Cisco Unified Communications Manager が強化されたセキュリティ環境で動作できるようにすることができます。これらの機能強化により、電話ネットワークは厳格なセキュリティとリスク管理制御の下で動作し、ユーザーとユーザーを保護します。

強化されたセキュリティ環境には、次の機能が含まれます。

  • 連絡先検索の認証。

  • リモート監査ロギングのデフォルト プロトコルとして TCP。

  • FIPS モード。

  • 資格情報ポリシーの改善。

  • デジタル署名のための SHA-2 ファミリーのハッシュのサポート。

  • 512 ビットおよび 4096 ビットの RSA キー サイズをサポート。

Cisco Unified Communications Manager リリース 14.0 および Cisco Video Phone ファームウェア リリースを使用2.1 以降では、電話機は SIP OAuth 認証をサポートします。

OAuth は、Cisco Unified Communications Manager リリース 14.0(1)SU1 以降を搭載したプロキシ トリビアル ファイル転送プロトコル(TFTP)でサポートされています。プロキシ TFTP のプロキシ TFTP および OAuth は、Mobile Remote Access(MRA)ではサポートされていません。

セキュリティの詳細については、以下を参照してください。

電話機に保存できるのは、ID 信頼リスト(ITL)ファイルの数が制限されています。ITL ファイルは電話機の 64K を超えることはできません。そのため、Cisco Unified Communications Manager が電話機に送信するファイルの数を制限します。

サポートされているセキュリティ機能

セキュリティ機能は、電話機の ID やデータに対する脅威を含む脅威から保護します。これらの機能によって、電話機と Cisco Unified Communications Manager サーバ間で認証された通信ストリームが確立され、維持され、電話機がデジタル署名されたファイルのみを使用していることを確認します。

Cisco Unified Communications Manager リリース 8.5(1) 以降には、デフォルトでセキュリティが追加されています。これは、CTL クライアントを実行せずに Cisco IP Phone に次のセキュリティ機能を提供します。

  • 電話構成ファイルの署名

  • 電話機設定ファイルの暗号化

  • Tomcat およびその他の Web サービスの HTTPS

セキュアなシグナリングおよびメディア機能では、CTL クライアントを実行し、ハードウェア eToken を使用する必要があります。

Cisco Unified Communications Manager システムでセキュリティを実装することで、電話機と Cisco Unified Communications Manager サーバの ID 盗難を防ぎ、データの改ざんを防ぎ、コール シグナリングとメディア ストリームの改ざんを防ぎます。

これらの脅威を軽減するために、Cisco IP テレフォニー ネットワークは、電話機とサーバ間のセキュア(暗号化された)通信ストリームを確立して維持し、ファイルを電話機に転送する前にデジタル署名し、Cisco IP 電話間のメディア ストリームとコール シグナリングを暗号化します。

Certificate Authority Proxy Function(CAPF)に関連付けられた必要なタスクを実行すると、ローカルで有効な証明書(LSC)が電話機にインストールされます。『Cisco Unified Communications Manager Security Guide』の説明に従って、Cisco Unified Communications Manager の管理ページを使用して LSC を設定できます。または、電話機の [セキュリティ設定(Security settings)] メニューから LSC のインストールを開始できます。このメニューでは、LSC を更新または削除することもできます。

WLAN 認証を使用した EAP-TLS のユーザー証明書として LSC を使用することはできません。

電話機は、電話セキュリティ プロファイルを使用します。これは、デバイスが非セキュアであるかどうかを定義します。電話機にセキュリティ プロファイルを適用する方法については、該当する Cisco Unified Communications Manager リリースのマニュアルを参照してください。

[Cisco Unified Communications Manager の管理(Cisco Unified Communications Manager Administration)] でセキュリティ関連の設定値を設定すると、電話機設定ファイルには機密情報が含まれます。設定ファイルのプライバシーを確保するには、暗号化用に設定する必要があります。詳細については、ご使用の Cisco Unified Communications Manager リリースのマニュアルを参照してください。

電話機は、連邦情報処理標準(FIPS)に準拠しています。FIPS モードが正しく機能するには、2048 ビット以上のキー サイズが必要です。証明書が 2048 ビット未満の場合、電話機は Cisco Unified Communications Manager に登録されず、電話機を登録できませんでした。[証明書キー サイズは FIPS に準拠していません(Cert key size is not FIPS compliant)] が電話に表示されます。

電話機に LSC がある場合は、FIPS を有効にする前に、LSC キー サイズを 2048 ビット以上に更新する必要があります。

次の表に、電話機がサポートするセキュリティ機能の概要を示します。詳細については、ご使用の Cisco Unified Communications Manager リリースのマニュアルを参照してください。

セキュリティ モードを表示するには、[設定]設定ハードキー を押し、[ネットワークとサービス] > [セキュリティ設定] に移動します。

表1。 セキュリティ機能の概要

機能

説明

画像認証

署名付きバイナリ ファイルでは、画像が電話機にロードされる前に、ファームウェア イメージによる改ざんを防止します。

イメージを改ざんすると、電話機は認証プロセスに失敗し、新しいイメージを拒否します。

顧客サイト証明書のインストール

各 Cisco IP 電話には、デバイス認証に固有の証明書が必要です。電話機には、製造元でインストールされた証明書(MIC)が含まれますが、セキュリティを強化するために、Certificate Authority Proxy Function(CAPF)を使用して、Cisco Unified Communications Manager の管理ページで証明書のインストールを指定できます。または、電話機の [セキュリティ設定(Security Configuration)] メニューから、ローカルで有効な証明書(LSC)をインストールできます。

デバイス認証

各エンティティがもう一方のエンティティの証明書を受け入れると、Cisco Unified Communications Manager サーバと電話機の間で発生します。電話機と Cisco Unified Communications Manager の間のセキュアな接続が発生するかどうかを決定し、必要に応じて TLS プロトコルを使用してエンティティ間にセキュアなシグナリング パスを作成します。Cisco Unified Communications Manager は、電話を認証できない限り、電話を登録しません。

