新しいレベルの MFP セキュリティ: imageRUNNER ADVANCE III

内蔵機能の増加により、オフィス MFP は、単純なスキャン/印刷を超えて久しいです。現在、これらは本格的な独立したデバイスとなり、ハイテクのローカルおよびグローバル ネットワークに統合され、1 つのオフィス内だけでなく世界中のユーザーと組織を接続します。

この記事では、情報セキュリティの実践専門家である Luka Safonov 氏とともに執筆しています。 ルカサフォノフ 最新のオフィス MFP に対する主な脅威とそれを防ぐ方法を見てみましょう。

最新のオフィス機器には独自のハード ドライブとオペレーティング システムが搭載されており、そのおかげで MFP はさまざまな文書管理タスクを独立して実行でき、他のデバイスの負荷を軽減できます。ただし、このような高度な技術を備えた機器には欠点もあります。 MFP はネットワーク上でのデータ送信に積極的に関与するため、適切な保護がなければ組織のネットワーク環境全体の脆弱性となります。システムのセキュリティは、最も弱いリンクの保護の程度によって決まります。したがって、MFP を攻撃者が侵入する抜け穴が残っていれば、企業のサーバーやコンピュータの保護対策にコストをかけても意味がありません。機密情報の保護の問題を理解したキヤノンの開発者は、プラットフォームの第 3 バージョンのセキュリティ レベルを向上させました。 イメージランナーアドバンス、この記事で説明します。

主な脅威

組織での MFP の使用には、いくつかの潜在的なリスクがあります。

• MFP への不正アクセスによるシステムのハッキング、および「参照ポイント」としての使用。
• MFP を使用してユーザー データを抜き出す。
• 印刷またはスキャン時のデータの傍受。
• 適切な許可のない個人のデータへのアクセス。
• 印刷またはスキャンされた機密情報へのアクセス。
• 耐用年数が終了したデバイス上の機密データにアクセスします。
• 故意またはタイプミスにより、間違ったアドレスに文書をファックスまたは電子メールで送信する。
• 保護されていない複合機に保存されている機密情報の不正な閲覧。
• さまざまなユーザーに属する印刷ジョブの共有スタック。

「実際、最新の複合機には攻撃者にとって多大な可能性が秘められていることがよくあります。私たちのプロジェクトの経験から、未設定のデバイス、または適切なレベルの保護が備わっていないデバイスは、攻撃者にいわゆる攻撃を拡大する大きな機会を与えることがわかっています。 「攻撃面」。これにより、アカウントのリスト、ネットワーク アドレス指定、電子メール メッセージの送信機能などが取得されます。キヤノンが提供するソリューションがこれらの脅威を無力化できるかどうかを試してみましょう。」

新しい imageRUNNER ADVANCE プラットフォームは、脆弱性の種類ごとに、マルチレベルの保護を提供するあらゆる範囲の補完的な対策を提供します。 MFP の動作の特殊性により、開発には特別なアプローチが必要であることに注意してください。文書を印刷したりスキャンしたりすると、情報はデジタルからアナログに、またはその逆に移行します。これらの種類の情報はそれぞれ、保護を確保するために根本的に異なる方法を必要とします。通常、テクノロジーの接合部分では、その異質性により、最も脆弱な場所が形成されます。

「MFP は侵入テスターと攻撃者の両方にとって格好の餌食となることがよくあります。一般に、これは、そのようなデバイスのセットアップに対する怠慢な態度と、オフィス環境とネットワーク インフラストラクチャの両方でそれらのデバイスが比較的簡単に利用できることが原因です。最新の事例の 29 つは、2018 年 50 月 000 日に発生した示唆的攻撃です。この攻撃では、TheHackerGiraffe という仮名を持つ Twitter ユーザーが 800 台以上のネットワーク プリンタを「ハッキング」し、あるネットワーク プリンタの YouTube チャンネルへの登録を呼びかけるチラシを印刷しました。とあるピューディパイ。 Reddit で、TheHackerGiraffe は、000 台以上のデバイスを侵害する可能性があるが、自分自身を 50 台に制限したと述べました。同時に、主な問題は、これまでにこのようなことをしたことがなく、すべての準備とセキュリティが万全であったことであると強調しました。ハッキング自体には000分しかかかりませんでした。」

