この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
セキュリティ機能は、デバイスの ID やデータへの脅威など、複数の脅威を防止します。 セキュリティ機能は、デバイスと Cisco Unified Communications Manager サーバ間に認証された通信ストリームを確立し、これを維持するとともに、デバイスがデジタル署名されたファイルのみ使用することを確認します。
Cisco Unified Communications Manager Release 8.5(1) 以降にはデフォルトでセキュリティ機能が搭載されており、デバイスに次のセキュリティ機能が提供されます。CTL クライアントを実行する必要はありません。
(注) |
セキュアなシグナリングおよびメディア機能には、CTL ファイルが必要です。 |
認証局プロキシ関数(CAPF)に関連付けられた必要なタスクの実行後、ローカルで有効な証明書(LSC)がデバイスにインストールされます。 LSC は [Cisco Unified CMの管理(Cisco Unified Communications Manager Administration)] で設定できます。詳細については、『Cisco Unified Communications Manager Security Guide』を参照してください。
また、デバイスの設定アプリケーションから LSC のインストールを開始することもできます。 この設定アプリケーションでは、LSC の更新と削除も実行できます。
セキュリティを Cisco Unified Communications Manager システムに実装すると、デバイスや Cisco Unified Communications Manager サーバの個人情報の盗難、データの改ざん、およびコール シグナリングとメディア ストリームの改ざんを防ぐことができます。
これらの脅威を軽減するために、Cisco IP テレフォニー ネットワークはデバイスとサーバの間にセキュアな(暗号化された)通信ストリームを確立して維持します。さらにファイルをデジタル署名してからデバイスに転送し、デバイス間のメディア ストリームとコール シグナリングを暗号化します。
Cisco DX シリーズ デバイスでは、デバイスがセキュリティ保護の対象であるどうかを定義するデバイス セキュリティ プロファイルが使用されます。 デバイスにセキュリティ プロファイルを適用する方法については、『Cisco Unified Communications Manager Security Guide』を参照してください。
Cisco Unified Communications Manager Administration でセキュリティ関連の設定値を設定すると、コンフィギュレーション ファイルに機密情報が保存されます。 設定ファイルのプライバシーを確保するには、そのファイルを暗号化用に設定する必要があります。 詳細については、『Cisco Unified Communications Manager Security Guide』の「Encrypted Phone Configuration Setup」の章を参照してください。
次の表に、デバイスでサポートされるセキュリティ機能の概要を示します。
Cisco DX シリーズ デバイスでは、そのデバイスがセキュリティ保護、認証、または暗号化の対象になるかどうかを定義したセキュリティ プロファイルを使用します。 セキュリティ プロファイルの設定、およびデバイスへのセキュリティ プロファイルの適用について、詳しくは『Cisco Unified Communications Manager Security Guide』を参照してください。
デバイスに設定されているセキュリティ モードを確認するには、設定アプリケーションの [セキュリティ(Security)] メニューを参照してください。
Android セキュリティ拡張機能(SE Android)により、デバイスのセキュリティが強化されます。 SE Android は、許可されないコードや危険なコードをデバイス上で実行できないようにして、悪意のあるアプリケーションからデバイスを保護します。 SE Android には次の機能があります。
デバイスには、アプリケーション、プロセス、ユーザがアクセスできるデータを指定するポリシーが格納されています。 SE Android は次の 2 つのモードをサポートします。
ポリシーに違反するあらゆるアクションがログに記録されます。 適用モードである場合、そのアクションは拒否されます。 ユーザや管理者がポリシーまたはモードを制御することはできません。
リリース 10.2(2) にアップグレードした時点で、Cisco DX650 は引き続き許可モードの状態になります。これは、既存のフィールド ユニットを処理しなければならないためであり、強制モードを有効にするには、その前に出荷時の状態にリセットする必要があります。 許可モードでは、SE Android はエンドポイントの運用に影響を与えません。
Cisco DX650 が出荷時の状態にリセットされると、モードは自動的に強制モードに切り替わります。 この動作により、SE Android 保護が有効になり、ポリシーに違反するアクションを拒否するようになります。
デバイスが 10.2(2) より前のファームウェア リリースにダウングレードされない限り、強制モードは有効な状態を保ちます。 リリース 10.2(2) 以降にアップグレードした時点で、デバイスは許可モードに戻り、工場出荷時の状態にリセットされるまでは許可モードのままです。
Cisco DX70 およびCisco DX80 デバイスは、工場出荷時から強制モードになっています。 Cisco DX70 およびCisco DX80 デバイスを許可モードにすることはできません。
ポリシーは、許可すべきアプリケーションのアクションを想定して調整されます。ただし、許可すべきアクションがポリシーによって阻止される場合があります。 ポリシー エラーには、次のような症状があります。
エンドポイントが enforcing モードの場合、Android Debug Bridge(adb)シェルは制限されます。 ls や ps などのコマンドでは、完全な結果が表示されないことがあります。
完全な結果を表示するには debugsh コマンドを使用します。 たとえば、シェルから ps の代わりに debugsh show process を使用します。
また enforcing モードでは、多くのディレクトリが使用禁止であるため、ファイル システムを自由に参照することができません。
問題を報告するには、次の情報を収集します。
Cisco Unified Communications Manager と Certificate Authority Proxy Function(CAPF)のセキュリティ設定が適切に行われていることを確認します。
詳細については、『Cisco Unified Communications Manager Security Guide』 を参照してください。
