この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
インストールのとき、 Cisco Unified Communications Manager は非セキュア モードで起動します。 Cisco Unified Communications Manager のインストール後に電話機が起動すると、すべてのデバイスは非セキュアとして Cisco Unified Communications Manager に登録されます。
Cisco Unified Communications Manager 4.0(1) またはそれ以降のリリースからアップグレードした後は、アップグレード前に有効にしたデバイス セキュリティ モードで電話機が起動します。デバイスはすべて、選択されたセキュリティ モードを使用して登録されます。
Cisco Unified Communications Manager をインストールすると、 Cisco Unified Communications Manager と TFTP サーバで CA 署名付き証明書が作成されます。 自己署名証明書ではなく、 Cisco Unified Communications Manager のサードパーティの CA 署名付き証明書を使用することもできます。 認証を設定すると、 Cisco Unified Communications Manager はその証明書を使用して、サポートされている Cisco Unified IP Phone で認証します。 証明書が Cisco Unified Communications Manager および TFTP サーバに存在していれば、 Cisco Unified Communications Manager はそれぞれの Cisco Unified Communications Manager のアップグレード時に証明書を再発行しません。 新しい証明書エントリで新しい CTL ファイルを作成する必要があります。
ヒント |
サポートされていないシナリオまたは安全でないシナリオについては、インタラクションと制限事項に関連したトピックを参照してください。 |
Cisco Unified Communications Manager は、認証および暗号化のステータスをデバイス レベルで維持します。 コールに関係するすべてのデバイスがセキュアとして登録されると、コール ステータスはセキュアとして登録されます。 いずれか 1 つのデバイスが非セキュアとして登録されると、発信者または受信者の電話機がセキュアとして登録されても、そのコールは非セキュアとして登録されます。
ユーザが Cisco Extension Mobility を使用する場合、 Cisco Unified Communications Manager はデバイスの認証および暗号化ステータスを保持します。 また、共有回線が設定されている場合も、 Cisco Unified Communications Manager はデバイスの認証および暗号化ステータスを保持します。
ヒント |
暗号化された Cisco Unified IP Phone に対して共有回線を設定する場合は、回線を共有するすべてのデバイスを暗号化用に設定します。つまり、暗号化をサポートするセキュリティ プロファイルを適用して、すべてのデバイスのデバイス セキュリティ モードを暗号化済みに設定します。 |
Cisco Unified Communications Manager では、 Cisco Unified IP Phone の電話モデルごとにセキュリティ アイコンを有効にすることができます。 セキュリティ アイコンは、コールがセキュアであるかどうか、および接続されるデバイスが信頼できるかどうかを示します。
信頼できるデバイスとは、信頼できる接続に関するシスコのセキュリティ基準を満たしている、シスコ デバイスまたはサードパーティ製デバイスです。 このセキュリティ基準には、シグナリング暗号化またはメディア暗号化、プラットフォームのセキュリティ強化、および保証が含まれますが、これだけではありません。 デバイスが信頼できる場合、セキュリティ アイコンが表示され、サポート対象のデバイスでセキュア トーンが再生されます。 また、そのデバイスで、セキュア コールに関連する他の機能またはインジケータも使用できます。
Cisco Unified Communications Manager は、デバイスをシステムに追加したときに、そのデバイスが信頼できるかどうかを判断します。 セキュリティ アイコンは情報提供を目的として表示されるだけなので、管理者はこのアイコンを直接設定できません。
Cisco Unified Communications Manager は、 Cisco Unified Communications Manager の管理ページでアイコンとメッセージを表示することによっても、ゲートウェイが信頼されるかどうかを示します。
