタント メッセージを送受信しません。

Cisco Jabber は、ユーザがリモート クライアントにインスタント メッセージを送信しようとしたときにエラー メッセージを表示します。


(注)  


  • Cisco Jabber は、グループ チャットでのクライアント間暗号化をサポートしません。 Cisco Jabber は、ポイントツーポイント チャットでのみクライアント間暗号化を使用します。


暗号化と Cisco WebEx ポリシーの詳細については、Cisco WebEx のマニュアルで「About Encryption Levels」のトピックを参照してください。

暗号化アイコン

暗号化レベルを表示するには、クライアントが表示するアイコンを確認します。

サーバの暗号化対応クライアント用のロック アイコン

オンプレミス展開とクラウドベース展開の両方で、Cisco Jabber はクライアント/サーバ間暗号化を示す次のアイコンを表示します。


クライアントの暗号化対応クライアント用の鍵アイコン

クラウドベース展開で、Cisco Jabber はクライアント間暗号化を示す次のアイコンを表示します。


ローカルのチャット履歴

ローカル チャット履歴が有効になっている場合、Cisco Jabber for iPhone and iPad は、モバイル デバイスにローカルに格納されるアーカイブ インスタント メッセージを暗号化しません。 暗号化されていないインスタント メッセージをローカルに格納することを望まない場合は、ローカル チャット履歴を無効にしてください。

ローカル チャット履歴が有効になっている場合、Cisco Jabber for Android は、モバイル デバイスにローカルに格納されるアーカイブ インスタント メッセージを暗号化しません。 暗号化されていないインスタント メッセージをローカルに格納することを望まない場合は、ローカル チャット履歴を無効にしてください。

ローカル チャット履歴を有効にすると、Cisco Jabber for Windows はインスタント メッセージを暗号化形式でアーカイブしません。 チャット履歴へのアクセスを制限するために、クライアントはアーカイブを %USERPROFILE%\AppData\Local\Cisco\Unified Communications\Jabber\CSF\History\uri.db ディレクトリに保存します。

ローカル チャット履歴を有効にすると、Cisco Jabber for Mac はインスタント メッセージを暗号化形式でアーカイブしません。 チャット履歴へのアクセスを制限するために、Cisco Jabber はアーカイブを ~/Library/Application Support/Cisco/Unified Communications/Jabber/CSF/History/uri.db ディレクトリに保存します。

オンプレミス展開の場合、Cisco Jabber for Mac の [チャットの設定(Chat Preferences)] ウィンドウで [チャットのアーカイブを次に保存:(Save chat archives to:)] オプションを選択すると、チャット履歴は Mac ファイル システムにローカルに保存され、Spotlight を使用して検索できるようになります。

チャット履歴は、参加者がチャット ウィンドウを閉じたあともサインアウトするまで維持されます。 参加者がチャット ウィンドウを閉じたらチャット履歴を破棄する場合は、Disable_IM_History パラメータを ture に設定します。 このパラメータは、IM 専用ユーザを除く、すべてのクライアントで使用できます。