Cisco IP Phone 7821/7841/ 7861 アドミニストレーション ガイド for Cisco Unified Communications Manager 10.0(SIP)
Cisco IP Phone のセキュリティ
Cisco IP Phone のセキュリティ

Cisco IP Phone のセキュリティ

Cisco IP Phone セキュリティの概要

セキュリティ機能は、電話機の ID やデータへの脅威など、複数の脅威を防止します。 セキュリティ機能は、電話機と Cisco Unified Communications Manager サーバ間に認証された通信ストリームを確立し、これを維持するとともに、電話機がデジタル署名されたファイルのみ使用することを確認します。

Cisco Unified Communications Manager Release 8.5(1) 以降にはデフォルトでセキュリティ機能が搭載されており、CTL クライアントを実行しなくても、Cisco IP Phone に次のセキュリティ機能が提供されます。

  • 電話機の設定ファイルの署名

  • 電話機の設定ファイルの暗号化

  • HTTPS with Tomcat および他の Web サービスの利用


(注)  


シグナリングおよびメディア機能を保護するには、引き続き、CTL クライアントを実行し、ハードウェア eToken を使用する必要があります。


セキュリティ機能の詳細については、『Cisco Unified Communications Manager Security Guide』を参照してください。

認証局プロキシ関数(CAPF)に関連付けられた必要なタスクの実行後、ローカルで有効な証明書(LSC)が電話機にインストールされます。 LSC は Cisco Unified Communications Manager の管理ページで設定できます。詳細については、『Cisco Unified Communications Manager Security Guide』を参照してください。

あるいは、電話機の [セキュリティのセットアップ(Security Setup)] メニューから LSC のインストールを開始することもできます。 このメニューでは、LSC の更新および削除も実行できます。

電話機の現在のセキュリティ機能の表示

Cisco IP Phone 7821、7841、および 7861 のセキュリティ機能を表示します。

これらの機能と、Cisco Unified Communications Manager および Cisco IP Phone のセキュリティの詳細については、『Cisco Unified Communications Manager Security Guide』を参照してください。

手順
    ステップ 1   [アプリケーション(Applications)] を押します。
    ステップ 2   [管理者設定(Admin Settings)] > [セキュリティ設定(Security Setup)] を選択します。

    ほとんどのセキュリティ機能は、電話機に証明書信頼リスト(CTL)がインストールされている場合にだけ使用できます。 CTL の詳細については、『Cisco Unified Communications Manager Security Guide』の「Configuring the Cisco CTL Client」を参照してください。


    セキュリティ プロファイルの表示

    Cisco Unified Communications Manager をサポートしている Cisco IP Phone は、すべてセキュリティ プロファイルを使用します。このプロファイルは、電話機がセキュリティ保護、認証、または暗号化の対象になるかどうかを定義するものです。 セキュリティ プロファイルの設定、および電話機へのプロファイルの適用については、『Cisco Unified Communications Manager Security Guide』を参照してください。

    手順
    [セキュリティ設定(Security Configuration)] メニューの [セキュリティ モード(Security Mode)] 設定を参照してください。

    サポート対象のセキュリティ機能

    次の表は、Cisco IP Phone 7821、7841、および 7861 でサポートされているセキュリティ機能の概要を示しています。 これらの機能と、Cisco Unified Communications Manager および Cisco IP Phone のセキュリティの詳細については、『Cisco Unified Communications Manager Security Guide』を参照してください。

    表 1 セキュリティ機能の概要

    機能

    説明

    イメージ認証

    署名付きバイナリ ファイル(.sgn 拡張子)によって、ファームウェア イメージが電話機へのロード前に改ざんされることを防止します。 イメージが改ざんされると、電話機は認証プロセスに失敗し、新しいイメージを拒否します。

