情報処理推進機構(IPA)は8月30日、IPAが認証を行っている「ITセキュリティ評価及び認証制度」で多くのセキュリティ評価が実施されているデジタル複合機(Multi Function Peripheral:MFP)に関して脆弱性の調査を行った「デジタル複合機の脆弱性に関する調査報告書」(PDF形式)を公開した。
MFPは、従来のコピーやプリントといった基本的な用途に加え、ネットワークからの利用、各種メディアへの対応など、利便性を向上させるための多機能化・高性能化が進んでおり、オフィスなどの情報システムで文書データを扱う主要なIT製品として利用されている。これに伴い、情報セキュリティを考慮する必要が生じている。
報告書では、ソフトウェアやハードウェア、通信システムなどMFPに関する16種類の情報資産ごとに「ISO/IEC 27001」の情報セキュリティの要求事項7タイプ(機密性、完全性、可用性、真正性、責任追跡性、否認防止、信頼性)を破る想定から脅威を洗い出し、脅威の発生に至る攻撃手法または事故の例を挙げている。
また、事故の原因となる脆弱性を網羅的に調査し、約200件を脅威・脆弱性リストとしてまとめている。さらに、MFPに関する代表的な6件の脆弱性について、原因、攻撃手法とその影響、対策となる運用・実装ガイドを詳細に解説している。IPAでは、報告書をITセキュリティ評価及び認証制度に活用するとともに、多機能化が進むMFPの脆弱性に関して各MFPベンダーが有効な対策を講じ、MFP利用者により安全性の高い製品が提供されることを期待しているという。