Cisco DX70 と Cisco DX80 では、Manufacturing Installed Certificate(MIC; 製造元でインストールされる証明書)が使用されます。この証明書の署名アルゴリズムは、SHA-256 と RSA 2048 キーを組み合わせたものです。 署名アルゴリズムには、Cisco Unified Communications Manager、Cisco Secure Access Control Server(ACS)、およびセキュア SRST サポートが必要です。
Cisco Unified Communications Manager Release 9.1(2) 以降
(注) |
ACS 5.2 以降は、EAP-TLS 内部メソッドを使用する EAP-FAST をサポートしません。 EAP-TLS を使用するか、または EAP-TLS 内部メソッドによる EAP-FAST 対応の ISE に移行してください。 |
IOS 12.4(15)T1 以降
Cisco Identity Services Engine のリリースが 1.1 以降であること。 EAP-TLS 内部メソッドによる EAP-FAST は ISE リリース 1.2 以降でサポートされています。
アプリケーションで Cisco DX シリーズ デバイスの MIC を認証できるようにするためには、これらの Cisco 認証局をアプリケーションにインポートする必要があります。
Cisco DX シリーズ デバイスのセキュリティを実装するには、[Cisco Unified CM の管理(Cisco Unified Communications Manager Administration)] で、[電話の設定(Phone Configuration)] ウィンドウの [保護されたデバイス(Protected Device)] パラメータを有効にします。 セキュリティが実装されると、コール アプリケーションにセキュア コール アイコンが表示され、セキュアな通話であることが示されます。
セキュアなコールでは、すべてのコール シグナリングとメディア ストリームが暗号化されます。 セキュアなコールは高度なセキュリティを提供し、コールに保全性とプライバシーを提供します。 進行中のコールが暗号化されている場合、設定アプリケーションの [エンタープライズ セキュリティ(Enterprise security)] で、[セキュリティ モード(Security Mode)] ステータスが [暗号化済み(Encrypted)] として示されます。
(注) |
コールが PSTN などの非 IP コール レッグを経由してルーティングされる場合、コールが IP ネットワーク内で暗号化されており、鍵のアイコンが関連付けられていても、そのコールはセキュアではないことがあります。 |
セキュアなコールでは、コールが暗号化され、発側と着側の両方のデバイスが保護デバイスとして設定されている場合、セキュア トーン機能が Cisco Unified Communications Manager 上で有効になっていれば、2 秒間のトーンによってユーザに通知されます。 このトーンは、コールが応答されたとき、発側と着側の両者に対して再生されます。 このトーンは、発側と着側の両方のデバイスが保護されていて、なおかつ暗号化メディア上でコールが行われたときでなければ再生されません。 コールが暗号化されていないとシステムが判断した場合、デバイス は、ノンセキュア通知トーン(6 回のビープ音)を再生して、コールが無保護であることをユーザに警告します。 セキュア通知トーン機能および設定要件の詳しい説明については、『Cisco Unified Communications Manager Security Guide』を参照してください。
(注) |
ビデオは非セキュアで送信されます。 したがって、発側と着側のデバイスが両方ともセキュアであっても、[暗号化済み(Encrypted)] 鍵アイコンがビデオ コールで表示されることはありません。 |
セキュアなコールは、Cisco DX シリーズ デバイスと相手側のデバイスがセキュアなコール用に設定されている場合に確立されます。 両方のデバイスは、同一のシスコ IP ネットワーク内に存在することも、IP ネットワーク外部にあるネットワークに存在することもできます。 セキュアな会議コールは、次の手順で確立されます。
セキュアなデバイス (暗号化セキュリティ モード)から、ユーザがコールを開始します。
デバイスでは、設定アプリケーションの [エンタープライズセキュリティ(Enterprise security)] に、[暗号化(Encrypted)] ステータスが示されます。 このステータスは、 セキュアなコール用にデバイスが設定されていることを示しますが、接続相手のデバイスが同様にセキュアであるとは限りません。
セキュアな相手側デバイスにコールが接続されると、セキュリティ トーンが再生されます。これは、会話の両側が暗号化され、セキュアであることを示しています。 そうでない場合は、非セキュア トーンが再生されます。
(注) |
セキュア トーンは、Cisco Unified Communications Manager で有効になっている場合にのみ再生されます。 セキュア トーンが無効になっている場合、コールがセキュアであっても、セキュア トーンは再生されません。 詳細については、『Cisco Unified Communications Manager Security Guide』の「Secure and Nonsecure Indication Tone Setup」の章を参照してください。 |
セキュアな会議コールを開始し、参加者のセキュリティ レベルをモニタすることができます。 セキュアな会議コールは、次の手順で確立されます。
ユーザがセキュアなデバイスから会議を開始します。
Cisco Unified Communications Manager は、セキュアな会議ブリッジをそのコールに割り当てます。
参加者が追加されると、Cisco Unified Communications Manager は、各デバイスのセキュリティ モードを検証し、セキュアな会議のレベルを維持します。
デバイスに、電話コールのセキュリティ レベルが表示されます。
(注) |
参加者デバイスのセキュリティ モードおよびセキュア 会議ブリッジの可用性に応じて、さまざまな連携動作、制約事項、および制限事項が電話会議のセキュリティ レベルに影響を与えます。 Cisco DX シリーズ デバイスでは、セキュアなオーディオ電話会議のみがサポートされます。ビデオはセキュアになりません。 |
Cisco Unified Communications Manager は、会議の確立時にデバイスのセキュリティ ステータスを確認し、会議のセキュリティ表示を変更するか、またはコールの確立をブロックしてシステムの整合性とセキュリティを維持します。 次の表は、割り込み機能の使用時にコールのセキュリティ レベルに適用される変更内容を示しています。
発信側の電話機のセキュリティ レベル |
使用する機能 |
コールのセキュリティ レベル |
動作結果 |
---|---|---|---|
非セキュア |
割込み |
暗号化されたコール |
コールは割り込みを受け、非セキュア コールとして識別されます。 |
セキュア |
割込み |
暗号化されたコール |
