Cisco Unity セキュリティ ガイド IBM Lotus Domino版 Release 5.x
パスワードとアカウントの原則の管理
パスワードとアカウントの原則の管理
発行日;2012/01/09 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 795KB) | フィードバック

目次

パスワードとアカウントの原則の管理

ユーザが Cisco Unity アプリケーションへのアクセスに使用するパスワードについて

Cisco Unity で作成されるデフォルト アカウントのパスワードの保護

ユーザに対する一意で安全な初期電話パスワードの確実な割り当て

Cisco Unity システム管理へのアクセスに使用されるパスワードの変更

Cisco PCA パスワードの変更

Cisco Unity 電話パスワードの変更

Cisco Unity システム管理へのアクセスに関するアカウントの原則の定義

Cisco PCA へのアクセスに関するアカウントの原則の定義

Cisco Unity への電話アクセスに関するアカウントの原則の定義

電話パスワードの制限の設定

アカウントのロックアウト制限の設定

パスワードとアカウントの原則の管理

Cisco Unity アプリケーションに対する不正アクセスを防止するための最初のステップは、デフォルト Cisco Unity アカウントに関連付けられているパスワードを保護し、ユーザに最初に割り当てられるパスワードを必ず一意のものにすることです。また、Cisco Unity アカウントの原則を定義して、ユーザに対し、各自のパスワードを頻繁に変更して、一意で推測されにくいパスワードを使用するように義務付けることをお勧めします。十分に検討したアカウントの原則を導入することで、無効なパスワードを何度も入力するユーザがロックアウトされるようになり、Cisco Unity アプリケーションへの不正アクセスも防止できます。

この章では、上記の作業を実施するための情報に加えて、パスワード セキュリティとアカウントの原則の管理に関係するその他の問題について説明します。Cisco Unity のパスワード管理の範囲を理解しやすくするために、この章の最初の項で、Cisco Unity システム管理、Cisco Personal Communications Assistant(PCA)、および Cisco Unity カンバセーション(つまり TUI)へのアクセスに必要な各種のパスワードについて説明します。以降の各項では、実施する必要のある作業、さまざまな決定を支援するための推奨事項、決定した事項による影響について説明し、多くのケースについてベスト プラクティスを示します。

Cisco Unity のパスワードを保護し、アカウントの原則を定義するための一連の手順については、次の各項を参照してください。

ユーザが使用するパスワードの概要

「ユーザが Cisco Unity アプリケーションへのアクセスに使用するパスワードについて」

デフォルト Cisco Unity アカウントのパスワードの保護

「Cisco Unity で作成されるデフォルト アカウントのパスワードの保護」

必要なパスワードおよび当初からパスワードを保護する方法の概要

「ユーザに対する一意で安全な初期電話パスワードの確実な割り当て」

ユーザ パスワードの変更方法

「Cisco Unity システム管理へのアクセスに使用されるパスワードの変更」

「Cisco PCA パスワードの変更」

「Cisco Unity 電話パスワードの変更」

アカウントの原則の定義方法

「Cisco Unity システム管理へのアクセスに関するアカウントの原則の定義」

「Cisco PCA へのアクセスに関するアカウントの原則の定義」

「Cisco Unity への電話アクセスに関するアカウントの原則の定義」

ユーザが Cisco Unity アプリケーションへのアクセスに使用するパスワードについて

Cisco Unity ユーザは、複数のパスワードを使用して Cisco Unity アプリケーションにアクセスします。各アプリケーションでどのパスワードが必要になるかを理解することは、Cisco Unity でのパスワード管理の範囲を把握する上で重要です。

Cisco Unity システム管理

Cisco Unity システム管理で Anonymous 認証を使用するように IIS が設定されている場合、ユーザは Cisco Unity のログオン ページで資格を入力するように求められます。ユーザは、Domino 資格と Windows 資格のどちらを入力するかを選択できます。Cisco Unity システム管理にアクセスするためのパスワードは、Domino および Active Directory(ユーザが Active Directory アカウントを持っている場合)のパスワード設定から継承されます。

Cisco Unity システム管理で統合 Windows 認証を使用するように IIS が設定されている場合、ユーザは、Cisco Unity のインストール時に選択した管理アカウントのユーザ名、パスワード、およびドメイン、または適切な Active Directory アカウントを入力します。

