この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
Cisco Unified Communications Manager IM and Presence 10.5(2) 以降の管理されたファイル転送オプションを使用してファイル転送と画面キャプチャを送信する場合は、監査およびポリシー強制用のコンプライアンス サーバにファイルを送信できます。
コンプライアンスの詳細については、『Instant Messaging Compliance for IM and Presence Service on Cisco Unified Communications Manager』ガイドを参照してください。
ファイル転送と画面キャプチャの詳細については、『Cisco Unified Communications Manager IM and Presence Deployment and Installation Guide』を参照してください。
Cisco Jabber は、Transport Layer Security(TLS)を使用して、クライアントとサーバ間のネットワーク上で Extensible Messaging and Presence Protocol(XMPP)トラフィックを保護します。Cisco Jabber は、ポイント ツー ポイントのインスタント メッセージを暗号化します。
接続 |
プロトコル |
ネゴシエーション証明書 |
想定される暗号化アルゴリズム |
---|---|---|---|
クライアントからサーバへ |
XMPP over TLS v2 |
X.509 公開キー インフラストラクチャ証明書 |
AES 256 ビット |
サーバとクライアントが TLS 暗号化をネゴシエートした後、インスタント メッセージのトラフィックを暗号化するためにクライアントとサーバの両方がセッション キーを生成して交換します。
バージョン |
Key Length |
---|---|
Cisco Unified Communications Manager IM and Presence Service バージョン 9.0.1 以降 |
2048 ビット |
Cisco Unified Communications Manager IM and Presence サービスは、AES アルゴリズムで暗号化された 256 ビット長のセッション キーを使用して Cisco Jabber とプレゼンス サーバ間のインスタント メッセージ トラフィックを保護します。
規制ガイドラインへの準拠のために、インスタント メッセージをログに記録してアーカイブできます。インスタント メッセージをログに記録するには、外部データベースを設定するか、またはサードパーティ製のコンプライアンス サーバと統合します。Cisco Unified Communications Manager IM and Presence サービスは、外部データベースまたはサードパーティ製コンプライアンス サーバに記録されたインスタント メッセージを暗号化しません。必要に応じて、外部データベースまたはサードパーティ製コンプライアンス サーバを設定し、記録したインスタント メッセージを保護する必要があります。
AES などの対称キー アルゴリズムや RSA などの公開キー アルゴリズムを含め、暗号化レベルや暗号化アルゴリズムの詳細については、「Next Generation Encryption」を参照してください。
X.509 公開キー インフラストラクチャ証明書の詳細については、『Internet X.509 Public Key Infrastructure Certificate and CRL Profile』のドキュメントを参照してください。
接続 |
プロトコル |
ネゴシエーション証明書 |
想定される暗号化アルゴリズム |
---|---|---|---|
クライアントからサーバへ |
TLS 内の XMPP |
X.509 公開キー インフラストラクチャ証明書 |
AES 128 ビット |
クライアント間 |
TLS 内の XMPP |
X.509 公開キー インフラストラクチャ証明書 |
AES 256 ビット |
次のサーバは、Cisco WebEx Messenger サービスで X.509 公開キー インフラストラクチャ(PKI)証明書を使用して、Cisco Jabber と TLS 暗号化をネゴシエートします。
サーバとクライアントが TLS 暗号化をネゴシエートした後、インスタント メッセージのトラフィックを暗号化するためにクライアントとサーバの両方がセッション キーを生成して交換します。
Cisco WebEx Messenger サービスは、AES アルゴリズムで暗号化された 128 ビットの長さのセッション キーを使用して、Cisco Jabber と Cisco WebEx Messenger サービス間のインスタント メッセージ トラフィックを保護します。
必要に応じて、256 ビットのクライアント間 AES 暗号化を有効化し、クライアント間のトラフィックを保護できます。
