Cisco Jabber 11.0 計画ガイド
セキュリティおよび証明書
セキュリティおよび証明書

セキュリティおよび証明書

暗号化

ファイル転送および画面キャプチャのコンプライアンスおよびポリシー管理

Cisco Unified Communications Manager IM and Presence 10.5(2) 以降の管理されたファイル転送オプションを使用してファイル転送と画面キャプチャを送信する場合は、監査およびポリシー強制用のコンプライアンス サーバにファイルを送信できます。

コンプライアンスの詳細については、『Instant Messaging Compliance for IM and Presence Service on Cisco Unified Communications Manager』ガイドを参照してください。

ファイル転送と画面キャプチャの詳細については、『Cisco Unified Communications Manager IM and Presence Deployment and Installation Guide』を参照してください。

インスタント メッセージの暗号化

Cisco Jabber は、Transport Layer Security(TLS)を使用して、クライアントとサーバ間のネットワーク上で Extensible Messaging and Presence Protocol(XMPP)トラフィックを保護します。 Cisco Jabber は、ポイント ツー ポイントのインスタント メッセージを暗号化します。

オンプレミス暗号化

次の表に、オンプレミス展開におけるインスタント メッセージ暗号化の詳細を示します。

Connection

プロトコル

ネゴシエーション証明書

想定される暗号化アルゴリズム

クライアントからサーバへ

XMPP over TLS v2

X.509 公開キー インフラストラクチャ証明書

AES 256 ビット

サーバとクライアントのネゴシエーション
次のサーバは、X.509 公開キー インフラストラクチャ(PKI)証明書と次のものを使用して Cisco Jabber と TLS 暗号化をネゴシエートします。
  • Cisco Unified Presence

  • Cisco Unified Communications Manager

サーバとクライアントが TLS 暗号化をネゴシエートした後、インスタント メッセージのトラフィックを暗号化するためにクライアントとサーバの両方がセッション キーを生成して交換します。

次の表に、Cisco Unified Presence と Cisco Unified Communications Manager IM and Presence Service の PKI 証明書キーの長さを示します。

バージョン

キーの長さ

Cisco Unified Communications Manager IM and Presence Service バージョン 9.0.1 以降

2048 ビット

Cisco Unified Presence バージョン 8.6.4

2048 ビット

Cisco Unified Presence バージョン 8.6.4 以前

1024 ビット

XMPP 暗号化

Cisco Unified Presence と Cisco Unified Communications Manager IM and Presence Service はどちらも、AES アルゴリズムで暗号化された 256 ビット長のセッション キーを使用して Cisco Jabber とプレゼンス サーバ間のインスタント メッセージ トラフィックを保護します。

サーバ ノード間のトラフィックのセキュリティを強化する必要がある場合は、Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence Service 上で XMPP セキュリティ設定を構成できます。 セキュリティ設定の詳細については、次のドキュメントを参照してください。
  • Cisco Unified Presence:『Configuring Security on Cisco Unified Presence

  • Cisco Unified Communications Manager IM and Presence Service:『Security configuration on IM and Presence

インスタント メッセージのロギング

規制ガイドラインへの準拠のために、インスタント メッセージをログに記録してアーカイブできます。 インスタント メッセージをログに記録するには、外部データベースを設定するか、またはサードパーティ製のコンプライアンス サーバと統合します。 Cisco Unified Presence と Cisco Unified Communications Manager IM and Presence Service は、外部データベースまたはサードパーティ製コンプライアンス サーバに記録されたインスタント メッセージを暗号化しません。 必要に応じて、外部データベースまたはサードパーティ製コンプライアンス サーバを設定し、記録したインスタント メッセージを保護する必要があります。

コンプライアンスの詳細については、次のドキュメントを参照してください。
  • Cisco Unified Presence:『Instant Messaging Compliance Guide

  • Cisco Unified Communications Manager IM and Presence Service:『Instant Messaging Compliance for IM and Presence Service