Cisco PCA

ユーザは、IBM Lotus Notes ユーザ名と、Domino ユーザ アカウントのインターネット パスワードを Cisco PCA のログオン ページで入力するように求められます。

Cisco Unity カンバセーション

ユーザは、電話のキーパッドを使用して、数字だけで構成されるパスワードを入力します。

Cisco Unity で作成されるデフォルト アカウントのパスワードの保護

インストール中に、Cisco Unity はいくつかのデフォルト アカウントを作成します。一部のデフォルト アカウントには、安全と見なすことができない電話パスワードまたは Windows パスワードが割り当てられます。

ベスト プラクティス:電話パスワードを変更して保護する

電話パスワードは、Cisco Unity システム管理の[ユーザ] >[ユーザ] >[電話パスワード]ページで変更できます。桁数が多く(20 桁以上)、見破られにくいパスワードを指定します。

ユーザに対する一意で安全な初期電話パスワードの確実な割り当て

Cisco Unity を不正アクセスや料金の不正請求から保護するには、すべてのユーザに一意の電話パスワードを割り当てる必要があります。また、各パスワードは、8 桁以上で見破られにくいものにする必要があります。

ユーザ アカウントを作成する前に Cisco Unity システム管理の[ユーザ] >[ユーザ テンプレート] >[パスワード]ページで電話パスワードを変更する方法だけでは、ユーザに対して一意のパスワードが割り当てられる保証はありません。これは、パスワードの割り当て時にテンプレートが使用されない場合があり、テンプレートが使用されたときに、作成する各ユーザ アカウントに同じパスワードが割り当てられるためです。

アカウントの作成時またはその直後に、各ユーザに対して一意で安全なパスワードを確実に割り当てるには、次の方法を検討してください。

ユーザ アカウントの作成時に一意で安全な電話パスワードを割り当てる場合

次のいずれかの方法を使用して、作成する各ユーザ アカウントに一意で安全な電話パスワードを割り当てます。

Cisco Unity Bulk Import ウィザードを使用して、CSV ファイルに含まれているユーザ データをインポートします。各ユーザのテンプレート パスワードを上書きするには、CSV ファイルにオプション カラム ヘッダーの DTMF_PASSWORD を含めます。

Cisco Unity システム管理を使用して、ユーザを一度に 1 人ずつ追加します。作成する各ユーザに対して、異なるテンプレートを使用し、各テンプレートに、一意で安全な電話パスワードを指定します。または、すべてのユーザに対して 1 つのテンプレートを使用し、追加する各ユーザ アカウントの前に、一意で安全なパスワードを指定します。パスワードの録音および配布を避けるため、ユーザには、初期の電話パスワードを変更するときは Cisco Unity Assistant を使用するように通知します。Cisco Unity Assistant では、古いパスワードを変更するときにユーザがそのパスワードを入力する必要はありません。

ユーザ アカウントの作成後に一意で安全な電話パスワードを割り当てる場合

Cisco Unity システム管理または Cisco Unity Bulk Import ウィザードを使用してユーザ アカウントを作成したら、Cisco Unity Bulk Import ウィザードを使用して、作成した各ユーザ アカウントに一意の電話パスワードを割り当てます。パスワードの録音および配布を避けるため、ユーザには、初期の電話パスワードを変更するときは Cisco Unity Assistant を使用するように通知します。Cisco Unity Assistant では、古いパスワードを変更するときにユーザがそのパスワードを入力する必要はありません。

Cisco Unity システム管理へのアクセスに使用されるパスワードの変更

Cisco Unity システム管理で Anonymous 認証を使用するように IIS が設定されているかどうか、およびユーザが Active Directory アカウントを持っているかどうかに応じて、ユーザは Domino または Windows のいずれか適切な方法でパスワードを変更できます。

ベスト プラクティス

Cisco Unity システム管理へのアクセスに使用するパスワードを変更する場合は、桁数が多く(8 文字以上)、見破られにくいパスワードを指定します。アカウントの原則は、この条件を必須とするように設定します。Cisco Unity システム管理へのアクセスに使用するパスワードは、6 か月ごとに変更してください。

Cisco PCA パスワードの変更

ユーザが Cisco Unity 電話通話および Cisco Unity Assistant を使用して Cisco PCA パスワードを変更することや、管理者が Cisco Unity システム管理で Cisco PCA パスワードを変更することはできません。Cisco PCA パスワードは、Lotus Notes でのみ変更します。

