ビジネスインクジェットプリンター

ビジネスインクジェットプリンターのセキュリティーガイドブック

目次 1. 本書のご案内 4 2. セキュリティーに対するエプソンの取り組み 5 3. 設置時に行っていただきたいこと 6 3-1. 管理者パスワード 6 3-2. インターネットへの接続 7 3-3. 無線 LAN ネットワーク 8 4. 複合機やプリンターのセキュリティー機能 9 4-1. ネットワークなどの通信経路上の保護インターフェイス 9 4-1-1. SSL/TLS 通信 9 4-1-2. プロトコルの許可禁止制御 9 4-1-3. IPsec/IP フィルタリング 10 4-1-4. IEEE802.1X 認証 11 4-1-5. SNMPv3 11 4-1-6. コンピューターとの USB 接続の ON/OFF 11 4-2. ユーザーデータの保護データ 11 4-2-1. パスワード印刷 11 4-2-2. 透かし印刷 12 4-2-3. スタンプマーク機能 12 4-2-4. 暗号化 PDF 13 4-2-5. アドレス帳の保護 13 4-2-6. 複合機が処理する文書データの取り扱い 13 4-2-7. ハードディスクへ記録するデータの暗号化 14 4-2-8. ジョブデータの逐次消去 14 4-3. 操作の制限不正利用の防止 15 4-3-1. 利用者制限 15 4-3-2. メモリーカードインターフェイスの ON/OFF 15 4-3-3. 認証印刷 15 4-4. 複合機本体の保護本体 16 4-4-1. USB メモリーを介してのウイルスへの対応 16 4-5. 電話回線やファクスのセキュリティー 16 4-5-1. 直接ダイヤル制限 16 4-5-2. 宛先一覧確認 16 4-5-3. ダイヤルトーン検出 16-2 -

4-5-4. 受信ファクスの放置対策 17 4-5-5. 送信確認レポート 17 4-5-6. ファクス受信データのバックアップ消去 17 4-5-7. 電話回線経由の不正アクセス防止 17 4-6. 廃棄時の情報漏えい防止 18 4-6-1. プリンターの初期化 18 5. 対応機種とセキュリティー機能一覧 19-3 -

1. 本書のご案内情報化社会の発展に伴いさまざまな機器がネットワークにつながるようになりましたエプソンではお客様の利便性向上のために複合機やプリンターのネットワーク対応機能の強化を進めていますエプソンの複合機やプリンターにはさまざまな機能が搭載されており特にネットワークに接続して使用する場合はコンピューターやサーバーなどと同様にセキュリティーへの適切な配慮が必要ですネットワークからの不正アクセスユーザーデータの情報漏洩不正利用電話回線ファクスのセキュリティー本書ではエプソンのセキュリティーに対する取り組みのご紹介とお客様へのお願い利用可能なセキュリティー機能のご案内をしていますセキュリティーの設定方法は製品のマニュアルでご確認ください - 4 -

2. セキュリティーに対するエプソンの取り組みエプソンではお客様に製品を安心かつ安全にお使いいただくためにセキュリティーに関して以下の取り組みをしています 1. 製品のセキュリティーを製品品質の根幹として捉えています企画段階からお客様がご利用を終了するまでのライフサイクルにおけるセキュリティーを考慮したモノづくりを行っています 2. お客様に対してセキュリティーに関する情報提供や啓発を積極的に行っています 3. 脆弱性への対応を継続して行っています業界標準ツールによる脆弱性試験を実施し脆弱性のない製品を出荷するように努めています複合機のファームウェアで使用しているオープンソースソフトウェアの脆弱性情報を定常的に監視しています新たな脆弱性が見つかった場合は速やかに分析を行い情報や対策を提供します 4. セキュリティー規格に対応しています FASEC1 FASEC とは一般社団法人情報通信ネットワーク産業協会 (CIAJ) がファクス通信のセキュリティー向上を目指して制定したガイドラインの呼称です誤送信や誤接続を防止する機能受信紙の放置防止機能確実に送信できたことを確認する機能によってファクスのセキュリティーが向上します - 5 -

