Cisco Unified Communications Manager セキュリティ ガイド リリース 8.0(2)
電話機のセキュリティの概要
電話機のセキュリティの概要
発行日;2012/05/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

電話機のセキュリティの概要

電話機のセキュリティ機能について

信頼できるデバイス

サポートされる電話機のモデル

電話機のセキュリティ設定の確認

電話機のセキュリティ設定用チェックリスト

参考情報

電話機のセキュリティ機能について

インストール時は、Cisco Unified Communications Manager は非セキュア モードで起動します。Cisco Unified Communications Manager のインストール後、電話機を起動すると、デバイスはすべて非セキュアとして Cisco Unified Communications Manager に登録されます。

Cisco Unified Communications Manager 4.0(1) またはそれ以降のリリースからアップグレードした後は、アップグレード前に有効にしたデバイス セキュリティ モードで電話機が起動します。デバイスはすべて、選択されたセキュリティ モードを使用して登録されます。

Cisco Unified Communications Manager をインストールすると、Cisco Unified Communications Manager および TFTP サーバに自己署名証明書が作成されます。自己署名証明書ではなく、Cisco Unified Communications Manager のサードパーティの CA 署名付き証明書を使用することもできます。認証を設定した後、Cisco Unified Communications Manager はこの証明書を使用して、サポートされた Cisco Unified IP Phone を認証します。証明書が Cisco Unified Communications Manager および TFTP サーバに存在していれば、Cisco Unified Communications Manager はそれぞれの Cisco Unified Communications Manager のアップグレード時に証明書を再発行しません。新しい証明書エントリで新しい CTL ファイルを作成する必要があります。


ヒント サポートされていないシナリオまたは安全でないシナリオについては、「相互作用および制限」を参照してください。

Cisco Unified Communications Manager は認証および暗号化のステータスをデバイス レベルで維持します。コールに関係するすべてのデバイスがセキュアとして登録されると、コール ステータスはセキュアとして登録されます。いずれか 1 つのデバイスが非セキュアとして登録されると、発信者または受信者の電話機がセキュアとして登録されても、そのコールは非セキュアとして登録されます。

ユーザが Cisco エクステンション モビリティを使用する場合、Cisco Unified Communications Manager はデバイスの認証および暗号化ステータスを保持します。また、シェアドラインが設定されている場合も、 Cisco Unified Communications Manager はデバイスの認証および暗号化ステータスを保持します。


ヒント 暗号化された Cisco Unified IP Phone に対してシェアドラインを設定する場合は、回線を共有するすべてのデバイスを暗号化用に設定します。つまり、暗号化をサポートするセキュリティ プロファイルを適用して、すべてのデバイスのデバイス セキュリティ モードを暗号化済みに設定します。

信頼できるデバイス

Cisco Unified Communications Manager を使用すると、Cisco Unified IP Phone の電話機モデルごとにセキュリティ アイコンを有効にできます。セキュリティ アイコンは、コールがセキュアであるかどうか、および接続されるデバイスが信頼できるかを示します。

信頼できるデバイスとは、信頼できる接続に関するシスコのセキュリティ基準を満たしている、シスコ製デバイスまたはサードパーティ製デバイスです。このセキュリティ基準には、シグナリング暗号化またはメディア暗号化、プラットフォームのセキュリティ強化、および保証が含まれますが、これだけではありません。デバイスが信頼できる場合、セキュリティ アイコンが表示され、サポート対象のデバイスでセキュア トーンが再生されます。また、そのデバイスで、セキュア コールに関連する他の機能またはインジケータも使用できます。

Cisco Unified Communications Manager は、デバイスをシステムに追加したときに、そのデバイスが信頼できるかどうかを判断します。セキュリティ アイコンは情報提供を目的として表示されるだけなので、管理者はこのアイコンを直接設定できません。

また、Cisco Unified Communications Manager は、Cisco Unified Communications Manager の管理ページにアイコンおよびメッセージを表示し、ゲートウェイが信頼できるかどうかも示します。

ここでは、Cisco Unified IP Phone および Cisco Unified Communications Manager の管理ページでの、信頼できるデバイスのセキュリティ アイコンの動作について説明します。

Cisco Unified Communications Manager の管理

Cisco Unified Communications Manager の管理ページの次のウィンドウに、デバイスが信頼できるかどうかが示されます。

[ゲートウェイの設定(Gateway Configuration)]

ゲートウェイ タイプごとに、[ゲートウェイの設定(Gateway Configuration)] ウィンドウ([デバイス(Device)] > [ゲートウェイ(Gateway)])に、[デバイスは信頼済み(Device is trusted)] または [デバイスは信頼されていない(Device is not trusted)] が対応するアイコンとともに表示されます。

デバイス タイプに基づいて、信頼できるデバイスかどうかがシステムによって判断されます。ユーザは、信頼できるデバイスかどうかを設定できません。

[電話の設定(Phone Configuration)]

電話機のデバイス タイプごとに、[電話の設定(Phone Configuration)] ウィンドウ([デバイス(Device)] > [電話(Phone)])に、[デバイスは信頼済み(Device is trusted)] または [デバイスは信頼されていない(Device is not trusted)] が対応するアイコンとともに表示されます。

