複合機/プリンターを安全にご利用いただくために

はじめに

情報化社会の発展と共に、コンピュータウィルスや個人情報の漏えい、外部からの不正アクセスなど様々な脅威が我々の周りを取り囲んでいます。多様化する脅威に対し、お客様にとってセキュリティ対策の取り組みが、最も重要な課題のひとつになっております。このようなセキュリティの脅威は、パソコンやサーバー、ネットワークに限られた話ではありません。複合機/プリンターについてもIT機器のひとつとしてとらえ、適切な設定・運用をすることによりセキュリティの脅威を軽減することが可能です。

リコーでは、複合機やプリンター等の製品で検出された脆弱性を修正するため、ソフトウェア/ファームウェアの更新や、セキュリティパッチの提供が行われています。複合機やプリンターをより安全にご利用いただくために、製品の最新ソフトウェア/ファームウェアを利用してください。

お客様の環境で対応する項目

複合機/プリンターを含むお客様がお使いの情報機器をファイアウォールにより隔離されたネットワークに置くことで、インターネットからの不正アクセスを防止できます。
PCの運用
1. ①離席時のロック
  PCでブラウザーを開いて操作中のまま離席する場合は、PCをロックすることを推奨します。
2. ②ブラウザー利用の分離（Webログインしたまま同じブラウザーで無関係なサイトを見ない）
  PCのブラウザーからWebログインして操作中に他のWebサイトを閲覧する場合は、確実に信頼できるサイトを除き、別のブラウザーを使うことを推奨します。同じブラウザーを使う場合は、他のサイトを閲覧する前にログアウトすることを推奨します。ウィンドウやタブを閉じるだけで済まさず、その前にログアウトする必要があります。
3. ③ハイパーリンクへの注意（信用できるリンクのみ開く）
  PCでメールや掲示板書き込みにあるハイパーリンクを開く際は注意し、信用できるリンクのみ開くことを推奨します。

機器の操作部で設定する項目*1

プライベートIPアドレスで運用する。
社内LANなどのローカルエリアネットワーク環境で運用することでインターネットからの不正なアクセスを防ぐことができます。
機器管理者のパスワード/スーパーバイザーのパスワードを変更することで、インターネットからの悪意のある第三者による攻撃（設定変更）を防止できます。パスワードは必ず初期値から変更してください。
ユーザー認証や蓄積文書パスワードの設定を活用して、複合機内に保存されるデータを保護することをお勧めします。
- 利用者を識別・認証（IC カードやパスワード入力）といったユーザー認証を行うことにより、正規ユーザーのみ複合機を利用できるようにします。
- 蓄積文書パスワードの設定は、蓄積文書にアクセスするためのパスワードを設定することにより、第三者が利用できないようにします。
SMBの設定*2
SMBはv3.0以上を使用することを推奨します。このような設定ができない古い機種の場合は、IPsecで保護することを推奨します。
ストレージ暗号化
HDDを暗号化することを推奨します。
アクセス権限設定
ジョブをキャンセルしたりできる権限をジョブオーナーと管理者に限定することを推奨します。

Webブラウザー（Web Image Monitor）で設定する項目*1

IPアドレスによるアクセス制限
MFP/プリンターを利用できるPC等のIPアドレスの範囲をできる限り限定することを推奨します。インターネットからの不正アクセスを防止できます。
不要な通信ポートのクローズ*3*4
利用しないネットワークポートは閉じることを推奨します。特に、rsh, telnet,ftp,lprなどは、それ自体に暗号機能がないので、ネットワーク盗聴が懸念される場合は、ポートを閉じるか後述のIPsecで保護することを推奨します。
なお、ポートを閉じることにより影響のあるアプリケーションは、リコー公式サイト内の各製品のマニュアルページにて、「ネットワーク接続を制限する」よりご確認いただけます。
ご不明な点はコールセンターにご連絡ください。
SSL/TLSの設定
1. 機器証明書の導入
  
