セキュアな会議機能は、会議を保護するために認証と暗号化を提供します。会議に参加しているすべてのデバイスでシグナリングとメディアが暗号化されている場合に、会議は保護されているとみなされます。セキュアな会議機能は、セキュアな TLS または IPSec 接続での SRTP 暗号化をサポートします。

システムでは、会議の全体的なセキュリティ ステータスを示すセキュリティ アイコンが表示されます。この全体的なステータスは、参加しているデバイスの最も低いセキュリティ レベルにより決定します。たとえば、2 つの暗号化接続と 1 つの認証済み接続を含むセキュアな会議のセキュリティ ステータスは認証済みです。

セキュアなアドホック会議とミートミー会議を設定するには、セキュアな会議ブリッジを設定します。

• ユーザが認証済みまたは暗号化済みの電話から電話会議を開始すると、Unified Communications Manager はセキュアな会議ブリッジを割り当てます。

• ユーザが非セキュアな電話からコールを開始すると、Unified Communications Manager は非セキュアな会議ブリッジを割り当てます。

会議ブリッジ リソースを非セキュアとして設定すると、電話のセキュリティ設定にかかわらず、会議は非セキュアになります。

（注）	Unified Communications Manager は会議を開始している電話のメディア リソース グループ リスト（MRGL）から会議ブリッジを割り当てます。セキュアな会議ブリッジを使用できない場合は、Unified Communications Manager は非セキュアな会議ブリッジを割り当て、会議は非セキュアになります。同様に、非セキュアな会議ブリッジを使用できない場合、Unified Communications Manager はセキュアな会議ブリッジを割り当て、会議は非セキュアになります。会議ブリッジが利用不可の場合、コールは失敗します。

ミートミー会議コールでは、会議を開始する電話はミートミー番号に設定された最小セキュリティ要件を満たす必要があります。セキュアな会議ブリッジを使用できないか、発信者のセキュリティ レベルが最小要件を満たさない場合、Unified Communications Manager は会議の試行を拒否します。

割り込みを使用する会議を保護するには、暗号化モードを使用するよう電話を設定します。デバイスが認証済みまたは暗号化済みの場合に [Barge] キーを押すと、Unified Communications Manager は割り込み相手とターゲット デバイスでの組み込みブリッジの間でセキュアな接続を確立します。システムは、割り込みコールに接続されているすべての参加者に対して会議のセキュリティ ステータスを示します。

（注）	リリース 8.3 以降を実行している非セキュアまたは認証済みの Cisco Unified IP Phone は暗号化済みコールに割り込めるようになりました。

ハードウェアによる会議ブリッジをネットワークに追加し、Unified Communications Manager Administration でセキュアな会議ブリッジを設定する場合、会議ブリッジをセキュアなメディア リソースとして登録できます。

（注）	Unified Communications Manager の処理のパフォーマンスに対する影響を考え、ソフトウェアによる会議ブリッジでのセキュアな会議はサポートしていません。

H.323 または MGCP ゲートウェイでの会議を実現するデジタル シグナル プロセッサ（DSP）ファームが、IP テレフォニー会議のネットワーク リソースとして動作します。会議ブリッジは、Unified Communications Manager にセキュアな SCCP クライアントとして登録されます。

• 会議ブリッジのルート証明書が CallManager 信頼ストア内に存在し、Cisco CallManager 証明書が会議ブリッジの信頼ストアに存在する必要があります。

• セキュアな会議ブリッジのセキュリティ設定は、登録するUnified Communications Manager のセキュリティ設定と一致している必要があります。

会議ルータの詳細については、IOS ルータに付属するドキュメンテーションを参照してください。

Unified Communications Manager は、コールに対して会議リソースを動的に割り当てます。使用可能な会議リソースと有効化されたコーデックによって、ルータに許容される最大同時実行数のセキュアな会議が実現されます。ストリームの送受信は、参加するエンドポイントそれぞれに対して個別にキー設定されるため（このため参加者が会議を退出しても再度のキー設定は不要）、DSP モジュールに対するトータルでのセキュアな会議のキャパシティは、設定可能な非セキュア キャパシティの半分に等しくなります。

『Feature Configuration Guide for Cisco Unified Communications Manager』を参照してください。

Cisco IP Phone は会議全体のセキュリティ レベルを示す会議セキュリティ アイコンを表示します。これらのアイコンは、ユーザ マニュアルに記載されているように、セキュアな 2 者間コールのステータス アイコンと一致します。

コールの音声とビデオ部分が会議のセキュリティ レベルのベースとなります。コールは、音声とビデオ部分がセキュアである場合に限り、安全とみなされます。

セキュアなアドホック会議とミートミー会議では、会議参加者の電話ウィンドウにある会議ソフトキーの横に会議のセキュリティ アイコンが表示されます。表示されるアイコンは、会議ブリッジおよびすべての参加者のセキュリティ レベルによって異なります。

