- このマニュアルについて
- セキュリティの概要
- HTTP over SSL(HTTPS)の使用方法
- Cisco CTL クライアントの設定
- 電話機のセキュリティの概要
- 電話機セキュリティ プロファイルの 設定
- Certificate Authority Proxy Function の使用方法
- 暗号化された電話機設定ファイルの 設定
- SIP 電話機のダイジェスト認証の設定
- 電話機のセキュリティ強化
- セキュアな会議リソースの設定
- ボイスメール ポートのセキュリティ 設定
- CTI、JTAPI、および TAPI の認証 および暗号化の設定
- Survivable Remote Site Telephony (SRST)リファレンスのセキュリティ 設定
- ゲートウェイおよびトランクの暗号化 の設定
- SIP トランク セキュリティ プロファイ ルの設定
- SIP トランクのダイジェスト認証の 設定
- 索引
Cisco Unified Communications Manager セキュリティ ガイド for Cisco Unified Communications Manager Business Edition Release 6.0(1)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月28日
章のタイトル: 電話機セキュリティ プロファイルの 設定
電話機セキュリティ プロファイルの設定
•
「電話機セキュリティ プロファイルを使用している電話機の検索」
• 「その他の情報」
電話機セキュリティ プロファイルの概要
Cisco Unified Communications Manager の管理ページでは、電話機タイプおよびプロトコルに対するセキュリティ関連の設定がセキュリティ プロファイルとしてまとめられ、1 つのセキュリティ プロファイルを複数の電話機に割り当てることができます。セキュリティ関連の設定には、デバイス セキュリティ モード、ダイジェスト認証、一部の CAPF 設定などがあります。[電話の設定(Phone Configuration)]ウィンドウでセキュリティ プロファイルを選択することで、構成済み設定を電話機に適用します。
Cisco Unified Communications Manager をインストールすると、自動登録用の事前定義済み非セキュア セキュリティ プロファイルのセットが提供されます。電話機でセキュリティ機能を有効にするには、そのデバイス タイプおよびプロトコルの新しいセキュリティ プロファイルを設定し、電話機に適用する必要があります。
選択したデバイスおよびプロトコルがサポートするセキュリティ機能だけが、セキュリティ プロファイル設定ウィンドウに表示されます。
電話機セキュリティ プロファイルの設定のヒント
Cisco Unified Communications Manager の管理ページで電話機セキュリティ プロファイルを設定する場合は、次の点を考慮してください。
• 電話機を設定する場合は、[電話の設定(Phone Configuration)]ウィンドウでセキュリティ プロファイルを選択する必要があります。デバイスがセキュリティをサポートしていない場合は、非セキュア プロファイルを適用します。
• 事前定義済みの非セキュア プロファイルは、削除することも変更することもできません。
• 現在デバイスに割り当てられているセキュリティ プロファイルを削除することはできません。
• すでに電話機に割り当てられているセキュリティ プロファイルの設定を変更すると、再構成した設定が、そのプロファイルを割り当てられているすべての電話機に適用されます。
• デバイスに割り当てられているセキュリティ ファイルの名前を変更できます。古いプロファイル名および設定を割り当てられている電話機は、新しいプロファイル名および設定を受け入れます。
• 電話機セキュリティ プロファイルの CAPF 設定(認証モードおよび鍵サイズ)は、[電話の設定(Phone Configuration)]ウィンドウにも表示されます。Manufacture-Installed Certificate(MIC; 製造元でインストールされる証明書)または Locally Significant Certificate(LSC; ローカルで有効な証明書)に関連する証明書操作の CAPF 設定を定義する必要があります。[電話の設定(Phone Configuration)]ウィンドウで、これらのフィールドを直接更新できます。
–セキュリティ プロファイルで CAPF 設定を更新すると、[電話の設定(Phone Configuration)]ウィンドウで設定が更新されます。
–[電話の設定(Phone Configuration)]ウィンドウで CAPF 設定を更新し、一致するプロファイルが見つかった場合、Cisco Unified Communications Manager は一致するプロファイルを電話機に適用します。
–[電話の設定(Phone Configuration)]ウィンドウで CAPF 設定を更新し、一致するプロファイルが見つからなかった場合、Cisco Unified Communications Manager は新しいプロファイルを作成して電話機に適用します。