キヤノンは技術、製品、サービスを開発する際、それらがお客様の作業環境に与える潜在的な影響を考慮します。そのため、キヤノンのオフィス用複合機には、あらゆる規模の企業が必要なセキュリティ レベルを達成できるよう、幅広い組み込みおよびオプションのセキュリティ機能が搭載されています。

キヤノンは、オフィス機器業界全体の中で最も厳格な安全性試験制度を設けています。デバイスで使用されているテクノロジーは、企業標準に準拠しているかどうかテストされます。最新の検査によるセキュリティチェックには細心の注意が払われており、その結果は、Kaspersky Lab、COMLOGIC、TerraLink、JTI Russia などの企業からデバイスの動作に関して肯定的なフィードバックを受けています。

「現代の現実では製品の安全性を高めることが論理的であるにもかかわらず、すべての企業がこの原則に従っているわけではありません。企業は、特定の製品のハッキング（およびユーザーからの圧力）事件後の保護について考え始めています。この点からも、キヤノンの保護方法や対策の徹底した姿勢がうかがえます。」

MFPへの不正アクセス

多くの場合、保護されていない MFP は、内部の違反者 (インサイダー) と外部の違反者両方の優先ターゲットになります。現代の現実では、企業ネットワークは 1 つのオフィスに限定されず、地理的に異なる場所にある部門やユーザーのグループが含まれています。一元化されたドキュメント フローには、リモート アクセスと企業ネットワークへの MFP の組み込みが必要です。ネットワーク接続された印刷デバイスはモノのインターネットに属しますが、その保護には十分な注意が払われていないことが多く、それがインフラストラクチャ全体の全体的な脆弱性につながります。

この種の脅威から保護するために、次の対策が実装されています。

• IP および MAC アドレス フィルター – 特定の IP アドレスまたは MAC アドレスを持つデバイスとの通信のみを許可するように構成します。ネットワーク内外のデータ転送を制御する機能です。
• プロキシ サーバーの設定 - この機能により、MFP 接続の制御をプロキシ サーバーに委任できます。この機能は、企業ネットワーク外のデバイスに接続する場合に推奨されます。
• IEEE 802.1X 認証は、認証サーバーによって許可されていないデバイスの接続に対するもう XNUMX つの保護です。 LANスイッチにより不正なアクセスをブロックします。
• IPSec 経由の接続 – ネットワーク上で送信される IP パケットを傍受または復号化する試みから保護します。追加の TLS 通信暗号化と併用することをお勧めします。
• ポート管理 - 攻撃者に対する内部関係者の支援から保護するように設計されています。この機能は、セキュリティ ポリシーに従ってポート パラメータを設定する役割を果たします。
• 証明書の自動登録 – この機能は、システム管理者にセキュリティ証明書を自動的に発行および更新する便利なツールを提供します。
• Wi-Fi ダイレクト – この機能は、モバイル デバイスからの安全な印刷のために設計されています。これを行うには、モバイル デバイスを企業ネットワークに接続する必要はありません。 Wi-Fi ダイレクトを使用して、デバイスと MFP の間にローカル ピアツーピア接続が作成されます。
• ログ監視 – ブロックされた接続要求を含む、MFP の使用に関連するすべてのイベントが、さまざまなシステム ログにリアルタイムで記録されます。記録を分析することで、潜在的な脅威と既存の脅威を検出し、予防的なセキュリティ ポリシーを構築し、すでに発生した情報漏洩の専門家による評価を実施できます。
• デバイス暗号化 - このオプションは、ユーザーの PC から多機能プリンターに送信される印刷ジョブを暗号化します。包括的なセキュリティ機能セットを有効にして、スキャンした PDF データを暗号化することもできます。
• モバイル デバイスからのゲスト印刷。安全なネットワーク印刷およびスキャン管理ソフトウェアは、電子メール、Web、モバイル アプリなどの印刷ジョブを送信するための外部方法を提供することにより、モバイル印刷およびゲスト印刷に関連する一般的なセキュリティ問題を排除します。これにより、MFP が安全なソースから動作することが保証され、ハッキングの可能性が最小限に抑えられます。

