イメージ認証(Image authentication)
|
ファームウェア イメージが電話機にロードされる前に、署名付きバイナリ ファイル(拡張子 .sbn)を使用して、ファームウェア イメージに対する改ざんを防止します。 イメージが改ざんされると、電話機は認証プロセスに失敗し、新しいイメージを拒否します。
|
カスタマーサイト証明書のインストール(Customer-site certificate installation)
|
各 Cisco IP 電話は、デバイス認証に一意の証明書を必要とします。 電話機には製造元でインストールされる証明書(MIC)が含まれますが、追加のセキュリティについては、Cisco Unified Communications Manager
の管理ページで、認証局プロキシ関数(CAPF)を使用して証明書をインストールするように指定できます。 あるいは、電話機の [セキュリティ設定(Security Configuration)] メニューからローカルで有効な証明書(LSC)をインストールします。
|
[デバイス認証(Device authentication)]
|
Cisco Unified Communications Manager サーバと電話機間で、一方のエンティティが他方のエンティティの証明書を受け入れるときに行われます。 電話機と Cisco Unified Communications Manager
の間でセキュアな接続を確立するかどうかを判別し、必要に応じて TLS プロトコルを使用してエンティティ間にセキュアなシグナリング パスを作成します。 Cisco Unified Communications Manager で電話機を認証できない限り、Cisco
Unified Communications Manager ではそれらの電話機は登録されません。
|
ファイル認証(File authentication)
|
電話機がダウンロードするデジタル署名ファイルを検証します。 ファイルの作成後にファイルの改ざんが発生していないことを確認するため、電話で署名が検証されます。 認証できないファイルは、電話機のフラッシュ メモリに書き込まれません。 電話機はこのようなファイルを拒否し、処理を続行しません。
|
シグナリング認証(Signaling Authentication)
|
TLS プロトコルを使用して、シグナリング パケットが転送中に改ざんされていないことを検証します。
|
Manufacturing Installed Certificate(製造元でインストールされる証明書)
|
各 Cisco IP 電話には、固有の製造元でインストールされる証明書(MIC)が内蔵されており、デバイス認証に使用されます。 MIC は、電話機に固有の永続的な ID 証明であり、Cisco Unified Communications Manager
ではそれを利用して電話機を認証します。
|
セキュアな SRST リファレンス(Secure SRST reference)
|
セキュリティ目的で SRST リファレンスを設定してから、Cisco Unified Communications Manager の管理ページで従属デバイスをリセットすると、TFTP サーバは電話機の cnf.xml ファイルに SRST 証明書を追加し、そのファイルを電話機に送信します。
その後、セキュアな電話機は TLS 接続を使用して、SRST 対応ルータと相互に対話します。
|
メディア暗号化
|
SRTP を使用して、サポートされるデバイス間のメディア ストリームがセキュアであることを証明し、意図したデバイスのみがデータを受け取り、読み取れるようにします。 デバイスのメディアプライマリキーペアの作成、デバイスへのキーの配布、キーが転送される間のキーの配布のセキュリティの確保などが含まれます。
|
CAPF(Certificate Authority Proxy Function)
|
電話機に非常に高い処理負荷がかかる、証明書生成手順の一部を実装します。また、キーの生成および証明書のインストールのために電話機と対話します。 電話機の代わりに、お客様指定の認証局に証明書を要求するよう CAPF を設定できます。または、ローカルで証明書を生成するように
CAPF を設定することもできます。
|
セキュリティ プロファイル(Security profiles)
|
電話機がセキュリティ保護または暗号化の対象になるかどうかを定義します。
|
暗号化された設定ファイル(Encrypted configuration files)
|
電話機の設定ファイルのプライバシーを確保できるようにします。
|
電話機の Web サーバ機能の無効化(オプション)
|
電話機の多様な操作統計情報を表示する Web ページへのアクセスを禁止できます。
|
電話のセキュリティ強化(Phone hardening)
|
Cisco Unified Communications Manager の管理ページから制御する追加セキュリティ オプションです。
- PC ポートの無効化
- PC ボイス VLAN の無効化
- 電話機の Web ページへのアクセスを無効にする
(注)
|
[PC ポートを無効にする(PC Port Disabled)]、[GARP を使う(GARP Enabled)]、および [ボイス VLAN を使う(Voice VLAN enabled)] の現在の設定値を表示するには、電話機の [設定(Configuration)]
メニューを確認できます。
|
|
802.1X 認証
|
Cisco IP 電話は 802.1X 認証を使用して、ネットワークへのアクセスの要求およびネットワーク アクセスができます。
|
AES 256 暗号化(AES 256 Encryption)
|
Cisco Unified Communications Manager リリース 10.5(2)以降の 以降に接続している電話機は、シグナリングとメディア暗号化に関する TLS および SIP の AES 256 暗号化をサポートします。 これにより電話機は、SHA-2(Secure
Hash Algorithm)標準および Federal Information Processing Standard(FIPS)に準拠する AES-256 ベースの暗号を使用して TLS 1.2 接続を開始し、サポートすることができます。
新しい暗号は次のとおりです。
- TLS 接続用:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- sRTP 用:
- AEAD_AES_256_GCM
- AEAD_AES_128_GCM
詳細については、Cisco Unified Communications Manager のマニュアルを参照してください。
|
楕円曲線デジタル署名アルゴリズム(ECDSA)証明書
|
コモン クライテリア(共通基準、CC)認証の一部として、バージョン 11.0 の ECDSA 証明書が Cisco Unified Communications Manager によって追加されました。 これはバージョン CUCM 11.5 およびそれ以降からのすべての
Voice Operating System(VOS)製品に影響を与えます。
|