第4回 紙情報と電子情報をつなぐオフィスのセキュリティ基盤

高嶋　生也
コニカミノルタビジネステクノロジーズ株式会社
営業本部　第1商品企画部
ソリューショングループ
2008年2月25日

オフィスにおけるセキュリティの鍵として非接触ICカードを利用することが多くなった。用途に応じて増え続けるICカードを1枚にまとめることはできないのだろうか（編集部）

　「個人情報漏えい」。この言葉が聞かれるようになって久しいですが、いまだ毎日のようにニュースに取り上げられています。これはITの発展に伴い情報流通量が格段に増加している一方で、情報が適切に管理されずに漏えいしていることへの警鐘といえます。

　実際に現場ではどのような状況になっているのでしょうか。不正行為による情報盗難、あるいは脆弱性のあるソフトウェアのすきを突いた情報漏えいはニュース性があるのでよく取り上げられています。

　しかし、日本ネットワークセキュリティ協会の調べでは、それらは全体の19％程度となっており、回答が一番多かった「紛失・置忘れ」の29.2％に比べて低い値となっています。「紛失・置忘れ」「誤操作」「管理ミス」などを合わせますと、実に52.2％は悪意のない情報漏えいであることがうかがえます。

　また、情報漏えいを経路別に見た場合は、紙媒体による流出が非常に多く、43.8％となっています。これは、ここ数年同様の状況（2004年度：46％、2005年度：49.9％）が続いています。視認性の良い紙媒体での情報漏えいは、電子媒体と同程度以上に危険だといえます。

　ITの発展により情報量が増え、結果、視認性・携帯性の良い紙への印刷は増加しています。環境への負荷を考えると紙を減らす努力は必要ですが、人間が発明した紙の特性を生かしつつ同時に紙を使ってもセキュリティを保てるような仕組みの導入が必要となっています。

　また、漏えいしてしまった情報の対象を「個人情報」だけではなく「企業情報」へと広げると、コンプライアンスにかかわる事件にならない限りニュースになることはありません。実際に、どの程度の情報が流出しているのか分かりません。

　このような状況を受けて、紙情報・電子情報を利用するユーザーを特定し、適切な管理下での情報の統制、アクセスコントロール、利用履歴を一元的に管理できるオフィスのIT基盤が求められております。

　紙情報を取り扱うプリンタと複合機のセキュリティ

　ネットワークの発達に伴って、電子情報を印刷したり、そのような印刷物をコピー、スキャン、FAXしたりする機会が増加しています。それらの入出力機器であるプリンタや複合機でも、企業のミッションクリティカルな知的財産や個人情報を取り扱う機会が増えてきました。

　その結果、印刷物に関連する事故が増えてきております。読者の中にも、入出力機器から印刷物が紛失した、あるいは印刷物を取りに行った際に他者の重要な機密情報を目にしてしまった経験をお持ちの方も多いかと存じます。複合機では、出力して放置された紙情報をその場でスキャンし、電子メールで送信することも可能であり、情報流出の実体が把握できていない事態もあり得ます。

　この状況を受けて、従来誰でもアクセスできる場所にありながら、適切なアクセスコントロールがされていなかったプリンタや複合機に、ユーザーを特定して使わせる仕組みが必要となってきました。

　例えば、使用に際してログインさせることで、誰が、いつ、どこで、何を（印刷、コピー、FAX、メール送信）したのか、記録されたログ情報から分析できるようになります。セキュリティの度合いによっては、入出力された瞬間、その場所の監視カメラが連動して画像を保存するケースも考えられます。

　前述のように情報漏えいのおよそ半数は、紙媒体による悪意のない過失によるものです。ログインをする、あるいはトレースが可能であることを利用者が認識することで、情報漏えいのリスクに対する理解も深まり、企業の大切な情報資産を守ることが可能になります。

　入出力機器の認証装置と求められる要件

　入出力機器で使われている認証装置と求められる要件についてまとめてみます。まず、認証装置には、生体認証やICカード認証、あるいはそれらの併用が考えられます。非常に高度なセキュリティが求められるケースでは生体認証とICカード認証が併用されますが、一般のオフィスにおいてはICカードでの認証が一般的です。

　ICカードを使った認証の場合には、1枚のICカードを複数の認証装置で利用できるようにしたり、電子マネー機能による企業内での支払いができたりといった多機能性と、企業内の人事情報システム・ID管理システムとの連携が求められます。そのためにはICカードと複数の認証機器の連携、企業基幹システムとのインテグレーションが必要となります。すでに先進的な大手企業では、計画的にコストを掛けてシステム構築を進めています。

　しかし、入出力機器はほぼすべての企業において使われており、そのセキュリティを確保するためだけに大規模なシステム構築予算を割くわけにはいきません。この課題に目を向けているのがSSFC（Shared Security Formats Cooperation）参加企業（2008年2月現在、150社）であり、「安価に高度なセキュリティを迅速に提供する」ための規格がSSFC規格です。

　SSFC規格では、非接触ICカード（FeliCa）を使い、SSFC参加機器メーカーにより、オフィスへの入退室管理、監視カメラ、PC、プリンタ、複合機、ロッカーやキャビネットといった什器（じゅうき）なども相互に連携させることができ、オフィスにおけるトータルなセキュリティを実現します。

　従来、これらの機器を相互に連携させるためには、機器をネットワーク接続する必要があり、この点が普及の妨げとなっていました。SSFCカードはネットワークに代わり、これら機器連携のインフラとすることも可能です。導入コストを抑えながらも簡単な使い勝手と高セキュリティを実現しています。

　また、SSFCに参加しているシステム・インテグレータ（SIer）により、企業の基幹システムとのSIが標準化されているため、コストを掛けずにシステム構築が可能となります。そのほか、導入初期にはSSFC対応機器の中から必要な機能だけを選択し、その後、順次拡張していくこともできます。

1/2

Index
紙情報と電子情報をつなぐオフィスのセキュリティ基盤
	Page1 紙情報を取り扱うプリンタと複合機のセキュリティ 入出力機器の認証装置と求められる要件
	Page2 セキュリティゾーンの設計とプリンタ・複合機の挙動 SSFCを使った入出力機器認証運用事例

RFID＋ICフォーラム　トップページ

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）