【情報漏えい対策】複合機のセキュリティー対策は

Q 複合機に保存されているデータが外部に流出し、問題になっているというニュースを見ました。有効な対策はあるのでしょうか。(薬品卸売業)

<回答者>水谷IT支援事務所 水谷哲也 

A 近ごろオフィスに複合機は当たり前になりました。1台でコピー、プリンター、ファックス、スキャナーなど、さまざまな機能を使え、場所をとらない点がメリットです。家庭でも複合機が定番になりつつあります。教育現場では、先生が採点した答案を複合機で読みこむと、成績一覧表を自動作成し、学生は採点された答案をネットで閲覧するといった活用の仕方もされています。

 企業や大学にある複合機から流出した文書が、ネット上で公開される事件が起き、昨年ニュースになりました。社員証のコピーや学生のテスト結果なども含まれ、重大な個人情報漏えいを引き起こしています。複合機にはハードディスクが内蔵されていて、ハードディスクに書き込まれたデータを順番に印刷しています。送受信したFAXの内容もハードディスク内に残っています。つまり複合機はサーバーと同じなのです。

 中小企業では複合機の設定は業者任せという会社が少なくないでしょう。社内LANに複合機を追加する場合、単純に社内LANに複合機をつなぐだけとなり、セキュリティー対策がおろそかになりがちです。

OSアップデートも必要

 では複合機の情報漏えい対策はどうすればよいでしょうか。最善の対策は、複合機をインターネットに接続しないことです。ただし、トナー残量などの稼働状況を保守契約を結んだ販売代理店から確認できなくなります。トラブル時、サービスエンジニアをすぐに手配できなくなるおそれも出てくるでしょう。

 インターネットに接続する場合は、ファイアウオール(防火壁)で許可する通信のみに限定するようにします。複合機メーカーからセキュリティーガイドラインが公開されているので、ダウンロードしガイドラインに従って設定変更します。

 パスワードは出荷時のデフォルトから変更した方が安心です。外部からの攻撃だけでなく、ときには社内から標的にされるケースもあります。複合機のデータにアクセスできる社員は、なるべく制限しましょう。最新機種にはアクセス制御機能があり、IDやパスワード認証を求めることができます。

 また複合機にはUSB端子があり、パソコンと直接つないで印刷できます。便利な機能ですが、不必要ならUSB機能は「オフ」にします。定期的に監査ログをチェックし、変な兆候がないか監視するようにしましょう。

 見落とされがちですが、複合機はサーバーと同じく、OSが搭載されています。リアルタイムOSやLinuxが多いのですが、ウィンドウズ同様、バグが見つかると修正プログラムが提供されます。忘れずにアップデートを行うようにしてください。

 先日、米国・ラスベガスで開催されたハッカーの祭典では、トヨタのプリウスをハッキングして自由自在に操る実験が紹介されました。いまや車も外部から操られる時代です。複合機が乗っ取られて攻撃の踏み台になることもあるため、十分な注意が必要です。

提供:株式会社TKC(2014年3月)

(注) 当Q&Aの掲載内容は、個別の質問に対する回答であり、株式会社TKCは当Q&Aを参考にして発生した不利益や問題について何ら責任を負うものではありません。