Cisco Unified Communications Manager セキュリティ ガイド、リリース 10.0(1)
電話機のセキュリティ
電話機のセキュリティ

電話機のセキュリティ

この章では、電話機のセキュリティについて説明します。

電話機のセキュリティ

インストールのとき、Cisco Unified Communications Manager は非セキュア モードで起動します。 Cisco Unified Communications Manager のインストール後に電話機が起動すると、すべてのデバイスは非セキュアとして Cisco Unified Communications Manager に登録されます。

Cisco Unified Communications Manager 4.0(1) またはそれ以降のリリースからアップグレードした後は、アップグレード前に有効にしたデバイス セキュリティ モードで電話機が起動します。デバイスはすべて、選択されたセキュリティ モードを使用して登録されます。

Cisco Unified Communications Manager をインストールすると、Cisco Unified Communications Manager と TFTP サーバで CA 署名付き証明書が作成されます。 自己署名証明書ではなく、Cisco Unified Communications Manager のサードパーティの CA 署名付き証明書を使用することもできます。 認証を設定すると、Cisco Unified Communications Manager はその証明書を使用して、サポートされている Cisco Unified IP Phone で認証します。 証明書が Cisco Unified Communications Manager および TFTP サーバに存在していれば、Cisco Unified Communications Manager はそれぞれの Cisco Unified Communications Manager のアップグレード時に証明書を再発行しません。 新しい証明書エントリで新しい CTL ファイルを作成する必要があります。


ヒント


サポートされていないシナリオまたは安全でないシナリオについては、インタラクションと制限事項に関連したトピックを参照してください。


Cisco Unified Communications Manager は、認証および暗号化のステータスをデバイス レベルで維持します。 コールに関係するすべてのデバイスがセキュアとして登録されると、コール ステータスはセキュアとして登録されます。 いずれか 1 つのデバイスが非セキュアとして登録されると、発信者または受信者の電話機がセキュアとして登録されても、そのコールは非セキュアとして登録されます。

ユーザが Cisco Extension Mobility を使用する場合、Cisco Unified Communications Manager はデバイスの認証および暗号化ステータスを保持します。 また、共有回線が設定されている場合も、Cisco Unified Communications Manager はデバイスの認証および暗号化ステータスを保持します。


ヒント


暗号化された Cisco Unified IP Phone に対して共有回線を設定する場合は、回線を共有するすべてのデバイスを暗号化用に設定します。つまり、暗号化をサポートするセキュリティ プロファイルを適用して、すべてのデバイスのデバイス セキュリティ モードを暗号化済みに設定します。


信頼できるデバイス

Cisco Unified Communications Manager では、Cisco Unified IP Phone の電話モデルごとにセキュリティ アイコンを有効にすることができます。 セキュリティ アイコンは、コールがセキュアであるかどうか、および接続されるデバイスが信頼できるかどうかを示します。

信頼できるデバイスとは、信頼できる接続に関するシスコのセキュリティ基準を満たしている、シスコ デバイスまたはサードパーティ製デバイスです。 このセキュリティ基準には、シグナリング暗号化またはメディア暗号化、プラットフォームのセキュリティ強化、および保証が含まれますが、これだけではありません。 デバイスが信頼できる場合、セキュリティ アイコンが表示され、サポート対象のデバイスでセキュア トーンが再生されます。 また、そのデバイスで、セキュア コールに関連する他の機能またはインジケータも使用できます。

Cisco Unified Communications Manager は、デバイスをシステムに追加したときに、そのデバイスが信頼できるかどうかを判断します。 セキュリティ アイコンは情報提供を目的として表示されるだけなので、管理者はこのアイコンを直接設定できません。

Cisco Unified Communications Manager は、Cisco Unified Communications Manager の管理ページでアイコンとメッセージを表示することによっても、ゲートウェイが信頼されるかどうかを示します。

