Cisco WebEx ホワイトペーパー: リアルタイムコラボレーションのパワーを

リアルタイムコラボレーションのパワーを解き放つ:
Cisco WebEx ソリューションのセキュリティ概要
ホワイトペーパー
リアルタイムコラボレーションのパワーを解き放つ:
Cisco WebEx ソリューションのセキュリティ概要
シスコシステムズ合同会社
Cisco WebEx テクノロジグループ
〒107-6227 東京都港区赤坂9-7-1 ミッドタウン・タワー
Tel: 03-6434-6044 Fax: 03-5411-9226
[email protected]
www.webex.co.jp
WebEx Communications, Inc.
3979 Freedom Circle,
Santa Clara, CA 95054 USA
Main: +1.408.435.7000
ホワイトペーパー Cisco WebEx ソリューションのセキュリティ概要
目次
はじめに
3
Cisco WebEx Collaboration Cloud
のインフラストラクチャ
4
Cisco WebEx ミーティングの安全性
5
ミーティングサイトの構成
5
セキュリティオプションのスケジュール
7
WebEx ミーティングの開始および参加
8
暗号化技術
9
トランスポート層のセキュリティ
10
ファイアウォールとの親和性
10
ミーティング終了後のデータ保存
10
シングルサインオン
10
第三者機関による認定 : 独立監査機関による
Cisco WebEx のセキュリティ監査
2
12
ホワイトペーパー Cisco WebEx ソリューションのセキュリティ概要
はじめに
リアルタイムコラボレーションを活用し、世界に点在する社員をつなげましょう。競
争優位を求める企業や組織の間で、バーチャルチームを採用する傾向が高まってい
ます。営業、マーケティング、トレーニング、プロジェクト管理およびサポートのビ
ジネスプロセスの合理化を促進する数多くの企業や政府機関が Cisco WebExTM の
software-as a-service (SaaS) ソリューションを採用しており、その数は増え続けて
います。シスコでは WebEx® ネットワーク、プラットフォーム、あるいはアプリケー
ションの設計、展開、メンテナンスのすべての段階の最優先項目は「安全性」であ
ると考えています。安全性を確かなものにすることで、御社のセキュリティ要求が極
めて高く、且つ厳格な環境下であっても、WebEx ソリューションを日々加速する御
社のビジネスプロセスに素早く組み込むことができます。
WebEx アプリケーションのセキュリティ機能およびコミュニケーションインフラストラ
クチャである Cisco WebEx Collaboration Cloud を理解することは、お客様が購入
を決断する上で非常に重要です。以下のセキュリティ情報の詳細を確認してください :
• Cisco WebEx Collaboration Cloud インフラストラクチャ
• Cisco WebEx ミーティングの安全性
• ミーティングサイトの構成
• セキュリティオプションのスケジュール
• WebEx ミーティングの開始および参加
• 暗号化技術
•トランスポート層のセキュリティ
• ファイアウォールとの親和性
• ミーティング終了後のデータ保存
• シングルサインオン
• 第三者機関による認定 : 独立監査機関による Cisco WebEx のセキュリティ監査
「Cisco WebEx ミーティング」および「Cisco WebEx ミーティングセッション」は、
Cisco WebEx プロダクトで使用される統合型音声会議、VoIP、およびビデオ会議と
します。これらには以下のものが含まれます :
• Cisco WebEx Meeting Center
• Cisco WebEx Training Center
• Cisco WebEx Event Center
• Cisco WebEx Support Center (Cisco WebEx Remote Support お よ び Cisco
WebEx Remote Access を含む )
特に注記しない限り、本ドキュメントで説明するセキュリティ機能はすべての WebEx
アプリケーションおよびサービスに同じように当てはまります。
3
ホワイトペーパー Cisco WebEx ソリューションのセキュリティ概要
Cisco WebEx ミーティング内での役割
WebEx ミーティング内での主な 4 つの役割は、主催者、代理主催者、プレゼンター
および出席者です。
主催者
WebExミーティングをスケジュールし、開始することができます。さらに主催者はミー