コールは割り込みを受け、セキュア コールとして識別されます。 |
次の表は、発信側の電話機のセキュリティ レベル、参加者のセキュリティ レベル、およびセキュアな会議ブリッジの可用性によって決定する会議のセキュリティ レベルに適用される変更内容を示しています。
発信側の電話機のセキュリティ レベル |
使用する機能 |
参加者のセキュリティ レベル |
動作結果 |
---|---|---|---|
非セキュア |
会議 |
セキュア |
非セキュアな会議ブリッジ 非セキュアな会議 |
セキュア |
会議 |
少なくとも 1 台のメンバーが非セキュア。 |
セキュアな会議ブリッジ 非セキュアな会議 |
セキュア |
会議 |
セキュア |
セキュアな会議ブリッジ セキュアな暗号化レベルの会議 |
非セキュア |
ミートミー |
最小限のセキュリティ レベルが暗号化。 |
発信側は「セキュリティ レベルを満たしていません。コールを拒否します(Does not meet Security Level, call rejected)」というメッセージを受け取る。 |
セキュア |
ミートミー |
最小限のセキュリティ レベルは非セキュア |
セキュアな会議ブリッジ 会議はすべてのコールを受け入れる。 |
VPN および Cisco Virtualization Experience Client(VXC)VPN を介してセキュアなビデオを使用する場合、サポートされる最大帯域幅は 320 Kpbs です。
デバイスが Cisco TelePresence をコールする場合、最大帯域幅は 320 kbps です。
ステップ 1 | デバイス セキュリティ情報をリモートで確認するには、デバイスが、Cisco Unified Communications Manager サーバに登録されている必要があり、また [デバイス設定(Device Configuration)] ページで [Web アクセス(Web Access)] が有効にされている必要があります。 |
ステップ 2 | Web ブラウザで、デバイス セキュリティ情報を表示するには http://<device ip>/SecurityInformation に、XML 形式でデバイス セキュリティ情報を表示するには http://<device ip>/SecurityInformationX にアクセスしてください。 |
デバイスに暗号化が設定されていない場合、そのデバイスを使用して暗号化されたコールに割り込むことはできません。 この場合、割り込みに失敗すると、割り込みが開始されたデバイスでリオーダー トーン(速いビジー音)が聞こえます。
割り込みの開始側のデバイスに暗号化が設定されている場合、割り込みの開始側は暗号化されたデバイスからセキュアでないコールに割り込むことができます。 割り込みが発生すると、Cisco Unified Communications Manager はそのコールを非セキュアに分類します。
割り込みの開始側のデバイスに暗号化が設定されている場合、割り込みの開始側は暗号化されたコールに割り込むことができ、デバイスはそのコールが暗号化されていることを示します。
Cisco DX シリーズ デバイスと Cisco Catalyst スイッチは、従来から Cisco Discovery Protocol(CDP)を使用して相互を識別し、VLAN 割り当てやインライン パワー要件などのパラメータを特定していました。 CDP では、ローカルに接続されたワークステーションは識別されません。 Cisco DX シリーズ デバイスは、EAPOL パススルー メカニズムを提供します。 このメカニズムを使用すると、デバイスに接続されたワークステーションは、LAN スイッチにある 802.1X オーセンティケータに EAPOL メッセージを渡すことができます。 パススルー メカニズムにより、デバイスは、ネットワークにアクセスする前にデータ エンドポイントを認証する LAN スイッチとして動作しません。
Cisco DX シリーズ デバイスまた、プロキシ EAPOL ログオフ メカニズムも提供します。 ローカルに接続された PC がデバイスから切断された場合でも、LAN スイッチとデバイス間のリンクは維持されるので、LAN スイッチは物理リンクの障害を認識しません。 ネットワークの完全性を維持するため、デバイスはダウンストリーム PC の代わりに EAPOL ログオフ メッセージをスイッチに送ります。これによって、LAN スイッチはダウンストリーム PC の認証エントリをクリアします。
Cisco DX シリーズ にはまた、802.1x サプリカントも含まれています。 このサプリカントを使用すると、ネットワーク管理者はデバイスから LAN スイッチ ポートへの接続を制御できます。 デバイスに含まれる 802.1X サプリカントの現在のリリースでは、ネットワーク認証に EAP-FAST オプションと EAP-TLS オプションが使用されています。
Cisco DX シリーズ デバイスでの 802.1X 認証のサポートには、いくつかのコンポーネントが必要です。 これには次が含まれます。
802.1X サプリカントとして機能するデバイス。ネットワークへのアクセス要求を開始するデバイスです。
Cisco Secure Access Control Server(ACS)(またはその他のサードパーティ サーバ)。 この認証サーバには、デバイスを認証する共有シークレットが設定されている必要があります。
Cisco Catalyst スイッチ(またはその他のサードパーティ製スイッチ)。 スイッチは 802.1X をサポートする必要があるため、オーセンティケータとして機能して、デバイスと認証サーバとの間でメッセージを交換することができます。 この交換が完了した後、スイッチはデバイスのネットワーク アクセスを許可または拒否します。
次に、802.1X 設定の要件および推奨事項について説明します。
802.1X 認証の有効化: 802.1X 標準を使用して Cisco DX シリーズ デバイスを認証するには、デバイスで 802.1X 認証を有効にする前に、その他のコンポーネントを正しく設定しておく必要があります。
PC ポートの設定:802.1X 標準では VLAN の使用が考慮されないため、特定のスイッチ ポートに対してデバイスを 1 つだけ認証することを推奨します。 ただし、複数ドメインの認証をサポートしているスイッチもあります(Cisco Catalyst スイッチなど)。 スイッチの設定により、PC をデバイスの PC ポートに接続できるかどうかが決定されます。
有効:複数ドメインの認証をサポートするスイッチを使用している場合、PC ポートを有効化し、そのポートに PC を接続できます。 この場合、スイッチと接続先 PC 間の認証情報の交換をモニタするために、デバイスはプロキシ EAPOL ログオフをサポートします。 Cisco Catalyst スイッチでの IEEE 802.1X サポートの詳細については、次の URL にある Cisco Catalyst スイッチのコンフィギュレーション ガイドを参照してください。