ファイル認証

電話機がダウンロードするデジタル署名ファイルを検証します。電話機は、ファイル作成後にファイルの改ざんが発生しなかったことを確認するために、署名を検証します。認証に失敗したファイルは、電話機の Flash メモリに書き込まれません。電話機は、それ以上の処理を行わずに、このようなファイルを拒否します。

ファイルの暗号化

暗号化により、ファイルが電話機に転送されている間に機密情報が公開されるのを防ぎます。さらに、電話機は署名を検証して、ファイル作成後にファイルの改ざんが発生しなかったことを確認します。認証に失敗したファイルは、電話機の Flash メモリに書き込まれません。電話機は、それ以上の処理を行わずに、このようなファイルを拒否します。

シグナリング認証

TLS プロトコルを使用して、送信中にシグナリング パケットに対する改ざんが行われていないことを検証します。

製造元でインストールされた証明書

各 Cisco IP 電話には、デバイス認証に使用される製造元でインストールされる固有の証明書(MIC)が含まれています。MIC は、電話機に恒久的な固有の証明を提供し、Cisco Unified Communications Manager が電話機を認証できるようにします。

メディア暗号化

SRTP を使用して、サポートされているデバイス間のメディア ストリームがセキュアであることを確認し、意図したデバイスのみがデータを受信して読み取ることを確認します。デバイスのメディア プライマリ キー ペアの作成、デバイスにキーを配信、キーが転送されている間のキーの配信のセキュリティを含みます。

CAPF(認証局プロキシ機能)

電話機に対して処理が集中しすぎる証明書生成手順の部分を実装し、キー生成と証明書のインストールのために電話機と対話します。CAPF は、電話機の代わりに顧客指定の認証局から証明書を要求するように設定することも、証明書をローカルで生成するように設定することもできます。

EC(楕円曲線)と RSA キータイプの両方がサポートされています。EC キーを使用するには、「Endpoint Advanced Encryption Algorithms Support」(システム > エンタープライズ パラメータから)パラメータが有効になっていることを確認します。

CAPF と関連する設定の詳細については、次のドキュメントを参照してください。

セキュリティ プロファイル

電話機が非セキュア、認証済み、暗号化済み、または保護されているかどうかを定義します。この表のその他のエントリでは、セキュリティ機能について説明します。

暗号化された構成ファイル

電話機の設定ファイルのプライバシーを確保できます。

電話機での Web サーバの無効化(オプション)

セキュリティ上の目的で、電話機の Web ページ(電話機のさまざまな運用統計を表示)およびセルフケア ポータルへのアクセスを防止できます。

電話機の硬化

[Cisco Unified Communications Manager の管理(Cisco Unified Communications Manager Administration)] から制御する追加のセキュリティ オプション。

  • PC ポートの無効化
  • Gratuitous ARP(GARP)の無効化
  • PC 音声 VLAN アクセスの無効化
  • [設定] メニューへのアクセスを無効にする、または制限されたアクセスを提供
  • 電話機の Web ページへのアクセスを無効にする
  • Bluetooth アクセサリ ポートの無効化
  • TLS 暗号の制限

802.1X 認証

Cisco IP 電話は、802.1X 認証を使用して、ネットワークへのアクセスを要求および取得できます。詳細については、「802.1X 認証 」を参照してください。

SRST 用のセキュアな SIP フェールオーバー

セキュリティのために Survivable Remote Site Telephony(SRST)参照を設定し、Cisco Unified Communications Manager の管理ページで従属デバイスをリセットすると、TFTP サーバは SRST 証明書を電話機の cnf.xml ファイルに追加し、そのファイルを電話機に送信します。その後、セキュアな電話機は TLS 接続を使用して、SRST 対応ルータと対話します。

シグナリング暗号化

デバイスと Cisco Unified Communications Manager サーバ間で送信されるすべての SIP シグナリング メッセージが暗号化されていることを確認します。

信頼リストの更新アラーム

電話機の信頼リストが更新されると、Cisco Unified Communications Manager は、更新の成功または失敗を示すアラームを受信します。詳細については、次の表を参照してください。

AES 256 暗号化

Cisco Unified Communications Manager リリース 10.5(2) 以降に接続されている場合、電話機は、シグナリングおよびメディア暗号化に対して TLS および SIP の AES 256 暗号化をサポートします。これにより、電話機は、SHA-2(セキュア ハッシュ アルゴリズム)規格に準拠し、連邦情報処理標準(FIPS)に準拠する AES-256 ベースの暗号を使用して TLS 1.2 接続を開始し、サポートできます。暗号は次のとおりです。

  • TLS 接続の場合:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • sRTP の場合:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

詳細については、Cisco Unified Communications Manager のマニュアルを参照してください。

楕円曲線デジタル署名アルゴリズム(ECDSA)証明書

共通基準(CC)認証の一部として、Cisco Unified Communications Manager。バージョン 11.0 で ECDSA 証明書を追加しました。これは、CUCM 11.5 以降のバージョンを実行しているすべての音声オペレーティング システム (VOS) 製品に影響します。

Cisco UCM を使用したマルチサーバ(SAN)Tomcat 証明書

電話機は、マルチサーバ(SAN)Tomcat 証明書を設定した Cisco UCM をサポートします。電話機の登録用に、正しい TFTP サーバ アドレスが電話機の ITL ファイルにあります。

機能の詳細については、以下を参照してください。

次の表に、信頼リストの更新アラームメッセージと意味を示します。詳細については、Cisco Unified Communications Manager のマニュアルを参照してください。

表 2. 信頼リストの更新アラーム メッセージ
コードとメッセージ 説明

1 - _成功

新しい CTL および/または ITL を受信

2 - CTL_初期_成功

新しい CTL を受信、既存の TL なし

3 - ITL_初期_成功

新しい ITL を受信、既存の TL なし

4 - _初期_成功

新しい CTL および ITL を受信、既存の TL なし

5 - TL_失敗_古い_CTL

新しい CTL への更新に失敗したが、以前の TL あり

6 - TL_失敗_なし_TL

新しい TL への更新に失敗しました。古い TL がありません

7 - TL_に失敗しました

一般的なエラー

8 - TL_失敗_古い_ITL

新しい ITL への更新に失敗したが、以前の TL あり

9 - TL_失敗_古い_TL

新しい TL への更新に失敗したが、以前の TL あり

[セキュリティのセットアップ(Security Setup)] メニューには、さまざまなセキュリティ設定に関する情報が表示されます。このメニューには、[信頼リスト(Trust List)] メニューへのアクセスも提供され、CTL ファイルまたは ITL ファイルが電話機にインストールされているかどうかを示します。