ティングを管理するだけでなく、ミーティング開始時の初期プレゼンターとして、出
席者にプレゼンター権限を付与することができます。セッション中に音声会議を開始
したりミーティングをロックしたり、あるいは出席者を退席させたりすることも主催
者の仕事の一部です。
代理主催者
代理主催者は主催者により指名されます。指名された代理主催者は、主催者に代わ
りスケジュール済み WebEx ミーティングを開始できます。代理主催者は、主催者
と同様の権限を持ち、主催者が不在の場合にミーティングを進行します。
プレゼンター
プレゼンターはプレゼンテーションや特定のアプリケーション、またはデスクトップ全
体をミーティング出席者と共有します。注釈ツールを操作したり、アプリケーション
やデスクトップを共有したり、リモート操作する権限を出席者に与えたり取り戻したり
できます。
出席者
出席者は最小限の役目だけを負い、通常の場合、セッションコンテンツを閲覧する
だけです。
Cisco WebEx Collaboration Cloud の インフラストラク
チャ
Cisco WebEx Collaboration Cloud は、リアルタイム Web コミュニケーション専用
の通信インフラストラクチャです。主要アクセスポイント付近に戦略的に配置された
データセンターは、高帯域な専用線を使用し、世界中のトラフィックをルーティング
します。
Cisco WebEx
Collaboration Cloud
スイッチング構造
シスコでは、スイッチ型の分散ネットワークを独自に構築し、専用線にてグローバ
ルに展開しています。プレゼンターのコンピューターから送信された会議データは、
Cisco WebEx のデータセンターにて、各出席者のコンピューターに転送します。
つまり、Cisco WebEx Collaboration Cloud 上には一 切 保 存されませ ん。Cisco
WebEx Collaboration Cloud のインフラストラクチャは、セキュリティ上の独自の利
点に加え、拡張性、可用性が高い仕組みです。また、このアーキテクチャはオンプ
レミスのソリューションとは異なり、構内のサーバーの物理的な容量の制限等を受
けません。
4
ホワイトペーパー Cisco WebEx ソリューションのセキュリティ概要
データセンター
ミーティングセッションは、世界中に配置された複数のデータセンターを利用して行
われています。Cisco WebEx は、Cisco WebEx Collaboration Cloud 内で使用す
るすべてのインフラストラクチャを自社で保有し、運用しています。このネットワー
クは現在、米国カリフォルニア ( サンノゼとマウンテンビュー )、コロラド、バージニア、
イギリス、オーストラリア、日本およびインドに配置されたデータセンターにより構
成されています。Cisco WebEx では 24 時間体制で、監視・運用をしています。
セキュリティ組織
Cisco WebEx はセキュリティ専門の部門を組織し、Cisco WebEx テクノロジグルー
プ CIO およびシスコ CSO に直接レポートしています。このチームは、WebEx 製
品、サービス、および運用についてセキュリティの観点から指導します。従事する
ス タッフ は、GIAC-Certified Forensic Analyst、CISSP、GIAC Certified Intrusion
Analyst、ISSMP、および CISM という資格を保持しています。また、常にセキュリ
ティ分野の第一線で活動するため、ベンダーや業界エキスパートが提供するトレーニ
ングを受けています。
Cisco WebEx ミーティングの安全性
ミーティングサイトの構成
サイト管理者は WebEx サイト管理モジュールを使い、WebEx サイトのセキュリティ
ポリシーを管理、設定することができます。この設定により、主催者およびプレゼン
ターのミーティング権限が決定されます。例えばサイト上で、ユーザー毎にミーティ
ング権限をカスタマイズし、アプリケーション共有や、ファイル転送等の機能を無効
にすることができます。お客様のセキュリティポリシーにあわせてビジネス目標を達
成できます。WebEx サイト管理モジュールでは以下の機能を設定することができま
す:
アカウント管理
• 設定したログイン失敗回数に達した場合にアカウントをロックする。
• ロックしたアカウントを設定した時間経過後に自動的に解除する。
• 設定期間を超えて使用されなかったアカウントを無効化する。
特定のユーザーアカウントの管理
• ユーザーの次回ログイン時にパスワードの変更を要求する。
• ユーザーアカウントをロック、ロック解除する。
• ユーザーアカウントを有効化、無効化する。
