事務所にある複合機やプリンタを、どのように管理していますか。
「印刷できればよい」
「リース会社や保守会社に任せている」
「壊れたときだけ連絡する」
このような扱いになっている会社も多いかもしれません。
しかし、現在の複合機は、単なるコピー機ではありません。印刷、コピー、スキャン、FAX、メール送信、共有フォルダへの保存、アドレス帳管理、Webブラウザからの設定変更、機器内データの保存など、さまざまな機能を持っています。
JBMIA、一般社団法人ビジネス機械・情報システム産業協会は、複合機のWebサーバー機能について、設定の確認・変更に加え、複合機に保存されたデータの確認・保存ができる場合があると説明しています。そのため、管理者パスワードや認証設定、不要機能の制限が重要になります。
つまり、複合機やプリンタは「紙を出す機械」ではなく、社内ネットワークにつながる情報機器として管理する必要があります。
特に中小企業では、パソコンやクラウドサービスのセキュリティ対策には目が向いても、複合機やプリンタの設定確認は後回しになりがちです。
しかし、複合機には、顧客情報、見積書、契約書、請求書、従業員情報、図面、本人確認書類など、重要な情報が通ることがあります。
この記事では、中小企業や小規模事業者が確認したい、複合機・プリンタのセキュリティ点検ポイントを整理します。
1. まず「誰が管理者か」を確認する
最初に確認したいのは、複合機の管理者です。
次のような状態になっていないでしょうか。
- 管理者IDとパスワードを誰も知らない
- 前任者や退職者しか設定内容を知らない
- 保守会社に任せきりで、社内の責任者が決まっていない
- 管理者パスワードが初期値のまま
- 管理者パスワードを社員全員が知っている
- 設定変更を誰が行ったか記録していない
複合機には、管理者だけが設定・確認できる項目があります。
JBMIAの事例でも、多くの複合機にはWebサーバー機能があり、Webブラウザから設定変更や保存文書の閲覧ができる場合があるため、管理者権限は限られたメンバーに付与されるべきものと説明されています。また、初期パスワードや推測しやすいパスワードが使われていると、設定やアクセス権限を不正に変更される恐れがあるとされています。
まずは、次の3点を確認しましょう。
管理者は誰か。
管理者パスワードは初期値から変更されているか。
管理者パスワードを知っている人は必要最小限か。
複合機の設定変更は、業務に直接影響します。
スキャンの保存先、FAX宛先、アドレス帳、メール送信設定、ネットワーク設定などが変更されると、情報漏えいや業務停止につながる可能性があります。
2. アドレス帳に何が入っているか確認する
複合機のアドレス帳には、取引先、顧客、従業員、外部委託先、金融機関、士業、協力会社などの宛先が登録されていることがあります。
スキャンした書類をメール送信する運用では、複合機のアドレス帳を使っている会社も多いでしょう。
ここで確認したいのは、次の点です。
- 退職者のメールアドレスが残っていないか
- 使わなくなった取引先の宛先が残っていないか
- 個人メールアドレスが登録されていないか
- 似た名前の宛先が複数あり、誤送信しやすくないか
- グループ宛先に不要なメンバーが含まれていないか
- 誰がアドレス帳を追加・変更できるか決まっているか
アドレス帳は、一度登録すると長期間そのまま使われがちです。
しかし、宛先が古いままになっていると、スキャンデータやFAXが意図しない相手に送られる可能性があります。特に、請求書、契約書、本人確認書類、履歴書、医療・介護・士業関連書類などを扱う場合は注意が必要です。
年に1回でもよいので、登録宛先を確認し、不要な宛先を削除しましょう。
3. スキャン保存先を確認する
複合機のスキャン機能では、スキャンしたデータを次のような場所に保存することがあります。
- 社内ファイルサーバ
- NAS
- 共有フォルダ
- 個人PCのフォルダ
- クラウドストレージ連携先
- メール添付
- 複合機内部のボックス
- USBメモリ
この保存先が適切に管理されていないと、重要情報が誰でも見られるフォルダに保存されたり、退職者のPCや古い共有フォルダに送られ続けたりする可能性があります。
