ユニファイド メッセージング VoIP セキュリティについて

  • [アーティクル]

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2016-11-28

ネットワーク セキュリティの重要な点として、ユニファイド メッセージング (UM) インフラストラクチャを保護する機能があります。ユニファイド メッセージング環境内には、ネットワーク上のユニファイド メッセージング サーバーによって送受信されるデータを保護するために適切に構成する必要があるコンポーネントがあります。これにはユニファイド メッセージング サーバーやダイヤル プランなどのコンポーネントも含まれます。ここでは、組織のユニファイド メッセージング ネットワーク データおよびサーバーの保護を強化する方法について説明します。ユニファイド メッセージング環境をセキュリティで保護し、Voice over IP (VoIP) セキュリティを有効にするには、以下の手順を実行する必要があります。

  1. ユニファイド メッセージング サーバーの役割をインストールします。

  2. 相互 TLS に使用できる新しい自己署名入り証明書または公開証明書を作成します。

  3. 証明書を UM サーバーに関連付けます。

  4. UM ダイヤル プランを、[セキュリティで保護された SIP] または [セキュリティで保護] として構成します。

  5. UM サーバーでスタートアップ モードを構成します。

  6. ユニファイド メッセージング サーバーを UM ダイヤル プランに関連付けます。

  7. 完全修飾ドメイン名 (FQDN) を持ち、TCP ポート 5061 を使用するために使用する UM IP ゲートウェイを構成します。

  8. 必要な証明書をエクスポートおよびインポートし、ユニファイド メッセージング サーバー、IP ゲートウェイ、IP 構内交換機 (IP PBX)、および Microsoft Exchange Server 2010 を実行している他のサーバーで相互トランスポート層セキュリティ (相互 TLS) を使用できるようにします。

目次

ユニファイド メッセージングの保護

証明書の種類

相互 TLS の構成

IPsec

UM ダイヤル プランと VoIP セキュリティ

ユニファイド メッセージングがセキュリティ モードを判断し、証明書を選択するしくみ

ユニファイド メッセージングの保護

さまざまなセキュリティ方法を利用して、ユニファイド メッセージング サーバー自体、および IP ゲートウェイとユニファイド メッセージング サーバー間やユニファイド メッセージング サーバーと組織の他の Exchange 2010 サーバー間で送信されるネットワーク トラフィックを保護することができます。次の表は、ユニファイド メッセージング インフラストラクチャで想定される脅威と、それから保護するために実装できるセキュリティ方法の一覧です。

ユニファイド メッセージングの保護

想定される脅威 セキュリティ方法

音声トラフィックの傍受

  • インターネット プロトコル セキュリティ (IPsec) を使用します。IP ゲートウェイまたは IP PBX が IPsec をサポートしている必要があります。

  • SRTP (Secure Realtime Transport Protocol) を使用します。

IP ゲートウェイまたは IP PBX に対する攻撃

  • 強力な認証方法を使用します。

  • 強力な管理パスワードを使用します。

  • SSL (Secure Sockets Layer) を使用して、管理権限を備えた資格情報を保護します。IP ゲートウェイまたは IP PBX が SSL をサポートしている必要があります。

  • Telnet の代わりに SSH (Secure Shell) を使用します。

権限のない長距離電話

  • UM ダイヤル プラン ルールとダイヤル制限を使用します。これらは UM ダイヤル プランおよび UM メールボックス ポリシーで構成できます。

  • 必要に応じて PBX を構成し、他のダイヤル制限を実施することもできます。

サービス拒否攻撃

  • ユニファイド メッセージング サーバーで、信頼された VoIP デバイスまたはサーバーの一覧に含まれる UM IP ゲートウェイまたは IP PBX のみと通信します。信頼された VoIP デバイスまたはサーバーの一覧は、Active Directory ディレクトリ サービスで UM IP ゲートウェイを作成するときに作成します。

  • 相互 TLS を使用します。

セッション開始プロトコル (SIP) プロキシのなりすまし

  • 相互 TLS を使用します。

  • IPsec を使用します。IP ゲートウェイまたは IP PBX が IPsec をサポートしている必要があります。

  • 仮想 LAN (VLAN) などの信頼できる LAN、専用の WAN 回線、または仮想プライベート ネットワーク (VPN) を構成します。

盗聴およびセッション ハイジャック

  • 相互 TLS を使用して信号の盗聴を減らします。

  • IPsec を使用します。IP ゲートウェイまたは IP PBX が IPsec をサポートしている必要があります。

  • VLAN などの信頼できる LAN、専用の WAN 回線、または VPN を構成します。

前の表には、ユニファイド メッセージング環境を保護するために使用できるさまざまなセキュリティ方法の一覧が示されています。ユニファイド メッセージング インフラストラクチャ、およびユニファイド メッセージングによって発生するネットワーク トラフィックを保護するための最も重要なメカニズムの 1 つが、相互 TLS です。

