コラム

 公開日: 2016-01-26  最終更新日: 2016-07-08

サイバー攻撃はPCだけでなく、ネットワーク接続されたIoT機器すべてが対象

先日、複数の学術関係機関において、ネットワークに接続された複合機等のオフィス機器に保存されたデータが外部から閲覧できてしまう、という問題が報道されました。
以前にも「ネットワーク接続機器のセキュリティ-首都大学東京の事件から」と題して注意喚起を行ないましたが、現状、セキュリティ対策の必要性に対する認知が不十分だと感じたため、改めてPCやサーバー機以外のネットワークに接続する機器に対するハッキングの危険性と対策について確認します。

ネットワークに接続する機器におけるリスク

皆さんのオフィスに設置されているコピー機のほとんどは様々な機能を備えた「複合機」です。複合機はオフィス内でネットワークに接続され、PC等の印刷要求に対してプリントアウトを行い、手動でのコピーやFAXに対応し、或いはスキャナーとして機能します。こうした印刷データやコピー等で読み込んだ情報は複合機内のメモリーやディスクに一旦保存されています。また、機器によってはインターネット経由でメーカーに稼働状況を配信し、ソフトウェアの更新が行われています。同様に、ネットワークディスク(NAS)、ビデオ会議システム、等もネットワークに接続され、運用されています。
ここで注意しなければならないのは、社内ネットワークに接続した機器は、ファイヤーウォールを経由して外部のインターネットにも接続されていることです。よって、社内ネットワークに外部から不正な侵入があった場合、PC等と同様に不正アクセスによる被害が起こります。PC等であれば、ユーザーが複雑なパスワード設定を行なう等の様々な対策を行っていますが、その他の機器に対しては、同様の対策が行われておらず、ネットワークに接続して利用可能な状態になって満足してしまうケースが散見されます。
さらに、企業や組織の内部情報が漏えいするばかりでなく、オフィス機器等が乗っ取られることによる迷惑メール送信やフィッシングサイトへの誘導、或いはDDoS攻撃の発信元になることも考慮する必要があります。送信元アドレスが誰もが知る企業や組織であれば、一見して迷惑メールだと思われる件名や内容でも当該メールを開封させることができます。その結果、フィッシングサイトに誘導したり、ウィルス感染させたりすることも可能です。つまり、不正アクセス等で機器を乗っ取られた被害者である企業や組織が、不正メール等を送付された企業や組織から見れば加害者となってしまいます。
また、このことはオフィス機器だけでなく、家庭における情報家電に対しても同様です。近年ではIoT(Internet of Things)と呼ばれる機器にも同様のリスクが存在します。
以下に主なネットワーク接続機器とリスクについてまとめたので、ご確認ください。
ネットワーク機器とリスク

ネットワーク接続機器における対策

複合機をはじめとするネットワーク接続機器に対しては、PC等と同様の対策が必要になります。企業や組織によっては、ネットワークに接続してすぐ使えるような機器は部門等で購入して利用している場合もありますが、必ずセキュリティ担当者と相談することをお勧めします。
一般的な対策としては、以下の通りです。

1.管理の明確化
1-1.オフィス機器等のネットワーク接続に関するルールの定義と周知
ユーザー部門はオフィス機器をネットワークに接続する場合、セキュリティ担当者や情報システム部門に対して接続申請を行い、接続に当たっての設定内容を確認する等の手順を規定する必要があります。一方、セキュリティ担当者や情報システム部門はこうした申請に速やかに対応することで、手順を遵守させるよう働きかけることが重要です。

1-2.オフィス機器の管理者を明確化
ネットワークに接続するオフィス機器については、設置部門での管理者を明確にするとともに、社内のセキュリティ担当者や情報システム担当者、製造元業者のサポート担当者、等の連絡先を把握する必要があります。

2.ネットワークでの対策
2-1.オフィス機器を外部ネットワーク(インターネット) に接続することの禁止
2-2.外部ネットワークとオフィス機器を接続する場合、ファイヤーウォールやブロードバンドルーターを経由させ、許可する通信のみ限定するよう設定
オフィス機器を社内ネットワークに接続する場合は必然的にファイヤーウォール経由での接続になりますが、サテライト等の小規模オフィスや家庭などでは提供されているポートに直接接続せず、最低でもブロードバンドルーターを設置すべきです。もちろん、ブロードバンドルーターの設定も重要です。

3.オフィス機器での対策
3-1.オフィス機器の管理者パスワードを初期設定から必ず変更
すぐ使いたいから、という理由で初期設定のままオフィス機器を接続するケースが散見されます。少なくとも、初期設定されたパスワードは必ず変更してください。製品によっては、製造元業者のサポートページに初期パスワードが掲載されていることもあります。その場合、ネットワークに侵入されたら合鍵で入られてしまうようなものです。