Cisco WebEx Messenger サービスはインスタント メッセージをログに記録できますが、暗号化形式のインスタント メッセージはアーカイブされません。ただし、Cisco WebEx Messenger サービスは、SAE-16 や ISO-27001 監査などの厳重なデータセンター セキュリティを使用して、記録したインスタント メッセージを保護します。
Cisco WebEx Messenger サービスは、AES 256 ビットのクライアント間の暗号化を有効にした場合は、インスタント メッセージをログに記録できません。
AES などの対称キー アルゴリズムや RSA などの公開キー アルゴリズムを含め、暗号化レベルや暗号化アルゴリズムの詳細については、「Next Generation Encryption」を参照してください。
X509 公開キー インフラストラクチャ証明書の詳細については、『Internet X.509 Public Key Infrastructure Certificate and CRL Profile』のドキュメントを参照してください。
デフォルトでは、クライアントと Cisco WebEx Messenger サービス間のインスタント メッセージ トラフィックは安全です。必要に応じて、Cisco WebEx 管理ツールでポリシーを指定して、クライアント間のインスタント メッセージング トラフィックを保護できます。
ポリシーの組み合わせ |
クライアント間の暗号化 |
リモート クライアントが AES 暗号化をサポートしている場合 |
リモート クライアントが AES 暗号化をサポートしていない場合 |
---|---|---|---|
[IM の AES 符号化をサポートする(Support AES Encoding For IM)] = false [IM の符号化をサポートしない(Support No Encoding For IM)] = true |
いいえ |
Cisco Jabber は暗号化されていないインスタント メッセージを送信します。 Cisco Jabber はキー交換をネゴシエートしません。そのため、他のクライアントは Cisco Jabber の暗号化されたインスタント メッセージを送信しません。 |
Cisco Jabber は暗号化されていないインスタント メッセージを送受信します。 |
[IM の AES 符号化をサポートする(Support AES Encoding For IM)] = True [IM の符号化をサポートしない(Support No Encoding For IM)] = true |
はい |
Cisco Jabber は暗号化されたインスタント メッセージを送受信します。 Cisco Jabber には、インスタント メッセージが暗号化されていることを示すアイコンが表示されます。 |
Cisco Jabber は暗号化されたインスタント メッセージを送信します。 Cisco Jabber は暗号化されていないインスタント メッセージを受信します。 |
[IM の AES 符号化をサポートする(Support AES Encoding For IM)] = True [IM の符号化をサポートしない(Support No Encoding For IM)] = false |
はい |
Cisco Jabber は暗号化されたインスタント メッセージを送受信します。 Cisco Jabber には、インスタント メッセージが暗号化されていることを示すアイコンが表示されます。 |
Cisco Jabber は、リモート クライアントに対してインスタント メッセージの送受信を行いません。 ユーザがリモート クライアントにインスタント メッセージを送信しようとすると、Cisco Jabber にエラー メッセージが表示されます。 |
(注) |
Cisco Jabber では、グループ チャットによるクライアント間の暗号化をサポートしていません。Cisco Jabber は、ポイントツーポイント チャットのみに関して、クライアント間の暗号化を使用します。 |
暗号化および Cisco WebEx ポリシーの詳細については、Cisco WebEx のマニュアルの「About Encryption Levels」の項を参照してください。
暗号化レベルを表示するには、クライアントが表示するアイコンを確認します。
ローカル チャット履歴が有効になっている場合、Cisco Jabber for iPhone and iPad は、モバイル デバイスにローカルに格納されるアーカイブ インスタント メッセージを暗号化しません。暗号化されていないインスタント メッセージをローカルに格納することを望まない場合は、ローカル チャット履歴を無効にしてください。
ローカル チャット履歴が有効になっている場合、Cisco Jabber for Android は、モバイル デバイスにローカルに格納されるアーカイブ インスタント メッセージを暗号化しません。暗号化されていないインスタント メッセージをローカルに格納することを望まない場合は、ローカル チャット履歴を無効にしてください。
ローカル チャット履歴を有効にすると、Cisco Jabber for Windows はインスタント メッセージを暗号化形式でアーカイブしません。チャット履歴へのアクセスを制限するために、クライアントはアーカイブを %USERPROFILE%\AppData\Local\Cisco\Unified Communications\Jabber\CSF\History\uri.db ディレクトリに保存します。
