Microsoft PowerPoint - 4_1_SHARP.ppt

1

セキュリティ評価とビジネス的意義

－ シャープ

_{MFPの場合 －}

2004年10月29日

シャープ株式会社 ドキュメントシステム事業本部

ドキュメントシステム事業部

岩崎 章彦

シャープの複写機事業 50 50０万台０万台 137 137万台万台 268 268万台万台 2004年８月には、当社 複写機／複合機の 累計生産台数が 1,250万台を突破 更なる躍進 100 100０万台０万台 1,250万台 突破！ 1,250 1,250万台万台 突破 突破！！

3

ドキュメント認証製品 • Sharp Corporation Data Security Kit (FR1,

AR-FR2, and AR-FR3) for the Sharp Imager Family (AR-287, AR-337, AR-407, and AR-507)

※2001年4月／EAL2

• Sharp Corporation Multifunction Device with Data Security Kit, FR4 V.M.10, FR5 V.E.10, AR-FR6 V.J.10

※2002年12月／EAL2

• デジタル複合機データセキュリティキット AR-FR4 Version M.20, AR-FR5 Version E.20 ※2004年1月／EAL4 ※2004年9月／EAL4（CCRA相互認証付） • デジタル複合機データセキュリティキット AR-FR10 Version S.10 ※2004年3月／EAL3+ MFPへの要求

• 調達側の要求

– 官公庁の入札条件（警視庁） 入出力データの記憶において、不揮発性メモリ利用機器は不可。 但し、不揮発性メモリ利用の機器でも、データ出力後、不揮発性 メモリに記憶されたデータの消去機能を有する機器は可。 （入札要件： ISO/IEC15408に基づき評価･認証された製品）

• 調達側（利用者）

– 軍（防衛）関係 – 官公庁関係 – 個人情報保護が必要（例：病院、コンビニ等） – 企業の研究開発部門

5 情報セキュリティ

セキュリティ脅威

セキュリティ脅威

情報資産を守る

情報資産を守る

企業イメージの高揚・取引先への信頼感

企業イメージの高揚・取引先への信頼感

組織的対策

組織的対策

技術的対策

技術的対策

情報セキュリティマネジメントシステム 情報セキュリティマネジメントシステム

ＢＳ７７９９

ＢＳ７７９９

ＩＳＭＳ適合性評価制度

ＩＳＭＳ適合性評価制度

情報技術セキュリティ評価・認証 情報技術セキュリティ評価・認証

Ｃｏｍｍｏｎ

Ｃｏｍｍｏｎ

Ｃｒｉｔｅｒｉａ

Ｃｒｉｔｅｒｉａ

ＩＳＯ

ＩＳＯ

/

_/

ＩＥＣ１５４０８

ＩＥＣ１５４０８

MFPの情報資産（ISMS）

• 物理的資産

– MFP本体、オプション他

• サービス

– プリント、スキャン、FAX等のサービス

• ソフトウェア資産

– プリンタドライバ – 各種ユーティリティ等

• 電子情報

– MFP内の媒体に蓄積された電子情報 – 伝送路上の電子情報

• 紙情報

7 MFPの脅威（ISMS）

• サービス

– プリント、スキャン、FAX等のサービスの停止

• ソフトウェア

– プリンタドライバ、各種ユーティリティ利用不能

• 電子情報

– MFP内電子情報の漏洩、改ざん – 伝送路上の電子情報の漏洩、改ざん

• 印刷物

– 印刷物の盗難 AR-FR10 Version S.10概要

• 認証番号：C0006

– 2004年3月取得 – 保証パッケージ：EAL3+ADV_SPM.1

• セキュリティターゲット

– http://www.ipa.go.jp/security/jisec/documents/c0006_st_sharp.pdf TOEの提供形態 TOEを搭載可能なMFP