    カスタマーサイト証明書のインストール

    各 Cisco IP Phone は、デバイス認証に一意の証明書を必要とします。 電話機には製造元でインストールされる証明書(MIC)が含まれますが、追加のセキュリティについては、Cisco Unified CM の管理で、認証局プロキシ関数(CAPF)を使用して証明書をインストールするように指定できます。 あるいは、電話機の [セキュリティ設定(Security Configuration)] メニューからローカルで有効な証明書(LSC)をインストールします。

    デバイス認証

    Cisco Unified Communications Manager サーバと電話機間で、一方のエンティティが他方のエンティティの証明書を受け入れるときに行われます。 電話機と Cisco Unified Communications Manager の間でセキュアな接続を確立するかどうかを判別し、必要に応じて TLS プロトコルを使用してエンティティ間にセキュアなシグナリング パスを作成します。 Cisco Unified Communications Manager で電話機を認証できない限り、Cisco Unified Communications Manager ではそれらの電話機は登録されません。

    ファイル認証

    電話機がダウンロードするデジタル署名ファイルを検証します。 ファイルの作成後、ファイルの改ざんが発生しないように、電話機でシグニチャを検証します。 認証できないファイルは、電話機のフラッシュ メモリに書き込まれません。 電話機はこのようなファイルを拒否し、処理を続行しません。

    シグナリング認証

    TLS プロトコルを使用して、シグナリング パケットが転送中に改ざんされていないことを検証します。

    製造元でインストールされる証明書

    各 Cisco IP Phone には、固有の製造元でインストールされる証明書(MIC)が内蔵されており、デバイス認証に使用されます。 MIC は、電話機に固有の永続的な ID 証明であり、Cisco Unified Communications Manager ではそれを利用して電話機を認証します。

    セキュアな SRST リファレンス

    セキュリティ目的で SRST リファレンスを設定してから、Cisco Unified Communications Manager の管理ページで従属デバイスをリセットすると、TFTP サーバは電話機の cnf.xml ファイルに SRST 証明書を追加し、そのファイルを電話機に送信します。 その後、セキュアな電話機は TLS 接続を使用して、SRST 対応ルータと相互に対話します。

    メディアの暗号化

    SRTP を使用して、サポートされるデバイス間のメディア ストリームがセキュアであることを証明し、意図したデバイスのみがデータを受け取り、読み取れるようにします。 デバイスのメディア マスターのキー ペアの作成、デバイスへのキーの配布、キーが転送される間のキーの配布のセキュリティの確保などが含まれます。

    CAPF(Certificate Authority Proxy Function)

    電話機に非常に高い処理負荷がかかる、証明書生成手順の一部を実装します。また、キーの生成および証明書のインストールのために電話機と対話します。 電話機の代わりに、お客様指定の認証局に証明書を要求するよう CAPF を設定できます。または、ローカルで証明書を生成するように CAPF を設定することもできます。

    セキュリティ プロファイル

    電話機がセキュリティ保護または暗号化の対象になるかどうかを定義します。

    暗号化された設定ファイル

    電話機の設定ファイルのプライバシーを確保できるようにします。

    電話機の Web サーバ機能の無効化(オプション)

    電話機の多様な操作統計情報を表示する Web ページへのアクセスを禁止できます。

    電話機のセキュリティの強化

    Cisco Unified Communications Manager の管理ページから制御する追加セキュリティ オプション。

    • PC ポートの無効化
    • PC ボイス VLAN アクセスの無効化
    • 電話機の Web ページへのアクセスの無効化
    (注)     

    [PC ポートを無効にする(PC Port Disabled)]、[GARP を使う(GARP Enabled)]、および [ボイス VLAN を使う(Voice VLAN enabled)] の現在の設定値を表示するには、電話機の [セキュリティ設定(Security Configuration)] メニューを調べます。

    802.1X 認証

    Cisco IP Phone は 802.1X 認証を使用して、ネットワークへのアクセスの要求およびネットワーク アクセスができます。

    関連資料

    ローカル側で有効な証明書の設定

    電話機に LSC を設定するには、次の手順を使用します。

    はじめる前に

    次の点を調べて、対象の Cisco Unified Communications Manager および認証局プロキシ関数(CAPF)のセキュリティ設定が完了していることを確認してください。