「このようなデバイスの共有には、利便性とコスト削減に加えて、サードパーティの情報にアクセスするリスクも伴います。これは、攻撃者だけでなく、悪意のある従業員によっても個人的な利益を得たり、内部情報を取得したりするために使用される可能性があります。そして、技術秘密から財務文書に至るまで、処理される情報の大きな可能性は、攻撃や不正使用にとって重要な優先事項です。」

imageRUNNER ADVANCE プラットフォームの新バージョンには、印刷デバイスを 2 つのネットワークに接続する機能が追加されました。これは、MFP を企業モードとゲスト モードで同時に使用する場合に非常に便利です。

ハードディスクのデータ保護

多機能プリンターには、キューに入れられた印刷ジョブから受信した FAX、スキャンした画像、アドレス帳、アクティビティ ログ、ジョブ履歴に至るまで、保護する必要がある大量のデータが常に含まれています。

実際、ディスクは一時的なストレージにすぎず、情報を必要以上に長く保存すると、企業のセキュリティ システムの脆弱性が高まります。これを防ぐために、設定でハードドライブのクリーニングスケジュールを設定できます。印刷ジョブは完了直後または印刷が失敗したときに消去されるだけでなく、スケジュールに基づいて他のファイルを削除して残留データを消去することもできます。

「残念ながら、多くの IT プロフェッショナルでさえ、最新の印刷デバイスにおけるハード ドライブの役割をあまり認識していません。ハードドライブがあれば、印刷の準備段階にかかる時間を大幅に短縮できます。通常、ハード ドライブには、システム情報、グラフィック ファイル、およびコピーを印刷するためのラスタライズされたイメージが保存されます。複合機の不適切な廃棄やデータ漏洩の可能性に加えて、分析のためにハードドライブを解体・盗難したり、プリンタエクスプロイトツールキットなどを使用してデータを抜き出すための特殊な攻撃を実行したりする可能性があります。」

キヤノンのデバイスは、機密性、完全性、可用性を維持しながら、デバイスのライフサイクル全体を通じてデータを保護するためのさまざまなツールを提供します。
ハードドライブ上のデータの保護には細心の注意が払われています。そこに保存される情報には、さまざまな程度の機密性が含まれる場合があります。したがって、HDD 暗号化は、imageRUNNER ADVANCE プラットフォームの新バージョンの 26 つの異なるシリーズ内の 7 のデバイス モデルすべてで使用されます。米国政府の FIPS 140-2 レベル 2 セキュリティ標準および日本の同等の JCVMP に準拠しています。

「ユーザーの役割とアクセスレベルを考慮した情報アクセスシステムを構築することが重要です。たとえば、多くの企業では従業員間で給与について話し合うことは固く禁じられており、給与明細やボーナスに関する情報が漏洩すると、チーム内で深刻な対立を引き起こす可能性があります。残念なことに、私はそのような事例を知っていますが、そのうちの1件では、この種の漏洩の責任を負った従業員の解雇につながりました。」

• ハードドライブの暗号化。 imageRUNNER ADVANCE デバイスは、セキュリティを強化するためにハードドライブ上のすべてのデータを暗号化します。
• ハードドライブのクリーニング。コピーまたはスキャンしたデータ、コンピューターから印刷した文書データなどの一部のデータは、一定期間プリンターのハード ドライブに保存され、ジョブの完了後に削除されます。
• すべてのデータとパラメータの初期化。ハードドライブの交換または廃棄時のデータ損失を防ぐために、ハードドライブ上のすべてのドキュメントとデータを上書きし、設定をデフォルト値にリセットできます。
• ハードドライブをバックアップします。企業は、デバイスのハード ドライブからオプションのハード ドライブにデータをバックアップできるようになりました。バックアップするとき、両方のハード ドライブ上のデータは完全に暗号化されます。
• リムーバブルハードドライブキット。このオプションを使用すると、デバイスが使用されていないときに、ハードドライブをデバイスから取り外して安全に保管できます。