次の表に、[セキュリティのセットアップ(Security Setup)] メニューのオプションを示します。

表3。 セキュリティ設定メニュー

オプション

説明

変更するには

セキュリティモード

電話機に設定されているセキュリティ モードを表示します。

Cisco Unified Communications Manager Administration から、[デバイス] > [電話] を選択します。この設定は、[電話の設定(Phone Configuration)] ウィンドウの [プロトコル固有の情報(Protocol Specific Information)] 部分に表示されます。

LSC

セキュリティ機能に使用するローカルで有効な証明書が電話機にインストールされている(インストールされている)か、電話機にインストールされていない(未インストール)かを示します。

電話機の LSC を管理する方法については、該当する Cisco Unified Communications Manager リリースのマニュアルを参照してください。

ローカルで有効な証明書 (LSC) のセットアップ

このタスクは、認証文字列メソッドを使用して LSC を設定する場合に適用されます。

開始する前に

適切な Cisco Unified Communications Manager と Certificate Authority Proxy Function(CAPF)セキュリティ設定が完了していることを確認します。

  • CTL ファイルまたは ITL ファイルには CAPF 証明書があります。

  • Cisco Unified Communications オペレーティング システムの管理で、CAPF 証明書がインストールされていることを確認します。

  • CAPF が実行され、設定されています。

これらの設定の詳細については、ご使用の Cisco Unified Communications Manager リリースのマニュアルを参照してください。

1

CAPF の設定時に設定された CAPF 認証コードを取得します。

2

電話機で、[設定]設定ハードキー を押します。

3

プロンプトが表示されたら、[設定] メニューにアクセスするためのパスワードを入力します。パスワードは管理者から取得できます。

4

[ネットワークとサービス] > [セキュリティ設定] > [LSC] に移動します。

Cisco Unified Communications Manager の管理ページの [設定アクセス] フィールドを使用して、[設定] メニューへのアクセスを制御できます。

5

認証文字列を入力し、[送信] を選択します。

電話機は、CAPF の設定方法に応じて、LSC のインストール、更新、または削除を開始します。手順が完了すると、電話機に [インストール済み(Installed)] または [未インストール(Not Installed)] と表示されます。

LSC のインストール、更新、または削除のプロセスが完了するまでに時間がかかる場合があります。

電話機のインストール手順が成功すると、[インストール済み ] メッセージが表示されます。電話機に [未インストール] と表示されている場合、認証文字列が正しくないか、電話機のアップグレードが有効になっていない可能性があります。CAPF 操作で LSC を削除すると、電話機に [インストールされていません] と表示され、操作が成功したことを示します。CAPF サーバはエラー メッセージを記録します。ログを検索し、エラーメッセージの意味を理解するには、CAPF サーバのマニュアルを参照してください。

FIPS モードの有効化

1

Cisco Unified Communications Manager Administration で、[デバイス] > [電話] を選択し、電話機を見つけます。

2

[製品固有の設定 ] 領域に移動します。

3

[FIPS モード] フィールドを [有効] に設定します。

4

[保存] を選択します。

5

[設定を適用] を選択します。

6

電話機を再起動します。

電話機のスピーカーフォン、ヘッドセット、およびハンドセットをオフにする

ユーザの電話機のスピーカーフォン、ヘッドセット、およびハンドセットを永続的にオフにするオプションがあります。

1

Cisco Unified Communications Manager Administration で、[デバイス] > [電話] を選択し、電話機を見つけます。

2

[製品固有の設定 ] 領域に移動します。

3

電話機の機能をオフにするには、次のチェックボックスをオンにします。

  • スピーカーフォンの無効化
  • スピーカーフォンとヘッドセットの無効化
  • ハンドセットの無効化

デフォルトでは、これらのチェックボックスはオフになっています。

4

[保存] を選択します。

5

[設定を適用] を選択します。

802.1X 認証

Cisco IP 電話は 802.1X 認証をサポートしています。

Cisco IP 電話と Cisco Catalyst スイッチは、伝統的に Cisco Discovery Protocol(CDP)を使用して互いを識別し、VLAN 割り当てやインライン電源要件などのパラメータを決定します。CDP は、ローカルに接続されているワークステーションを特定しません。Cisco IP 電話は、EAPOL パススルー メカニズムを提供します。このメカニズムにより、Cisco IP 電話に接続されたワークステーションは、LAN スイッチの 802.1X オーセンティケータに EAPOL メッセージを渡すことができます。パススルー メカニズムにより、IP 電話がネットワークにアクセスする前にデータ エンドポイントを認証するための LAN スイッチとして機能しません。

Cisco IP 電話は、プロキシ EAPOL ログオフ メカニズムも提供します。ローカルに接続された PC が IP フォンから切断された場合、LAN スイッチと IP フォン間のリンクが維持されているため、LAN スイッチは物理的なリンクが失敗しません。ネットワークの整合性が損なわれないようにするため、IP 電話はダウンストリーム PC の代わりに EAPOL ログオフ メッセージをスイッチに送信します。これにより、LAN スイッチがダウンストリーム PC の認証エントリを消去します。

802.1X 認証のサポートには、いくつかのコンポーネントが必要です。

  • Cisco IP 電話: 電話機は、ネットワークへのアクセス要求を開始します。Cisco IP 電話には、802.1X サプリカントが含まれています。このサプリカントを使用すると、ネットワーク管理者は IP 電話と LAN スイッチ ポートの接続を制御できます。電話機 802.1X サプリカントの現在のリリースでは、ネットワーク認証に EAP-FAST および EAP-TLS オプションを使用します。