この項では、 Cisco Unified IP Phone と Cisco Unified Communications Manager の管理ページの両方における信頼されるデバイスのセキュリティ アイコンの動作について説明します。
Cisco Unified Communications Manager の管理ページの次のウィンドウは、デバイスが信頼されるかどうかを示します。
[ゲートウェイの設定(Gateway Configuration)] ウィンドウ( )には、ゲートウェイ タイプごとに、[デバイスは信頼済み(Device is trusted)] または [デバイスは信頼されていない(Device is not trusted)] が対応するアイコンとともに表示されます。
デバイスが信頼済みであるかどうかは、デバイス タイプに基づいて判別されます。 デバイスが信頼済みであるかどうかは設定できません。
[電話の設定(Phone Configuration)] ウィンドウ( )では、電話機のデバイス タイプごとに、[デバイスは信頼済み(Device is trusted)] または [デバイスは信頼されていない(Device is not trusted)] が、対応するアイコンとともに表示されます。
デバイスが信頼済みであるかどうかは、デバイス タイプに基づいて判別されます。 デバイスが信頼済みであるかどうかは設定できません。
ユーザがコールするデバイスのタイプは、電話機に表示されるセキュリティ アイコンに影響します。 次の 3 つの基準を考慮して、コールがセキュアであるかどうかが判断されます。
サポート対象の Cisco Unified IP Phone にロック セキュリティ アイコンが表示される前に、これら 3 つの基準がすべて満たされている必要があることに注意してください。 信頼できないデバイスがコールに含まれている場合、シグナリングおよびメディアのセキュリティに関係なく、コール全体のステータスは非セキュアになり、電話機にロック アイコンは表示されません。 たとえば、信頼できないデバイスを会議に加えると、そのコール レッグだけでなく会議そのものも非セキュアであると見なされます。
Cisco Unified Communications Manager においてセキュリティをサポートする電話機のモデルには、セキュアなシスコの電話機とセキュアな推奨ベンダーの電話機の 2 つのカテゴリがあります。 セキュアなシスコの電話機は、製造元でインストールされる証明書(MIC)を使用して事前にインストールされ、Certificate Authority Proxy Function(CAPF)を使用してローカルで有効な証明書(LSC)の自動生成と交換をサポートします。 セキュアなシスコの電話機は、それ以外の証明書管理を必要とせず、MIC を使用して Cisco Unified CM に登録できます。 追加のセキュリティとして、CAPF を使用して LSC を作成し、電話機にインストールできます。 詳細については、電話機のセキュリティ設定と設定項目に関連したトピックを参照してください。
セキュアな推奨ベンダーの電話機は、MIC を使用して事前にインストールされることはなく、LSC 生成のための CAPF はサポートされません。 セキュアな推奨ベンダーの電話機で Cisco Unified CM に接続するには、証明書がデバイスとともに提供されるか、デバイスによって生成される必要があります。 電話機のサプライヤは、電話機の証明書の取得や生成の方法についての詳細を提供する必要があります。 証明書を取得したら、OS 管理の証明書管理インターフェイスを使用して Cisco Unified CM に証明書をアップロードする必要があります。 詳細については、推奨ベンダーの SIP 電話のセキュリティの設定に関連したトピックを参照してください。
使用している電話機でサポートされるセキュリティ機能の一覧については、今回のリリースの Cisco Unified Communications Manager をサポートする電話機の管理マニュアルおよびユーザ マニュアル、または、使用しているファームウェア ロードをサポートするファームウェアのマニュアルを参照してください。
Cisco Unified Reporting を使用して、特定の機能をサポートしている電話機のリストを表示することもできます。 Cisco Unified Reporting の使用方法の詳細については、『 Cisco Unified Reporting Administration Guide』を参照してください。