• Manufacturer-Installed Certificate(MIC; 製造元でインストールされる証明書)は、LSC のインストールでのみ使用することをお勧めします。シスコでは、Cisco Unified Communications Manager との TLS 接続の認証用に LSC をサポートしています。MIC ルート証明書は侵害される可能性があるため、TLS 認証用またはその他の目的のために MIC を使用するように電話機を設定するお客様は、ご自身の責任で行ってください。MIC が侵害されてもシスコは責任を負いかねます。
電話機セキュリティ プロファイルの検索
電話機セキュリティ プロファイルを検索するには、次の手順を実行します。
ステップ 1 [システム]>[セキュリティプロファイル] > [電話セキュリティプロファイル] の順に選択します。
[電話セキュリティプロファイルの検索と一覧表示(Find and List Phone Security Profile)]ウィンドウが表示されます。アクティブな(前の)クエリーのレコードもウィンドウに表示される場合があります。
ステップ 2 データベースのすべてのレコードを検索するには、ダイアログボックスが空であることを確認して、ステップ 3 に進みます。
• 最初のドロップダウン リスト ボックスから、検索パラメータを選択します。
• 2 番目のドロップダウン リスト ボックスから、検索パターンを選択します。
(注) 検索条件を追加するには、[+] ボタンをクリックします。条件を追加すると、指定したすべての条件に一致するレコードが検索されます。条件を削除するには、[-] ボタンをクリックして最後に追加した条件を削除するか、[フィルタのクリア]ボタンをクリックして追加したすべての検索条件を削除します。
一致するすべてのレコードが表示されます。[ページあたりの行数]ドロップダウン リスト ボックスから異なる値を選択すると各ページに表示される項目数を変更できます。
ステップ 4 表示するレコードのリストから、表示するレコードのリンクをクリックします。
(注) リストの見出しに上向きまたは下向きの矢印がある場合は、その矢印をクリックして、ソート順序を逆にします。
詳細については、「関連項目」を参照してください。
電話機セキュリティ プロファイルの設定
セキュリティ プロファイルを追加、更新、またはコピーするには、次の手順を実行します。
ステップ 1 [システム]>[セキュリティプロファイル] >[電話セキュリティプロファイル] の順に選択します。
• 新しいプロファイルを追加するには、 [新規追加] ボタンをクリックするか、検索ウィンドウの [新規追加] アイコンをクリックし、ステップ 3 に進みます。
• 既存のセキュリティ プロファイルをコピーするには、「電話機セキュリティ プロファイルの検索」の説明に従い、適切なプロファイルを見つけて、コピーするセキュリティ プロファイルの横に表示されている [コピー(Copy)] ボタンをクリックし、ステップ 3 に進みます。
• 既存のプロファイルを更新するには、「電話機セキュリティ プロファイルの検索」の説明に従い、適切なセキュリティ プロファイルを見つけて、ステップ 3 に進みます。
[新規追加] をクリックすると、各フィールドのデフォルト設定を示した設定ウィンドウが表示されます。 [コピー] をクリックすると、設定をコピーした設定ウィンドウが表示されます。
ステップ 3 SCCP 電話機の場合は 表5-1 、SIP 電話機の場合は表5-2 の説明に従い、適切な設定を入力します。
ステップ 4 [保存] ボタンまたは [保存] アイコンをクリックします。
セキュリティ プロファイルを作成した後、「電話機セキュリティ プロファイルの適用」の説明に従い、電話機に適用します。
SIP 電話機の電話機セキュリティ プロファイルでダイジェスト認証を設定した場合は、[エンドユーザの設定(End User Configuration)]ウィンドウでダイジェスト クレデンシャルを設定する必要があります。その後、[電話の設定(Phone Configuration)]ウィンドウの[ダイジェストユーザ(Digest User)]設定を使用して、ユーザを電話機に関連付ける必要があります。
詳細については、「関連項目」を参照してください。
電話機セキュリティ プロファイルの設定内容
表5-1 で、SCCP 電話機セキュリティ プロファイルの設定について説明します。
表5-2 で、SIP 電話機セキュリティ プロファイルの設定について説明します。
選択した電話機タイプおよびプロトコルがサポートしている設定だけが表示されます。
• 設定のヒントについては、「電話機セキュリティ プロファイルの設定のヒント」を参照してください。
• 関連する情報および手順については、「関連項目」を参照してください。
|
|
|
|---|---|
| 新しいプロファイルを保存すると、該当する電話機タイプおよびプロトコルの[電話の設定(Phone Configuration)]ウィンドウにある[デバイスセキュリティプロファイル(Device Security Profile)]ドロップダウン リスト ボックスにその名前が表示されます。
|
|
ドロップダウン リスト ボックスから、次のオプションのいずれかを選択します。 • • • |
|
このチェックボックスがオンの場合、Cisco Unified Communications Manager は電話機が TFTP サーバからダウンロードする設定ファイルを暗号化します。詳細については、「設定ファイルの暗号化」および 「暗号化された電話機設定ファイルの設定」を参照してください。 |