ローカル チャット履歴を有効にすると、Cisco Jabber for Mac はインスタント メッセージを暗号化形式でアーカイブしません。チャット履歴へのアクセスを制限するために、Cisco Jabber はアーカイブを ~/Library/Application Support/Cisco/Unified Communications/Jabber/CSF/History/uri.db ディレクトリに保存します。
オンプレミス展開の場合、Cisco Jabber for Mac の [チャットの設定(Chat Preferences)] ウィンドウで [チャットのアーカイブを次に保存:(Save chat archives to:)] オプションを選択すると、チャット履歴は Mac ファイル システムにローカルに保存され、Spotlight を使用して検索できるようになります。
チャット履歴は、参加者がチャット ウィンドウを閉じたあともサインアウトするまで維持されます。参加者がチャット ウィンドウを閉じたらチャット履歴を破棄する場合は、Disable_IM_History パラメータを ture に設定します。このパラメータは、IM 専用ユーザを除く、すべてのクライアントで使用できます。
オプションで、すべてのデバイスに対してセキュアな電話機能をセットアップできます。セキュア電話機能により、セキュア SIP シグナリング、セキュア メディア ストリーム、および暗号化デバイス設定ファイルが提供されます。
ユーザのセキュアな電話機能を有効にした場合は、Cisco Unified Communications Manager へのデバイス接続がセキュアになります。ただし、他のデバイスとのコールは、両方のデバイスがセキュアな接続を備えている場合にのみセキュアになります。
(注) |
ここで説明する内容は、Cisco Jabber for Windows スイッチにのみ適用されます。 |
連邦情報処理標準(FIPS) 140 は、暗号モジュールのセキュリティ要件を規定する米国およびカナダ政府の基準です。これらの暗号化モジュールには、承認されたセキュリティ機能を実装し、暗号境界内に存在するハードウェア、ソフトウェア、およびファームウェアのセットが含まれます。
FIPS では、クライアント内部で使用される暗号化、キー交換、デジタル署名、およびハッシュと乱数生成関数のすべてが暗号モジュールのセキュリティに関する FIPS 140.2 要件に準拠している必要があります。
FIPS モードではクライアントによる証明書の管理がより厳密になります。FIPS モードでは、サービスの証明書が期限切れになり、クレデンシャルが再入力されていなかった場合、クライアントに証明書エラーが表示されます。ハブ ウィンドウにも、クライアントが FIPS モードで実行中であることを示す FIPS アイコンが表示されます。
Cisco Jabber では、FIPS を有効にする 2 つの方法をサポートしています。
オペレーティング システム対応:Windows オペレーティング システムは FIPS モードです。
Cisco Jabber のブートストラップの設定:FIPS_MODE インストーラ スイッチを設定します。Cisco Jabber は、FIPS 対応ではないオペレーティング システムでも FIPS モードにすることができます。このシナリオでは、Windows API 以外による接続のみ FIPS モードになります。
プラットフォーム モード |
ブートストラップ設定 |
Cisco Jabber クライアントの設定 |
---|---|---|
FIPS 対応 |
FIPS 対応 |
FIPS 対応:ブートストラップの設定。 |
FIPS 対応 |
FIPS 非対応 |
FIPS 非対応:ブートストラップの設定。 |
FIPS 対応 |
設定なし |
FIPS 対応:プラットフォームの設定。 |
FIPS 非対応 |
FIPS 対応 |
FIPS 対応:ブートストラップの設定。 |
FIPS 非対応 |
FIPS 非対応 |
FIPS 非対応:ブートストラップの設定。 |
FIPS 非対応 |
設定なし |
FIPS 非対応:プラットフォームの設定。 |
Secure LDAP の通信は LDAP over SSL/TLS です。
LDAPS は SSL/TLS 接続を介して LDAP 接続を開始します。SSL セッションを開いてから LDAP プロトコルを使用して開始します。これには別のポートである 636 が必要です。
Cisco Jabber は、サービスの認証時にサーバ証明書を検証します。セキュアな接続の確立を試みるときに、サービスは Cisco Jabber に証明書を提示します。Cisco Jabber は、提示された証明書をクライアント デバイスのローカル証明書ストア内の証明書に照らして検証します。証明書が証明書ストア内に存在しない場合、その証明書は信頼できないものとみなされ、Cisco Jabber はユーザに証明書を受け入れるか拒否するかを尋ねます。