ベスト プラクティス

Cisco PCA パスワードは、6 か月ごとに変更してください。

Cisco Unity 電話パスワードの変更

個々のユーザの電話パスワードは、Cisco Unity システム管理の[ユーザ] >[ユーザ] >[電話パスワード]ページで、いつでも変更できます。一方、Cisco Unity Bulk Import ウィザードを使用すると、複数のユーザの電話パスワードを同時に変更できます。詳細については、Cisco Unity Bulk Import のヘルプを参照してください。

ベスト プラクティスとして、各ユーザに、8 桁以上で見破られにくい一意のパスワードを割り当てる必要があります。ユーザによるパスワード設定を可能にする場合は、ユーザにこの方法を推奨するか、Cisco Unity システム管理の[ユーザ] >[アカウントの原則] >[電話パスワードの制限]ページを使用してユーザにこの方法を要求します。

ユーザが各自の電話パスワードを設定できるようにユーザ アカウントが設定されている場合、ユーザは Cisco Unity の電話通話または Cisco Unity Assistant を使用して電話パスワードを設定できます。Cisco Unity カンバセーションでも、Cisco Unity Assistant でも、電話パスワードをリセットするときに古い電話パスワードの入力は要求されません。

AMIS、Bridge、インターネット、および VPIM のユーザは、電話では Cisco Unity にログオンできないこと、および Cisco Unity Assistant を使用できないことに注意してください。

電話パスワードは 30 日ごとに変更してください。

ベスト プラクティス:ユーザに対して各自の電話パスワードを保護するように要請する

ユーザは Cisco Unity Assistant を使用して電話パスワードを変更できるため、適切な方法で各自の Cisco PCA パスワードを安全な状態に保つ必要があります。電話と Cisco PCA のパスワードが同期化されないことについて、ユーザが理解している必要があります。初回登録時に、ユーザは初期電話パスワードを変更するように求められますが、Cisco PCA Web サイトへのログオンに使用するパスワードはここで変更できません。

ベスト プラクティス:単純なユーザ パスワードが使用されていないことを確認する

ユーザがパスワードを設定した後に、それらのパスワードが見破られにくいものかどうかを確認します。単純なパスワードを使用しているユーザについてレポートを作成するには、Cisco Unity Tools Depot の Subscriber Information Dump を使用し、[Trivial PW Check]チェックボックスをオンにします。Subscriber Information Dump は、ユーザ アカウントごとに 6 つの値(Subscriber Information Dump のヘルプを参照)のいずれかを示します。見破られやすいパスワードを使用しているユーザを識別して、Cisco Unity アカウントのパスワードを見破られにくいものにするよう要請できます。

Cisco Unity システム管理へのアクセスに関するアカウントの原則の定義

アカウントの原則をどのように設定するかは、Cisco Unity システム管理で使用する認証方式によって異なります。Cisco Unity システム管理で、(デフォルトである)統合 Windows 認証方式を使用する場合は、Active Directory アカウントごとに指定するアカウントの原則によって、次の事項が決まります。

ユーザが電話で Windows にログオンしようとして間違った電話パスワードを繰り返し入力した場合、Windows がどのように処理するか

Windows でログオン試行の失敗が許容される回数(この数に達すると、ユーザ アカウントは Windows へのアクセスに使用できなくなる)

ユーザをロックアウトする期間

Cisco Unity システム管理で Anonymous 認証を使用する場合は、ログオン、パスワード、およびロックアウトの原則を Cisco Unity システム管理の[認証]ページの設定を使用してカスタマイズできます。これらの原則は、ユーザが Cisco Unity システム管理を使用して Cisco Unity にアクセスするときに適用します。

ベスト プラクティス

ユーザは Domino 資格または Active Directory 資格のいずれか一方を使用すれば Cisco Unity システム管理にログオンできるため、[認証]ページでは、ログオンの原則とロックアウトの原則を 2 組指定します。一方は、ユーザが Active Directory ドメイン資格を使用する場合に適用し、もう一方は、ユーザが Domino 資格を使用する場合に適用します。セキュリティを強化するため、空白パスワードの使用を禁止します。この制約事項は、Domino または Active Directory アカウントで空白パスワードが許可されている場合でも優先されます。可能な場合は、Domino または Active Directory のパスワード ポリシー設定を利用して、パスワードの変更時には必ず 8 文字以上の見破られにくいパスワードを指定することをユーザに義務付けます。