|
このフィールドでは、電話機が CAPF 証明書操作中に使用する認証方式を選択できます。 ドロップダウン リスト ボックスから、次のオプションのいずれかを選択します。 • • このオプションではセキュリティを一切提供しません。したがって、このオプションは安全な閉じた環境の場合にだけ選択することを強く推奨します。 • このオプションを選択する前に、証明書が電話機に存在することを確認します。このオプションを選択した場合に証明書が電話機に存在しないと、操作は失敗します。 MIC と LSC は電話機で同時に存在できるものの、電話機は常に 1 つの証明書だけを使用して CAPF を認証します。優先されるプライマリ証明書が何らかの理由で侵害された場合、あるいは他の証明書を介して認証する場合には、認証モードを更新する必要があります。 • このオプションを選択する前に、証明書が電話機に存在することを確認します。このオプションを選択した場合に証明書が電話機に存在しないと、操作は失敗します。
(注) [電話セキュリティプロファイルの設定(Phone Security Profile Configuration)]ウィンドウで設定される CAPF 設定は、[電話の設定(Phone Configuration)]ウィンドウで設定される CAPF パラメータと相互に関係があります(詳細については、「電話機セキュリティ プロファイルの設定のヒント」を参照してください)。[電話の設定(Phone Configuration)]ウィンドウで CAPF 設定を定義する方法については、『Cisco Unified Communications Manager アドミニストレーション ガイド』を参照してください。 |
|
CAPF で使用されるこの設定では、ドロップダウン リスト ボックスから証明書の鍵サイズを選択します。デフォルト設定値は 1024 です。これ以外のオプションには、512 と 2048 があります。 デフォルト設定値よりも大きな鍵サイズを選択すると、電話機で鍵生成に必要なエントロピーを生成するためにさらに時間がかかります。鍵生成を低いプライオリティで設定すると、アクションの実行中も電話機の機能を利用できます。電話機モデルによっては、鍵生成の完了に 30 分以上かかることがあります。
(注) [電話セキュリティプロファイルの設定(Phone Security Profile Configuration)]ウィンドウで設定される CAPF 設定は、[電話の設定(Phone Configuration)]ウィンドウで設定される CAPF パラメータと相互に関係があります(詳細については、「電話機セキュリティ プロファイルの設定のヒント」を参照してください)。[電話の設定(Phone Configuration)]ウィンドウで CAPF 設定を定義する方法については、『Cisco Unified Communications Manager アドミニストレーション ガイド』を参照してください。 |
|
|
|
|---|---|
| 新しいプロファイルを保存すると、該当する電話機タイプおよびプロトコルの[電話の設定(Phone Configuration)]ウィンドウにある[デバイスセキュリティプロファイル(Device Security Profile)]ドロップダウン リスト ボックスにその名前が表示されます。
|
|
ナンス値が有効な時間を秒単位で入力します。デフォルト値は 600(10 分)です。この時間が経過すると、Cisco Unified Communications Manager は新しい値を生成します。
(注) ナンス値は、ダイジェスト認証をサポートするランダム値で、ダイジェスト認証パスワードの MD5 ハッシュの計算に使用されます。 |
|
ドロップダウン リスト ボックスから、次のオプションのいずれかを選択します。 • • • |
|
[デバイスセキュリティモード(Device Security Mode)]が[非セキュア]である場合は、ドロップダウン リスト ボックスから次のオプションのいずれかを選択します(表示されないオプションもあります)。 • • • [デバイスセキュリティモード(Device Security Mode)]が[認証のみ]または[暗号化]である場合、TLS が転送タイプとなります。TLS は、SIP 電話機のシグナリング整合性、デバイス認証、およびシグナリング暗号化(暗号化モードのみ)を提供します。 |
|
このチェックボックスをオンにすると、Cisco Unified Communications Manager は、電話機からのすべての SIP 要求でチャレンジを行います。 ダイジェスト認証は、デバイス認証、整合性、および信頼性を提供しません。これらの機能を使用するには、セキュリティ モード[認証のみ]または[暗号化]を選択します。
(注) ダイジェスト認証の詳細については、「ダイジェスト認証」および 「SIP 電話機のダイジェスト認証の設定」を参照してください。 |
|
このチェックボックスがオンの場合、Cisco Unified Communications Manager は電話機が TFTP サーバからダウンロードする設定ファイルを暗号化します。このオプションは、シスコ製電話機専用です。
詳細については、「設定ファイルの暗号化」および 「暗号化された電話機設定ファイルの設定」を参照してください。 |