5
ホワイトペーパー Cisco WebEx ソリューションのセキュリティ概要
アカウント作成
• 新規アカウントのためのメール確認を必要とする。
• 新規アカウント要求でのセキュリティテキストを必要とする。
• 主催者アカウントの登録 ( サインアップ ) を許可する。
• 新規アカウントのためのセルフ登録構成ルールを設定する。
アカウントパスワード
• 厳格なアカウントパスワード規定を強制する。
• 仮パスワードの期限切れまでの日数を設定する。
• 設定した間隔で主催者に対しアカウントパスワードの変更を要求する。
• すべての主催者の次回ログイン時にパスワードの変更を要求する。
厳格なアカウントパスワード基準
• 最小限の長さ。
• 大文字小文字混在。
• 最小限の長さ。
• 最小限のアルファベット。
• 最小限の特殊文字。
• 3 回以上の文字入力の繰り返しを許可しない。
• 一定回数の使用済みパスワードの再利用を許可しない。
• ダイナミックテキスト ( サイト名、主催者名、ユーザー名 ) の使用を許可しない。
• リスト上で設定したパスワード ( 例えば“password”など ) の使用を許可しない。
• 最短のパスワード変更間隔。
厳格なミーティングパスワード規定
• すべてのミーティングでパスワードの使用を要求する。
• 最小限の長さ。
• 大文字小文字混在。
• 最小限の長さ。
• 最小限のアルファベット。
• 最小限の特殊文字。
• 3 回以上の文字入力の繰り返しを許可しない。
• ダイナミックテキスト ( サイト名、主催者名、ユーザー名、ミーティングの議題 ) の
使用を許可しない。
• リスト上で設定したパスワード ( 例えば“password”など ) の使用を許可しない。
6
ホワイトペーパー Cisco WebEx ソリューションのセキュリティ概要
パーソナルミーティングルームにはパーソナライズされた URL とパスワードを使って
アクセスできます。この機能で主催者は簡単にスケジュール済み、および進行中の
ミーティングを一覧表示したり、開始または参加することができます。また、ファイ
ルを共有することもできます。サイト管理モジュールを使えば、パーソナルミーティ
ングルームのためのセキュリティ機能を設定できます。
• パーソナルミーティングルームの URL を変更する。
• パーソナルミーティングルームにあるファイルの共有オプションを設定する。
• パーソナルミーティングルームにあるフォルダにパスワードを設定する。
他のセキュリティ機能は WebEx サイト管理モジュールから有効にすることができま
す。
• 主催者または出席者に対し、各自の名前とメールアドレスの保管を許可することで
ミーティングへの参加を簡素化する選択肢を与えます。
• 主催者が他の主催者に記録を再割り当てすることを許可する。
• 制限付きのサイトアクセス ̶ サイト管理者は、すべての主催者および出席者アク
セスの権限を要求できます。どのようなサイト情報へのアクセスにも認証が要求さ
れます。公開ミーティングやサイト上のミーティングへの集客力を高める場合であっ
ても同様です。
• Cisco WebEx Remote Access セッションのための強固なミーティングパスワードを
要求する。
• すべてのミーティングを非公開にすることを要求する。
WebEx カスタマーサクセス担当者に連絡することで、追加の設定依頼をリクエスト
することも可能です。
•「パスワードを忘れましたか ?」リクエストの認証を要求する。
• ユーザーの代わりにパスワードを再入力するのではなく、サイト管理者にアカウン
トパスワードのリセットを要求する。
• 一方向ハッシュを使用してパスワードを保管する。
セキュリティオプションのスケジュール
各主催者に対し、書き換え不可なサイト管理レベルで設定したパラメーター値の範
囲内でミーティングアクセスのセキュリティを指定できる権限を与えます。
• 非公開ミーティングをスケジュールすることで、カレンダー上に表示されないよう
にします。
• 出席者が主催者より先にミーティングに参加することを許可する。
• 出席者が主催者より先に音声に参加することを許可する。
• ミーティング内で電話会議の情報を表示する。
• 一人の出席者のみがミーティングに残っている場合に設定した時間の経過後に自
動的にミーティングが終了するようにする。
• ミーティングメールに主催者キーを記載する。
• 出席者のミーティング参加時に各自のメールアドレス入力を要求する。
7
ホワイトペーパー Cisco WebEx ソリューションのセキュリティ概要
公開または非公開ミーティング
主催者は、ミーティングを WebEx サイトのカレンダー上に表示することも、あるい