どちらの認証方式を使用する場合でも、Domino または Windows でアカウント ポリシーを定義するときに、Cisco Unity パスワードを少なくとも 6 か月ごとに変更すること、文字数が多く(8 文字以上)見破られにくいパスワードに変更することもユーザに義務付ける必要があります。

Cisco PCA へのアクセスに関するアカウントの原則の定義

Cisco Unity システム管理の[認証]ページで指定するアカウントの原則によって、ユーザが Cisco PCA にログオンしようとしたときに、不正なパスワードを繰り返し入力した場合の Cisco Unity の対応(ユーザが空白パスワードを使用できるかどうかにかかわらず)、つまり、ユーザ アカウントが Cisco PCA にアクセスできなくなるまでのログオン失敗回数、およびユーザをロックアウトする時間が決まります。

また、[認証]ページの設定を使用して、Cisco PCA のログオン ページで次のオプションをユーザに提供するかどうかを指定できます。

[ユーザ名の保存]

[パスワードの保存]

[ドメインの保存]

Cisco Unity にユーザ名、パスワード、またはドメインを記憶させるように指定した場合、次に Cisco PCA にログオンするときに、ユーザがこれらを入力する必要はありません。代わりに、フィールドがログオン ページに自動的に入力されます。ユーザが Cisco Unity に資格を保存するかどうかを指定できるようにすることによって、サポート デスクから情報を求められる回数を減らすことができます。ただし、セキュリティ上の理由から、ログオン ページでこのオプションをユーザに提供しないようにすることもできます。提供しない場合は、[認証]ページの[次回も同じデータでログオン:__日]チェックボックスをオフにして、Cisco PCA のログオン ページにこれらのオプションが表示されないようにし、Cisco PCA にログオンするたびに、ユーザ名、パスワード、ドメインを入力するように要求します。


注意 Domino Administrator に用意されている[強固なパスワード形式への変更]オプションを使用する場合は、Cisco Unity サーバに Notes バージョン 5.0.11 以降をインストールする必要があります。インストールされていないと、Cisco Unity ユーザは Cisco PCA にログオンできなくなります。

Cisco Unity への電話アクセスに関するアカウントの原則の定義

Cisco Unity システム管理の[電話パスワードの制限]ページおよび[Cisco Unity アカウントのロックアウト]ページにあるアカウントの原則の設定は、ユーザが電話で Cisco Unity にアクセスするときに適用されます。アカウントの原則の設定を変更すると、既存のすべてのユーザに影響します。

詳細については、次の項を参照してください。

「電話パスワードの制限の設定」

「アカウントのロックアウト制限の設定」

電話パスワードの制限の設定

[電話パスワードの制限]の設定によって、ユーザが電話で Cisco Unity にアクセスする際に適用されるシステム全体のパスワード ポリシーを定義できます。セキュリティを高めるには、容易に推測できるパスワードおよびパスワードの長期間の使用を防止する原則を確立してください。また、ユーザがそのたびに書き留めなければならないほど、複雑すぎるパスワードや、頻繁に変更しなければならないようなパスワードの要求は避けるようにしてください。

Cisco Unity システム管理の[電話パスワードの制限]ページでパスワードの原則を指定するときは、次のガイドラインに従います。

電話パスワードの有効期間

ベスト プラクティスとして、[パスワードを無期限にする]オプションは有効にしないことをお勧めします。代わりに、[有効期間(日)]フィールドが選択され、ユーザに対して X 日ごとにパスワードの変更を求める状態になっていることを確認します(X は、隣接するボックスで指定する値です)。電話パスワードの有効期間は、最長でも 30 日にすることをお勧めします。

電話パスワードの長さ

ベスト プラクティスとして、[「パスワードなし」を許可]オプションは有効にしないことをお勧めします。代わりに、[パスワードの最少桁数]フィールドが選択され、ユーザに対して X 文字以上のパスワードを作成するように求める状態になっていることを確認します(X は、隣接するボックスで指定する値です)。パスワードの最少桁数を変更すると、ユーザは次にパスワードを変更するときに新しい桁数で入力する必要があります。

