暗号化(Encryption)
ファイル転送および画面キャプチャのコンプライアンスおよびポリシー管理
Cisco Unified Communications Manager IM and Presence 10.5(2) 以降の管理されたファイル転送オプションを使用してファイル転送と画面キャプチャを送信する場合は、監査およびポリシー強制用のコンプライアンス サーバにファイルを送信できます。
コンプライアンスの詳細については、『Instant Messaging Compliance for IM and Presence Service on Cisco Unified Communications Manager』ガイドを参照してください。
ファイル転送と画面キャプチャの詳細については、『Cisco Unified Communications Manager IM and Presence Deployment and Installation Guide』を参照してください。
インスタント メッセージの暗号化
Cisco Jabber は、Transport Layer Security(TLS)を使用して、クライアントとサーバ間のネットワーク上で Extensible Messaging and Presence Protocol(XMPP)トラフィックを保護します。Cisco Jabber は、ポイント・トゥ・ポイントのインスタントメッセージを暗号化します。
オンプレミス暗号化
次の表に、オンプレミス展開におけるインスタント メッセージ暗号化の詳細を示します。
接続先 |
[プロトコル(Protocol)] |
ネゴシエーション証明書 |
想定される暗号化アルゴリズム |
---|---|---|---|
クライアントからサーバへ |
XMPP over TLS v1.2 |
X.509 公開キー インフラストラクチャ証明書 |
AES 256 ビット |
サーバとクライアントのネゴシエーション
次のサーバは、X.509 公開キー インフラストラクチャ(PKI)証明書と次のものを使用して Cisco Jabber と TLS 暗号化をネゴシエートします。
-
Cisco Unified Communications Manager IM and Presence
-
Cisco Unified Communications Manager
サーバとクライアントが TLS 暗号化をネゴシエートした後、インスタント メッセージのトラフィックを暗号化するためにクライアントとサーバの両方がセッション キーを生成して交換します。
次の表に、Cisco Unified Communications Manager IM and Presence Service の PKI 証明書キーの長さを示します。
バージョン |
キーの長さ |
---|---|
Cisco Unified Communications Manager IM and Presence Service バージョン 9.0.1 以降 |
2048 ビット |
XMPP 暗号化
Cisco Unified Communications Manager IM and Presence Service は、AES アルゴリズムで暗号化された 256 ビット長のセッション キーを使用して Cisco Jabber とプレゼンス サーバ間のインスタント メッセージ トラフィックを保護します。
サーバ ノード間のトラフィックのセキュリティを強化する必要がある場合は、Cisco Unified Communications Manager IM and Presence Service 上で XMPP セキュリティ設定を構成できます。セキュリティ設定の詳細については、次を参照してください。
-
Cisco Unified Communications Manager IM and Presence Service:『Security configuration on IM and Presence』
インスタント メッセージのロギング
規制ガイドラインへの準拠のために、インスタント メッセージをログに記録してアーカイブできます。インスタント メッセージをログに記録するには、外部データベースを設定するか、またはサードパーティ製のコンプライアンス サーバと統合します。Cisco Unified Communications Manager IM and Presence Service は、外部データベースまたはサードパーティ製コンプライアンス サーバに記録されたインスタント メッセージを暗号化しません。必要に応じて、外部データベースまたはサードパーティ製コンプライアンス サーバを設定し、記録したインスタント メッセージを保護する必要があります。
コンプライアンスの詳細については、次を参照してください。
-
Cisco Unified Communications Manager IM and Presence Service:『Instant Messaging Compliance for IM and Presence Service』
AES などの対称キー アルゴリズムや RSA などの公開キー アルゴリズムを含め、暗号化レベルや暗号化アルゴリズムの詳細については、リンク https://www.cisco.com/c/en/us/about/security-center/next-generation-cryptography.html の「Next Generation Encryption」を参照してください。
X.509 公開キー インフラストラクチャ証明書の詳細については、リンク https://www.ietf.org/rfc/rfc2459.txt の『Internet X.509 Public Key Infrastructure Certificate and CRL Profile』のドキュメントを参照してください。
クラウドベースの暗号化
次の表に、クラウドベース展開におけるインスタント メッセージ暗号化の詳細を示します。
接続先 |
[プロトコル(Protocol)] |
ネゴシエーション証明書 |
想定される暗号化アルゴリズム |
---|---|---|---|
クライアントからサーバへ |
TLS 内の XMPP |
X.509 公開キー インフラストラクチャ証明書 |
AES 128 ビット |
クライアント間 |
TLS 内の XMPP |
X.509 公開キー インフラストラクチャ証明書 |
AES 256 ビット |
サーバとクライアントのネゴシエーション
次のサーバは、X.509 公開キー インフラストラクチャ(PKI)証明書と Cisco Webex Messenger サービスを使用して Cisco Jabber で TLS 暗号化をネゴシエートします。
サーバとクライアントが TLS 暗号化をネゴシエートした後、インスタント メッセージのトラフィックを暗号化するためにクライアントとサーバの両方がセッション キーを生成して交換します。
XMPP 暗号化
Cisco Webex Messenger サービスは AES アルゴリズムで暗号化された 128 ビット長のセッション キーを使用し、Cisco Jabber と Cisco Webex Messenger サービス間のインスタント メッセージのトラフィックを保護します。
