- はじめに
- Cisco Unity Connection で必要な IP 通信
- Cisco Unity Connection での不正通話の防止
- Cisco Unity Connection、Cisco Unified Communications Manager、および IP 電話の間の接続の保護
- Cisco Unity Connection での管理とサービス アカウントの保護
- Cisco Unity Connection での FIPS 準拠
- Cisco Unity Connection でのパスワード、PIN、および認証規則の管理
- Cisco Unity Connection でのシングル サインオン
- Cisco Unity Connection セキュリティ パスワード
- SSL を使用した Cisco Unity Connection でのクライアント/サーバ接続の保護
- Cisco Unity Connection でのユーザ メッセージの保護
- 索引
Cisco Unity Connection セキュリティ ガイド リリース 10.x
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月4日
章のタイトル: Cisco Unity Connection でのパスワード、PIN、および認証規則の管理
Cisco Unity Connection でのパスワード、PIN、および認証規則の管理
Cisco Unity Connection では、認証規則によって、すべてのユーザ アカウントのユーザ パスワード、PIN、およびアカウント ロックアウトが管理されます。Unity Connection の認証規則を次のように定義することを推奨します。
•
ユーザが PIN とパスワードを頻繁に変更することを必須にする。
• ユーザの PIN およびパスワードには、一意で、簡単に推測できないものを設定することを必須にする。
綿密に考えられた認証規則により、無効な PIN またはパスワードを何回も入力したユーザをロックすることで、Cisco Personal Communications Assistant(Cisco PCA)などの Unity Connection アプリケーションや Cisco Unity Connection Survivable Remote Site Voicemail への不正アクセスを阻止できます。
この章では、上に挙げたタスクの実行や、PIN およびパスワードのセキュリティに関連するその他の問題に関する情報を提供します。Cisco Unity Connection パスワードの管理の範囲を理解するのに役立つように、この章の最初の項では、Cisco Personal Communications Assistant(PCA)、Unity Connection カンバセーション、Cisco Unity Connection の管理、およびその他の管理 Web アプリケーションへのアクセスに必要な、さまざまなパスワードについて説明します。その後の各項では、とるべき対策に関する情報、意思決定に役立つ推奨事項、下した決定の効果に関する情報、およびベスト プラクティスを紹介します。
Unity Connection パスワードを保護する手順および認証規則を定義する手順については、次の各項を参照してください。
「ユーザが Cisco Unity Connection アプリケーションへのアクセスに使用する PIN およびパスワードについて」
• 「Web アプリケーション(Cisco PCA)のパスワード」
• 「Cisco Unity Connection SRSV のパスワードと共有秘密」
PIN とパスワードの割り当て方法、およびそれらを最初にセキュリティで保護する方法について
「Cisco Unified Communications Manager Business Edition(CMBE) または LDAP の認証を使用している場合、ユーザは、ユーザの Cisco Unified CMBE または LDAP アカウント パスワードを使用して Unity Connection Web アプリケーションにアクセスする必要があります。ユーザに対して、Cisco Unity Connection で、一意で安全な PIN およびパスワードを最初に割り当てるようにします。」
「Cisco Unity Connection Web アプリケーション パスワードの変更」
「Cisco Unity Connection 電話機 PIN の変更」
「Cisco Unity Connection でパスワード、PIN、およびロックアウト ポリシーを指定する認証規則の定義」
ユーザが Cisco Unity Connection アプリケーションへのアクセスに使用する PIN およびパスワードについて
Cisco Unity Connection のユーザは、各種の Unity Connection アプリケーションへのアクセスに、異なる PIN およびパスワードを使用します。Unity Connection パスワードの管理の範囲を理解するうえで、各アプリケーションにどのパスワードが必要なのかを知ることが重要です。
