...

パスワードとアカウントの原則の管理

by user

on
Category: Documents
3

views

Report

Comments

Transcript

パスワードとアカウントの原則の管理
C H A P T E R
9
パスワードとアカウントの原則の管理
Cisco Unity アプリケーションに対する不正アクセスを防止するための最初のステップは、デフォル
ト Cisco Unity アカウントに関連付けられているパスワードを保護し、ユーザに最初に割り当てられ
るパスワードを必ず一意のものにすることです。また、Cisco Unity アカウントの原則を定義して、
ユーザに対し、各自のパスワードを頻繁に変更して、一意で推測されにくいパスワードを使用する
ように義務付けることをお勧めします。十分に検討したアカウントの原則を導入することで、無効
なパスワードを何度も入力するユーザがロックアウトされるようになり、Cisco Unity アプリケー
ションへの不正アクセスも防止できます。
この章では、上記の作業を実施するための情報に加えて、パスワード セキュリティとアカウントの
原則の管理に関係するその他の問題について説明します。Cisco Unity のパスワード管理の範囲を理
解しやすくするために、
この章の最初の項で、Cisco Unity システム管理、
Cisco Personal Communications
Assistant(PCA)、および Cisco Unity カンバセーション(つまり TUI)へのアクセスに必要な各種の
パスワードについて説明します。以降の各項では、実施する必要のある作業、さまざまな決定を支
援するための推奨事項、決定した事項による影響について説明し、多くのケースについてベスト プ
ラクティスを示します。
Cisco Unity のパスワードを保護し、アカウントの原則を定義するための一連の手順については、次
の各項を参照してください。
ユーザが使用するパスワードの概要
ユーザが Cisco Unity アプリケーションへのアクセスに使用するパスワードについて(P.9-2)
デフォルト Cisco Unity アカウントのパスワードの保護
Cisco Unity で作成されるデフォルト アカウントのパスワードの保護(P.9-3)
必要なパスワードおよび当初からパスワードを保護する方法の概要
•
ユーザに対する一意で安全な初期 Windows パスワードの確実な割り当て(P.9-5)
•
ユーザに対する一意で安全な初期電話パスワードの確実な割り当て(P.9-6)
ユーザ パスワードの変更方法
•
Cisco Unity システム管理へのアクセスに使用されるパスワードの変更(P.9-7)
•
Cisco PCA パスワードの変更(P.9-7)
•
Cisco Unity 電話パスワードの変更(P.9-8)
アカウントの原則の定義方法
•
Cisco Unity システム管理へのアクセスに関するアカウントの原則の定義(P.9-9)
•
Cisco PCA へのアクセスに関するアカウントの原則の定義(P.9-9)
•
Cisco Unity への電話アクセスに関するアカウントの原則の定義(P.9-10)
Cisco Unity セキュリティ ガイド(Microsoft Exchange 版)
OL-14416-01-J
9-1
第9章
パスワードとアカウントの原則の管理
ユーザが Cisco Unity アプリケーションへのアクセスに使用するパスワードについて
ユーザが Cisco Unity アプリケーションへのアクセスに使用するパス
ワードについて
Cisco Unity ユーザは、複数のパスワードを使用して Cisco Unity アプリケーションにアクセスしま
す。各アプリケーションでどのパスワードが必要になるかを理解することは、Cisco Unity でのパス
ワード管理の範囲を把握する上で重要です。
Cisco Unity システム管理
Cisco Unity システム管理で Anonymous 認証を使用するように IIS が設定されている場合、ユーザは
Cisco Unity のログオン ページで Active Directory アカウントのユーザ名とパスワードを入力するよ
うに求められます。
Cisco Unity システム管理で統合 Windows 認証を使用するように IIS が設定されている場合、ユーザ
は、Cisco Unity のインストール時に選択した管理アカウントのユーザ名、パスワード、およびドメ
イン、または適切な Active Directory アカウントを入力します。
Cisco PCA
ユーザは、Active Directory アカウントのユーザ名とパスワードを Cisco PCA のログオン ページで入
力するように求められます。
Cisco Unity カンバセーション
