この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
インストール時に、Cisco Unified Communications Manager は非セキュア モードで起動します。Cisco Unified Communications Manager のインストール後に電話が起動すると、すべてのデバイスは Cisco Unified Communications Manager に非セキュアとして登録されます。
Cisco Unified Communications Manager 4.0(1) 以降のリリースからアップグレードすると、電話はアップグレード前に有効にしたデバイスのセキュリティ モードで起動します。すべてのデバイスは選択したセキュリティ モードを使用して登録されます。
Cisco Unified Communications Manager のインストール時に、自己署名証明書が Cisco Unified Communications Manager および TFTP サーバで作成されます。また、自己署名証明書ではなくサードパーティの CA 署名付き証明書を Cisco Unified Communications Manager に使用するように選択できます。認証を設定すると、Cisco Unified Communications Manager は証明書を使用してサポートされている Cisco Unified IP Phone を認証します。証明書が Cisco Unified Communications Manager および TFTP サーバに存在する場合は、Cisco Unified Communications Manager はそれぞれの Cisco Unified Communications Manager アップグレードで証明書を再発行しません。新しい証明書エントリで新しい CTL ファイルを作成する必要があります。
ヒント | サポートされていないシナリオまたは安全でないシナリオについては、連携動作と制限事項に関連する項目を参照してください。 |
Cisco Unified Communications Manager はデバイス レベルで認証と暗号化のステータスを維持しています。コールに関係するすべてのデバイスがセキュアとして登録されると、コール ステータスはセキュアとして登録されます。1 つのデバイスが非セキュアとして登録されると、発信者または受信者の電話がセキュアとして登録されていても、コールは非セキュアとして登録されます。
ユーザが Cisco Extension Mobility(EM; エクステンション モビリティ)を使用する場合、Cisco Unified Communications Manager はデバイスの認証ステータスと暗号化ステータスを保持します。Cisco Unified Communications Manager は、共有回線が設定される場合にもデバイスの認証ステータスおよび暗号化ステータスを保持します。
ヒント | 暗号化された Cisco Unified IP Phone に対して共有回線を設定するときには、回線を共有するすべてのデバイスで暗号化を設定します。つまり、暗号化をサポートするセキュリティ プロファイルを適用することで、すべてのデバイスのデバイス セキュリティ モードを暗号化に設定します。 |
Cisco Unified Communications Manager では Cisco Unified IP Phone の電話モデルによってセキュリティ アイコンを有効にできます。セキュリティ アイコンは、コールがセキュアであるかどうか、接続されたデバイスが信頼できるかどうかを示します。
信頼できるデバイスとは、シスコ製デバイスか、シスコの信頼される接続のセキュリティ基準に合格したサードパーティ製デバイスを表します。これには、シグナリングおよびメディア暗号化、プラットフォーム ハードニング、保証などがあります。デバイスが信頼できる場合、セキュリティ アイコンが表示され、サポートされるデバイスでセキュア トーンが再生されます。さらに、デバイスはセキュア コールに関係する他の機能やインジケータも備えていることがあります。
デバイスをシステムに追加すると、Cisco Unified Communications Manager はデバイスが信頼できるかどうかを判断します。セキュリティ アイコンは情報目的でだけ表示され、管理者は直接設定できません。
Cisco Unified Communications Manager はアイコンおよびメッセージを Cisco Unified Communications Manager Administration に表示することでゲートウェイが信頼できるかを示します。
このセクションでは、Cisco Unified IP Phone および Cisco Unified Communications Manager Administration の両方での信頼できるデバイスのセキュリティ アイコンの動作について説明します。
[Cisco Unified Communications Manager Administration] の次のウィンドウには、デバイスが信頼されているかどうかが表示されます。
ゲートウェイ タイプごとに、[Gateway Configuration] ウィンドウ( )には、[Device Is Trusted] または [Device Is Not Trusted] と対応するアイコンが表示されます。
システムはデバイス タイプに基づいて、デバイスが信頼できるかどうかを判断します。ユーザはデバイスが信頼できるかどうかを設定できません。
電話デバイス タイプごとに、[Phone Configuration] ウィンドウ( )に [Device Is Trusted] または [Device Is Not Trusted] と対応するアイコンが表示されます。
システムはデバイス タイプに基づいて、デバイスが信頼できるかどうかを判断します。ユーザはデバイスが信頼できるかどうかを設定できません。
ユーザがコールするデバイスのタイプは、電話に表示されるセキュリティ アイコンに影響します。システムは次の 3 つの基準に基づいて、コールがセキュアであるかどうかを判断します。