9 TOEセキュリティ機能の概要（ST２章）

• TOEセキュリティ機能は、主としてデータ消去機能と暗号

操作機能からなる。

– データ消去機能 • コピーのジョブ完了後、HDDにスプール保存されている実イメージ データが存在している領域に対しランダム値を上書きする。 • ファクスのジョブ完了後については、Flashメモリにスプール保存され ている実イメージデータが存在している実イメージデータ領域に対し 固定値を上書きする。 – 暗号操作機能 • 実イメージデータをMSDにスプール保存する前に暗号化する。この 暗号操作機能により、ジョブ完了に伴うデータ消去機能が動作する 前の状態においても、暗号鍵を入手しない限り、MSDから取得した 実イメージデータからイメージとして表示不能である。 デジタル複合機の構成（ST２章） スキャナユニット MFD タッチパネル式操作パネル フィニッシャー 等(オプション) ファクス 拡張キット (オプション) エンジンユニット(紙搬送、レーザー、ドラム、定着、 フィニッシャーの制御) コントローラ基板 AR-FR10 ファクスインタ フェース (オプション) 揮発性RAM EEPROM CPU ファクス回線 HDD Flashメモリ

11 TOEの物理的・論理的範囲（ST２章） • TOEの物理的範囲 – MFDのコントローラ基板に搭 載するROMモジュールに格納 されおり、コントローラ基板を 制御するファームウェア • TOEの論理的範囲 実ｲﾒｰｼﾞﾃﾞｰﾀ ﾌｧｲﾙ ファクス インタフェース 実ｲﾒｰｼﾞﾃﾞｰﾀ ﾌｧｲﾙ Flashメモリ EEPROM データ消去機能 (TSF_FDC) スキャン 制御機能 プリント 制御機能 ジョブ 制御機能 エンジン ユニット スキャナ ユニット 暗号鍵生成機能 (TSF_FKG) 操作パネル RTC セキュリティ管理機能 （TSF_FMT） 暗号操作機能 (TSF_FDE) 暗号化、復号 モジュール ユーザI/F制御モジュール 認証機能 （TSF_AUT） 乱数生成モジュール HDドライバ Flashメモリドライバ EEPROM管理モジュール 全消去モジュール ファイル削除 モジュール TOE ファクス 拡張キット 揮発性RAM HDD スプール スプール 脅威（ST３章）

• 保護資産

– 本TOEにおける保護資産は、利用者がMFDを使用した場合、利 用者が意図することなく、MFD自身がコピー、もしくはファクス送 受信処理のためにMFD内のHDD、もしくはFlashメモリに一時的 にスプール保存された実イメージデータである。

• 脅威

– T.RECOVER 攻撃者が、MFD内のMSDに、MFD以外の装置を使用すること によりMSD内の実イメージデータを読み出し漏洩させる。

13 TOEセキュリティ環境（ST３章）

• 前提条件

– A.OPERATOR キーオペレーターは、TOEに対して不正をせず信頼できるものと する。

• 組織のセキュリティ方針

– なし セキュリティ対策方針（ST４章）

• TOEのセキュリティ対策方針

– O.RESIDUAL スプール保存されているMSDの実イメージデータ領域に対して 上書き消去する。 – O.REMOVE TOEが組込まれているMFDのMSDに対し、MSDにスプール保 存を実行したMFD自身以外からアクセスされても、イメージとし て表示不能なように、MFD固有の暗号鍵で実イメージデータを 暗号化してからMSDにスプール保存する。 – O.MANAGE TOEのセキュアな運用を維持するための機能をキーオペレー ターのみに提供する。

• 環境のセキュリティ対策方針

– OE.OPERATE 組織の責任者が、キーオペレーターの役割を理解した上で、

15

セキュリティ機能(1) （ST６章）

• 暗号鍵生成(TSF_FKG)

– AES(Advanced Encryption Standard) Rijndaelアルゴリズムを実施する鍵 – ハードディスク用： シードは乱数を用いる

– Flashメモリ用： MSNアルゴリズムを利用

• 暗号鍵がセキュアに生成されることをADV_SPM.1で説明

• 暗号操作(TSF_FDE)