  • 認証サーバー: 認証サーバとスイッチの両方が電話機を認証する共有秘密で設定されている必要があります。

  • スイッチ: スイッチは、オーセンティケータとして機能し、電話機と認証サーバの間でメッセージを渡すことができるように、802.1X をサポートしている必要があります。交換が完了すると、スイッチは電話機のネットワークへのアクセスを許可または拒否します。

802.1X を設定するには、次のアクションを実行する必要があります。

  • 電話機で 802.1X 認証を有効にする前に、他のコンポーネントを設定します。

  • PC ポートの設定: 802.1X 標準では VLAN は考慮しないため、特定のスイッチ ポートに対して 1 つのデバイスだけを認証することを推奨します。ただし、一部のスイッチはマルチドメイン認証をサポートしています。スイッチ設定は、PC を電話機の PC ポートに接続できるかどうかを決定します。

    • 有効済み: マルチドメイン認証をサポートするスイッチを使用している場合、PC ポートを有効にして PC を接続できます。この場合、Cisco IP 電話は、スイッチと接続された PC 間の認証交換を監視するプロキシ EAPOL-Logoff をサポートします。

      Cisco Catalyst スイッチでの IEEE 802.1X サポートの詳細については、次の場所にある Cisco Catalyst スイッチ設定ガイドを参照してください。

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • 無効済み: スイッチが同じポート上の複数の 802.1X 準拠デバイスをサポートしていない場合、802.1X 認証が有効になっているときに PC ポートを無効にする必要があります。このポートを無効にしてから PC を接続しようとすると、スイッチは電話機と PC の両方へのネットワーク アクセスを拒否します。

  • 音声 VLAN の設定: 802.1X 標準では VLAN が考慮されていないため、この設定はスイッチ サポートに基づいて設定する必要があります。
    • 有効済み: マルチドメイン認証をサポートするスイッチを使用している場合は、音声の VLAN を引き続き使用できます。
    • 無効済み: スイッチがマルチドメイン認証をサポートしていない場合は、音声 VLAN を無効にし、ポートをネイティブ VLAN に割り当てることを検討してください。
  • (Cisco Desk Phone 9800 シリーズのみ)

    Cisco Desk Phone 9800 シリーズには、他の Cisco 電話の PID と異なるプレフィックスがあります。電話機が 802.1X 認証をパスできるようにするには、Radius·User-Name パラメータを設定して、Cisco Desk Phone 9800 シリーズを含めます。

    たとえば、電話 9841 の PID は DP-9841 です。Radius·User-NameDP で開始する または DP を含む に設定できます。次の両方のセクションで設定できます。

    • ポリシー > 条件 > ライブラリ条件

    • ポリシー > ポリシー設定 > 認証ポリシー > 認証ルール 1

802.1X 認証を有効にする

次の手順に従って、電話機の 802.1X 認証を有効にできます。

1

[設定]設定ハードキー を押します。

2

プロンプトが表示されたら、[設定] メニューにアクセスするためのパスワードを入力します。パスワードは管理者から取得できます。

3

[ネットワークとサービス] > [セキュリティ設定] > [802.1X 認証] に移動します。

4

IEEE 802.1X 認証をオンにします。

5

[適用] を選択します。

電話機のセキュリティ設定に関する情報を表示

電話メニューでセキュリティ設定に関する情報を表示できます。情報の可用性は、組織のネットワーク設定によって異なります。

1

[設定]設定キー を押します。

2

[ネットワークとサービス] > [セキュリティ設定] に移動します。

3

[セキュリティ設定] で、次の情報を表示します。

表 4YAZ設定オプション セキュリティ設定のパラメータ

パラメータ

説明

セキュリティモード

電話機に設定されているセキュリティ モードを表示します。

LSC

セキュリティ機能に使用されるローカルで有効な証明書が電話機にインストールされているか([はい(Yes)])、電話機にインストールされていないか([いいえ(No)])を示します。

信頼リスト

信頼リストには、CTL、ITL、および署名済み設定ファイルのサブメニューが表示されます。

[CTL ファイル(CTL File)] サブメニューには、CTL ファイルの内容が表示されます。[ITL ファイル(ITL File)] サブメニューには、ITL ファイルの内容が表示されます。

[信頼リスト(Trust List)] メニューには次の情報も表示されます。

  • CTL 署名: CTL ファイルの SHA1 ハッシュ
  • Unified CM/TFTP サーバー: 電話機が使用する Cisco Unified Communications Manager および TFTP サーバの名前。このサーバに証明書がインストールされている場合は、証明書アイコンが表示されます。
  • CAPF サーバ: 電話機が使用する CAPF サーバの名前。このサーバに証明書がインストールされている場合は、証明書アイコンが表示されます。
  • SRST ルータ: 電話機で使用できる信頼できる SRST ルータの IP アドレス。このサーバに証明書がインストールされている場合は、証明書アイコンが表示されます。

電話コールのセキュリティ

電話機にセキュリティが実装されている場合、電話画面のアイコンによってセキュアな電話コールを識別できます。また、コールの開始時にセキュリティ トーンが再生される場合、接続されている電話機がセキュアで保護されているかどうかを判断することもできます。

セキュアなコールでは、すべてのコール シグナリングとメディア ストリームが暗号化されます。セキュアなコールは、高いレベルのセキュリティを提供し、コールに整合性とプライバシーを提供します。進行中の通話が暗号化されている場合、安全な通話のロック アイコン 回線上にセキュアなアイコンが表示されます。セキュアな電話の場合、電話メニュー ([設定] > [このデバイスについて]) で接続されたサーバの隣に、認証済みアイコン または暗号化されたアイコン を表示することもできます。

コールが PSTN などの非 IP コール レッグを介してルーティングされる場合、コールは IP ネットワーク内で暗号化されており、ロックアイコンが関連付けられている場合でも、非セキュアである可能性があります。

セキュア コールでは、コールの開始時にセキュリティ トーンが再生され、接続されている他の電話機もセキュア オーディオを受信および送信していることを示します。コールが非セキュアな電話機に接続されている場合、セキュリティ トーンは再生されません。

