ネット接続のオフィス機器に対策を――IPAが注意喚起

複合機に保存されたデータを外部から閲覧できてしまう事態が発生したことを受けて、IPAはネット接続されたオフィス機器でのセキュリティ対策の実施を呼び掛けた。

[ITmedia]

　情報処理推進機構（IPA）は11月8日、インターネットに接続されたオフィス機器でのセキュリティ対策を適切に実施するよう、企業のIT管理者などへ注意を呼び掛けた。対策が不十分な場合に、不正アクセスなどによって情報が外部に漏えいするリスクがあるとしている。

　この注意喚起は、複合機で読み取って保存されたドキュメントデータをインターネット経由で参照できてしまう事態が明るみなったことによるもの。5日に報道各社が相次いで取り上げていた。

　近年は複合機を含めた様々なオフィス機器がネットワーク接続機能を搭載しており、業務アプリケーションなどと連携したシステムなども多い。また、メーカーなどがリモートからのメンテナンスや監視を目的として機器をネットに接続させているケースも少なくない。

　IPAではシステム管理者に、こうした機器を単なる事務用品とみなさず、コンピュータなどのIT機器と同じように組織のセキュリティ方針を策定し、運用する必要があると指摘。機器の特性や業務上のリスクを勘案しつつ、以下の観点に沿った対策を実施してほしいとしている。

1. 必要性がない場合には、オフィス機器を外部ネットワーク（インターネット）に接続しない
2. 外部ネットワークとオフィス機器を接続する場合には、原則ファイアウォールを経由させ、許可する通信だけに限定する
3. オフィス機器の管理者パスワードを出荷時のものから変更する
4. オフィス機器のアクセス制御機能を有効にし、データアクセス時にID、パスワードなどの認証を求める運用にする

　これ以外にもメーカーが提供するセキュリティ情報を積極的に活用し、脆弱性の修正プログラム（パッチ）の適用も行う必要があるという。

対策イメージ（IPAより）

　ネット接続が可能なオフィス機器のセキュリティリスクは以前から指摘されてきた。セキュリティ対策を適切に行わなければ、不正アクセスによって情報流出などの被害に見舞われるなどの可能性がある。ただ、こうしたオフィス機器の管理は、IT部門ではなく総務部門などの所管になっている組織も多い。このためセキュリティの専門家などは、コンピュータと同様のセキュリティ対策を実施するために、管理部門の変更などを含めた運用管理体制の整備をアドバイスしている。