ユニファイド メッセージング VoIP セキュリティについて

 

適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

トピックの最終更新日: 2008-07-03

ネットワーク セキュリティの重要な側面は、ユニファイド メッセージング インフラストラクチャを保護する機能です。ユニファイド メッセージング環境内には、ネットワーク上のユニファイド メッセージング サーバーによって送受信されるデータを保護するために適切に構成する必要があるコンポーネントがあります。これにはユニファイド メッセージング サーバーやダイヤル プランなどのコンポーネントも含まれます。ここでは、組織のユニファイド メッセージング ネットワーク データおよびサーバーの保護を強化する方法について説明します。ユニファイド メッセージング環境をセキュリティで保護し、Voice over IP (VoIP) セキュリティを有効にするには、以下の手順を実行する必要があります。

1. ユニファイド メッセージング サーバーの役割をインストールします。
2. UM ダイヤル プランを作成し、VoIP セキュリティを使用するように UM ダイヤル プランを構成します。
3. ユニファイド メッセージング サーバーを UM ダイヤル プランに関連付けます。
4. 必要な証明書をエクスポートおよびインポートし、ユニファイド メッセージング サーバー、IP ゲートウェイ、IP 構内交換機 (IP PBX)、および Microsoft Exchange Server 2007 を実行している他のサーバーで相互トランスポート層セキュリティ (相互 TLS) を使用できるようにします。
5. 完全修飾ドメイン名 (FQDN) を使用して UM IP ゲートウェイを構成します。

ユニファイド メッセージングの保護

さまざまなセキュリティ方法を利用して、ユニファイド メッセージング サーバー自体、および IP ゲートウェイとユニファイド メッセージング サーバー間やユニファイド メッセージング サーバーと組織の他の Exchange 2007 サーバー間で送信されるネットワーク トラフィックを保護することができます。次の表は、ユニファイド メッセージング インフラストラクチャで想定される脅威と、それから保護するために実装できるセキュリティ方法の一覧です。

ユニファイド メッセージングの保護

想定される脅威	セキュリティ方法
音声トラフィックの傍受	インターネット プロトコル セキュリティ (IPsec) を使用します。ただし、IP ゲートウェイまたは IP PBX が IPsec をサポートしている必要があります。 SRTP (Secure Realtime Transport Protocol) を使用します (Exchange 2007 SP1 のみ)。
FAX トラフィックの傍受	IPsec を使用します。ただし、IP ゲートウェイまたは IP PBX が IPsec をサポートしている必要があります。
IP ゲートウェイまたは IP PBX に対する攻撃	強力な認証方法を使用します。 強力な管理パスワードを使用します。 SSL (Secure Sockets Layer) を使用して、管理権限を備えた資格情報を保護します。IP ゲートウェイまたは IP PBX が SSL をサポートしている必要があります。 Telnet の代わりに SSH (Secure Shell) を使用します。
権限のない長距離電話	UM ダイヤル プラン ルールとダイヤル制限を使用します。これらは UM ダイヤル プランおよび UM メールボックス ポリシーで構成できます。 必要に応じて PBX を構成し、他のダイヤル制限を実施することもできます。
サービス拒否攻撃	ユニファイド メッセージング サーバーで、信頼された VoIP デバイスまたはサーバーの一覧に含まれる UM IP ゲートウェイまたは IP PBX のみと通信します。信頼された VoIP デバイスまたはサーバーの一覧は、Active Directory ディレクトリ サービスで UM IP ゲートウェイを作成するときに作成します。 相互 TLS を使用します。
セッション開始プロトコル (SIP) プロキシのなりすまし	相互 TLS を使用します。 IPsec を使用します。ただし、IP ゲートウェイまたは IP PBX が IPsec をサポートしている必要があります。 VLAN などの信頼できる LAN、専用の WAN 回線、または仮想プライベート ネットワーク (VPN) を構成します。
盗聴およびセッション ハイジャック	相互 TLS を使用して信号の盗聴を減らします。 IPsec を使用します。ただし、IP ゲートウェイまたは IP PBX が IPsec をサポートしている必要があります。 VLAN などの信頼できる LAN、専用の WAN 回線、または VPN を構成します。

前の表には、ユニファイド メッセージング環境を保護するために使用できるさまざまなセキュリティ方法の一覧が示されています。ユニファイド メッセージング インフラストラクチャ、およびユニファイド メッセージングによって発生するネットワーク トラフィックを保護するための最も重要なメカニズムの 1 つが、相互 TLS です。

相互 TLS を使用すると、ネットワーク上の IP ゲートウェイ、IP PBX、および他の Exchange 2007 サーバーとユニファイド メッセージング サーバーの間でやり取りされる Voice over IP (VoIP) トラフィックを暗号化できます。このデータを保護する最善の選択は、相互 TLS を使用して VoIP データを暗号化することです。

ただし、セキュリティの脅威に応じて、IPsec ポリシーを構成し、IP ゲートウェイや IP PBX とユニファイド メッセージング サーバー間、またはユニファイド メッセージング サーバーとネットワーク上の他の Exchange 2007 サーバー間のデータ暗号化を有効にすることもできます。環境によっては、IPsec が無効になっている、または IP ゲートウェイや IP PBX でサポートされていないという理由で、IPsec を使用できないことがあります。さらに、IPsec を使用するとユニファイド メッセージング サーバーのシステム リソースに余分な処理負荷がかかります。これら 2 つの要素を考慮すると、ユニファイド メッセージング環境で VoIP ネットワーク トラフィックを保護するには相互 TLS の方が望ましい方法となります。