ユーザは、電話のキーパッドを使用して、数字だけで構成されるパスワードを入力します。
Cisco Unity セキュリティ ガイド(Microsoft Exchange 版)
9-2
OL-14416-01-J
第9章
パスワードとアカウントの原則の管理
Cisco Unity で作成されるデフォルト アカウントのパスワードの保護
Cisco Unity で作成されるデフォルト アカウントのパスワードの保護
インストール中に、Cisco Unity はいくつかのデフォルト アカウントを作成します。一部のデフォル
ト アカウントには、安全と見なすことができない電話パスワードまたは Windows パスワードが割
り当てられます。
ベスト プラクティス:電話パスワードを変更して保護する
電話パスワードは、Cisco Unity システム管理の[ユーザ]>[ユーザ]>[電話パスワード]ページ
、見破られにく
で変更できます。次のデフォルト アカウントに対しては、桁数が多く(20 桁以上)
いパスワードを指定します。
•
Example Administrator:Cisco Unity インストレーションおよびコンフィギュレーション アシス
タントでは、このアカウントの作成に使用される Default Administrator テンプレートの電話パス
ワードを入力するように求められます。システムを Cisco Unity バージョン 4.0(3) またはそれ以
前のバージョンからアップグレードした場合は、Cisco Unity の Example Administrator ユーザ ア
カウントが、変更する必要のある電話パスワードをそのまま保持していることがあります。
•
Example Subscriber:Cisco Unity 4.0(3) より前のバージョンからアップグレードした場合は、自
動作成された Example Subscriber アカウントが存在していることがあります。Example Subscriber
アカウントが存在し、このアカウントを使用していない場合は削除します(Cisco Unity ユーザ
アカウントと、対応する Active Directory アカウントを両方とも削除します)。削除しない場合
は、電話パスワードを変更する必要があります。
ベスト プラクティス:Active Directory パスワードを変更して保護する
表 9-1 に示したデフォルト Cisco Unity アカウントには、Active Directory アカウントが関連付けられ
ており、このパスワードは[Active Directory ユーザーとコンピュータ]を使用して変更する必要が
あります。次の要件を満たすパスワードを指定してください。
•
少なくとも 8 文字以上
•
次の 3 つ以上のカテゴリから、それぞれ 1 文字以上を使用する
− 英大文字
− 英小文字
− 0 ∼ 9 の数字
− 特殊文字:~ !@ # $ % ^ * “ ‘ , . : ; ? - _ ( )[ ]< > { } + = / \ |
•
「aaaB1*C9」は使用しない)
同じ文字を 3 回以上連続で使用しない(たとえば、
•
現在のログオン名と一致しない(前方一致および後方一致)
Cisco Unity セキュリティ ガイド(Microsoft Exchange 版)
OL-14416-01-J
9-3
第9章
パスワードとアカウントの原則の管理
Cisco Unity で作成されるデフォルト アカウントのパスワードの保護
表 9-1
Active Directory アカウント パスワードの変更が必要な Cisco Unity デフォルト アカウント
Cisco Unity デフォルト
アカウント
説明
Example Administrator
アカウント名は EAdministrator です。
Cisco Unity インストレーションおよびコンフィギュレーション アシスタントでは、Default
Administrator テンプレートのパスワードを入力するように求められます。このテンプレート
は、Example Administrator アカウントおよび対応する Active Directory アカウントの作成に使
用されます。
システムを Cisco Unity バージョン 4.0(3) またはそれ以前のバージョンからアッ
プグレードした場合は、Active Directory の Example Administrator アカウントのパスワードが
デフォルトのままになっていることがあり、これは変更する必要があります。
Example Subscriber
アカウント名は ESubscriber です。
システムを Cisco Unity バージョン 4.0(2) またはそれ以前のバージョンからアップグレード
した場合は、自動作成された Example Subscriber アカウントが存在し、このアカウントのパ