AES などの対称キー アルゴリズムや RSA などの公開キー アルゴリズムを含め、暗号化レベルや暗号化アルゴリズムの詳細については、「Next Generation Encryption」を参照してください。

X.509 公開キー インフラストラクチャ証明書の詳細については、『Internet X.509 Public Key Infrastructure Certificate and CRL Profile』のドキュメントを参照してください。

クラウドベースの暗号化

次の表に、クラウドベース展開におけるインスタント メッセージ暗号化の詳細を示します。

Connection

プロトコル

ネゴシエーション証明書

想定される暗号化アルゴリズム

クライアントからサーバへ

TLS 内の XMPP

X.509 公開キー インフラストラクチャ証明書

AES 128 ビット

クライアント間

TLS 内の XMPP

X.509 公開キー インフラストラクチャ証明書

AES 256 ビット

サーバとクライアントのネゴシエーション

次のサーバは、Cisco WebEx Messenger サービスで X.509 公開キー インフラストラクチャ(PKI)証明書を使用して、Cisco Jabber と TLS 暗号化をネゴシエートします。

サーバとクライアントが TLS 暗号化をネゴシエートした後、インスタント メッセージのトラフィックを暗号化するためにクライアントとサーバの両方がセッション キーを生成して交換します。

XMPP 暗号化

Cisco WebEx Messenger サービスは、AES アルゴリズムで暗号化された 128 ビットの長さのセッション キーを使用して、Cisco JabberCisco WebEx Messenger サービス間のインスタント メッセージ トラフィックを保護します。

必要に応じて、256 ビットのクライアント間 AES 暗号化を有効化し、クライアント間のトラフィックを保護できます。

インスタント メッセージのロギング

Cisco WebEx Messenger サービスはインスタント メッセージをログに記録できますが、暗号化形式のインスタント メッセージはアーカイブされません。 ただし、Cisco WebEx Messenger サービスは、SAE-16 や ISO-27001 監査などの厳重なデータセンター セキュリティを使用して、記録したインスタント メッセージを保護します。

Cisco WebEx Messenger サービスは、AES 256 ビットのクライアント間の暗号化を有効にした場合は、インスタント メッセージをログに記録できません。

AES などの対称キー アルゴリズムや RSA などの公開キー アルゴリズムを含め、暗号化レベルや暗号化アルゴリズムの詳細については、「Next Generation Encryption」を参照してください。

X509 公開キー インフラストラクチャ証明書の詳細については、『Internet X.509 Public Key Infrastructure Certificate and CRL Profile』のドキュメントを参照してください。

クライアント間の暗号化

デフォルトでは、クライアントと Cisco WebEx Messenger サービス間のインスタント メッセージ トラフィックは安全です。 必要に応じて、Cisco WebEx 管理ツールでポリシーを指定して、クライアント間のインスタント メッセージング トラフィックを保護できます。

次のポリシーは、クライアント間のインスタント メッセージの暗号化を指定します。
  • IM の AES 符号化をサポートする(Support AES Encoding For IM):送信側クライアントは、AES 256 ビット アルゴリズムを使用してインスタント メッセージを暗号化します。 受信側クライアントは、インスタント メッセージの暗号を解除します。

  • IM の符号化をサポートしない(Support No Encoding For IM):クライアントは、暗号化をサポートしていない他のクライアントとインスタント メッセージを送受信できます。

次の表は、これらのポリシーを使用して設定できる組み合わせを示しています。

ポリシーの組み合わせ

クライアント間の暗号化

リモート クライアントが AES 暗号化をサポートしている場合

リモート クライアントが AES 暗号化をサポートしていない場合

[IM の AES 符号化をサポートする(Support AES Encoding For IM)] = false

[IM の符号化をサポートしない(Support No Encoding For IM)] = true

[いいえ(No)]

