Cisco Unified Communications Manager セキュリティ ガイド リリース 8.6(1)
電話機のセキュリティの概要
電話機のセキュリティの概要
発行日;2012/05/08 | 英語版ドキュメント(2011/05/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

電話機のセキュリティの概要

電話機のセキュリティ機能について

信頼できるデバイス

サポートされる電話機のモデル

推奨ベンダーの SIP 電話機のセキュリティの設定

デバイスごとの証明書を使用した推奨ベンダーの SIP 電話機のセキュリティ プロファイルの設定

共有証明書を使用した推奨ベンダーの SIP 電話機のセキュリティ プロファイルの設定

電話機のセキュリティ設定の確認

電話機のセキュリティ設定用チェックリスト

参考情報

電話機のセキュリティ機能について

インストール時は、Cisco Unified Communications Manager は非セキュア モードで起動します。Cisco Unified Communications Manager のインストール後、電話機を起動すると、デバイスはすべて非セキュアとして Cisco Unified Communications Manager に登録されます。

Cisco Unified Communications Manager 4.0(1) またはそれ以降のリリースからアップグレードした後は、アップグレード前に有効にしたデバイス セキュリティ モードで電話機が起動します。デバイスはすべて、選択されたセキュリティ モードを使用して登録されます。

Cisco Unified Communications Manager をインストールすると、Cisco Unified Communications Manager および TFTP サーバに自己署名証明書が作成されます。自己署名証明書ではなく、Cisco Unified Communications Manager のサードパーティの CA 署名付き証明書を使用することもできます。認証を設定した後、Cisco Unified Communications Manager はこの証明書を使用して、サポートされた Cisco Unified IP Phone を認証します。証明書が Cisco Unified Communications Manager および TFTP サーバに存在していれば、Cisco Unified Communications Manager はそれぞれの Cisco Unified Communications Manager のアップグレード時に証明書を再発行しません。新しい証明書エントリで新しい CTL ファイルを作成する必要があります。


ヒント サポートされていないシナリオまたは安全でないシナリオについては、「相互作用および制限」を参照してください。

Cisco Unified Communications Manager は認証および暗号化のステータスをデバイス レベルで維持します。コールに関係するすべてのデバイスがセキュアとして登録されると、コール ステータスはセキュアとして登録されます。いずれか 1 つのデバイスが非セキュアとして登録されると、発信者または受信者の電話機がセキュアとして登録されても、そのコールは非セキュアとして登録されます。

ユーザが Cisco エクステンション モビリティを使用する場合、Cisco Unified Communications Manager はデバイスの認証および暗号化ステータスを保持します。また、シェアドラインが設定されている場合も、Cisco Unified Communications Manager はデバイスの認証および暗号化ステータスを保持します。


ヒント 暗号化された Cisco Unified IP Phone に対してシェアドラインを設定する場合は、回線を共有するすべてのデバイスを暗号化用に設定します。つまり、暗号化をサポートするセキュリティ プロファイルを適用して、すべてのデバイスのデバイス セキュリティ モードを暗号化済みに設定します。

信頼できるデバイス

Cisco Unified Communications Manager を使用すると、Cisco Unified IP Phone の電話機モデルごとにセキュリティ アイコンを有効にできます。セキュリティ アイコンは、コールがセキュアであるかどうか、および接続されるデバイスが信頼できるかどうかを示します。

信頼できるデバイスとは、信頼できる接続に関するシスコのセキュリティ基準を満たしている、シスコ製デバイスまたはサードパーティ製デバイスです。このセキュリティ基準には、シグナリング暗号化またはメディア暗号化、プラットフォームのセキュリティ強化、および保証が含まれますが、これだけではありません。デバイスが信頼できる場合、セキュリティ アイコンが表示され、サポート対象のデバイスでセキュア トーンが再生されます。また、そのデバイスで、セキュア コールに関連する他の機能またはインジケータも使用できます。

Cisco Unified Communications Manager は、デバイスをシステムに追加したときに、そのデバイスが信頼できるかどうかを判断します。セキュリティ アイコンは情報提供を目的として表示されるだけなので、管理者はこのアイコンを直接設定できません。

また、Cisco Unified Communications Manager は、Cisco Unified Communications Manager の管理ページにアイコンおよびメッセージを表示し、ゲートウェイが信頼できるかどうかも示します。