必要に応じて、256 ビットのクライアント間 AES 暗号化を有効化し、クライアント間のトラフィックを保護できます。
インスタント メッセージのロギング
Cisco Webex Messenger サービスはインスタント メッセージをログに記録できますが、暗号化形式のインスタント メッセージはアーカイブされません。ただし、Cisco Webex Messenger サービスは、SAE-16 や ISO-27001 監査などの厳重なデータセンター セキュリティを使用して、記録したインスタント メッセージを保護します。
Cisco Webex Messenger サービスは、AES 256 ビットのクライアント間の暗号化を有効にした場合は、インスタント メッセージをログに記録できません。
AES などの対称キー アルゴリズムや RSA などの公開キー アルゴリズムを含め、暗号化レベルや暗号化アルゴリズムの詳細については、リンク https://www.cisco.com/c/en/us/about/security-center/next-generation-cryptography.html の「Next Generation Encryption」を参照してください。
X.509 公開キー インフラストラクチャ証明書の詳細については、リンク https://www.ietf.org/rfc/rfc2459.txt の『Internet X.509 Public Key Infrastructure Certificate and CRL Profile』のドキュメントを参照してください。
クライアント間の暗号化
デフォルトでは、クライアントと Cisco Webex Messenger サービス間のインスタント メッセージ トラフィックはセキュアです。必要に応じて、Cisco Webex 管理ツールでポリシーを指定して、クライアント間のインスタント メッセージング トラフィックを保護できます。
-
IM の AES 符号化をサポートする(Support AES Encoding For IM):送信側クライアントは、AES 256 ビット アルゴリズムを使用してインスタント メッセージを暗号化します。受信側クライアントは、インスタント メッセージの暗号を解除します。
-
IM の符号化をサポートしない(Support No Encoding For IM):クライアントは、暗号化をサポートしていない他のクライアントとインスタント メッセージを送受信できます。
ポリシーの組み合わせ |
クライアント間の暗号化 |
リモート クライアントが AES 暗号化をサポートしている場合 |
リモート クライアントが AES 暗号化をサポートしていない場合 |
---|---|---|---|
[IM の AES 符号化をサポートする(Support AES Encoding For IM)] = false [IM の符号化をサポートしない(Support No Encoding For IM)] = true |
なし |
Cisco Jabber は暗号化されていないインスタント メッセージを送信します。 Cisco Jabber はキー交換をネゴシエートしません。そのため、他のクライアントは Cisco Jabber の暗号化されたインスタント メッセージを送信しません。 |
Cisco Jabber は暗号化されていないインスタント メッセージを送受信します。 |
[IM の AES 符号化をサポートする(Support AES Encoding For IM)] = True [IM の符号化をサポートしない(Support No Encoding For IM)] = true |
あり |
Cisco Jabber は暗号化されたインスタント メッセージを送受信します。 Cisco Jabber には、インスタント メッセージが暗号化されていることを示すアイコンが表示されます。 |
Cisco Jabber は暗号化されたインスタント メッセージを送信します。 Cisco Jabber は暗号化されていないインスタント メッセージを受信します。 |
[IM の AES 符号化をサポートする(Support AES Encoding For IM)] = True [IM の符号化をサポートしない(Support No Encoding For IM)] = false |
あり |
Cisco Jabber は暗号化されたインスタント メッセージを送受信します。 Cisco Jabber には、インスタント メッセージが暗号化されていることを示すアイコンが表示されます。 |
Cisco Jabber は、リモート クライアントに対してインスタント メッセージの送受信を行いません。 ユーザがリモート クライアントにインスタント メッセージを送信しようとすると、Cisco Jabber にエラー メッセージが表示されます。 |
(注) |
Cisco Jabberグループのチャットを使用したクライアントからクライアントへの暗号化をサポートしていません。Cisco Jabberは、ポイントツーポイントのチャットの場合、クライアントからクライアントへの暗号化のみを使用します。 |
暗号化および Cisco Webex ポリシーの詳細については、Cisco Webex のマニュアルの暗号化レベルについてを参照してください。
暗号化アイコン
暗号化レベルを表示するには、クライアントが表示するアイコンを確認します。
サーバの暗号化対応クライアント用のロック アイコン
オンプレミス展開とクラウドベース展開の両方で、Cisco Jabber はクライアント/サーバ間暗号化を示す次のアイコンを表示します。
クライアント間暗号化の鍵アイコン
クラウドベース展開で、Cisco Jabber はクライアント間暗号化を示す次のアイコンを表示します。
ローカルのチャット履歴
チャット履歴は、参加者がチャット ウィンドウを閉じたあともサインアウトするまで維持されます。参加者がチャット ウィンドウを閉じたらチャット履歴を破棄する場合は、Disable_IM_History パラメータを ture に設定します。このパラメータは、IM 専用ユーザを除く、すべてのクライアントで使用できます。
Mac 版 Cisco Jabber のオンプレミス展開の場合、Mac 版 Cisco Jabber の [チャットの設定(Chat Preferences)] ウィンドウで [チャットのアーカイブを次に保存:(Save chat archives to:)] オプションを選択すると、チャット履歴は Mac ファイル システムにローカルに保存され、Spotlight を使用して検索できるようになります。
Cisco Jabber は、ローカル チャット履歴が有効の場合は、アーカイブされたインスタント メッセージを暗号化しません。
デスクトップ クライアントの場合、次のディレクトリにアーカイブを保存すると、チャット履歴へのアクセスを制限できます。
-
Windows の場合:%USERPROFILE%\AppData\Local\Cisco\Unified Communications\Jabber\CSF\History\uri.db
-
Mac:~/Library/Application Support/Cisco/Unified Communications/Jabber/CSF/History/uri.db.
モバイルクライアントでは、チャット履歴ファイルにアクセスできません。