プリンターに必要なセキュリティ対策とは？

企業活動でパソコンやサーバーなどのICT機器を利用する場合には、情報セキュリティ対策が不可欠です。しかし、複合機やプリンターなどの周辺機器は盲点になりやすく、対策が不十分な企業も少なくありません。

本記事では、複合機のセキュリティリスクや必要な対策を解説します。セキュリティ対策におすすめの複合機も紹介しています。複合機のセキュリティに関心がある人は、ぜひ役立ててください。

情報セキュリティとは、情報の「機密性」「完全性」「可用性」が担保されることです。
・機密性：正当な権利を持つ人だけが利用できる
・完全性：内容を不正に変更されない
・可用性：必要なときに利用できる

複合機の内部には、宛名データや文書データ、作業用の一時ファイルなどが記録されます。さらに複合機には、文書の送受信や印刷などの機能を実現するためのプログラムも組み込まれています。しかし、外部からの不正アクセスや内部からの情報流出が起こると、情報セキュリティを担保できません。

複合機を社内ネットワークでのみ使う場合に比べると、インターネットに接続する場合ではセキュリティリスクが上がります。社内ネットワークは通常強固な情報セキュリティで守られていますが、インターネットには誰でもアクセスできるためです。

自社の複合機が他社システムを狙うサイバー攻撃の踏み台として使われると、損害賠償を請求されるおそれもあります。

経済産業省管轄の独立行政法人・IPAは、「中小企業における情報セキュリティ対策に関する実態調査報告書」を毎年公表しています。

本資料によると、2020年度に情報セキュリティ被害にあった中小企業の割合と被害内容は以下のとおりです。 （※参考1）

8割以上の企業が「被害を受けていない」と回答していますが、受けた被害に気付いていないケースもあると考えられています。IPAが中小企業に設置した約1,000の機器が、18万件以上の不正アクセスを検知しているためです。

IPAがまとめている2022年の「情報セキュリティ10大脅威」のうち、1～5位を以下で紹介します。（※参考2）

特にランサムウエアの被害が急激に拡大しているため、システム管理者は注意しましょう。警察庁によると、2021年度のランサムウエア被害は顕在化しているだけでも146件に上り、過半数を中小企業の被害が占めています。（※参考3）

一方、複合機を対象としたサイバー攻撃としては、2013年に発覚した情報漏えい事件が有名です。学術関係機関に設置された複合機の情報がインターネット上で閲覧できる状態になっていた問題で、各方面から大きな注目を集めました。

出典：
「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について｜IPA
情報セキュリティ10大脅威 2022｜IPA
令和３年におけるサイバー空間をめぐる脅威の情勢等について（速報版）｜警察庁

企業で複合機を利用する際に知っておきたいセキュリティリスクを解説します。

インターネットを使うIP電話に複合機を接続する場合は、ネットワーク経由の不正アクセスが懸念されます。例えばインターネットに複合機を接続する際に想定されるリスクとして、次のようなものがあります。

・複合機内部のデータへの不正アクセス、データ消去、情報漏えい
・複合機の設定変更、認証情報の流出
・不正なファームウエア・マルウエアのインストール

ファームウエアとは、複合機などの機器を稼働させるために必要なソフトウエアです。これに対して、マルウエアとは悪意のあるソフトウエアやコードの総称で、ウイルスやワーム、トロイの木馬などが含まれます。

認証情報が外部に漏れると第三者が複合機に自由にアクセスできるようになり、悪用されるリスクが飛躍的に拡大します。

情報セキュリティ被害は外部からもたらされるものばかりではありません。内部の関係者によって複合機内部のデータが外部に持ち出される可能性も想定されます。主な手口は以下のとおりです。

・複合機の操作パネルや専用ブラウザーに表示された情報を盗み見る
・複合機とパソコンをつなぐ通信に介入して情報を盗む
・複合機のHDDやSDDなどの記憶媒体を外して持ち出す

機密データが外部に漏れれば企業にとって大きな損害です。社内で管理している個人情報が外部に流出すれば、社会的責任が問われます。個人情報保護法に抵触する場合は、1億円以下の罰金（※）が科される恐れも出てきます。

出典：令和２年 改正個人情報保護法について｜個人情報保護委員会

複合機のパネルを不正に操作して、情報を流出させるリスクです。HDDの情報持ち出しと同様に、不正操作も内部の人物によって引き起こされるトラブルです。機密文書を不正に外部に送信する手口などがこれに該当します。