相互 TLS を使用すると、ネットワーク上の IP ゲートウェイ、IP PBX、および他の Exchange 2010 サーバーとユニファイド メッセージング サーバーの間でやり取りされる Voice over IP (VoIP) トラフィックを暗号化できます。このデータを保護する最善の選択は、相互 TLS を使用して VoIP データを暗号化することです。

ただし、セキュリティの脅威に応じて、IPsec ポリシーを構成し、IP ゲートウェイや IP PBX とユニファイド メッセージング サーバー間、またはユニファイド メッセージング サーバーとネットワーク上の他の Exchange 2010 サーバー間のデータ暗号化を有効にすることもできます。環境によっては、IPsec が無効になっている、または IP ゲートウェイや IP PBX でサポートされていないという理由で、IPsec を使用できないことがあります。さらに、IPsec を使用するとユニファイド メッセージング サーバーのシステム リソースに余分な処理負荷がかかります。これら 2 つの要素を考慮すると、ユニファイド メッセージング環境で VoIP ネットワーク トラフィックを保護するには相互 TLS の方が望ましい方法となります。

相互 TLS を適切に実装して構成すると、IP ゲートウェイ、IP PBX、および他の Exchange サーバーとユニファイド メッセージング サーバーの間の VoIP トラフィックが暗号化されます。ただし、ユニファイド メッセージング サーバーがネットワーク上にある Active Directory ドメイン コントローラーや Exchange 2010 メールボックス サーバーなどの他のサーバーと通信していて、相互 TLS がユニファイド メッセージング サーバーとの送受信トラフィックのセキュリティ保護に使用できない場合は、他の種類の暗号化がデータ保護に使用されます。次の図で、ユニファイド メッセージングの保護に使用できる暗号化の方法について示します。

UM VoIP セキュリティ

ページのトップへ

証明書の種類

デジタル証明書は、ユーザーやコンピューターの身元を確認するオンライン パスポートのような働きをする電子ファイルで、データを保護するための暗号化チャネルの作成に使用されます。証明書は基本的に、証明機関 (CA) によって発行されるデジタル ステートメントです。証明機関は証明書の保有者の身元を保証し、当事者が暗号化を使用して安全な方法で通信できるようにします。証明書は、証明書サービスを使用するなどして、信頼されたサード パーティ CA から発行してもらうことも、自己署名入りの証明書を作成することもできます。証明書の種類によって、それぞれ長所と短所があります。しかし、証明書には常に改ざん防止策が施されており、偽造することはできません。証明書は、Web ユーザー認証、Web サーバー認証、S/MIME、IPsec、TLS、コード署名など、さまざまな目的のために発行できます。

証明書は公開キーを、対応する秘密キーを保持するユーザー、コンピューター、またはサービスの ID に結び付けます。公開キーと秘密キーはクライアントとサーバーの両方で使用され、ネットワーク経由で送信される前のデータを暗号化します。証明書は、インターネットなどのネットワーク経由で認証、データ整合性、およびセキュリティで保護された通信を提供するさまざまな公開キー セキュリティ サービスとアプリケーションで使用されます。Windows ベースのユーザー、コンピューター、およびサービスでは、信頼されたルート証明書ストアにルート証明書のコピーがあり、証明書に有効な証明のパスが含まれている場合に、CA に対する信頼が確立されます。これは、証明書パス内に、取り消されたり有効期限が切れたりしている証明書がないことを示しています。

デジタル証明書は次の 2 つの働きをします。

  • 証明書の保有者 (ユーザー、Web サイト、さらにルーターなどのネットワーク リソースまで) の身元が正しいことを証明します。

  • オンラインでやり取りされるデータが盗まれたり改ざんされたりしないようにします。

一般に、ユニファイド メッセージングおよび IP ゲートウェイや IP PBX で使用できる証明書は 3 種類あります。3 種類のどの手法でも、相手側のサーバー、ユーザー、Web サイト、またはその他のリソースがメッセージを解読できるように、証明書の所有者の公開キーが証明書の一部になっています。秘密キーは、証明書の署名者だけが知っています。各証明書には、証明書の具体的な使用法を規定する EnhancedKeyUsage 属性が設定されています。たとえば、使用法をサーバー認証のみに指定することや、暗号化ファイル システムでの使用に指定することができます。ユニファイド メッセージングでは、証明書をサーバー認証とデータ暗号化に使用します。

