コピー、FAX、スキャナー、プリントなど日々、多様な用途に用いられている複合機。企業では営業資料や契約書、企画書など、学術機関では学生の個人情報や論文など重要な書類の印刷やコピーなどに用いられていることでしょう。さらに、マイナンバー番号確認書類や身元確認書類の登録、領収書など税務書類のスキャン保存など、ますます重要な情報を扱うようになっている複合機。しかし、複合機上で扱った情報が、悪意ある第三者により奪われる危険性があるとしたら?──見逃しがちな情報漏えいリスクの実情とその対策について紹介します。
大学や企業に忍び寄る、複合機の情報漏えいリスクとは?
なぜ、複合機の情報が外から“丸見え”の状態になるのでしょうか? その理由としては、高度化している複合機がインターネットに接続されている点や、複合機内に多くのデータを保存できるようになっている点がまず、挙げられます。
高度化した複合機は、インターネットに接続されることで、常時ベンダーなどによる保守ができるようになるというメリットがありました。しかしその一方で、「インターネット」という経路を開いたために、悪意ある第三者にも複合機に不正アクセスしてデータを閲覧できるリスクが生じてしまったのです。
具体的にどのようなリスクがあるのか、IPA(独立行政法人情報処理推進機構)が公表している情報をもとに2つのケースをまとめてみましょう。
-
ケース1
2013年11月、3つの大学の複合機経由での情報漏えいの可能性が報道されました。
その内容とは、3大学ともインターネット経由で複合機にアクセスし、スキャン情報などが閲覧できるようになっていたというものです。
報道によると、A大学では複合機で読み取った個人情報や研究に関する内容、試験結果が、B大学では個人情報や個人の健康上の情報、C大学では学生の答案用紙や名前・点数などが見える状態になっていました。
-
ケース2
2016年1月、報道機関の調査により、数多くの学術関係機関(大学、高専など)の複合機が外部からインターネット経由で不正アクセスできる状態になっていることが報道されました。さらに報道では、ファイアウォールなどの設定から漏れている複合機が、いとも簡単にアクセスできる状態になっている点も指摘されました。
──このような報道を受け、IPAでは「インターネットに接続する複合機等へのオフィス機器」に対して、再度点検をするよう注意喚起を促しています。大学などの教育機関のみならず、多くの企業でも改めて見直すべことが急務と言えます。
複合機の情報漏えいを避けるための2つの対策
では複合機からの情報漏えいを防ぐためにもすべき対策のポイントを紹介します。
ポイント1:複合機に対してもPC等と同じようなセキュリティ対策を行う
まず1つ目のポイントとしては、複合機も「IT機器」の1つという認識を持ち、セキュリティ対策が必要な機器と認識することが重要です。例えば管理IDやパスワードが、工場出荷の状態から変更されずに利用されている状態などは、危険性が高いと認識すべきでしょう。
このように、複合機への対策としてIPAでは下記の対策を推奨していますので、一部、引用して紹介します。
(1)管理の明確化 対策1:オフィス機器のネットワーク接続に関して、ルールを定め、内部に周知させる。 対策2:オフィス機器の管理者を明確にする。 (2)ネットワークによる保護 対策1:必要性がない場合には、オフィス機器を外部ネットワーク(インターネット) に接続しない。 対策2:外部ネットワークとオフィス機器を接続する場合には、原則ファイアウォールやブロードバンドルータを経由させ、許可する通信だけに限定する。 (3)オフィス機器の適切な設定 対策1:管理者用アカウント/パスワードを工場出荷時に設定されているものから変更する。 対策2:機器の製品のホームページを確認し、ソフトウェアを最新の状態に更新する。 引用元:http://www.ipa.go.jp/security/ciadr/vul/20160106-printer.html
ポイント2:複合機が持つ情報をすべて安全なサーバー下で運用管理する
企業や教育機関等では、複合機を何台も利用することが多いでしょう。そこで、複数の機器をまとめて1つのサーバーで管理する仕組みを採用することも効果的です。
つまり、どの複合機でプリントやスキャンした場合でも、その情報は安全に管理されたサーバーに保存されるというわけです。複合機には一切、履歴が残らないので、例え複合機自体にアクセスされたとしても危険はありません。このように、この機会に印刷出力環境の共通基盤を用意するというのも一案です。
このような安全な印刷出力環境を検討するならば、下記の情報もぜひ、チェックしてみてはいかがでしょうか。
▼関連製品 複合機の情報漏えい対策に …… SmartSESAME SecurePrint!(セキュアプリント)