ユーザが証明書を受け入れた場合、Cisco Jabber はサービスに接続して、デバイスの証明書ストアまたはキーチェーンに証明書を保存します。ユーザが証明書を拒否した場合、Cisco Jabber はサービスに接続せず、証明書はデバイスの証明書ストアにもキーチェーンにも保存されません。
証明書がデバイスのローカル証明書ストア内に存在する場合、Cisco Jabber は証明書を信頼します。Cisco Jabber は、ユーザに証明書を受け入れるか拒否するかを尋ねずにサービスに接続します。
Cisco Jabber は Cisco Unified Communications Manager サーバ上の 2 つのサービスに対して認証を行います。サービス名は Cisco Tomcat と Extensible Messaging and Presence Protocol(XMPP)です。サービスごとに証明書署名要求(CSR)を生成する必要があります。一部のパブリック認証局は、完全修飾ドメイン名(FQDN)ごとに 1 つの CSR しか承認しません。そのため、各サービスの CSR を別々のパブリック認証局に送信しなければならない場合があります。
IP アドレスやホスト名の代わりに、各サービスのサービス プロファイルで FQDN が指定されていることを確認します。
サーバ |
証明書 |
---|---|
Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence Service |
HTTP(Tomcat) XMPP |
Cisco Unified Communications Manager |
HTTP(Tomcat)と CallManager 証明書(セキュアな電話機用のセキュア SIP コール シグナリング) |
Cisco Unity Connection |
HTTP(Tomcat) |
Cisco WebEx Meetings Server |
HTTP(Tomcat) |
Cisco VCS Expressway Cisco Expressway-E |
サーバ証明書(HTTP、XMPP、および SIP コール シグナリングに使用) |
Security Assertion Markup Language(SAML)シングル サインオン(SSO)およびアイデンティティ プロバイダー(IdP)には X.509 証明書が必要です。
証明書署名プロセスを開始する前に、Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence Service に対して最新のサービス更新(SU)を適用する必要があります。
必要な証明書は、すべてのサーバ バージョンに適用されます。
各クラスタ ノード、サブスクライバ、およびパブリッシャは Tomcat サービスを実行し、クライアントに HTTP 証明書を提示できます。
クラスタ内の各ノードの証明書に署名する必要があります。
クライアントと Cisco Unified Communications Manager 間の SIP シグナリングを保護するには、Certification Authority Proxy Function(CAPF)登録を使用する必要があります。
CSR の問題を回避するために、CSR を送信するパブリック CA からの形式の要件を確認する必要があります。次に、サーバを構成する際に、入力する情報がパブリック CA が要求する形式に適合していることを保証する必要があります。
FQDN ごとに 1 つの証明書:一部のパブリック CA は、完全修飾ドメイン名(FQDN)ごとに 1 つの証明書にだけ署名します。
たとえば、1 つの Cisco Unified Communications Manager IM and Presence Service ノードの HTTP 証明書と XMPP 証明書に署名するには、各 CSR を個別のパブリック CA に送信する必要があります。
証明書を検証するには、失効情報を提供できる到達可能なサーバの [CDP] または [AIA] フィールドに HTTP URL が証明書に含まれている必要があります。認証局(CA)によって証明書が取り消された場合、クライアントはユーザがそのサーバに接続することを許可しません。
(注) |
パブリック CA は、通常、サーバの識別情報として、IP アドレスではなく、ドメインを含む完全修飾ドメイン名(FQDN)を必要とします。 |
ヒント |
[件名 CN(Subject CN)] フィールドには、左端の文字(たとえば、*.cisco.com)としてワイルドカード(*)を含めることができます。 |
ユーザが IP アドレスまたはホスト名でサーバに接続し、サーバ証明書が FQDN でサーバを識別しようとすると、クライアントは、信頼できるポートとサーバを識別できないため、ユーザにとって良い結果をもたらしません。
サーバ証明書が FQDN でサーバを識別する場合、サーバの多くの場所の FQDN として各サーバ名を指定する必要があります。詳細については、『Troubleshooting TechNotes』の「ID の不一致の防止(Prevent Identity Mismatch)」の項を参照してください。