自己署名入りの証明書

自己署名入りの証明書は、証明書の作成者によって署名された証明書です。証明書のサブジェクトと名前が一致します。自己署名入りの証明書では、発行者とサブジェクトが証明書で定義されています。自己署名入りの証明書には、組織やサード パーティの CA の存在は必要ありません。証明書を発行したユニファイド メッセージング サーバーで、IP ゲートウェイ、IP PBX、他のユニファイド メッセージング サーバー、および他の Exchange 2010 コンピューターを信頼する場合は、自己署名入りの証明書を明示的に構成し、それぞれの信頼されたルート証明書ストアにコピーする必要があります。

公開キー基盤 (PKI) ベースまたはサード パーティの証明書が利用できない場合、ユニファイド メッセージング サーバーはローカル証明書ストアで自己署名入りの証明書を検索します。PKI またはサード パーティの証明書が見つからない場合は、相互 TLS 用に自己署名入りの証明書を生成します。しかし、これは自己署名入りの証明書であるため、IP ゲートウェイ、IP PBX、またはネットワーク上の他のサーバーからは信頼されません。自己署名入りの証明書が IP ゲートウェイ、IP PBX、または他のサーバーから信頼されるようにするには、自己署名入りの証明書をデバイスおよびサーバーのローカルの信頼されたルート証明書ストアにインポートする必要があります。インポートを実行した後は、ユニファイド メッセージング サーバーがこの自己署名入りの証明書を IP ゲートウェイ、IP PBX、またはサーバーに提示すると、自己署名入りの証明書で定義されているサブジェクトと発行者が等しいことから、証明書が信頼された機関によって発行されたことを確認できるようになります。

自己署名入りの証明書だけを使用している場合は、IP ゲートウェイ、IP PBX、またはサーバーごとに 1 つの自己署名入りの証明書をインポートする必要があります。多数のデバイスやコンピューターがある大規模なネットワーク環境では、これが相互 TLS を実装するための最良の方法ではない場合があります。大規模なエンタープライズ ネットワークで自己署名入りの証明書を使用すると、管理オーバーヘッドが増加するために拡張が困難です。一方、多数のデバイスがあり、PKI または商用サード パーティ証明書を使用している場合は、管理オーバーヘッドは問題になりません。これは、各デバイスが同じ信頼されたルート機関から発行された証明書を保持するからです。同じ信頼されたルート機関から発行された証明書を保持することで、すべての IP ゲートウェイ、IP PBX、および他のサーバーがユニファイド メッセージング サーバーを信頼するようになります。

自己署名入りの証明書を使用して相互 TLS を機能させるには、次の手順を実行します。

  1. ユニファイド メッセージング サーバーの自己署名入りの証明書を、各 IP ゲートウェイ、IP PBX、およびユニファイド メッセージング サーバーが相互 TLS を使用して通信する他のサーバーの信頼されたルート証明書ストアにインポートします。

  2. 各 IP ゲートウェイ、IP PBX、および他のサーバーから発行された自己署名入りの証明書を、ユニファイド メッセージング サーバーの信頼されたルート証明書ストアにインポートします。PKI またはサード パーティ証明書を使用している場合は、証明機関の証明書をすべてのデバイスとサーバーの信頼されたルート証明書ストアにインポートします。

多くの場合、自己署名入りの証明書は、相互 TLS や証明書ベースの認証を展開するときの最良の方法ではありません。しかし、相互 TLS を実装するときに構成が最も簡単で、最もコストをかけずに使用できる方法であるため、デバイスやコンピューターの数が限られている小規模な組織では、自己署名入りの証明書を使用することがあります。小規模な組織でサード パーティ証明書を使用したり、独自の PKI をインストールして独自の証明書を発行したりすることはあまりありません。コストがかかることや、管理者が独自の証明書階層を作成する知識と経験を持たないことがその理由です。自己署名入りの証明書を使用すると、コストは最小限で済み、セットアップも簡単です。その一方で、自己署名入りの証明書では、証明書のライフサイクル管理、更新、信頼管理、および失効のインフラストラクチャの確立がはるかに難しくなります。TLS の証明書を作成する方法の詳細については、「TLS 証明書について」を参照してください。