セキュアコールは、2 つの電話機間の接続のみでサポートされています。電話会議や共有回線などの一部の機能は、セキュアなコールが設定されている場合は利用できません。

電話機が Cisco Unified Communications Manager でセキュア(暗号化および信頼性)として設定されている場合、保護された ステータスを与えることができます。その後、必要に応じて、保護された電話機を設定して、コールの開始時に通知トーンを再生できます。

  • 保護されたデバイス: セキュアな電話機のステータスを保護に変更するには、Cisco Unified Communications Manager Administration (デバイス > 電話) の [電話の設定(Phone Configuration)] ウィンドウの [保護されたデバイス(Protected Device)] チェックボックスをオンにします。

  • セキュア通知トーンを再生: 保護された電話機でセキュアまたは非セキュア通知トーンを再生できるようにするには、[セキュア通知トーンの再生(Play Secure Indication Tone)] の設定を [はい(True)] に設定します。デフォルトでは、[セキュア通知トーンの再生(Play Secure Indication Tone)] が [いいえ(False)] に設定されています。このオプションは、Cisco Unified Communications Manager Administration (システム > サービスパラメータ) で設定します。サーバを選択し、Unified Communications Manager サービスを選択します。[サービスパラメータ設定(Service Parameter Configuration)] ウィンドウで、[機能 - セキュア トーン(Feature - Secure Tone)] 領域でオプションを選択します。デフォルトは False です。

セキュアな会議コール識別

セキュアな会議コールを開始し、参加者のセキュリティ レベルを監視できます。セキュアな会議コールは、次の手順を使用して確立されます。

  1. ユーザがセキュアな電話機から会議を開始します。

  2. Cisco Unified Communications Manager は、セキュアな会議ブリッジをコールに割り当てます。

  3. 参加者が追加されると、Cisco Unified Communications Manager は各電話機のセキュリティ モードを確認し、会議のセキュア レベルを維持します。

  4. 電話機には、会議コールのセキュリティ レベルが表示されます。セキュアな会議には、セキュアなアイコン 安全な通話のロック アイコン が表示されます。

2 つの電話機間でセキュアなコールがサポートされています。保護された電話機では、セキュアなコールが設定されている場合、電話会議、共有回線、エクステンション モビリティなどの機能を使用できません。

次の表に、開始者の電話機のセキュリティ レベル、参加者のセキュリティ レベル、およびセキュアな会議ブリッジの可用性に応じて、会議のセキュリティ レベルの変更について説明します。

表 5. 電話会議のセキュリティ制限

イニシエータの電話セキュリティ レベル

使用されている機能

参加者のセキュリティ レベル

アクションの結果

非セキュア

会議

セキュリティ

非セキュアな会議ブリッジ

非セキュアな会議

セキュリティ

会議

少なくとも 1 人のメンバーが安全ではありません。

セキュアな会議ブリッジ

非セキュアな会議

セキュリティ

会議

セキュリティ

セキュアな会議ブリッジ

セキュアな暗号化レベル会議

非セキュア

ミートミー

最小セキュリティレベルが暗号化されています。

イニシエータは「Does not meet Security Level, call rejected」というメッセージを受信します。

セキュリティ

ミートミー

最小セキュリティレベルが非セキュアです。

セキュアな会議ブリッジ

会議はすべてのコールを受け入れます。

安全な電話通話 ID

セキュア コールは、電話機と相手側の電話機がセキュア コール用に設定されている場合に確立されます。他の電話機は、同じ Cisco IP ネットワーク内または IP ネットワーク外のネットワーク内になることができます。セキュアなコールは、2 つの電話機間でのみ行うことができます。セキュアな会議ブリッジの設定後、会議コールがセキュアなコールをサポートする必要があります。

セキュアなコールは、次のプロセスを使用して確立されます。

  1. ユーザは、セキュアな電話機(セキュアなセキュリティ モード)からコールを開始します。

  2. 電話画面にセキュア アイコン安全な通話のロック アイコン が表示されます。このアイコンは、電話機がセキュアなコール用に設定されていることを示します。ただし、接続されている他の電話機もセキュアであるという意味ではありません。

  3. コールが別のセキュアな電話機に接続されると、ユーザにセキュリティ トーンが聞こえ、会話の両端が暗号化され、セキュアであることを示します。コールが非セキュアな電話機に接続されている場合、ユーザにはセキュリティ トーンが聞こえません。

2 つの電話機間でセキュアなコールがサポートされています。保護された電話機では、セキュアなコールが設定されている場合、電話会議、共有回線、エクステンション モビリティなどの機能を使用できません。

保護された電話機だけが、これらのセキュア通知トーンまたは非セキュア通知トーンを再生します。保護されていない電話機はトーンを再生しません。コール中にコール ステータスが全体的に変更されると、通知トーンが変化し、保護された電話機が適切なトーンを再生します。

保護された電話機は、次の状況下でトーンを再生するかどうかを決定します。

  • [セキュア通知トーンの再生(Play Secure Indication Tone)] オプションが有効になっている場合:

    • エンドツーエンドのセキュア メディアが確立され、コール ステータスがセキュアである場合、電話機はセキュア インディケーション トーン(3 つの長いビープ音)を再生します。

    • エンドツーエンドの非セキュア メディアが確立され、コール ステータスが非セキュアである場合、電話機は非セキュア通知トーン(6 つの短いビープ音)を再生します。

[セキュア通知トーンの再生(Play Secure Indication Tone)] オプションが無効になっている場合、トーンは再生されません。

割り込みに暗号化を提供する

Cisco Unified Communications Manager は、会議が確立されたときに電話機のセキュリティ ステータスをチェックし、会議のセキュリティ表示を変更するか、またはコールの完了をブロックして、システムの整合性とセキュリティを維持します。

割り込みに使用する電話機が暗号化用に設定されていない場合、ユーザは暗号化されたコールに割り込むことができません。この場合、割り込みが失敗すると、割り込みが開始されたことを電話機でリオーダー(高速ビジー)トーンが再生されます。

割り込み元電話機で暗号化が設定されている場合、割り込み元は暗号化された電話機からセキュアでないコールに割り込むことができます。割り込みが発生すると、Cisco Unified Communications Manager はコールを非セキュアに分類します。