セキュアな推奨ベンダーの電話機は、サードパーティ ベンダーによって製造された電話機タイプですが、COP ファイルを使用して Cisco Unified データベースにインストールされます。 Cisco Unified Communications Manager は、推奨ベンダーの SIP 電話のセキュリティを提供します。 セキュリティをサポートするには、COP ファイルで推奨ベンダーの SIP 電話のセキュリティ暗号化およびセキュリティ認証を有効にする必要があります。 これらの電話機タイプが [新規電話を追加(Add a New Phone)] ウィンドウのドロップダウン リストに表示されます。 すべての推奨ベンダーの電話でダイジェスト認証がサポートされますが、推奨ベンダーの電話機すべてが TLS セキュリティをサポートしているわけではありません。 セキュリティ機能は電話機のモデルに基づきます。 電話セキュリティ プロファイルに [デバイスセキュリティモード(Device Security Mode)] フィールドが含まれている場合は、その電話機で TLS セキュリティがサポートされます。
推奨ベンダーの電話機が TLS セキュリティをサポートする場合、デバイスごとの証明書と共有証明書の 2 つのモードが考えられます。 電話機のサプライヤは、電話機の証明書を生成または取得する手順の他に、電話機に適用可能なモードも指定する必要があります。
デバイスごとの証明書を使用して推奨ベンダーの SIP 電話機のセキュリティ プロファイルを設定するには、次の手順を実行します。
セキュリティをサポートする電話機に、特定のセキュリティ関連設定を構成して表示することができます。たとえば、電話機にインストールされている証明書がローカルで有効な証明書(LSC)か製造元でインストールされる証明書(MIC)かを確認できます。 セキュリティ メニューおよびアイコンの詳細については、使用している電話機モデルおよび今回のバージョンの Cisco Unified Communications Manager をサポートする Cisco Unified IP Phone の管理マニュアルおよびユーザ マニュアルを参照してください。
Cisco Unified Communications Manager がコールを認証済みまたは暗号化済みとして分類すると、コールの状態を示すアイコンが電話機に表示されます。 Cisco Unified Communications Manager がコールを認証済みまたは暗号化済みとして分類する場合を判別するには。
ステップ 1 | Cisco CTL クライアントを設定し、 Cisco Unified Communications Manager セキュリティ モードを混合モードにしていない場合、設定します。 | ||
ステップ 2 | 電話機に、ローカルで有効な証明書(LSC)または製造元でインストールされる証明書(MIC)が含まれていない場合、Certificate Authority Proxy Function(CAPF)を使用して LSC をインストールします。 | ||
ステップ 3 | 電話機のセキュリティ プロファイルを設定します。 | ||
ステップ 4 | 電話機のセキュリティ プロファイルを電話機に適用します。 | ||
ステップ 5 | ダイジェスト信用証明書を設定した後、[電話の設定(Phone Configuration)] ウィンドウで、[ダイジェストユーザ(Digest User)] を選択します。 | ||
ステップ 6 |
Cisco Unified IP Phone 7960G または 7940G(SIP のみ)で、[エンドユーザの設定(End User Configuration)] ウィンドウで設定したダイジェスト認証ユーザ名およびパスワード(ダイジェスト信用証明書)を入力します。
|
||
ステップ 7 | 電話機設定ファイルを暗号化します(電話機がこの機能をサポートする場合)。 | ||
ステップ 8 | 電話機の設定を無効にして電話機のセキュリティを強化します。 |
目次
- 電話機のセキュリティ
- 信頼できるデバイス
- 電話機モデルのサポート
- 推奨ベンダーの SIP 電話のセキュリティの設定
- 電話機のセキュリティ設定項目の表示
- 電話機のセキュリティの設定
- 電話機のセキュリティの参考情報
電話機のセキュリティ
インストールのとき、 Cisco Unified Communications Manager は非セキュア モードで起動します。 Cisco Unified Communications Manager のインストール後に電話機が起動すると、すべてのデバイスは非セキュアとして Cisco Unified Communications Manager に登録されます。
Cisco Unified Communications Manager 4.0(1) またはそれ以降のリリースからアップグレードした後は、アップグレード前に有効にしたデバイス セキュリティ モードで電話機が起動します。デバイスはすべて、選択されたセキュリティ モードを使用して登録されます。
