パソコンとネットワークでつながっている以上、複合機にもセキュリティ対策が必要です。
不正アクセスやウイルスなどの悪意ある攻撃は、「気付かないうちに忍び込む」のがお約束。
社内のネットワークに侵入したら、セキュリティの弱い部分を狙って攻撃を仕掛けます。
さて、パソコンにはセキュリティソフトなどで対策が取られているかもしれませんが、複合機はどうでしょう?
特に意識して対策した覚えはない・・・。
そう気付いたならば、事が起こらないうちに早めに行動を起こしましょう。
ITコンサルをおこなう弊社の視点から、複合機の効果的なセキュリティ対策をお伝えします。
通信環境を「見える化」して、業務効率化と生産性向上に活かしませんか?
▼無料サービス▼
複合機を取り巻く6つのリスク
日々オフィスで動いている複合機には、実は次の6つのリスクが隠れています。
- 不正アクセス
→関係者以外の端末が複合機にアクセスし、記憶された情報(保存されているFAX番号や印刷・スキャナー記録など)を盗み見ることです。 - ネットワーク上を移動する情報の盗み見
→セキュリティの弱い社内ネットワークに侵入し、パソコンから複合機の間の情報のやりとりを盗み見ることです。 - 出力した用紙の置き忘れ、盗難、紛失による情報漏洩
→紙にした情報がどこかに紛れて行方が分からなくなると、情報漏洩のリスクが高まります。 - FAXの誤操作
→番号を間違えてFAXしてしまうと、関係のない第三者に社内情報が送られる可能性があります。 - タッチパネル上での不正操作
→内部に情報漏洩をたくらむ人がいる場合のリスクです。 - ハードディスク持ち出し
→複合機内のハードディスクを持ち出し、中に保存されている情報を読み出されることです。
※FAXにつながる電話回線への不正アクセスは、複合機の設計上できないようになっています。
不正アクセスなどの外から来る攻撃への対策と、内部犯行やうっかりミスなどの内側に向けての対策。
複合機の中にある情報を守って漏洩事故を防ぐためには、両方のアプローチが必要となります。
複合機に標準装備されているセキュリティ機能を知っていますか?
複合機を狙ったあらゆる攻撃に対して、大手の機種ではセキュリティ機能があらかじめ搭載されています。
まずはこれらの機能の特徴を知って、必要に応じた設定をおこなっていくことが大切です。
複合機に備わっているセキュリティ機能の例
【IPアドレスの制限】
複合機に接続できる通信機器を指定することにより、正体不明の機器からのアクセスを防止します。
通信機器の指定には、各機器のプライベートIPアドレス(社内ネットワークで機器に個別に付けられている番号)を使います。
【通信の暗号化】
複合機とパソコン間でネットワークを介してデータのやりとりをする際、そのデータを暗号化する機能です。IPsec通信やSSL/TLS暗号化と呼びます。
これにより、データ送受信中の盗聴や改ざんを防ぎます。
【ユーザーごとの機能制限】
ユーザーごとに使える機能を細かく設定できます。
例えば、複合機内に登録されている個人情報には特定のユーザーしかアクセスできないようにする、などです。
内部犯行や、うっかりミスでの情報漏洩を防止します。
【ハードディスク暗号化】
複合機本体に内蔵されている記憶装置(ハードディスク)の情報を暗号化する機能です。
もしもハードディスクの盗難が起きた場合でも、中の情報を読み取りにくくできます。
【データ消去機能】
コピーやプリントなどをおこなう際、複合機内にはそのデータが一時的に保存されます。
保存されたデータを完全消去することで、万が一複合機内に不正アクセスされた場合の情報漏洩を防ぎます。
【パスワード印刷】
特定のパスワードを複合機本体に入力することで、初めて印刷ができる機能です。
パソコンから複合機に印刷データを送る時にパスワードを設定し暗号化。複合機のパネルでパスワードを入力して復号します。
機密情報を印刷する際に、他の人の目に触れるのを防ぎます。
【FAX誤送信防止機能】
FAX送信時、相手先の番号を2回入力する機能です。1回目と2回目の番号が違っていれば送信されません。
番号押し間違えによる誤送信を防ぎます。
【ログ機能】
誰が、いつ、どんなデータを印刷したか?FAX送信したか?などを細かく記録できる機能です。
記録されているという意識を社員に根付かせ、不正利用を防ぎます。
万が一情報漏洩が起こったときにも、原因を探すための大きなヒントとなります。
【管理者設定】
これまで紹介してきたさまざまな機能のオンオフは、IDとパスワードを知っている管理者のみがおこなえます。
管理者IDとパスワードを、初期設定の値から推測されにくい値に変更しておくことで、各種設定が勝手に変更されるのを防ぎます。
会社のセキュリティポリシー(規定)に合わせて、必要な機能は積極的に使っていきましょう!