マルチサーバ SAN を使用している場合は、クラスタと tomcat 証明書ごとに一度ずつと クラスタと XMPP 証明書ごとに一度ずつサービスに証明書をアップロードする必要があるだけです。マルチサーバ SAN を使用していない場合は、すべての Cisco Unified Communications Manager ノードのサービスに証明書をアップロードする必要があります。
Cisco WebEx Messenger と Cisco WebEx Meeting Center は、デフォルトで次の証明書をクライアントに提示します。
(注) |
Cisco WebEx 証明書はパブリック認証局(CA)によって署名されます。Cisco Jabber はこれらの証明書を検証し、クラウドベース サービスとのセキュアな接続を確立します。 |
Cisco Jabber は、Cisco WebEx Messenger から受信した次の XMPP 証明書を検証します。これらの証明書がオペレーティング システムに付属していない場合は、ユーザが入力する必要があります。
VeriSign Class 3 Public Primary Certification Authority - G5:この証明書は信頼できるルート認証局に保存されます。
VeriSign Class 3 Secure Server CA - G3:この証明書は WebEx Messenger サーバ ID の検証に使用され、中間認証局に保存されます。
AddTrust 外部 CA ルート
GoDaddy Class 2 Certification Authority Root Certificate
Cisco Jabber for Windows のルート証明書の詳細については、http://www.identrust.co.uk/certificates/trustid/install-nes36.htmlを参照してください。
Cisco Jabber for Mac のルート証明書の詳細については、http://support.apple.comを参照してください。
目次
- セキュリティおよび証明書
- 暗号化(Encryption)
- ファイル転送および画面キャプチャのコンプライアンスおよびポリシー管理
- インスタント メッセージの暗号化
- オンプレミス暗号化
- クラウドベースの暗号化
- クライアント間の暗号化
- 暗号化アイコン
- サーバの暗号化対応クライアント用のロック アイコン
- クライアントの暗号化対応クライアント用の鍵アイコン
- ローカルのチャット履歴
- 音声およびビデオの暗号化
- 連邦情報処理標準規格
- Secure LDAP
- 証明書(Certificates)
- 証明書の検証
- オンプレミス サーバに必要な証明書
- 証明書署名要求の形式と要件
- 失効サーバ
- 証明書のサーバ識別情報
- マルチサーバ SAN の証明書
- クラウド展開の証明書検証
暗号化(Encryption)
ファイル転送および画面キャプチャのコンプライアンスおよびポリシー管理
Cisco Unified Communications Manager IM and Presence 10.5(2) 以降の管理されたファイル転送オプションを使用してファイル転送と画面キャプチャを送信する場合は、監査およびポリシー強制用のコンプライアンス サーバにファイルを送信できます。
コンプライアンスの詳細については、『Instant Messaging Compliance for IM and Presence Service on Cisco Unified Communications Manager』ガイドを参照してください。
ファイル転送と画面キャプチャの詳細については、『Cisco Unified Communications Manager IM and Presence Deployment and Installation Guide』を参照してください。
インスタント メッセージの暗号化
オンプレミス暗号化
サーバとクライアントのネゴシエーション
次のサーバは、X.509 公開キー インフラストラクチャ(PKI)証明書と次のものを使用して Cisco Jabber と TLS 暗号化をネゴシエートします。サーバとクライアントが TLS 暗号化をネゴシエートした後、インスタント メッセージのトラフィックを暗号化するためにクライアントとサーバの両方がセッション キーを生成して交換します。
XMPP 暗号化
Cisco Unified Communications Manager IM and Presence サービスは、AES アルゴリズムで暗号化された 256 ビット長のセッション キーを使用して Cisco Jabber とプレゼンス サーバ間のインスタント メッセージ トラフィックを保護します。
インスタント メッセージのロギング
規制ガイドラインへの準拠のために、インスタント メッセージをログに記録してアーカイブできます。インスタント メッセージをログに記録するには、外部データベースを設定するか、またはサードパーティ製のコンプライアンス サーバと統合します。Cisco Unified Communications Manager IM and Presence サービスは、外部データベースまたはサードパーティ製コンプライアンス サーバに記録されたインスタント メッセージを暗号化しません。必要に応じて、外部データベースまたはサードパーティ製コンプライアンス サーバを設定し、記録したインスタント メッセージを保護する必要があります。