Cisco Unified Communications Manager をインストールすると、 Cisco Unified Communications Manager と TFTP サーバで CA 署名付き証明書が作成されます。 自己署名証明書ではなく、 Cisco Unified Communications Manager のサードパーティの CA 署名付き証明書を使用することもできます。 認証を設定すると、 Cisco Unified Communications Manager はその証明書を使用して、サポートされている Cisco Unified IP Phone で認証します。 証明書が Cisco Unified Communications Manager および TFTP サーバに存在していれば、 Cisco Unified Communications Manager はそれぞれの Cisco Unified Communications Manager のアップグレード時に証明書を再発行しません。 新しい証明書エントリで新しい CTL ファイルを作成する必要があります。
ヒント
サポートされていないシナリオまたは安全でないシナリオについては、インタラクションと制限事項に関連したトピックを参照してください。
Cisco Unified Communications Manager は、認証および暗号化のステータスをデバイス レベルで維持します。 コールに関係するすべてのデバイスがセキュアとして登録されると、コール ステータスはセキュアとして登録されます。 いずれか 1 つのデバイスが非セキュアとして登録されると、発信者または受信者の電話機がセキュアとして登録されても、そのコールは非セキュアとして登録されます。
ユーザが Cisco Extension Mobility を使用する場合、 Cisco Unified Communications Manager はデバイスの認証および暗号化ステータスを保持します。 また、共有回線が設定されている場合も、 Cisco Unified Communications Manager はデバイスの認証および暗号化ステータスを保持します。
ヒント
暗号化された Cisco Unified IP Phone に対して共有回線を設定する場合は、回線を共有するすべてのデバイスを暗号化用に設定します。つまり、暗号化をサポートするセキュリティ プロファイルを適用して、すべてのデバイスのデバイス セキュリティ モードを暗号化済みに設定します。
関連資料
信頼できるデバイス
Cisco Unified Communications Manager では、 Cisco Unified IP Phone の電話モデルごとにセキュリティ アイコンを有効にすることができます。 セキュリティ アイコンは、コールがセキュアであるかどうか、および接続されるデバイスが信頼できるかどうかを示します。
信頼できるデバイスとは、信頼できる接続に関するシスコのセキュリティ基準を満たしている、シスコ デバイスまたはサードパーティ製デバイスです。 このセキュリティ基準には、シグナリング暗号化またはメディア暗号化、プラットフォームのセキュリティ強化、および保証が含まれますが、これだけではありません。 デバイスが信頼できる場合、セキュリティ アイコンが表示され、サポート対象のデバイスでセキュア トーンが再生されます。 また、そのデバイスで、セキュア コールに関連する他の機能またはインジケータも使用できます。
Cisco Unified Communications Manager は、デバイスをシステムに追加したときに、そのデバイスが信頼できるかどうかを判断します。 セキュリティ アイコンは情報提供を目的として表示されるだけなので、管理者はこのアイコンを直接設定できません。
Cisco Unified Communications Manager は、 Cisco Unified Communications Manager の管理ページでアイコンとメッセージを表示することによっても、ゲートウェイが信頼されるかどうかを示します。
この項では、 Cisco Unified IP Phone と Cisco Unified Communications Manager の管理ページの両方における信頼されるデバイスのセキュリティ アイコンの動作について説明します。
Cisco Unified Communications Manager Administration
信頼判断基準と呼ばれるデバイス
ユーザがコールするデバイスのタイプは、電話機に表示されるセキュリティ アイコンに影響します。 次の 3 つの基準を考慮して、コールがセキュアであるかどうかが判断されます。
サポート対象の Cisco Unified IP Phone にロック セキュリティ アイコンが表示される前に、これら 3 つの基準がすべて満たされている必要があることに注意してください。 信頼できないデバイスがコールに含まれている場合、シグナリングおよびメディアのセキュリティに関係なく、コール全体のステータスは非セキュアになり、電話機にロック アイコンは表示されません。 たとえば、信頼できないデバイスを会議に加えると、そのコール レッグだけでなく会議そのものも非セキュアであると見なされます。