重要データの漏洩

すべての企業は、契約書、同意書、会計書類、顧客データ、開発部門の計画などの機密文書を扱います。このような文書が悪者の手に渡った場合、その影響は風評被害から多額の罰金、さらには訴訟にまで及ぶ可能性があります。攻撃者は会社の資産、内部情報、機密情報を制御できるようになります。

「貴重な情報を盗むのは競合他社や詐欺師だけではありません。従業員が独自のビジネスを開発したり、外部に情報を販売して密かに副収入を得たりするケースがよくあります。このような状況では、プリンターが主なアシスタントになります。社内でのデータ転送は簡単に追跡できます。さらに、貴重な情報にアクセスできるのは一般の従業員ではありません。そして、普通の管理者にとって、眠ったままになっている貴重な文書を盗むことほど簡単なことはあるでしょうか?誰でもこのタスクに対処できます。印刷された文書を必ずしも組織の外に持ち出す必要があるわけではありません。高性能のカメラを備えた携帯電話で、何もせずに転がっている資料の写真をすばやく撮るだけで十分です。」

キヤノンは、ライフサイクル全体を通じて機密文書を保護するために役立つさまざまなセキュリティ ソリューションを提供しています。

印刷文書の機密保持

ユーザーは、デバイスに正しい PIN を入力した後にのみドキュメントの印刷が開始されるように、印刷 PIN を設定できます。これにより、機密文書を保護できます。

「MFP は、ユーザーの利便性を考慮して、組織内の公共のアクセス可能なエリアに設置されていることがよくあります。これらは、ホール、会議室、廊下、受付エリアなどです。識別子 (PIN コード、スマート カード) を使用する場合のみ、ユーザーのアクセス レベルに応じた情報の安全性が保証されます。注目に値するケースは、ユーザーが以前に送信された文書やパスポートのスキャンなどにアクセスした場合です。不適切な管理とデータクリーニング機能の欠如の結果です。」

imageRUNNER ADVANCE デバイスでは、管理者は送信されたすべての印刷ジョブを一時停止し、ユーザーが印刷するためにログインする必要があるため、すべての印刷物のプライバシーを保護できます。

印刷ジョブやスキャンした文書はメールボックスに保存され、いつでも簡単にアクセスできます。メールボックスは PIN コードで保護され、指定されたユーザーのみがその内容にアクセスできるようにすることができます。デバイス上のこの安全なスペースを使用して、慎重な取り扱いが必要な頻繁に印刷されるドキュメント (レターヘッドやフォームなど) を保存します。

文書やFAXの送信を完全に制御

情報漏洩のリスクを軽減するために、管理者は、LDAP サーバーのアドレス帳にない受信者、システムまたは特定のドメインに登録されていない受信者など、さまざまな受信者へのアクセスを制限できます。

ドキュメントが間違った受信者に送信されないようにするには、電子メール アドレスの自動入力を無効にする必要があります。

PIN コードを設定して保護すると、デバイスのアドレス帳が不正なユーザー アクセスから保護されます。

ユーザーに FAX 番号の再入力を要求すると、文書が間違った受信者に送信されるのを防ぐことができます。

文書や FAX を機密フォルダまたは PIN で保護すると、文書を印刷しなくてもメモリに安全に保存されます。

文書の出所と信頼性を検証する

キーと認証メカニズムを使用してスキャンされた PDF または XPS ドキュメントにデバイス署名を追加できるため、受信者はドキュメントのソースと信頼性を検証できます。

「電子文書では、電子デジタル署名 (EDS) が必須であり、この電子文書を偽造から保護するために設計されており、署名キー証明書の所有者を特定できるほか、文書内の情報が歪曲されていないことを証明できます。電子文書。これにより、送信される文書の安全性とその所有者の正確な識別が保証され、情報の信頼性の維持に役立ちます。」

ユーザー署名を使用すると、認証会社から取得したユーザー固有のデジタル署名を付けて PDF または XPS ファイルを送信できます。こうすることで、受信者は文書に誰が署名したかを確認できるようになります。