ページのトップへ

公開キー基盤

PKI は、公開キー暗号を使用して、電子トランザクションにかかわる各当事者の正当性を確認および認証するデジタル証明書、CA、および登録機関 (RA) のシステムです。Active Directory を使用する組織で CA を実装すると、証明書のライフサイクル管理、更新、信頼管理、および失効のインフラストラクチャが実現します。これらの特性が、組織のすべての証明書に堅固なインフラストラクチャをもたらします。ただし、これらの種類の証明書を作成および管理するには、追加のサーバーとインフラストラクチャの展開にある程度のコストがかかります。

証明書サービスは、ドメイン内の任意のサーバーにインストールできます。ドメインの Windows ベースの CA から証明書を取得する場合は、CA を使用して証明書の要求または署名を行い、ネットワーク上のサーバーやコンピューターに発行することができます。これにより、サード パーティ証明書ベンダーを使用するのと同じような PKI を、低コストで使用できます。これらの PKI は、他の種類の証明書のように公に展開することはできませんが、PKI を使用すると、CA が秘密キーを使用してリクエスターの証明書に署名し、リクエスターが検証されます。この CA の公開キーは、CA によって発行される証明書に含まれます。この CA の証明書をルート証明書として保持する者はだれでも、その公開キーを使用してリクエスターの証明書を解読し、リクエスターを認証することができます。

PKI 証明書を使用して相互 TLS を実装する場合は、必要な証明書を IP ゲートウェイまたは IP PBX にコピーする必要があります。さらに、セキュリティで保護されたモードで構成されている UM ダイヤル プランに関連付けられたユニファイド メッセージング サーバーに、IP ゲートウェイまたは IP PBX の証明書をコピーします。

PKI 証明書およびサード パーティ証明書を使用するためのセットアップと構成は、自己署名入りの証明書をインポートおよびエクスポートするときに実行する手順に似ています。ただし、コンピューターの証明書を信頼されたルート証明書ストアにインストールするだけでは不足です。さらに、PKI の信頼されたルート証明書をネットワーク上のユニファイド メッセージング サーバーおよび IP ゲートウェイや IP PBX の信頼されたルート証明書ストアにインポートまたはコピーする必要もあります。

PKI インフラストラクチャが既に展開されている場合に相互 TLS を展開するには、以下の手順を実行します。

  1. 各 IP ゲートウェイまたは PBX で証明書要求を生成します。

  2. 証明機関に証明書を要求するときに使用する証明書要求をコピーします。

  3. 証明書要求を使用して、証明機関に証明書を要求します。証明書を保存します。

  4. 保存した証明書を各デバイスまたはコンピューターにインポートします。

  5. PKI の信頼されたルート証明書をダウンロードします。

  6. 信頼されたルート証明書を PKI から各デバイスにインポートします。ユニファイド メッセージング サーバーの役割を実行している Exchange 2010 コンピューターに信頼されたルート証明書をインポートする場合は、グループ ポリシーを使用して、信頼されたルート証明書をユニファイド メッセージング サーバーや他の Exchange 2010 サーバーの信頼されたルート証明書ストアにインポートすることもできます。ただし、この処理はユニファイド メッセージング サーバーの役割を実行しているサーバーを構成するときにも使用されます。

    注意

    商用サード パーティ証明書を使用して相互 TLS を実装する場合も、同じ手順を使用します。

証明書と PKI の詳細については、以下のトピックを参照してください。

サード パーティ証明機関

サード パーティ (商用) 証明書は、サード パーティ (商用) CA によって生成される証明書で、購入してネットワーク サーバーで使用することができます。自己署名入りの証明書および PKI ベースの証明書の 1 つの問題は、証明書が信頼されていないために、クライアント コンピューター、サーバー、およびその他のデバイスの信頼されたルート証明書ストアに証明書を必ずインポートする必要があることです。サード パーティ (商用) 証明書には、このような問題はありません。ほとんどの商用 CA 証明書は、信頼されたルート証明書ストアに既に存在しているため、信頼された状態になっています。発行者が信頼されているので、証明書も信頼されます。サード パーティ証明書を使用すると、展開が大幅に簡略化されます。

大規模な組織や、証明書を公に展開する必要がある組織では、証明書に付随するコストこそ発生するものの、サード パーティ (商用) 証明書を使用するのが最良の方法です。小規模および中規模な組織では、商用証明書が最良の方法ではない場合があるため、それ以外のいずれかの証明書オプションを選択することもあります。

IP ゲートウェイまたは IP PBX の構成によっては、サード パーティ (商用) 証明書を相互 TLS で使用するために、IP ゲートウェイや IP PBX の信頼された証明書ストアにサード パーティ証明書をインポートしなければならない場合があります。ただし、場合によっては、サード パーティ証明書がユニファイド メッセージング サーバーや組織の他の Exchange 2010 コンピューターの信頼されたルート証明書ストアに格納されることがあります。