電話機モデルのサポート
Cisco Unified Communications Manager においてセキュリティをサポートする電話機のモデルには、セキュアなシスコの電話機とセキュアな推奨ベンダーの電話機の 2 つのカテゴリがあります。 セキュアなシスコの電話機は、製造元でインストールされる証明書(MIC)を使用して事前にインストールされ、Certificate Authority Proxy Function(CAPF)を使用してローカルで有効な証明書(LSC)の自動生成と交換をサポートします。 セキュアなシスコの電話機は、それ以外の証明書管理を必要とせず、MIC を使用して Cisco Unified CM に登録できます。 追加のセキュリティとして、CAPF を使用して LSC を作成し、電話機にインストールできます。 詳細については、電話機のセキュリティ設定と設定項目に関連したトピックを参照してください。
セキュアな推奨ベンダーの電話機は、MIC を使用して事前にインストールされることはなく、LSC 生成のための CAPF はサポートされません。 セキュアな推奨ベンダーの電話機で Cisco Unified CM に接続するには、証明書がデバイスとともに提供されるか、デバイスによって生成される必要があります。 電話機のサプライヤは、電話機の証明書の取得や生成の方法についての詳細を提供する必要があります。 証明書を取得したら、OS 管理の証明書管理インターフェイスを使用して Cisco Unified CM に証明書をアップロードする必要があります。 詳細については、推奨ベンダーの SIP 電話のセキュリティの設定に関連したトピックを参照してください。
使用している電話機でサポートされるセキュリティ機能の一覧については、今回のリリースの Cisco Unified Communications Manager をサポートする電話機の管理マニュアルおよびユーザ マニュアル、または、使用しているファームウェア ロードをサポートするファームウェアのマニュアルを参照してください。
Cisco Unified Reporting を使用して、特定の機能をサポートしている電話機のリストを表示することもできます。 Cisco Unified Reporting の使用方法の詳細については、『 Cisco Unified Reporting Administration Guide』を参照してください。
推奨ベンダーの SIP 電話のセキュリティの設定
セキュアな推奨ベンダーの電話機は、サードパーティ ベンダーによって製造された電話機タイプですが、COP ファイルを使用して Cisco Unified データベースにインストールされます。 Cisco Unified Communications Manager は、推奨ベンダーの SIP 電話のセキュリティを提供します。 セキュリティをサポートするには、COP ファイルで推奨ベンダーの SIP 電話のセキュリティ暗号化およびセキュリティ認証を有効にする必要があります。 これらの電話機タイプが [新規電話を追加(Add a New Phone)] ウィンドウのドロップダウン リストに表示されます。 すべての推奨ベンダーの電話でダイジェスト認証がサポートされますが、推奨ベンダーの電話機すべてが TLS セキュリティをサポートしているわけではありません。 セキュリティ機能は電話機のモデルに基づきます。 電話セキュリティ プロファイルに [デバイスセキュリティモード(Device Security Mode)] フィールドが含まれている場合は、その電話機で TLS セキュリティがサポートされます。
推奨ベンダーの電話機が TLS セキュリティをサポートする場合、デバイスごとの証明書と共有証明書の 2 つのモードが考えられます。 電話機のサプライヤは、電話機の証明書を生成または取得する手順の他に、電話機に適用可能なモードも指定する必要があります。
推奨ベンダーの SIP 電話セキュリティ プロファイルのデバイスごとの証明書の設定
手順
ステップ 1 OS 管理の証明書管理インターフェイスを使用して、電話機ごとに証明書をアップロードします。 ステップ 2 Cisco Unified Administration で、 の順に選択します。 ステップ 3 この電話機のデバイス タイプの新しい電話セキュリティ プロファイルを設定し、[デバイスセキュリティモード(Device Security Mode)] ドロップダウン リスト ボックスで [暗号化(Encrypted)] または [認証のみ(Authenticated)] を選択します。 ステップ 4 CCMAdmin インターフェイスで新しい SIP 電話機を設定するには、 の順に選択します。 ステップ 5 電話のタイプを選択します。 ステップ 6 必要なフィールドを入力します。 ステップ 7 [デバイスセキュリティプロファイル(Device Security Profile)] ドロップダウン リスト ボックスで、作成したプロファイルを選択します。