複合機にはコピー、スキャン、FAXなどの機能があります。実行できる機能をIDやパスワードで制限して、権限を持たない人に操作を許さない運用体制を構築しましょう。

操作ログを記録しておけば、情報漏えいなどのトラブルが起こったときも速やかに対処しやすくなります。

人為的なミスによって起こる情報漏えいです。具体例は以下のとおりです。

・FAXの誤送信
・複合機にセットした文書を置き忘れる
・印刷物を放置して第三者に持ち去られる、紛失する
・コピーが禁じられている文書を誤ってコピーする、配布する

ここからは、複合機に必要な情報セキュリティ対策を解説します。

基本的な対策としては、次の2つがあります。
・ファームウエアの更新
・管理パスワードの変更

複合機のファームウエアは常に最新の状態に保ちましょう。サイバー攻撃と情報セキュリティ対策は、いたちごっこの状況にあります。新しい手口やぜい弱性が明らかになると、メーカーは更新プログラム（セキュリティパッチ）を作成して配布します。

ファームウエアの更新を怠ると、セキュリティに問題があっても改善されません。セキュリティパッチが配布されたら速やかにダウンロードして、更新処理を実施しましょう。

管理パスワードの変更も重要です。工場出荷時に付与されるデフォルトの管理パスワードは、操作マニュアルに従って必ず変更してください。管理パスワードが変更されていないとサイバー攻撃の標的になりやすいため、注意しましょう。

FAXを固定電話網につないでいる場合、基本的な対策を取っているのであれば特別に対処する必要はありません。受信パスワードを設定すれば、FAX送信者の制限も可能です。

ただし、2024年にはNTTが提供するISDNサービスの一部が終了し、固定電話網もIP網に置き換わるためセキュリティ対策の見直しが必要です。ISDNサービスとは公衆通信網の一種で、電話線を使用してデジタル通信を行います。対してIP網とは、IP（Internet Protocol）という通信規格で接続されたネットワークです。

通信規格がG4のFAXはデジタル通信モードを利用しているため、自社の複合機がG4の場合は2024年になるとFAX機能を使用できなくなります。

2024年以降に複合機をIP電話に接続してFAX機能を使う場合は、ネットワークのセキュリティ対策が必要です。IP電話にも管理パスワードが設定されているため、必ず変更しましょう。

複合機をインターネットに接続する場合は、必ずファイアウォール機能のある機器の配下につなぐ必要があります。

※イメージ例
【外部インターネット】→【ファイアウォール】→【複合機】

ファイアウォールとは、不正アクセスを監視・遮断する機能を持つソフトウエアまたはハードウエアです。パソコンもファイアウォールの内側に接続します。

ファイアウォール機能のある機器の具体例を、以下で紹介します。
・ルーター（ファイアウォール機能付き）：外部ネットワークと社内ネットワークをつなぐ
・ファイアウォール：社内ネットワークを守る
・UTM機器：ファイアウォール、ウイルス対策、不正アクセス検知などの多様な機能を搭載

さらに、複合機の下記機能も有効です。
・ユーザー認証機能：複合機にアクセスできる人を制限
・フィルタリング機能：複合機にアクセスできるIPアドレス（※）を制限 　
※IPアドレス：ネットワーク上の住所にあたる数値

以上のようなファイアウォール機能や複合機に搭載されているセキュリティ機能を利用し、ネットワークにおけるセキュリティ対策を行いましょう。

HDDに記録される情報は、通常の手法で削除しても物理的には残っています。専用ツールを使えば復元も可能です。不正アクセスや持ち出しによる情報漏えいを防ぎたい場合は、記憶媒体の暗号化や一時ファイルの上書き消去に対応している複合機を選びましょう。

一方、SSDに書き込まれたデータは簡単には削除できません。上書き消去もできないため、暗号化が必須です。記憶媒体が暗号化されていれば、たとえ外部に持ち出されたとしても解読は困難です。

不正アクセスからHDDのデータを守るためには、複合機とパソコン間の通信を暗号化する、使用していない複合機のポートを停止するなどの対策も役立ちます。複合機が設置された室内へのアクセスを制限すれば、内部からの情報流出を抑止する効果が期待できます。

