オフィス機器にも適切な通信制限と認証によるアクセス制限を施すことが必要です
2016年1月6日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
2013年11月、ネットに接続された複合機等のオフィス機器の設定に不備があるため、機器内に保存されたデータが外部から閲覧できてしまう問題が明らかになりました。これを受け、IPAでは2013年11月8日に適切な設定の実施を促す旨の注意喚起を行いました。
https://www.ipa.go.jp/about/press/20131108.html
しかし本日、報道により学術関係機関において、同様の問題が依然残存していることが明らかになりました。これは、適切な設定を徹底することの難しさを浮き彫りにしたといえます。
IPAでは複合機等のオフィス機器をインターネットに接続する際の通信制限と認証によるアクセス制限の実施により適切な設定と再点検を促すため、改めて注意喚起を行います。
なお、対策の詳細は下記のほか、2014年2月に公開した「増加するインターネット接続機器の不適切な情報公開とその対策(IPAテクニカルウォッチ)」をご参照ください。
https://www.ipa.go.jp/about/technicalwatch/20140227.html
対策
インターネット接続の機能を備えた複合機等のオフィス機器も、他のIT機器と同様の対策が必要となります。システム管理者においては、運用されているオフィス機器の説明書にあるセキュリティ対策を確認してください。また、オフィス機器の特性や業務上のリスクを勘案し、以下の観点に沿った対策を実施してください。
(1)管理の明確化- 【対策1】:オフィス機器のネットワーク接続に関して、ルールを定め、内部に周知させる。
- 【対策2】:オフィス機器の管理者を明確にする。
- 【対策1】:必要性がない場合には、オフィス機器を外部ネットワーク(インターネット) に接続しない。
- 【対策2】:外部ネットワークとオフィス機器を接続する場合には、原則ファイアウォールやブロードバンドルータを経由させ、許可する通信だけに限定する。
- 【対策1】:管理者用アカウント/パスワードを工場出荷時に設定されているものから変更する。
- 【対策2】:機器の製品のホームページを確認し、ソフトウェアを最新の状態に更新する。
図1.対策イメージ図
オフィス機器や家電製品などの様々な機器がインターネットに接続され利便性が高まっている反面、不正にアクセスされるリスクが高まっており、IPAではこれまでも脅威と対策の提言をしてきました(*1)。
オフィス機器の利用者はそのリスクを低減する有効な対策として、機器メーカから脆弱性対策情報(セキュリティパッチ)が提供された場合は、機器の取扱い説明書を参照の上、セキュリティパッチを適用し、脆弱性への対応を行うことが必要です
また、オフィス機器の開発者においては、オフィス機器のIT化に伴うセキュリティ脅威(*2)を認識した上で、開発段階における脆弱性の低減に努めると共に、使用されている様々なソフトウェアの脆弱性対策情報を「脆弱性対策情報データベース JVN iPedia(*3)」から入手し、脆弱性対策を行うことが求められます。適切なセキュリティ対策を施すことで、安全な利活用が促進されることを期待します。
脚注
(*1)https://www.ipa.go.jp/security/fy22/reports/electronic/index.html
「2010年度 情報家電におけるセキュリティ対策 検討報告書」
(*2)機器の乗っ取り、通信の盗聴、廃棄・リース返却時におけるデータの漏えいなど、オフィス機器のIT化に伴う新たな脅威の顕在
https://www.ipa.go.jp/security/fy24/reports/mfp/「2012年度 デジタル複合機のセキュリティに関する調査報告書」
(*3)http://jvndb.jvn.jp/
国内外のソフトウェア製品の脆弱性対策情報を蓄積しているデータベース。2015年12月末時点で約58,000件のデータを登録。
本件に関するお問い合わせ先
IPA 技術本部 セキュリティセンター
E-mail:
更新履歴
| 2016年1月6日 | 掲載 |
|---|