  ネットワーク経由の情報漏洩を防止するために、暗号通信をサポートしている機種は暗号通信をご利用頂くことを推奨します。
  暗号通信にはSSL/TLSやIPsecがあります。サポートしている通信に関してはマニュアルをご覧ください。
  通信の暗号化に用いるデジタル証明書は、自己署名証明書ではなく、信頼できる第三者認証局の発行した証明書を使用することを推奨します。
  なお、自己署名証明書を使用する場合は、ブラウザーを使うPCにも導入して頂く必要があります。
  また、証明書は2048bit以上の鍵長で作成することを推奨します。
2. SSL2.0/3.0、TLS1.0/1.1の制限*5*6
  
  規格が古いSSL2.0/SSL3.0/TLS1.0/TLS1.1は使用しないことを推奨します。
  このような設定ができない古い機種の場合は、IPsecで保護することを推奨します。
3. 暗号スイートの制限*5
  
  暗号強度が低いRC4/DES/3DESを使用しないことを推奨します。
IPsecの設定
ネットワーク盗聴が懸念されるのに暗号化機能のない通信方式を使用する必要がある場合は、IPsecで保護することを推奨します。
SNMPの設定
SNMPを使ったネットワーク負荷攻撃のリスクを減らすために、他社製品も含め以下のことを推奨します。
- コミュニティー名をデフォルト名から変更する
- 事業所ごとにわけるなど、同一のコミュニティー名は使わない
または、SNMPv3の利用を推奨します。

*1

機器の設定を変更するにあたって、使用中のアプリケーションに影響する場合があるため、合わせて、アプリケーション側の設定や運用を確認の上、設定変更を行ってください。
*2

SMB3.0を使用すると、Windows認証はご利用できなくなります。
*3

PC FAXはFTPを通じて送信結果を取得するため、FTPポートを閉じることで送信結果を取得できなくなります。
*4

UnixFilterはlpr/lp/qprtを通じて印刷を実施しているため、lpr/lp/qprtを閉じると、印刷できなくなります。
*5

個人認証システム AE2の印刷文書削除ツールのご利用はできなくなります。
*6

RC Gate:Remote Communication Gateをご利用できなくなります。

その他、様々なセキュリティ機能をサポートしておりますので、お客様の環境に応じてご利用ください。セキュリティ機能についてはこちらを参照してください。

複合機/プリンターを安全にご利用いただくための操作手順

機器の操作部で設定する項目

プライベートIPアドレスで運用する

IPアドレスとはネットワーク上の機器に割り当てられる番号のことをいいます。インターネットの接続に使われるIPアドレスを「グローバルIPアドレス」、社内LANなどローカルエリアネットワークで使われる機器に割り当てられたIPアドレスを「プライベートIPアドレス」と呼びます。

複合機/プリンターにグローバルIPアドレスが設定されている場合、インターネット上の不特定多数のユーザーからアクセスできる状態となり、外部からの不正アクセスによる情報漏えいなどのリスクも高まります。一方で複合機/プリンターにプライベートIPアドレスが設定されている場合、社内LANなどのローカルエリアネットワーク上のユーザーからしかアクセスすることができません。基本的には複合機/プリンターのIPアドレスにプライベートIPアドレスを設定して運用することを推奨します。プライベートIPアドレスには、以下のいずれかの範囲のアドレスが使用されます。

【プライベートIPアドレスの範囲】

10.0.0.0 ～ 10.255.255.255

172.16.0.0 ～ 172.31.255.255

192.168.0.0 ～ 192.168.255.255

各機能の利用方法

※

スーパーバイザーのログインユーザー名とログインパスワードを変更した場合は、絶対に忘れないようにしてください。

起動時にパスワード入力画面が表示されない製品のとき

操作部から［システム初期設定］⇒［管理者用設定］⇒［管理者認証管理］⇒［管理者登録/変更］にて、設定できます。詳しくは、製品納入時にお渡ししているセキュリティーの説明書「はじめに」「管理者認証を設定する」を参照してください。