3. 設置時に行っていただきたいこと複合機本体の工場出荷時の設定はセキュリティー面で必ずしも万全な状態になっているわけではありませんセキュリティー確保のため設置時には以下をお読みいただきご利用環境に応じて必要な設定をしていただくようにお願いしています 3-1. 管理者パスワード複合機には管理者パスワードを設定いただくことを強く推奨しています管理者パスワードが未設定 ( 工場出荷設定のまま ) の場合複合機内に保持されている本体設定やネットワーク設定が不正に参照または変更されたり ID やパスワードアドレス帳等の個人情報や機密情報が漏えいする危険性があります管理者パスワードは他者に推測されにくい複雑な文字列にしてください管理者パスワードは複合機の操作パネルで直接設定またはネットワーク経由で設定ができます - 6 -

3-2. インターネットへの接続複合機はインターネットに直接接続せずファイアウォールで保護されたネットワーク内に設置してくださいその際にはプライベート IP アドレスを設定して運用することを推奨します PC PC インターネット NG! ファイアウォール ( ルーター ) OK! 複合機のネットワーク機能には印刷の他に Web 管理画面などの管理用のインターフェイスも含まれていますエプソンでは脆弱性試験を実施し脆弱性のない製品を出荷するように努めていますがインターネットに直接接続されると不正操作や情報漏えいなどお客様のネットワークに思わぬセキュリティーリスクを抱えることになりますやむを得ずインターネットに接続する場合は IPsec/IP フィルタリングなどのアクセス制御機能を有効にしアクセス可能な範囲や機能を制限してください - 7 -

3-3. 無線 LAN ネットワーク無線 LAN 使用時は無線 LAN のセキュリティーを適切に設定してください無線 LAN のセットアップに WPS(Wi-Fi Protected Setup) や AOSS をお使いいただくと安全性が高い複雑なパスフレーズや暗号化キーをご利用の無線 LAN 環境にも簡単に接続できます無線 LAN の利点はコンピューターやスマートフォン端末と電波で通信するために電波が届く範囲であれば自由にネットワークへ接続できることですその反面セキュリティーの設定を適切に行わないと悪意のある第三者によって以下のような問題が発生する場合があります印刷データやスキャンデータ ID やパスワードなどの個人情報が盗み見られる ( 盗聴 ) 通信内容が不正に書き換えられてしまう ( 改ざん ) 特定の人物や機器になりすまして通信が行われる ( なりすまし ) OFFICE BUILDING 無線 LAN のセットアップ手順は製品のマニュアルをご覧ください - 8 -

4. 複合機やプリンターのセキュリティー機能 4-1. ネットワークなどの通信経路上の保護インターフェイス 4-1-1. SSL/TLS 通信ブラウザー経由での複合機の設定や IPPS プロトコルでの印刷では通信の内容が SSL/TLS によって保護されるため設定情報や印刷データ内容の漏えいが防げます CA 署名証明書のインポートによるサーバー検証機能を使って社内の認証基盤 (PKI) と連携することで不正な機器への情報送信も防げます暗号強度はより安全性の高い暗号化アルゴリズムを使用するよう設定できますまた Epson Connect やファームウェアアップデートなどで複合機からインターネット上のエプソンサーバーにアクセスする場合も SSL/ TLS で保護されます証明書 SSL/TLS 印刷データ設定証明書エプソンのサーバーインターネット SSL/TLS Epson Connect ファームウェアアップデートエプソンのスマートチャージリモートサービス 4-1-2. プロトコルの許可禁止制御複合機は印刷スキャン PC-FAX 送信時にさまざまなプロトコルで通信を行います各プロトコルは個別に許可と禁止の設定ができ意図されない利用によるセキュリティーリスクを未然に防ぐことができます LPR 印刷 IPP 印刷 FTP 印刷ネットワークスキャン PC-Fax - 9 -