Cisco Jabber は暗号化されていないインスタント メッセージを送信します。

Cisco Jabber はキー交換をネゴシエートしません。 そのため、他のクライアントは Cisco Jabber の暗号化されたインスタント メッセージを送信しません。

Cisco Jabber は暗号化されていないインスタント メッセージを送受信します。

[IM の AES 符号化をサポートする(Support AES Encoding For IM)] = True

[IM の符号化をサポートしない(Support No Encoding For IM)] = true

[はい(Yes)]

Cisco Jabber は暗号化されたインスタント メッセージを送受信します。

Cisco Jabber には、インスタント メッセージが暗号化されていることを示すアイコンが表示されます。

Cisco Jabber は暗号化されたインスタント メッセージを送信します。

Cisco Jabber は暗号化されていないインスタント メッセージを受信します。

[IM の AES 符号化をサポートする(Support AES Encoding For IM)] = True

[IM の符号化をサポートしない(Support No Encoding For IM)] = false

[はい(Yes)]

Cisco Jabber は暗号化されたインスタント メッセージを送受信します。

Cisco Jabber には、インスタント メッセージが暗号化されていることを示すアイコンが表示されます。

Cisco Jabber は、リモート クライアントに対してインスタント メッセージの送受信を行いません。

ユーザがリモート クライアントにインスタント メッセージを送信しようとすると、Cisco Jabber にエラー メッセージが表示されます。


(注)  


Cisco Jabber では、グループ チャットによるクライアント間の暗号化をサポートしていません。 Cisco Jabber は、ポイントツーポイント チャットのみに関して、クライアント間の暗号化を使用します。


暗号化および Cisco WebEx ポリシーの詳細については、Cisco WebEx のマニュアルの「About Encryption Levels」の項を参照してください。

暗号化アイコン

暗号化レベルを表示するには、クライアントが表示するアイコンを確認します。

サーバの暗号化対応クライアント用のロック アイコン
オンプレミス展開とクラウドベース展開の両方で、Cisco Jabber はクライアント/サーバ間暗号化を示す次のアイコンを表示します。


クライアントの暗号化対応クライアント用の鍵アイコン
クラウドベース展開で、Cisco Jabber はクライアント間暗号化を示す次のアイコンを表示します。


ローカルのチャット履歴

ローカル チャット履歴が有効になっている場合、Cisco Jabber for iPhone and iPad は、モバイル デバイスにローカルに格納されるアーカイブ インスタント メッセージを暗号化しません。 暗号化されていないインスタント メッセージをローカルに格納することを望まない場合は、ローカル チャット履歴を無効にしてください。

ローカル チャット履歴が有効になっている場合、Cisco Jabber for Android は、モバイル デバイスにローカルに格納されるアーカイブ インスタント メッセージを暗号化しません。 暗号化されていないインスタント メッセージをローカルに格納することを望まない場合は、ローカル チャット履歴を無効にしてください。

ローカル チャット履歴を有効にすると、Cisco Jabber for Windows はインスタント メッセージを暗号化形式でアーカイブしません。 チャット履歴へのアクセスを制限するために、クライアントはアーカイブを %USERPROFILE%\AppData\Local\Cisco\Unified Communications\Jabber\CSF\History\uri.db ディレクトリに保存します。

ローカル チャット履歴を有効にすると、Cisco Jabber for Mac はインスタント メッセージを暗号化形式でアーカイブしません。 チャット履歴へのアクセスを制限するために、Cisco Jabber はアーカイブを ~/Library/Application Support/Cisco/Unified Communications/Jabber/CSF/History/uri.db ディレクトリに保存します。

オンプレミス展開の場合、Cisco Jabber for Mac の [チャットの設定(Chat Preferences)] ウィンドウで [チャットのアーカイブを次に保存:(Save chat archives to:)] オプションを選択すると、チャット履歴は Mac ファイル システムにローカルに保存され、Spotlight を使用して検索できるようになります。