スワードがデフォルトのままになっていることがあります。
Example Subscriber アカウントが存在し、このアカウントを使用していない場合は削除しま
す(Cisco Unity ユーザ アカウントと、対応する Active Directory アカウントを両方とも削除
します)
。または、パスワードを変更します。
Unity メッセージ システム アカウント名は Unity_< サーバ名 > です。
このアカウントは Cisco Unity システム管理に表示されないことに注意してください。シス
テムを Cisco Unity バージョン 4.0(4) またはそれ以前のバージョンからアップグレードした
場合は、Active Directory の Example Administrator アカウントがデフォルト パスワードのま
まで有効になっていることがあります。この場合は、パスワードを変更する必要がありま
す。
なし
アカウント名は UAmis_< サーバ名 > です。
Cisco Unity インストレーションおよびコンフィギュレーション アシスタントでは、Default
Subscriber テンプレートのパスワードを入力するように求められます。
このテンプレートは、
UAmis Active Directory アカウントの作成に使用されます。システムを Cisco Unity バージョ
ン 4.0(3) またはそれ以前のバージョンからアップグレードした場合は、UAmis アカウント
のパスワードがデフォルトのままになっていることがあり、これは変更する必要がありま
す。このアカウントはデフォルトで無効になっています。
なし
アカウント名は UOmni_< サーバ名 > です。
Cisco Unity インストレーションおよびコンフィギュレーション アシスタントでは、Default
Subscriber テンプレートのパスワードを入力するように求められます。
このテンプレートは、
UOmni Active Directory アカウントの作成に使用されます。システムを Cisco Unity バージョ
ン 4.0(3) またはそれ以前のバージョンからアップグレードした場合は、UOmni アカウント
のパスワードがデフォルトのままになっていることがあり、これは変更する必要がありま
す。このアカウントはデフォルトで無効になっています。
デフォルト アカウントの管理に関する詳細については、P.7-6 の「デフォルト アカウントを保護す
るためのベスト プラクティス」を参照してください。
Cisco Unity セキュリティ ガイド(Microsoft Exchange 版)
9-4
OL-14416-01-J
第9章
パスワードとアカウントの原則の管理
ユーザに対する一意で安全な初期 Windows パスワードの確実な割り当て
ユーザに対する一意で安全な初期 Windows パスワードの確実な割り当て
ユーザは Active Directory パスワードを使用して、Cisco Unity システム管理(Anonymous 認証を使
用するように設定されている場合)および Cisco PCA にアクセスします。Cisco Unity を不正アクセ
スから保護するには、各ユーザに一意の Active Directory パスワードを割り当てる必要があります。
また、各パスワードは、8 桁以上で見破られにくいものにする必要があります。
[ユーザ]>
[ユーザ テンプレート]>
ユーザ アカウントを作成する前に Cisco Unity システム管理の
[パスワード]ページで Active Directory パスワードを変更する方法だけでは、ユーザに対して一意
のパスワードが割り当てられる保証はありません。これは、パスワードの割り当て時にテンプレー
トが使用されない場合があり、テンプレートが使用されたときに、作成する各ユーザ アカウントに
同じパスワードが割り当てられるためです。
アカウントの作成時またはその直後に、各ユーザに対して一意で安全なパスワードを確実に割り当
てるには、次の方法を検討してください。
ユーザ アカウントの作成時に一意で安全な Active Directory パスワードを割り当てる場合
次のいずれかの方法を使用して、作成する各ユーザ アカウントに一意で安全な Active Directory パ
スワードを割り当てます。
•
新しい Active Directory アカウントの作成には、Cisco Unity システム管理または Cisco Unity Bulk
Import ウィザードを使用しません。代わりに、Active Directory ユーザーとコンピュータを使用
して、各ユーザの Active Directory アカウントを先に作成し、各ユーザに一意で安全なパスワー