相互 TLS を適切に実装して構成すると、IP ゲートウェイ、IP PBX、および他の Exchange サーバーとユニファイド メッセージング サーバーの間の VoIP トラフィックが暗号化されるようになります。ただし、相互 TLS を使用して、ユニファイド メッセージング サーバーによって送受信されるトラフィックをセキュリティで保護できない場合、たとえばユニファイド メッセージング サーバーが Active Directory ドメイン コントローラや Exchange 2007 メールボックス サーバーなどのネットワーク上の他のサーバーと通信する場合は、別の種類の暗号化を使用してデータを保護します。次の図に、ユニファイド メッセージングを保護するために使用できる暗号化の方法を示します。

証明書の種類

デジタル証明書は、ユーザーやコンピュータの身元を確認するオンライン パスポートのような働きをする電子ファイルで、データを保護するための暗号化チャネルの作成に使用されます。証明書は基本的に、証明機関 (CA) によって発行されるデジタル ステートメントです。証明機関は証明書の保有者の身元を保証し、当事者が暗号化を使用して安全な方法で通信できるようにします。証明書は、証明書サービスを使用するなどして、信頼されたサード パーティ CA から発行してもらうことも、自己署名入りの証明書を作成することもできます。証明書の種類によって、それぞれ長所と短所があります。しかし、証明書には常に改ざん防止策が施されており、偽造することはできません。証明書は、Web ユーザー認証、Web サーバー認証、S/MIME、IPsec、トランスポート層セキュリティ (TLS)、コード署名など、さまざまな目的のために発行できます。

証明書は公開キーを、対応する秘密キーを保持するユーザー、コンピュータ、またはサービスの ID に結び付けます。公開キーと秘密キーはクライアントとサーバーの両方で使用され、ネットワーク経由で送信される前のデータを暗号化します。証明書は、インターネットなどのネットワーク経由で認証、データ整合性、およびセキュリティで保護された通信を提供するさまざまな公開キー セキュリティ サービスとアプリケーションで使用されます。Windows ベースのユーザー、コンピュータ、およびサービスでは、信頼されたルート ストアにルート証明書のコピーがあり、証明書に有効な証明のパスが含まれている場合に、CA に対する信頼が確立されます。これは、証明のパスにある証明書が取り消されたり、有効期限が切れたりしていないことを意味します。

デジタル証明書は次の 2 つの働きをします。

• 証明書の保有者 (ユーザー、Web サイト、さらにルーターなどのネットワーク リソースまで) の身元が正しいことを証明します。
• オンラインでやり取りされるデータの盗用や改ざんを防止します。

一般に、ユニファイド メッセージングおよび IP ゲートウェイや IP PBX で使用できる証明書は 3 種類あります。3 種類のどの手法でも、相手側のサーバー、ユーザー、Web サイト、またはその他のリソースがメッセージを解読できるように、証明書の所有者の公開キーが証明書の一部になっています。秘密キーは、証明書の署名者だけが知っています。各証明書には、証明書の具体的な使用法を規定する EnhancedKeyUsage 属性が設定されています。たとえば、使用法をサーバー認証のみに指定することや、暗号化ファイル システムでの使用に指定することができます。ユニファイド メッセージングでは、証明書をサーバー認証とデータ暗号化に使用します。

自己署名入りの証明書

自己署名入りの証明書は、証明書の作成者によって署名された証明書です。証明書のサブジェクトと名前が一致します。自己署名入りの証明書では、発行者とサブジェクトが証明書で定義されています。自己署名入りの証明書には、組織やサード パーティの CA の存在は必要ありません。証明書を発行したユニファイド メッセージング サーバーで、IP ゲートウェイ、IP PBX、他のユニファイド メッセージング サーバー、および他の Exchange 2007 コンピュータを信頼する場合は、自己署名入りの証明書を明示的に構成し、それぞれの信頼されたルート証明書ストアにコピーする必要があります。

公開キー基盤 (PKI) ベースまたはサード パーティの証明書が利用できない場合、ユニファイド メッセージング サーバーはローカル証明書ストアで自己署名入りの証明書を検索します。PKI またはサード パーティの証明書が見つからない場合は、相互 TLS 用に自己署名入りの証明書を生成します。しかし、これは自己署名入りの証明書であるため、IP ゲートウェイ、IP PBX、またはネットワーク上の他のサーバーからは信頼されません。自己署名入りの証明書が IP ゲートウェイ、IP PBX、または他のサーバーから信頼されるようにするには、自己署名入りの証明書をデバイスおよびサーバーのローカルの信頼されたルート証明書ストアにインポートする必要があります。インポートを実行した後は、ユニファイド メッセージング サーバーがこの自己署名入りの証明書を IP ゲートウェイ、IP PBX、またはサーバーに提示すると、自己署名入りの証明書で定義されているサブジェクトと発行者が等しいことから、証明書が信頼された機関によって発行されたことを確認できるようになります。