チャット履歴は、参加者がチャット ウィンドウを閉じたあともサインアウトするまで維持されます。 参加者がチャット ウィンドウを閉じたらチャット履歴を破棄する場合は、Disable_IM_History パラメータを ture に設定します。 このパラメータは、IM 専用ユーザを除く、すべてのクライアントで使用できます。

音声およびビデオの暗号化

オプションで、すべてのデバイスに対してセキュアな電話機能をセットアップできます。 セキュア電話機能により、セキュア SIP シグナリング、セキュア メディア ストリーム、および暗号化デバイス設定ファイルが提供されます。

ユーザのセキュアな電話機能を有効にした場合は、Cisco Unified Communications Manager へのデバイス接続がセキュアになります。 ただし、他のデバイスとのコールは、両方のデバイスがセキュアな接続を備えている場合にのみセキュアになります。

連邦情報処理標準規格


(注)  


ここで説明する内容は、Cisco Jabber for Windows スイッチにのみ適用されます。


連邦情報処理規格(FIPS)140 は、承認されたセキュリティ機能を実装し、暗号境界内に存在するハードウェア、ソフトウェア、およびファームウェアのセットを含む暗号モジュールのセキュリティ要件を規定した米国およびカナダ政府の標準です。

FIPS では、Cisco Jabber for Windows 内部で使用される暗号化、キー交換、デジタル署名、およびハッシュと乱数生成関数のすべてが暗号モジュールのセキュリティに関する FIPS 140.2 要件に準拠している必要があります。

Cisco Jabber for Windows は FIPS 140.2 に準拠しています。 クライアントを FIPS モードで実行するには、Windows オペレーティング システム上で FIPS を有効にする必要があります。 クライアントは、オペレーティング システムが FIPS モードになっており、FIPS モードで動作していることを検出します。

FIPS モードではクライアントによる証明書の管理がより厳密になります。 FIPS モードでは、サービスの証明書が期限切れになり、その前にユーザがクレデンシャルを再入力しなかった場合、クライアントに証明書エラーが表示されます。 ハブ ウィンドウにも、クライアントが FIPS モードで実行中であることを示す FIPS アイコンが表示されます。

証明書の検証

証明書検証プロセス

Cisco Jabber は、サービスの認証時にサーバ証明書を検証します。 セキュアな接続の確立を試みるときに、サービスは Cisco Jabber に証明書を提示します。 Cisco Jabber は、提示された証明書をクライアント デバイスのローカル証明書ストア内の証明書に照らして検証します。 証明書が証明書ストア内に存在しない場合、その証明書は信頼できないものとみなされ、Cisco Jabber はユーザに証明書を受け入れるか拒否するかを尋ねます。

ユーザが証明書を受け入れた場合、Cisco Jabber はサービスに接続して、デバイスの証明書ストアまたはキーチェーンに証明書を保存します。 ユーザが証明書を拒否した場合、Cisco Jabber はサービスに接続せず、証明書はデバイスの証明書ストアにもキーチェーンにも保存されません。

証明書がデバイスのローカル証明書ストア内に存在する場合、Cisco Jabber は証明書を信頼します。 Cisco Jabber は、ユーザに証明書を受け入れるか拒否するかを尋ねずにサービスに接続します。

Cisco JabberCisco Unified Communications Manager サーバ上の 2 つのサービスに対して認証を行います。 サービス名は Cisco Tomcat と Extensible Messaging and Presence Protocol(XMPP)です。 サービスごとに証明書署名要求(CSR)を生成する必要があります。 一部のパブリック認証局は、完全修飾ドメイン名(FQDN)ごとに 1 つの CSR しか承認しません。 そのため、各サービスの CSR を別々のパブリック認証局に送信しなければならない場合があります。