Adobe LIFECYCLE MANAGEMENT ES との統合

ユーザーは PDF ファイルを保護し、一貫した動的なポリシーを PDF ファイルに適用してアクセス権と使用権を制御し、機密情報や貴重な情報を不注意または悪意のある開示から保護できます。セキュリティ ポリシーはサーバー レベルで維持されるため、ファイルが配布された後でも権限を変更できます。 imageRUNNER ADVANCE シリーズのデバイスは、Adobe ES と統合するように構成できます。

uniFLOW による安全な印刷 MyPrintAnywhere を使用すると、ユニバーサル ドライバー経由で印刷ジョブを送信し、ネットワーク上の任意のプリンターに印刷できます。

重複の防止

ドライバーを使用すると、ドキュメントのコンテンツの上に表示される目に見えるマークをページ上に印刷できます。これは、従業員に文書の機密性を知らせ、文書がコピーされるのを防ぐために使用できます。

目に見えない透かしを使用して印刷/コピー - ドキュメントは背景に埋め込まれた隠しテキストとともに印刷またはコピーされます。このテキストは、複製が作成されるときに表示され、抑止力として機能します。

NTware (Canon グループ企業の一部) の uniFLOW ソフトウェアの機能は、ドキュメントのセキュリティを確保するための追加の効果的なツールを提供します。
uniFLOW を iW SAM Express と組み合わせて使用​​すると、プリンターに送信した文書やデバイスから受信した文書をデジタル化してアーカイブしたり、セキュリティの脅威に対応する際にテキスト データや属性を分析したりすることができます。

埋め込みコードを使用してドキュメント ソースを追跡します。

ドキュメント スキャン ブロック – このオプションは、印刷されたドキュメントとコピーに隠しコードを埋め込み、この機能が有効になっているデバイス上でドキュメントがさらにコピーされるのを防ぎます。管理者は、すべてのジョブに対して、またはユーザーが選択したジョブのみに対してこのオプションを使用できます。 TLコードやQRコードも埋め込み可能です。

「テストを実施し、imageRUNNER ADVANCE III テクノロジーの機能をよく理解した結果、最新の IT セキュリティ ポリシーに基本的に準拠していることを確認できました。上記の保護対策は基本的なセキュリティ要件を満たしており、情報セキュリティ違反のリスクを最小限に抑えることができます。」

最新の imageRUNNER ADVANCE デバイスには、管理者がすべてのセキュリティ設定を 1 つのメニューで管理し、デバイス構成として適用する前に編集できるセキュリティ ポリシー機能が搭載されています。適用後は、デバイスの使用と設定の変更はこのポリシーに従う必要があります。セキュリティ ポリシーは、追加の制御と保護を提供するために別のパスワードで保護でき、責任のある IT セキュリティ専門家のみがアクセスできます。

「技術の進歩と技術的ソリューションを賢く利用して情報を保護し、資格のある人材を活用し、企業のセキュリティを確保するために提供される資金を巧みに管理することで、セキュリティと利便性のバランスを見つけて維持する必要があります。」

資料の準備を手伝ってください - Luka Safonov、実践研究室長
セキュリティ分析、Jet Information Systems。

登録ユーザーのみがアンケートに参加できます。 ログインお願いします。

企業のセキュリティに対するアプローチはどの程度包括的ですか?

• 企業のセキュリティ ポリシーは、一連の多機能デバイスに適用されます

• 同社の印刷デバイス群は、ユーザーの個人デバイスの安全な使用を保証します

• 同社は、印刷インフラストラクチャが最新であり、パッチとアップデートがタイムリーかつ効率的な方法でインストールされていることを保証します。

• 会社のゲストは、企業ネットワークを危険にさらすことなく印刷およびスキャンできます。

• 会社の IT 部門にはセキュリティ問題に対処する十分な時間があります

• 同社は、セキュリティの確保とデバイスの使いやすさのバランスを見つけました。

2人のユーザーが投票しました。 棄権者はいない。

出所： habr.com