自己署名入りの証明書だけを使用している場合は、IP ゲートウェイ、IP PBX、またはサーバーごとに 1 つの自己署名入りの証明書をインポートする必要があります。多数のデバイスやコンピュータがある大規模なネットワーク環境では、これが相互 TLS を実装するための最良の方法ではない場合があります。大規模なエンタープライズ ネットワークで自己署名入りの証明書を使用すると、管理オーバーヘッドが増加するために拡張が困難です。一方、多数のデバイスがあり、PKI または商用サード パーティ証明書を使用している場合は、管理オーバーヘッドは問題になりません。これは、各デバイスが同じ信頼されたルート機関から発行された証明書を保持するからです。同じ信頼されたルート機関から発行された証明書を保持することで、すべての IP ゲートウェイ、IP PBX、および他のサーバーがユニファイド メッセージング サーバーを信頼するようになります。

自己署名入りの証明書を使用して相互 TLS を機能させるには、次の手順を実行します。

1. ユニファイド メッセージング サーバーの自己署名入りの証明書を、各 IP ゲートウェイ、IP PBX、およびユニファイド メッセージング サーバーが相互 TLS を使用して通信する他のサーバーの信頼されたルート証明書ストアにインポートします。
2. 各 IP ゲートウェイ、IP PBX、および他のサーバーから発行された自己署名入りの証明書を、ユニファイド メッセージング サーバーの信頼されたルート証明書ストアにインポートします。PKI またはサード パーティ証明書を使用している場合は、証明機関の証明書をすべてのデバイスとサーバーの信頼されたルート証明書ストアにインポートします。

多くの場合、自己署名入りの証明書は、相互 TLS や証明書ベースの認証を展開するときの最良の方法ではありません。しかし、相互 TLS を実装するときに構成が最も簡単で、最もコストをかけずに使用できる方法であるため、デバイスやコンピュータの数が限られている小規模な組織では、自己署名入りの証明書を使用することがあります。小規模な組織でサード パーティ証明書を使用したり、独自の PKI をインストールして独自の証明書を発行したりすることはあまりありません。コストがかかることや、管理者が独自の証明書階層を作成する知識と経験を持たないことがその理由です。自己署名入りの証明書を使用すると、コストは最小限で済み、セットアップも簡単です。その一方で、自己署名入りの証明書では、証明書のライフサイクル管理、更新、信頼管理、および失効のインフラストラクチャの確立がはるかに難しくなります。TLS の証明書を作成する方法の詳細については、「TLS の証明書または証明書の要求の作成」を参照してください。

公開キー基盤

公開キー基盤 (PKI) は、公開キー暗号を使用して、電子トランザクションにかかわる各当事者の正当性を確認および認証するデジタル証明書、証明機関 (CA)、および登録機関 (RA) のシステムです。Active Directory を使用する組織で CA を実装すると、証明書のライフサイクル管理、更新、信頼管理、および失効のインフラストラクチャが実現します。これらの特性が、組織のすべての証明書に堅固なインフラストラクチャをもたらします。ただし、これらの種類の証明書を作成および管理するには、追加のサーバーとインフラストラクチャの展開にある程度のコストがかかります。

証明書サービスは、ドメイン内の任意のサーバーにインストールできます。ドメインの Windows ベースの CA から証明書を取得する場合は、CA を使用して証明書の要求または署名を行い、ネットワーク上のサーバーやコンピュータに発行することができます。これにより、サード パーティ証明書ベンダを使用するのと同じような PKI を、低コストで使用できます。これらの PKI は、他の種類の証明書のように公に展開することはできませんが、PKI を使用すると、CA が秘密キーを使用してリクエスタの証明書に署名し、リクエスタが検証されます。この CA の公開キーは、CA によって発行される証明書に含まれます。この CA の証明書をルート証明書として保持する者はだれでも、その公開キーを使用してリクエスタの証明書を解読し、リクエスタを認証することができます。

PKI 証明書を使用して相互 TLS を実装する場合は、必要な証明書を IP ゲートウェイまたは IP PBX にコピーする必要があります。さらに、セキュリティで保護されたモードで構成されている UM ダイヤル プランに関連付けられたユニファイド メッセージング サーバーに、IP ゲートウェイまたは IP PBX の証明書をコピーします。

PKI 証明書およびサード パーティ証明書を使用するためのセットアップと構成は、自己署名入りの証明書をインポートおよびエクスポートするときに実行する手順に似ています。ただし、コンピュータの証明書を信頼されたルート証明書ストアにインストールする必要があります。さらに、PKI の信頼されたルート証明書をネットワーク上のユニファイド メッセージング サーバーおよび IP ゲートウェイや IP PBX の信頼されたルート証明書ストアにインポートまたはコピーする必要もあります。

PKI インフラストラクチャが既に展開されている場合に相互 TLS を展開するには、以下の手順を実行します。

1. 各 IP ゲートウェイまたは PBX で証明書要求を生成します。
2. 証明機関に証明書を要求するときに使用する証明書要求をコピーします。
3. 証明書要求を使用して、証明機関に証明書を要求します。証明書を保存します。
4. 保存した証明書を各デバイスまたはコンピュータにインポートします。
5. PKI の信頼されたルート証明書をダウンロードします。
6. 信頼されたルート証明書を PKI から各デバイスにインポートします。ユニファイド メッセージングの役割を実行している Exchange 2007 コンピュータに信頼されたルート証明書をインポートする場合は、グループ ポリシーを使用して、信頼されたルート証明書をユニファイド メッセージング サーバーや他の Exchange 2007 サーバーの信頼されたルート証明書ストアにインポートすることもできます。ただし、この処理はユニファイド メッセージング サーバーの役割を実行しているサーバーを構成するときにも使用されます。