無効:スイッチで同じポート上の複数の 802.1X 準拠デバイスがサポートされていない場合は、802.1X 認証を有効にするときに PC ポートを無効にするようにしてください。 このポートを無効にしないで PC を接続しようとすると、スイッチはデバイスと PC の両方に対してネットワーク アクセスを拒否します。
画面ロック タイムアウト値は、画面がオフにされ、画面ロックが有効化される、デバイスの通常のアイドル タイムアウトを制御します。 この変数は、1 ~ 60 分の範囲内で設定できます。
自動ロック機能は、ディスプレイが暗くなる(または消灯する)までの猶予時間を制御します。 デバイスが「常にオン」モードの場合、デバイスは暗くなります。 デバイスが「終夜灯」モードの場合、デバイスは完全に消灯します。 自動ロック値は、最大で 10 分まで設定可能です。 自動ロック値を設定するには、 に移動します。
次の表は、画面ロック タイムアウト値と自動ロック値の関係を示しています。
条件 |
結果 |
---|---|
画面ロック タイムアウト値が自動ロック値より低い |
画面ロック タイムアウト値に到達すると、画面は最大の明るさのままで、ロックされた画面が表示されます。 |
自動ロック値が画面ロック タイムアウト値より低い |
自動ロック値に到達すると、2 つの結果が考えられます。 |
画面ロック タイムアウト値が自動ロック値と等しい |
この値に到達すると、画面は最大の明るさのままで、ロックされた画面が表示されます。 |
この機能により、ユーザは、画面のロック解除に使用される PIN/パスワードをリセットできます。 ユーザは、Cisco Unified Communications Manager または設定されている Google Account のクレデンシャルを使用して PIN/パスワードをリセットできます。 Cisco Unified Communications Manager を使用して PIN/パスワードをリセットするには、次の手順を使用します。
ステップ 1 | [Cisco Unified CMの管理(Cisco Unified Communications ManagerAdministration)] で、 の順に選択します。 |
ステップ 2 | [新規追加(Add New)] をクリックします。 |
ステップ 3 | 必要なユーザ情報を入力します。 |
ステップ 4 | [デバイス情報(Device Information)] ウィンドウで、ユーザを関連付けるデバイスを選択します。 |
ステップ 5 | [保存(Save)] をクリックします。 |
ステップ 6 | [権限情報(Permissions Information)] ウィンドウで、ユーザに Cisco Unified Communications Manager の権限を割り当てます。 |
ステップ 7 | [権限情報(Permissions Information)] ウィンドウで、[標準 CCM エンド ユーザ(Standard CCM End Users)] を選択します。 |
ステップ 8 | [保存(Save)] と [設定の適用(Apply Config)] をクリックします。 デバイスが再登録した後、ユーザはそのデバイスに設定されます。 |
目次
- セキュリティ機能
- デバイスのセキュリティ
- セキュリティ機能の概要
- セキュリティ プロファイル
- SE Android
- アップグレードと SE Android
- SE Android のトラブルシューティング
- SE Android のポリシーの問題の診断
- ADB シェルの制限
- SE Android のログ収集
- ローカルで有効な証明書のセットアップ
- SHA-256 の製造元でインストールされる証明書
- セキュアな電話コール
- セキュアな電話コールの識別
- セキュアな会議コールの特定
- コール セキュリティの連携動作と制限事項
- デバイス セキュリティ情報のリモートでの確認
- 割り込みのための暗号化
- 802.1X 認証のサポート
- 必要なネットワーク コンポーネント
- ベスト プラクティス
- 画面ロックおよび自動ロックの設定
- 画面のロック解除/パスワードのリセットのセットアップ
デバイスのセキュリティ
セキュリティ機能は、デバイスの ID やデータへの脅威など、複数の脅威を防止します。 セキュリティ機能は、デバイスと Cisco Unified Communications Manager サーバ間に認証された通信ストリームを確立し、これを維持するとともに、デバイスがデジタル署名されたファイルのみ使用することを確認します。
Cisco Unified Communications Manager Release 8.5(1) 以降にはデフォルトでセキュリティ機能が搭載されており、デバイスに次のセキュリティ機能が提供されます。CTL クライアントを実行する必要はありません。
(注)
セキュアなシグナリングおよびメディア機能には、CTL ファイルが必要です。
認証局プロキシ関数(CAPF)に関連付けられた必要なタスクの実行後、ローカルで有効な証明書(LSC)がデバイスにインストールされます。 LSC は [Cisco Unified CMの管理(Cisco Unified Communications Manager Administration)] で設定できます。詳細については、『Cisco Unified Communications Manager Security Guide』を参照してください。
また、デバイスの設定アプリケーションから LSC のインストールを開始することもできます。 この設定アプリケーションでは、LSC の更新と削除も実行できます。
セキュリティ機能の概要
セキュリティを Cisco Unified Communications Manager システムに実装すると、デバイスや Cisco Unified Communications Manager サーバの個人情報の盗難、データの改ざん、およびコール シグナリングとメディア ストリームの改ざんを防ぐことができます。
これらの脅威を軽減するために、Cisco IP テレフォニー ネットワークはデバイスとサーバの間にセキュアな(暗号化された)通信ストリームを確立して維持します。さらにファイルをデジタル署名してからデバイスに転送し、デバイス間のメディア ストリームとコール シグナリングを暗号化します。
Cisco DX シリーズ デバイスでは、デバイスがセキュリティ保護の対象であるどうかを定義するデバイス セキュリティ プロファイルが使用されます。 デバイスにセキュリティ プロファイルを適用する方法については、『Cisco Unified Communications Manager Security Guide』を参照してください。
Cisco Unified Communications Manager Administration でセキュリティ関連の設定値を設定すると、コンフィギュレーション ファイルに機密情報が保存されます。 設定ファイルのプライバシーを確保するには、そのファイルを暗号化用に設定する必要があります。 詳細については、『Cisco Unified Communications Manager Security Guide』の「Encrypted Phone Configuration Setup」の章を参照してください。