ドを通常の方法で割り当てます。その後、Cisco Unity システム管理または Cisco Unity Bulk
Import ウィザードを使用して Cisco Unity ユーザ アカウントを作成します。
•
Cisco Unity システム管理を使用して、ユーザを一度に 1 人ずつ追加します。作成する各ユーザ
に対して、異なるテンプレートを使用し、各テンプレートに、一意で安全な Active Directory パ
スワードを指定します。または、すべてのユーザに対して 1 つのテンプレートを使用し、追加
する各ユーザ アカウントの前に、一意で安全なパスワードを指定します。すべてのユーザに対
して同じテンプレートを使用する場合、各ユーザに割り当てるパスワードは、安全な場所に記
録して、後で配布できるようにする必要があります ((Cisco Unity は最後に保存された値だけ
を保管します)
。
テンプレート パスワードを指定する前に、Active Directory ドメインに対するパスワード ポリ
シーを調べて、パスワードの最小長および複雑性の条件がテンプレートに指定するパスワード
と矛盾しないことを確認してください。Cisco Unity は、ユーザ テンプレート上のパスワードの
長さが Active Directory ドメインのパスワードの最小長よりも短い場合は、ユーザ アカウント
を追加しません。
ユーザ アカウントの作成後に一意で安全な Active Directory パスワードを割り当てる場合
ユーザ アカウントの作成後、次のいずれかの方法で各アカウントに一意で安全な Active Directory
パスワードを割り当てます。
•
各ユーザの既存のパスワードを変更する。
Active Directory ユーザーとコンピュータを使用して、
•
各自のパスワードを変更するようにユーザに依頼する。ユーザは Windows で Cisco PCA パス
ワードを変更できます。Windows で Ctrl-Alt-Delete キーを押し、
[パスワードの変更]をクリッ
クします。また、ユーザが通常アクセスするドメインとは別のドメインに Cisco Unity サーバが
ある場合は、Cisco Unity サーバのドメイン名を指定する必要があります。
ユーザは、電話パスワードと Cisco PCA パスワードは同じであると誤解することがあります。
その結果、初回登録時に Cisco Unity のプロンプトで電話パスワードの変更を要求されたとき
に、両方のパスワードを変更したと考える可能性があります。したがって、Cisco PCA パスワー
ドを Windows で変更するように依頼しても、多くのユーザが実行しない可能性があることに注
意してください。
Cisco Unity セキュリティ ガイド(Microsoft Exchange 版)
OL-14416-01-J
9-5
第9章
パスワードとアカウントの原則の管理
ユーザに対する一意で安全な初期電話パスワードの確実な割り当て
ユーザに対する一意で安全な初期電話パスワードの確実な割り当て
Cisco Unity を不正アクセスや料金の不正請求から保護するには、すべてのユーザに一意の電話パス
ワードを割り当てる必要があります。また、各パスワードは、8 桁以上で見破られにくいものにす
る必要があります。
[ユーザ]>
[ユーザ テンプレート]>
ユーザ アカウントを作成する前に Cisco Unity システム管理の
[パスワード]ページで電話パスワードを変更する方法だけでは、ユーザに対して一意のパスワー
ドが割り当てられる保証はありません。これは、パスワードの割り当て時にテンプレートが使用さ
れない場合があり、テンプレートが使用されたときに、作成する各ユーザ アカウントに同じパス
ワードが割り当てられるためです。
アカウントの作成時またはその直後に、各ユーザに対して一意で安全なパスワードを確実に割り当
てるには、次の方法を検討してください。
ユーザ アカウントの作成時に一意で安全な電話パスワードを割り当てる場合
次のいずれかの方法を使用して、作成する各ユーザ アカウントに一意で安全な電話パスワードを割
り当てます。
•
Cisco Unity Bulk Import ウィザードを使用して、CSV ファイルに含まれているユーザ データを
インポートします。各ユーザのテンプレート パスワードを上書きするには、CSV ファイルにオ
プション カラム ヘッダーの DTMF_PASSWORD を含めます。
•
Cisco Unity システム管理を使用して、ユーザを一度に 1 人ずつ追加します。作成する各ユーザ
に対して、異なるテンプレートを使用し、各テンプレートに、一意で安全な電話パスワードを
指定します。または、すべてのユーザに対して 1 つのテンプレートを使用し、追加する各ユー
ザ アカウントの前に、一意で安全なパスワードを指定します。パスワードの録音および配布を