   注 :
   商用サード パーティ証明書を使用して相互 TLS を実装する場合も、同じ手順を使用します。

証明書と PKI の詳細については、以下のトピックを参照してください。

• 証明書の詳細については、「Windows Server 2003 の公開キー基盤 (PKI)」を参照してください。
• Microsoft Windows Server 2003 公開キー基盤を実装するためのベスト プラクティスの詳細については、「Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure」を参照してください (このサイトは英語の場合があります)。
• Windows ベースの PKI を展開する方法の詳細については、「Windows Server 2003 PKI Operations Guide」を参照してください (このサイトは英語の場合があります)。

サード パーティ証明機関

サード パーティ (商用) 証明書は、サード パーティ (商用) CA によって生成される証明書で、購入してネットワーク サーバーで使用することができます。自己署名入りの証明書および PKI ベースの証明書の 1 つの問題は、証明書が信頼されていないために、クライアント コンピュータ、サーバー、およびその他のデバイスの信頼されたルート証明書ストアに証明書を必ずインポートする必要があることです。サード パーティ (商用) 証明書には、このような問題はありません。ほとんどの商用 CA 証明書は、信頼されたルート証明書ストアに既に存在しているため、信頼された状態になっています。発行者が信頼されているので、証明書も信頼されます。サード パーティ証明書を使用すると、展開が大幅に簡略化されます。

大規模な組織や、証明書を公に展開する必要がある組織では、証明書に付随するコストこそ発生するものの、サード パーティ (商用) 証明書を使用するのが最良の方法です。小規模および中規模な組織では、商用証明書が最良の方法ではない場合があるため、それ以外のいずれかの証明書オプションを選択することもあります。

IP ゲートウェイまたは IP PBX の構成によっては、サード パーティ (商用) 証明書を相互 TLS で使用するために、IP ゲートウェイや IP PBX の信頼された証明書ストアにサード パーティ証明書をインポートしなければならない場合があります。ただし、場合によっては、サード パーティ証明書がユニファイド メッセージング サーバーや組織の他の Exchange 2007 コンピュータの信頼されたルート証明書ストアに格納されることがあります。

商用サード パーティ証明書を使用して相互 TLS を有効にするときの手順は、PKI 証明書を使用するときに実行する手順と同じです。唯一の違いは、PKI 証明書を生成する必要がないことです。商用サード パーティ証明書ベンダから購入した証明書を、ネットワーク上のサーバーおよびデバイスの信頼されたルート証明書ストアにインポートします。

相互 TLS の構成

既定では、IP ゲートウェイから着信呼び出しを受けたときに、VoIP トラフィックは暗号化されておらず、相互 TLS も使用されていません。しかし、ユニファイド メッセージング サーバーに関連付けられたユニファイド メッセージング ダイヤル プランで、ユニファイド メッセージング サーバーのセキュリティ設定を構成することができます。ユニファイド メッセージング サーバーで、IP ゲートウェイ、IP PBX、および他の Exchange 2007 サーバーとセキュリティで保護された通信を行うには、Set-UMDialPlan コマンドレットを使用して、UM ダイヤル プランで VoIP セキュリティを構成した後、UM ダイヤル プランに関連付けられたユニファイド メッセージング サーバーの相互 TLS を有効にします。

注 :
Exchange 2007 の RTM (Release To Manufacturing) 版では、Microsoft Exchange ユニファイド メッセージング サービスが既に実行されており、UM ダイヤル プランにユニファイド メッセージング サーバーを追加する場合は、ダイヤル プランのセキュリティ設定を適用するために Microsoft Exchange ユニファイド メッセージング サービスを再起動する必要があります。Exchange 2007 Service Pack 1 (SP1) では、UM ダイヤル プランにユニファイド メッセージング サーバーを追加する場合に、Microsoft Exchange ユニファイド メッセージング サービスを再起動する必要はありません。

UM ダイヤル プランで VoIP セキュリティを有効にすると、その UM ダイヤル プランに関連付けられたすべてのユニファイド メッセージング サーバーが安全な方法で通信できるようになります。ただし、相互 TLS を有効にするために使用する証明書の種類によっては、先にユニファイド メッセージング サーバーおよび IP ゲートウェイや PBX の両方で、必要な証明書をインポートおよびエクスポートする必要があります。ユニファイド メッセージング サーバーで必要な証明書をインポートした後、その証明書を使用して IP ゲートウェイや IP PBX と暗号化された接続を確立するには、Microsoft Exchange ユニファイド メッセージング サービスを再起動する必要があります。証明書をインポートおよびエクスポートする方法の詳細については、「Importing and Exporting Certificates」を参照してください (このサイトは英語の場合があります)。