• 会議ブリッジがセキュアで会議の全参加者が暗号化されている場合、ロック アイコンが表示されます。

• 会議ブリッジがセキュアで会議の全参加者が認証されている場合、シールド アイコンが表示されます。一部の電話モデルでは、シールド アイコンが表示されません。

• 会議ブリッジまたは会議のいずれかの参加者が非セキュアである場合に、コール状態アイコン（アクティブ、保留など）が表示されます。一部の古いモデルの電話では、アイコンは表示されません。

（注）	「Override BFCP Application Encryption Status When Designating Call Security Status」サービス パラメータは、パラメータ値が [True] で音声がセキュアであると、ロック アイコンを表示します。この状態は、他のすべてのメディア チャネルのセキュリティ ステータスを無視します。デフォルト パラメータ値は [False] です。

暗号化された電話がセキュアな会議ブリッジに接続すると、デバイスと会議ブリッジの間のメディア ストリーミングは暗号化されます。ただし、会議のアイコンは、他の参加者のセキュリティ レベルに応じて暗号化、認証済み、非セキュアのいずれかになります。非セキュア ステータスは、参加者のいずれかがセキュアでないか、または確認できないことを示します。

ユーザが [Barge] を押すと、[Barge] ソフトキーの横にあるアイコンが割り込み会議のセキュリティ レベルを示します。割り込むデバイスと割り込まれたデバイスが暗号化をサポートする場合、システムは 2 つのデバイス間のメディアを暗号化しますが、割り込み会議のステータスは、接続された参加者のセキュリティ レベルに応じて、非セキュア、認証済み、暗号化のいずれかになります。

会議のステータスは、参加者が会議に参加するときと退出するときに変わります。暗号化された会議は、認証済みまたは非セキュアな参加者がコールに接続すると、セキュリティ レベルが認証済みまたは非セキュアに戻ることがあります。同様に、認証済みまたは非セキュアな参加者がコールから退出すると、ステータスが上がることがあります。非セキュアな参加者が電話会議に接続すると、会議は非セキュアになります。

会議のステータスは、参加者が複数の会議を結合した場合、結合した会議のセキュリティ ステータスが変わった場合、保留にされた電話会議が別のデバイスで再開された場合、電話会議に割り込みがあった場合、または転送された電話会議が別のデバイスで完了した場合にも変化します。

（注）	[Advanced Ad Hoc Conference Enabled] サービス パラメータは、会議、参加、直接転送、および転送などの機能を使用してアドホック会議をリンクできるかどうかを決定します。

Unified Communications Manager はセキュアな会議を維持するために以下のオプションを提供します。

• アドホック会議のリスト
• 最小セキュリティ レベルでのミートミー会議

次の Cisco Unified IP Phone では、セキュア会議とセキュア会議アイコンがサポートされています。

• Cisco Unified IP Phone 7942 および 7962（SCCP のみ、認証済みセキュア会議のみ）

• Cisco Unified IP Phone 6901、6911、6921、6941、6945、6961、7906G、7911G、7931G、7942、7941G、7941G-GE、7942G、7945G、7961G、7961G-GE、7962G、7965G、7975G、8941、8945。（SCCP のみ）

• Cisco Unified IP Phone 6901、6911、6921、6941、6945、6961、7906G、7911G、7941G、7941G-GE、7942G、7961G、7961G-GE、7962G、7965G、7975G、8941、8945、8961、9971、9971。

  Cisco IP Phone 7811、7821、7841、7861、cisco ipphone 7832、cisco ip phone 8811、8841、8845、8851、8851NR、8861、8865、8865nr、cisco Wireless IP Phone 8821、統一 IP 会議電話機 8831、Cisco IP 会議電話 8832。

警告

セキュア会議機能を十分に活用するため、Cisco Unified IP Phone をリリース 8.3 以降にアップグレードすることを推奨します。このリリースでは、暗号化機能がサポートされています。以前のリリースを実行している暗号化済みの電話は、これらの機能を完全にサポートしてはいません。そのような電話は、認証済みまたは非セキュアな参加者としてのみセキュア会議に参加できます。 リリース 8.3 の Cisco Unified IP Phone で、以前のリリースの Cisco Unified Communications Manager が使用されている場合、電話会議の間、会議のセキュリティ ステータスではなく接続のセキュリティ ステータスが表示され、会議リストなどのセキュア会議機能もサポートされません。

Cisco Unified IP Phone に適用されるその他の制限については、Unified Communications Manager のセキュア会議の制限関連項目を参照してください。

セキュア電話会議とセキュリティ アイコンの詳細については、ご使用の電話の『Cisco IP Phone Administration Guide』 および 『Cisco IP Phone User Guide』を参照してください。

Unified Communications Manager はライセンス済み CTI デバイスでのセキュアな会議をサポートしています。詳細については、このリリースの『Unified Communications Manager JTAPI Developers Guide』および『Unified Communications Manager TAPI Developers Guide』を参照してください。