発信者の電話機で暗号化が設定されている場合、割り込み発信者は暗号化されたコールに割り込むことができ、電話機はコールが暗号化されていることを示します。

WLAN セキュリティ

範囲内にあるすべての WLAN デバイスは、他の WLAN トラフィックをすべて受信できるため、WLAN では音声通信のセキュリティが重要です。侵入者が音声トラフィックを操作または傍受しないようにするために、Cisco SAFE Security アーキテクチャは電話機をサポートします。ネットワークのセキュリティの詳細については、次を参照してください。 http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Cisco ワイヤレス IP テレフォニー ソリューションは、電話機がサポートする次の認証方法を使用して、不正なサインインと通信を妨げるワイヤレス ネットワーク セキュリティを提供します。

  • 認証を開く: 任意のワイヤレス デバイスは、オープン システムで認証を要求できます。リクエストを受信する AP は、任意のリクエスト者に認証を付与するか、またはユーザのリストで見つかったリクエスト者にのみ付与できます。ワイヤレス デバイスと Access Point (AP) 間の通信は暗号化されませんでした。

  • 拡張認証プロトコル - セキュア トンネリング (EAP-FAST) 認証による柔軟な認証: このクライアント サーバ セキュリティ アーキテクチャは、AP と Identity Services Engine(ISE)などの RADIUS サーバ間のトランスポート レベル セキュリティ(TLS)トンネル内の EAP トランザクションを暗号化します。

    TLS トンネルは、クライアント(電話機)と RADIUS サーバ間の認証に、保護されたアクセス クレデンシャル(PAC)を使用します。サーバはクライアント(電話機)に Authority ID(AID)を送信し、その後適切な PAC を選択します。クライアント(電話機)は、PAC-Opaque を RADIUS サーバに返します。サーバはプライマリキーで PAC を復号します。両方のエンドポイントに PAC キーが含まれるようになり、TLS トンネルが作成されます。EAP-FAST は自動 PAC プロビジョニングをサポートしますが、RADIUS サーバで有効にする必要があります。

    ISE では、デフォルトで PAC は 1 週間で期限切れになります。電話機に期限切れの PAC がある場合、電話機が新しい PAC を取得する間、RADIUS サーバでの認証に時間がかかります。PAC プロビジョニングの遅延を回避するには、ISE サーバまたは RADIUS サーバで PAC 有効期限を 90 日以上に設定します。

  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) 認証: EAP-TLS では、認証とネットワーク アクセスのためのクライアント証明書が必要です。ワイヤレス EAP-TLS の場合、クライアント証明書は MIC、LSC、またはユーザがインストールされた証明書になります。

  • Protected Extensible Authentication Protocol (PEAP): クライアント(電話)と RADIUS サーバ間のシスコ独自のパスワードベースの相互認証スキーム。電話機は、ワイヤレス ネットワークでの認証に PEAP を使用できます。PEAP-MSCHAPV2 と PEAP-GTC の両方の認証方式がサポートされています。

  • 事前共有キー (PSK): 電話機は ASCII 形式をサポートします。WPA/WPA2/SAE 事前共有キーを設定する場合は、次の形式を使用する必要があります。

    ASCII: 長さ 8 ~ 63 文字の ASCII 文字列 (0 ~ 9、小文字 A ~ Z、特殊文字)

    : GREG123567@9ZX&W

次の認証スキームは、RADIUS サーバを使用して認証キーを管理します。

  • wpa/wpa2/wpa3: RADIUS サーバ情報を使用して、認証に一意のキーを生成します。これらのキーは集中型の RADIUS サーバで生成されるため、WPA2/WPA3 は AP と電話機に保存されている WPA 事前共有キーよりも高いセキュリティを提供します。

  • 高速セキュアローミング: RADIUS サーバとワイヤレス ドメイン サーバ(WDS)情報を使用して、キーを管理および認証します。WDS は、高速でセキュアな再認証のために、FT 対応クライアント デバイスのセキュリティ資格情報のキャッシュを作成します。Cisco Desk Phone 9861 および 9871 および Cisco Video Phone 8875 は、802.11r(FT)をサポートしています。高速セキュアローミングを可能にするために、空気と DS 上の両方がサポートされています。ただし、空気を介して 802.11r(FT)を使用することを強くお勧めします。

WPA/WPA2/WPA3 では、暗号化キーは電話機に入力されませんが、AP と電話機の間で自動的に生成されます。ただし、認証に使用される EAP ユーザ名とパスワードは、各電話機に入力する必要があります。

音声トラフィックがセキュアであることを保証するために、電話機は暗号化に対して TKIP および AES をサポートします。これらのメカニズムを暗号化に使用する場合、シグナリング SIP パケットと音声リアルタイム トランスポート プロトコル(RTP)パケットの両方が AP と電話機の間で暗号化されます。

ツキップ

WPA は、WEP 上でいくつかの改善がある TKIP 暗号化を使用します。TKIP は、パケットごとのキーの暗号化と、暗号化を強化するより長い初期化ベクトル(IV)を提供します。さらに、メッセージ整合性チェック(MIC)によって、暗号化されたパケットが変更されないことが保証されます。TKIP は、侵入者が WEP キーを解読するのに役立つ WEP の予測可能性を除去します。

エース

WPA2/WPA3 認証に使用される暗号化方式。この暗号化の国内標準では、暗号化と復号化に同じキーを持つ対称アルゴリズムを使用します。AES は 128 ビットサイズの暗号ブロックチェーン(CBC)暗号化を使用し、少なくとも 128 ビット、192 ビット、256 ビットのキーサイズをサポートします。電話機は 256 ビットのキー サイズをサポートします。

Cisco Desk Phone 9861 および 9871 および Cisco Video Phone 8875 は、CMIC を使用した Cisco Key Integrity Protocol(CKIP)をサポートしていません。

認証および暗号化方式は、ワイヤレス LAN 内でセットアップされます。VLAN はネットワークと AP で構成され、認証と暗号化の異なる組み合わせを指定します。SSID は VLAN と特定の認証および暗号化スキームに関連付けます。ワイヤレス クライアント デバイスを正常に認証するには、認証および暗号化方式で同じ SSID を AP と電話機で設定する必要があります。