必要な信頼された証明書が正しくインポートをおよびエクスポートされると、IP ゲートウェイはユニファイド メッセージング サーバーに証明書を要求し、さらにユニファイド メッセージング サーバーが IP ゲートウェイに証明書を要求します。IP ゲートウェイとユニファイド メッセージング サーバーの間で信頼された証明書を交換することにより、IP ゲートウェイとユニファイド メッセージング サーバーは、相互 TLS を使用して、暗号化された接続を介して通信できるようになります。IP ゲートウェイや IP PBX は着信呼び出しを受けると、ユニファイド メッセージング サーバーとの証明書の交換を開始し、相互 TLS を使用してセキュリティをネゴシエートします。Microsoft Exchange ユニファイド メッセージング サービスは、証明書の交換プロセスや、証明書が有効かどうかの判断には関与しません。ただし、信頼された証明書がユニファイド メッセージング サーバーに見つからない場合、信頼された証明書は見つかったが有効でない場合、または相互 TLS のネゴシエーションが失敗して呼び出しが拒否された場合は、ユニファイド メッセージング サーバーは Microsoft Exchange ユニファイド メッセージング サービスから通知を受け取ります。

Microsoft Exchange ユニファイド メッセージング サービスは、ユニファイド メッセージング サーバーと IP ゲートウェイの間の証明書の交換には関与しません。ただし、Microsoft Exchange ユニファイド メッセージング サービスは以下の処理を実行します。

• 完全修飾ドメイン名 (FQDN) の一覧を Microsoft Exchange Speech サービスに提供し、一覧に含まれる IP ゲートウェイまたは IP PBX からの呼び出しのみが受け付けられるようにします。
• 証明書の issuerName 属性および SerialNumber 属性を Microsoft Exchange Speech サービスに渡します。IP ゲートウェイまたは IP PBX が証明書を要求したときにユニファイド メッセージング サーバーが使用する証明書が、これらの属性によって一意に識別されます。

ユニファイド メッセージング サーバーと IP ゲートウェイまたは IP PBX がキー交換を実行し、相互 TLS を使用して暗号化された接続を確立した後、ユニファイド メッセージング サーバーは暗号化された接続を使用して IP ゲートウェイおよび IP PBX と通信します。ユニファイド メッセージング サーバーは、クライアント アクセス サーバーやハブ トランスポート サーバーなどの他の Exchange 2007 サーバーとも、相互 TLS を使用する暗号化された接続を使用して通信します。ただし、相互 TLS はユニファイド メッセージング サーバーからハブ トランスポート サーバーに送信されるトラフィックやメッセージの暗号化にのみ使用されます。

重要 :
UM IP ゲートウェイと、セキュリティで保護されたモードで運用されているダイヤル プランの間で相互 TLS を有効にするには、まず FQDN を使用して UM IP ゲートウェイを構成し、ポート 5061 で要求待ちをするように UM IP ゲートウェイを構成する必要があります。UM IP ゲートウェイを構成するには、コマンド Set-UMIPGateway -identity MyUMIPGateway -Port 5061 を実行します。

IPsec

IPsec でも、証明書を使用してデータを暗号化します。IPsec は、プライベート ネットワークおよびインターネットの攻撃に対する主要な防衛線を提供します。

IPsec は次のような働きをします。

• IP パケットの内容を保護します。
• パケット フィルタリングおよび信頼された通信の強制により、ネットワーク攻撃を阻止します。

IPsec は、暗号化セキュリティ サービスを使用して、IP ネットワークを介したプライベートで安全な通信を確保するためのオープン規格のフレームワークです。

IPsec では、暗号化ベースの保護サービス、セキュリティ プロトコル、および動的なキー管理を使用します。プライベート ネットワーク コンピュータ、ドメイン、サイト、リモート サイト、エクストラネット、およびダイヤルアップ クライアント間の通信を保護する強度と柔軟性を提供します。特定の種類のトラフィックの受信または送信をブロックするために使用することもできます。

IPsec は、送信元 IP アドレスから送信先 IP アドレスまでの信頼関係とセキュリティを確立するエンド ツー エンド セキュリティ モデルに基づいています。IP アドレス自体を ID と見なす必要はありません。代わりに、IP アドレスの背後のシステムが、認証プロセスによって検証される ID を持ちます。セキュリティで保護されているトラフィックのことを知っている必要があるのは、送信側と受信側のコンピュータだけです。各コンピュータはセキュリティをそれぞれの側で処理し、通信経路の媒体がセキュリティで保護されていないという前提で動作します。送信元コンピュータと送信先コンピュータの間でファイアウォール タイプのパケット フィルタリングまたはネットワーク アドレス変換が行われている場合を除いて、送信元から送信先にデータを転送するだけのコンピュータは IPsec をサポートする必要がありません。このため、IPsec は次のような組織のシナリオで有効に展開できます。

• LAN : クライアントとサーバー、サーバーとサーバー、およびサーバーと VoIP デバイス
• WAN : ルーターとルーターおよびゲートウェイとゲートウェイ
• リモート アクセス : ダイヤルアップ クライアント、およびプライベート ネットワークからのインターネット アクセス

通常、2 つのシステムの間でトラフィックをセキュリティで保護する方法を取り決めることができるように、両方の側にオプションとセキュリティを設定する IPsec 構成が必要です。これを IPsec ポリシーと呼びます。Microsoft Windows 2000 Server、Windows XP、および Windows Server 2003 ファミリの IPsec の実装は、インターネット技術標準化委員会 (IETF) の IPsec 作業グループが策定した業界標準に基づいています。IPsec 関連のサービスの一部は、Microsoft と Cisco Systems, Inc が共同で開発しました。IPsec ポリシーを構成する方法の詳細については、「Creating, modifying, and assigning IPsec policies」を参照してください (このサイトは英語の場合があります)。