確認したい項目は次のとおりです。
- スキャンデータの保存先を一覧化しているか
- 保存先フォルダのアクセス権は適切か
- 全社員が閲覧できるフォルダに重要書類を保存していないか
- 退職者や異動者のフォルダが残っていないか
- 保存期間を決めているか
- スキャン後に不要なデータを削除しているか
- 複合機内部のボックスにデータが残っていないか
JBMIAは、複合機に保存されたデータや認証ユーザー情報がWebサーバー機能の対象となる場合があり、設定改ざんや保存データの漏えい・紛失につながる可能性があると説明しています。
複合機のスキャン保存先は、情報資産管理の一部です。
「誰が」「どの書類を」「どこに保存しているか」が分からない状態は避けましょう。
4. Web管理画面にアクセスできる範囲を確認する
多くの複合機には、Webブラウザから設定を確認・変更できる管理画面があります。
管理画面では、機種によって次のような操作ができる場合があります。
- ネットワーク設定の確認・変更
- アドレス帳の登録・変更
- スキャン保存先の設定
- メール送信設定
- ユーザー認証設定
- 保存データの確認
- ログの確認
- ファームウェア更新
そのため、管理画面に誰がアクセスできるかは重要です。
確認したい項目は次のとおりです。
- 複合機の管理画面URLを把握しているか
- 管理画面に誰がログインできるか
- 管理者パスワードは初期値から変更されているか
- ゲストWi-Fiや来客用ネットワークから管理画面に入れないか
- インターネット側から管理画面にアクセスできないか
- 管理画面へのアクセス元を制限できるか
- 不要な機能が有効になっていないか
JPCERT/CCは、ネットワークに接続するシステム・機器について、初期設定では認証機能が無効だったり、製品共通のID・パスワードが設定されていたりする場合があるため、適切なパスワード設定と認証機能の有効化を推奨しています。また、インターネットからのアクセスが不要な機器は公開を停止し、必要な場合でもIPアドレス制限やファイアウォールによる制限を検討するよう案内しています。
複合機の管理画面は、社内ネットワークからだけ使えれば十分な場合がほとんどです。
外部からの管理が必要な場合でも、保守会社と相談し、アクセス元や認証方法を明確にしましょう。
5. 複合機をインターネットに直接見せない
複合機やプリンタは、原則として、インターネットから直接アクセスできる状態にしないことが重要です。
確認したい項目は次のとおりです。
- 複合機が社内LANの内側に設置されているか
- ルーターで不要なポート開放をしていないか
- 外部から複合機の管理画面にアクセスできないか
- 複合機のリモート保守設定を把握しているか
- ゲストWi-Fiから複合機にアクセスできないか
- 使っていない外部連携機能を停止しているか
外出先から印刷したい、保守会社が遠隔確認したい、スキャンデータを外部サービスへ送りたいなど、便利な機能が使われることがあります。
ただし、便利な機能ほど、誰が使い、どこから接続でき、どの情報が流れるかを確認する必要があります。
「使っているか分からない機能」は、保守会社やメーカーに確認し、不要であれば停止を検討しましょう。
6. ファームウェア更新とサポート期限を確認する
複合機やプリンタにも、ファームウェアがあります。
ファームウェアとは、機器を動かすための基本ソフトウェアのようなものです。
JPCERT/CCは、ネットワークに接続するシステム・機器について、脆弱性を悪用した攻撃などを防ぐため、ソフトウェアを定期的にアップデートすることを推奨しています。
確認したい項目は次のとおりです。
- ファームウェア更新は誰が行うか
- 自動更新か、保守会社による手動更新か
- 最終更新日を把握しているか
- 保守契約にセキュリティ更新が含まれるか
- サポート期限が切れていないか
- 古い複合機をネットワークに接続し続けていないか
複合機はリース期間が長く、入れ替えまで同じ機器を使い続けることがあります。
その間に、ネットワーク環境、クラウドサービス、利用者、セキュリティ要求は変わります。