電話機の PIN
ユーザは、電話機の PIN を使用して、Cisco Unity Connection カンバセーションに電話機からサインインします。PIN(数値だけで構成)は、電話機のキーパッドを使用して入力するか、音声認識が有効な場合は読み上げます。
Web アプリケーション(Cisco PCA)のパスワード
管理の役割を割り当てられているユーザは、Web アプリケーションのパスワードを使用して次の Unity Connection アプリケーションにサインインすることもあります。
• Cisco Unity Connection Serviceability
• Cisco Unified Serviceability
• Cisco Unity Connection SRSV の管理
(注) Cisco Unified Communications Manager Business Edition(CMBE) または LDAP の認証を使用している場合、ユーザは、ユーザの Cisco Unified CMBE または LDAP アカウント パスワードを使用して Unity Connection Web アプリケーションにアクセスする必要があります。ユーザに対して、Cisco Unity Connection で、一意で安全な PIN およびパスワードを最初に割り当てるようにします。
不正アクセスや不正通話から Cisco Unity Connection を保護するには、すべてのユーザに一意の電話機 PIN および Web アプリケーション(Cisco PCA)パスワードを割り当てる必要があります。
ユーザを Unity Connection に追加する際には、そのユーザ アカウントの作成に使用したテンプレートによって、電話機 PIN と Web アプリケーション パスワードが決まります。デフォルトでは、ユーザ テンプレートには、ランダムに生成された文字列が電話機 PIN および Web パスワードとして割り当てられます。1 つのテンプレートから作成されたすべてのユーザに、同じ PIN およびパスワードが割り当てられます。
次のオプションを検討して、アカウントの作成時、またはその直後に、各ユーザに一意で安全な PIN およびパスワードが確実に割り当てられるようにしてください。
• 少数のユーザ アカウントを作成する場合、または Cisco Unity Connection の管理 を使用してアカウントを作成した後は、[ユーザ(Users)] > [ユーザ(Users)] > [パスワードの変更(Change Password)] ページで各ユーザの電話機 PIN と Web パスワードを変更します。または、ユーザに対し、できるだけ速やかにサインインして自分の PIN とパスワードを変更するように指示します(この場合は、アカウントの作成に使用したテンプレートの [パスワードの編集(Edit Password)] ページにある [ユーザは次回サインイン時に変更する必要あり(User Must Change at Next Sign-In)] チェックボックスをオンにしてください)。
• 複数のユーザ アカウントを作成する場合は、アカウント作成後、Bulk Password Edit ツールを使用して Unity Connection の各エンド ユーザ アカウント(メールボックスを持つユーザ)に一意のパスワードと PIN を割り当てます。Bulk Password Edit ツールは、CSV ファイルとともに使用します。CSV ファイルには、複数のパスワードおよび PIN を一括して適用するための、パスワードおよび PIN 用の一意の文字列が含まれています。
Bulk Password Edit ツールは、Windows ベースのツールです。 http://www.ciscounitytools.com/Applications/CxN/BulkPasswordEdit/BulkPasswordEdit.html からツールをダウンロードし、トレーニング ビデオとヘルプを参照してください。
Cisco Unity Connection SRSV のパスワードと共有秘密
中央 Unity Connection サーバから Unity Connection SRSV サーバに対するすべての要求は通信に Unity Connection SRSV 管理者クレデンシャルを使用しますが、Unity Connection SRSV から Unity Connection への要求は、認証に秘密トークンを使用します。
中央 Unity Connection サーバは、Unity Connection SRSV の管理者ユーザ名とパスワードを使用してサーバへのアクセスを認証します。Unity Connection SRSV の管理者ユーザ名とパスワードは、中央 Unity Connection サーバに新しいブランチを作成するときに、Connection データベースに格納されます。
