- はじめに
- Cisco Unity Connection 8.x で必要な IP 通信
- Cisco Unity Connection 8.x での不正通話の防止
- Cisco Unity Connection 8.x、Cisco Unified Communications Manager、および IP 電話の間の接続の保護
- Cisco Unity Connection 8.x での管理アカウントおよびサービス アカウントの保護
- Cisco Unity Connection 8.6 における FIPS コンプライアンス
- Cisco Unity Connection 8.x での、パスワード、PIN、および認証規則の管理
- Cisco Unity Connection 8.6 以降でのシングル サインオン
- Cisco Unity Connection 8.x セキュリティ パスワード
- SSL を使用した、Cisco Unity Connection 8.x でのクライアント/サーバ接続の保護
- Cisco Unity Connection 8.x でのユーザ メッセージの保護
- 索引
Cisco Unity Connection セキュリティ ガイド リリース 8.x
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月19日
章のタイトル: Cisco Unity Connection 8.x での、パスワード、PIN、および認証規則の管理
Cisco Unity Connection 8.x での、パスワード、PIN、および認証規則の管理
Cisco Unity Connection では、認証規則によって、すべてのユーザ アカウントのユーザ パスワード、PIN、およびアカウント ロックアウトが管理されます。Connection の認証規則を次のように定義することを推奨します。
•
ユーザが PIN とパスワードを頻繁に変更することを必須にする。
• ユーザの PIN およびパスワードには、一意で、簡単に推測できないものを設定することを必須にする。
認証規則を綿密に設定すると、無効な PIN またはパスワードを何回も入力したユーザをロック アウトできるため、Connection アプリケーションへの不正アクセスの阻止にも役立ちます。
この章では、上に挙げたタスクの実行や、PIN およびパスワードのセキュリティに関連するその他の問題に関する情報を提供します。Cisco Unity Connection パスワードの管理の範囲を理解するのに役立つように、この章の最初の項では、Cisco Personal Communications Assistant(PCA)、Connection カンバセーション、Cisco Unity Connection Administration、およびその他の管理 Web アプリケーションへのアクセスに必要な、さまざまなパスワードについて説明します。その後の各項では、とるべき対策に関する情報、意思決定に役立つ推奨事項、下した決定の効果に関する情報、およびベスト プラクティスを紹介します。
Connection パスワードを保護する手順および認証規則を定義する手順については、次の各項を参照してください。
「ユーザが Cisco Unity Connection 8.x アプリケーションへのアクセスに使用する PIN およびパスワードについて」
PIN とパスワードの割り当て方法、およびそれらを最初にセキュリティで保護する方法について
「Cisco Unity Connection 8.x での、ユーザへの一意で安全な PIN およびパスワードの割り当て」
「Cisco Unity Connection 8.x Web アプリケーションのパスワードの変更」
「Cisco Unity Connection 8.x の電話機 PIN の変更」
「Cisco Unity Connection 8.x でパスワード、PIN、およびロックアウト ポリシーを指定する認証規則の定義」
ユーザが Cisco Unity Connection 8.x アプリケーションへのアクセスに使用する PIN およびパスワードについて
Cisco Unity Connection のユーザは、各種の Connection アプリケーションへのアクセスに、異なる PIN およびパスワードを使用します。Connection パスワードの管理の範囲を理解するうえで、各アプリケーションにどのパスワードが必要なのかを知ることが重要です。
ユーザは、電話機の PIN を使用して、Cisco Unity Connection カンバセーションに電話機からサインインします。PIN(数値だけで構成)は、電話機のキーパッドを使用して入力するか、音声認識が有効な場合は読み上げます。
ユーザは、Web アプリケーションのパスワードを使用して、Cisco Personal Communications Assistant(Cisco PCA)にサインインします。これにより、Messaging Inbox(Connection 8.0)Messaging Assistant、および Personal Call Transfer Rules Web ツールにアクセスできます。
管理の役割を割り当てられているユーザは、Web アプリケーションのパスワードを使用して次の Connection アプリケーションにサインインすることもあります。
• Cisco Unity Connection Administration
• Cisco Unity Connection Serviceability
• Cisco Unified Serviceability
(注) Cisco Unified Communications Manager Business Edition(CMBE) または LDAP の認証を使用している場合、ユーザは、ユーザの Cisco Unified CMBE または LDAP アカウント パスワードを使用して Connection Web アプリケーションにアクセスする必要があります。