ここでは、Cisco Unified IP Phone および Cisco Unified Communications Manager の管理ページでの、信頼できるデバイスのセキュリティ アイコンの動作について説明します。

Cisco Unified Communications Manager の管理

Cisco Unified Communications Manager の管理ページの次のウィンドウに、デバイスが信頼できるかどうかが示されます。

[ゲートウェイの設定(Gateway Configuration)]

ゲートウェイ タイプごとに、[ゲートウェイの設定(Gateway Configuration)] ウィンドウ([デバイス(Device)] > [ゲートウェイ(Gateway)])に、[デバイスは信頼済み(Device is trusted)] または [デバイスは信頼されていない(Device is not trusted)] が対応するアイコンとともに表示されます。

デバイス タイプに基づいて、信頼できるデバイスかどうかがシステムによって判断されます。ユーザは、信頼できるデバイスかどうかを設定できません。

[電話の設定(Phone Configuration)]

電話機のデバイス タイプごとに、[電話の設定(Phone Configuration)] ウィンドウ([デバイス(Device)] > [電話(Phone)])に、[デバイスは信頼済み(Device is trusted)] または [デバイスは信頼されていない(Device is not trusted)] が対応するアイコンとともに表示されます。

デバイス タイプに基づいて、信頼できるデバイスかどうかがシステムによって判断されます。ユーザは、信頼できるデバイスかどうかを設定できません。

Cisco Unified IP Phone

ユーザがコールするデバイスのタイプは、電話機に表示されるセキュリティ アイコンに影響します。次の 3 つの基準を考慮して、コールがセキュアであるかどうかが判断されます。

コールのすべてのデバイスが信頼できるデバイスであるかどうか。

シグナリングがセキュアであるかどうか(認証および暗号化されているかどうか)。

メディアがセキュアであるかどうか。

サポート対象の Cisco Unified IP Phone にロック セキュリティ アイコンが表示される前に、これら 3 つの基準がすべて満たされている必要があることに注意してください。信頼できないデバイスがコールに含まれている場合、シグナリングおよびメディアのセキュリティに関係なく、コール全体のステータスは非セキュアになり、電話機にロック アイコンは表示されません。たとえば、信頼できないデバイスを会議に加えると、そのコール レッグだけでなく会議そのものも非セキュアであると見なされます。

サポートされる電話機のモデル

Cisco Unified Communications Manager においてセキュリティをサポートする電話機のモデルには、セキュアなシスコの電話機とセキュアな推奨ベンダーの電話機の 2 つのカテゴリがあります。セキュアなシスコの電話機は、Manufacture-Installed Certificate(MIC; 製造元でインストールされる証明書)を使用して事前にインストールされ、Certificate Authority Proxy Function(CAPF)を使用して Locally-Significant Certificates(LSC; ローカルで有効な証明書)の自動生成と交換をサポートします。セキュアなシスコの電話機は、それ以外の証明書管理を必要とせず、MIC を使用して Cisco Unified CM に登録できます。追加のセキュリティとして、CAPF を使用して LSC を作成し、電話機にインストールできます。「電話機のセキュリティ設定の確認」および「電話機のセキュリティ設定用チェックリスト」の項は、これらの電話機タイプに適用されます。

セキュアな推奨ベンダーの電話機は、MIC を使用して事前にインストールされることはなく、LSC 生成のための CAPF はサポートされません。セキュアな推奨ベンダーの電話機で Cisco Unified CM に接続するには、証明書がデバイスとともに提供されるか、デバイスによって生成される必要があります。電話機のサプライヤは、電話機の証明書の取得や生成の方法についての詳細を提供する必要があります。証明書を取得したら、OS 管理の証明書管理インターフェイスを使用して Cisco Unified CM に証明書をアップロードする必要があります。「推奨ベンダーの SIP 電話機のセキュリティの設定」の項は、これらの電話機タイプに適用されます。

使用している電話機でサポートされるセキュリティ機能の一覧については、今回のリリースの Cisco Unified Communications Manager をサポートする電話機の管理マニュアルおよびユーザ マニュアル、または、使用しているファームウェア ロードをサポートするファームウェアのマニュアルを参照してください。

