Cisco Unity Connection セキュリティ ガイド リリース 9.x
Cisco Unity Connection でのパスワード、PIN、および認証規則の管理
Cisco Unity Connection でのパスワード、PIN、および認証規則の管理
発行日;2013/07/16 | 英語版ドキュメント(2013/05/30 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 848KB) | フィードバック

目次

Cisco Unity Connection でのパスワード、PIN、および認証規則の管理

ユーザが アプリケーションへのアクセスに使用する PIN およびパスワードについて

電話機の PIN

Web アプリケーション()のパスワード

SRSV のパスワードと共有秘密

Web アプリケーション パスワードの変更

電話機 PIN の変更

でパスワード、PIN、およびロックアウト ポリシーを指定する認証規則の定義

SRSV ユーザ PIN の変更

Cisco Unity Connection でのパスワード、PIN、および認証規則の管理

Cisco Unity Connection では、認証規則によって、すべてのユーザ アカウントのユーザ パスワード、PIN、およびアカウント ロックアウトが管理されます。Connection の認証規則を次のように定義することを推奨します。

ユーザが PIN とパスワードを頻繁に変更することを必須にする。

ユーザの PIN およびパスワードには、一意で、簡単に推測できないものを設定することを必須にする。

綿密に考えられた認証規則により、無効な PIN またはパスワードを何回も入力したユーザをロックすることで、Cisco Personal Communications Assistant(Cisco PCA)などの Connection アプリケーションや Cisco Unity Connection Survivable Remote Site Voicemail への不正アクセスを阻止できます。

この章では、上に挙げたタスクの実行や、PIN およびパスワードのセキュリティに関連するその他の問題に関する情報を提供します。Cisco Unity Connection パスワードの管理の範囲を理解するのに役立つように、この章の最初の項では、Cisco Personal Communications Assistant(PCA)、Connection カンバセーション、Cisco Unity Connection の管理、およびその他の管理 Web アプリケーションへのアクセスに必要な、さまざまなパスワードについて説明します。その後の各項では、とるべき対策に関する情報、意思決定に役立つ推奨事項、下した決定の効果に関する情報、およびベスト プラクティスを紹介します。

Connection パスワードを保護する手順および認証規則を定義する手順については、次の各項を参照してください。

ユーザが使用する PIN およびパスワードについて

「ユーザが Cisco Unity Connection アプリケーションへのアクセスに使用する PIN およびパスワードについて」

「電話機の PIN」

「Web アプリケーション(Cisco PCA)のパスワード」

「Cisco Unity Connection SRSV のパスワードと共有秘密」

PIN とパスワードの割り当て方法、およびそれらを最初にセキュリティで保護する方法について

「Cisco Unified Communications Manager Business Edition(CMBE) または LDAP の認証を使用している場合、ユーザは、ユーザの Cisco Unified CMBE または LDAP アカウント パスワードを使用して Connection Web アプリケーションにアクセスする必要があります。ユーザに対して、Cisco Unity Connection で、一意で安全な PIN およびパスワードを最初に割り当てるようにします。」

ユーザの PIN およびパスワードを変更する方法

「Cisco Unity Connection Web アプリケーション パスワードの変更」

「Cisco Unity Connection 電話機 PIN の変更」

認証規則を定義する方法

「Cisco Unity Connection でパスワード、PIN、およびロックアウト ポリシーを指定する認証規則の定義」

ユーザが Cisco Unity Connection アプリケーションへのアクセスに使用する PIN およびパスワードについて

Cisco Unity Connection のユーザは、各種の Connection アプリケーションへのアクセスに、異なる PIN およびパスワードを使用します。Connection パスワードの管理の範囲を理解するうえで、各アプリケーションにどのパスワードが必要なのかを知ることが重要です。

電話機の PIN

ユーザは、電話機の PIN を使用して、Cisco Unity Connection カンバセーションに電話機からサインインします。PIN(数値だけで構成)は、電話機のキーパッドを使用して入力するか、音声認識が有効な場合は読み上げます。

Web アプリケーション(Cisco PCA)のパスワード

ユーザは、Web アプリケーション パスワードを使用して Cisco Personal Communications Assistant(Cisco PCA)にサインインします。これにより、Messaging Assistant および Personal Call Transfer Rules Web ツールにアクセスできます。

