このホワイトペーパーでは、RICOH Interactive Whiteboardが提供するセキュリティー対策とその仕組みについて、概要を説明します。
RICOH Interactive Whiteboard(以下、RICOH IWB)は、コンピューターを含む外部映像機器の映像をホワイトボードに表示して手書き入力できるシステムです。このホワイトボードは、プリンターで印刷することができ、PDFファイルに変換してメール送信、USBメモリーや共有フォルダーに保存することができ、ネットワークで接続した別のRICOH IWBや専用ソフトウェアをインストールしたコンピューターと共有することができます。コンピューターのWebブラウザーを使うとホワイトボードをネットワーク経由で閲覧することができます。図1にRICOH IWBの使用シーンを示します。
RICOH IWBは、ファイヤーウォール内の社内ネットワークに接続して使用することを前提に設計されています。
ユーザーは以下の機能を使用できます。
管理者は、管理者用設定メニューを使用して以下の設定、実⾏ができます。
RICOH IWBを使用する上で、以下のようなセキュリティーに対する脅威が想定されます。
記録・保存したデータに不正アクセスできてしまい、第三者に情報が流出してしまう。あるいは、遠隔ホワイトボード時に、共有画面に不正にアクセスできたり、他者になりすましてアクセスし、第三者に情報が流出してしまう。
USBメモリーや、ネットワークを介して、不正なプログラムが実行されたり、インストールされたりする。あるいは、RICOH IWBを仲介して、ネットワーク上の他の機器に不正アクセスしたり、ウィルスが配布されてしまう。
ここでは、RICOH IWBの本体と遠隔ホワイトボードにて実施しているセキュリティー対策について、それぞれ説明します。
ホワイトボードのページは、ホワイトボードを終了するか、ホワイトボードを使用しないで自動スタンバイ時間が経過すると、消去されます*1。ホワイトボードのページはPDFファイルに変換して送信、保存することができますが、PDFファイルには権限パスワード、開くパスワード、編集禁止を設定できます。ただし、開くパスワード、編集禁止、印刷禁止が設定されたPDFはホワイトボードに読み込むことはできません。
ホワイトボードのページは、本体のSSDにファイルとして一時保存することができます。一時保存したファイルは、一時保存時に指定した会議コードを⼊⼒すると、ホワイトボードに読み込むことができます。管理者用設定メニューで設定された保存期間を過ぎると一時保存ファイルは⾃動的に消去されます。RICOH
IWBは、関係者しか⼊ることのできない社内で使用することを前提に設計されているため、盗難に対する対策であるSSDのパスワードは設定されていません。
システムの各種設定を行う管理者用設定メニューに入るには、パスワード認証が必要です。管理者用設定メニューで登録されたすべてのパスワードは、暗号化されて本体のSSDに保存されます。さらに、プログラムの解析により暗号化方式などのセキュリティー情報が漏洩するのを防止するために、ホワイトボード内部のプログラムを難読化しています。
ホワイトリスト方式のセキュリティー対策ソフトウェアにより、信頼されたプログラム以外の起動やインストールはできません。外部からのマルウェアを実行しようとしても、ホワイトリストにないため実行できません。USBメモリーを接続した場合も、USBメモリーの自動起動をオフにしているためUSBメモリー上のプログラムが勝手に起動することはありませんし、USBメモリー上からプログラムを起動しようとしてもRICOH IWB上にファイルがコピーされてもホワイトリストに登録されていないプログラムは起動することができません。
使用履歴を記録し、ログとして出力する機能を提供しています。システムの起動・停止や動作記録、遠隔ホワイトボードの開始・終了などの記録を保存しています。ログは管理者のみが収集できます。
管理者用設定メニューのセキュリティー設定では、メール送信、パスコード、遠隔ホワイトボード、Webブラウザー接続、USBメモリーに関しRICOH IWB本体に機能制限をかけることができます。
ネットワーク通信に関する設定として、RICOH IWB の動作に必要なポートを除くインバウンド通信をすべて閉じておりNetBIOS over TCP/IP は無効にしています。RICOH IWB
は社内ネットワークに接続して使用することを前提に設計されているため、遠隔ホワイトボード中の通信や本体Webサーバーアクセスの通信は社内ネットワーク外に出ることはなく、ネットワーク通信上の脅威はないものとし、暗号化処理は⾏っていません。遠隔ホワイトボードの開催端末は、参加端末でのファイル保存、印刷、メール送信、一時保存を禁止でき、遠隔ホワイトボード終了時には、参加端末のホワイトボードを消去できます*1。遠隔ホワイトボード参加時は、不正なユーザーからのアクセスを抑制するため、パスコードによる認証方式を提供しています。
パスコードは、本体画面にのみ表⽰され、会議に参加した人しか知ることはできません。パスコードは、会議セッション毎(ホワイトボードの終了やスタンバイ/電源オフ毎)に生成されるランダムな4桁〜10桁の数字を使用できます。
IWB Clientによる遠隔ホワイトボードへの参加、Webブラウザーによる遠隔ホワイトボードの閲覧、IWB Remote Desktop
SoftwareによるPC表⽰・操作においても、パスコードによる認証が必要です。
メール送信は、SMTP認証とSTARTTLS方式に対応しています。
⾃動システム更新は、インターネット経由でリコーが管理するシステム更新用サーバーからシステム更新用ファイルを取得します。システム更新用ファイルは暗号化され、HTTPSプロトコルにより通信路も暗号化されているため、なりすまし、または不正に通信内容を傍受されることはありません。⾃動システム更新ではシステム更新用ファイルの取得のみをおこなっており、RICOH
IWB内の情報を送信することはありません。システム更新用サーバーは専用サーバーを使用しており、リコー製品以外はアクセスすることができません。
自動システム更新では、ホワイトボード・アプリケーション起動時に、リコーが管理しているシステム更新用サーバーをチェックします。システム更新用ファイルがある場合には自動的にダウンロードし、ユーザーにはシステム更新するか否かを確認します。自動システム更新の際、システム更新用ファイルの正当性がチェックされます。管理者は、管理者用メニューより、自動システム更新を無効にすることができます。
誤ってインターネット回線に接続される事故を想定して、工場出荷時と同じ管理者用パスワードの場合はWebブラウザーからの管理者用設定メニューが使用できないよう設計されています。使用する場合は、工場出荷時から管理者用パスワードを変更することが必要です。