次の表に、デバイスでサポートされるセキュリティ機能の概要を示します。
表 1 セキュリティ機能の概要 機能
説明
イメージ認証
署名付きバイナリ ファイル(拡張子 .sbn)と暗号化バイナリ ファイル(拡張子 .sebn)により、デバイスにロードされる前にファームウェア イメージが改ざんされないようにします。
イメージが改ざんされた場合、デバイスは認証プロセスに失敗し、新しいイメージを拒否します。
カスタマーサイト証明書のインストール
各デバイスには、デバイス認証用に一意の証明書が必要です。 製造元でインストールされた証明書(MIC)がデバイスに含まれていますが、追加のセキュリティとして、Certificate Authority Proxy Function(CAPF)を使って証明書をインストールするよう Cisco Unified Communications Manager Administration で指定することができます。 あるいは、デバイス上の [エンタープライズ セキュリティ(Enterprise security)] メニューからローカルで有効な証明書(LSC)をインストールします。
デバイス認証
Cisco Unified Communications Manager サーバとデバイスの間で、一方のエンティティが他方のエンティティの証明書を受け入れるときに行われます。 デバイスとCisco Unified Communications Manager の間でセキュアな接続を確立するかどうかを指定します。必要に応じて TLS プロトコルを使用してエンティティ間のセキュアなシグナリング パスを作成します。 Cisco Unified Communications Manager は、デバイスを認証できない限り、そのデバイスを登録しません。
ファイル認証
デバイスがダウンロードするデジタル署名付きファイルを検証します。 ファイル作成後にファイルが改ざんされていないことを確認するために、デバイスは署名を検証します。 認証に失敗したファイルは、デバイスのフラッシュ メモリに書き込まれません。 デバイスはこのようなファイルを拒否し、処理を続行しません。
ファイルの暗号化
暗号化により、デバイスに転送中のファイルから機密情報が漏れないようにします。 さらに、デバイスは署名を検証して、ファイル作成後にファイルが改ざんされていないことを確認します。 認証に失敗したファイルは、デバイスのフラッシュ メモリに書き込まれません。 デバイスはこのようなファイルを拒否し、処理を続行しません。
シグナリング認証
TLS プロトコルを使用して、シグナリング パケットが転送中に改ざんされていないことを検証します。
製造元でインストールされる証明書
各デバイスには、製造元でインストールされる固有の証明書(MIC)が内蔵されており、これがデバイス認証に使用されます。 MIC は、デバイスに固有の永続的な ID 証明であり、Cisco Unified Communications Manager ではこれを使ってデバイスを認証します。
メディアの暗号化
SRTP を使用して、サポートされるデバイス間のメディア ストリームがセキュアであること、および意図したデバイスのみがデータを受信し、読み取ることを保証します。 この機能には、デバイスのメディア マスターのキー ペアの作成、キーのデバイスへの配布、キーが転送される間のキー配布のセキュリティ確保などが含まれます。
CAPF(Certificate Authority Proxy Function)
証明書生成手順の中で、デバイスに過剰な処理負荷がかかる部分を代理で実装します。また、キーの生成および証明書のインストールのためにデバイスと対話します。 デバイスの代理として、顧客が指定する認証局からの証明書を要求するよう CAPF を設定できます。または、ローカルに証明書を生成するよう CAPF を設定することもできます。
セキュリティ プロファイル
デバイスが無保護であるか、あるいは認証、暗号化、セキュリティ保護の対象になるかを定義します。 この表の他の項目は、セキュリティ機能について説明しています。 これらの機能の詳細については、『Cisco Unified Communications Manager Security Guide』を参照してください。
暗号化された設定ファイル
デバイスのコンフィギュレーション ファイルのプライバシーを保護できるようにします。
電話機の Web サーバの無効化(オプション)
セキュリティ上の目的で、デバイスに関する Web ページ(ここにはデバイスのさまざまな処理の統計情報が表示される)へのアクセスを防止できます。
電話機のセキュリティ強化
次に示す追加のセキュリティ オプションを Cisco Unified Communications Manager Administration から制御できます。
802.1X 認証(802.1X Authentication)
デバイスは 802.1X 認証を使用して、ネットワーク アクセスを要求および獲得することができます。
SRST 向けのセキュアな SIP フェールオーバー
セキュリティのために Survivable Remote Site Telephony(SRST)リファレンスを設定した後、Cisco Unified Communications Manager Administration で従属デバイスをリセットすると、TFTP サーバはデバイスの cnf.xml ファイルに SRST 証明書を追加し、そのファイルをデバイスに送信します。 その後、セキュアなデバイスは TLS 接続を使用して、SRST 対応ルータと相互に対話します。
シグナリング暗号化
デバイスと Cisco Unified Communications Manager サーバの間で送信されるすべての SIP シグナリング メッセージが暗号化されるようにします。
AES 256 暗号化
Cisco Unified Communications Manager リリース 10.5(2) 以降に接続している DX シリーズのデバイスは、シグナリングとメディア暗号化に関する TLS および SIP の AES 256 暗号化をサポートします。 これによりデバイスは、SHA-2 (Secure Hash Algorithm)標準および Federal Information Processing Standard(FIPS)に準拠する AES-256 ベースの暗号を使用して TLS 1.2 接続を開始し、サポートすることができます。
SE Android
Android セキュリティ拡張機能(SE Android)により、デバイスのセキュリティが強化されます。 SE Android は、許可されないコードや危険なコードをデバイス上で実行できないようにして、悪意のあるアプリケーションからデバイスを保護します。 SE Android には次の機能があります。
- プロセスによる権限のエスカレーションを防止できます。
- 不正使用を防止し、root などの特権付きプロセスのセキュリティが侵害された場合の損害を抑えることができます。
- ポリシーを統合的に適用して、分析可能にします。
- 隠れた脆弱性から保護します。
デバイスには、アプリケーション、プロセス、ユーザがアクセスできるデータを指定するポリシーが格納されています。 SE Android は次の 2 つのモードをサポートします。