「まだ印刷できるから使い続ける」だけでなく、セキュリティ更新や保守対応が続いているかも確認しましょう。
7. 印刷物の放置を防ぐ
複合機のリスクは、ネットワークや管理画面だけではありません。
印刷された紙がそのままトレイに放置されることも、情報漏えいにつながります。
特に注意したいのは、次のような書類です。
- 顧客名簿
- 契約書
- 見積書
- 請求書
- 給与関連資料
- 採用応募書類
- 本人確認書類
- 医療・介護・福祉関連書類
- 図面、設計資料
- 社内会議資料
確認したい項目は次のとおりです。
- 重要書類を印刷したまま放置していないか
- 来客が通る場所に複合機を置いていないか
- 誰でも印刷物を見られる状態になっていないか
- セキュアプリントや認証印刷を使えるか
- 印刷ミスした書類をそのままゴミ箱に捨てていないか
- 廃棄書類はシュレッダーや溶解処理などで処分しているか
紙の書類も情報資産です。
電子データと同じように、見られて困るものは放置しない運用を徹底しましょう。
8. FAX・スキャン送信の誤送信を減らす
複合機では、FAXやスキャンメール送信を使っている会社もあります。
ここで問題になりやすいのが、宛先間違いです。
誤送信を完全にゼロにすることは簡単ではありませんが、次のような対策で減らすことができます。
- 宛先を手入力せず、確認済みのアドレス帳を使う
- 古い宛先や不要な宛先を削除する
- 送信前に宛先確認画面を表示する
- 重要書類は二人で宛先を確認する
- グループ送信のメンバーを定期的に見直す
- 個人情報を含む書類は送信ルールを決める
- 送信履歴を確認できるようにする
JBMIAのスキャンデータ誤送信に関する事例では、機密紙文書をスキャンする際にパスワード付きPDF化を行うこと、推測されにくいパスワードを設定すること、メール送信前に宛先を確認することが対策として示されています。
複合機のFAX・スキャン運用も、社内ルールとして整理しておくべき対象です。
特に、個人情報や取引先情報を送る場合は、「誰が送るか」「誰が確認するか」「送信後にどこへ保存するか」を決めておきましょう。
9. リース返却・廃棄・入替時に確認する
複合機は、リース契約で利用している会社が多い機器です。
入替時には、新しい機器の設置に意識が向きがちですが、古い機器の扱いも重要です。
確認したい項目は次のとおりです。
- 機器内に保存データが残っていないか
- アドレス帳が残っていないか
- スキャン保存先の設定が残っていないか
- メール送信用アカウント情報が残っていないか
- 管理者IDやパスワード情報が残っていないか
- 設定初期化やデータ消去の手順を確認したか
- 消去証明や作業記録をもらえるか
- 返却前に保守会社・リース会社へ確認したか
「リース会社が回収するから大丈夫」と考えるのではなく、返却前にどのデータが消去されるのか、誰が確認するのかを明確にしましょう。
特に、アドレス帳、スキャン保存先、メール送信設定、保存文書、ユーザー情報は確認対象です。
10. リース更新・新規導入時に確認したいこと
新しい複合機を導入する場合は、印刷速度や料金だけでなく、セキュリティ機能も確認しましょう。
確認したい項目は次のとおりです。
- 管理者パスワードを初期設定から変更できるか
- ユーザー認証やICカード認証に対応しているか
- セキュアプリントに対応しているか
- アドレス帳の管理権限を分けられるか
- スキャン保存先の権限管理ができるか
- Web管理画面へのアクセス制限ができるか
- IPフィルタリングに対応しているか
- 記憶装置の暗号化やデータ消去に対応しているか
- ファームウェア更新の提供方法はどうなっているか
- サポート期限や保守範囲は明確か
IPAは、デジタル複合機、つまりハードコピーデバイス分野の認証申請・評価に関する資料を公開しています。同ページでは、HCD cPPがデジタル複合機分野の政府調達のためのセキュリティ要件として策定されたプロテクションプロファイルであることが説明されています。
これは中小企業にそのまま義務付けられるものではありませんが、複合機の調達においてセキュリティ要件が重視されていることを示す参考情報になります。