商用サード パーティ証明書を使用して相互 TLS を有効にするときの手順は、PKI 証明書を使用するときに実行する手順と同じです。唯一の違いは、PKI 証明書を生成する必要がないことです。商用サード パーティ証明書ベンダーから購入した証明書を、ネットワーク上のサーバーおよびデバイスの信頼されたルート証明書ストアにインポートします。

ページのトップへ

相互 TLS の構成

既定では、IP ゲートウェイから着信呼び出しを受けたときに、VoIP トラフィックは暗号化されておらず、相互 TLS も使用されていません。しかし、ユニファイド メッセージング サーバーに関連付けられた UM ダイヤル プランで、ユニファイド メッセージング サーバーのセキュリティ設定を構成することができます。ユニファイド メッセージング サーバーで、IP ゲートウェイ、IP PBX、および他の Exchange 2010 サーバーとセキュリティで保護された通信を行うには、Set-UMDialPlan コマンドレットを使用して、UM ダイヤル プランで VoIP セキュリティを構成した後、UM ダイヤル プランに関連付けられたユニファイド メッセージング サーバーの相互 TLS を有効にします。

UM ダイヤル プランで VoIP セキュリティを有効にすると、その UM ダイヤル プランに関連付けられたすべてのユニファイド メッセージング サーバーが安全な方法で通信できるようになります。ただし、相互 TLS を有効にするために使用する証明書の種類によっては、先にユニファイド メッセージング サーバーおよび IP ゲートウェイや PBX の両方で、必要な証明書をインポートおよびエクスポートする必要があります。ユニファイド メッセージング サーバーに必要な証明書を 1 つまたは複数インポートした後、Microsoft Exchange ユニファイド メッセージング サービスを再開して、IP ゲートウェイや IP PBX と暗号化された接続を確立するため、インポートした証明書を使用できるようにする必要があります。証明書をインポートおよびエクスポートする方法の詳細については、証明書のインポートとエクスポートに関するページを参照してください (このサイトは英語の場合があります)。

必要な信頼された証明書が正しくインポートをおよびエクスポートされると、IP ゲートウェイはユニファイド メッセージング サーバーに証明書を要求し、さらにユニファイド メッセージング サーバーが IP ゲートウェイに証明書を要求します。IP ゲートウェイとユニファイド メッセージング サーバーの間で信頼された証明書を交換することにより、IP ゲートウェイとユニファイド メッセージング サーバーは、相互 TLS を使用して、暗号化された接続を介して通信できるようになります。IP ゲートウェイや IP PBX は着信呼び出しを受けると、ユニファイド メッセージング サーバーとの証明書の交換を開始し、相互 TLS を使用してセキュリティをネゴシエートします。Microsoft Exchange ユニファイド メッセージング サービスは、証明書の交換プロセスや、証明書が有効かどうかの判断には関与しません。ただし、信頼された証明書がユニファイド メッセージング サーバーに見つからない場合、信頼された証明書は見つかったが有効でない場合、または相互 TLS のネゴシエーションが失敗して呼び出しが拒否された場合は、ユニファイド メッセージング サーバーは Microsoft Exchange ユニファイド メッセージング サービスから通知を受け取ります。

Microsoft Exchange ユニファイド メッセージング サービスは、ユニファイド メッセージング サーバーと IP ゲートウェイの間の証明書の交換には関与しません。ただし、Microsoft Exchange ユニファイド メッセージング サービスは以下の処理を実行します。

  • Microsoft Exchange Speech サービスに FQDN 一覧を提供して、一覧にある IP ゲートウェイまたは IP PBX からの呼び出しのみを受け付けるようにします。

  • 証明書の issuerName およびSerialNumber という属性を、Microsoft Exchange Speech サービスに渡します。これらの属性によって、IP ゲートウェイや IP PBX によって証明書が要求された場合にユニファイド メッセージング サーバーが使用する証明書が一意に識別されます。

ユニファイド メッセージング サーバーと IP ゲートウェイまたは IP PBX がキー交換を実行し、相互 TLS を使用して暗号化された接続を確立した後、ユニファイド メッセージング サーバーは暗号化された接続を使用して IP ゲートウェイおよび IP PBX と通信します。ユニファイド メッセージング サーバーは、クライアント アクセス サーバーやハブ トランスポート サーバーなどの他の Exchange 2010 サーバーとも、相互 TLS を使用する暗号化された接続を使用して通信します。ただし、相互 TLS はユニファイド メッセージング サーバーからハブ トランスポート サーバーに送信されるトラフィックやメッセージの暗号化にのみ使用されます。