ポリシーに違反するあらゆるアクションがログに記録されます。 適用モードである場合、そのアクションは拒否されます。 ユーザや管理者がポリシーまたはモードを制御することはできません。
アップグレードと SE Android
リリース 10.2(2) にアップグレードした時点で、Cisco DX650 は引き続き許可モードの状態になります。これは、既存のフィールド ユニットを処理しなければならないためであり、強制モードを有効にするには、その前に出荷時の状態にリセットする必要があります。 許可モードでは、SE Android はエンドポイントの運用に影響を与えません。
Cisco DX650 が出荷時の状態にリセットされると、モードは自動的に強制モードに切り替わります。 この動作により、SE Android 保護が有効になり、ポリシーに違反するアクションを拒否するようになります。
デバイスが 10.2(2) より前のファームウェア リリースにダウングレードされない限り、強制モードは有効な状態を保ちます。 リリース 10.2(2) 以降にアップグレードした時点で、デバイスは許可モードに戻り、工場出荷時の状態にリセットされるまでは許可モードのままです。
Cisco DX70 およびCisco DX80 デバイスは、工場出荷時から強制モードになっています。 Cisco DX70 およびCisco DX80 デバイスを許可モードにすることはできません。
SE Android のトラブルシューティング
SE Android のポリシーの問題の診断
ローカルで有効な証明書のセットアップ
はじめる前に手順Cisco Unified Communications Manager と Certificate Authority Proxy Function(CAPF)のセキュリティ設定が適切に行われていることを確認します。
- CTL ファイルまたは ITL ファイルに CAPF 証明書が含まれていること。
- Cisco Unified Communications オペレーティング システムの管理ページで、CAPF 証明書がインストールされていることを確認してください。
- CAPF は実行および設定されています。
詳細については、『Cisco Unified Communications Manager Security Guide』 を参照してください。
ステップ 1 CAPF の設定後に設定された CAPF 認証コードを入手します。 ステップ 2 設定アプリケーションで、 を選択します。 ステップ 3 [LSC] をタップします。 認証文字列を要求するプロンプトがデバイスに表示されます。 ステップ 4 認証文字列を入力し、[送信(Submit)] をタップします。 CAPF の設定に応じて、デバイスで LSC のインストール、更新、または削除が開始されます。 処理中に一連のメッセージが表示されるので、進行状況を監視できます。
(注) LSC のインストール、更新、または削除プロセスは、完了するのに長時間かかることがあります。 このプロセスは、[キャンセル(Cancel)] をタップすることでいつでも中止できます。
インストールが正常に完了すると、デバイスに[インストール済み(Installed)] と示されます。 デバイスに [未インストール(Not Installed)] と示される場合は、認証文字列が正しくないか、またはデバイスがアップグレード可能ではない可能性があります。 CAPF 操作により LSC が削除された場合、デバイスは [未インストール(Not Installed)] と表示して、操作が成功したことを示します。 CAPF サーバで生成されるエラー メッセージを確認し、適切な処置を講じてください。
(注) LSC がインストール、アップグレード、または削除された後、デバイスは再起動します。
SHA-256 の製造元でインストールされる証明書
Cisco DX70 と Cisco DX80 では、Manufacturing Installed Certificate(MIC; 製造元でインストールされる証明書)が使用されます。この証明書の署名アルゴリズムは、SHA-256 と RSA 2048 キーを組み合わせたものです。 署名アルゴリズムには、Cisco Unified Communications Manager、Cisco Secure Access Control Server(ACS)、およびセキュア SRST サポートが必要です。
SHA-256 MIC 機能のサポート要件は次のとおりです。
Cisco Unified Communications Manager Release 9.1(2) 以降
ACS Release 5.2 以降。
(注)
ACS 5.2 以降は、EAP-TLS 内部メソッドを使用する EAP-FAST をサポートしません。 EAP-TLS を使用するか、または EAP-TLS 内部メソッドによる EAP-FAST 対応の ISE に移行してください。IOS 12.4(15)T1 以降
Cisco Identity Services Engine のリリースが 1.1 以降であること。 EAP-TLS 内部メソッドによる EAP-FAST は ISE リリース 1.2 以降でサポートされています。
別個のアプリケーションが使用されていて、それらのアプリケーションがこのシリーズの電話機の MIC を認証しなければならない場合、以下のリンクから、このシリーズの電話機の MIC を発行している Cisco 認証局を取得できます。アプリケーションで Cisco DX シリーズ デバイスの MIC を認証できるようにするためには、これらの Cisco 認証局をアプリケーションにインポートする必要があります。
セキュアな電話コール
Cisco DX シリーズ デバイスのセキュリティを実装するには、[Cisco Unified CM の管理(Cisco Unified Communications Manager Administration)] で、[電話の設定(Phone Configuration)] ウィンドウの [保護されたデバイス(Protected Device)] パラメータを有効にします。 セキュリティが実装されると、コール アプリケーションにセキュア コール アイコンが表示され、セキュアな通話であることが示されます。
セキュアなコールでは、すべてのコール シグナリングとメディア ストリームが暗号化されます。 セキュアなコールは高度なセキュリティを提供し、コールに保全性とプライバシーを提供します。 進行中のコールが暗号化されている場合、設定アプリケーションの [エンタープライズ セキュリティ(Enterprise security)] で、[セキュリティ モード(Security Mode)] ステータスが [暗号化済み(Encrypted)] として示されます。
(注)
コールが PSTN などの非 IP コール レッグを経由してルーティングされる場合、コールが IP ネットワーク内で暗号化されており、鍵のアイコンが関連付けられていても、そのコールはセキュアではないことがあります。