デバイス タイプに基づいて、信頼できるデバイスかどうかがシステムによって判断されます。ユーザは、信頼できるデバイスかどうかを設定できません。

Cisco Unified IP Phone

ユーザがコールするデバイスのタイプは、電話機に表示されるセキュリティ アイコンに影響します。次の 3 つの基準を考慮して、コールがセキュアであるかどうかが判断されます。

コールのすべてのデバイスが信頼できるデバイスであるかどうか。

シグナリングがセキュアであるかどうか(認証および暗号化されているかどうか)。

メディアがセキュアであるかどうか。

サポート対象の Cisco Unified IP Phone にロック セキュリティ アイコンが表示される前に、これら 3 つの基準がすべて満たされている必要があることに注意してください。信頼できないデバイスがコールに含まれている場合、シグナリングおよびメディアのセキュリティに関係なく、コール全体のステータスは非セキュアになり、電話機にロック アイコンは表示されません。たとえば、信頼できないデバイスを会議に加えると、そのコール レッグだけでなく会議そのものも非セキュアであると見なされます。

サポートされる電話機のモデル

使用している電話機でサポートされるセキュリティ機能の一覧については、今回のリリースの Cisco Unified Communications Manager をサポートする電話機の管理マニュアルおよびユーザ マニュアル、または、使用しているファームウェア ロードをサポートするファームウェアのマニュアルを参照してください。

Cisco Unified Reporting を使用して、特定の機能をサポートしている電話機のリストを表示することもできます。Cisco Unified Reporting の使用方法の詳細については、『 Cisco Unified Reporting Administration Guide 』を参照してください。

電話機のセキュリティ設定の確認

セキュリティをサポートする電話機に、特定のセキュリティ関連設定を構成して表示することができます。たとえば、電話機にインストールされている証明書がローカルで有効な証明書(LSC)か製造元でインストールされる証明書(MIC)かを確認できます。セキュリティ メニューおよびアイコンの詳細については、使用している電話機モデルおよび今回のバージョンの Cisco Unified Communications Manager をサポートする Cisco Unified IP Phone の管理マニュアルおよびユーザ マニュアルを参照してください。

Cisco Unified Communications Manager がコールを認証済みまたは暗号化済みとして分類すると、コールの状態を示すアイコンが電話機に表示されます。Cisco Unified Communications Manager がどのようなときにコールを認証済みまたは暗号化済みとして分類するかについては、「セキュリティ アイコン」および 「相互作用および制限」を参照してください。

電話機のセキュリティ設定用チェックリスト

サポートされる電話機のセキュリティを設定する作業を 表 6-1 で説明します。

 

表 6-1 電話機のセキュリティ設定用チェックリスト

設定手順
関連手順および関連項目

ステップ 1

Cisco CTL クライアントを設定し、Cisco Unified Communications Manager セキュリティ モードを混合モードにしていない場合、設定します。

「Cisco CTL クライアントの設定」

ステップ 2

電話機に、ローカルで有効な証明書(LSC)または製造元でインストールされる証明書(MIC)が含まれていない場合、Certificate Authority Proxy Function(CAPF)を使用して LSC をインストールします。

「Certificate Authority Proxy Function の使用方法」

ステップ 3

電話機のセキュリティ プロファイルを設定します。

「電話機セキュリティ プロファイルの設定」

ステップ 4

電話機のセキュリティ プロファイルを電話機に適用します。

「電話機セキュリティ プロファイルの適用」

ステップ 5

SIP を実行する電話機がダイジェスト認証をサポートする場合、[エンドユーザの設定(End User Configuration)] ウィンドウで、ダイジェスト信用証明書を設定します。

「[エンドユーザの設定(End User Configuration)] ウィンドウでのダイジェスト信用証明書の設定」

「エンド ユーザのダイジェスト信用証明書の設定内容」

ステップ 6

ダイジェスト信用証明書を設定した後、[電話の設定(Phone Configuration)] ウィンドウで、[ダイジェストユーザ(Digest User)] を選択します。

「[電話の設定(Phone Configuration)] ウィンドウでのダイジェスト ユーザの設定」

ステップ 7

Cisco Unified IP Phone 7960G または 7940G(SIP のみ)で、[エンドユーザの設定(End User Configuration)] ウィンドウで設定したダイジェスト認証ユーザ名およびパスワード(ダイジェスト信用証明書)を入力します。

このマニュアルでは、電話機でダイジェスト認証信用証明書を入力する手順については説明しません。この作業の実行方法については、ユーザの電話機モデルと今回のバージョンの Cisco Unified Communications Manager をサポートする Cisco Unified IP Phone のアドミニストレーション ガイドを参照してください。

ステップ 8

電話機設定ファイルを暗号化します(電話機がこの機能をサポートする場合)。

「暗号化された電話機設定ファイルの設定」

ステップ 9

電話機の設定を無効にして電話機のセキュリティを強化します。

「電話機のセキュリティ強化」