重要

UM IP ゲートウェイと、セキュリティで保護されたモードで運用されているダイヤル プランの間で相互 TLS を有効にするには、まず FQDN を使用して UM IP ゲートウェイを構成し、ポート 5061 で要求待ちをするように UM IP ゲートウェイを構成する必要があります。UM IP ゲートウェイを構成するには、次のコマンドを実行します。 Set-UMIPGateway -Identity MyUMIPGateway -Port 5061.

ページのトップへ

IPsec

IPsec でも、証明書を使用してデータを暗号化します。IPsec は、プライベート ネットワークおよびインターネットの攻撃に対する主要な防衛線を提供します。

IPsec は次のような働きをします。

  • IP パケットの内容を保護します。

  • パケット フィルタリングおよび信頼された通信の強制により、ネットワーク攻撃を阻止します。

IPsec は、暗号化セキュリティ サービスを使用して、IP ネットワークを介したプライベートで安全な通信を確保するためのオープン規格のフレームワークです。

IPsec では、暗号化ベースの保護サービス、セキュリティ プロトコル、および動的なキー管理を使用します。プライベート ネットワーク コンピューター、ドメイン、サイト、リモート サイト、エクストラネット、およびダイヤルアップ クライアント間の通信を保護する強度と柔軟性を提供します。特定の種類のトラフィックの受信または送信をブロックするために使用することもできます。

IPsec は、送信元 IP アドレスから送信先 IP アドレスまでの信頼関係とセキュリティを確立するエンド ツー エンド セキュリティ モデルに基づいています。IP アドレス自体を ID と見なす必要はありません。代わりに、IP アドレスの背後のシステムが、認証プロセスによって検証される ID を持ちます。セキュリティで保護されているトラフィックのことを知っている必要があるのは、送信側と受信側のコンピューターだけです。各コンピューターはセキュリティをそれぞれの側で処理し、通信経路の媒体がセキュリティで保護されていないという前提で動作します。送信元コンピューターと送信先コンピューターの間でファイアウォール タイプのパケット フィルタリングまたはネットワーク アドレス変換が行われている場合を除いて、送信元から送信先にデータを転送するだけのコンピューターは IPsec をサポートする必要がありません。このため、IPsec は次のような組織のシナリオで有効に展開できます。

  • LAN   クライアントとサーバー、サーバーとサーバー、およびサーバーと VoIP デバイス

  • WAN   ルーターとルーターおよびゲートウェイとゲートウェイ

  • リモート アクセス   ダイヤルアップ クライアント、およびプライベート ネットワークからのインターネット アクセス

通常、2 つのシステムの間でトラフィックをセキュリティで保護する方法を取り決めることができるように、両方の側にオプションとセキュリティを設定する IPsec 構成が必要です。これを IPsec ポリシーと呼びます。Microsoft Windows 2000 Server、Windows XP、Windows Server 2003、および Windows Server 2008 オペレーティング システムの IPsec の実装は、インターネット技術標準化委員会 (IETF) の IPsec 作業グループが策定した業界標準に基づいています。IPsec 関連のサービスの一部は、Microsoft と Cisco Systems, Inc が共同で開発しました。IPsec ポリシーを構成する方法の詳細については、「IPSec ポリシーの作成、変更、および割り当て」を参照してください。

IPsec の詳細については、「IPSec Concepts」を参照してください (このサイトは英語の場合があります)。

注意

現在使用中のネットワークに IPsec ポリシーが実装されている場合は、IP ゲートウェイと IP PBX を IPsec ポリシーから除外する必要があります。除外しないと、ボイス メールで 3 秒おきに音声送信が 1 秒間途絶えます。これは既知の問題で、Windows Server 2003 向けの修正プログラムがあります。この修正プログラムの詳細については、「Windows Server 2003 と Windows XP インターネット プロトコル セキュリティ (IPsec) のフィルター作成と保守を簡略化する方法」を参照してください。