Unity Connection SRSV を使用するプロビジョニング サイクルごとに、中央 Unity Connection サーバは秘密トークンを生成し、Unity Connection SRSV と共有します。Unity Connection SRSV サイトからプロビジョニングが完了した後、中央 Unity Connection サーバに同じトークンを使用して通知します。その後、プロビジョニング サイクルの完了後すぐ、このトークンは中央 Unity Connection と Unity Connection SRSV サーバの両方から削除されます。ランタイム トークン キーの概念は、共有秘密として知られています。
Unity Connection の SRSV 詳細については、 『Complete Reference Guide for Cisco Unity Connection Survivable Remote Site Voicemail (SRSV)』 (リリース 10.x)を参照してください。このドキュメントは、 http://www.cisco.com/en/US/docs/voice_ip_comm/connection/10x/srsv/guide/10xcucsrsvx.html から入手可能です。
Cisco Unity Connection Web アプリケーション パスワードの変更
個々のユーザの Web アプリケーション(Cisco PCA)パスワードは、Cisco Unity Connection の管理 の [ユーザ(Users)] > [ユーザ(Users)] > [パスワードの変更(Change Password)] ページでいつでも変更できます。
パスワードの有効期限が切れると、ユーザおよび管理者は、Cisco PCA や Connection の管理 に次にサインインするときに新しいパスワードを入力する必要があります。
ユーザは、自分の Cisco PCA パスワードを Unity Connection Messaging Assistant で変更することもできます。
複数のエンド ユーザ アカウント(メールボックスを持つユーザ)のパスワードを変更する場合は、Bulk Password Edit ツールを使用して、一意の新しいパスワードを各アカウントに割り当てることができます。Bulk Password Edit ツールは、CSV ファイルとともに使用します。CSV ファイルには、複数のパスワードを一括して適用するための、パスワード用の一意の文字列が含まれています。Bulk Password Edit ツールは、Windows ベースのツールです。 http://www.ciscounitytools.com/Applications/CxN/BulkPasswordEdit/BulkPasswordEdit.html からツールをダウンロードし、ヘルプを参照してください。また、Cisco Unity Connection 一括管理ツール(BAT)を使用して複数のユーザ パスワードを一度に変更することもできます。
IMAP クライアントのボイス メッセージにアクセスできるユーザの場合は、Cisco PCA パスワードを Messaging Assistant で変更するたびに、IMAP クライアント内のパスワードも更新する必要があることを認識する必要があります。パスワードは、IMAP クライアントと Cisco PCA の間で同期されません。
8 文字以上の長さの、単純でないパスワードを指定します。同じ方法に従ってパスワードを変更するようにユーザに奨励するか、それを必須とする認証規則をユーザに割り当てます。Cisco PCA パスワードは、6 か月ごとに変更する必要があります。
Cisco Unity Connection 電話機 PIN の変更
個々のユーザの電話機 PIN は、Cisco Unity Connection の管理 の [ユーザ(Users)] > [ユーザ(Users)] > [パスワードの変更(Change Password)] ページでいつでも変更できます。
ユーザは、Unity Connection の電話通話または Unity Connection Messaging Assistant を使用して、電話機 PIN を変更できます。
複数のエンド ユーザ アカウント(メールボックスを持つユーザ)の PIN を変更する場合は、Bulk Password Edit ツールを使用して、一意の新しい PIN を各アカウントに割り当てることができます。Bulk Password Edit ツールは、CSV ファイルとともに使用します。CSV ファイルには、複数の PIN を一括して適用するための、PIN 用の一意の文字列が含まれています。Bulk Password Edit ツールは、Windows ベースのツールです。 http://www.ciscounitytools.com/Applications/CxN/BulkPasswordEdit/BulkPasswordEdit.html からツールをダウンロードし、トレーニング ビデオとヘルプを参照してください。また、Cisco Unity Connection 一括管理ツール(BAT)を使用して複数のユーザ PIN を一度に変更することもできます。