Cisco Unity Connection 8.x での、ユーザへの一意で安全な PIN およびパスワードの割り当て
不正アクセスや不正通話から Cisco Unity Connection を保護するには、すべてのユーザに一意の電話機 PIN および Web アプリケーション(Cisco PCA)パスワードを割り当てる必要があります。
ユーザを Connection に追加する際には、そのユーザ アカウントの作成に使用したテンプレートによって、電話機 PIN と Web アプリケーション パスワードが決まります。デフォルトでは、ユーザ テンプレートには、ランダムに生成された文字列が電話機 PIN および Web パスワードとして割り当てられます。1 つのテンプレートから作成されたすべてのユーザに、同じ PIN およびパスワードが割り当てられます。
次のオプションを検討して、アカウントの作成時、またはその直後に、各ユーザに一意で安全な PIN およびパスワードが確実に割り当てられるようにしてください。
• 少数のユーザ アカウントを作成する場合、または Cisco Unity Connection Administration を使用してアカウントを作成した後は、[ユーザ(Users)] > [ユーザ(Users)] > [パスワードの変更(Change Password)] ページで各ユーザの電話機 PIN と Web パスワードを変更します。または、ユーザに対し、できるだけ速やかにサインインして自分の PIN とパスワードを変更するように指示します(この場合は、アカウントの作成に使用したテンプレートの [パスワードの編集(Edit Password)] ページにある [次回サインイン時に、ユーザによる変更が必要(User Must Change at Next Sign-In)] チェックボックスをオンにしてください)。
• 複数のユーザ アカウントを作成する場合は、アカウント作成後、Bulk Password Edit ツールを使用して Connection の各エンド ユーザ アカウント(メールボックスを持つユーザ)に一意のパスワードと PIN を割り当てます。Bulk Password Edit ツールは、CSV ファイルとともに使用します。CSV ファイルには、複数のパスワードおよび PIN を一括して適用するための、パスワードおよび PIN 用の一意の文字列が含まれています。
Bulk Password Edit ツールは、Windows ベースのツールです。 http://www.ciscounitytools.com/Applications/CxN/BulkPasswordEdit/BulkPasswordEdit.html からツールをダウンロードし、トレーニング ビデオとヘルプを参照してください。
Cisco Unity Connection 8.x Web アプリケーションのパスワードの変更
個々のユーザの Web アプリケーション(Cisco PCA)パスワードは、Cisco Unity Connection Administration の [ユーザ(Users)] > [ユーザ(Users)] > [パスワードの変更(Change Password)] ページでいつでも変更できます。
パスワードの有効期限が切れると、ユーザおよび管理者は、Cisco PCA や Connection の管理 に次にサインインするときに新しいパスワードを入力する必要があります。
ユーザは、自分の Cisco PCA パスワードを Connection Messaging Assistant で変更することもできます。
複数のエンド ユーザ アカウント(メールボックスを持つユーザ)のパスワードを変更する場合は、Bulk Password Edit ツールを使用して、一意の新しいパスワードを各アカウントに割り当てることができます。Bulk Password Edit ツールは、CSV ファイルとともに使用します。CSV ファイルには、複数のパスワードを一括して適用するための、パスワード用の一意の文字列が含まれています。Bulk Password Edit ツールは、Windows ベースのツールです。 http://www.ciscounitytools.com/Applications/CxN/BulkPasswordEdit/BulkPasswordEdit.html からツールをダウンロードし、トレーニング ビデオとヘルプを参照してください。また、Cisco Unity Connection Bulk Administration Tool(BAT)を使用して複数のユーザ パスワードを一度に変更することもできます。BAT の使用方法については、『 User Moves, Adds, and Changes Guide for Cisco Unity Connection 』( Release 8.x )( http://www.cisco.com/en/US/docs/voice_ip_comm/connection/8x/user_mac/guide/8xcucmacx.html )の付録「 Using the Cisco Unity Connection 8.x Bulk Administration Tool 」を参照してください。
IMAP クライアントのボイス メッセージにアクセスできるユーザの場合は、Cisco PCA パスワードを Messaging Assistant で変更するたびに、IMAP クライアント内のパスワードも更新する必要があることを認識する必要があります。パスワードは、IMAP クライアントと Cisco PCA の間で同期されません。両方のアプリケーションで Cisco PCA パスワードを更新しても、IMAP クライアントでのボイス メッセージの受信に問題が発生した場合は、『 User Workstation Setup Guide for Cisco Unity Connection 』 (Release 8.x )( http://www.cisco.com/en/US/docs/voice_ip_comm/connection/8x/user_setup/guide/8xcucuwsx.html から入手可能)の「 Configuring an Email Account to Access Cisco Unity Connection 8.x Voice Messages 」の章にある「Troubleshooting IMAP Client Sign-In Problems in Cisco Unity Connection 8.x」の項を参照してください。