複合機を廃棄する際には、信頼できる業者に記憶媒体の処分を依頼しましょう。

不正操作による情報漏えいを防ぐためには、権限を持たない人に複合機の操作を許可しない仕組みづくりが必要です。複合機に搭載された機能を活用すれば、パネルの不正操作を防ぎやすくなります。

主な機能は以下のとおりです。

・社員ごとに操作できる機能をIDとパスワードで制限する
・文書ごとにパスワードを設定する
・操作ログを記録する
・FAX番号の入力を二重にする

ハード面・ソフト面の対策を講じたとしても、完全には人為的ミスを防げない可能性があります。例えば、利用者権限をパスワードで管理しても、以下のような行動を取る社員がいれば情報セキュリティを確保できません。

・パスワードを書いた紙を目に付く場所に貼る
・認証情報を安易に他者に教える

社員のセキュリティ意識を高めるためには、社員研修の定期的な実施が有効です。複合機の運用マニュアルを作成して、社員に周知しましょう。マニュアルに盛り込む項目の具体例を以下で紹介します。

・パスワードの管理を徹底して流出を防ぐ
・コピーの原本や印刷物は速やかに回収する
・FAXの送信先を慎重に確認する

一方、退職者のパスワード管理も重要です。利用者リストから削除する、権限を変更するなどの対策をとり、退職後の不正利用を防ぎましょう。

情報セキュリティ対策ができる複合機を探している人には、ブラザー製品がおすすめです。不正アクセスや情報漏えいを防ぐ複数の機能を搭載しているため、情報セキュリティ向上が見込めます。

ブラザー複合機での、情報漏えい防止に役立つ機能を紹介します。
※セキュリティ機能の各製品の対応状況は製品ページから詳細をご確認いただけます。

セキュリティ印刷機能
あらかじめ設定したパスワードを操作パネルに入力しなければ、印刷が始まらない機能です。
文書の盗み見や盗難、紛失などのリスクを抑えられます。

ダイヤル制限機能
FAXの誤送信を防ぐ機能です。
・番号2度入力：2度入力したFAX番号が一致しなければ送信できない
・直接入力禁止：あらかじめ登録された番号にのみ送信できる

ユーザー別の制限機能
パスワードによって、利用権限を制限する機能です。
個人や部署ごとに印刷枚数に制限をかける機能もあるため、コスト削減にも役立ちます。

IPv4フィルター機能
複合機にアクセスできるIPアドレスを制限する機能です。
不正アクセス防止に役立つのみではなく、他部署による不正印刷を防止する効果も得られます。
【FAQ】本製品にアクセスできるパソコンを限定する方法はこちら

SSL通信機能
複合機とパソコン間の通信を暗号化する機能です。
通信が傍受されたとしても暗号を解読しなければ内容を把握できないため、データの流出や改ざんを防げます。

ブラザー複合機での、セキュリティアップにつながる印刷方法を紹介します。

印刷物そのものにセキュリティアップに役立つ工夫を加える方法です。主な機能は以下のとおりです。

ID印刷でドキュメントの印刷者を特定
ログインユーザー名など印刷社のIDを用紙に印刷することができます。
印刷者を用意に特定でき、機密情報の漏洩や印刷の無駄を防止できます。
※ID印刷はWindowsのみの対応です。

透かし印刷で社外秘資料の漏洩防止
「社外秘」「COPY」などの定型語句をはじめ、任意の語句を透かし印刷できます。
※透かし印刷(ウォーターマーク機能)はWindowsのみの対応です。

複合機をインターネットに接続して利用する場合は、情報セキュリティ対策が欠かせません。しかし不正アクセス・情報の不正利用に関する手口は、年々複雑化・多様化しています。自社の情報セキュリティに不安を感じる場合は、早急にシステムや運用の見直しに着手しましょう。

ブラザーは、多種多様な複合機やプリンターを提供しています。情報セキュリティに関するノウハウが豊富で、コスト削減や業務効率化にもつながる安心のソリューションを提案できます。お客様の環境に適したビジネスプリンターを探しておりましたら、ぜひブラザーのビジネスプリンター資料や無償のデモ機貸出サービスをご覧ください。

新たな働き方を支援するブラザー製品の機能や活用術をご紹介します。
自社に適した1台をお選びいただくためのご活用ください。★2022年3月度更新
ホワイトペーパーダウンロードはこちらから