4-1-3. IPsec/IP フィルタリング IPsec/IP フィルタリング機能を使用すると IP アドレスサービスの種類受信や送信のポート番号などでフィルタリングができますこれらを組み合わせることによって特定のクライアントからのデータや特定の種類のデータを通過させるか遮断するか設定することができますさらに IPsec による保護を組み合わせることでより強固なセキュリティー通信ができます IPsec による保護には IP パケット単位での保護 ( 暗号化および認証 ) が含まれるためセキュアでない印刷プロトコルやスキャンプロトコルも保護の対象になります IPsec の認証方式では事前共有キーと証明書がサポートされています PC プリンター PC サーバー証明書 IPsec 基本ポリシーはプリンターにアクセスする全てのクライアントに影響しますより細かくアクセスを制御するには個別ポリシーを設定します - 10 -

4-1-4. IEEE802.1X 認証 IEEE802.1X はネットワーク機器のポート毎にアクセス制御をおこなうための規格です IEEE802.1X によるネットワークは RADIUS サーバー ( 認証サーバー ) と認証機能を持ったスイッチングハブによって構成されますエプソンの複合機は IEEE802.1X ネットワークへの接続が可能なため機密性が高い情報を扱うネットワーク環境で安全にご使用いただけます 4-1-5. SNMPv3 SNMPv3 を使うと対応する機器管理ツールとの状態監視や設定変更の SNMP 通信 ( パケット ) を認証暗号化できますネットワーク経由での設定変更や状態監視での機密性が確保できます 4-1-6. コンピューターとの USB 接続の ON/OFF コンピューターからの USB 接続による複合機へのアクセスを無効にできますネットワークを経由せずに直接コンピューターからの印刷やスキャンを禁止したいときに設定します 4-2. ユーザーデータの保護データ 4-2-1. パスワード印刷プリンタードライバーでパスワードを設定して印刷するパスワード印刷を使うと出力用紙の不正閲覧による情報漏えいが防止できますパスワードユーザー A ユーザー B ユーザー C ユーザー D プリントアップ No.001 プリントアップ No.002 プリントアップ No.003 プリントアップ No.004 パスワード印刷時にパスワードを入力本体でプリントジョブを選びパスワードを入力印刷完了 - 11 -

4-2-2. 透かし印刷透かし印刷を使ってコンピューターから印刷すると透かしパターン ( 地紋 ) が埋め込まれた原本が作成できますこの原本をコピーやスキャンするとコピーや複写といった文字が浮き上がるため原文かコピーかが一目で見分けられコピーによる不正利用が抑制できますコピー結果 : 白抜きコピー結果 : 浮き出し 4-2-3. スタンプマーク機能マル秘重要などのスタンプマーク ( テキストまたは BMP 形式 ) を文書に重ねて印刷することができますさらにユーザー名またはコンピューター名も選択できます文書の取り扱いの注意を受け手に喚起させることで不正利用を抑止します - 12 -

4-2-4. 暗号化 PDF スキャンしたデータを暗号化 PDF に変換できますこれによりスキャンした文書の第三者による不正閲覧が防止できますプリンター PC スキャン PDF サーバー ( 暗号化 PDF) USB メモリーメモリーカード 4-2-5. アドレス帳の保護複合機のアドレス帳の一括編集時に管理者パスワードが要求されるため ( 管理者パスワード設定時 ) アドレス帳情報の漏えいや不正な改ざんが防止できますまた一括読み出し ( エクスポート ) は暗号化ファイルとして保存できるため複合機の入れ替えやバックアップ時にファクス番号やメールアドレスなどの個人情報の漏えいが防止できます 4-2-6. 複合機が処理する文書データの取り扱い印刷コピースキャンのデータは複合機内に一時的に保持されますが目的のジョブが終了したときまたは機器の電源が切れたときに消去されますまたファクスデータは送受信が完了すると消去されますなおファクス受信データはバックアップ機能によりデータを保持していますが設定を変更することで自動消去するようにできます (4-5-6 参照 ) - 13 -