8 文字以上の長さの、単純でないパスワードを指定します。同じ方法に従ってパスワードを変更するようにユーザに奨励するか、それを必須とする認証規則をユーザに割り当てます。Cisco PCA パスワードは、6 か月ごとに変更する必要があります。
Cisco Unity Connection 8.x の電話機 PIN の変更
個々のユーザの電話機 PIN は、Cisco Unity Connection Administration の [ユーザ(Users)] > [ユーザ(Users)] > [パスワードの変更(Change Password)] ページでいつでも変更できます。
ユーザは、Connection の電話通話または Connection Messaging Assistant を使用して、電話機 PIN を変更できます。
複数のエンド ユーザ アカウント(メールボックスを持つユーザ)の PIN を変更する場合は、Bulk Password Edit ツールを使用して、一意の新しい PIN を各アカウントに割り当てることができます。Bulk Password Edit ツールは、CSV ファイルとともに使用します。CSV ファイルには、複数の PIN を一括して適用するための、PIN 用の一意の文字列が含まれています。Bulk Password Edit ツールは、Windows ベースのツールです。 http://www.ciscounitytools.com/Applications/CxN/BulkPasswordEdit/BulkPasswordEdit.html からツールをダウンロードし、トレーニング ビデオとヘルプを参照してください。また、Cisco Unity Connection Bulk Administration Tool(BAT)を使用して複数のユーザ PIN を一度に変更することもできます。BAT の使用方法については、『 User Moves, Adds, and Changes Guide for Cisco Unity Connection 』( Release 8.x )( http://www.cisco.com/en/US/docs/voice_ip_comm/connection/8x/user_mac/guide/8xcucmacx.html )の付録「 Using the Cisco Unity Connection 8.x Bulk Administration Tool 」を参照してください。
PIN の有効期限が切れると、ユーザは、Connection のカンバセーションに次にサインインするときに新しい PIN を入力する必要があります。
ユーザは Messaging Assistant を使用して電話機 PIN を変更できるため、適切な手段を講じてアプリケーション(Cisco PCA)のパスワードの安全も維持することによって、PIN のセキュリティを確保できます。
ユーザは、電話機 PIN と Cisco PCA パスワードが同期されないことを理解する必要があります。初回の登録時に、電話機の初期 PIN を変更するように求められますが、そのときには Cisco PCA の Web サイトへのサインインに使用するパスワードを変更できません。
各ユーザに、6 桁以上で単純でない、一意の PIN が割り当てられる必要があります。同じ方法に従うようにユーザに奨励するか、それを必須とする認証規則をユーザに割り当てます。
Cisco Unity Connection 8.x でパスワード、PIN、およびロックアウト ポリシーを指定する認証規則の定義
(注) Cisco Unity Connection の認証規則は、Cisco Unified Communications Manager Business Edition(CMBE) でのユーザ パスワードの管理や、LDAP 認証が有効になっているときには適用されません。これらの場合、認証は Connection では処理されないためです。
認証規則を使用して、ユーザが電話で Connection にアクセスするときに Cisco Unity Connection によって適用されるサインイン、パスワード、およびロックアウト ポリシーをカスタマイズします。また、ユーザが Cisco Unity Connection Administration、Cisco PCA、およびその他のアプリケーション(IMAP クライアントなど)にアクセスする方法もカスタマイズします。
Connection の管理 の [認証規則の編集(Edit Authentication Rule)] ページで指定する設定によって、次の値が決まります。
• アカウントがロックされるまでに許容される、Connection 電話インターフェイス、Cisco PCA、または Connection の管理 へのサインイン試行回数。
• ロックされたアカウントを管理者が手作業でロック解除する必要があるかどうか。
• パスワードまたは PIN の有効期限が切れるまでの日数。
セキュリティを強化するため、認証規則を定義する際には、次のベスト プラクティスに従うよう推奨します。
• ユーザが少なくとも 6 か月に 1 回 Connection のパスワードと PIN を変更することを必須とする。
• Web アプリケーションのパスワードは 8 文字以上の単純でないパスワードにすることを必須とする。
• ボイスメール PIN は 6 文字以上の単純でない PIN にすることを必須とする。
セキュリティをさらに強化するには、PIN やパスワードを簡単に推測できないものにし、また、長期間使用しないようにする認証規則を設定します。それと同時に、複雑すぎる PIN やパスワードを設定するようにしたり、PIN やパスワードをあまりに頻繁に変更するようにしたりすると、ユーザが PIN やパスワードを書き留めなくてはならなくなるので、そのような規則は避けます。