PIN の有効期限が切れると、ユーザは、Unity Connection のカンバセーションに次にサインインするときに新しい PIN を入力する必要があります。
ユーザは Messaging Assistant を使用して電話機 PIN を変更できるため、適切な手段を講じてアプリケーション(Cisco PCA)のパスワードの安全も維持することによって、PIN のセキュリティを確保できます。
ユーザは、電話機 PIN と Cisco PCA パスワードが同期されないことを理解する必要があります。初回の登録時に、電話機の初期 PIN を変更するように求められますが、そのときには Cisco PCA の Web サイトへのサインインに使用するパスワードを変更できません。
各ユーザに、6 桁以上で単純でない、一意の PIN が割り当てられる必要があります。同じ方法に従うようにユーザに奨励するか、それを必須とする認証規則をユーザに割り当てます。
Cisco Unity Connection でパスワード、PIN、およびロックアウト ポリシーを指定する認証規則の定義
(注) Cisco Unity Connection の認証規則は、Cisco Unified Communications Manager Business Edition(CMBE) でのユーザ パスワードの管理や、LDAP 認証が有効になっているときには適用されません。これらの場合、認証は Unity Connection では処理されないためです。
認証規則を使用して、ユーザが電話で Unity Connection にアクセスするときに Cisco Unity Connection によって適用されるサインイン、パスワード、およびロックアウト ポリシーをカスタマイズします。また、ユーザが Cisco Unity Connection の管理、Cisco PCA、およびその他のアプリケーション(IMAP クライアントなど)にアクセスする方法もカスタマイズします。
Connection の管理 の [認証規則の編集(Edit Authentication Rule)] ページで指定する設定によって、次の値が決まります。
• アカウントがロックされるまでに許容される、Unity Connection 電話インターフェイス、Cisco PCA、または Connection の管理 へのサインイン試行回数。
• ロックされたアカウントを管理者が手作業でロック解除する必要があるかどうか。
• パスワードまたは PIN の有効期限が切れるまでの日数。
セキュリティを強化するため、認証規則を定義する際には、次のベスト プラクティスに従うよう推奨します。
• ユーザが少なくとも 6 か月に 1 回 Unity Connection のパスワードと PIN を変更することを必須とする。
• Web アプリケーションのパスワードは 8 文字以上の単純でないパスワードにすることを必須とする。
• ボイスメール PIN は 6 文字以上の単純でない PIN にすることを必須とする。
セキュリティをさらに強化するには、PIN やパスワードを簡単に推測できないものにし、また、長期間使用しないようにする認証規則を設定します。それと同時に、複雑すぎる PIN やパスワードを設定するようにしたり、PIN やパスワードをあまりに頻繁に変更するようにしたりすると、ユーザが PIN やパスワードを書き留めなくてはならなくなるので、そのような規則は避けます。
また、次の各フィールドで認証規則を指定する際には、次のガイドラインに従ってください。
• サインイン試行回数(Failed Sign-In __ Attempts)
• サインイン試行回数をリセットする間隔(Reset Failed Sign-In Attempts Every __ Minutes)
• クレデンシャルの有効期限(Credential Expires After __ Days)
• 最小クレデンシャル長(Minimum Credential Length)
• 以前のクレデンシャルの保存数(Stored Number of Previous Credentials)
• 単純すぎるパスワードの確認(Check For Trivial Passwords)
サインイン試行回数(Failed Sign-In __ Attempts)
このフィールドでは、ユーザが間違った PIN またはパスワードを繰り返し入力した場合に、Unity Connection がどのように処理するかを指定します。サインインの試みが 3 回失敗した場合にユーザ アカウントをロックするように設定することを推奨します。
サインイン試行回数をリセットする間隔(Reset Failed Sign-In Attempts Every __ Minutes)
このフィールドでは、サインインの試みが失敗した回数を Unity Connection がクリアするまでの分数を指定します(サインイン失敗回数の制限をすでに超えて、アカウントがロックされている場合を除く)。30 分超過してから、サインインの試みが失敗した回数をクリアするように設定することを推奨します。