避けるため、ユーザには、初期の電話パスワードを変更するときは Cisco Unity Assistant を使用
するように通知します。Cisco Unity Assistant では、古いパスワードを変更するときにユーザが
そのパスワードを入力する必要はありません。
ユーザ アカウントの作成後に一意で安全な電話パスワードを割り当てる場合
Cisco Unity システム管理または Cisco Unity Bulk Import ウィザードを使用してユーザ アカウントを
作成したら、Cisco Unity Bulk Import ウィザードを使用して、作成した各ユーザ アカウントに一意
の電話パスワードを割り当てます。パスワードの録音および配布を避けるため、ユーザには、初期
の電話パスワードを変更するときは Cisco Unity Assistant を使用するように通知します。Cisco Unity
Assistant では、古いパスワードを変更するときにユーザがそのパスワードを入力する必要はありま
せん。
Cisco Unity セキュリティ ガイド(Microsoft Exchange 版)
9-6
OL-14416-01-J
第9章
パスワードとアカウントの原則の管理
Cisco Unity システム管理へのアクセスに使用されるパスワードの変更
Cisco Unity システム管理へのアクセスに使用されるパスワードの変更
Cisco Unity 管理者は Windows でパスワードを変更できます。Windows で Ctrl-Alt-Delete キーを押し、
[パスワードの変更]をクリックします。また、ユーザが Windows パスワードで通常アクセスする
ドメインとは別のドメインに Cisco Unity サーバがある場合は、Cisco Unity サーバのドメイン名を指
定する必要があります。
ベスト プラクティス
Cisco Unity システム管理へのアクセスに使用するパスワードを変更する場合は、桁数が多く(8 文
字以上)、見破られにくいパスワードを指定します。アカウントの原則は、この条件を必須とする
ように設定します。Cisco Unity システム管理へのアクセスに使用するパスワードは、6 か月ごとに
変更してください。
Cisco PCA パスワードの変更
ユーザ アカウントを作成した後で、Windows Active Directory ユーザーとコンピュータを使用して、
ユーザ パスワードを変更できます。各ユーザには、一意な Windows パスワードを割り当てる必要
があります。ユーザが Cisco Unity 電話通話および Cisco Unity Assistant を使用して Cisco PCA パス
ワードを変更することや、管理者が Cisco Unity システム管理で Cisco PCA パスワードを変更するこ
とはできません。ユーザが Cisco PCA パスワードを変更するのは、Windows 上だけです。Ctrl キー
と Alt キーを押した状態で Delete キーを押し、
[パスワードの変更]をクリックします(Cisco Unity
サーバが、ユーザが Windows パスワードを使用して通常アクセスするドメインと異なるドメインに
ある場合は、Cisco Unity サーバのドメイン名も指定する必要があります)。
ベスト プラクティス
桁数が多く(8 文字以上)、見破られにくいパスワードを指定します。ユーザが Windows パスワー
ドを変更する場合は、必ずユーザにこの方法を推奨します。または、ユーザにこの方法を要求する
ように Windows のドメイン アカウント ポリシーを設定します。Cisco PCA パスワードは、6 か月ご
とに変更してください。
Cisco Unity セキュリティ ガイド(Microsoft Exchange 版)
OL-14416-01-J
9-7
第9章
パスワードとアカウントの原則の管理
Cisco Unity 電話パスワードの変更
Cisco Unity 電話パスワードの変更
個々のユーザの電話パスワードは、Cisco Unity システム管理の[ユーザ]>[ユーザ]>[電話パス
ワード]ページで、いつでも変更できます。一方、Cisco Unity Bulk Import ウィザードを使用する
と、複数のユーザの電話パスワードを同時に変更できます。詳細については、Cisco Unity Bulk Import
のヘルプを参照してください。
ベスト プラクティスとして、各ユーザに、8 桁以上で見破られにくい一意のパスワードを割り当て
る必要があります。ユーザによるパスワード設定を可能にする場合は、ユーザにこの方法を推奨す
るか、Cisco Unity システム管理の[ユーザ]>[アカウントの原則]>[電話パスワードの制限]ペー
ジを使用してユーザにこの方法を要求します。