パスワード設定を初めて実施されるお客様の場合
- ※
  
  セキュリティーの説明書から初期値をご参照ください。
パスワードを設定したかご不明の場合、またはパスワードを忘れてしまったお客様の場合
- ※
  
  サービス実施店にご連絡ください。

起動時にパスワード入力画面が表示される製品のとき

起動時にパスワード変更を促す画面が表示されるので、管理者1のパスワードとスーパーバイザーの［変更］を押して、パスワードを設定します。
- ※
  
  このときログインユーザー名は、初期値のままです。（初期値はセキュリティーの説明書を参照してください）
両方のパスワードを設定後、［OK］を押します。
電源を再投入します。

（RICOH IM C6000/C5500/C4500/C3500/C3000/C2500/C2000の場合）

詳細は使用説明書にある「本機の運用を開始する前に管理者を登録する」をご参照ください。

本機の運用を開始する前に管理者を登録する

［管理者認証管理］を押し、［管理者認証］を［する］に設定します。
機器管理者のＩＤとパスワードでログインします。
［システム設定］を押します。
［管理者用設定］を押します。
［次へ］を押します。
［管理者登録／変更］を押します。
権限パスワードを設定する管理者の下にある［変更］を押します。
初期値は［管理者１］にすべての管理者権限が割り当てられていますので、［管理者１］の［変更］を選択してください。
「ログインパスワード」の［変更］を押します。
ログインパスワードを入力し、［OK］を押します。他人に容易に推測されないように、ログインパスワードは、十分に長くて複雑な、推測されにくいものを付けてください。英字の大文字・小文字と数字・記号からなる13文字以上の文字列が推奨されます。
確認のためにもう一度ログインパスワードを入力し、［OK］を押します。
［設定］を2回押します。自動的にログアウトされます。

（RICOH IM C6000/C5500/C4500/C3500/C3000/C2500/C2000の場合）

詳細は使用説明書にある「登録されたユーザーだけが使用できるようにする（ユーザー認証）」をご参照ください。

登録されたユーザーだけが使用できるようにする（ユーザー認証）

ユーザー認証設定の流れは以下のとおりです。

管理者認証を設定します。
（セキュリティーの説明書「はじめに」「管理者認証を設定する」を参照してください）
管理者を登録、変更します。
（本編の「管理者/スーパーバイザーのパスワードの変更方法」を参照してください）
ユーザー認証にはユーザーコード認証、ベーシック認証、Windows認証、LDAP認証、統合サーバー認証の5つの認証方法があります。操作部でどれか1つの認証を選択し、必要な設定をします。設定項目は認証方法によって異なります。管理者認証を設定してから、ユーザー認証を設定します。
（セキュリティーの説明書「ユーザー認証を設定する」を参照してください）

※

ICカード認証システムを使用して、ユーザーを認証する方法もあります。詳細はサービス実施店に確認してください。

（RICOH IM C6000/C5500/C4500/C3500/C3000/C2500/C2000の場合）

文書管理者、またはオーナーが設定します。

操作部のホーム画面から［ドキュメントボックス］⇒対象のフォルダーを選択⇒対象文書を選択⇒［文書情報変更］の手順で設定できます*。

*

使用している機種により、若干手順が異なります。

文書パスワードで使用できるのは、4桁～8桁の数字です。詳しくは、セキュリティーの説明書「文書の漏洩を防止する」「蓄積文書にパスワードを設定する」を参照してください。

（RICOH IM C6000/C5500/C4500/C3500/C3000/C2500/C2000の場合）

文書管理者、またはオーナーが設定します。

操作部から文書管理者、またはオーナーがログインします。
［初期設定/カウンター］キーを押して、初期設定画面を閉じます。「この機能を利用する権限はありません。」が表示されたときは、［確認］を押します。
操作部の［ホーム］キーを押して、ホーム画面の［ドキュメントボックス］アイコンを押します。「この機能を利用する権限はありません。」が表示されたときは、［確認］を押します。
対象のフォルダーを選択します。
対象文書を選択します。
［文書情報変更］を押します。
［パスワード変更］を押します。
設定するパスワードを入力し、［OK］を押します。文書パスワードで使用できるのは、4桁～8桁の数字です。
確認のためにもう一度パスワードを入力し、［OK］を押します。
［OK］を押します。
ログアウトします。