– AES(Advanced Encryption Standard) – ECBモード – 暗号鍵長：128bit • 上書き消去機能 – 上書き消去データは乱数を利用 – MFP電源ON時、MFPの管理者 に対する消去機能を提供 – 上書き消去回数を１回～ 最大７回まで設定可能 実ｲﾒｰｼﾞﾃﾞｰﾀ ﾌｧｲﾙ ファクス インタフェース 実ｲﾒｰｼﾞﾃﾞｰﾀ ﾌｧｲﾙ Flashメモリ EEPROM データ消去機能 (TSF_FDC) スキャン 制御機能 プリント 制御機能 ジョブ 制御機能 エンジン ユニット スキャナ ユニット 暗号鍵生成機能 (TSF_FKG) 操作パネル RTC セキュリティ管理機能 （TSF_FMT） 暗号操作機能 (TSF_FDE) 暗号化、復号 モジュール ユーザI/F制御モジュール 認証機能 （TSF_AUT） 乱数生成モジュール HDドライバ Flashメモリドライバ EEPROM管理モジュール 全消去モジュール ファイル削除 モジュール TOE ファクス 拡張キット 揮発性RAM HDD スプール スプール セキュリティ機能(2) （ST６章） • 認証 (TSF_AUT) – キーオペレーター認証 • 5桁の数字によるパスワード認証 • セキュリティ管理 (TSF_FMT) – 電源ON時の自動消去実行、もしくは不実行の設定 – 各ジョブ完了時の自動消去におけるHDD上の実イメージ データファイルに対する上書きの 回数 – キーオペレーターの操作、 もしくは電源ON時の自動消去 全データエリア消去における HDD上の全ての実イメージ データファイルに対する上書き の回数 – キーオペレーターコードの変更 実ｲﾒｰｼﾞﾃﾞｰﾀﾌｧｲﾙ EEPROM データ消去機能 (TSF_FDC) スキャン 制御機能 プリント 制御機能 ジョブ 制御機能 暗号鍵生成機能 (TSF_FKG) 操作パネル RTC セキュリティ管理機能 （TSF_FMT） 暗号操作機能 (TSF_FDE) 暗号化、復号 モジュール ユーザI/F制御モジュール 認証機能 （TSF_AUT） 乱数生成モジュール HDドライバ EEPROM管理モジュール 全消去モジュール ファイル削除 モジュール TOE 揮発性RAM HDD スプール

17

動向：IEEE P2600 • Hardcopy Security Working Group = MFPのセキュリティ標準化

– Protection Profile

• Hardcopy Security Working Groupのアプローチ – MFPの機能と機能別脆弱性の抽出

• Managed Device： Firmware updates , …

• Network Device： Denial of service, virus or Trojan Horse, …

• Printer Device： Unauthorized access to printed data, theft of service , … • Scanner Device： Unauthorized access to scanned data, …

• Copier Device： Unauthorized access to copied data, … • Fax Device： Unauthorized access to faxed data, …

– セキュリティ機能の特定(CC) • URL http://grouper.ieee.org/groups/2600/ 動向：MFPセキュリティ

• 原本性の保証

– 印刷物そのものが本物であるということを保証。 – 内容が改ざんされたり、書き加えられたりしていないかを保証。

• 偽造、不正コピー防止

– 原本性の保証の裏返し。

• 情報漏洩の防止

– 機密文書など内容自体が漏れること。 – 印刷物に、印刷・コピーに使用した装置を特定するID 等の情報 を埋め込むことで、心理的にコピーが抑止され、情報漏洩を防止。 – コピー自体を禁止する。

19 • プリンタ・複合機・複写機製品情報 http://www.sharp.co.jp/products/menu/copy/index.html • セキュリティソリューション http://www.sharp.co.jp/print/doc_security/index.html • シャープドキュメントシステム株式会社 http://www.sharp-sds.co.jp/product/index.shtml