IPsec の詳細については、「IPSec Concepts」を参照してください (このサイトは英語の場合があります)。

注意 :
現在使用中のネットワークに IPsec ポリシーが実装されている場合は、IP ゲートウェイと IP PBX を IPsec ポリシーから除外する必要があります。除外しないと、ボイス メールで 3 秒おきに音声送信が 1 秒間途絶えます。これは既知の問題で、Microsoft Windows Server 2003 の修正プログラムです。この修正プログラムの詳細については、「Windows Server 2003 と Windows XP インターネット プロトコル セキュリティ (IPsec) のフィルタ作成と保守を簡略化する方法。」を参照してください。

Exchange 2007 RTM での UM ダイヤル プランと VoIP セキュリティ

ユニファイド メッセージングは、IP ゲートウェイ、IP PBX、および他の Exchange 2007 コンピュータと、暗号化を使用して通信できます。ただし、これは UM ダイヤル プランの構成方法に依存します。既定の UM ダイヤル プランでは、暗号化を使用した VoIP トラフィックの保護は行われません。Exchange 管理シェルの Get-UMDialPlan コマンドレットを使用すると、特定の UM ダイヤル プランのセキュリティ設定を指定できます。VoIP セキュリティ パラメータが有効になっている場合に、Microsoft Exchange ユニファイド メッセージング サービスがセキュリティで保護されたモードで開始していることを確認するには、アプリケーション イベント ログで情報イベント番号 1114 と 1112 がログに記録されているかどうかを確認します。

既定では、ユニファイド メッセージング ダイヤル プランと、UM ダイヤル プランに関連付けられたユニファイド メッセージング サーバーは、暗号化を使用せずにデータを送受信します。このため、これらはセキュリティで保護されていないモードで構成されています。セキュリティで保護されていないモードでは、VoIP および SIP トラフィックは暗号化されません。ただし、UM ダイヤル プランと、UM ダイヤル プランに関連付けられたユニファイド メッセージング サーバーは、VoIPSecurity パラメータを使用して構成できます。VoIPSecurity パラメータは、相互 TLS を使用して VoIP および SIP トラフィックを暗号化するようにダイヤル プランを構成します。

ユニファイド メッセージングでは、VoIP プロトコルのリアルタイム転送プロトコル (RTP) と SIP を使用して、他のデバイスやサーバーと通信します。VoIP セキュリティまたはセキュリティで保護されたモードを使用するように UM ダイヤル プランを構成すると、SIP 信号チャネルが暗号化されます。SIP 信号チャネルでは、相互 TLS を使用してセキュリティで保護された SIP を使用できます。しかし、RTP を使用するメディア チャネルでは、セキュリティで保護されていない伝送制御プロトコル (TCP) が引き続き使用されます。

注 :
SRTP (Secure Realtime Transport Protocol) を使用する、セキュリティで保護された信号メディア チャネルでも、相互 TLS を使用して VoIP データを暗号化します。SRTP は、製品の今回のリリースでは利用できません。しかし、将来のリリースでは SRTP がサポートされる予定です。つまり、Exchange 2007 ユニファイド メッセージングで使用される SIP データとメディア チャネルの両方が暗号化されるようになります。

UM ダイヤル プランを作成した後、Set-UMDialPlan コマンドレットを使用して VoIP セキュリティ モードを設定する必要があります。VoIP セキュリティを使用するように UM ダイヤル プランを構成すると、UM ダイヤル プランに関連付けられたユニファイド メッセージング サーバーは、セキュリティで保護されたモードまたは暗号化を使用します。ただし、ユニファイド メッセージング サーバーとの間で暗号化されたデータを送受信するには、相互 TLS をサポートするように UM ダイヤル プラン、および IP ゲートウェイや IP PBX などのデバイスを適切に構成する必要があります。

ユニファイド メッセージング サーバーは、1 つまたは複数の UM ダイヤル プランに関連付けることができます。ただし、1 つのユニファイド メッセージング サーバーで使用できるのは相互 TLS (セキュリティで保護される) と TCP (セキュリティで保護されない) のいずれか一方のみで、両方は使用できません。これは SIP 信号スタックの制限です。このため、1 つのユニファイド メッセージング サーバーは、同じセキュリティ構成が定義された複数のダイヤル プランにのみ関連付けることができます。

既定では、ダイヤル プランを作成すると、セキュリティで保護されていないモードまたは暗号化なしが使用されます。しかし、相互 TLS で VoIP トラフィックを暗号化するように構成されている UM ダイヤル プランに関連付けられたユニファイド メッセージング サーバーを使用する場合で、ダイヤル プランの VoIP セキュリティを無効にする必要がある場合は、以下の手順を実行します。

1. 現在セキュリティで保護されたモードで実行されている UM ダイヤル プランから、すべてのユニファイド メッセージング サーバーを削除します。
2. Set-UMDialPlan コマンドレットを使用して、ダイヤル プランをセキュリティで保護されていないモードに設定します。
3. セキュリティで保護されていないモードで実行されるようになったダイヤル プランにユニファイド メッセージング サーバーを関連付けます。

