8. 根拠
8.1. セキュリティ対策方針根拠
8.1.3. 脅威に対する十分性
脅威に対抗するセキュリティ対策方針について以下に説明する。
! T.DISCARD-MFP(MFP
のリース返却、廃棄)本脅威は、ユーザから回収された
MFP
より情報漏洩する可能性を想定している。O.OVERWRITE-ALL
は、TOEがHDD
の全領域に削除用のデータを上書きする機能を提供し、NVRAM
の情報を初期化するとしており、MFP
が回収される前にこの機能を実行することによって、脅威の可能性は除去される。
したがって本脅威は十分対抗されている。
! T.BRING-OUT-STORAGE(HDD
の不正な持ち出し)本脅威は、MFPを利用している運用環境から
HDD
が盗み出される、または不正なHDD
が取り 付けられて、そこにデータが蓄積されたところで持ち出されることにより、HDD
内の画像データ が漏洩する可能性を想定している。これに対して以下の
2
つの対策の少なくともどちらかの対策が、管理者によって選択されるため、脅威の可能性は除去される。
① O.CRYPTO-KEYは、TOEが
HDD
に書き込まれるデータを暗号化するための暗号鍵を生成し、OE.CRYPTOにより、暗号化基板がデータを暗号化する。
② OE.LOCK-HDDは、HDDの機能として、MFPに設置される
HDD
が設置されたMFP
以外からはデータを読み出しすることを許可しない。
上記において、②のみが選択された場合は、HDDがすりかえられて、②の機能を持たない
HDD
が設 置さ れ る こ と に よ り 、 持 ち 出 さ れ て漏 洩す る 危 険 性 が 存在す る 。 こ れ に 対 し て は 、O.CHECK-HDD
により、TOEによって設置されているHDD
の正当性が検証されるため、すり かえられたHDD
にはデータを書き込むことはない。したがって脅威の可能性は除去される。したがって本脅威は十分対抗されている。
! T.ACCESS-PRIVATE-BOX
(ユーザ機能を利用した個人ボックスへの不正なアクセス)本脅威は、ユーザ各位が画像ファイルの保管に利用する個人ボックスに対して、ユーザ機能を利 用して不正な操作が行われる可能性を想定している。
O.REGISTERED-USER
は、TOEが登録されたユーザだけが、TOEの搭載されたMFP
を利用 することを許可するとしており、さらにO.PRIVATE-BOX
によって個人ボックス及び個人ボック ス内のボックスファイルの操作が、その所有者であるユーザだけに制限され、脅威の可能性は除 去される。OE.FEED-BACK
は、ユーザの認証において入力されるパスワードに対して保護されたフィードバックを返すとしており、また
OE-N.SESSION
により操作終了後には、ログオフする運用が要 求されるため、O.REGISTERED-USER及びO.PRIVATE-BOX
は十分サポートされている。したがって本脅威は十分対抗されている。
! T.ACCESS-PUBLIC-BOX(ユーザ機能を利用した共有ボックスへの不正なアクセス)
本脅威は、ユーザが共有して利用する画像ファイルの保管場所である共有ボックスに対して、ユ ーザ機能を利用して不正な操作が行われる可能性を想定している。
O.REGISTERED-USER
は、TOEが登録されたユーザだけがTOE
の搭載されたMFP
を利用す ることを許可するとしており、さらにO.PUBLIC-BOX
によって共有ボックス、共有ボックス内 のボックスファイルの操作が、許可されたユーザだけに制限され、脅威の可能性は除去される。OE.FEED-BACK
は、ユーザの認証及びボックスの認証において入力されるパスワードに対して保護されたフィードバックを返すとしており、また
OE-N.SESSION
により操作終了後にはログオフする運用が要求されるため、
O.REGISTERED-USER
及びO.PUBLIC-BOX
は十分サポート されている。したがって本脅威は十分対抗されている。
! T.ACCESS-GROUP-BOX(ユーザ機能を利用したグループボックスへの不正なアクセス)
本脅威は、その部門の利用が許可されたユーザが利用する画像ファイルの保管場所であるグルー プボックスやその中のボックスファイルに対して、ユーザ機能を利用して不正な操作が行われる 可能性を想定している。
O.REGISTERED-USER
は、TOEが登録されたユーザだけがTOE
の搭載されたMFP
を利用す ることを許可するとしており、さらにO.GROUP-BOX
によってグループボックス、グループボ ックス内のボックスファイルの操作が、許可されたユーザだけに制限され、脅威の可能性は除去 される。OE.FEED-BACK
は、ユーザの認証及び部門の認証において入力されるパスワードに対して保護されたフィードバックを返すとしており、また
OE-N.SESSION
