HOMEIPAについて新着情報プレス発表 デジタル複合機の脆弱性に関する調査報告書の公開

本文を印刷する

IPAについて

プレス発表 デジタル複合機の脆弱性に関する調査報告書の公開

2010年8月30日
独立行政法人 情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、「ITセキュリティ評価及び認証制度(※1) 」において、多くのセキュリティ評価が実施されているデジタル複合機(Multi Function Peripheral、以下MFP)に関して脆弱性の調査を行い、報告書を2010年8月30日(月)から、IPAのウェブサイトで公開しました。
URL:http://www.ipa.go.jp/security/fy21/reports/mfp/index.html

概要

 近年、MFPにおいては、従来のコピーやプリントといった基本的な用途に加え、ネットワークからの利用、各種メディアへの対応など、利便性を向上させるための多機能化・高性能化が進んでおり、オフィスなどの情報システムにおいて文書データを扱う主要なIT製品として利用されています(図 1参照)。

図1:MFPのシステム構成例 図1:MFPのシステム構成例

 MFPは多機能化に伴い、情報セキュリティに対する要求が高まっており、IPAが運営する「ITセキュリティ評価及び認証制度」では、現在までに多くのMFPのセキュリティ評価が実施されています。
MFPは、今後も様々な情報システムへ対応するため、更なる多機能化が進み、IPv6(※2) ネットワークなど多岐にわたる利用環境で使用されることが予想されます。それに伴い、情報セキュリティの面でも、今まで想定されることがなかった利用環境での脅威などを考慮する必要が生じます。

 そこでIPAでは、MFPの多様な利用環境における脅威・脆弱性を網羅的に洗い出し、今後のMFPのセキュリティ評価に活用することにより、「ITセキュリティ評価及び認証制度」の更なる水準向上を目的とした調査を実施しました。

 本報告書では、ソフトウェア、ハードウェア、通信システムなどMFPに関する16種類の情報資産毎に、ISO/IEC 27001(※3) の情報セキュリティの要求事項7タイプ(機密性、完全性、可用性、真正性、責任追跡性、否認防止、信頼性)(※4) を破る想定から脅威を洗い出し、脅威の発生に至る攻撃手法または事故の例を挙げ、その原因となる脆弱性を網羅的に調査し、約200件を脅威・脆弱性リストとしてまとめました(図 2参照)。

図2:MFPの脅威・脆弱性リスト(一部抜粋)図2:MFPの脅威・脆弱性リスト(一部抜粋)

 また、MFPに関する代表的な6件の脆弱性(※5) について、原因、攻撃手法とその影響、対策となる運用・実装ガイドを詳細に解説しています。

 IPAとしては、本報告書を「ITセキュリティ評価及び認証制度」に活用するとともに、多機能化が進むMFPの脆弱性に関して各MFPベンダーが有効な対策を講じ、MFP利用者に、より安全性の高い製品が提供されるようになることを期待します。



(※1) IT関連製品のセキュリティ機能の適切性・確実性を、セキュリティ評価基準の国際標準であるISO/IEC15408に基づいて第三者(評価機関)が評価し、その評価結果を認証機関であるIPAが認証する制度
(※2) Internet Protocol Version 6:アドレス空間の増大、セキュリティ機能の追加などが施された次世代のインターネットプロトコル
(※3) 情報セキュリティマネジメントシステムの国際標準規格(対応する日本工業規格はJIS Q 27001:2006)
(※4) 情報セキュリティの要求事項7タイプの定義:http://www.isms.jipdec.jp/doc/JIP-ISMS111-21.pdf
(※5) 次のMFPの機能に関する脆弱性:①プリンタ、スキャナ、ファクスなどのユニット間でのデータの盗聴、②ドライバ用プロトコルを経由した侵入、③複数配信を一括して実行する機能、④多数のプロトコルに含まれる脆弱性、⑤遠隔保守インタフェースの悪用、⑥着脱式媒体を利用したMFPの構成変更

プレスリリースのダウンロード

 プレスリリース全文は以下よりダウンロードの上、ご参照ください。

報告書のダウンロード

 「MFP(デジタル複合機)の脆弱性に関する調査報告書」(全154 ページ)は以下よりダウンロードの上、ご参照ください。

本件に関するお問い合わせ先

IPA セキュリティセンター 情報セキュリティ認証室 山里/中村
TEL:03-5978-7538 FAX:03-5978-7548 E-mail:JISECメールアドレス

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/大海
TEL:03-5978-7503 FAX:03-5978-7510 E-mail:報道関係からのお問い合わせ先