ユーザが各自の電話パスワードを設定できるようにユーザ アカウントが設定されている場合、ユー
ザは Cisco Unity の電話通話または Cisco Unity Assistant を使用して電話パスワードを設定できます。
Cisco Unity カンバセーションでも、Cisco Unity Assistant でも、電話パスワードをリセットするとき
に古い電話パスワードの入力は要求されません。
AMIS、Bridge、インターネット、および VPIM のユーザは、電話では Cisco Unity にログオンでき
ないこと、
および Cisco Unity Assistant や Cisco Unity Inbox を使用できないことに注意してください。
電話パスワードは 30 日ごとに変更してください。
ベスト プラクティス:ユーザに対して各自の電話パスワードを保護するように要請する
ユーザは Cisco Unity Assistant を使用して電話パスワードを変更できるため、適切な方法で各自の
Cisco PCA パスワードを安全な状態に保つ必要があります。電話と Cisco PCA のパスワードが同期
化されないことについて、ユーザが理解している必要があります。初回登録時に、ユーザは初期電
話パスワードを変更するように求められますが、Cisco PCA Web サイトへのログオンに使用するパ
スワードはここで変更できません。
ベスト プラクティス:単純なユーザ パスワードが使用されていないことを確認する
ユーザがパスワードを設定した後に、それらのパスワードが見破られにくいものかどうかを確認し
ます。単純なパスワードを使用しているユーザについてレポートを作成するには、Cisco Unity Tools
Depot の Subscriber Information Dump を使用し、
[Trivial PW Check]チェックボックスをオンにしま
す。Subscriber Information Dump は、ユーザ アカウントごとに 6 つの値(Subscriber Information Dump
のヘルプを参照)のいずれかを示します。見破られやすいパスワードを使用しているユーザを識別
して、Cisco Unity アカウントのパスワードを見破られにくいものにするよう要請できます。
Cisco Unity セキュリティ ガイド(Microsoft Exchange 版)
9-8
OL-14416-01-J
第9章
パスワードとアカウントの原則の管理
Cisco Unity システム管理へのアクセスに関するアカウントの原則の定義
Cisco Unity システム管理へのアクセスに関するアカウントの原則の定義
アカウントの原則をどのように設定するかは、Cisco Unity システム管理で使用する認証方式によっ
て異なります。Cisco Unity システム管理で、
(デフォルトである)統合 Windows 認証方式を使用す
る場合は、Active Directory アカウントごとに指定するアカウントの原則によって、次の事項が決ま
ります。
•
ユーザが電話で Windows にログオンしようとして間違った電話パスワードを繰り返し入力し
た場合、Windows がどのように処理するか
•
Windows でログオン試行の失敗が許容される回数(この数に達すると、ユーザ アカウントは
Windows へのアクセスに使用できなくなる)
•
ユーザをロックアウトする期間
Cisco Unity システム管理で Anonymous 認証を使用する場合は、ログオン、パスワード、およびロッ
クアウトの原則を Cisco Unity システム管理の[認証]ページの設定を使用してカスタマイズできま
す。これらの原則は、ユーザが Cisco Unity システム管理を使用して Cisco Unity にアクセスすると
きに適用します。
ベスト プラクティス
セキュリティを強化するため、空白パスワードの使用を禁止します。この制約事項は、Active
Directory アカウントで空白パスワードが許可されている場合でも優先されます。
どちらの認証方式を使用する場合でも、Active Directory のアカウント ポリシーを定義するときに、
Cisco Unity パスワードを少なくとも 6 か月ごとに変更すること、文字数が多く(8 文字以上)見破
られにくいパスワードに変更することもユーザに義務付ける必要があります。
Cisco PCA へのアクセスに関するアカウントの原則の定義
Cisco Unity システム管理の[認証]ページで指定するアカウントの原則によって、ユーザが
Cisco PCA に ロ グ オ ン し よ う と し た と き に、不 正 な パ ス ワ ー ド を 繰 り 返 し 入 力 し た 場 合 の