この項では、Cisco Unified IP PhoneCisco Unified Communications Manager の管理ページの両方における信頼されるデバイスのセキュリティ アイコンの動作について説明します。

Cisco Unified Communications Manager Administration

Cisco Unified Communications Manager の管理ページの次のウィンドウは、デバイスが信頼されるかどうかを示します。

[ゲートウェイの設定(Gateway Configuration)]

[ゲートウェイの設定(Gateway Configuration)] ウィンドウ([デバイス(Device)] > [ゲートウェイ(Gateway)])には、ゲートウェイ タイプごとに、[デバイスは信頼済み(Device is trusted)] または [デバイスは信頼されていない(Device is not trusted)] が対応するアイコンとともに表示されます。

デバイスが信頼済みであるかどうかは、デバイス タイプに基づいて判別されます。 デバイスが信頼済みであるかどうかは設定できません。

[電話の設定(Phone Configuration)]

[電話の設定(Phone Configuration)] ウィンドウ([デバイス(Device)] > [電話機(Phone)])では、電話機のデバイス タイプごとに、[デバイスは信頼済み(Device is trusted)] または [デバイスは信頼されていない(Device is not trusted)] が、対応するアイコンとともに表示されます。

デバイスが信頼済みであるかどうかは、デバイス タイプに基づいて判別されます。 デバイスが信頼済みであるかどうかは設定できません。

信頼判断基準と呼ばれるデバイス

ユーザがコールするデバイスのタイプは、電話機に表示されるセキュリティ アイコンに影響します。 次の 3 つの基準を考慮して、コールがセキュアであるかどうかが判断されます。

  • コールのすべてのデバイスが信頼できるデバイスであるかどうか。

  • シグナリングがセキュアであるかどうか(認証および暗号化されているかどうか)。

  • メディアがセキュアであるかどうか。

サポート対象の Cisco Unified IP Phone にロック セキュリティ アイコンが表示される前に、これら 3 つの基準がすべて満たされている必要があることに注意してください。 信頼できないデバイスがコールに含まれている場合、シグナリングおよびメディアのセキュリティに関係なく、コール全体のステータスは非セキュアになり、電話機にロック アイコンは表示されません。 たとえば、信頼できないデバイスを会議に加えると、そのコール レッグだけでなく会議そのものも非セキュアであると見なされます。

電話機モデルのサポート

Cisco Unified Communications Manager においてセキュリティをサポートする電話機のモデルには、セキュアなシスコの電話機とセキュアな推奨ベンダーの電話機の 2 つのカテゴリがあります。 セキュアなシスコの電話機は、製造元でインストールされる証明書(MIC)を使用して事前にインストールされ、Certificate Authority Proxy Function(CAPF)を使用してローカルで有効な証明書(LSC)の自動生成と交換をサポートします。 セキュアなシスコの電話機は、それ以外の証明書管理を必要とせず、MIC を使用して Cisco Unified CM に登録できます。 追加のセキュリティとして、CAPF を使用して LSC を作成し、電話機にインストールできます。 詳細については、電話機のセキュリティ設定と設定項目に関連したトピックを参照してください。

セキュアな推奨ベンダーの電話機は、MIC を使用して事前にインストールされることはなく、LSC 生成のための CAPF はサポートされません。 セキュアな推奨ベンダーの電話機で Cisco Unified CM に接続するには、証明書がデバイスとともに提供されるか、デバイスによって生成される必要があります。 電話機のサプライヤは、電話機の証明書の取得や生成の方法についての詳細を提供する必要があります。 証明書を取得したら、OS 管理の証明書管理インターフェイスを使用して Cisco Unified CM に証明書をアップロードする必要があります。 詳細については、推奨ベンダーの SIP 電話のセキュリティの設定に関連したトピックを参照してください。

使用している電話機でサポートされるセキュリティ機能の一覧については、今回のリリースの Cisco Unified Communications Manager をサポートする電話機の管理マニュアルおよびユーザ マニュアル、または、使用しているファームウェア ロードをサポートするファームウェアのマニュアルを参照してください。