|
[設定ファイル内のダイジェスト信用証明書を除外(Exclude Digest Credentials in Configuration File)] |
このチェックボックスがオンの場合、Cisco Unified Communications Manager は電話機が TFTP サーバからダウンロードする設定ファイル内のダイジェスト クレデンシャルを削除します。このオプションは、Cisco Unified IP SIP Phone 7905、7912、7940、および 7960 モデル専用です。 詳細については、「設定ファイルの暗号化」および 「暗号化された電話機設定ファイルの設定」を参照してください。 |
このフィールドでは、電話機が CAPF 証明書操作中に使用する認証方式を選択できます。このオプションは、シスコ製電話機専用です。 ドロップダウン リスト ボックスから、次のオプションのいずれかを選択します。 • • このオプションではセキュリティを一切提供しません。したがって、このオプションは安全な閉じた環境の場合にだけ選択することを強く推奨します。 • このオプションを選択する前に、証明書が電話機に存在することを確認します。このオプションを選択した場合に証明書が電話機に存在しないと、操作は失敗します。 MIC と LSC は電話機で同時に存在できるものの、電話機は常に 1 つの証明書だけを使用して CAPF を認証します。優先されるプライマリ証明書が何らかの理由で侵害された場合、あるいは他の証明書を介して認証する場合には、認証モードを更新する必要があります。 • このオプションを選択する前に、証明書が電話機に存在することを確認します。このオプションを選択した場合に証明書が電話機に存在しないと、操作は失敗します。
(注) [電話セキュリティプロファイルの設定(Phone Security Profile Configuration)]ウィンドウで設定される CAPF 設定は、[電話の設定(Phone Configuration)]ウィンドウで設定される CAPF パラメータと相互に関係があります(詳細については、この章の 「電話機セキュリティ プロファイルの設定のヒント」を参照してください)。[電話の設定(Phone Configuration)]ウィンドウで CAPF 設定を定義する方法については、『Cisco Unified Communications Manager アドミニストレーション ガイド』を参照してください。 |
|
CAPF で使用されるこの設定では、ドロップダウン リスト ボックスから証明書の鍵サイズを選択します。デフォルト設定値は 1024 です。これ以外のオプションには、512 と 2048 があります。 デフォルト設定値よりも大きな鍵サイズを選択すると、電話機で鍵生成に必要なエントロピーを生成するためにさらに時間がかかります。鍵生成を低いプライオリティで設定すると、アクションの実行中も電話機の機能を利用できます。電話機モデルによっては、鍵生成の完了に 30 分以上かかることがあります。
(注) [電話セキュリティプロファイルの設定(Phone Security Profile Configuration)]ウィンドウで設定される CAPF 設定は、[電話の設定(Phone Configuration)]ウィンドウで設定される CAPF パラメータと相互に関係があります(詳細については、この章の 「電話機セキュリティ プロファイルの設定のヒント」を参照してください)。[電話の設定(Phone Configuration)]ウィンドウで CAPF 設定を定義する方法については、『Cisco Unified Communications Manager アドミニストレーション ガイド』を参照してください。 |
|
この設定は、UDP 転送を使用する SIP 電話機に適用されます。 UDP を使用する Cisco Unified SIP IP Phone が、Cisco Unified Communications Manager からの SIP メッセージの傍受に使用するポート番号を入力します。デフォルト設定は 5060 です。 |
電話機セキュリティ プロファイルの適用
[電話の設定(Phone Configuration)]ウィンドウで、電話機セキュリティ プロファイルを電話機に適用します。
電話機の認証に証明書を使用するセキュリティ プロファイルを適用する前に、電話機にローカルで有効な証明書(LSC)または製造元でインストールされる証明書(MIC)が含まれていることを確認します。
電話機に証明書が含まれていない場合は、次の手順を実行します。
1. [電話の設定(Phone Configuration)]ウィンドウで、非セキュア プロファイルを適用します。
2. [電話の設定(Phone Configuration)]ウィンドウで、CAPF 設定で設定された証明書をインストールします。この作業の実行の詳細については、「Certificate Authority Proxy Function の使用方法」を参照してください。
3. [電話の設定(Phone Configuration)]ウィンドウで、認証または暗号化用に設定したデバイス セキュリティ プロファイルを適用します。
デバイスに電話機セキュリティ プロファイルを適用するには、次の手順を実行します。
ステップ 1 『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の説明に従って、電話機を検索します。