は非公開ミーティングをスケジュールすることも可能です。非公開ミーティングはカ
レンダー上には表示されません。非公開ミーティングの場合、主催者が出席者に対
し明確にミーティングの有無を伝える必要があります。招待状メールに含まれるリン
クにアクセス、または「ミーティングに参加」ページで出席者に提供したミーティン
グ番号を入力してもらいます。
内部または外部ミーティング
主催者は、ミーティング出席者を WebEx アカウントを所有するユーザーのみに制限
することができます。彼らがサイトにログインし、ミーティングに参加できることを
確認することで身元を証明できます。
ミーティングパスワード
主催者はミーティングパスワードを設定し、それをミーティングの招待メールにオプ
ションにより加えたり外したりできます。
参加登録
• 登録機能でミーティングアクセスを制限する。主催者は「アクセスコントロールリ
スト」を生成することで、登録を完了し、主催者により参加が承認された招待者
のみを許可します。
• 「ミーティングにメール招待状を送信しない」を選択することで、ミーティングへの
アクセス情報の配信を高度に制御します。
• WBS27 バージョンの Cisco WebEx Training Center および Cisco WebEx Event
Center では、登録 ID の再使用を防ぐことでミーティングを安全なものにします。
使用済み登録者 ID 出席者を再使用してミーティングに参加しようとするユーザー
を防ぎます。さらに、主催者は参加者を制限したり追い出すことでミーティングセ
キュリティを確保します。これらのスケジュールオプションを組み合わせて使用す
ることで WebEx ミーティングを調整し、セキュリティポリシーに従います。
WebEx ミーティングの開始および参加
WebEx ミーティングは、使用する WebEx サイトにより主催者のユーザー ID および
パスワードが認証された後に開始されます。主催者はミーティング開始時に進行権
を持ちます。つまりプレゼンターということです。主催者は主催者またはプレゼンター
権限を任意の出席者に付与したり、逆に剥奪したりできます。あるいは選択した出
席者を任意の時点で退出させたりセッションを中止したりできます。
主催者は代理主催者を指名することで、主催者が出席できない、あるいはミーティ
ングに接続できない場合などに、代理人がミーティングを開始あるいは進行できる
ように設定できます。こうすることで、主催者の役割が不特定あるいは不正の出席
者に渡る可能性を排除することでミーティングはより安全なものにします。
8
ホワイトペーパー Cisco WebEx ソリューションのセキュリティ概要
出席者が主催者より先に音声を含むミーティングに参加することを許可するには、
WebEx サイトをそのように設定するだけです。早期参加者が利用できる機能をチャッ
トや音声に制限することも可能です。
出席者が初めて WebEx ミーティングに参加する際に、WebEx アプリケーションが自
動的にダウンロード、インストールされます。
これらのファイルは Verisign が発行するデジタル署名にて、その正当性を保証され
ています。出席者はこの署名を確認することで、ファイルが WebEx からのもので
あることを確認することができます。また、2 度目の会議参加以降は、アップデート
ファイルのみをダウンロードします。出席者がファイルを消去したい場合は、各 OS
の アンインストール機能を使用して簡単に WebEx ファイルを削除できます。
Cisco WebEx Collaboration Cloud がすべてのミーティングセッションとセッション内
のダイナミックなデータ共有を保護します。
暗号化技術
Cisco WebEx ミーティングは、Cisco WebEx ミーティングセッション内のリアルタ
イムリッチメディアコンテンツを安全に配信するように設計されています。プレゼン
ターがドキュメントまたはプレゼンテーションを共有する場合に、シスコ独自の技術
(Universal Communications Format (UCF)) でファイルを圧縮、エンコードし、共有
します。
WebEx ミーティングは以下の暗号化技術を使用しています :
1).
クライアントと Cisco WebEx Collaboration Cloud との通信は 128-bit Secure
Socket Layer version3 (SSL v3) を使用しています。
2).
ド キュメント お よ び プレ ゼ ン テ ー ション は 256-bit Advanced Encryption
Standard (AES) が使用されエンドツーエンドで暗号化され、転送されます。
3).