IP アドレスやホスト名の代わりに、各サービスのサービス プロファイルで FQDN が指定されていることを確認します。

署名証明書

証明書は、認証局(CA)で署名することも、自己署名することもできます。
  • CA 署名証明書:ユーザが自分自身で証明書をデバイスにインストールしているため、プロンプトが表示されません。 CA 署名証明書はプライベート CA またはパブリック CA で署名できます。 パブリック CA で署名された証明書の多くは証明書ストアまたはデバイスのキーチェーンに保存されます。

  • 自己署名証明書:証明書は、証明書を提示しているサービスによって署名され、ユーザは必ずその証明書を受け入れるか拒否するかを尋ねられます。

    (注)  


    自己署名証明書を使用しないことをお勧めします。


証明書検証オプション

証明書検証をセットアップする前に、証明書の検証方法を決定する必要があります。
  • オンプレミス展開とクラウドベース展開のどちらかに証明書を展開しようとしているか。

  • 証明書の署名に使用している方法。

  • CA 署名証明書を展開している場合は、パブリック CA とプライベート CA のどちらを使用するか。

  • どのサービスの証明書を取得する必要があるか。

オンプレミス サーバに必要な証明書

オンプレミス サーバは、Cisco Jabber とのセキュアな接続を確立するために、次の証明書を提示します。

サーバ

証明書

Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence Service

HTTP(Tomcat

XMPP

Cisco Unified Communications Manager

HTTP(Tomcat)と CallManager 証明書(セキュアな電話機用のセキュア SIP コール シグナリング)

Cisco Unity Connection

HTTP(Tomcat

Cisco WebEx Meetings Server

HTTP(Tomcat

Cisco VCS Expressway

Cisco Expressway-E

サーバ証明書(HTTP、XMPP、および SIP コール シグナリングに使用)

特記事項

  • Security Assertion Markup Language(SAML)シングル サインオン(SSO)およびアイデンティティ プロバイダー(IdP)には X.509 証明書が必要です。

  • 証明書署名プロセスを開始する前に、Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence Service に対して最新のサービス更新(SU)を適用する必要があります。

  • 必要な証明書は、すべてのサーバ バージョンに適用されます。

  • 各クラスタ ノード、サブスクライバ、およびパブリッシャは Tomcat サービスを実行し、クライアントに HTTP 証明書を提示できます。

    クラスタ内の各ノードの証明書に署名する必要があります。

  • クライアントと Cisco Unified Communications Manager 間の SIP シグナリングを保護するには、Certification Authority Proxy Function(CAPF)登録を使用する必要があります。

証明書署名要求の形式と要件

通常、パブリック認証局(CA)は、特定の形式に準拠する証明書署名要求(CSR)を必要とします。 たとえば、パブリック CA は、次のような要件を持つ CSR だけを承認する場合があります。
  • Base 64 エンコードである。

  • [組織(Organization)] フィールド、[OU] フィールド、またはその他フィールドに特定の文字(@&! など)が含まれていない。

  • サーバの公開キーで特定のビット長を使用する。

複数ノードから CSR を送信すると、パブリック CA で全 CSR の情報の整合性が求められることがあります。

CSR の問題を回避するために、CSR を送信するパブリック CA からの形式の要件を確認する必要があります。 次に、サーバを構成する際に、入力する情報がパブリック CA が要求する形式に適合していることを保証する必要があります。

FQDN ごとに 1 つの証明書:一部のパブリック CA は、完全修飾ドメイン名(FQDN)ごとに 1 つの証明書にだけ署名します。

たとえば、1 つの Cisco Unified Communications Manager IM and Presence Service ノードの HTTP 証明書と XMPP 証明書に署名するには、各 CSR を個別のパブリック CA に送信する必要があります。

失効サーバ

証明書を検証するには、失効情報を提供できる到達可能なサーバの [CDP] または [AIA] フィールドに HTTP URL が証明書に含まれている必要があります。 認証局(CA)によって証明書が取り消された場合、クライアントはユーザがそのサーバに接続することを許可しません。