重要 :
Dialogic モデル 2000 または 4000 IP ゲートウェイの間で交換するデータの暗号化に相互 TLS を構成している場合、サーバー認証およびクライアント認証の両方をサポートするコンピュータ V3 証明書テンプレートを使用する必要があります。サーバー認証をサポートする Web サーバー証明書テンプレートは、Dialogic 1000 および 3000 IP ゲートウェイ、AudioCodes IP ゲートウェイ、および Microsoft Office Communications Server 2007 でのみ正しく機能します。

Exchange 2007 SP1 の新機能

Exchange 2007 SP1 をインストールしたユニファイド メッセージング サーバーは、UM ダイヤル プランの構成に応じて、セキュリティで保護されていないモード、セキュリティで保護された SIP モード、またはセキュリティで保護されているモードで IP ゲートウェイ、IP PBX、および他の Exchange 2007 コンピュータと通信することができます。ユニファイド メッセージング サーバーは、ダイヤル プランがどのモードに設定されていても動作します。セキュリティで保護されていない要求を TCP ポート 5060 で受け付けると共に、セキュリティで保護されている要求を TCP ポート 5061 で受け付けるようにユニファイド メッセージング サーバーが構成されているからです。1 つのユニファイド メッセージング サーバーに複数の UM ダイヤル プランを関連付けることもできます。関連付けたダイヤル プランの VoIP セキュリティ設定がそれぞれ異なっていてもかまいません。セキュリティ保護なしモード、セキュリティで保護された SIP モード、またはセキュリティで保護されたモードの組み合わせを使用するように複数のダイヤル プランを構成して、単一のユニファイド メッセージング サーバーに関連付けることができます。

既定では、作成した UM ダイヤル プランの通信モードはセキュリティ保護なしモードになり、そのダイヤル プランに関連付けられているユニファイド メッセージング サーバーが IP ゲートウェイ、IP PBX、およびその他の Exchange 2007 コンピュータとの間で送受信するデータは暗号化されません。セキュリティ保護なしモードでは、リアルタイム転送プロトコル (RTP) メディア チャネルと SIP 信号情報のどちらも暗号化されません。

他のデバイスおよびサーバーとの間で送受信される SIP および RTP トラフィックを、相互 TLS を使用して暗号化するように、ユニファイド メッセージング サーバーを構成できます。ユニファイド メッセージング サーバーを UM ダイヤル プランに追加し、セキュリティで保護された SIP モードを使用するようにダイヤル プランを構成すると、SIP 信号トラフィックのみが暗号化され、RTP メディア チャネルは伝送制御プロトコル (TCP) を使用します。TCP は暗号化されません。ただし、ユニファイド メッセージング サーバーを UM ダイヤル プランに追加し、セキュリティで保護されたモードを使用するようにダイヤル プランを構成すれば、SIP 信号トラフィックと RTP メディア チャネルの両方が暗号化されます。SRTP (Secure Realtime Transport Protocol) を使用する、セキュリティで保護された信号メディア チャネルも、相互 TLS を使用して VoIP データを暗号化します。

VoIP セキュリティ モードは、新しいダイヤル プランを作成するときに構成することも、ダイヤル プランを作成した後で Exchange 管理コンソールまたは Set-UMDialPlan コマンドレットを使用して構成することもできます。セキュリティで保護された SIP モードまたはセキュリティで保護されたモードを使用するように UM ダイヤル プランを構成すると、その UM ダイヤル プランに関連付けられたユニファイド メッセージング サーバーは、SIP 信号トラフィックのみ、RTP メディア チャネルのみ、またはこれらの両方を暗号化します。ただし、ユニファイド メッセージング サーバーとの間で暗号化されたデータを送受信するには、相互 TLS をサポートするように UM ダイヤル プラン、および IP ゲートウェイや IP PBX などのデバイスを適切に構成する必要があります。

UM がセキュリティ モードを判断し、証明書を選択するしくみ

Microsoft Exchange ユニファイド メッセージング サービスは開始時に、関連付けられた UM ダイヤル プランおよび VoipSecurity パラメータの設定を確認し、セキュリティで保護されたモードとセキュリティで保護されていないモードのどちらで開始すればよいかを識別します。セキュリティで保護されたモードで開始する必要があると判断した場合は、さらに必要な証明書にアクセスできるかどうかを確認します。ユニファイド メッセージング サーバーが UM ダイヤル プランに関連付けられていない場合は、UMRecyclerConfig.xml ファイルの StartSecured パラメータを調べて、どちらのモードで開始するかを判断します。このパラメータの値は、0 または 1 に設定できます。値を 1 に設定すると、ユニファイド メッセージング サーバーは暗号化を使用して VoIP トラフィックを保護します。値を 0 に設定してもサーバーは起動しますが、暗号化による VoIP トラフィックの保護は行われません。ユニファイド メッセージング サーバーの起動時の動作をセキュリティで保護されたモードからセキュリティで保護されていないモードに、またはその逆に変更する場合は、サーバーを適切な UM ダイヤル プランに関連付けてから、ユニファイド メッセージング サーバーを再起動します。また、UMRecyclerConfig.xml 構成ファイルで構成設定を変更し、Microsoft Exchange ユニファイド メッセージング サービスを再起動することもできます。