エンドツーエンド (E2E) での暗号化会議は WBS26 バージョン以降の Cisco
WebEx Meeting Center で提供されます。この方法により、すべてのミーティ
ングコンテンツはミーティング参加者間のエンドツーエンドで暗号化され、主催
者側のコンピューター上でランダム生成された 256 bit キーを含む AES 暗号化
が使用され、共通鍵暗号方式で出席者に配信されます。
4).
公開鍵暗号基盤 (PKI) のエンドツーエンド暗号化は、WBS27 バージョン以降
の Cisco WebEx Meeting Center で提供するオプションです。これには 256bit
AES 暗号標準が使用されます。このメカニズムは、出席者がミーティングを開
始または参加するときに X.509 認証の保持を要求します。
サイト管理者および主催者は、「ミーティングタイプ」オプションを使用してエ
ンドツーエンドまたは PKI のいずれかを選択できます。エンドツーエンドおよび
PKI ソリューションは、AES 単体よりも強固なセキュリティを提供します。( エン
ドツーエンドおよび PKI もまたデータ本体の暗号化に AES を使用します ) 鍵は
ミーティング主催者と出席者にのみ知らされます。
9
ホワイトペーパー Cisco WebEx ソリューションのセキュリティ概要
すべての Cisco WebEx ミーティングへの接続には、Cisco WebEx Collaboration
Cloud との接続が確立される前に認証が行われ、その後 Cisco WebEx ミーティン
グに参加できるようになります。クライアント認証プロセスでは、セッションごとに固
有の Cookie を発行します。さらに、セッションに参加している参加者ごとに個別の
Cookie を発行し、これらの Cookie をもとに参加者を特定します。各セッションには、
Cisco WebEx Collaboration Cloud により生成された固有のセッションパラメーター
が含まれます。認証済みの各出席者は、これらのセッションパラメーターに加えて、
固有のセッション Cookie にアクセスすることで、Cisco WebEx ミーティングに正常
に参加できます。
トランスポート層のセキュリティ
アプリケーション層の安全対策に加え、すべてのミーティングデータは、128-bit
SSLv3 を使用して転送されます。SSL では、ポート 443 (HTTPS トラフィック ) を使
用し、セキュアに接続します。
WebEx ミーティング出席者は、アプリケーション / プレゼンテーション / セッションの
各層での合理的な接続を使用して Cisco WebEx Collaboration Cloudに接続します。
出席者コンピューター間のピアツーピアでの接続はありません。
ファイアウォールとの親和性
WebEx ミーティングアプリケーションは、Cisco WebEx Collaboration Cloud との接
続に、HTTPS ( ポート 443) を使用することで信頼性と安全性の高い接続を確立しま
す。これにより、Cisco WebExミーティングをお使いいただくにあたり、
ファイアウォー
ルに特別な設定を行う必要はありません。
ミーティング終了後のデータ保存
セッションが終了すると、Cisco WebEx Collaboration Cloud または出席者のコン
ピューター上にはセッション情報は残りません。シスコが保持するミーティング情報
は以下 1 つのみです。
• イベント詳細記録 (EDR): シスコでは請求書とレポート機能に EDR を使用します。自
分の主催者 ID を使用してログインすることで、WebEx サイト上のイベント詳細情
報を表示できます。認証されると、WebEx サイトからこのデータをダウンロードす
るか、あるいは WebEx API 経由でアクセスできます。
シングルサインオン
シスコは、SAML 1.1, 2.0 および WS-Fed 1.0 プロトコルを使用するユーザーシングル
サインオンのためのフェデレート認証をサポートします。フェデレート認証を使用す
ると、WebEx サイト上への公開鍵 X.509 証明書のアップロードが求められます。
要求された場合は、ユーザー属性を含む SAML 証明を生成し、対応する私有鍵 ( プ
ライベートキー ) を使ってその証明にデジタル署名します。WebEx は、ユーザーを
認証する前に、その SAML 証明書のサインを事前に読み込まれている公開鍵証明
書に照らし合わせます。
10
ホワイトペーパー Cisco WebEx ソリューションのセキュリティ概要
第三者機関による認定 : 独立監査機関による WebEx セキュ
リティ監査
社内の厳格な手続きだけに留まらず、WebEx では、複数の独自第三者機関に委託し、
社内のポリシー、手続き、運用に関する厳格な監査を実施しています。これらの監