UM ダイヤル プランと VoIP セキュリティ

ユニファイド メッセージング サーバーは、UM ダイヤル プランの構成に応じて、セキュリティで保護されていないモード、セキュリティで保護された SIP モード、またはセキュリティで保護されたモードで、IP ゲートウェイ、IP PBX、および他の Exchange 2010 コンピューターと通信できます。ユニファイド メッセージング サーバーは、ダイヤル プランがどのモードに設定されていても動作します。セキュリティで保護されていない要求を TCP ポート 5060 で受け付けると共に、セキュリティで保護されている要求を TCP ポート 5061 で受け付けるようにユニファイド メッセージング サーバーが構成されているからです。1 つのユニファイド メッセージング サーバーに複数の UM ダイヤル プランを関連付けることもできます。関連付けたダイヤル プランの VoIP セキュリティ設定がそれぞれ異なっていてもかまいません。セキュリティ保護なしモード、セキュリティで保護された SIP モード、またはセキュリティで保護されたモードの組み合わせを使用するように複数のダイヤル プランを構成して、単一のユニファイド メッセージング サーバーに関連付けることができます。

既定では、作成した UM ダイヤル プランの通信モードはセキュリティ保護なしモードになり、そのダイヤル プランに関連付けられているユニファイド メッセージング サーバーが IP ゲートウェイ、IP PBX、およびその他の Exchange 2010 コンピューターとの間で送受信するデータは暗号化されません。セキュリティ保護なしモードでは、リアルタイム転送プロトコル (RTP) メディア チャネルと SIP 信号情報のどちらも暗号化されません。

他のデバイスおよびサーバーとの間で送受信される SIP および RTP トラフィックを、相互 TLS を使用して暗号化するように、ユニファイド メッセージング サーバーを構成できます。ユニファイド メッセージング サーバーを UM ダイヤル プランに追加し、セキュリティで保護された SIP モードを使用するようにダイヤル プランを構成すると、SIP 信号トラフィックのみが暗号化され、RTP メディア チャネルは TCP を使用します。TCP は暗号化されません。ただし、ユニファイド メッセージング サーバーを UM ダイヤル プランに追加して、セキュリティで保護されているモードを使用するようにダイヤル プランを構成すると、SIP 信号トラフィックと RTP メディア チャネルの両方が暗号化されます。SRTP (Secure Realtime Transport Protocol) を使用する、セキュリティで保護された信号メディア チャネルも、相互 TLS を使用して VoIP データを暗号化します。

VoIP セキュリティ モードは、新しいダイヤル プランを作成するときに構成することも、ダイヤル プランを作成した後で Exchange 管理コンソールまたは Set-UMDialPlan コマンドレットを使用して構成することもできます。セキュリティで保護された SIP モードまたはセキュリティで保護されたモードを使用するように UM ダイヤル プランを構成すると、その UM ダイヤル プランに関連付けられたユニファイド メッセージング サーバーは、SIP 信号トラフィックのみ、RTP メディア チャネルのみ、またはこれらの両方を暗号化します。ただし、ユニファイド メッセージング サーバーとの間で暗号化されたデータを送受信するには、相互 TLS をサポートするように UM ダイヤル プラン、および IP ゲートウェイや IP PBX などのデバイスを適切に構成する必要があります。

Exchange 管理シェルの Get-UMDialPlan コマンドレットを使用すると、特定の UM ダイヤル プランのセキュリティ設定を指定できます。VoIP セキュリティ パラメーターが有効になっている場合に、Microsoft Exchange ユニファイド メッセージング サービスがセキュリティで保護されたモードで開始していることを確認するには、アプリケーション イベント ログで情報イベント番号 1114 と 1112 がログに記録されているかどうかを確認します。

重要

Dialogic モデル 2000 または 4000 IP ゲートウェイの間で交換するデータの暗号化に相互 TLS を構成している場合、サーバー認証およびクライアント認証の両方をサポートするコンピューター V3 証明書テンプレートを使用する必要があります。サーバー認証をサポートする Web サーバー証明書テンプレートは、Dialogic 1000 および 3000 IP ゲートウェイ、AudioCodes IP ゲートウェイ、および Microsoft Office Communications Server 2007 でのみ正しく機能します。