サポートされる Cisco Unified IP Phone にロック セキュリティ アイコンが表示される前に、3 つの基準がすべて満たされている必要があることに注意してください。信頼できないデバイスが関与するコールでは、シグナリングおよびメディアのセキュリティに関係なく、コール全体のステータスは非セキュアなままで、電話機にロック アイコンが表示されません。たとえば、会議に信頼できないデバイスを含めた場合、システムは、そのコール レッグと会議自体を非セキュアと見なします。
Cisco Unified Communications Manager でセキュリティをサポートする電話モデルは、セキュアなシスコの電話とセキュアな推奨ベンダーの電話という 2 つのカテゴリに分類されます。セキュアなシスコの電話には、製造元でインストールされる証明書(MIC )がプリインストールされ、Certificate Authority Proxy Function(CAPF)を使用したローカルで有効な証明書(LSC)の自動生成と交換をサポートします。セキュアなシスコの電話は、追加の証明書の管理なしで MIC を使用して Cisco Unified CM に登録できます。セキュリティ強化のために、CAPF を使用して LSC を作成し、電話にインストールできます。詳細については、電話のセキュリティ設定とセットアップのトピックを参照してください。
セキュアな推奨ベンダーの電話には MIC がプリインストールされていないので、LSC の作成で CAPF をサポートしません。セキュアな推奨ベンダーの電話が Cisco Unified CM に接続するには、証明書がデバイスにあるか、デバイスによって生成される必要があります。電話のサプライヤが、電話の証明書を取得または生成する方法についての詳細を提供する必要があります。証明書を入手したら、OS 管理者証明書の管理インターフェイスを使用して、Cisco Unified CM に証明書をアップロードする必要があります。詳細については、推奨ベンダーの SIP 電話のセキュリティ セットアップに関するトピックを参照してください。
お使いの電話でサポートされるセキュリティ機能のリストについては、この Cisco Unified Communications Manager リリースに対応した電話管理およびユーザ マニュアル、またはファームウェア ロードに対応したファームウェアのマニュアルを参照してください。
Cisco Unified Reporting を使用して特定の機能をサポートする電話をリストすることもできます。Cisco Unified Reporting の詳細については、『Cisco Unified Reporting Administration Guide』を参照してください。
推奨ベンダーのセキュアな電話とは、サードパーティ ベンダーによって製造されているが、COP ファイルを使用して Cisco Unified データベースにインストールされている電話です。推奨ベンダーの SIP 電話のセキュリティは、Cisco Unified Communications Manager が提供しています。セキュリティをサポートするには、COP ファイルで、推奨ベンダーの SIP 電話のセキュリティ暗号化およびセキュリティ認証を有効にする必要があります。これらの電話タイプは [Add a New Phone] ウィンドウのドロップダウンリストに表示されます。ダイジェスト認証はすべての推奨ベンダーの電話でサポートされていますが、TLS セキュリティはすべての推奨ベンダーの電話でサポートされているわけではありません。セキュリティ機能は電話のモデルにより異なります。電話セキュリティプロファイルに [Device Security Mode] フィールドが含まれる場合、電話は TLS をサポートしています。
推奨ベンダーの電話が TLS セキュリティをサポートしている場合は、デバイス別の証明書と共有証明書の 2 つのモードが可能です。電話のサプライヤは電話で使用できるモードを指定し、証明書の生成または取得の手順を提供する必要があります。
デバイス別の証明書を使用して推奨ベンダーの SIP 電話セキュリティ プロファイルを設定するには、次の手順を実行します。
セキュリティをサポートする電話の特定のセキュリティ関連項目の設定とその確認を行うことができます。たとえば、電話にローカルで有効な証明書(LSC)または製造元でインストールされる証明書(MIC)がインストールされているかどうかを確認できます。セキュリティのメニューとアイコンの詳細については、お使いの電話モデルに対応する Cisco Unified IP Phone 管理とユーザ ドキュメンテーションと、このバージョンの Cisco Unified Communications Manager を参照してください。
Cisco Unified Communications Manager がコールを認証済みまたは暗号化済みと分類すると、コール状態を示すアイコンが電話に表示されます。Cisco Unified Communications Manager がどの時点でコールを認証済みまたは暗号化済みとして分類するかを決定します。
ステップ 1 | Cisco CTL クライアントが設定されていない場合はこれを設定し、Cisco Unified Communications Manager のセキュリティ モードが混合モードであることを確認します。 | ||
ステップ 2 | 電話にローカルで有効な証明書(LSC)または製造元でインストールされる証明書(MIC)がない場合は、Certificate Authority Proxy Function(CAPF)を使用して LSC をインストールします。 | ||
ステップ 3 | 電話セキュリティ プロファイルを設定します。 | ||
ステップ 4 | 電話に電話セキュリティ プロファイルを適用します。 | ||
ステップ 5 | ダイジェスト クレデンシャルを設定した後、[Phone Configuration] ウィンドウでダイジェスト ユーザを選択してください。 | ||
ステップ 6 | Cisco Unified IP Phone 7960G および 7940G(SIP のみ)では、[End User Configuration] ウィンドウで設定したダイジェスト認証ユーザ名とパスワード(ダイジェスト クレデンシャル)を入力します。
| ||
ステップ 7 | 電話設定ファイルを暗号化します(暗号化機能をもつ電話のみ)。 | ||
ステップ 8 | 電話のセキュリティをより強化するには、電話設定を無効にします。 |