    • CTL ファイルまたは ITL ファイルに CAPF 証明書が含まれていること。
    • Cisco Unified Communications オペレーティング システムの管理ページで、CAPF 証明書がインストールされていることを確認してください。
    • CAPF は実行および設定されています。

    これらの設定の詳細については、『Cisco Unified Communications Manager Security Guide』の「Configuring the Cisco CTL Client」の章を参照してください。

    手順
      ステップ 1   CAPF の設定時に設定された CAPF 認証コードを入手します。
      ステップ 2   電話機から、アプリケーション ボタンを押し、[管理者設定(Administrator Settings)] > [セキュリティのセットアップ(Security Setup)] を選択します。
      (注)     

      Cisco Unified Communications Manager の管理ページの [電話の設定(Phone Configuration)] ウィンドウにある [設定アクセス(Settings Access)] フィールドを使用すると、[設定(Settings)] メニューへのアクセスを制御できます。 詳細については、『Cisco Unified Communications Manager Administration Guide』を参照してください。

      ステップ 3   [LSC] を選択し、[選択(Select)] または [更新(Update)] を押します。

      認証文字列を要求するプロンプトが電話機に表示されます。

      ステップ 4   認証コードを入力し、[送信(Submit)] を押します。

      CAPF の設定に応じて、電話機で LSC のインストール、更新、または削除が開始されます。 この作業の間、[セキュリティ設定(Security Configuration)] メニューの [LSC] オプション フィールドに一連のメッセージが表示されるので、進捗状況をモニタできます。 手順が完了すると、電話機に [インストール済み(Installed)] または [未インストール(Not Installed)] と表示されます。

      LSC のインストール、更新、または削除プロセスは、完了するのに長時間かかることがあります。 [セキュリティのセットアップ(Security Setup)] メニューから [停止(Stop)] ソフトキーを押すと、任意の時点でプロセスを停止できます。

      電話機のインストール手順が成功すると、[インストール済み(Installed)] というメッセージが表示されます。 電話機に [未インストール(Not Installed)] 」と表示された場合は、認証文字列に誤りがあるか、電話機がアップグレード用に有効になっていない可能性があります。 CAPF 操作で LSC を削除し、電話機に [未インストール(Not Installed)] と表示された場合は、操作が成功したことを示しています。 CAPF サーバはエラー メッセージをログに記録します。 ログの位置を調べ、エラー メッセージの意味を理解するには、CAPF サーバのマニュアルを参照してください。


      電話コールのセキュリティ

      電話機にセキュリティを実装している場合は、電話スクリーンに表示されるアイコンによって、セキュアな電話コールや暗号化された電話コールを識別できます。 また、コールの開始時にセキュリティ トーンが再生される場合は、接続された電話機がセキュアであり保護されているかどうかも判断できます。

      セキュアなコールでは、すべてのコール シグナリングとメディア ストリームが暗号化されます。 セキュアなコールは高度なレベルのセキュリティを提供し、コールに整合性とプライバシーを提供します。 処理中のコールが暗号化されているときは、電話スクリーンのコール時間タイマーの右側にあるコール進捗アイコンが、次のアイコン に変化します。


      (注)  


      コールが PSTN などの非 IP コール レッグを経由してルーティングされる場合、コールが IP ネットワーク内で暗号化されており、鍵のアイコンが関連付けられていても、そのコールはセキュアではないことがあります。


      セキュアなコールではコールの開始時にセキュリティ トーンが再生され、接続先の電話機もセキュアな音声を送受信していることを示します。 セキュアでない電話機にコールが接続されると、セキュリティ トーンは再生されません。


      (注)  