管理の役割を割り当てられているユーザは、Web アプリケーションのパスワードを使用して次の Connection アプリケーションにサインインすることもあります。

Cisco Unity Connection の管理

Cisco Unity Connection Serviceability

Cisco Unified Serviceability

Real-Time Monitoring Tool

Cisco Unity Connection SRSV 管理


) Cisco Unified Communications Manager Business Edition(CMBE) または LDAP の認証を使用している場合、ユーザは、ユーザの Cisco Unified CMBE または LDAP アカウント パスワードを使用して Connection Web アプリケーションにアクセスする必要があります。ユーザに対して、Cisco Unity Connection で、一意で安全な PIN およびパスワードを最初に割り当てるようにします。


不正アクセスや不正通話から Cisco Unity Connection を保護するには、すべてのユーザに一意の電話機 PIN および Web アプリケーション(Cisco PCA)パスワードを割り当てる必要があります。

ユーザを Connection に追加する際には、そのユーザ アカウントの作成に使用したテンプレートによって、電話機 PIN と Web アプリケーション パスワードが決まります。デフォルトでは、ユーザ テンプレートには、ランダムに生成された文字列が電話機 PIN および Web パスワードとして割り当てられます。1 つのテンプレートから作成されたすべてのユーザに、同じ PIN およびパスワードが割り当てられます。

次のオプションを検討して、アカウントの作成時、またはその直後に、各ユーザに一意で安全な PIN およびパスワードが確実に割り当てられるようにしてください。

少数のユーザ アカウントを作成する場合、または Cisco Unity Connection の管理を使用してアカウントを作成した後は、[ユーザ(Users)] > [ユーザ(Users)] > [パスワードの変更(Change Password)] ページで各ユーザの電話機 PIN と Web パスワードを変更します。または、ユーザに対し、できるだけ速やかにサインインして自分の PIN とパスワードを変更するように指示します(この場合は、アカウントの作成に使用したテンプレートの [パスワードの編集(Edit Password)] ページにある [次回サインイン時に、ユーザによる変更が必要(User Must Change at Next Sign-In)] チェックボックスをオンにしてください)。

複数のユーザ アカウントを作成する場合は、アカウント作成後、Bulk Password Edit ツールを使用して Connection の各エンド ユーザ アカウント(メールボックスを持つユーザ)に一意のパスワードと PIN を割り当てます。Bulk Password Edit ツールは、CSV ファイルとともに使用します。CSV ファイルには、複数のパスワードおよび PIN を一括して適用するための、パスワードおよび PIN 用の一意の文字列が含まれています。

Bulk Password Edit ツールは、Windows ベースのツールです。 http://www.ciscounitytools.com/Applications/CxN/BulkPasswordEdit/BulkPasswordEdit.html からツールをダウンロードし、トレーニング ビデオとヘルプを参照してください。

Cisco Unity Connection SRSV のパスワードと共有秘密

中央 Connection サーバから Connection SRSV サーバに対するすべての要求は通信に Connection SRSV 管理者クレデンシャルを使用しますが、Connection SRSV から Connection への要求は、認証に秘密トークンを使用します。

中央 Connection サーバは、Connection SRSV の管理者ユーザ名とパスワードを使用してサーバへのアクセスを認証します。Connection SRSV の管理者ユーザ名とパスワードは、中央 Connection サーバに新しいブランチを作成するときに、Connection データベースに格納されます。

Connection SRSV を使用するプロビジョニング サイクルごとに、中央 Connection サーバは秘密トークンを生成し、Connection SRSV と共有します。Connection SRSV サイトからプロビジョニングが完了した後、中央 Connection サーバに同じトークンを使用して通知します。その後、プロビジョニング サイクルの完了後すぐ、このトークンは中央 Connection と Connection SRSV サーバの両方から削除されます。ランタイム トークン キーの概念は、共有秘密として知られています。

Connection の SRSV 詳細については、『Complete Reference Guide for Cisco Unity Connection Survivable Remote Site Voicemail (SRSV)』(Release 9.x)を参照してください。このドキュメントは、 http://www.cisco.com/en/US/docs/voice_ip_comm/connection/9x/srsv/guide/9xcucsrsvx.html にあります。