セキュアなコールでは、コールが暗号化され、発側と着側の両方のデバイスが保護デバイスとして設定されている場合、セキュア トーン機能が Cisco Unified Communications Manager 上で有効になっていれば、2 秒間のトーンによってユーザに通知されます。 このトーンは、コールが応答されたとき、発側と着側の両者に対して再生されます。 このトーンは、発側と着側の両方のデバイスが保護されていて、なおかつ暗号化メディア上でコールが行われたときでなければ再生されません。 コールが暗号化されていないとシステムが判断した場合、デバイス は、ノンセキュア通知トーン(6 回のビープ音)を再生して、コールが無保護であることをユーザに警告します。 セキュア通知トーン機能および設定要件の詳しい説明については、『Cisco Unified Communications Manager Security Guide』を参照してください。
(注)
ビデオは非セキュアで送信されます。 したがって、発側と着側のデバイスが両方ともセキュアであっても、[暗号化済み(Encrypted)] 鍵アイコンがビデオ コールで表示されることはありません。
セキュアな電話コールの識別
セキュアなコールは、Cisco DX シリーズ デバイスと相手側のデバイスがセキュアなコール用に設定されている場合に確立されます。 両方のデバイスは、同一のシスコ IP ネットワーク内に存在することも、IP ネットワーク外部にあるネットワークに存在することもできます。 セキュアな会議コールは、次の手順で確立されます。
セキュアなデバイス (暗号化セキュリティ モード)から、ユーザがコールを開始します。
デバイスでは、設定アプリケーションの [エンタープライズセキュリティ(Enterprise security)] に、[暗号化(Encrypted)] ステータスが示されます。 このステータスは、 セキュアなコール用にデバイスが設定されていることを示しますが、接続相手のデバイスが同様にセキュアであるとは限りません。
セキュアな相手側デバイスにコールが接続されると、セキュリティ トーンが再生されます。これは、会話の両側が暗号化され、セキュアであることを示しています。 そうでない場合は、非セキュア トーンが再生されます。
(注)
セキュア トーンは、Cisco Unified Communications Manager で有効になっている場合にのみ再生されます。 セキュア トーンが無効になっている場合、コールがセキュアであっても、セキュア トーンは再生されません。 詳細については、『Cisco Unified Communications Manager Security Guide』の「Secure and Nonsecure Indication Tone Setup」の章を参照してください。
セキュアな会議コールの特定
セキュアな会議コールを開始し、参加者のセキュリティ レベルをモニタすることができます。 セキュアな会議コールは、次の手順で確立されます。
ユーザがセキュアなデバイスから会議を開始します。
Cisco Unified Communications Manager は、セキュアな会議ブリッジをそのコールに割り当てます。
参加者が追加されると、Cisco Unified Communications Manager は、各デバイスのセキュリティ モードを検証し、セキュアな会議のレベルを維持します。
デバイスに、電話コールのセキュリティ レベルが表示されます。
(注)
参加者デバイスのセキュリティ モードおよびセキュア 会議ブリッジの可用性に応じて、さまざまな連携動作、制約事項、および制限事項が電話会議のセキュリティ レベルに影響を与えます。 Cisco DX シリーズ デバイスでは、セキュアなオーディオ電話会議のみがサポートされます。ビデオはセキュアになりません。
コール セキュリティの連携動作と制限事項
Cisco Unified Communications Manager は、会議の確立時にデバイスのセキュリティ ステータスを確認し、会議のセキュリティ表示を変更するか、またはコールの確立をブロックしてシステムの整合性とセキュリティを維持します。 次の表は、割り込み機能の使用時にコールのセキュリティ レベルに適用される変更内容を示しています。
表 2 割り込み機能の使用時のコール セキュリティ 発信側の電話機のセキュリティ レベル
使用する機能
コールのセキュリティ レベル
動作結果
非セキュア
割込み
暗号化されたコール
コールは割り込みを受け、非セキュア コールとして識別されます。
セキュア
割込み
暗号化されたコール
コールは割り込みを受け、セキュア コールとして識別されます。
次の表は、発信側の電話機のセキュリティ レベル、参加者のセキュリティ レベル、およびセキュアな会議ブリッジの可用性によって決定する会議のセキュリティ レベルに適用される変更内容を示しています。
表 3 会議コールのセキュリティの制限事項 発信側の電話機のセキュリティ レベル
使用する機能
参加者のセキュリティ レベル
動作結果
非セキュア
会議
セキュア
非セキュアな会議ブリッジ
非セキュアな会議
セキュア
会議
少なくとも 1 台のメンバーが非セキュア。
セキュアな会議ブリッジ
非セキュアな会議
セキュア
会議
セキュア
セキュアな会議ブリッジ
セキュアな暗号化レベルの会議
非セキュア
ミートミー
最小限のセキュリティ レベルが暗号化。
発信側は「セキュリティ レベルを満たしていません。コールを拒否します(Does not meet Security Level, call rejected)」というメッセージを受け取る。
セキュア
ミートミー
最小限のセキュリティ レベルは非セキュア
セキュアな会議ブリッジ
会議はすべてのコールを受け入れる。
VPN および Cisco Virtualization Experience Client(VXC)VPN を介してセキュアなビデオを使用する場合、サポートされる最大帯域幅は 320 Kpbs です。
デバイスが Cisco TelePresence をコールする場合、最大帯域幅は 320 kbps です。
デバイス セキュリティ情報のリモートでの確認
手順
ステップ 1 デバイス セキュリティ情報をリモートで確認するには、デバイスが、Cisco Unified Communications Manager サーバに登録されている必要があり、また [デバイス設定(Device Configuration)] ページで [Web アクセス(Web Access)] が有効にされている必要があります。 ステップ 2 Web ブラウザで、デバイス セキュリティ情報を表示するには http://<device ip>/SecurityInformation に、XML 形式でデバイス セキュリティ情報を表示するには http://<device ip>/SecurityInformationX にアクセスしてください。
割り込みのための暗号化
デバイスに暗号化が設定されていない場合、そのデバイスを使用して暗号化されたコールに割り込むことはできません。 この場合、割り込みに失敗すると、割り込みが開始されたデバイスでリオーダー トーン(速いビジー音)が聞こえます。
割り込みの開始側のデバイスに暗号化が設定されている場合、割り込みの開始側は暗号化されたデバイスからセキュアでないコールに割り込むことができます。 割り込みが発生すると、Cisco Unified Communications Manager はそのコールを非セキュアに分類します。