3-2.オフィス機器のアクセス制御機能を有効にし、データアクセス時にID、パスワード等の認証を要求
複合機などではスキャナー情報を一旦本体メモリーに保存し、この保存データにアクセスして情報を取得する仕組みになっていることがあります。その際に、パスワード等の認証を行うことで、外部からの侵入者だけでなく、内部からの情報漏えいリスクにも対応できます。また、データを取得したらすぐに機器内のデータを消去することも重要です。

今、話題となっているIoT(Internet of Things)が普及した場合は、接続されているセンサー、メーター、その他の機器類もサイバー攻撃対象となります。業者にお任せしている機器の中にも、実際には知らないうちにネットワークに接続されている機器が導入されているかもしれません。オフィス内に設置される機器ついて、ネットワーク接続の有無やセキュリティ対策の内容を業者に確認の上で運用していくことが重要です。

参考:独立行政法人情報処理推進機構(IPA)、「【注意喚起】インターネットに接続する複合機等のオフィス機器の再点検を!

上記に関して、ご関心、ご相談等ございましたら、お気軽にお問い合わせください。
お問い合わせフォームは、こちらです。

デルタエッジコンサルタントでは、情報セキュリティに関して以下の様なサービスを提供しております。
・セキュリティ規程等の策定、改訂
・セキュリティ環境の調査と改善提案
・従業員に対するセキュリティ教育
詳細は、弊社ホームページの「コンサルティングサービス-リスク管理」を参照ください。

/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
ITを有効活用し、課題を解決します
デルタエッジコンサルタント株式会社
金子 清隆
URL  http://www.deltaedge.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_

この記事を書いたプロ

デルタエッジコンサルタント株式会社 [ホームページ]

経営コンサルタント 金子清隆

東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL:03-6869-8336

  • 問い合わせ

このコラムを読んでよかったと思ったら、クリックしてください。

「よかった」ボタンをクリックして、あなたがいいと思ったコラムを評価しましょう。

0

こちらの関連するコラムもお読みください。

<< 前のコラム 次のコラム >>
最近投稿されたコラムを読む
サービスメニュー

日常業務の中で、あるいは報道や世間の動向を見ている中で、以下のように感じたことはないでしょうか。・「現状にどこか満足できない」、「どこかに課題がありそう...

お知らせ

企業や組織はIT部門やITリーダーに対して、戦略的にITを活用したビジネスを実施するための貢献を期待する様になっています。一方で、IT部門の多くは以下の理由により...

 
このプロの紹介記事
金子清隆・ITコンサルティング・デルタエッジコンサルタント株式会社

ITを中小企業のビジネスに有効活用するには?ITの運用方法やコストでお悩みの方に(1/3)

 2013年9月にデルタエッジコンサルタント株式会社を立ち上げた金子清隆さん。中小企業の業務改善をサポートするコンサルティングをベースに、特にITの最適化を通して顧客のビジネスを陰から支えています。 「ITとビジネスとの関係は年々密接に...

金子清隆プロに相談してみよう!

朝日新聞 マイベストプロ

中小企業の実情を踏まえた、最適コストによるIT活用をご提案

会社名 : デルタエッジコンサルタント株式会社
住所 : 東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL : 03-6869-8336

プロへのお問い合わせ

マイベストプロを見たと言うとスムーズです

03-6869-8336

勧誘を目的とした営業行為の上記電話番号によるお問合せはお断りしております。

金子清隆(かねこきよたか)

デルタエッジコンサルタント株式会社

アクセスマップ

このプロにメールで問い合わせる
プロのおすすめコラム
FAKEニュースに惑わされないために

最近はネット上にFAKEニュースが氾濫しています。先日も「浜松市内に落ちた雷」と題したTwitter投稿が拡散されまし...

[ リスク管理 ]

長期休暇のセキュリティ対応 − IT機器も休暇入りさせましょう

今年もお盆休みの時期が来ました。全社で夏期休暇が設定されている会社もあるでしょう。こうした長期休暇は、年末...

[ セキュリティ ]

世界規模のランサムウェア攻撃に注意

現在、世界規模でランサムウェアによる感染被害が報告されいることはご承知だと思います。今回観測されているラ...

[ セキュリティ ]

事業者が取り扱う「個人情報」とは?-改正個人情報保護法施行前の確認

2015年夏に改正された個人情報保護法が今年(2017年)の5月30日に施行されることが正式に決定しました。現行法では...

[ 個人情報保護 ]

ネット通販の詐欺サイトによる被害に遭わないために

ネット通販における詐欺の被害が続いています。こうした詐欺サイトで商品購入手続きを行うと、代金を振り込んでも...

[ リスク管理 ]

コラム一覧を見る

スマホで見る

モバイルQRコード このプロの紹介ページはスマートフォンでもご覧いただけます。 バーコード読み取り機能で、左の二次元バーコードを読み取ってください。

ページの先頭へ