Cisco Unity Connection Web アプリケーション パスワードの変更

個々のユーザの Web アプリケーション(Cisco PCA)パスワードは、Cisco Unity Connection の管理の [ユーザ(Users)] > [ユーザ(Users)] > [パスワードの変更(Change Password)] ページでいつでも変更できます。

パスワードの有効期限が切れると、ユーザおよび管理者は、Cisco PCA や Connection の管理に次にサインインするときに新しいパスワードを入力する必要があります。

ユーザは、自分の Cisco PCA パスワードを Connection Messaging Assistant で変更することもできます。

複数のエンド ユーザ アカウント(メールボックスを持つユーザ)のパスワードを変更する場合は、Bulk Password Edit ツールを使用して、一意の新しいパスワードを各アカウントに割り当てることができます。Bulk Password Edit ツールは、CSV ファイルとともに使用します。CSV ファイルには、複数のパスワードを一括して適用するための、パスワード用の一意の文字列が含まれています。Bulk Password Edit ツールは、Windows ベースのツールです。 http://www.ciscounitytools.com/Applications/CxN/BulkPasswordEdit/BulkPasswordEdit.html からツールをダウンロードし、トレーニング ビデオとヘルプを参照してください。また、Cisco Unity Connection 一括管理ツール(BAT)を使用して複数のユーザ パスワードを一度に変更することもできます。BAT の使用方法の詳細については、『 User Moves, Adds, and Changes Guide for Cisco Unity Connection 』( Release 9.x )の付録「 Using the Cisco Unity Connection 9.x Bulk Administration Tool 」を参照してください。このガイドは、 http://www.cisco.com/en/US/docs/voice_ip_comm/connection/9x/user_mac/guide/9xcucmacx.html から入手可能です。

IMAP クライアントのボイス メッセージにアクセスできるユーザの場合は、Cisco PCA パスワードを Messaging Assistant で変更するたびに、IMAP クライアント内のパスワードも更新する必要があることを認識する必要があります。パスワードは、IMAP クライアントと Cisco PCA の間で同期されません。Cisco PCA パスワードを両方のアプリケーションで更新した後に、IMAP クライアントのボイス メッセージの受信に問題が生じた場合は、『 User Workstation Setup Guide for Cisco Unity Connection 』( Release 9.x )の「 Configuring an Email Account to Access Cisco Unity Connection 9.x Voice Messages 」の章の「Troubleshooting IMAP Client Sign-In Problems in Cisco Unity Connection 9.x」の項を参照してください。このガイドは、 ttp://www.cisco.com/en/US/docs/voice_ip_comm/connection/9x/user_setup/guide/9xcucuwsx.html から入手可能です。

ベスト プラクティス

8 文字以上の長さの、単純でないパスワードを指定します。同じ方法に従ってパスワードを変更するようにユーザに奨励するか、それを必須とする認証規則をユーザに割り当てます。Cisco PCA パスワードは、6 か月ごとに変更する必要があります。

Cisco Unity Connection 電話機 PIN の変更

個々のユーザの電話機 PIN は、Cisco Unity Connection の管理の [ユーザ(Users)] > [ユーザ(Users)] > [パスワードの変更(Change Password)] ページでいつでも変更できます。

ユーザは、Connection の電話通話または Connection Messaging Assistant を使用して、電話機 PIN を変更できます。

複数のエンド ユーザ アカウント(メールボックスを持つユーザ)の PIN を変更する場合は、Bulk Password Edit ツールを使用して、一意の新しい PIN を各アカウントに割り当てることができます。Bulk Password Edit ツールは、CSV ファイルとともに使用します。CSV ファイルには、複数の PIN を一括して適用するための、PIN 用の一意の文字列が含まれています。Bulk Password Edit ツールは、Windows ベースのツールです。 http://www.ciscounitytools.com/Applications/CxN/BulkPasswordEdit/BulkPasswordEdit.html からツールをダウンロードし、トレーニング ビデオとヘルプを参照してください。また、Cisco Unity Connection 一括管理ツール(BAT)を使用して複数のユーザ PIN を一度に変更することもできます。BAT の使用方法の詳細については、『 User Moves, Adds, and Changes Guide for Cisco Unity Connection 』( Release 9.x )の付録「 Using the Cisco Unity Connection 9.x Bulk Administration Tool 」を参照してください。このガイドは、 http://www.cisco.com/en/US/docs/voice_ip_comm/connection/9x/user_mac/guide/9xcucmacx.html から入手可能です。