      セキュアなコールは、2 台の電話機間でのみサポートされます。 電話会議や共有回線などの一部の機能は、セキュアなコールが設定されているときは使用できません。


      Cisco Unified Communications Manager で電話機をセキュア(暗号化および信頼された)として設定した場合、その電話機には「保護」ステータスを割り当てることができます。 その後、必要に応じて、保護された電話機は、コールの初めに通知トーンを再生するように設定できます。

      • [保護されたデバイス(Protected Device)]:セキュアな電話機のステータスを保護に変更するには、Cisco Unified Communications Manager の管理ページの [電話の設定(Phone Configuration)] ウィンドウにある [保護されたデバイス(Protected Device)] チェックボックスをオンにします([デバイス(Device)] > [電話(Phone)])。
      • [セキュア インディケーション トーンの再生(Play Secure Indication Tone)]:保護された電話機で、セキュアまたは非セキュアな通知トーンの再生を有効にするには、[セキュア インディケーション トーンの再生(Play Secure Indication Tone)] 設定を [はい(True)] に設定します。 デフォルトでは、[セキュア インディケーション トーンの再生(Play Secure Indication Tone)] は [いいえ(False)] に設定されます。 このオプションは、Cisco Unified Communications Manager の管理([システム(System)] > [サービス パラメータ(Service Parameters)] で設定します。 サーバを選択してから、Unified Communications Manager サービスを選択します。 [サービス パラメータ設定(Service Parameter Configuration)] ウィンドウで、[機能 - セキュア トーン(Feature - Secure Tone)] 領域内にあるオプションを選択します。 デフォルト設定は [いいえ(False)] です。

      セキュアな会議コールの特定

      セキュアな会議コールを開始し、参加者のセキュリティ レベルをモニタすることができます。 セキュアな電話会議は、次のプロセスに従って確立されます。

      1. ユーザがセキュアな電話機で会議を開始します。

      2. Cisco Unified Communications Manager が、コールにセキュアな会議ブリッジを割り当てます。

      3. 参加者が追加されると、Cisco Unified Communications Manager は、各電話機のセキュリティ モードを検証し、セキュアな会議のレベルを維持します。

      4. 電話機に会議コールのセキュリティ レベルが表示されます。 セキュアな会議では、電話機の画面の [会議(Conference)] の右側にセキュア アイコン が表示されます。


      (注)  


      参加者の電話機のセキュリティ モードおよびセキュアな会議ブリッジの可用性によっては、会議コールのセキュリティ レベルに影響する連携動作と制限事項があります。


      次の表は、発信側の電話機のセキュリティ レベル、参加者のセキュリティ レベル、およびセキュアな会議ブリッジの可用性に応じた、会議のセキュリティ レベルの変更に関する情報を示しています。

      表 2 会議コールのセキュリティの制限事項

      発信側の電話機のセキュリティ レベル

      使用される機能

      参加者のセキュリティ レベル

      アクションの結果

      非セキュア

      会議

      暗号化(Secure)

      非セキュアな会議ブリッジ

      非セキュアな会議

      暗号化(Secure)

      会議

      少なくとも 1 台のメンバーが非セキュア。

      セキュアな会議ブリッジ

      非セキュアな会議

      暗号化(Secure)

      会議

      暗号化(Secure)

      セキュアな会議ブリッジ

      セキュアな暗号化レベルの会議

      非セキュア

      ミートミー

      最小限のセキュリティ レベルが暗号化。

      発信側は「セキュリティ レベルを満たしていません。コールを拒否します(Does not meet Security Level, call rejected)」というメッセージを受け取る。

      暗号化(Secure)

      ミートミー

      最小限のセキュリティ レベルは非セキュア

      セキュアな会議ブリッジ

      会議はすべてのコールを受け入れる。

      セキュアな電話コールの識別

      ユーザの電話機および相手側の電話機でセキュアなコールが設定されている場合にセキュアなコールが確立されます。 相手側の電話機は、同じ Cisco IP ネットワーク内にあっても、Cisco IP ネットワーク以外のネットワークにあってもかまいません。 セキュアなコールは 2 台の電話機間でのみ形成できます。 会議コールや、複数回線を使用するその他のコールはサポートされません。