ユーザには次の結果が通知されません。
  • 証明書に失効情報が含まれない。

  • 失効サーバにアクセスできない。

証明書が検証済みであることを確認するには、CA が発行した証明書を取得したときに、次の要件のいずれかを満たしている必要があります。
  • [CRL Distribution Point](CDP)フィールドに、失効サーバ上の認証失効リスト(CRL)への HTTP URL が含まれていることを確認します。

  • [Authority Information Access](AIA)フィールドに、オンライン証明書ステータス プロトコル(OCSP)サーバの HTTP URL が含まれていることを確認します。

証明書のサーバ識別情報

署名プロセスの一部として、CA は証明書のサーバ識別情報を指定します。 クライアントがその証明書を検証する場合、次のことを確認します。
  • 信頼できる機関が証明書を発行している。

  • 証明書を提示するサーバの識別情報は、証明書に明記されたサーバの識別情報と一致します。


(注)  


パブリック CA は、通常、サーバの識別情報として、IP アドレスではなく、ドメインを含む完全修飾ドメイン名(FQDN)を必要とします。


ID フィールド

クライアントは、識別情報の一致に関して、サーバ証明書の次の識別子フィールドを確認します。
  • XMPP 証明書
    • SubjectAltName\OtherName\xmppAddr

    • SubjectAltName\OtherName\srvName

    • SubjectAltName\dnsNames

    • Subject CN

  • HTTP 証明書
    • SubjectAltName\dnsNames

    • Subject CN


ヒント


[件名 CN(Subject CN)] フィールドには、左端の文字(たとえば、*.cisco.com)としてワイルドカード(*)を含めることができます。


ID の不一致の防止

ユーザが IP アドレスでサーバに接続し、サーバ証明書が FQDN でサーバを識別しようとすると、クライアントは、信頼できるポートとサーバを識別できないため、ユーザにとって良い結果をもたらしません。

サーバ証明書が FQDN でサーバを識別する場合、環境全体の FQDN として各サーバ名を指定する必要があります。

マルチサーバ SAN の証明書

マルチサーバ SAN を使用している場合は、クラスタと tomcat 証明書ごとに一度ずつと クラスタと XMPP 証明書ごとに一度ずつサービスに証明書をアップロードする必要があるだけです。 マルチサーバ SAN を使用していない場合は、すべての Cisco Unified Communications Manager ノードのサービスに証明書をアップロードする必要があります。

クラウドベースのサーバの証明書要件

Cisco WebEx Messenger および Cisco WebEx Meeting Center は、クライアントに次の証明書を提示します。
  • Central Authentication Service(CAS)

  • WLAN Authentication and Privacy Infrastructure(WAPI)

重要:

Cisco WebEx 証明書はパブリック認証局(CA)によって署名されます。 Cisco Jabber は、これらの証明書を検証し、クラウドベース サービスのセキュアな接続を確立します。

Cisco Jabber for Windows 9.7.2 および Cisco Jabber for Mac 9.6.1 以降では、Cisco JabberCisco WebEx Messenger から受信した XMPP 証明書を検証します。 以下の Cisco WebEx Messenger 用の証明書がオペレーティング システムに付属していない場合は、それらを入力する必要があります。
  • VeriSign Class 3 Public Primary Certification Authority:G5(信頼できるルート認証局に保存される)

  • VeriSign Class 3 Secure Server CA:G3(中間認証局に保存される)

同じ証明書セットが、Cisco Jabber for Android、iPhone、iPad に適用されます。

中間認証局に保存されている証明書により Cisco WebEx Messenger サーバ ID が検証されます。

Cisco Jabber for Windows 9.7.2 以降の場合は、http:/​/​www.identrust.co.uk/​certificates/​trustid/​install-nes36.html でルート証明書の詳細情報とインストール手順を確認できます。

Cisco Jabber for Mac 9.6.1 以降および iOS の場合は、Apple サポート Web サイト(http:/​/​support.apple.com)でルート証明書の詳細情報を確認できます。