Unified Communications Manager はクラスタ間トランク（ICT）、H.323 トランク/ゲートウェイ、および MGCP ゲートウェイを介したセキュアな会議をサポートしています。ただし、リリース 8.2 以前を実行する暗号化された電話は ICT および H.323 コールの場合 RTP に戻り、メディアは暗号化されません。

会議に SIP トランクが使用される場合、セキュアな会議のステータスは非セキュアになります。さらに、SIP トランク シグナリングはクラスタ外の参加者へのセキュアな会議通知をサポートしていません。

CDR データは、電話エンドポイントから会議ブリッジへの各コール レッグのセキュリティ ステータス、および会議自体のセキュリティ ステータスを示します。2 つの値が CDR データベースの内の 2 つの異なるフィールドを使用します。

ミートミー会議において最も低いセキュリティ レベル要件を満たさない加入の試みが拒否される場合、CDR データは終了原因コード 58 を示します（現在ベアラー機能を使用できません）。詳細については、『CDR Analysis and Reporting Administration Guide』を参照してください。

セキュアな会議ブリッジ リソースを設定する前に、次の点を考慮してください。

• セキュアな会議メッセージのカスタム テキストを電話に表示するには、ローカリゼーションを使用します。詳細については、Unified Communications Manager のロケール インストーラのマニュアルを参照してください。

• 会議または組み込みブリッジでは、電話会議を保護するために暗号化がサポートされている必要があります。

• セキュアな会議ブリッジ登録を有効にするには、クラスタ セキュリティ モードを混合モードに設定します。

• セキュアな会議ブリッジを確立するために、会議を開始する電話が認証済みまたは暗号化済みであることを確認します。

• 共有回線での会議の整合性を維持するためには、回線を共有するデバイスをさまざまなセキュリティ モードで設定しないでください。たとえば、暗号化済み電話が認証済みまたは非セキュアな電話と回線を共有するようには設定しないでください。

• クラスタ間で会議のセキュリティ ステータスを共有したい場合、ICT として SIP トランクを使用しないでください。

• クラスタ セキュリティ モードを混合モードに設定する場合、DSP ファームで設定されているセキュリティ モード（非セキュアまたは暗号化済み）は [Unified Communications Manager Administration] での会議ブリッジ セキュリティ モードに一致する必要があります。そうでないと、会議ブリッジは登録できません。両方のセキュリティ モードが暗号化済みと指定されていれば、会議ブリッジは暗号化済みとして登録されます。両方のセキュリティ モードが非セキュアと指定されていれば、会議ブリッジは非セキュアとして登録されます。

• クラスタ セキュリティ モードを混合モードに設定した場合で、会議ブリッジに適用したセキュリティ プロファイルが暗号化済み、会議ブリッジのセキュリティ レベルが非セキュアという場合は、Unified Communications Manager は会議ブリッジ登録を拒否します。

• クラスタ セキュリティ モードを非セキュア モードに設定する場合、DSP ファームのセキュリティ モードを非セキュアとして設定します。これにより会議ブリッジを登録できます。Unified Communications Manager Administration の設定が暗号化済みとして指定されていても、会議ブリッジは非セキュアとして登録します。

• 登録時に、会議ブリッジは認証に合格する必要があります。認証に合格するには、DSP ファーム システムに 1 つ以上の Unified Communications Manager の CallManager.pem 証明書が含まれ、Unified Communications Manager の CallManager の信頼性ストアに DSP ファーム システムと DSP 接続の証明書が含まれている必要があります。X.509 サブジェクト属性で指定された共通名は、associate profile <profile-identifier> register <device-name>? コマンドを使用して、Cisco Unified Communications Manager および DSP ファーム システムで定義された会議ブリッジ名から始まる必要があります。サブジェクト代替名属性はサポートされていません。たとえば、証明書サブジェクトの共通名が ?CN=example.cisco.com? の場合、Unified Communications Manager の会議ブリッジ名は ?example? で、DSP ファーム システム コマンドは ?associate profile <profile-identifier> register example である必要があります。同じ DSP ファーム システムに複数のセキュアな会議ブリッジがある場合、それぞれ別々の証明書が必要です。

• 会議ブリッジの証明書が何らかの理由で期限切れまたは変更された場合は、Cisco Unified Communications Operating System Administration の証明書の管理機能を使用して信頼ストアの証明書を更新します。証明書が一致しないと TLS 認証が失敗し、また会議ブリッジが動作しません。これは、会議ブリッジが Unified Communications Manager に登録できないためです。

• セキュアな会議ブリッジは、ポート 2443 で TLS 接続を介して Unified Communications Manager に登録されます。非セキュアな会議ブリッジは、ポート 2000 で TCP 接続を介して Unified Communications Manager に登録されます。

• 会議ブリッジのデバイス セキュリティ モードを変更するには、Unified Communications Manager デバイスのリセットと Cisco CallManager サービスの再起動が必要です。