クラウドベースの暗号化
サーバとクライアントのネゴシエーション
次のサーバは、Cisco WebEx Messenger サービスで X.509 公開キー インフラストラクチャ(PKI)証明書を使用して、Cisco Jabber と TLS 暗号化をネゴシエートします。
サーバとクライアントが TLS 暗号化をネゴシエートした後、インスタント メッセージのトラフィックを暗号化するためにクライアントとサーバの両方がセッション キーを生成して交換します。
XMPP 暗号化
Cisco WebEx Messenger サービスは、AES アルゴリズムで暗号化された 128 ビットの長さのセッション キーを使用して、Cisco Jabber と Cisco WebEx Messenger サービス間のインスタント メッセージ トラフィックを保護します。
必要に応じて、256 ビットのクライアント間 AES 暗号化を有効化し、クライアント間のトラフィックを保護できます。
クライアント間の暗号化
デフォルトでは、クライアントと Cisco WebEx Messenger サービス間のインスタント メッセージ トラフィックは安全です。必要に応じて、Cisco WebEx 管理ツールでポリシーを指定して、クライアント間のインスタント メッセージング トラフィックを保護できます。
次のポリシーは、クライアント間のインスタント メッセージの暗号化を指定します。次の表は、これらのポリシーを使用して設定できる組み合わせを示しています。
ポリシーの組み合わせ
クライアント間の暗号化
リモート クライアントが AES 暗号化をサポートしている場合
リモート クライアントが AES 暗号化をサポートしていない場合
[IM の AES 符号化をサポートする(Support AES Encoding For IM)] = false
[IM の符号化をサポートしない(Support No Encoding For IM)] = true
いいえ
Cisco Jabber は暗号化されていないインスタント メッセージを送信します。
Cisco Jabber はキー交換をネゴシエートしません。そのため、他のクライアントは Cisco Jabber の暗号化されたインスタント メッセージを送信しません。
Cisco Jabber は暗号化されていないインスタント メッセージを送受信します。
[IM の AES 符号化をサポートする(Support AES Encoding For IM)] = True
[IM の符号化をサポートしない(Support No Encoding For IM)] = true
はい
Cisco Jabber は暗号化されたインスタント メッセージを送受信します。
Cisco Jabber には、インスタント メッセージが暗号化されていることを示すアイコンが表示されます。
Cisco Jabber は暗号化されたインスタント メッセージを送信します。
Cisco Jabber は暗号化されていないインスタント メッセージを受信します。
[IM の AES 符号化をサポートする(Support AES Encoding For IM)] = True
[IM の符号化をサポートしない(Support No Encoding For IM)] = false
はい
Cisco Jabber は暗号化されたインスタント メッセージを送受信します。
Cisco Jabber には、インスタント メッセージが暗号化されていることを示すアイコンが表示されます。
Cisco Jabber は、リモート クライアントに対してインスタント メッセージの送受信を行いません。
ユーザがリモート クライアントにインスタント メッセージを送信しようとすると、Cisco Jabber にエラー メッセージが表示されます。
(注)
Cisco Jabber では、グループ チャットによるクライアント間の暗号化をサポートしていません。Cisco Jabber は、ポイントツーポイント チャットのみに関して、クライアント間の暗号化を使用します。
暗号化および Cisco WebEx ポリシーの詳細については、Cisco WebEx のマニュアルの「About Encryption Levels」の項を参照してください。
ローカルのチャット履歴
ローカル チャット履歴が有効になっている場合、Cisco Jabber for iPhone and iPad は、モバイル デバイスにローカルに格納されるアーカイブ インスタント メッセージを暗号化しません。暗号化されていないインスタント メッセージをローカルに格納することを望まない場合は、ローカル チャット履歴を無効にしてください。
ローカル チャット履歴が有効になっている場合、Cisco Jabber for Android は、モバイル デバイスにローカルに格納されるアーカイブ インスタント メッセージを暗号化しません。暗号化されていないインスタント メッセージをローカルに格納することを望まない場合は、ローカル チャット履歴を無効にしてください。