Microsoft Exchange ユニファイド メッセージング サービスをセキュリティで保護されていないモードで開始した場合、サービスは普通に開始します。ただし、IP ゲートウェイおよび IP PBX もセキュリティで保護されていないモードで実行していることを確認してください。また、セキュリティで保護されていないモードでユニファイド メッセージング サーバーの接続をテストする場合は、-Secured:false パラメータを指定して Test-UMConnectivity コマンドレットを使用します。

Microsoft Exchange ユニファイド メッセージング サービスをセキュリティで保護されたモードで開始した場合、サービスは暗号化を有効にするために、相互 TLS で使用する有効な証明書をローカル証明書ストアで検索します。サービスは最初に有効な PKI または商用証明書を検索した後、適切な証明書が見つからない場合は、自己署名入りの証明書を検索します。PKI、商用、または自己署名入りの証明書が見つからない場合、Microsoft Exchange ユニファイド メッセージング サービスは、使用する自己署名入りの証明書を作成し、セキュリティで保護されたモードで開始します。ユニファイド メッセージング サーバーがセキュリティで保護されていないモードで開始している場合は、証明書は必要ありません。

セキュリティで保護されたモードで開始するときに使用された証明書のすべての詳細は、証明書が使用されるたびに、または証明書が変更された場合にログに記録されます。ログに記録される詳細には、次のようなものがあります。

• 発行者名
• シリアル番号
• 拇印

拇印は SHA1 (Secure Hash Algorithm) ハッシュで、使用された証明書を一意に識別するために使用できます。Microsoft Exchange ユニファイド メッセージング サービスがセキュリティで保護されたモードで開始するときに使用された証明書をローカル証明書ストアからエクスポートし、ネットワーク上の IP ゲートウェイおよび IP PBX の信頼された証明書ストアにインポートすることができます。

適切な証明書が見つかって使用され、それ以降に証明書が変更されなければ、Microsoft Exchange ユニファイド メッセージング サービスは証明書の有効期限の 1 か月前にイベントをログに記録します。この期間中に証明書に変更を加えなければ、Microsoft Exchange ユニファイド メッセージング サービスは証明書の有効期限まで、および有効期限が過ぎた後、毎日イベントをログに記録します。

ユニファイド メッセージング サーバーが、暗号化されたチャネルを確立するために相互 TLS で使用する証明書を検索するときは、信頼されたルート証明書ストアを調べます。発行者の異なる有効な証明書が複数ある場合、ユニファイド メッセージング サーバーは有効期限までの期間が最も長い有効な証明書を選択します。複数の証明書が存在する場合、ユニファイド メッセージング サーバーは、発行者と有効期限に基づいて証明書を選択します。ユニファイド メッセージング サーバーは、有効な証明書を以下の順序で検索します。

1. 有効期間が最も長い PKI または商用証明書
2. 有効期間が最も短い PKI または商用証明書
3. 有効期間が最も長い自己署名入りの証明書
4. 有効期間が最も短い自己署名入りの証明書

   重要 :
   クライアント アクセス サーバーとユニファイド メッセージング サーバーの間で、電話での再生データの暗号化に使用するクライアント アクセス サーバーに新しい証明書をインストールする場合、コマンド プロンプトから IISreset コマンドを実行して、正しい証明書をロードする必要があります。

Exchange 2007 SP1 の新機能

• UMRecyclerConfig.xml ファイルには、ユニファイド メッセージング サーバー用のセキュリティ設定が含まれなくなりました。Exchange 2007 SP1 では、ユニファイド メッセージング サーバーは、セキュリティで保護されないモード、セキュリティで保護された SIP モード、およびセキュリティで保護されたモードで、同時に動作できます。
• ユニファイド メッセージング サーバーは、セキュリティ設定が異なる複数の UM ダイヤル プランと関連付けることができます。
• ユニファイド メッセージング サーバーを、特定のセキュリティ設定を使用するダイヤル プランから、異なるセキュリティ設定を使用する別のダイヤル プランに移動した場合でも、Microsoft Exchange ユニファイド メッセージング サービスを再起動する必要がなくなりました。
• 商用、PKI、または自己署名入りの、有効な証明書が必要です。有効な証明書が見つからない場合、ユニファイド メッセージング サーバーは、自己署名入りの証明書を生成します。ユニファイド メッセージング サーバーは、セキュリティで保護された SIP モードまたはセキュリティで保護されたモードで動作している場合、VoIP トラフィックを暗号化するために有効な証明書が必要です。

詳細情報

• Microsoft Exchange ユニファイド メッセージング サービスを開始する方法の詳細については、「Microsoft Exchange ユニファイド メッセージング サービスを開始する方法」を参照してください。
• Microsoft Exchange ユニファイド メッセージング サービスを停止する方法の詳細については、「Microsoft Exchange ユニファイド メッセージング サービスを停止する方法」を参照してください。
• セキュリティで保護されたモードを使用するように UM ダイヤル プランを構成する方法の詳細については、「Set-UMDialplan」を参照してください。
• サポートされている IP ゲートウェイの詳細については、「サポートされる IP/VoIP ゲートウェイ」を参照してください。
• IP PBX および PBX のサポートの詳細については、「IP/PBX および PBX のサポート」を参照してください。
• ユニファイド メッセージング サーバーを UM ダイヤル プランに関連付ける方法の詳細については、「ユニファイド メッセージング サーバーをダイヤル プランに追加する方法」を参照してください。

参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。