Cisco Unified Reporting を使用して、特定の機能をサポートしている電話機のリストを表示することもできます。Cisco Unified Reporting の使用方法の詳細については、『 Cisco Unified Reporting Administration Guide 』を参照してください。

推奨ベンダーの SIP 電話機のセキュリティの設定

セキュアな推奨ベンダーの電話機は、サードパーティ ベンダーによって製造された電話機タイプですが、COP ファイルを使用して Cisco Unified データベースにインストールされます。Cisco Unified Communications Manager は、推奨ベンダーの SIP 電話機のセキュリティを提供します。セキュリティをサポートするには、COP ファイルで推奨ベンダーの SIP 電話機のセキュリティ暗号化およびセキュリティ認証を有効にする必要があります。これらの電話機タイプが [新規電話を追加(Add a New Phone)] ウィンドウのドロップダウン リストに表示されます。すべての推奨ベンダーの電話でダイジェスト認証がサポートされますが、推奨ベンダーの電話機すべてが TLS セキュリティをサポートしているわけではありません。セキュリティ機能は電話機のモデルに基づきます。電話セキュリティ プロファイルに「デバイス セキュリティ モード」フィールドが含まれている場合は、その電話機で TLS セキュリティがサポートされます。

推奨ベンダーの電話機が TLS セキュリティをサポートする場合、デバイスごとの証明書と共有証明書の 2 つのモードが考えられます。電話機のサプライヤは、電話機の証明書を生成または取得する手順の他に、電話機に適用可能なモードも指定する必要があります。

デバイスごとの証明書を使用した推奨ベンダーの SIP 電話機のセキュリティ プロファイルの設定

デバイスごとの証明書を使用して推奨ベンダーの SIP 電話機のセキュリティ プロファイルを設定するには、次の手順を実行します。

手順


ステップ 1 OS 管理の証明書管理インターフェイスを使用して、電話機ごとに証明書をアップロードします。

ステップ 2 [Cisco Unifiedの管理(Cisco Unified Administration)] で、[システム(System)] > [セキュリティ(Security)] > [電話セキュリティプロファイル(Phone Security Profile)] の順に選択します。

ステップ 3 この電話機のデバイス タイプの新しい電話セキュリティ プロファイルを設定し、[デバイスセキュリティモード(Device Security Mode)] ドロップダウン リスト ボックスで [暗号化(Encrypted)] または [認証のみ(Authenticated)] を選択します。

ステップ 4 CCMAdmin インターフェイスで新しい SIP 電話機を設定するには、[デバイス(Device)] > [電話(Phone)] > [新規追加(Add New)] の順に選択します。

ステップ 5 電話のタイプを選択します。

ステップ 6 必要なフィールドを入力します。

ステップ 7 [デバイスセキュリティプロファイル(Device Security Profile)] ドロップダウン リスト ボックスで、先ほど作成したプロファイルを選択します。


 

共有証明書を使用した推奨ベンダーの SIP 電話機のセキュリティ プロファイルの設定

共有証明書を使用して推奨ベンダーの SIP 電話機のセキュリティ プロファイルを設定するには、次の手順を実行します。

手順


ステップ 1 電話機のベンダーの指示に従って、Subject Alternate Name(SAN; サブジェクト代替名)ストリングを指定して証明書を生成します。SAN は DNS のタイプである必要があります。この手順で指定した SAN をメモに控えておきます。たとえば、X509v3 拡張の場合:
X509v3 サブジェクト代替名:
DNS:AscomGroup01.acme.com


) SAN は DNS のタイプである必要があります。そうでない場合、セキュリティは有効になりません。


ステップ 2 OS 管理の証明書管理インターフェイスを使用して、共有証明書をアップロードします。

ステップ 3 [Cisco Unifiedの管理(Cisco Unified Administration)] で、[システム(System)] > [セキュリティ(Security)] > [電話セキュリティプロファイル(Phone Security Profile)] の順に選択します。

ステップ 4 [名前(Name)] フィールドに Subject Alt Name(SAN; サブジェクト代替名)の名前を入力します。これは、推奨ベンダーによって提供される証明書上の名前です。または、SAN がない場合は証明書名を入力します。