      セキュアなコールは、次のプロセスに従って確立されます。

      1. ユーザがセキュアな電話機(セキュリティ モードで保護された電話機)でコールを開始します。

      2. 電話スクリーンにセキュア アイコン が表示されます。 このアイコンは、この電話機がセキュアなコール用に設定されていることを示しますが、接続する他の電話機もセキュアであるという意味ではありません。

      3. そのコールが別のセキュアな電話機に接続された場合は、ユーザにセキュリティ トーンが聞こえ、通話の両端が暗号化および保護されていることを示します。 コールが非セキュアな電話機に接続された場合は、ユーザにはセキュリティ トーンが聞こえません。


      (注)  


      セキュアなコールは、2 台の電話機間の対話をサポートしています。 電話会議や共有回線などの一部の機能は、セキュアなコールが設定されているときは使用できません。


      保護された電話機だけで、セキュアまたは非セキュアなインディケーション トーンが再生されます。 保護されていない電話機ではトーンは聞こえません。 コール中にコール全体のステータスが変化すると、それに従ってインディケーション トーンも変化します。 そのとき、保護された電話機は対応するトーンを再生します。

      このような状況にない場合、保護された電話機はトーンを再生しません。

      • [セキュア インディケーション トーンの再生(Play Secure Indication Tone)] オプションが有効(True)になっている場合
        • エンドツーエンドのセキュアなメディアが確立され、コール ステータスがセキュアになった場合、電話機はセキュア インディケーション トーン(間に小休止を伴う 3 回の長いビープ音)を再生します。

        • エンドツーエンドの非セキュアなメディアが確立され、コール ステータスが非セキュアになった場合、電話機は、非セキュアのインディケーション トーンを再生します(間に小休止を伴う 6 回の短いビープ音)。

      [セキュア インディケーション トーンの再生(Play Secure Indication Tone)] オプションが無効になっている場合、トーンは再生されません。


      (注)  


      セキュアなコールは、2 台の電話機間でのみサポートされます。 セキュアなコールが設定されている場合は、会議コール、シェアド ライン、エクステンション モビリティといった一部の機能は使用できません。


      割り込みの暗号化

      Cisco Unified Communications Manager は、会議の確立時に電話機のセキュリティ ステータスを確認し、会議のセキュリティ表示を変更するか、またはコールの確立をブロックしてシステムの整合性とセキュリティを維持します。 次の表は、割り込みの使用時にコールのセキュリティ レベルに適用される変更内容を示しています。

      電話機に暗号化が設定されていない場合、その電話機を使用して暗号化されたコールに割り込むことはできません。 この場合、割り込みに失敗すると、割り込みが開始された電話機でリオーダー トーン(速いビジー音)が聞こえます。

      割り込みの開始側の電話機に暗号化が設定されている場合、割り込みの開始側は暗号化された電話機からセキュアでないコールに割り込むことができます。 割り込みが発生すると、Cisco Unified Communications Manager はそのコールをセキュアでないコールに分類します。

      割り込みの開始側の電話機に暗号化が設定されている場合、割り込みの開始側は暗号化されたコールに割り込むことができ、電話機はそのコールが暗号化されていることを示します。

      802.1X 認証

      Cisco IP Phone は 802.1X 認証をサポートします。

      Cisco IP Phone と Cisco Catalyst スイッチは、従来 Cisco Discovery Protocol(CDP)を使用して互いを識別し、VLAN 割り当てやインライン所要電力などのパラメータを決定します。 CDP では、ローカルに接続されたワークステーションは識別されません。 Cisco IP Phone は、EAPOL パススルー メカニズムを提供します。 このメカニズムを使用すると、Cisco IP Phone に接続されたワークステーションは、LAN スイッチにある 802.1X オーセンティケータに EAPOL メッセージを渡すことができます。 パススルー メカニズムにより、IP フォンはネットワークにアクセスする前にデータ エンドポイントを認証する際 LAN スイッチとして動作しません。