各機能の設定方法はメーカーや機種によって違います。詳しくは、該当する機種のマニュアルにて確認してみてください。
通信環境を「見える化」して、業務効率化と生産性向上に活かしませんか?
▼無料サービス▼
複合機を狙った外部からの攻撃は社内ネットワーク丸ごとの対策が正解!
外部から社内のデータへ不正アクセスをもくろむ者にとっては、標的は複合機だけではありません。
狙っているのは売ればお金になる「機密情報」です。それが入手できれば、入手先は社内のどこからでもいいわけです。
複合機がダメならパソコン。パソコンがダメならサーバー、といったように。
さて、そんな人物が入り口とするのが「社内ネットワーク」です。
複合機やパソコン、サーバーなど、業務に必要な通信機器がつながるネットワークに、どうにかして忍び込めないか試します。
つまり、外部から機密情報を狙っておこなわれる攻撃から身を守るは、社内ネットワーク丸ごとのセキュリティ対策が必要になってくるのです。
社内ネットワーク丸ごとを守るには、「UTM(統合脅威管理)」というセキュリティ機器を導入します。
UTM(統合脅威管理)はその名の通り、1台で外部からのあらゆるサイバー攻撃を防ぐものです。
※あらゆるサイバー攻撃とは?
- 社内ネットワークへの不正アクセス
- 悪質メールブロック
- コンピューターウイルスブロック
- 不審なWEBサイトの閲覧ブロック
など
従来ならば、それぞれについて専用のセキュリティ機器が必要でしたが、UTMの登場によって1台で対策できるようになりました。
UTMは、ルーターとHUBの間につなぐだけで設置できます。
↑UTMの設置イメージ。
簡単な工数で社内ネットワークそのものに鍵をかけるような状態を作れるため、特に情報セキュリティ専任の社員がいない(少ない)中小企業におすすめの対策です。
他にも組み合わせた方が良い対策があり、それは社内の通信環境によってパターンが違います。
詳しい人材がいない場合は、ムリに自社だけで完結しようとせず、専門家と共にセキュリティ対策を進めていきましょう!
実は一番多い「紙文書からの情報漏洩」を防ぐアイデア
複合機からの情報漏洩事故で一番多いのが、
- 印刷した紙文書をどこかに置き忘れた
- 機密情報を印刷した紙を間違ってそのまま捨ててしまった
- 紙文書を複数の社員で回すうちに、どこかに紛れてしまった
などの、紙文書からによるものです。
紙文書になじみのある人は多いですが、どうしても「かさばる・なくしやすい」というデメリットがあります。
このデメリットにより、ついつい紙文書の扱いが雑になり情報漏洩事故につながるのです。
ならば逆転の発想で、「情報を紙として持たずにデジタル化して持つ」という方法があります。
ペーパーレス化と呼ばれる手段です。
ペーパーレス化は、
- 営業データや顧客データなどの情報を一括管理する記憶装置(ファイルサーバー)
- 社員用のタブレット端末やモバイルPC
を使い、情報を印刷せずとも閲覧ができるようにする仕組みです。
会議資料や顧客情報などの機密性の高い情報はパソコンやタブレットで見るようにし、紙というカタチに残さないようにします。
複合機を使うのはFAX送信などの最低限の機会にとどめ、間違った紙文書の扱いによる情報漏洩のリスクを低くしていきます。
将来ますます進むデジタル化(IoTやAI活用)に向けて、取り組みを始めた企業は増えてきていますよ。
ペーパーレス化についてもっと詳しく知りたい方は、こちらの記事をご覧ください!↓
機器に頼るだけでは限界がある!最も重要なセキュリティ対策とは・・・?
