- はじめに
- Cisco Unity Connection 8.x で必要な IP 通信
- Cisco Unity Connection 8.x での不正通話の防止
- Cisco Unity Connection 8.x、Cisco Unified Communications Manager、および IP 電話の間の接続の保護
- Cisco Unity Connection 8.x での管理アカウントおよびサービス アカウントの保護
- Cisco Unity Connection 8.6 における FIPS コンプライアンス
- Cisco Unity Connection 8.x での、パスワード、PIN、および認証規則の管理
- Cisco Unity Connection 8.6 以降でのシングル サインオン
- Cisco Unity Connection 8.x セキュリティ パスワード
- SSL を使用した、Cisco Unity Connection 8.x でのクライアント/サーバ接続の保護
- Cisco Unity Connection 8.x でのユーザ メッセージの保護
- 索引
Cisco Unity Connection セキュリティ ガイド リリース 8.x
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月19日
章のタイトル: Cisco Unity Connection 8.x での管理アカウントおよびサービス アカウントの保護
Cisco Unity Connection 8.x での管理アカウントおよびサービス アカウントの保護
この章では、アカウント保護に関連して発生する可能性があるセキュリティ上の問題について説明します。また、とるべき対策に関する情報、意思決定に役立つ推奨事項、下した決定の効果に関する情報、およびベスト プラクティスも紹介します。
•
「Cisco Unity Connection 8.x の管理アカウントについて」
• 「Cisco Unity Connection Administration に Connection 8.x でアクセスする際に使用するアカウントのベスト プラクティス」
• 「ユニファイド メッセージング サービス アカウントの保護(Cisco Unity Connection 8.5 以降のみ)」
Cisco Unity Connection 8.x の管理アカウントについて
Cisco Unity Connection サーバには 2 種類の管理アカウントがあります。 表 4-1 は、これら 2 つのアカウントの用途と相違点の概要を示しています。
Cisco Unity Connection Administration に Connection 8.x でアクセスする際に使用するアカウントのベスト プラクティス
Cisco Unity Connection Administration は、ほとんどの管理タスクに使用する Web アプリケーションです。管理アカウントを使用して Connection の管理 にアクセスし、個々のユーザ(またはユーザ グループ)に対して Cisco Unity Connection がどのように機能するかを定義し、システム スケジュールを設定し、コール管理オプションを設定し、その他の重要なデータを変更します。これらの処理はすべて、管理アカウントが割り当てられているロールに依存します。サイトが複数の Connection サーバで構成される場合、あるサーバで Connection の管理 へのアクセスに使用されるアカウントが、ネットワーク上の他のサーバで Connection の管理 に対する認証とアクセスにも使用できることがあります。Connection の管理 へのアクセスを保護するには、次のベスト プラクティスを検討してください。
ベスト プラクティス:Application Administration アカウントの使用の制限
Cisco Unity Connection のユーザ アカウントを Connection の管理専用に作成するまでは、デフォルトの管理者アカウントと関連付けられている資格情報を使用して、Cisco Unity Connection Administration にサインインします。デフォルトの管理者アカウントは、Connection のインストール中に、インストール時に指定したアプリケーション ユーザのユーザ名およびパスワードを使用して作成されます。デフォルトの管理者アカウントには、自動的にシステム管理者の役割が割り当てられます。この役割では、Connection の管理 への完全なシステム アクセス権限が提供されます。つまり、管理者アカウントは、Connection の管理 のすべてのページにアクセスできるだけでなく、Connection の管理 のすべてのページに対する読み取り、編集、作成、削除、および実行の各特権を持ちます。このため、高い特権を持つこのアカウントは、1 人またはごく少数の人だけが使用できるように制限する必要があります。
デフォルトの管理者アカウントの代わりとなる管理アカウントを、追加で作成できます。追加するアカウントには、それらを使用する各ユーザが実行する管理タスクに応じて、より少ない特権を持つ役割を割り当てます。