      Cisco IP Phone はまた、プロキシ EAPOL ログオフ メカニズムも提供します。 ローカルに接続された PC が IP フォンから切断された場合でも、LAN スイッチと IP フォン間のリンクは維持されるので、LAN スイッチは物理リンクの障害を認識しません。 ネットワークの完全性が脅かされるのを避けるため、IP フォンはダウンストリーム PC の代わりに EAPOL ログオフ メッセージをスイッチに送ります。これは、LAN スイッチにダウンストリーム PC の認証エントリをクリアさせます。

      802.1X 認証のサポートには、次のようなコンポーネントが必要です。

      • Cisco IP Phone: 電話機は、ネットワークへのアクセス要求を開始します。 Cisco IP Phone には、802.1x サプリカントが含まれています。 このサプリカントを使用して、ネットワーク管理者は IP 電話と LAN スイッチ ポートの接続を制御できます。 電話機に含まれる 802.1X サプリカントの現在のリリースでは、ネットワーク認証に EAP-FAST オプションと EAP-TLS オプションが使用されています。

      • Cisco Secure Access Control Server(ACS)(またはその他のサードパーティ製認証サーバ):認証サーバと電話機の両方に、電話機を認証するための共有秘密が設定されている必要があります。

      • Cisco Catalyst スイッチ(またはその他のサードパーティ製スイッチ):スイッチは、オーセンティケータとして機能し、電話機と認証サーバの間でメッセージを渡すことができるように、802.1X をサポートしている必要があります。 この交換が完了した後、スイッチはネットワークへの電話機のアクセスを許可または拒否します。

      802.1X を設定するには、次の手順を実行する必要があります。

      • 電話機で 802.1X 認証をイネーブルにする前に、他のコンポーネントを設定します。

      • PC ポートの設定:802.1X 標準では VLAN が考慮されないため、特定のスイッチ ポートに対してデバイスを 1 つだけ認証することを推奨します。 ただし、複数ドメインの認証をサポートしているスイッチもあります(Cisco Catalyst スイッチなど)。 スイッチの設定により、PC を電話機の PC ポートに接続できるかどうかが決定されます。

        • 有効:複数ドメインの認証をサポートするスイッチを使用している場合、PC ポートを有効化し、そのポートに PC を接続できます。 この場合、スイッチと接続先 PC 間の認証情報の交換をモニタするために、Cisco IP Phone はプロキシ EAPOL ログオフをサポートします。 Cisco Catalyst スイッチでの IEEE 802.1X サポートの詳細については、次の URL にある Cisco Catalyst スイッチのコンフィギュレーション ガイドを参照してください。

          http:/​/​www.cisco.com/​en/​US/​products/​hw/​switches/​ps708/​tsd_​products_​support_​series_​home.html

        • 無効:スイッチで同じポート上の複数の 802.1X 準拠デバイスがサポートされていない場合は、802.1X 認証を有効にするときに PC ポートを無効にするようにしてください。 このポートを無効にしないで PC を接続しようとすると、スイッチは電話機と PC の両方に対してネットワーク アクセスを拒否します。

      • ボイス VLAN の設定:802.1X 標準では VLAN が考慮されないため、この設定をスイッチのサポートに基づいて行うようにしてください。
        • 有効:複数ドメインの認証をサポートするスイッチを使用している場合は、ボイス VLAN を引き続き使用できます。
        • 無効:スイッチで複数ドメインの認証がサポートされていない場合は、ボイス VLAN を無効にし、ポートをネイティブ VLAN に割り当てることを検討してください。
      • MD5 共有秘密の入力:電話機で 802.1X 認証を無効にするか、工場出荷時の状態にリセットすると、以前に設定された MD5 共有秘密は削除されます。