Cisco Unity の対応(ユーザが空白パスワードを使用できるかどうかにかかわらず)、つまり、ユー
ザ アカウントが Cisco PCA にアクセスできなくなるまでのログオン失敗回数、およびユーザをロッ
クアウトする時間が決まります。
また、[認証]ページの設定を使用して、Cisco PCA のログオン ページで次のオプションをユーザ
に提供するかどうかを指定できます。
• [ユーザ名の保存]
• [パスワードの保存]
• [ドメインの保存]
Cisco Unity にユーザ名、パスワード、またはドメインを記憶させるように指定した場合、次に
Cisco PCA にログオンするときに、ユーザがこれらを入力する必要はありません。代わりに、フィー
ルドがログオン ページに自動的に入力されます。ユーザが Cisco Unity に資格を保存するかどうか
を指定できるようにすることによって、サポート デスクから情報を求められる回数を減らすことが
できます。ただし、セキュリティ上の理由から、ログオン ページでこのオプションをユーザに提供
しないようにすることもできます。提供しない場合は、[認証]ページの[次回も同じデータでロ
グオン :__ 日]チェックボックスをオフにして、Cisco PCA のログオン ページにこれらのオプショ
ンが表示されないようにし、Cisco PCA にログオンするたびに、ユーザ名、パスワード、ドメイン
を入力するように要求します。
Cisco Unity セキュリティ ガイド(Microsoft Exchange 版)
OL-14416-01-J
9-9
第9章
パスワードとアカウントの原則の管理
Cisco Unity への電話アクセスに関するアカウントの原則の定義
Cisco Unity への電話アクセスに関するアカウントの原則の定義
Cisco Unity システム管理の[電話パスワードの制限]ページおよび[Cisco Unity アカウントのロッ
クアウト]ページにあるアカウントの原則の設定は、ユーザが電話で Cisco Unity にアクセスすると
きに適用されます。アカウントの原則の設定を変更すると、既存のすべてのユーザに影響します。
詳細については、次の項を参照してください。
•
電話パスワードの制限の設定(P.9-10)
•
アカウントのロックアウト制限の設定(P.9-11)
電話パスワードの制限の設定
[電話パスワードの制限]の設定によって、ユーザが電話で Cisco Unity にアクセスする際に適用さ
れるシステム全体のパスワード ポリシーを定義できます。セキュリティを高めるには、容易に推測
できるパスワードおよびパスワードの長期間の使用を防止する原則を確立してください。また、
ユーザがそのたびに書き留めなければならないほど、複雑すぎるパスワードや、頻繁に変更しなけ
ればならないようなパスワードの要求は避けるようにしてください。
Cisco Unity システム管理の[電話パスワードの制限]ページでパスワードの原則を指定するときは、
次のガイドラインに従います。
電話パスワードの有効期間
ベスト プラクティスとして、[パスワードを無期限にする]オプションは有効にしないことをお勧
めします。代わりに、
[有効期間(日)]フィールドが選択され、ユーザに対して X 日ごとにパス
ワードの変更を求める状態になっていることを確認します(X は、隣接するボックスで指定する値
です)
。電話パスワードの有効期間は、最長でも 30 日にすることをお勧めします。
電話パスワードの長さ
ベスト プラクティスとして、
[
「パスワードなし」を許可]オプションは有効にしないことをお勧め
します。代わりに、[パスワードの最少桁数]フィールドが選択され、ユーザに対して X 文字以上
のパスワードを作成するように求める状態になっていることを確認します(X は、隣接するボック
スで指定する値です)。パスワードの最少桁数を変更すると、ユーザは次にパスワードを変更する
ときに新しい桁数で入力する必要があります。
電話パスワードの長さを指定するときは、桁数が多い(8 文字以上)パスワードの使用をユーザに
義務付けることをお勧めします。
電話パスワードの独自性
ベスト プラクティスとして、[パスワードの履歴を記録しない]オプションは無効にすることをお
勧めします(デフォルトでは有効になっています)
。代わりに、
[記録するパスワード数]フィール
ドで数値を指定します。この値を指定すると、指定した数のパスワード履歴がユーザごとに記録さ
れるので、新しいパスワードとパスワード履歴に記録されたパスワードを比較して、Cisco Unity で
パスワードの独自性を確保することができます。Cisco Unity は、履歴に記録されたパスワードと一
致するパスワードをすべて拒否します。
ベスト プラクティスとして、10 ∼ 24 個のパスワードを Cisco Unity でパスワード履歴に記録するよ
うに指定することをお勧めします。