管理アカウントの作成の詳細については、『 User Moves, Adds, and Changes Guide for Cisco Unity Connection 』 (Release 8.x )の「 Adding Cisco Unity Connection 8.x Accounts Individually 」の章にある「Adding an Administrator Account (User Without a Voice Mailbox)」の項を参照してください。このガイドは、 http://www.cisco.com/en/US/docs/voice_ip_comm/connection/8x/user_mac/guide/8xcucmacx.html から入手可能です。
ベスト プラクティス:役割を使用した、Cisco Unity Connection Administration への各種レベルのアクセスの提供
Cisco Unity Connection Administration へのアクセスを保護するために役割の割り当てを変更する際には、次のベスト プラクティスを検討してください。
• デフォルトの管理者アカウントへの役割の割り当ては変更しません。その代わりに、Connection の管理 への適切なレベルのアクセスを提供する、追加の管理ユーザ アカウントを作成します。たとえば、管理ユーザ アカウントをユーザ管理者の役割に割り当てて、管理者がユーザ アカウント設定を管理したり、すべてのユーザ管理機能にアクセスしたりできるようにします。または、管理ユーザ アカウントをヘルプ デスク管理者の役割に割り当てて、管理者がユーザ パスワードおよび PIN をリセットしたり、ユーザ アカウントのロックを解除したり、ユーザ設定ページを表示したりできるようにします。
• 追加の管理ユーザ テンプレートを作成し、それぞれのテンプレートに、さまざまなレベルのアクセスを提供する役割を割り当てます。デフォルトでは、管理者ユーザ テンプレートには、システム管理者の役割が割り当てられます。管理者ユーザ テンプレートから作成されたすべての管理ユーザ アカウントにはシステム管理者の役割が割り当てられ、管理者は Connection のすべての管理機能に対するフル アクセス権を与えられます。この管理者テンプレートを慎重に使用して、管理ユーザ用のアカウントを作成します。
• デフォルトでは、ボイスメール ユーザ テンプレートにはどの役割も割り当てられず、このテンプレートに管理役割を割り当てることはできません。その代わりに、このテンプレートを使用して、メールボックスを持つエンド ユーザ用のアカウントを作成します。(メールボックスを持つエンド ユーザに割り当てる唯一の役割は、グリーティング管理者の役割です。この役割では、「管理」機能だけが Cisco Unity Greetings Administrator にアクセスでき、ユーザはコール ハンドラ用の録音済みグリーティングを電話で管理できます)。
Cisco Unity Connection によって提供される事前定義の役割および各役割に含まれる特権のレベルの詳細については、『 User Moves, Adds, and Changes Guide for Cisco Unity Connection 』 (Release 8.x )( http://www.cisco.com/en/US/docs/voice_ip_comm/connection/8x/user_mac/guide/8xcucmacx.html から入手可能)の「 Preparing to Add User Accounts in Cisco Unity Connection 8.x 」の章にある「Roles in Cisco Unity Connection 8.x」の項を参照してください。
ベスト プラクティス:異なるアカウントを使用した、ボイスメールボックスおよび Cisco Unity Connection Administration へのアクセス
Cisco Unity Connection 管理者が Cisco Unity Connection Administration にアクセスするときに、Cisco Personal Communications Assistant(PCA)または電話インターフェイスへのサインインに使用するのと同じアカウントを使用しないことを推奨します。
ユニファイド メッセージング サービス アカウントの保護(Cisco Unity Connection 8.5 以降のみ)
Cisco Unity Connection 8.5 以降のユニファイド メッセージングを設定する場合は、Connection が Exchange との通信に使用する 1 つ以上の Active Directory アカウントを作成します。Exchange メールボックスにアクセスする権限を持つ Active Directory アカウントと同様に、このアカウントのアカウント名とパスワードを知っているユーザは、メールを読んだり、音声メッセージを聞いたり、メッセージを送信および削除したりできます。このアカウントは、Exchange における広範囲の権限を持っていないため、たとえば、Exchange サーバの再起動などに使用できない場合があります。
アカウント保護のために、大文字、小文字、数字、および特殊文字からなる 20 文字以上の長いパスワードをアカウントに与えることを推奨します。パスワードは AES 128 ビットの暗号化方式によって暗号化され、Connection データベースに保存されます。データベースはルート アクセスによってしかアクセスできず、ルート アクセスは Cisco TAC からのサポートによってしか使用できません。
アカウントを無効にしないでください。無効にすると、Connection がアカウントを使用して Exchange メールボックスにアクセスできなくなります。
フィードバック