4-2-7. ハードディスクへ記録するデータの暗号化本体内蔵のハードディスクにデータ記録する際常に暗号化してお客様のデータを保護しています万が一悪意のある第三者に攻撃されてもそのままのデータが見えることはありませんまたもしもハードディスクが盗難にあったとしてもお客様の重要な情報は漏えいしません 4-2-8. ジョブデータの逐次消去この機能を有効にすると本体のハードディスクに一時記録されたジョブデータは特定パターンで上書き消去され復元することができなくなりますこれにより悪意のある第三者による残存ジョブデータからのデータ復元を防止できます - 14 -

4-3. 操作の制限不正利用の防止 4-3-1. 利用者制限ユーザーごとに印刷スキャンコピーファクスの機能を制限することができますユーザーの業務内容や役割に応じた最小限の機能のみを許可することで文書データの漏えいや不正閲覧のリスクが低減できますまた操作パネルからのログイン後一定時間操作がないと自動でログアウトされますファクスは送信のみ利用者制限がかけられます 4-3-2. メモリーカードインターフェイスの ON/OFF メモリーカードや USB メモリーのインターフェイスを無効にすることができますオフィス内にある機密文書の不正なスキャンによるデータ持ち出しを未然に防止できます 4-3-3. 認証印刷オプションの Epson Print Admin( エプソンプリントアドミン ) を導入すると IC カードなどの認証装置を使って目の前で認証して印刷ができます印刷物が放置されることによる取り違えや印刷物からの情報漏えいが防止できます - 15 -

4-4. 複合機本体の保護本体 4-4-1. USB メモリーを介してのウイルスへの対応エプソンの複合機には USB メモリー内のプログラム実行機能がないため USB メモリーを介した複合機へのウイルス感染の危険性はありませんプリンタープログラム実行しません!! USB メモリーウィルス 4-5. 電話回線やファクスのセキュリティー 4-5-1. 直接ダイヤル制限電話番号を直接テンキーで入力する場合宛先を 2 回入力して一致したときのみファクス送信するように設定できますまた電話番号を直接テンキーで入力することを禁止しワンタッチダイヤルやアドレス帳に登録されている宛先にのみファクス送信できるように設定することもできます電話番号の入力ミスによる誤送信の情報漏えいリスクが軽減できますこの機能は情報通信ネットワーク産業協会が制定したガイドライン FASEC1 に準拠しています 4-5-2. 宛先一覧確認ファクス送信前に選択した宛先を確認することができます宛先の指定ミスによる誤送信での情報漏えいのリスクが軽減できますこの機能は情報通信ネットワーク産業協会が制定したガイドライン FASEC1 に準拠しています 4-5-3. ダイヤルトーン検出ダイヤルトーン ( 交換機が発信する発呼可能を知らせる音 ) が検出できたことを確認してからファクス送信するため誤送信が防止できますこの機能は情報通信ネットワーク産業協会が制定したガイドライン FASEC1 に準拠しています - 16 -

4-5-4. 受信ファクスの放置対策見てからファクス印刷は受信したファクスを受信ボックスに保存( メモリー受信 ) し操作パネルで確認してから印刷するよう設定できますこれにより印刷された受信ファクスがそのまま放置されることによる情報漏えいや受信ファクス印刷物の紛失を防止しますまた受信ボックスへのアクセス時にパスワードを要求するよう設定すると不正利用者による勝手な印刷や削除を防止しますこの機能は情報通信ネットワーク産業協会が制定したガイドライン FASEC1 に準拠しています 4-5-5. 送信確認レポート通信結果レポート転送結果レポート通信管理レポートなど送信内容を確認できるレポートを印刷することで正しい宛先に確実にファクス送信されたか確認できますこの機能は情報通信ネットワーク産業協会が制定したガイドライン FASEC1 に準拠しています 4-5-6. ファクス受信データのバックアップ消去ファクス受信データのバックアップデータは操作パネルから消去できますまたバックアップデータを自動消去するように設定することもできファクス受信データの不正な再印刷を防止できますファクス受信データのバックアップデータは印刷結果が不鮮明な場合や印刷結果を紛失した場合に再印刷できるよう複合機内に保持されています ( 工場出荷設定 ) 4-5-7. 電話回線経由の不正アクセス防止エプソンの複合機には電話回線経由の遠隔操作機能がありませんファクスの送受信処理は複合機本体の専用メモリー上で行いますこのため電話回線経由の不正アクセスが試みられた場合でも複合機本体が不正に操作されたり設定が変更されたりファクス受信データやアドレス情報を取得されることはありません - 17 -