ステップ 2 [電話の設定(Phone Configuration)]ウィンドウが表示されたら、[デバイスセキュリティプロファイル(Device Security Profile)]を見つけます。
ステップ 3 [デバイスセキュリティプロファイル(Device Security Profile)]ドロップダウン リスト ボックスから、デバイスに適用するセキュリティ プロファイルを選択します。該当する電話機タイプおよびプロトコル用に設定されている電話機セキュリティ プロファイルだけが表示されます。
ステップ 5 [リセット] をクリックして、電話機をリセットします。
SIP 電話機にダイジェスト認証を設定した場合は、[エンドユーザの設定(End User Configuration)]ウィンドウで、ダイジェスト クレデンシャルを設定する必要があります。次に、[電話の設定(Phone Configuration)]ウィンドウで、[ダイジェストユーザ(Digest User)]設定を定義する必要があります。ダイジェスト ユーザおよびダイジェスト クレデンシャルの設定の詳細については、「SIP 電話機のダイジェスト認証の設定」を参照してください。
詳細については、「関連項目」を参照してください。
電話機セキュリティ プロファイルの削除
ここでは、Cisco Unified Communications Manager データベースから電話機セキュリティ プロファイルを削除する方法について説明します。
Cisco Unified Communications Manager の管理ページからセキュリティ プロファイルを削除する前に、別のプロファイルをデバイスに適用するか、該当プロファイルを使用するすべてのデバイスを削除してください。該当プロファイルを使用しているデバイスを検索するには、セキュリティプロファイルの設定ウィンドウの[関連リンク]ドロップダウン リスト ボックスから [依存関係レコード] を選択して、 [移動] をクリックします。
システムで依存関係レコード機能が有効になっていない場合は、 [システム]>[エンタープライズパラメータ] の順に選択し、[Enable Dependency Records] 設定を [True] に変更します。依存関係レコード機能を使用すると、CPU 使用率が高くなるという情報を示すメッセージが表示されます。変更内容を保存して、依存関係レコードをアクティブにします。依存関係レコードの詳細については、『 Cisco Unified Communications Manager システム ガイド 』を参照してください。
ステップ 1 「電話機セキュリティ プロファイルの検索」の手順に従って、セキュリティ プロファイルを検索します。
ステップ 2 複数のセキュリティ プロファイルを削除するには、検索と一覧表示ウィンドウで、適切なチェックボックスの横に表示されているチェックボックスをオンにして、 [選択項目の削除] アイコンまたは [選択項目の削除] ボタンをクリックします。 [すべてを選択] をクリックしてから [選択項目の削除] をクリックすると、この選択で設定可能なすべてのレコードを削除できます。
ステップ 3 単一のセキュリティ プロファイルを削除するには、次の作業のどちらかを実行します。
• 検索と一覧表示ウィンドウで、適切なセキュリティ プロファイルの横に表示されているチェックボックスをオンにして、 [選択項目の削除] アイコンまたは [選択項目の削除] ボタンをクリックします。
ステップ 4 削除操作の確認を要求するプロンプトが表示されたら、 [OK] をクリックして削除するか、 [キャンセル] をクリックして削除操作を取り消します。
詳細については、「関連項目」を参照してください。
電話機セキュリティ プロファイルを使用している電話機の検索
特定の電話機セキュリティ プロファイルを使用している電話機を検索するには、次の手順を実行します。
ステップ 2 最初のドロップダウン リスト ボックスから、検索パラメータの[ セキュリティプロファイル] を選択します。
• 2 番目のドロップダウン リスト ボックスから検索パターンを選択します。
(注) 検索条件を追加するには、[+] ボタンをクリックします。条件を追加すると、指定したすべての条件に一致するレコードが検索されます。条件を削除するには、[-] ボタンをクリックして最後に追加した条件を削除するか、[フィルタのクリア]ボタンをクリックして追加したすべての検索条件を削除します。
一致するすべてのレコードが表示されます。[ページあたりの行数]ドロップダウン リスト ボックスから異なる値を選択すると各ページに表示される項目数を変更できます。
ステップ 4 表示するレコードのリストから、表示するレコードのリンクをクリックします。
(注) リストの見出しに上向きまたは下向きの矢印がある場合は、その矢印をクリックして、ソート順序を逆にします。
詳細については、「関連項目」を参照してください。
その他の情報
• 「電話機セキュリティ プロファイルを使用している電話機の検索」
Cisco Unified Communications Manager アドミニストレーション ガイド
Cisco Unified IP Phone アドミニストレーション ガイド for Cisco Unified Communications Manager
フィードバック