PIN の有効期限が切れると、ユーザは、Connection のカンバセーションに次にサインインするときに新しい PIN を入力する必要があります。

ユーザは Messaging Assistant を使用して電話機 PIN を変更できるため、適切な手段を講じてアプリケーション(Cisco PCA)のパスワードの安全も維持することによって、PIN のセキュリティを確保できます。

ユーザは、電話機 PIN と Cisco PCA パスワードが同期されないことを理解する必要があります。初回の登録時に、電話機の初期 PIN を変更するように求められますが、そのときには Cisco PCA の Web サイトへのサインインに使用するパスワードを変更できません。

ベスト プラクティス

各ユーザに、6 桁以上で単純でない、一意の PIN が割り当てられる必要があります。同じ方法に従うようにユーザに奨励するか、それを必須とする認証規則をユーザに割り当てます。

Cisco Unity Connection でパスワード、PIN、およびロックアウト ポリシーを指定する認証規則の定義


) Cisco Unity Connection の認証規則は、Cisco Unified Communications Manager Business Edition(CMBE) でのユーザ パスワードの管理や、LDAP 認証が有効になっているときには適用されません。これらの場合、認証は Connection では処理されないためです。


認証規則を使用して、ユーザが電話で Connection にアクセスするときに Cisco Unity Connection によって適用されるサインイン、パスワード、およびロックアウト ポリシーをカスタマイズします。また、ユーザが Cisco Unity Connection の管理、Cisco PCA、およびその他のアプリケーション(IMAP クライアントなど)にアクセスする方法もカスタマイズします。

Connection の管理の [認証規則の編集(Edit Authentication Rule)] ページで指定する設定によって、次の値が決まります。

アカウントがロックされるまでに許容される、Connection 電話インターフェイス、Cisco PCA、または Connection の管理へのサインイン試行回数。

アカウントがリセットされるまでロックが維持される分数。

ロックされたアカウントを管理者が手作業でロック解除する必要があるかどうか。

パスワードと PIN に許可される最小長。

パスワードまたは PIN の有効期限が切れるまでの日数。

ベスト プラクティス

セキュリティを強化するため、認証規則を定義する際には、次のベスト プラクティスに従うよう推奨します。

ユーザが少なくとも 6 か月に 1 回 Connection のパスワードと PIN を変更することを必須とする。

Web アプリケーションのパスワードは 8 文字以上の単純でないパスワードにすることを必須とする。

ボイスメール PIN は 6 文字以上の単純でない PIN にすることを必須とする。

セキュリティをさらに強化するには、PIN やパスワードを簡単に推測できないものにし、また、長期間使用しないようにする認証規則を設定します。それと同時に、複雑すぎる PIN やパスワードを設定するようにしたり、PIN やパスワードをあまりに頻繁に変更するようにしたりすると、ユーザが PIN やパスワードを書き留めなくてはならなくなるので、そのような規則は避けます。

また、次の各フィールドで認証規則を指定する際には、次のガイドラインに従ってください。

サインイン試行回数(Failed Sign-In __ Attempts)

サインイン試行回数をリセットする間隔(Reset Failed Sign-In Attempts Every __ Minutes)

ロックアウト期間(Lockout Duration)

クレデンシャルの有効期限(Credential Expires After __ Days)

最小クレデンシャル長(Minimum Credential Length)

以前のクレデンシャルの保存数(Stored Number of Previous Credentials)

単純すぎるパスワードの確認(Check For Trivial Passwords)

サインイン試行回数(Failed Sign-In __ Attempts)

このフィールドでは、ユーザが間違った PIN またはパスワードを繰り返し入力した場合に、Connection がどのように処理するかを指定します。サインインの試みが 3 回失敗した場合にユーザ アカウントをロックするように設定することを推奨します。

サインイン試行回数をリセットする間隔(Reset Failed Sign-In Attempts Every __ Minutes)

このフィールドでは、サインインの試みが失敗した回数を Connection がクリアするまでの分数を指定します(サインイン失敗回数の制限をすでに超えて、アカウントがロックされている場合を除く)。30 分超過してから、サインインの試みが失敗した回数をクリアするように設定することを推奨します。

ロックアウト期間(Lockout Duration)

