セキュリティ対策虎の巻（第5回） 複合機は情報セキュリティー対策で選べ

　コピー、ファクス、プリンター、スキャナーなど、ビジネスに必要な各種の機能が1台にまとめられた「複合機」。今やあらゆる職場で活躍する。ところが最近、この複合機が情報漏えいの温床になっていたとの報道が相次ぎ、不安が高まっている。複合機を安心して使うためにはどうすればいいのか考えてみたい。

情報セキュリティー強化をめざし機能を拡充

　複合機の脆弱性に関する指摘を受けたメーカーは、ユーザーの管理体制に応じた各種の対策をアドバイスするとともに、情報機器としての情報セキュリティー強化に力を入れている。具体的には複合機の各機能を高度化して不正アクセスを防ぐという仕組みだ。

　まず、部外者による不正アクセス対策として、認証機能を強化し、使用時にパスワードやICカードで個人認証する。これにより、あらかじめ登録されたユーザー以外の操作を制限する。同時に操作の履歴（ログ）を収集・蓄積して、問題発生時の追跡を可能にした。また、パソコンやサーバーとの通信の暗号化や、通信プロトコルを次世代型（IPv6）対応にするなどの取り組みも進められている。

　しかし、これらの対策は以前から行われてきたものだ。思うように改善が進まない現在の状況を説明するのには不十分だ。複合機はパソコンやサーバーなど他の情報機器とは異なる管理体制があり、これが対応の遅れにつながっている可能性がある。

　コピー機は多くの社員で共用することから、主に総務担当者が管理してきた。メンテナンス、故障発生時の対応窓口も総務になっている場合が多い。プリンター、ファクス、スキャナーなどの機能を併せ持つ複合機はLANを構成する情報機器で、パソコンと同様に管理する必要がある。だが、現在も相変わらず「総務任せ」になっているケースが見受けられる。

　これは、トナーや用紙といった消耗品の手配など、他の文具類と同様に総務担当による購買業務が継続的にあり、そこにネットワーク設定や情報セキュリティー管理といった情報システム部門の業務が加わったことが要因といえる。この状況は各部署の責任というよりも、全社の体制の問題だ。管理体制を再検討する必要がある。

データを確実に消去できる複合機

　2016年はマイナンバー制度の施行が開始され、あらためて情報セキュリティー対策の重要性がクローズアップされた年でもあった。マイナンバーを安全に管理するために細心の注意を払う必要がある。この観点でも複合機が重大なリスクになる可能性を理解しておかなければならない。

　多くの複合機には、コピーやプリント時に読み込まれたデータを一時的に保存するためのハードディスクが搭載されている。加えて、課金情報やメンテナンス情報を遠隔から収集するためにインターネットへの接続機能が組み込まれている機器もある。複合機に備わる通信機能のセキュリティーホールを放置しておくと、不正アクセスを受けやすくなる。ハードディスクが不正アクセスに遭った場合、データを盗み取られる可能性がある。マイナンバーに限らず企業の重要な情報の流出につながりかねない。将来を左右する重要な会議の議事録も、部外秘の建築設計図も、複合機にはデータの内容を問わず保存されているのだ。

　NTT西日本が販売する「OFISTAR Tシリーズ」はハードディスク内の全データを暗号化するとともに、万一ハードディスクが盗難に遭った際は瞬時にデータを無効化する機能を搭載している。

　注目されるのは、ハードディスクに残るデータを消去する機能だ。データ消去（フォーマット）は一般的な機能だが、簡易的な方法では元のデータが確実に消えておらず、復元される恐れがある。本機種ではオプション品であるデータ消去キットを使ってランダムデータを複数回書き込み、印刷の都度、内容を確実に消去する。これは、復元できない方法での消去が求められるマイナンバーを扱う際にも有効な機能だ。

　またキヤノンからは、ユーザーのセキュリティーポリシーに合わせ、ジョブ終了時に行う消去方法を3つのタイプから選択可能な仕組みが提供されている。

　これらの機能は従来の「データ流出を防ぐ」ための対策から、「流出するデータを持たない」対策へのシフトを意味しており、複合機の情報セキュリティー対策を根本から変えるものとして注目されている。

全ユーザーが「管理者の自覚」を持とう

　その他にも、複合機の利便性を損なうことなくトラブルに対応するための、さまざまなソリューションが開発されている。サイオステクノロジーの「Logキャプチャ」は、いつ誰がどのような操作をしたかといった情報を画像データとして保存するアプリケーションだ。これは、情報漏えいの原因として大きな割合を占める紙文書の管理を強化するもので、情報セキュリティー強化の基本を充実させる効果が期待できる。

　また、複合機が情報機器であることを正しく理解し、パソコン、サーバーと同様の管理体制も大切だ。かつてコピー機の時代、販売会社など外部の保守担当者が行うのが一般的だった各種設定についても、社内で可能にするための改善が進められている。

　富士ゼロックスの「beat」はウイルス対策やIPS（侵入防止システム）により社内LANの情報セキュリティーを強化するサービスだ。複合機の稼働状況や消耗品の情報も一元的に管理して安全性の向上と業務効率化を図っている。さらに、最近ではスマートフォンやクラウドサービスとの連携を強化した新製品が登場するなど、複合機の技術進歩はさらに加速している感がある。

　ただし、複合機は毎日酷使される消耗品であることを忘れてはいけない。リース形式で運用される複合機は定期的に更新時期を迎える。故障修理のために代替機が設置されるケースは珍しくないが、攻撃者はこのような「隙」を突いてくる。実際に、情報セキュリティー対策の不備が発覚したある大学では、入れ替え対象になった複合機で正しい設定が行われなかったことが情報流出のきっかけになっている。担当者に管理を任せるのではなく、「複合機を使う機会があるすべてのユーザーが管理者」と意識し、ともに情報セキュリティー対策を考えることが大切だ。

※掲載している情報は、記事執筆時点のものです