※

PCにてWebブラウザー（Web Image Monitor）を利用しても本設定は実施できます。

操作部から機器管理者としてログインします。
本体画面で［設定］を押します。
［インターフェース設定］を押し、［SMBクライアント詳細設定］を押します。
SMBv2/SMBv3を［有効］を押し、［設定］を押します。

（RICOH IM C6000/C5500/C4500/C3500/C3000/C2500/C2000の場合）

詳細は使用説明書にある「本機のデータを暗号化して盗難や廃棄に備える」をご参照ください。

本機のデータを暗号化して盗難や廃棄に備える

操作部から機器管理者としてログインします。
本体画面で［設定］を押します。
［管理者用設定］を押し、［機器データ暗号化設定］を押します。
［暗号化］を押します。
暗号化する対象を選択してください。
暗号鍵保存先を選択してください。
保存先への保存を行いますので表示されている指示に従ってください。
暗号鍵の更新を行うため［実行］を押します。
画面表示を確認し、［確認］を押します。
本機の主電源を切り、再度、主電源を入れるとメモリー変更が実行されます。

（RICOH IM C6000/C5500/C4500/C3500/C3000/C2500/C2000の場合）

詳細は使用説明書にある「管理者向け設定」をご参照ください。

管理者向け設定

事前にユーザー認証でユーザーコード認証、ベーシック認証、Windows認証、LDAP認証、統合サーバー認証のいずれかを選択してください。

※

ユーザーコード認証/統合サーバー認証はお使いの機種によってご利用頂けない場合がございます。

操作部から機器管理者としてログインします。
本体画面で［設定］を押します。
［管理者用設定］を押し、［セキュリティー強化］を押します。
［次へ］を押して実行中ジョブへの認証の実施を表示し、［アクセス権限］を押し、［設定］を押します。

Webブラウザー（Web Image Monitor）で設定する項目

各機能の利用方法

（RICOH IM C6000/C5500/C4500/C3500/C3000/C2500/C2000の場合）

詳細は使用説明書にある「ネットワーク接続を制限する」をご参照ください。

ネットワーク接続を制限する

アクセスできる機器のIPアドレスの範囲を、PCから設定できます。

PCでWebブラウザー（Web Image Monitor）からネットワーク管理者としてログインします。
［機器の管理］メニューで［設定］をクリックします。
「セキュリティー」の［アクセスコントロール］をクリックします。
「アクセスコントロール」の［有効］をクリックし、本機への接続を許可するIPアドレスの範囲を設定します。
設定が終わったら［OK］をクリックし、Webブラウザーを終了します。
- ※
  
  設定を誤ったことによりPCからネットワーク接続できなくなった場合は、まず複合機/プリンターの操作部にてアクセスコントロール機能を無効にした後、再度手順1から実施してください。

（RICOH IM C6000/C5500/C4500/C3500/C3000/C2500/C2000の場合）

詳細は使用説明書にある「ネットワーク接続を制限する」をご参照ください。

ネットワーク接続を制限する

PCでWebブラウザー（Web Image Monitor）からネットワーク管理者としてログインします。
［機器の管理］メニューで［設定］をクリックします。
「セキュリティー」の［ネットワークセキュリティー］をクリックします。
無効にするプロトコルやポート番号などを設定します。
設定が終わったら［OK］をクリックし、Webブラウザーを終了します。