Cisco Unity セキュリティ ガイド(Microsoft Exchange 版)
9-10
OL-14416-01-J
第9章
パスワードとアカウントの原則の管理
Cisco Unity への電話アクセスに関するアカウントの原則の定義
安全性のため単純なパスワードは禁止する
[
「パスワードなし」を許可]オプションは有効にしないことをお勧め
ベスト プラクティスとして、
します。代わりに、
[安全性のため単純なパスワードは禁止する]フィールドを有効にして、見破
られにくいパスワードの使用をユーザに義務付けていることを確認します。
Cisco Unity アプリケーションは、表 9-2 に示した見破られやすい特性を持つ電話パスワードを拒否
します。
表 9-2
アプリケーションで拒否される単純な電話パスワードの特性
見破られやすいパスワードの特性
Cisco Unity カン
Cisco Unity
バセーション
Assistant1
(TUI)1
Cisco Unity
Cisco Unity
システム管理 1 Bulk Import
Password
Hardening
Wizard
全体が同じ数字の繰り返しで構成され しない
ている(44444 など)
しない
しない
しない
しない
同じ数字の繰り返しが 1 グループ以上 する
含まれている(11579 など)
する
しない
する
しない
昇順の連続番号が含まれている(12345 しない
など)
しない
しない
しない
しない
降順の連続番号が含まれている(87654 しない
など)
しない
しない
しない
しない
ユーザのプライマリ内線番号と一致す しない
る
しない
しない
する
適用されない
1. [安全性のため単純なパスワードは禁止する]フィールドを有効にした場合のみ。
アカウントのロックアウト制限の設定
[Cisco Unity アカウントのロックアウト]の設定では、電話で Cisco Unity にアクセスするすべての
ユーザに適用されるアカウント ロックアウト原則を Cisco Unity が使用するかどうかを指定できま
す。アカウントの原則の設定をユーザ アカウントごとに変更することはできません。ただし、個々
のユーザ アカウントをロックして、ユーザが電話で Cisco Unity にアクセスできないようにするこ
とは可能です(個々のユーザ アカウントをロックアウトするには、Cisco Unity システム管理で、該
当するユーザの[ユーザ]>[ユーザ]>[アカウント]ページを使用します)
。
[アカウントのロックアウト]ページでアカウントのロックアウトの原則を指定するには、
[アカウ
ントのロックアウト]フィールドが選択されていることを確認します。次に、失敗したログオン試
行を Cisco Unity でどのように処理するか、およびロックアウトが発生した場合のロックアウト期間
を次のガイドラインに従って指定します。
[アカウントのロック __ 回後のログイン失敗後]
このフィールドは、発信者がユーザ アカウントにログオンしようとして間違ったパスワードを繰り
返し入力した場合に、Cisco Unity でどのように処理するかを指定するために使用します。デフォル
ト値を変更して、ログオン試行が 3 回失敗した時点で当該のユーザ アカウントへの電話アクセスを
ブロックするように指定することをお勧めします。
[カウンタのリセット __ 分のロックアウト後]
このフィールドは、Cisco Unity が何分後に、Cisco Unity へのログオン試行失敗回数のカウントを消
去するかを指定するために使用します(カウントがログオン失敗の制限値に達している場合、さら
にアカウントがロックされている場合は除きます)
。
Cisco Unity セキュリティ ガイド(Microsoft Exchange 版)
OL-14416-01-J
9-11
第9章
パスワードとアカウントの原則の管理
Cisco Unity への電話アクセスに関するアカウントの原則の定義
[ロックアウト期間]
ロックアウトされたユーザが電話で再び Cisco Unity にアクセス試行するまでに待つ必要のある期
間を指定します。デフォルト値を 1440 分に変更して、カウンタが 1 日後にリセットされるように
することをお勧めします。セキュリティをさらに強化するには、[無期限]を指定します。ユーザ
は、該当するユーザの[ユーザ]>[ユーザ]>[アカウント]ページでシステム管理者がロックを
解除するまで、アカウントにアクセスできなくなります。ロックアウト期間を[無期限]に設定す
るのは、システム管理者がただちにユーザを支援できる場合、またはシステムが不正アクセスおよ
び電話不正利用されやすい場合だけにしてください。
Cisco Unity セキュリティ ガイド(Microsoft Exchange 版)
9-12
OL-14416-01-J
Fly UP