Cisco Unified Reporting を使用して、特定の機能をサポートしている電話機のリストを表示することもできます。 Cisco Unified Reporting の使用方法の詳細については、『Cisco Unified Reporting Administration Guide』を参照してください。

推奨ベンダーの SIP 電話のセキュリティの設定

セキュアな推奨ベンダーの電話機は、サードパーティ ベンダーによって製造された電話機タイプですが、COP ファイルを使用して Cisco Unified データベースにインストールされます。 Cisco Unified Communications Manager は、推奨ベンダーの SIP 電話のセキュリティを提供します。 セキュリティをサポートするには、COP ファイルで推奨ベンダーの SIP 電話のセキュリティ暗号化およびセキュリティ認証を有効にする必要があります。 これらの電話機タイプが [新規電話を追加(Add a New Phone)] ウィンドウのドロップダウン リストに表示されます。 すべての推奨ベンダーの電話でダイジェスト認証がサポートされますが、推奨ベンダーの電話機すべてが TLS セキュリティをサポートしているわけではありません。 セキュリティ機能は電話機のモデルに基づきます。 電話セキュリティ プロファイルに [デバイスセキュリティモード(Device Security Mode)] フィールドが含まれている場合は、その電話機で TLS セキュリティがサポートされます。

推奨ベンダーの電話機が TLS セキュリティをサポートする場合、デバイスごとの証明書と共有証明書の 2 つのモードが考えられます。 電話機のサプライヤは、電話機の証明書を生成または取得する手順の他に、電話機に適用可能なモードも指定する必要があります。

推奨ベンダーの SIP 電話セキュリティ プロファイルのデバイスごとの証明書の設定

デバイスごとの証明書を使用して推奨ベンダーの SIP 電話機のセキュリティ プロファイルを設定するには、次の手順を実行します。

手順
    ステップ 1   OS 管理の証明書管理インターフェイスを使用して、電話機ごとに証明書をアップロードします。
    ステップ 2   Cisco Unified Administration で、[システム(System)] > [セキュリティ(Security)] > [電話セキュリティプロファイル(Phone Security Profile)] の順に選択します。
    ステップ 3   この電話機のデバイス タイプの新しい電話セキュリティ プロファイルを設定し、[デバイスセキュリティモード(Device Security Mode)] ドロップダウン リスト ボックスで [暗号化(Encrypted)] または [認証のみ(Authenticated)] を選択します。
    ステップ 4   CCMAdmin インターフェイスで新しい SIP 電話機を設定するには、[デバイス(Device)] > [電話(Phone)] > [新規追加(Add New)] の順に選択します。
    ステップ 5   電話のタイプを選択します。
    ステップ 6   必要なフィールドを入力します。
    ステップ 7   [デバイスセキュリティプロファイル(Device Security Profile)] ドロップダウン リスト ボックスで、作成したプロファイルを選択します。

    推奨ベンダーの SIP 電話セキュリティのプロファイル共有証明書の設定

    共有証明書を使用して推奨ベンダーの SIP 電話のセキュリティ プロファイルを設定するには、次の手順を実行します。

    手順
      ステップ 1   電話機のベンダーの指示に従って、サブジェクト代替名(SAN)ストリングを指定して証明書を生成します。 SAN は DNS のタイプである必要があります。 この手順で指定した SAN をメモに控えておきます。 たとえば、X509v3 拡張の場合:
      ステップ 2   X509v3 サブジェクト代替名
      ステップ 3   DNS:AscomGroup01.acme.com
      (注)     

      SAN は DNS のタイプである必要があります。そうでない場合、セキュリティは有効になりません。

      ステップ 4   OS 管理の証明書管理インターフェイスを使用して、共有証明書をアップロードします。
      ステップ 5   Cisco Unified Administration で、[システム(System)] > [セキュリティ(Security)] > [電話セキュリティプロファイル(Phone Security Profile)] の順に選択します。
      ステップ 6   [名前(Name)] フィールドにサブジェクト代替名(SAN)の名前を入力します。これは、推奨ベンダーによって提供される証明書上の名前です。または、SAN がない場合は証明書名を入力します。
      (注)     

