日本 - ソリューション・商品サイト

複合機/プリンターを安全にご利用いただくために

はじめに

情報化社会の発展と共に、コンピュータウィルスや個人情報の漏えい、外部からの不正アクセスなど様々な脅威が我々の周りを取り囲んでいます。多様化する脅威に対し、お客様にとってセキュリティ対策の取り組みが、最も重要な課題のひとつになっております。このようなセキュリティの脅威は、パソコンやサーバー、ネットワークに限られた話ではありません。複合機/プリンターについてもIT機器のひとつとしてとらえ、適切な設定・運用をすることによりセキュリティの脅威を軽減することが可能です。

リコーでは、複合機やプリンター等の製品で検出された脆弱性を修正するため、ソフトウェア/ファームウェアの更新や、セキュリティパッチの提供が行われています。複合機やプリンターをより安全にご利用いただくために、製品の最新ソフトウェア/ファームウェアを利用してください。

お客様の環境で対応する項目

複合機/プリンターを含むお客様がお使いの情報機器をファイアウォールにより隔離されたネットワークに置くことで、インターネットからの不正アクセスを防止できます。
PCの運用
1. ①離席時のロック
  PCでブラウザーを開いて操作中のまま離席する場合は、PCをロックすることを推奨します。
2. ②ブラウザー利用の分離（Webログインしたまま同じブラウザーで無関係なサイトを見ない）
  PCのブラウザーからWebログインして操作中に他のWebサイトを閲覧する場合は、確実に信頼できるサイトを除き、別のブラウザーを使うことを推奨します。同じブラウザーを使う場合は、他のサイトを閲覧する前にログアウトすることを推奨します。ウィンドウやタブを閉じるだけで済まさず、その前にログアウトする必要があります。
3. ③ハイパーリンクへの注意（信用できるリンクのみ開く）
  PCでメールや掲示板書き込みにあるハイパーリンクを開く際は注意し、信用できるリンクのみ開くことを推奨します。

機器の操作部で設定する項目*1

プライベートIPアドレスで運用する。
社内LANなどのローカルエリアネットワーク環境で運用することでインターネットからの不正なアクセスを防ぐことができます。
機器管理者のパスワード/スーパーバイザーのパスワードを変更することで、インターネットからの悪意のある第三者による攻撃（設定変更）を防止できます。パスワードは必ず初期値から変更してください。
ユーザー認証や蓄積文書パスワードの設定を活用して、複合機内に保存されるデータを保護することをお勧めします。
- 利用者を識別・認証（IC カードやパスワード入力）といったユーザー認証を行うことにより、正規ユーザーのみ複合機を利用できるようにします。
- 蓄積文書パスワードの設定は、蓄積文書にアクセスするためのパスワードを設定することにより、第三者が利用できないようにします。
SMBの設定*2
SMBはv3.0以上を使用することを推奨します。このような設定ができない古い機種の場合は、IPsecで保護することを推奨します。
ストレージ暗号化
HDDを暗号化することを推奨します。
アクセス権限設定
ジョブをキャンセルしたりできる権限をジョブオーナーと管理者に限定することを推奨します。

Webブラウザー（Web Image Monitor）で設定する項目*1

IPアドレスによるアクセス制限
MFP/プリンターを利用できるPC等のIPアドレスの範囲をできる限り限定することを推奨します。インターネットからの不正アクセスを防止できます。
不要な通信ポートのクローズ*3*4
利用しないネットワークポートは閉じることを推奨します。特に、rsh, telnet,ftp,lprなどは、それ自体に暗号機能がないので、ネットワーク盗聴が懸念される場合は、ポートを閉じるか後述のIPsecで保護することを推奨します。
なお、ポートを閉じることにより影響のあるアプリケーションは、リコー公式サイト内の各製品のマニュアルページにて、「ネットワーク接続を制限する」よりご確認いただけます。
ご不明な点はコールセンターにご連絡ください。
SSL/TLSの設定
1. 機器証明書の導入
  
  ネットワーク経由の情報漏洩を防止するために、暗号通信をサポートしている機種は暗号通信をご利用頂くことを推奨します。
  暗号通信にはSSL/TLSやIPsecがあります。サポートしている通信に関してはマニュアルをご覧ください。
  通信の暗号化に用いるデジタル証明書は、自己署名証明書ではなく、信頼できる第三者認証局の発行した証明書を使用することを推奨します。
  なお、自己署名証明書を使用する場合は、ブラウザーを使うPCにも導入して頂く必要があります。
  また、証明書は2048bit以上の鍵長で作成することを推奨します。
2. SSL2.0/3.0、TLS1.0/1.1の制限*5*6
  
  規格が古いSSL2.0/SSL3.0/TLS1.0/TLS1.1は使用しないことを推奨します。
  このような設定ができない古い機種の場合は、IPsecで保護することを推奨します。
3. 暗号スイートの制限*5
  
  暗号強度が低いRC4/DES/3DESを使用しないことを推奨します。
IPsecの設定
ネットワーク盗聴が懸念されるのに暗号化機能のない通信方式を使用する必要がある場合は、IPsecで保護することを推奨します。
SNMPの設定
SNMPを使ったネットワーク負荷攻撃のリスクを減らすために、他社製品も含め以下のことを推奨します。
- コミュニティー名をデフォルト名から変更する
- 事業所ごとにわけるなど、同一のコミュニティー名は使わない
または、SNMPv3の利用を推奨します。

*1

機器の設定を変更するにあたって、使用中のアプリケーションに影響する場合があるため、合わせて、アプリケーション側の設定や運用を確認の上、設定変更を行ってください。
*2

SMB3.0を使用すると、Windows認証はご利用できなくなります。
*3

PC FAXはFTPを通じて送信結果を取得するため、FTPポートを閉じることで送信結果を取得できなくなります。
*4

UnixFilterはlpr/lp/qprtを通じて印刷を実施しているため、lpr/lp/qprtを閉じると、印刷できなくなります。
*5

個人認証システム AE2の印刷文書削除ツールのご利用はできなくなります。
*6

RC Gate:Remote Communication Gateをご利用できなくなります。

その他、様々なセキュリティ機能をサポートしておりますので、お客様の環境に応じてご利用ください。セキュリティ機能についてはこちらを参照してください。

複合機/プリンターを安全にご利用いただくための操作手順

機器の操作部で設定する項目

プライベートIPアドレスで運用する

IPアドレスとはネットワーク上の機器に割り当てられる番号のことをいいます。インターネットの接続に使われるIPアドレスを「グローバルIPアドレス」、社内LANなどローカルエリアネットワークで使われる機器に割り当てられたIPアドレスを「プライベートIPアドレス」と呼びます。

複合機/プリンターにグローバルIPアドレスが設定されている場合、インターネット上の不特定多数のユーザーからアクセスできる状態となり、外部からの不正アクセスによる情報漏えいなどのリスクも高まります。一方で複合機/プリンターにプライベートIPアドレスが設定されている場合、社内LANなどのローカルエリアネットワーク上のユーザーからしかアクセスすることができません。基本的には複合機/プリンターのIPアドレスにプライベートIPアドレスを設定して運用することを推奨します。プライベートIPアドレスには、以下のいずれかの範囲のアドレスが使用されます。

【プライベートIPアドレスの範囲】

10.0.0.0 ～ 10.255.255.255

172.16.0.0 ～ 172.31.255.255

192.168.0.0 ～ 192.168.255.255