4-6. 廃棄時の情報漏えい防止 4-6-1. プリンターの初期化プリンターの廃棄や譲渡時には機密情報漏えい防止のために全ての設定や本体に記録されているデータ ( 本体内蔵ハードディスクを含む ) を工場出荷時の状態に戻す ( 初期化 ) ことができます設定 / アドレス帳設定 / アドレス帳初期化! 廃棄 - 18 -

5. 対応機種とセキュリティー機能一覧セキュリティー機能セキュリティー規格への対応 PX-M7050 シリーズ ( エプソンのスマートチャージ A3 複合機を含む ) : 対応 : 非対応 PX-S7050 シリーズ ( エプソンのスマートチャージ A3 プリンターを含む ) FASEC1 ネットワークなどの通信経路上の保護インターフェイス SSL/TLS 通信プロトコルの許可禁止制御 IPsec/IP フィルタリング IEEE802.1X 認証 SNMPv3 コンピューターとの USB 接続の ON/OFF ユーザーデータの保護データパスワード印刷透かし印刷スタンプマーク機能暗号化 PDF アドレス帳の保護操作の制限不正利用の防止利用者制限外部メモリーインターフェイスの ON/OFF 認証印刷複合機本体の保護本体 USB メモリーを介してのウイルスへの対応電話回線やファクスのセキュリティー直接ダイヤル制限宛先一覧確認ダイヤルトーン検出受信ファクスの放置対策送信確認レポートファクス受信データのバックアップ消去電話回線経由の不正アクセス防止廃棄時の情報漏えい防止プリンターの初期化ユーザーデータの保護データハードディスクへ記録するデータの暗号化ジョブデータの逐次消去 - 19 -

セキュリティー機能セキュリティー規格への対応 PX-M840 シリーズ ( エプソンのスマートチャージ A4 複合機を含む ) : 対応 : 非対応 PX-S840 シリーズ ( エプソンのスマートチャージ A4 プリンターを含む ) FASEC1 * ネットワークなどの通信経路上の保護インターフェイス SSL/TLS 通信プロトコルの許可禁止制御 IPsec/IP フィルタリング IEEE802.1X 認証 SNMPv3 コンピューターとの USB 接続の ON/OFF ユーザーデータの保護データパスワード印刷透かし印刷スタンプマーク機能暗号化 PDF アドレス帳の保護操作の制限不正利用の防止利用者制限外部メモリーインターフェイスの ON/OFF 認証印刷複合機本体の保護本体 USB メモリーを介してのウイルスへの対応電話回線やファクスのセキュリティー直接ダイヤル制限 * 宛先一覧確認 * ダイヤルトーン検出 * 受信ファクスの放置対策 * 送信確認レポート * ファクス受信データのバックアップ消去 * 電話回線経由の不正アクセス防止 * 廃棄時の情報漏えい防止プリンターの初期化ユーザーデータの保護データハードディスクへ記録するデータの暗号化ジョブデータの逐次消去 * エプソンのスマートチャージ A4 複合機のファクス機能はオプションでの対応となります - 20 -

: 対応 : 非対応セキュリティー機能 PX-M860F PX-S860 セキュリティー規格への対応 FASEC1 ネットワークなどの通信経路上の保護インターフェイス SSL/TLS 通信プロトコルの許可禁止制御 IPsec/IP フィルタリング IEEE802.1X 認証 SNMPv3 コンピューターとの USB 接続の ON/OFF ユーザーデータの保護データパスワード印刷透かし印刷スタンプマーク機能暗号化 PDF アドレス帳の保護操作の制限不正利用の防止利用者制限外部メモリーインターフェイスの ON/OFF 認証印刷複合機本体の保護本体 USB メモリーを介してのウイルスへの対応電話回線やファクスのセキュリティー直接ダイヤル制限宛先一覧確認ダイヤルトーン検出受信ファクスの放置対策送信確認レポートファクス受信データのバックアップ消去電話回線経由の不正アクセス防止廃棄時の情報漏えい防止プリンターの初期化ユーザーデータの保護データハードディスクへ記録するデータの暗号化ジョブデータの逐次消去 - 21 -