電話パスワードの長さを指定するときは、桁数が多い(8 文字以上)パスワードの使用をユーザに義務付けることをお勧めします。

電話パスワードの独自性

ベスト プラクティスとして、[パスワードの履歴を記録しない]オプションは無効にすることをお勧めします(デフォルトでは有効になっています)。代わりに、[記録するパスワード数]フィールドで数値を指定します。この値を指定すると、指定した数のパスワード履歴がユーザごとに記録されるので、新しいパスワードとパスワード履歴に記録されたパスワードを比較して、Cisco Unity でパスワードの独自性を確保することができます。Cisco Unity は、履歴に記録されたパスワードと一致するパスワードをすべて拒否します。

ベスト プラクティスとして、10 ~ 24 個のパスワードを Cisco Unity でパスワード履歴に記録するように指定することをお勧めします。

安全性のため単純なパスワードは禁止する

ベスト プラクティスとして、[「パスワードなし」を許可]オプションは有効にしないことをお勧めします。代わりに、[安全性のため単純なパスワードは禁止する]フィールドを有効にして、見破られにくいパスワードの使用をユーザに義務付けていることを確認します。

Cisco Unity アプリケーションは、 表9-1 に示した見破られやすい特性を持つ電話パスワードを拒否します。

 

表9-1 アプリケーションで拒否される単純な電話パスワードの特性

見破られやすいパスワードの特性
Cisco Unity
カンバセーション(TUI) 1
Cisco Unity Assistant 1
Cisco Unity システム管理 1
Cisco Unity Bulk Import
Password Hardening Wizard

全体が同じ数字の繰り返しで構成されている(44444 など)

しない

しない

しない

しない

しない

同じ数字の繰り返しが 1 グループ以上含まれている(11579 など)

する

する

しない

する

しない

昇順の連続番号が含まれている(12345 など)

しない

しない

しない

しない

しない

降順の連続番号が含まれている(87654 など)

しない

しない

しない

しない

しない

ユーザのプライマリ内線番号と一致する

しない

しない

しない

する

適用されない

1.[安全性のため単純なパスワードは禁止する]フィールドを有効にした場合のみ。

アカウントのロックアウト制限の設定

[Cisco Unity アカウントのロックアウト]の設定では、電話で Cisco Unity にアクセスするすべてのユーザに適用されるアカウント ロックアウト原則を Cisco Unity が使用するかどうかを指定できます。アカウントの原則の設定をユーザ アカウントごとに変更することはできません。ただし、個々のユーザ アカウントをロックして、ユーザが電話で Cisco Unity にアクセスできないようにすることは可能です(個々のユーザ アカウントをロックアウトするには、Cisco Unity システム管理で、該当するユーザの[ユーザ] >[ユーザ] >[アカウント]ページを使用します)。

[アカウントのロックアウト]ページでアカウントのロックアウトの原則を指定するには、[アカウントのロックアウト]フィールドが選択されていることを確認します。次に、失敗したログオン試行を Cisco Unity でどのように処理するか、およびロックアウトが発生した場合のロックアウト期間を次のガイドラインに従って指定します。

[アカウントのロック__回後のログイン失敗後]

このフィールドは、発信者がユーザ アカウントにログオンしようとして間違ったパスワードを繰り返し入力した場合に、Cisco Unity でどのように処理するかを指定するために使用します。デフォルト値を変更して、ログオン試行が 3 回失敗した時点で当該のユーザ アカウントへの電話アクセスをブロックするように指定することをお勧めします。

[カウンタのリセット__分のロックアウト後]

このフィールドは、Cisco Unity が何分後に、Cisco Unity へのログオン試行失敗回数のカウントを消去するかを指定するために使用します(カウントがログオン失敗の制限値に達している場合、さらにアカウントがロックされている場合は除きます)。

[ロックアウト期間]

ロックアウトされたユーザが電話で再び Cisco Unity にアクセス試行するまでに待つ必要のある期間を指定します。デフォルト値を 1440 分に変更して、カウンタが 1 日後にリセットされるようにすることをお勧めします。セキュリティをさらに強化するには、[無期限]を指定します。ユーザは、該当するユーザの[ユーザ] >[ユーザ] >[アカウント]ページでシステム管理者がロックを解除するまで、アカウントにアクセスできなくなります。ロックアウト期間を[無期限]に設定するのは、システム管理者がただちにユーザを支援できる場合、またはシステムが不正アクセスおよび電話不正利用されやすい場合だけにしてください。