ローカル チャット履歴を有効にすると、Cisco Jabber for Windows はインスタント メッセージを暗号化形式でアーカイブしません。チャット履歴へのアクセスを制限するために、クライアントはアーカイブを %USERPROFILE%\AppData\Local\Cisco\Unified Communications\Jabber\CSF\History\uri.db ディレクトリに保存します。
ローカル チャット履歴を有効にすると、Cisco Jabber for Mac はインスタント メッセージを暗号化形式でアーカイブしません。チャット履歴へのアクセスを制限するために、Cisco Jabber はアーカイブを ~/Library/Application Support/Cisco/Unified Communications/Jabber/CSF/History/uri.db ディレクトリに保存します。
オンプレミス展開の場合、Cisco Jabber for Mac の [チャットの設定(Chat Preferences)] ウィンドウで [チャットのアーカイブを次に保存:(Save chat archives to:)] オプションを選択すると、チャット履歴は Mac ファイル システムにローカルに保存され、Spotlight を使用して検索できるようになります。
チャット履歴は、参加者がチャット ウィンドウを閉じたあともサインアウトするまで維持されます。参加者がチャット ウィンドウを閉じたらチャット履歴を破棄する場合は、Disable_IM_History パラメータを ture に設定します。このパラメータは、IM 専用ユーザを除く、すべてのクライアントで使用できます。
連邦情報処理標準規格
(注)
ここで説明する内容は、Cisco Jabber for Windows スイッチにのみ適用されます。
連邦情報処理標準(FIPS) 140 は、暗号モジュールのセキュリティ要件を規定する米国およびカナダ政府の基準です。これらの暗号化モジュールには、承認されたセキュリティ機能を実装し、暗号境界内に存在するハードウェア、ソフトウェア、およびファームウェアのセットが含まれます。
FIPS では、クライアント内部で使用される暗号化、キー交換、デジタル署名、およびハッシュと乱数生成関数のすべてが暗号モジュールのセキュリティに関する FIPS 140.2 要件に準拠している必要があります。
FIPS モードではクライアントによる証明書の管理がより厳密になります。FIPS モードでは、サービスの証明書が期限切れになり、クレデンシャルが再入力されていなかった場合、クライアントに証明書エラーが表示されます。ハブ ウィンドウにも、クライアントが FIPS モードで実行中であることを示す FIPS アイコンが表示されます。
Cisco Jabber では、FIPS を有効にする 2 つの方法をサポートしています。
オペレーティング システム対応:Windows オペレーティング システムは FIPS モードです。
Cisco Jabber のブートストラップの設定:FIPS_MODE インストーラ スイッチを設定します。Cisco Jabber は、FIPS 対応ではないオペレーティング システムでも FIPS モードにすることができます。このシナリオでは、Windows API 以外による接続のみ FIPS モードになります。
表 1 FIPS 向け Cisco Jabber クライアントの設定。 プラットフォーム モード
ブートストラップ設定
Cisco Jabber クライアントの設定
FIPS 対応
FIPS 対応
FIPS 対応:ブートストラップの設定。
FIPS 対応
FIPS 非対応
FIPS 非対応:ブートストラップの設定。
FIPS 対応
設定なし
FIPS 対応:プラットフォームの設定。
FIPS 非対応
FIPS 対応
FIPS 対応:ブートストラップの設定。
FIPS 非対応
FIPS 非対応
FIPS 非対応:ブートストラップの設定。
FIPS 非対応
設定なし
FIPS 非対応:プラットフォームの設定。
証明書(Certificates)
証明書の検証
証明書検証プロセス
Cisco Jabber は、サービスの認証時にサーバ証明書を検証します。セキュアな接続の確立を試みるときに、サービスは Cisco Jabber に証明書を提示します。Cisco Jabber は、提示された証明書をクライアント デバイスのローカル証明書ストア内の証明書に照らして検証します。証明書が証明書ストア内に存在しない場合、その証明書は信頼できないものとみなされ、Cisco Jabber はユーザに証明書を受け入れるか拒否するかを尋ねます。
ユーザが証明書を受け入れた場合、Cisco Jabber はサービスに接続して、デバイスの証明書ストアまたはキーチェーンに証明書を保存します。ユーザが証明書を拒否した場合、Cisco Jabber はサービスに接続せず、証明書はデバイスの証明書ストアにもキーチェーンにも保存されません。
証明書がデバイスのローカル証明書ストア内に存在する場合、Cisco Jabber は証明書を信頼します。Cisco Jabber は、ユーザに証明書を受け入れるか拒否するかを尋ねずにサービスに接続します。