推奨ベンダーの SIP 電話セキュリティのプロファイル共有証明書の設定
手順
ステップ 1 電話機のベンダーの指示に従って、サブジェクト代替名(SAN)ストリングを指定して証明書を生成します。 SAN は DNS のタイプである必要があります。 この手順で指定した SAN をメモに控えておきます。 たとえば、X509v3 拡張の場合: ステップ 2 X509v3 サブジェクト代替名 ステップ 3 DNS:AscomGroup01.acme.com
(注) SAN は DNS のタイプである必要があります。そうでない場合、セキュリティは有効になりません。
ステップ 4 OS 管理の証明書管理インターフェイスを使用して、共有証明書をアップロードします。 ステップ 5 Cisco Unified Administration で、 の順に選択します。 ステップ 6 [名前(Name)] フィールドにサブジェクト代替名(SAN)の名前を入力します。これは、推奨ベンダーによって提供される証明書上の名前です。または、SAN がない場合は証明書名を入力します。
(注) セキュリティ プロファイルの名前は、証明書の SAN と正確に一致する必要があります。そうでない場合、セキュリティは有効になりません。
ステップ 7 [デバイスセキュリティモード(Device Security Mode)] ドロップダウン リスト ボックスで、[暗号化(Encrypted)] または [認証のみ(Authenticated)] を選択します。 ステップ 8 [転送タイプ(Transport type)] ドロップダウン リスト ボックスで、[TLS] を選択します。 ステップ 9 CCMAdmin インターフェイスで新しい SIP 電話機を設定するには、 の順に選択します。 ステップ 10 電話のタイプを選択します。 ステップ 11 必須フィールドに入力します。 ステップ 12 [デバイスセキュリティプロファイル(Device Security Profile)] ドロップダウン リスト ボックスで、作成したプロファイルを選択します。
関連情報
電話機のセキュリティ設定項目の表示
セキュリティをサポートする電話機に、特定のセキュリティ関連設定を構成して表示することができます。たとえば、電話機にインストールされている証明書がローカルで有効な証明書(LSC)か製造元でインストールされる証明書(MIC)かを確認できます。 セキュリティ メニューおよびアイコンの詳細については、使用している電話機モデルおよび今回のバージョンの Cisco Unified Communications Manager をサポートする Cisco Unified IP Phone の管理マニュアルおよびユーザ マニュアルを参照してください。
Cisco Unified Communications Manager がコールを認証済みまたは暗号化済みとして分類すると、コールの状態を示すアイコンが電話機に表示されます。 Cisco Unified Communications Manager がコールを認証済みまたは暗号化済みとして分類する場合を判別するには。
電話機のセキュリティの設定
手順
ステップ 1 Cisco CTL クライアントを設定し、 Cisco Unified Communications Manager セキュリティ モードを混合モードにしていない場合、設定します。 ステップ 2 電話機に、ローカルで有効な証明書(LSC)または製造元でインストールされる証明書(MIC)が含まれていない場合、Certificate Authority Proxy Function(CAPF)を使用して LSC をインストールします。 ステップ 3 電話機のセキュリティ プロファイルを設定します。 ステップ 4 電話機のセキュリティ プロファイルを電話機に適用します。 ステップ 5 ダイジェスト信用証明書を設定した後、[電話の設定(Phone Configuration)] ウィンドウで、[ダイジェストユーザ(Digest User)] を選択します。 ステップ 6 Cisco Unified IP Phone 7960G または 7940G(SIP のみ)で、[エンドユーザの設定(End User Configuration)] ウィンドウで設定したダイジェスト認証ユーザ名およびパスワード(ダイジェスト信用証明書)を入力します。
(注) このマニュアルでは、電話機でダイジェスト認証信用証明書を入力する手順については説明しません。 この作業の実行方法については、ユーザの電話機モデルと今回のバージョンの Cisco Unified Communications Manager をサポートする Cisco Unified IP Phone のアドミニストレーション ガイドを参照してください。
ステップ 7 電話機設定ファイルを暗号化します(電話機がこの機能をサポートする場合)。 ステップ 8 電話機の設定を無効にして電話機のセキュリティを強化します。
関連情報