複合機に備わっているセキュリティ機能や、複合機を取り巻くネットワーク環境を守るための機器。
巷には、情報漏洩を防ぐためのあらゆるツールが存在します。
しかし、いくら優秀なツールがあったとしても、それを使う側である「ヒトのセキュリティ意識」が低ければ効果的な対策にはなりません。
情報のセキュリティを強化するためには、機器の設定を変更したり、データを逐一暗号化したり、とにかく「面倒くさい」が付きまといます。
そんな「面倒くさい心理」を「社内のデータは絶対に外に漏らさない」という意志が超えてこなければ、セキュリティ機能の設定をおこたるかもしれません。
社で取り決めたセキュリティポリシーに違反した作業が、こっそりとおこなわれるかもしれません。
本当のセキュリティ対策は、「機器」と「ヒトの意識」の両方が揃わないと実現しないのです。
最も重要なセキュリティ対策は、社員への意識付けのための教育です。
- 情報漏洩はどのようにして起こるのか?
- 情報漏洩を起こしやすいのはどんな行動をしたときか?
- 万が一個人情報を漏らしてしまったら、会社はどうなるか?社員ひとりひとりはどうなるか?
- 情報漏洩事故で賠償責任が生じたときは、誰がどんな責任を負うことになるのか?
このような情報セキュリティに関する基礎知識を、組織の末端まで浸透させていきます。
単に資料を配るだけでは読まれない可能性があるので、できれば社員研修の一環としてスケジュールに組み込むのがいいでしょう。
通信の世界は日々進化しているので、年に数回の継続教育が望ましいです。
もしも自分が情報漏洩の原因を作ったとしたら・・・?のイメージを社員に明確に持ってもらうのが先です。
(通信環境のコンサルティングをおこなう弊社では、セキュリティ対策の相談を受けた企業さまに対して、情報漏洩に関する社員への誓約書の作成を提案します)
複合機を始め、各通信機器のセキュリティを意識した使い方は、その後に浸透させていきましょう。
セキュリティ機能はあるけど使われていない。
セキュリティマニュアルはあるけど実施されておらずカタチだけ。
このような、中身のない対策から脱するためには、機器とヒトの両方からのアプローチが必須です。
まとめ
複合機のセキュリティ対策をもう一度まとめると、
- 複合機に最初から入っている各種セキュリティ機能(アクセス制限・不正コピー防止・パスワード印刷など)を、社内の環境に応じて活用する
- 複合機やパソコンがつながった社内ネットワークそのものへの侵入を防ぐため、UTMなどのセキュリティ機器を設置する
- 紙文書の置き忘れや紛失などのミスを防ぐため、ペーパーレス化を進める
- データの適切な取り扱いができるよう、情報セキュリティに対する意識を高める教育を継続する(←これがベースで一番重要!)
となります。
複合機という単体よりも、複合機がつながっているネットワーク全体にまで範囲を広げて対策を打っていく方が、より堅い守りを築けます!
弊社では、社内の情報セキュリティの環境構築をサポートしています。まずは無料相談をどうぞお気軽にご利用ください!
今回は、普段何気なく使っているオフィスの複合機が狙われている!?というお話をしていきます。