（RICOH IM C6000/C5500/C4500/C3500/C3000/C2500/C2000の場合）

ネットワーク通信を暗号化する

機器証明書の導入

PCからWeb経由で機器証明書の導入ができます。
1. PCでWebブラウザー（Web Image Monitor）からネットワーク管理者としてログインします。
2. ［機器の管理］メニューで［設定］をクリックします。
3. ［セキュリティー］の［機器証明書］をクリックします。
4. 「機器証明書」画面で、自己証明書または認証局証明書を導入します。
  - ※
    
    詳細手順は機器のマニュアルを参照
5. 証明書の導入が終わったら、「利用する証明書」でアプリケーションごとに証明書を選択します。
6. 設定が終わったら［OK］をクリックし、Webブラウザーを終了します。
SSL/TLSで通信を暗号化する

PCからWeb経由で機器証明書の導入ができます。
1. PCでWebブラウザー（Web Image Monitor）からネットワーク管理者としてログインします。
2. ［機器の管理］メニューで［設定］をクリックします。
3. 「セキュリティー」の［SSL/TLS］をクリックします。
4. 「SSL/TLS」で暗号化通信を有効にするプロトコルを選択し、通信方法の詳細を設定します。なお、規格が古いSSL2.0やSSL3.0は使用しないことを推奨します。
5. 設定が終わったら［OK］をクリックし、Webブラウザーを終了します。
暗号スイートの制限

PCからWeb経由で暗号強度の設定ができます。
1. PCでWebブラウザー（Web Image Monitor）からネットワーク管理者としてログインします。
2. ［機器の管理メニュー］で［設定］をクリックします。
3. 「セキュリティー」の［SSL/TLS］をクリックします。
4. 「SSL/TLS」で暗号強度の設定をします。なお、暗号強度の低いRC4, DESを使用しないことを推奨します。
5. 設定が終わったら［OK］をクリックし、Webブラウザーを終了します。

詳細はWeb Image Monitorのヘルプにある「IPsec」をご参照ください。

IPsec

PCでWebブラウザー（Web Image Monitor）からネットワーク管理者としてログインします。
［機器の管理メニュー］で［設定］をクリックします。
「セキュリティー」の［IPsec］をクリックします。
IPsecを有効にします。
- ※
  
  HTTPS通信の除外を無効にすることで、IPsec設定に誤りがあった場合でも、Webによる設定変更が可能となります。この場合SSLにより通信の安全性が保たれます。
- ※
  
  IPsec設定に誤りがあった場合、複合機/プリンターの操作部でIPsecを無効にすることで再設定することもできます。
自動鍵交換設定の［編集］をクリックします。お客さまの環境に応じて設定してください。

IPsec設定項目
設定が終わったら［OK］をクリックします。

コミュニティーの設定方法

PCでWebブラウザー（Web Image Monitor）からネットワーク管理者としてログインします。
［機器の管理メニュー］で［設定］をクリックします。
「ネットワーク」の［SNMP］をクリックします。
コミュニティーの各項目を設定します。
事業所ごとにコミュニティー名を分けるなど、同一コミュニティー名を大勢で共有しないようにすることでセキュリティ強度が向上します。
1. コミュニティー名：任意のコミュニティー名を設定します（半角15文字以内）。
  デフォルト名から変更することを推奨します。
2. アクセスタイプ：コミュニティーへのアクセス権を選択します。
3. プロトコルタイプ、有効/無効：コミュニティーで使用するプロトコルを設定します。
4. マネージャアドレス：使用するプロトコルに応じたホストのアドレスを入力します。
設定が完了したら［OK］をクリックします。

機器管理ソフトウェアとのSNMPv3通信を暗号化する設定方法

PCでWebブラウザー(Web Image Monitor) からネットワーク管理者としてログインします。
［機器の管理メニュー］で［設定］をクリックします。
「ネットワーク」の［SNMPv3］をクリックします。
［SNMPv3設定］で［SNMPv3通信許可設定］にて”暗号化のみ”を選択します。
- ※
  
  暗号化パスワードは機器の管理 > 設定 > 機器 > 管理者登録/変更で設定することができます。
設定が完了したら［OK］をクリックします。