第1回では、オフィス機器の脅威として、「機密情報の漏えい」「設定情報の変更」「攻撃の踏み台」の3つについて解説した。これらの脅威からオフィス機器を守るには、攻撃者が外部からアクセスしてくることを意識して、以下に示す「管理の明確化」「ネットワークによる保護」「オフィス機器の適切な設定」の3つの対策を実施することが重要である(図1)。自組織の運用管理の参考にして、活用してほしい。
(1)管理の明確化
組織のネットワーク内に接続されているすべての機器の存在を、組織の管理者が把握できるようにするため、下記の対策を実施する。
- オフィス機器のネットワーク接続に関して、ルールを定め、内部に周知する
- 組織全体または部門ごとにオフィス機器の管理者を決め、誰が管理するのかを明確にする
- SHODANやペネトレーションツールの活用などによって、定期的にネットワークを外部から検査し、管理外の機器が接続されていないことを確認する
(2)ネットワークによる保護
不用意にインターネットに接続して、外部からアクセスされないように、下記の対策を実施する。
- 必要性がない場合は、オフィス機器を外部ネットワーク(インターネット)に接続しない
- 外部ネットワークからオフィス機器へアクセスを許可する場合には、原則ファイアウォールやブロードバンドルーターを経由させ、許可する通信だけに限定する