一部の認証スキームには、特定の種類の暗号化が必要です。

  • WPA 事前共有キー、WPA2 事前共有キー、または SAE を使用する場合は、事前共有キーを電話機で静的に設定する必要があります。これらのキーは、AP にあるキーと一致する必要があります。

  • 電話機は、FAST または PEAP の自動 EAP ネゴシエーションをサポートしますが、TLS ではサポートしません。EAP-TLS モードの場合は、それを指定する必要があります。

次の表の認証スキームと暗号化スキームは、AP 設定に対応する電話機のネットワーク設定オプションを示しています。

表 6 認証および暗号化スキーム
FSR タイプ認証鍵管理暗号化保護された管理フレーム(PMF)
802.11r(FT)PSK

wpa-psk (航空機)

wpa-psk-sha256

FT-psk (航空機)

エースいいえ
802.11r(FT)WPA3

重大

FT-saeについて

エースはい
802.11r(FT)EAP-TLS

WPA-EAP

FT-eapバー

エースいいえ
802.11r(FT)eap-tls (wpa3)

wpa-eap-sha256

FT-eapバー

エースはい
802.11r(FT)EAP-FAST

WPA-EAP

FT-eapバー

エースいいえ
802.11r(FT)eap-fast(wpa3)

wpa-eap-sha256

FT-eapバー

エースはい
802.11r(FT)EAP-PEAP

WPA-EAP

FT-eapバー

エースいいえ
802.11r(FT)eap-peap (wpa3)

wpa-eap-sha256

FT-eapバー

エースはい

ワイヤレス LAN プロファイルの設定

資格情報、周波数帯域、認証方法などを設定することで、ワイヤレス ネットワーク プロファイルを管理できます。

WLAN プロファイルを設定する前に、次の点に注意してください。

  • ユーザー名とパスワード

    • ネットワークがユーザ認証に EAP-FAST および PEAP を使用する場合、リモート認証ダイヤルイン ユーザ サービス(RADIUS)と電話機で必要に応じて、ユーザ名とパスワードの両方を設定する必要があります。

    • ワイヤレス LAN プロファイルに入力するクレデンシャルは、RADIUS サーバで設定したクレデンシャルと同じである必要があります。

    • ネットワーク内のドメインを使用する場合は、次の形式でドメイン名でユーザ名を入力する必要があります。domain\username

  • 以下のアクションにより、既存の Wi-Fi パスワードが消去される可能性があります。

    • 無効なユーザー ID またはパスワードを入力する
    • EAP タイプが PEAP-MSCHAPV2 または PEAP-GTC に設定されている場合に無効または期限切れのルート CA をインストールする
    • 電話機を新しい EAP タイプに切り替える前に、RADIUS サーバで使用中の EAP タイプを無効にする
  • EAP タイプを変更するには、まず RADIUS サーバで新しい EAP タイプを有効にしてから、電話機を EAP タイプに切り替えてください。すべての電話機が新しい EAP タイプに変更された場合は、必要に応じて、以前の EAP タイプを無効にすることができます。
1

Cisco Unified Communications Manager Administration で、[デバイス] > [デバイス設定] > [ワイヤレス LAN プロファイル] の順に選択します。

2

設定するネットワーク プロファイルを選択します。

3

パラメータを設定します。

4

[保存] をクリックします。

SCEP パラメータの設定

Simple Certificate Enrollment Protocol(SCEP)は、証明書の自動プロビジョニングと更新の標準です。SCEP サーバは、ユーザ証明書とサーバ証明書を自動的に維持できます。

電話機の Web ページで次の SCEP パラメータを設定する必要があります。

  • RA IP アドレス

  • SCEP サーバのルート CA 証明書の SHA-1 または SHA-256 フィンガープリント

Cisco IOS 登録局(RA)は、SCEP サーバへのプロキシとして機能します。電話機の SCEP クライアントは、Cisco Unified Communication Manager からダウンロードされたパラメータを使用します。パラメータを設定した後、電話機は SCEP GETCS 要求を RA に送信し、定義されたフィンガープリントを使用してルート CA 証明書が検証されます。

開始する前に

SCEP サーバで、次のように SCEP Registration Agent(RA)を設定します。

  • PKI 信頼ポイントとして行動する
  • PKI RA として機能する
  • RADIUS サーバを使用したデバイス認証の実行

詳細については、SCEP サーバのマニュアルを参照してください。

1

Cisco Unified Communications Manager Administration から、[デバイス] > [電話] を選択します。

2

電話機を見つけます。

3

[プロダクト固有の構成レイアウト] エリアまでスクロールします。

4

[WLAN SCEP サーバー] チェックボックスをオンにして、SCEP パラメータを有効にします。

5

[WLAN ルート CA フィンガープリント (SHA256 または SHA1) ] チェックボックスをオンにして、SCEP QED パラメータを有効にします。

サポートされているバージョンの TLS をセットアップ

クライアントとサーバにそれぞれ必要な TLS の最小バージョンを設定できます。

デフォルトでは、サーバとクライアントの最小の TLS バージョンは 1.2 です。設定は、次の機能に影響します。

  • HTTPS Web アクセス接続
  • オンプレミス電話のオンボーディング
  • モバイルおよび Remote Access (MRA) のオンボーディング
  • HTTPS サービス(ディレクトリ サービスなど)
  • Datagram Transport Layer Security(DTLS)
  • ポートアクセスエンティティ(PAE)
  • 拡張認証プロトコル - トランスポート層セキュリティ(EAP-TLS)

Cisco IP 電話の TLS 1.3 互換性の詳細については、「Cisco コラボレーション製品の TLS 1.3 互換マトリックス」を参照してください。

1

Cisco Unified Communications Manager の管理に管理者としてサインインします。

2

次のいずれかのウィンドウに移動します。

  • システム > エンタープライズ電話の設定
  • デバイス > デバイス設定 > 共通の電話プロファイル
  • デバイス > 電話 > 電話の設定
3

[TLS クライアント最小バージョン] フィールドをセットアップします。

「TLS 1.3」オプションは、Cisco Unified CM 15SU2 以降で使用できます。
  • TLS 1.1: TLS クライアントは、1.1 から 1.3 への TLS のバージョンをサポートします。