割り込みの開始側のデバイスに暗号化が設定されている場合、割り込みの開始側は暗号化されたコールに割り込むことができ、デバイスはそのコールが暗号化されていることを示します。
802.1X 認証のサポート
Cisco DX シリーズ デバイスと Cisco Catalyst スイッチは、従来から Cisco Discovery Protocol(CDP)を使用して相互を識別し、VLAN 割り当てやインライン パワー要件などのパラメータを特定していました。 CDP では、ローカルに接続されたワークステーションは識別されません。 Cisco DX シリーズ デバイスは、EAPOL パススルー メカニズムを提供します。 このメカニズムを使用すると、デバイスに接続されたワークステーションは、LAN スイッチにある 802.1X オーセンティケータに EAPOL メッセージを渡すことができます。 パススルー メカニズムにより、デバイスは、ネットワークにアクセスする前にデータ エンドポイントを認証する LAN スイッチとして動作しません。
Cisco DX シリーズ デバイスまた、プロキシ EAPOL ログオフ メカニズムも提供します。 ローカルに接続された PC がデバイスから切断された場合でも、LAN スイッチとデバイス間のリンクは維持されるので、LAN スイッチは物理リンクの障害を認識しません。 ネットワークの完全性を維持するため、デバイスはダウンストリーム PC の代わりに EAPOL ログオフ メッセージをスイッチに送ります。これによって、LAN スイッチはダウンストリーム PC の認証エントリをクリアします。
Cisco DX シリーズ にはまた、802.1x サプリカントも含まれています。 このサプリカントを使用すると、ネットワーク管理者はデバイスから LAN スイッチ ポートへの接続を制御できます。 デバイスに含まれる 802.1X サプリカントの現在のリリースでは、ネットワーク認証に EAP-FAST オプションと EAP-TLS オプションが使用されています。
必要なネットワーク コンポーネント
Cisco DX シリーズ デバイスでの 802.1X 認証のサポートには、いくつかのコンポーネントが必要です。 これには次が含まれます。
802.1X サプリカントとして機能するデバイス。ネットワークへのアクセス要求を開始するデバイスです。
Cisco Secure Access Control Server(ACS)(またはその他のサードパーティ サーバ)。 この認証サーバには、デバイスを認証する共有シークレットが設定されている必要があります。
Cisco Catalyst スイッチ(またはその他のサードパーティ製スイッチ)。 スイッチは 802.1X をサポートする必要があるため、オーセンティケータとして機能して、デバイスと認証サーバとの間でメッセージを交換することができます。 この交換が完了した後、スイッチはデバイスのネットワーク アクセスを許可または拒否します。
ベスト プラクティス
次に、802.1X 設定の要件および推奨事項について説明します。
802.1X 認証の有効化: 802.1X 標準を使用して Cisco DX シリーズ デバイスを認証するには、デバイスで 802.1X 認証を有効にする前に、その他のコンポーネントを正しく設定しておく必要があります。
PC ポートの設定:802.1X 標準では VLAN の使用が考慮されないため、特定のスイッチ ポートに対してデバイスを 1 つだけ認証することを推奨します。 ただし、複数ドメインの認証をサポートしているスイッチもあります(Cisco Catalyst スイッチなど)。 スイッチの設定により、PC をデバイスの PC ポートに接続できるかどうかが決定されます。
有効:複数ドメインの認証をサポートするスイッチを使用している場合、PC ポートを有効化し、そのポートに PC を接続できます。 この場合、スイッチと接続先 PC 間の認証情報の交換をモニタするために、デバイスはプロキシ EAPOL ログオフをサポートします。 Cisco Catalyst スイッチでの IEEE 802.1X サポートの詳細については、次の URL にある Cisco Catalyst スイッチのコンフィギュレーション ガイドを参照してください。
無効:スイッチで同じポート上の複数の 802.1X 準拠デバイスがサポートされていない場合は、802.1X 認証を有効にするときに PC ポートを無効にするようにしてください。 このポートを無効にしないで PC を接続しようとすると、スイッチはデバイスと PC の両方に対してネットワーク アクセスを拒否します。
- ボイス VLAN の設定:802.1X 標準では VLAN が考慮されないため、この設定をスイッチのサポートに基づいて行うようにしてください。
画面ロックおよび自動ロックの設定
画面ロック タイムアウト値は、画面がオフにされ、画面ロックが有効化される、デバイスの通常のアイドル タイムアウトを制御します。 この変数は、1 ~ 60 分の範囲内で設定できます。
自動ロック機能は、ディスプレイが暗くなる(または消灯する)までの猶予時間を制御します。 デバイスが「常にオン」モードの場合、デバイスは暗くなります。 デバイスが「終夜灯」モードの場合、デバイスは完全に消灯します。 自動ロック値は、最大で 10 分まで設定可能です。 自動ロック値を設定するには、 に移動します。
画面のロック解除/パスワードのリセットのセットアップ
手順この機能により、ユーザは、画面のロック解除に使用される PIN/パスワードをリセットできます。 ユーザは、Cisco Unified Communications Manager または設定されている Google Account のクレデンシャルを使用して PIN/パスワードをリセットできます。 Cisco Unified Communications Manager を使用して PIN/パスワードをリセットするには、次の手順を使用します。
ステップ 1 [Cisco Unified CMの管理(Cisco Unified Communications ManagerAdministration)] で、 の順に選択します。 ステップ 2 [新規追加(Add New)] をクリックします。 ステップ 3 必要なユーザ情報を入力します。 ステップ 4 [デバイス情報(Device Information)] ウィンドウで、ユーザを関連付けるデバイスを選択します。 ステップ 5 [保存(Save)] をクリックします。 ステップ 6 [権限情報(Permissions Information)] ウィンドウで、ユーザに Cisco Unified Communications Manager の権限を割り当てます。 ステップ 7 [権限情報(Permissions Information)] ウィンドウで、[標準 CCM エンド ユーザ(Standard CCM End Users)] を選択します。 ステップ 8 [保存(Save)] と [設定の適用(Apply Config)] をクリックします。 デバイスが再登録した後、ユーザはそのデバイスに設定されます。