こんにちは。CCAのソリューションシステム部です。
今回は3CXの設定で出来るセキュリティ対策を簡単にご説明します。なお3CXの設定で存在するSecurity(セキュリティ)の項目説明ではありませんのでご了承ください。
不正利用者の目的
3CXに限らずですが、PBXは攻撃を受けやすいシステムです。そもそも何の目的をもって不正アクセスが試みられるかというと、不正利用者が海外の情報料回収代行サービス(簡単に言えば通話料をそのまま利益にできるサービス)に電話を行い、利益を得ようとしているのが主な理由と言われています。被害者側は海外発信の請求で数万~数十万の被害を受けることになります。
不正アクセスって?
不正アクセスというと高度なことをされているのかと思われがちですが、3CXなどのPBXの場合、ほとんどが推測されやすいパスワードを設定したことによる被害です。
そのため決して防げないものではなく、対策をしっかり行えば不正アクセスの心配はほとんどなくなりますのでご安心ください。
また3CXの各種パスワード入力は3回以上間違えると、アクセス元のIPアドレスをブラックリストに入れてアクセス不可能にしますので、ある程度複雑なポリシーでパスワードを用意すればほとんどの場合、アクセスを遮断することができます。
何が不正アクセスされるのか
3CXの場合、特に注意したいのは以下の通りです。
- 3CX管理画面
内線の作成や着信の変更などできる管理画面。
- 3CX WebClient
Webブラウザを利用したソフトフォン、3CX管理画面、およびWebclientに関しては3CXご利用の場合、グローバルからアクセス可能であることが多いため、不正アクセスされるリスクがあります。
不正アクセスを防ぐためには?
大前提はパスワードの複雑化
上記のとおり、推測されやすいパスワードがそもそもの原因となりますので、そのようなパスワードを利用しないことを第一に考えます。3CXの場合は英大文字、英小文字、数字、記号を利用できるため、この構成でのパスワード発行を心がけることをお薦めいたします。
3CXには以下のパスワードがあります。
- 3CX管理画面のパスワード
- SIPパスワード(内線を固定電話機やスマホアプリからログインするためのパスワード)
- WebClientログイン用パスワード
- 固定電話機Web設定画面パスワード
3CX管理画面のパスワードは最も重要なパスワードになりますので複雑かつ厳重な管理を心がけてください。
パスワードを複雑にすると利用時に不便と思われるかもしれませんが、4つのパスワードのうち、以下の2つに関しては、ユーザによるパスワード入力をそもそも意識する必要はありません。
- SIPパスワード
スマホアプリの場合は、QRコードで読み取り。
固定電話機の場合はプロビジョニング操作により自動で設定。
- 固定電話機Web設定画面のパスワード
3CXのPhonesから該当電話機にチェックを入れて”Phone UI”を押下すればログイン可能。また設定画面は管理者しか操作しません。
ただ3CXの各種パスワードは意図的に変えない限りは複雑なパスワードで設定が作成されますので、意図的に変更する場合は注意が必要であるという内容になります。
パスワードを入力させない環境を用意する(シングルサインオンの利用)
残りの「WebClientログイン用パスワード」、「3CX管理画面のパスワード」の2つ関しては入力の機会が頻繁にあるパスワードになります。特にWebClientはユーザにてパスワード変更が可能であるため、管理者が意図せず脆弱なパスワードを利用されることも考えられます。
そこでシングルサインオン機能を使うことでパスワード入力を不要とし、またパスワード管理の煩雑さを回避することができます。
3CXでのシングルサインオン機能はMicrosoft365とGoogleアカウントを使うことが可能です。
使わない機能は無効化にする
WebClientの利用を無効化する
WebClientを使わない内線がある場合は、少しでもリスクを下げるためにWebClientの利用を無効化にします。
国際発信制限を行う
3CXには国際発信を国番号ごとに許可/禁止することができます。普段発信する国番号のみに絞ることで仮に内線が不正アクセスされても被害を抑えることが可能です。
本設定は3CX管理画面からSecurity->Allow Country Codeに進むと設定が現れます。
アクセス制限を設ける
管理画面へアクセスできるグローバルIPアドレスを絞る
3CX管理画面へのアクセスはグローバルIPアドレスをホワイトリスト化することでアクセス制限することが可能です。オフィスネットワークのグローバルIPアドレスのみアクセスを許可する、などアクセスできるグローバルIPアドレスを絞ることをお薦めいたします。
本設定は3CX管理画面からSecurity->Console Restrictionsに進むと設定が現れます。
3CX管理画面からUsers->[対象の内線番号]->Generalタブ-> Web Authentication内のEnable Web Client/Desktop Appのチェックを外します。なお、この項目はデフォルトで有効になっております。
最後に
基本的にはパスワードの扱いに注意する、というのが原則になります。これは3CXに限らず、YahooIDやGoogleなどのインターネットサービス全般のアカウントの管理と考え方は同様になりますので、そう考えると高度なことを求めているわけではございませんので、そこまで身構えずにご利用いただければと思っております。