セキュリティー機能セキュリティー規格への対応 PX-M7070FX ( エプソンのスマートチャージ A3 複合機を含む ) : 対応 : 非対応 PX-S7070X ( エプソンのスマートチャージ A3 プリンターを含む ) FASEC1 ネットワークなどの通信経路上の保護インターフェイス SSL/TLS 通信プロトコルの許可禁止制御 IPsec/IP フィルタリング IEEE802.1X 認証 SNMPv3 コンピューターとの USB 接続の ON/OFF ユーザーデータの保護データパスワード印刷透かし印刷スタンプマーク機能暗号化 PDF アドレス帳の保護操作の制限不正利用の防止利用者制限外部メモリーインターフェイスの ON/OFF 認証印刷 *1 *1 複合機本体の保護本体 USB メモリーを介してのウイルスへの対応電話回線やファクスのセキュリティー直接ダイヤル制限 *2 宛先一覧確認 *2 ダイヤルトーン検出 *2 受信ファクスの放置対策 *2 送信確認レポート *2 ファクス受信データのバックアップ消去 *2 電話回線経由の不正アクセス防止 *2 廃棄時の情報漏えい防止プリンターの初期化ユーザーデータの保護データハードディスクへ記録するデータの暗号化ジョブデータの逐次消去 *1:IC カードリーダーなどの認証装置が別途必要です *2: エプソンのスマートチャージ A3 複合機のファクス機能はオプションでの対応となります - 22 -

セキュリティー機能セキュリティー規格への対応 LX-10000F ( エプソンのスマートチャージ A3 複合機を含む ) : 対応 : 非対応 LX-7000F ( エプソンのスマートチャージ A3 複合機を含む ) FASEC1 ネットワークなどの通信経路上の保護インターフェイス SSL/TLS 通信プロトコルの許可禁止制御 IPsec/IP フィルタリング IEEE802.1X 認証 SNMPv3 コンピューターとの USB 接続の ON/OFF ユーザーデータの保護データパスワード印刷透かし印刷スタンプマーク機能暗号化 PDF アドレス帳の保護操作の制限不正利用の防止利用者制限外部メモリーインターフェイスの ON/OFF 認証印刷 *1 *1 複合機本体の保護本体 USB メモリーを介してのウイルスへの対応電話回線やファクスのセキュリティー直接ダイヤル制限 *2 *2 宛先一覧確認 *2 *2 ダイヤルトーン検出 *2 *2 受信ファクスの放置対策 *2 *2 送信確認レポート *2 *2 ファクス受信データのバックアップ消去 *2 *2 電話回線経由の不正アクセス防止 *2 *2 廃棄時の情報漏えい防止プリンターの初期化ユーザーデータの保護データハードディスクへ記録するデータの暗号化ジョブデータの逐次消去 *1:IC カードリーダーなどの認証装置が別途必要です *2: エプソンのスマートチャージ A3 複合機のファクス機能はオプションでの対応となります - 23 -

ご注意本書の内容の一部または全部を無断転載することを禁止します本書の内容は将来予告なしに変更することがあります本書は情報提供のみを目的としており詳細な利用方法については各製品のマニュアルをご確認ください商標 EPSON および EXCEED YOUR VISION はセイコーエプソン株式会社の登録商標です AOSS は株式会社バッファローの商標です WPS は Wi-Fi Alliance の商標または登録商標ですその他の製品名は各社の商標または登録商標です NPD5637-01 2016 Seiko Epson Corporation. All rights reserved. 2017 年 3 月発行