      セキュリティ プロファイルの名前は、証明書の SAN と正確に一致する必要があります。そうでない場合、セキュリティは有効になりません。

      ステップ 7   [デバイスセキュリティモード(Device Security Mode)] ドロップダウン リスト ボックスで、[暗号化(Encrypted)] または [認証のみ(Authenticated)] を選択します。
      ステップ 8   [転送タイプ(Transport type)] ドロップダウン リスト ボックスで、[TLS] を選択します。
      ステップ 9   CCMAdmin インターフェイスで新しい SIP 電話機を設定するには、[デバイス(Device)] > [電話(Phone)] > [新規追加(Add New)] の順に選択します。
      ステップ 10   電話のタイプを選択します。
      ステップ 11   必須フィールドに入力します。
      ステップ 12   [デバイスセキュリティプロファイル(Device Security Profile)] ドロップダウン リスト ボックスで、作成したプロファイルを選択します。

      関連情報

      電話機のセキュリティ設定項目の表示

      セキュリティをサポートする電話機に、特定のセキュリティ関連設定を構成して表示することができます。たとえば、電話機にインストールされている証明書がローカルで有効な証明書(LSC)か製造元でインストールされる証明書(MIC)かを確認できます。 セキュリティ メニューおよびアイコンの詳細については、使用している電話機モデルおよび今回のバージョンの Cisco Unified Communications Manager をサポートする Cisco Unified IP Phone の管理マニュアルおよびユーザ マニュアルを参照してください。

      Cisco Unified Communications Manager がコールを認証済みまたは暗号化済みとして分類すると、コールの状態を示すアイコンが電話機に表示されます。 Cisco Unified Communications Manager がコールを認証済みまたは暗号化済みとして分類する場合を判別するには。

      電話機のセキュリティの設定

      以下に、サポートされる電話機のセキュリティを設定するための作業手順を示します。

      手順
        ステップ 1   Cisco CTL クライアントを設定し、Cisco Unified Communications Manager セキュリティ モードを混合モードにしていない場合、設定します。
        ステップ 2   電話機に、ローカルで有効な証明書(LSC)または製造元でインストールされる証明書(MIC)が含まれていない場合、Certificate Authority Proxy Function(CAPF)を使用して LSC をインストールします。
        ステップ 3   電話機のセキュリティ プロファイルを設定します。
        ステップ 4   電話機のセキュリティ プロファイルを電話機に適用します。
        ステップ 5   ダイジェスト信用証明書を設定した後、[電話の設定(Phone Configuration)] ウィンドウで、[ダイジェストユーザ(Digest User)] を選択します。
        ステップ 6   Cisco Unified IP Phone 7960G または 7940G(SIP のみ)で、[エンドユーザの設定(End User Configuration)] ウィンドウで設定したダイジェスト認証ユーザ名およびパスワード(ダイジェスト信用証明書)を入力します。
        (注)     

        このマニュアルでは、電話機でダイジェスト認証信用証明書を入力する手順については説明しません。 この作業の実行方法については、ユーザの電話機モデルと今回のバージョンの Cisco Unified Communications Manager をサポートする Cisco Unified IP Phone のアドミニストレーション ガイドを参照してください。

        ステップ 7   電話機設定ファイルを暗号化します(電話機がこの機能をサポートする場合)。
        ステップ 8   電話機の設定を無効にして電話機のセキュリティを強化します。

        関連情報

        電話機のセキュリティの参考情報

        シスコの関連マニュアル

        • Cisco Unified IP Phone Administration Guide for Cisco Unified Communications Manager

        • Troubleshooting Guide for Cisco Unified Communications Manager

        関連情報