HOME >> 情報セキュリティ >> 「デジタル複合機のセキュリティに関する調査」報告書の公開

「デジタル複合機のセキュリティに関する調査」報告書の公開

~IT化が進むデジタル複合機のセキュリティ上の脅威・脆弱(ぜいじゃく)性に対策を~

更新日 2014年6月9日
掲載日 2013年3月12日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

概要

 近年、オフィスで使用されている一般事務機器においてもIT化が進んでいます。デジタル複合機では、Webベースの管理機能の提供や汎用的な組込みOSの搭載、外部認証サーバとの連携などの機能を備えるようになりました。そのため、廃棄時・リース返却時の消去済み文書データ復元による情報漏えい、ネットワーク上の通信データの盗聴、遠隔からの管理機能乗っ取りなど、従来のコピー機能やプリント機能といった基本的な用途では想定されなかった脅威を考慮した運用が求められるようになりました。

 米国の政府機関などでは、デジタル複合機を調達する際にセキュリティ要件が提示され、それらの要件が国際的なセキュリティ評価基準であるISO/IEC 15408により評価されていることが求められています。
 開発ベンダーも調達側の要求に応えるべく、多くの製品でISO/IEC 15408による評価を実施しています。特に、日本には世界的な供給元である開発ベンダーが複数あり、IPAが運営する「ITセキュリティ評価及び認証制度(*1)」において多数の製品が認証を取得しています。

 このような状況を踏まえ、IPAでは、「2012年度 デジタル複合機のセキュリティに関する調査」を実施しました。本調査では、デジタル複合機の最新の機能・利用環境におけるセキュリティ上の脅威・脆弱性について、利用者側が運用面で対処すべきものと開発者側が機能面で対処すべきものに分類し解説しています。
 また、近年話題となり攻撃される機会の多い脆弱性や、古くから残存しているが認識されていない脆弱性などを、攻撃手法の例とその原因を解説し、運用・開発・検査の観点から対策を考察しています。

 IPAとしては、調達者や利用者にデジタル複合機のセキュリティ上の脅威・脆弱性を認識してもらい、調達における適切なセキュリティ要件の提示と、適切な運用・管理のためのガイドとして本報告書が活用されることを期待します。

脚注

(*1) IT製品のセキュリティ機能の適切性・正確性を国際的なセキュリティ評価基準であるISO/IEC 15408に基づいて第三者(評価機関)が評価し、その評価結果の妥当性を認証機関であるIPAが認証する制度

調査実施者

  • みずほ情報総研株式会社

報告書のダウンロード

 「デジタル複合機のセキュリティに関する調査報告書」(全200 ページ)は以下よりダウンロードの上、ご参照ください。

本件に関するお問い合わせ先

IPA 技術本部セキュリティセンター 情報セキュリティ認証室 山里/中村

TEL:03-5978-7538 FAX:03-5978-7548 E-mail:JISECメールアドレス