    サーバー内の TLS バージョンが 1.1 (1.0 など) より低い場合、接続を確立できません。

  • TLS 1.2 (デフォルト): TLS クライアントは TLS 1.2 および 1.3 をサポートします。

    サーバー内の TLS バージョンが 1.2 (1.1 または 1.0 など) より低い場合、接続を確立できません。

  • TLS 1.3: TLS クライアントは TLS 1.3 のみをサポートします。

    サーバー内の TLS バージョンが 1.3 (1.2、1.1、または 1.0 など) より低い場合、接続を確立できません。

4

[TLS サーバー最小バージョン ] フィールドをセットアップします。

  • TLS 1.1: TLS サーバは、1.1 から 1.3 への TLS のバージョンをサポートします。

    クライアントの TLS バージョンが 1.1 (1.0 など) より低い場合、接続を確立できません。

  • TLS 1.2 (デフォルト): TLS サーバは TLS 1.2 および 1.3 をサポートします。

    クライアントの TLS バージョンが 1.2 (1.1 または 1.0 など) より低い場合、接続を確立できません。

  • TLS 1.3: TLS サーバは TLS 1.3 のみをサポートします。

    クライアントの TLS バージョンが 1.3 (1.2、1.1、または 1.0 など) より低い場合、接続を確立できません。

PhoneOS 3.2 リリースから、「TLS 1.0 および TLS 1.1 for Web Access の無効化」フィールドの設定は、電話機には影響しません。
5

[保存] をクリックします。

6

[設定を適用] をクリックします。

7

電話機を再起動します。

保証されたサービス SIP

Assured Services SIP(AS-SIP)は、Cisco IP 電話 およびサードパーティの電話機に高度なセキュアなコール フローを提供する機能とプロトコルのコレクションです。次の機能は総称して AS-SIP と呼ばれます。

  • Multilevel Precedence and Preemption(MLPP)
  • 差別化サービス コード ポイント(DSCP)
  • Transport Layer Security (TLS) および Secure Real-time Transport Protocol (SRTP)
  • インターネット プロトコル バージョン 6 (IPv6)

AS-SIP は、緊急時にコールを優先順位付けするために、MLPP (Multilevel Precedence and Preemption) と共に使用されることがよくあります。MLPP では、レベル 1(低)からレベル 5(高)まで、発信コールに優先レベルを割り当てます。コールを受信すると、通話の優先順位を示す優先レベル アイコンが電話機に表示されます。

AS-SIP を設定するには、Cisco Unified Communications Manager で次のタスクを実行します。

  • ダイジェストユーザの設定:SIP 要求にダイジェスト認証を使用するエンド ユーザを設定します。
  • [SIP 電話セキュア ポートの設定(Configure SIP Phone Secure Port)]:Cisco Unified Communications Manager はこのポートを使用して、TLS を介した SIP 回線登録の SIP 電話をリッスンします。
  • サービスの再起動:セキュアポートを設定した後、Cisco Unified Communications Manager および Cisco CTL Provider サービスを再起動します。AS-SIP の SIP プロファイルの設定 AS-SIP エンドポイントおよび SIP トランクの SIP 設定を使用して SIP プロファイルを設定します。電話機固有のパラメータは、サードパーティ AS-SIP 電話機にダウンロードされません。これらは Cisco Unified Manager によってのみ使用されます。サードパーティの電話機は、同じ設定をローカルで設定する必要があります。
  • AS-SIP の電話セキュリティ プロファイルの設定:電話セキュリティ プロファイルを使用して、TLS、SRTP、ダイジェスト認証などのセキュリティ設定を割り当てることができます。
  • [AS-SIP エンドポイントの設定(AS-SIP Endpoint Configuration)]:AS-SIP サポートを使用して Cisco IP Phone またはサードパーティのエンドポイントを設定します。
  • [デバイスとエンド ユーザの関連付け(Associate Device with End User)]:エンドポイントをユーザに関連付けます。
  • AS-SIP の SIP トランク セキュリティ プロファイルの設定:SIP トランク セキュリティ プロファイルを使用して、TLS やダイジェスト認証などのセキュリティ機能を SIP トランクに割り当てることができます。
  • AS-SIP の SIP トランクの設定:AS-SIP サポートを使用して SIP トランクを設定します。
  • [AS-SIP 機能の設定(AS-SIP Feature Configuration)]:MLPP、TLS、V.150、IPv6 などの追加の AS-SIP 機能を設定します。

AS-SIP の設定の詳細については、『Cisco Unified Communications Manager の機能設定ガイド』の「AS-SIP エンドポイントの設定」の章を参照してください。

Multilevel Precedence and Preemption(マルチレベルの優先順位とプリエンプション)

Multilevel Precedence and Preemption(MLPP)を使用すると、緊急事態や他の危機的状況で通話に優先順位を付けることができます。1 ~ 5 の範囲の発信コールに優先順位を割り当てます。着信コールにはアイコンとコールの優先順位が表示されます。認証されたユーザは、対象のステーションまたは完全に登録された TDM トランクを介してコールをプリエンプション処理できます。

この機能により、重要な組織や担当者に上位のスタッフが通信できるようになります。

MLPP は、Assured Services SIP(AS-SIP)とよく使用されます。MLPP の設定の詳細については、「Cisco Unified Communications Manager の機能設定ガイド 」の「Multilevel Precedence and Preemption の設定」の章を参照してください。

FAC および CMC のセットアップ

強制承認コード(FAC)またはクライアント識別コード(CMC)または両方が電話機に設定されている場合、ユーザは番号をダイヤルアウトするために必要なパスワードを入力する必要があります。

Cisco Unified Communications Manager で FAC および CMC をセットアップする方法の詳細については、「Cisco Unified Communications Manager の機能設定ガイド、リリース 12.5(1) 以降」の「クライアント識別コードと強制承認コード」の章を参照してください。