Cisco Jabber は Cisco Unified Communications Manager サーバ上の 2 つのサービスに対して認証を行います。サービス名は Cisco Tomcat と Extensible Messaging and Presence Protocol(XMPP)です。サービスごとに証明書署名要求(CSR)を生成する必要があります。一部のパブリック認証局は、完全修飾ドメイン名(FQDN)ごとに 1 つの CSR しか承認しません。そのため、各サービスの CSR を別々のパブリック認証局に送信しなければならない場合があります。
IP アドレスやホスト名の代わりに、各サービスのサービス プロファイルで FQDN が指定されていることを確認します。
オンプレミス サーバに必要な証明書
オンプレミス サーバは、 Cisco Jabber とのセキュアな接続を確立するために、次の証明書を提示します。
サーバ
証明書
Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence Service
HTTP(Tomcat)
XMPP
Cisco Unified Communications Manager
HTTP(Tomcat)と CallManager 証明書(セキュアな電話機用のセキュア SIP コール シグナリング)
Cisco Unity Connection
HTTP(Tomcat)
Cisco WebEx Meetings Server
HTTP(Tomcat)
Cisco VCS Expressway
Cisco Expressway-E
サーバ証明書(HTTP、XMPP、および SIP コール シグナリングに使用)
特記事項
Security Assertion Markup Language(SAML)シングル サインオン(SSO)およびアイデンティティ プロバイダー(IdP)には X.509 証明書が必要です。
証明書署名プロセスを開始する前に、Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence Service に対して最新のサービス更新(SU)を適用する必要があります。
必要な証明書は、すべてのサーバ バージョンに適用されます。
各クラスタ ノード、サブスクライバ、およびパブリッシャは Tomcat サービスを実行し、クライアントに HTTP 証明書を提示できます。
クラスタ内の各ノードの証明書に署名する必要があります。
クライアントと Cisco Unified Communications Manager 間の SIP シグナリングを保護するには、Certification Authority Proxy Function(CAPF)登録を使用する必要があります。
証明書署名要求の形式と要件
失効サーバ
証明書のサーバ識別情報
署名プロセスの一部として、CA は証明書のサーバ識別情報を指定します。クライアントがその証明書を検証する場合、次のことを確認します。
(注)
パブリック CA は、通常、サーバの識別情報として、IP アドレスではなく、ドメインを含む完全修飾ドメイン名(FQDN)を必要とします。
ID の不一致の防止
ユーザが IP アドレスまたはホスト名でサーバに接続し、サーバ証明書が FQDN でサーバを識別しようとすると、クライアントは、信頼できるポートとサーバを識別できないため、ユーザにとって良い結果をもたらしません。
サーバ証明書が FQDN でサーバを識別する場合、サーバの多くの場所の FQDN として各サーバ名を指定する必要があります。詳細については、『Troubleshooting TechNotes』の「ID の不一致の防止(Prevent Identity Mismatch)」の項を参照してください。
クラウド展開の証明書検証
Cisco WebEx Messenger と Cisco WebEx Meeting Center は、デフォルトで次の証明書をクライアントに提示します。
(注)
Cisco WebEx 証明書はパブリック認証局(CA)によって署名されます。Cisco Jabber はこれらの証明書を検証し、クラウドベース サービスとのセキュアな接続を確立します。
Cisco Jabber は、Cisco WebEx Messenger から受信した次の XMPP 証明書を検証します。これらの証明書がオペレーティング システムに付属していない場合は、ユーザが入力する必要があります。
VeriSign Class 3 Public Primary Certification Authority - G5:この証明書は信頼できるルート認証局に保存されます。
VeriSign Class 3 Secure Server CA - G3:この証明書は WebEx Messenger サーバ ID の検証に使用され、中間認証局に保存されます。
AddTrust 外部 CA ルート
GoDaddy Class 2 Certification Authority Root Certificate
Cisco Jabber for Windows のルート証明書の詳細については、http://www.identrust.co.uk/certificates/trustid/install-nes36.htmlを参照してください。
Cisco Jabber for Mac のルート証明書の詳細については、http://support.apple.comを参照してください。