査では、商用および公用の両方の運用のミッションクリティカル ( 基幹業務など ) の
安全要件規準を満たしているかどうかの検証を行います。
Information Security Partners、LLC (iSEC Partners) に よ る 監 査 で は、 徹 底 的
なネットワークルーティングとアプリケーションの検証が実施されます。 また、
PriceWaterhouseCoopers に より ISO 17799 規 準 で の 運 用 監 査 を 含 む SAS70Type II 認証も検証されます。
iSEC によるネットワークの脆弱性検証
iSEC Partners はミーティングの出席者と Cisco WebEx Collaboration Cloud の間
の様々な経路での安全性を確認するため、多様なテストを実施、検証しました。こ
のテストでは WebEx のプロダクションサーバー、ルーター、ファイアウォールおよ
びロードバランサーを含む様々なネットワーク機器の構成ルートの形跡も検証され
ます。詳細に関しては、WebEx オフィスに問い合わせ、このレポートのコピーを要
求してください。
iSEC によるソースコードの脆弱性検証
ペネトレーションテストとサービスの検証が iSEC Partners により定期的に実施され
ます。実施中は、iSec Partners に WebEx サーバー、ソースコードへのアクセス権
を付与します。また、エンジニアスタッフへのインタビューも行われます。入力デー
タと出力データの結果だけに着眼するブラックボックステストとは異なり、以下のメ
リットがあります :
• アプリケーション、サービスの致命的な脆弱性を特定し、ソリューションを提案する。
• 設計改善のために最新のセキュリティ情報を踏まえた提案する。
• 不適切なコーディングを特定し、改善のためのガイダンスを提供する。
• WebEx エンジニアスタッフに直接調査結果を説明し、修正・改善のためのガイダ
ンスを提供します。
詳細に関しては、WebEx セキュリティオフィスに連絡してこのレポートのコピーを要
求してください。
SAS-70 Type II
AICPA が 定 め た 規 準 に 基 づ い た SAS-70 Type II 監 査 は Pricewaterhouse
CoopersLLP により毎年実施されます。WebEx に対する監査は ISO-17799 規準に
沿って行われます。高い評価と認知を持つ監査が、WebEx サービスの統制目標お
よび統制活動に対する緻密な監査が実施済みであることを証明しています。SAS70 規 準に関する詳 細は、 以 下 の URL 先を参 照してください :www.sas70.com/
index2.htm 詳細に関しては、お客様のシスコアカウント担当経由で、WebEx セキュ
リティオフィスまで PricewaterhouseCoopers LLP SAS-70 レポートのコピーを要求
してください。
11
ホワイトペーパー Cisco WebEx ソリューションのセキュリティ概要
結論
信頼できる WebEx にお任せくだされば、御社でもコラボレーションの力を引き出し、
ビジネスプロセスの合理化が実現できます。すべてはセキュリティの最も厳しい規
準を満たす環境下で行われます。手軽かつ信頼と実績のあるセキュアな WebEx の
Software-as-a-Service コラボレーションソリューションを是非お選びください。
© 2009. WebEx Communications, Inc. All rights reserved. Cisco、WebExおよびCisco WebEx
は、米国Cisco Systems, Inc.および/または米国とその他の国における登録商標です。その他の
社名および製品名は各社の商標または登録商標です。
世界のセールスオフィス:
米国およびカナダ
電話: +1.877.509.3239
[email protected]
オーストラリア
電話: 1800 493 239
[email protected]
中国 (香港)
電話: +852 8100 9802
[email protected]
ヨーロッパ、中東およびアフリカ
電話: +31 (0)20 4108 700
[email protected]
ニュージーランド
電話: 0508 555 607
[email protected]
イギリス
電話: 0800 389 9772
[email protected]
中国
電話: +86 800 819 3239
[email protected]
インド
電話: +91-080-22286377,
17030 9800
[email protected]
日本
電話: +81-3-6434-6044
[email protected]
WP120 0908 JP