ページのトップへ

ユニファイド メッセージングがセキュリティ モードを判断し、証明書を選択するしくみ

Microsoft Exchange ユニファイド メッセージング サービスは開始時に、関連付けられた UM ダイヤル プランおよび VoipSecurity パラメーターの設定を確認し、セキュリティで保護されたモードとセキュリティで保護されていないモードのどちらで開始すればよいかを識別します。セキュリティで保護されたモードで開始する必要があると判断した場合は、さらに必要な証明書にアクセスできるかどうかを確認します。ユニファイド メッセージング サーバーが UM ダイヤル プランに関連付けられていない場合は、Msexchangeum.config ファイルの StartSecured パラメーターを調べて、どちらのモードで開始するかを判断します。このパラメーターの値は、0 または 1 に設定できます。値を 1 に設定すると、ユニファイド メッセージング サーバーは暗号化を使用して VoIP トラフィックを保護します。値を 0 に設定してもサーバーは起動しますが、暗号化による VoIP トラフィックの保護は行われません。ユニファイド メッセージング サーバーの起動時の動作をセキュリティで保護されたモードからセキュリティで保護されていないモードに、またはその逆に変更する場合は、サーバーを適切な UM ダイヤル プランに関連付けてから、ユニファイド メッセージング サーバーを再起動することができます。また、Msexchangeum.config 構成ファイルで構成設定を変更し、Microsoft Exchange ユニファイド メッセージング サービスを再起動することもできます。

Microsoft Exchange ユニファイド メッセージング サービスをセキュリティで保護されていないモードで開始した場合でも、サービスは問題なく開始されます。ただし、IP ゲートウェイおよび IP PBX もセキュリティで保護されていないモードで実行されていることを確認してください。また、セキュリティで保護されていないモードでユニファイド メッセージング サーバーの接続をテストする場合は、-Secured:false パラメーターを指定して Test-UMConnectivity コマンドレットを使用します。 

Microsoft Exchange ユニファイド メッセージング サービスをセキュリティで保護されたモードで開始した場合、サービスは暗号化を有効にするために、相互 TLS で使用する有効な証明書をローカル証明書ストアで検索します。サービスは最初に有効な PKI または商用証明書を検索した後、適切な証明書が見つからない場合は、自己署名入りの証明書を検索します。PKI、パブリック、または自己署名入りの証明書が見つからない場合、Microsoft Exchange ユニファイド メッセージング サービスは、セキュリティで保護されたモードで開始するために使用する自己署名入りの証明書を作成します。ユニファイド メッセージング サーバーがセキュリティで保護されていないモードで開始している場合は、証明書は必要ありません。

セキュリティで保護されたモードで開始するときに使用された証明書のすべての詳細は、証明書が使用されるたびに、または証明書が変更された場合にログに記録されます。ログに記録される詳細には、次のようなものがあります。

  • 発行者名

  • シリアル番号

  • 拇印

拇印は SHA1 (Secure Hash Algorithm) ハッシュで、使用された証明書を一意に識別するために使用できます。Microsoft Exchange ユニファイド メッセージング サービスがセキュリティで保護されたモードで開始するときに使用された証明書をローカル証明書ストアからエクスポートし、ネットワーク上の IP ゲートウェイおよび IP PBX の信頼された証明書ストアにインポートすることができます。

適切な証明書が見つかって使用され、それ以降に証明書が変更されなければ、Microsoft Exchange ユニファイド メッセージング サービスは証明書の有効期限の 1 か月前にイベントをログに記録します。この期間中に証明書に変更を加えなければ、Microsoft Exchange ユニファイド メッセージング サービスは証明書の有効期限まで、および有効期限が過ぎた後、毎日イベントをログに記録します。

ユニファイド メッセージング サーバーが、暗号化されたチャネルを確立するために相互 TLS で使用する証明書を検索するときは、信頼されたルート証明書ストアを調べます。発行者の異なる有効な証明書が複数ある場合、ユニファイド メッセージング サーバーは有効期限までの期間が最も長い有効な証明書を選択します。複数の証明書が存在する場合、ユニファイド メッセージング サーバーは、発行者と有効期限に基づいて証明書を選択します。ユニファイド メッセージング サーバーは、有効な証明書を以下の順序で検索します。

  1. 有効期間が最も長い PKI または商用証明書

  2. 有効期間が最も短い PKI または商用証明書

  3. 有効期間が最も長い自己署名入りの証明書

  4. 有効期間が最も短い自己署名入りの証明書商用、PKI、または自己署名入りの、有効な証明書が必要です。有効な証明書が見つからない場合、ユニファイド メッセージング サーバーは、自己署名入りの証明書を生成します。ユニファイド メッセージング サーバーは、セキュリティで保護された SIP モードまたはセキュリティで保護されたモードで動作している場合、VoIP トラフィックを暗号化するために有効な証明書が必要です。

    重要

    クライアント アクセス サーバーとユニファイド メッセージング サーバーの間で、電話での再生データの暗号化に使用するクライアント アクセス サーバーに新しい証明書をインストールする場合、コマンド プロンプトから IISreset コマンドを実行して、正しい証明書をロードする必要があります。

ページのトップへ

 © 2010 Microsoft Corporation.All rights reserved.