) セキュリティ プロファイルの名前は、証明書の SAN と正確に一致する必要があります。そうでない場合、セキュリティは有効になりません。


ステップ 5 [デバイスセキュリティモード(Device Security Mode)] ドロップダウン リスト ボックスで、[暗号化(Encrypted)] または [認証のみ(Authenticated)] を選択します。

ステップ 6 [転送タイプ(Transport type)] ドロップダウン リスト ボックスで、[TLS] を選択します。

ステップ 7 CCMAdmin インターフェイスで新しい SIP 電話機を設定するには、[デバイス(Device)] > [電話(Phone)] > [新規追加(Add New)] の順に選択します。

ステップ 8 電話のタイプを選択します。

ステップ 9 必要なフィールドを入力します。

ステップ 10 [デバイスセキュリティプロファイル(Device Security Profile)] ドロップダウン リスト ボックスで、先ほど作成したプロファイルを選択します。


 

追加情報

「電話機セキュリティ プロファイルの設定」

電話機のセキュリティ設定の確認

セキュリティをサポートする電話機に、特定のセキュリティ関連設定を構成して表示することができます。たとえば、電話機にインストールされている証明書がローカルで有効な証明書(LSC)か製造元でインストールされる証明書(MIC)かを確認できます。セキュリティ メニューおよびアイコンの詳細については、使用している電話機モデルおよび今回のバージョンの Cisco Unified Communications Manager をサポートする Cisco Unified IP Phone の管理マニュアルおよびユーザ マニュアルを参照してください。

Cisco Unified Communications Manager がコールを認証済みまたは暗号化済みとして分類すると、コールの状態を示すアイコンが電話機に表示されます。Cisco Unified Communications Manager がどのようなときにコールを認証済みまたは暗号化済みとして分類するかについては、「セキュリティ アイコン」および 「相互作用および制限」を参照してください。

電話機のセキュリティ設定用チェックリスト

サポートされる電話機のセキュリティを設定する作業を 表 6-1 で説明します。

 

表 6-1 電話機のセキュリティ設定用チェックリスト

設定手順
関連手順および関連項目

ステップ 1

Cisco CTL クライアントを設定し、Cisco Unified Communications Manager セキュリティ モードを混合モードにしていない場合、設定します。

「Cisco CTL クライアントの設定」

ステップ 2

電話機に、ローカルで有効な証明書(LSC)または製造元でインストールされる証明書(MIC)が含まれていない場合、Certificate Authority Proxy Function(CAPF)を使用して LSC をインストールします。

「Certificate Authority Proxy Function の使用方法」

ステップ 3

電話機のセキュリティ プロファイルを設定します。

「電話機セキュリティ プロファイルの設定」

ステップ 4

電話機のセキュリティ プロファイルを電話機に適用します。

「電話機セキュリティ プロファイルの適用」

ステップ 5

SIP を実行する電話機がダイジェスト認証をサポートする場合、[エンドユーザの設定(End User Configuration)] ウィンドウで、ダイジェスト信用証明書を設定します。

「[エンドユーザの設定(End User Configuration)] ウィンドウでのダイジェスト信用証明書の設定」

「エンド ユーザのダイジェスト信用証明書の設定内容」

ステップ 6

ダイジェスト信用証明書を設定した後、[電話の設定(Phone Configuration)] ウィンドウで、[ダイジェストユーザ(Digest User)] を選択します。

「[電話の設定(Phone Configuration)] ウィンドウでのダイジェスト ユーザの設定」

ステップ 7

Cisco Unified IP Phone 7960G または 7940G(SIP のみ)で、[エンドユーザの設定(End User Configuration)] ウィンドウで設定したダイジェスト認証ユーザ名およびパスワード(ダイジェスト信用証明書)を入力します。

このマニュアルでは、電話機でダイジェスト認証信用証明書を入力する手順については説明しません。この作業の実行方法については、ユーザの電話機モデルと今回のバージョンの Cisco Unified Communications Manager をサポートする Cisco Unified IP Phone のアドミニストレーション ガイドを参照してください。

ステップ 8

電話機設定ファイルを暗号化します(電話機がこの機能をサポートする場合)。

「暗号化された電話機設定ファイルの設定」

ステップ 9

電話機の設定を無効にして電話機のセキュリティを強化します。

「電話機のセキュリティ強化」