により操作終了後にはログオフ する運用が要求されるため、O.REGISTERED-USER及びO.GROUP-BOX
は十分サポートされ ている。したがって本脅威は十分対抗されている。
! T.ACCESS-SECURE-PRINT
(ユーザ機能を利用したセキュリティ文書プリントファイル、認証&プリントファイルへの不正なアクセス)
本脅威は、ユーザ機能を利用したセキュリティ文書プリント、認証&プリント対して不正な操作 が行われてしまう可能性を想定している。
O.REGISTERED-USER
は、TOEが登録されたユーザだけがTOE
の搭載されたMFP
を利用す ることを許可するとしており、さらにO.SECURE-PRINT
によって、セキュリティ文書プリント の操作が許可されたユーザだけに制限され、認証&プリントの操作が当該認証&プリントファイ ルの登録者であるユーザだけに制限されるため、脅威の可能性は除去される。OE.FEED-BACK
は、ユーザの認証及びセキュリティ文書プリントへのアクセス認証において入力されるパスワードに対して保護されたフィードバックを返すとしており、また
OE-N.SESSION
により操作終了後にはログオフする運用が要求されるため、O.REGISTERED-USER
及びO.SECURE-PRINT
は十分サポートされている。したがって本脅威は十分対抗されている。
! T.ACCESS-NET-SETTING(ネットワーク設定の不正変更)
本脅威は、送信に関係するネットワーク設定を不正に変更された場合に、ボックスファイルを意 図しない宛先へ配信してしまう可能性を想定している。これは例えば
SMTP
サーバのアドレスを不正に変更される、またはドメイン名の検索によってSMTP
サーバのアドレスを利用する場合にドメイン名を問い合わせるDNS
サーバのアドレスを不正に 変更されることによって、悪意を持つ者がネットワーク環境構成を変えずに、不正に指定される サーバへボックスファイルが送信されてしまう可能性があることを懸念している。FTP送信であ れば、同様にドメイン名の検索の仕組みを利用する場合があり、E-mail同様の可能性が懸念され る。さらに、MFP のアドレスに関係するネットワーク設定を不正に変更された場合に、TOE である と思って利用するユーザが、不正なエンティティに
PC
からプリント機能を利用してしまう可能 性を想定している。特にオフィス内の他のユーザに対しても秘匿性が要求されるセキュリティ文 書プリントファイル、認証&プリントファイルが不正なエンティティに送信されると問題となる。これに対して
O.CONFIG
により、TOEが送信に関係するネットワーク設定を操作する役割を管 理者に制限するとしており、本脅威の可能性は除去される。OE.FEED-BACK
は、管理者の認証において入力される各種パスワードに対して保護されたフィ ードバックを返すとしており、またOE-N.SESSION
により操作終了後にはログオフする運用が 要求されるため、O.CONFIGは十分サポートされている。したがって本脅威は十分対抗されている。
! T.ACCESS-SETTING(セキュリティに関係する機能設定条件の不正変更)
本脅威はセキュリティに関係する特定の機能設定を変更されることにより、結果的にボックスフ ァイルやセキュリティ文書プリントファイル、認証&プリントファイルの漏洩に発展する可能性 を想定している。
O.CONFIG
により、一連のセキュリティに関連する設定機能を統括するセキュリティ強化機能の設定を管理者及びサービスエンジニアだけに許可するとしており、脅威の可能性が除去される。
OE.FEED-BACK
は、管理者の認証において入力される各種パスワードに対して保護されたフィードバックを返すとしており、また
OE-N.SESSION
により管理者モード、サービスモードの操 作終了後にはそれぞれログオフする運用が要求されるため、O.CONFIG
は十分サポートされてい る。したがって本脅威は十分対抗されている。
! T.BACKUP-RESTORE(バックアップ機能、リストア機能の不正な使用)
本脅威はバックアップ機能、リストア機能が不正に利用されることにより、ボックスファイルや セキュリティ文書プリントファイル、認証&プリントファイルが漏洩する可能性がある他、パス ワード等秘匿性のあるデータが漏洩する、各種設定値等が改ざんされた結果、ボックスファイル、
セキュリティ文書プリントファイル、認証&プリントファイルが漏洩する可能性を想定している。
O.CONFIG
により、バックアップ機能、リストア機能の利用を管理者だけに許可するとしており、脅威の可能性が除去される。
OE.FEED-BACK
は、管理者の認証において入力される各種パスワードに対して保護されたフィードバックを返すとしており、また
OE-N.SESSION
により操作終了後にはログオフする運用が 要求されるため、O.CONFIGをサポートしている。したがって本脅威は十分対抗されている。