第1回では、オフィス機器の脅威として、「機密情報の漏えい」「設定情報の変更」「攻撃の踏み台」の3つについて解説した。これらの脅威からオフィス機器を守るには、攻撃者が外部からアクセスしてくることを意識して、以下に示す「管理の明確化」「ネットワークによる保護」「オフィス機器の適切な設定」の3つの対策を実施することが重要である(図1)。自組織の運用管理の参考にして、活用してほしい。

図1●オフィス機器のセキュリティで重要な3つの対策
図1●オフィス機器のセキュリティで重要な3つの対策
[画像のクリックで拡大表示]

(1)管理の明確化

 組織のネットワーク内に接続されているすべての機器の存在を、組織の管理者が把握できるようにするため、下記の対策を実施する。

  • オフィス機器のネットワーク接続に関して、ルールを定め、内部に周知する
  • 組織全体または部門ごとにオフィス機器の管理者を決め、誰が管理するのかを明確にする
  • SHODANやペネトレーションツールの活用などによって、定期的にネットワークを外部から検査し、管理外の機器が接続されていないことを確認する

 特に複合機は総務部門が事務機器として購入して設置することが多いため、組織のIT管理下になっていない場合が多い。具体的な対策例としては、機器のネットワークへの接続を管理者による許可制にし、機器をリストで管理することをセキュリティポリシーで義務付ける。またセキュリティ検査によって、定期的に管理されていない機器を発見して対策することが望ましい。

(2)ネットワークによる保護

 不用意にインターネットに接続して、外部からアクセスされないように、下記の対策を実施する。

  • 必要性がない場合は、オフィス機器を外部ネットワーク(インターネット)に接続しない
  • 外部ネットワークからオフィス機器へアクセスを許可する場合には、原則ファイアウォールやブロードバンドルーターを経由させ、許可する通信だけに限定する

 特にインターネットが完備している施設を利用している場合、機器をネットワークに接続するとインターネットに直結してしまう可能性があるため、ブロードバンドルーターなどのネットワーク機器を導入して、外部と内部のネットワークを分ける必要がある。また、業者によるメンテナンスなど外部ネットワークから機器への接続が必要な場合でも、可能な限りアクセス元のIPアドレスを限定して通信を制限することが望ましい。