このフィールドでは、ロックアウトされたユーザが再度サインインを試みるまで待機する時間を指定します。
セキュリティをさらに強固にするには、[管理者によるロック解除が必要(Administrator Must Unlock)] チェックボックスをオンにします。そうすることで、ユーザは、管理者が該当する [ユーザ(User)] > [パスワードの設定(Password Settings)] ページでそのユーザのロックを解除するまで、アカウントにアクセスできなくなります。[管理者によるロック解除が必要(Administrator Must Unlock)] チェックボックスは、管理者がすぐに対応できる場合、またはシステムが不正アクセス/不正通話されやすい場合にだけ、オンにしてください。
クレデンシャルの有効期限(Credential Expires After __ Days)
[無期限(Never Expires)] オプションは有効にしないことを推奨します。その代わりに、このフィールドを 0 より大きい値に設定し、ユーザが X 日(X は、[クレデンシャルの有効期限(Credential Expires After)] フィールドで指定した値)ごとにパスワードの変更を求められるようにします。
Web パスワードは 120 日後に、電話機 PIN は 180 日後に期限切れになるように設定することを推奨します。
最小クレデンシャル長(Minimum Credential Length)
Web アプリケーションのパスワードに適用される認証規則については、ユーザが 8 文字以上のパスワードを使用することを必須にするよう、推奨します。
電話機 PIN に適用される認証規則については、ユーザが 6 桁以上の PIN を使用することを必須にするよう、推奨します。
最小クレデンシャル長を変更すると、ユーザは、ユーザの PIN およびパスワードを次回変更するときに、最小クレデンシャル長の新しい値を使用する必要があります。
以前のクレデンシャルの保存数(Stored Number of Previous Credentials)
このフィールドに値を指定することを推奨します。そうすることによって、Unity Connection が各ユーザの以前のパスワードまたは PIN を、指定した数だけ保存して、パスワードの一意性を強制できるようになります。ユーザがパスワードと PIN を変更すると、Unity Connection で、新しいパスワードまたは PIN が、資格履歴に保存されているパスワードまたは PIN と比較されます。Unity Connection では、履歴に保存されているパスワードまたは PIN と一致するパスワードまたは PIN が拒否されます。
デフォルトでは、Unity Connection の資格履歴に 5 つのパスワードまたは PIN が保存されます。
単純すぎるパスワードの確認(Check For Trivial Passwords)
ユーザが単純すぎない PIN およびパスワードを使用するように、このフィールドを有効にすることを推奨します。
• PIN が、ユーザの姓または名を数値で表したものと一致しない。
• PIN に、ユーザのプライマリ内線番号や代行内線番号が含まれていない。
• PIN に、ユーザのプライマリ内線番号や代行内線番号を逆順で示す数値が含まれていない。
• PIN に、数値の組み合わせが繰り返されたもの(408408、123123 など)が含まれていない。
• PIN に含まれているのが 2 つの数値のみ(121212 など)ではない。
• 値が 3 回以上連続して使用(28883 など)されていない。
• PIN は、昇順または降順の連続する数値(012345、987654 など)ではない。
• 指定されている最小クレデンシャル長と一致する数値グループの場合、キーパッド上で 1 列に並んだ数値グループが含まれていない(たとえば、3 桁の長さが指定されている場合、123、456、または 789 を PIN として使用することはできない)。
単純すぎない Web アプリケーション パスワードには、次の特性があります。
• パスワードに、大文字、小文字、数値、および記号のうち、少なくとも 3 つの文字が含まれている。
• パスワードに、ユーザのエイリアス、または逆順にしたユーザのエイリアスが含まれていない。
• パスワードに、プライマリ内線番号や代行内線番号が含まれていない。
Cisco Unity Connection SRSV ユーザ PIN の変更
Unity Connection SRSV ユーザ PIN を変更する場合、Cisco Unity Connection の管理インターフェイスを介して実行できます。選択したユーザの PIN を変更した後、Unity Connection SRSV データベースのユーザ情報を更新するよう、関連するブランチをプロビジョニングする必要があります。
(注) Cisco Unity Connection SRSV の管理インターフェイスを介して SRSV ユーザの PIN を変更することはできません。
フィードバック