このフィールドでは、ロックアウトされたユーザが再度サインインを試みるまで待機する時間を指定します。

セキュリティをさらに強固にするには、[管理者によるロック解除が必要(Administrator Must Unlock)] チェックボックスをオンにします。そうすることで、ユーザは、管理者が該当する [ユーザ(User)] > [パスワードの設定(Password Settings)] ページでそのユーザのロックを解除するまで、アカウントにアクセスできなくなります。[管理者によるロック解除が必要(Administrator Must Unlock)] チェックボックスは、管理者がすぐに対応できる場合、またはシステムが不正アクセス/不正通話されやすい場合にだけ、オンにしてください。

クレデンシャルの有効期限(Credential Expires After __ Days)

[無期限(Never Expires)] オプションは有効にしないことを推奨します。その代わりに、このフィールドを 0 より大きい値に設定し、ユーザが X 日(X は、[クレデンシャルの有効期限(Credential Expires After)] フィールドで指定した値)ごとにパスワードの変更を求められるようにします。

Web パスワードは 120 日後に、電話機 PIN は 180 日後に期限切れになるように設定することを推奨します。

最小クレデンシャル長(Minimum Credential Length)

このフィールドは 6 以上の値に設定することを推奨します。

Web アプリケーションのパスワードに適用される認証規則については、ユーザが 8 文字以上のパスワードを使用することを必須にするよう、推奨します。

電話機 PIN に適用される認証規則については、ユーザが 6 桁以上の PIN を使用することを必須にするよう、推奨します。

最小クレデンシャル長を変更すると、ユーザは、ユーザの PIN およびパスワードを次回変更するときに、最小クレデンシャル長の新しい値を使用する必要があります。

以前のクレデンシャルの保存数(Stored Number of Previous Credentials)

このフィールドに値を指定することを推奨します。そうすることによって、Connection が各ユーザの以前のパスワードまたは PIN を、指定した数だけ保存して、パスワードの一意性を強制できるようになります。ユーザがパスワードと PIN を変更すると、Connection で、新しいパスワードまたは PIN が、資格履歴に保存されているパスワードまたは PIN と比較されます。Connection では、履歴に保存されているパスワードまたは PIN と一致するパスワードまたは PIN が拒否されます。

デフォルトでは、Connection の資格履歴に 5 つのパスワードまたは PIN が保存されます。

単純すぎるパスワードの確認(Check For Trivial Passwords)

ユーザが単純すぎない PIN およびパスワードを使用するように、このフィールドを有効にすることを推奨します。

単純すぎない電話機 PIN には、次の特性があります。

PIN が、ユーザの姓または名を数値で表したものと一致しない。

PIN に、ユーザのプライマリ内線番号や代行内線番号が含まれていない。

PIN に、ユーザのプライマリ内線番号や代行内線番号を逆順で示す数値が含まれていない。

PIN に、数値の組み合わせが繰り返されたもの(408408、123123 など)が含まれていない。

PIN に含まれているのが 2 つの数値のみ(121212 など)ではない。

値が 3 回以上連続して使用(28883 など)されていない。

PIN は、昇順または降順の連続する数値(012345、987654 など)ではない。

指定されている最小クレデンシャル長と一致する数値グループの場合、キーパッド上で 1 列に並んだ数値グループが含まれていない(たとえば、3 桁の長さが指定されている場合、123、456、または 789 を PIN として使用することはできない)。

単純すぎない Web アプリケーション パスワードには、次の特性があります。

パスワードに、大文字、小文字、数値、および記号のうち、少なくとも 3 つの文字が含まれている。

パスワードに、ユーザのエイリアス、または逆順にしたユーザのエイリアスが含まれていない。

パスワードに、プライマリ内線番号や代行内線番号が含まれていない。

1 つの文字が 4 回以上連続して使用(!Cooool など)されていない。

昇順または降順の、すべて連続する文字(abcdef、fedcba など)が使用されていない。

Cisco Unity Connection SRSV ユーザ PIN の変更

Connection SRSV ユーザ PIN を変更する場合、Cisco Unity Connection の管理インターフェイスを介して実行できます。選択したユーザの PIN を変更した後、Connection SRSV データベースのユーザ情報を更新するよう、関連するブランチをプロビジョニングする必要があります。


) Cisco Unity Connection SRSV 管理インターフェイスを介して SRSV ユーザの PIN を変更することはできません。