リース更新時は、営業担当者に次のように聞くと具体的です。
「この機種では、管理者パスワード変更、ユーザー認証、セキュアプリント、IPフィルタリング、保存データ消去、ファームウェア更新はどのように行えますか。」
価格や印刷枚数だけでなく、セキュリティ設定を見積・提案の確認項目に入れておきましょう。
11. 保守会社・リース会社に確認したい質問例
複合機の設定は、メーカーや機種によって異なります。
自社だけで判断しづらい場合は、保守会社やリース会社へ具体的に確認しましょう。
質問例は次のとおりです。
- 管理者パスワードは初期値から変更されていますか
- 管理者パスワードを知っている人は誰ですか
- アドレス帳の追加・変更権限は誰にありますか
- 退職者や古い取引先の宛先が残っていませんか
- スキャン保存先はどこに設定されていますか
- 複合機内部に保存データは残りますか
- 保存データは自動削除されますか
- Web管理画面へアクセスできる端末を制限できますか
- ゲストWi-Fiから管理画面や印刷機能へアクセスできませんか
- インターネット側からアクセスできる設定はありませんか
- ファームウェア更新は誰が、どの頻度で行いますか
- リース返却時にデータ消去や初期化は行われますか
- 消去作業の記録や証明は出ますか
「問題ありませんか」と聞くよりも、
「どの設定が、どうなっていますか」
と聞く方が確認しやすくなります。
複合機・プリンタ点検チェックリスト
最後に、中小企業向けの確認項目をまとめます。
- 複合機・プリンタの管理者を決めている
- 管理者パスワードを初期値から変更している
- 管理者パスワードを知っている人を必要最小限にしている
- アドレス帳の登録内容を定期的に確認している
- 退職者、異動者、古い取引先の宛先を削除している
- スキャン保存先を一覧化している
- スキャン保存先フォルダのアクセス権を確認している
- 複合機内部の保存データやボックスを確認している
- Web管理画面へアクセスできる範囲を制限している
- ゲストWi-Fiから複合機にアクセスできない
- インターネットから複合機の管理画面にアクセスできない
- 不要な外部連携機能を停止している
- ファームウェア更新の担当者と頻度を確認している
- サポート期限が切れた機器を使い続けていない
- セキュアプリントや認証印刷の利用を検討している
- 印刷物をトレイに放置しないルールがある
- FAX・スキャン送信前の宛先確認ルールがある
- リース返却・廃棄時のデータ消去手順を確認している
- 保守会社・リース会社への確認事項を記録している
すべてを一度に完璧にする必要はありません。
まずは、管理者パスワード、アドレス帳、スキャン保存先、Web管理画面、リース返却時のデータ消去の5つから確認しましょう。
まとめ
複合機・プリンタは、単なる印刷機ではありません。
スキャン、FAX、メール送信、アドレス帳、保存データ、Web管理画面、ネットワーク接続機能を持つ、社内の重要な情報機器です。
特に中小企業では、複合機の設定を保守会社に任せたまま、社内では管理者、保存先、アドレス帳、返却時のデータ消去を把握していないことがあります。
まず確認したいのは、次の5点です。
- 管理者パスワードは初期値から変更されているか
- アドレス帳に不要な宛先が残っていないか
- スキャン保存先とアクセス権は適切か
- Web管理画面に不要な場所からアクセスできないか
- リース返却・廃棄時にデータ消去を確認しているか
ライトハウスコンサルタントでは、福岡・九州の中小企業、個人事業主、小規模事業者を対象に、情報セキュリティの現状診断を行っています。同診断では、パソコン、スマートフォン、クラウドサービス、メール、ファイル共有、バックアップ、アカウント管理、退職者対応、情報資産、インシデント対応体制などを確認し、今すぐ対応すべきことやITベンダーに確認すべきことを整理します。
複合機やプリンタの設定に不安がある場合は、まずは「誰が管理しているか」「どこに保存しているか」「返却時に何を消すか」を確認するところから始めてみてください。