また、次の各フィールドで認証規則を指定する際には、次のガイドラインに従ってください。
• サインイン試行回数(Failed Sign-In __ Attempts)
• 失敗したサインイン試行回数をリセットする間隔(Reset Failed Sign-In Attempts Every __ Minutes)
• クレデンシャルの有効期限(Credential Expires After __ Days)
• 最小クレデンシャル長(Minimum Credential Length)
• 以前のクレデンシャルの保存数(Stored Number of Previous Credentials)
• 単純すぎるパスワードの確認(Check For Trivial Passwords)
サインイン試行回数(Failed Sign-In __ Attempts)
このフィールドでは、ユーザが間違った PIN またはパスワードを繰り返し入力した場合に、Connection がどのように処理するかを指定します。サインインの試みが 3 回失敗した場合にユーザ アカウントをロックするように設定することを推奨します。
失敗したサインイン試行回数をリセットする間隔(Reset Failed Sign-In Attempts Every __ Minutes)
このフィールドでは、サインインの試みが失敗した回数を Connection がクリアするまでの分数を指定します(サインイン失敗回数の制限をすでに超えて、アカウントがロックされている場合を除く)。30 分超過してから、サインインの試みが失敗した回数をクリアするように設定することを推奨します。
このフィールドでは、ロックアウトされたユーザが再度サインインを試みるまで待機する時間を指定します。
セキュリティをさらに強固にするには、[管理者によるロック解除が必要(Administrator Must Unlock)] チェックボックスをオンにします。そうすることで、ユーザは、管理者が該当する [ユーザ(User)] > [パスワードの設定(Password Settings)] ページでそのユーザのロックを解除するまで、アカウントにアクセスできなくなります。[管理者によるロック解除が必要(Administrator Must Unlock)] チェックボックスは、管理者がすぐに対応できる場合、またはシステムが不正アクセス/不正通話されやすい場合にだけ、オンにしてください。
クレデンシャルの有効期限(Credential Expires After __ Days)
[無期限(Never Expires)] オプションは有効にしないことを推奨します。その代わりに、このフィールドを 0 より大きい値に設定し、ユーザが X 日(X は、[クレデンシャルの有効期限(Credential Expires After)] フィールドで指定した値)ごとにパスワードの変更を求められるようにします。
Web パスワードは 120 日後に、電話機 PIN は 180 日後に期限切れになるように設定することを推奨します。
最小クレデンシャル長(Minimum Credential Length)
Web アプリケーションのパスワードに適用される認証規則については、ユーザが 8 文字以上のパスワードを使用することを必須にするよう、推奨します。
電話機 PIN に適用される認証規則については、ユーザが 6 桁以上の PIN を使用することを必須にするよう、推奨します。
最小クレデンシャル長を変更すると、ユーザは、ユーザの PIN およびパスワードを次回変更するときに、最小クレデンシャル長の新しい値を使用する必要があります。
以前のクレデンシャルの保存数(Stored Number of Previous Credentials)
このフィールドに値を指定することを推奨します。そうすることによって、Connection が各ユーザの以前のパスワードまたは PIN を、指定した数だけ保存して、パスワードの一意性を強制できるようになります。ユーザがパスワードと PIN を変更すると、Connection で、新しいパスワードまたは PIN が、資格履歴に保存されているパスワードまたは PIN と比較されます。Connection では、履歴に保存されているパスワードまたは PIN と一致するパスワードまたは PIN が拒否されます。
デフォルトでは、Connection の資格履歴に 5 つのパスワードまたは PIN が保存されます。
単純すぎるパスワードの確認(Check For Trivial Passwords)
ユーザが単純すぎない PIN およびパスワードを使用するように、このフィールドを有効にすることを推奨します。
• PIN が、ユーザの姓または名を数値で表したものと一致しない。
• PIN に、ユーザのプライマリ内線番号や代行内線番号が含まれていない。
• PIN に、ユーザのプライマリ内線番号や代行内線番号を逆順で示す数値が含まれていない。
• PIN に、数値の組み合わせが繰り返されたもの(408408、123123 など)が含まれていない。
• PIN に含まれているのが 2 つの数値のみ(121212 など)ではない。
• 値が 3 回以上連続して使用(28883 など)されていない。
• PIN は、昇順または降順の連続する数値(012345、987654 など)ではない。
• 指定されている最小クレデンシャル長と一致する数値グループの場合、キーパッド上で 1 列に並んだ数値グループが含まれていない(たとえば、3 桁の長さが指定されている場合、123、456、または 789 を PIN として使用することはできない)。
単純すぎない Web アプリケーション パスワードには、次の特性があります。
• パスワードに、大文字、小文字、数値、および記号のうち、少なくとも 3 つの文字が含まれている。
• パスワードに、ユーザのエイリアス、または逆順にしたユーザのエイリアスが含まれていない。
• パスワードに、プライマリ内線番号や代行内線番号が含まれていない。
フィードバック