特集

プリンターや複合機向けのセキュリティ適合製品登録制度「BMSec」がスタート、より安心・安全な機器選定を支援

 一般社団法人 ビジネス機械・情報システム産業協会(JBMIA)は、事務機向けのセキュリティの標準規格「BMSec(事務機セキュリティプログラム)」をスタートさせた。

 JBMIAの橋爪弘常務理事は、「情報セキュリティへの重要性が高まるなか、JBMIAでは、国際規格のCC(Common Criteria)認証への対応を図るための調査などを進めてきたが、認証の取得に労力がかかるという課題があった。そこで、より簡便で、セキュリティを担保できる規格として、情報セキュリティ委員会で検討を進めてきたのがBMSecである。2021年に標準規格が完成し、今後、これを広く活用していくことになる」とする。

 本稿では、12月16日に行われた説明会をもとに、その内容を説明する。

JBMIAの橋爪弘常務理事
BMSecのロゴ

エントリー向け事務機を主な対象としたセキュリティプログラム

 事務機分野では、ミドルクラスやハイクラスの複合機を対象にしたCC認証や、FAXを対象としたFASECがあるが、SOHOから中小規模オフィスまでの幅広い環境で使用されている複合機やプリンター、スキャナー、FAXなどの事務機に対応したセキュリティガイドラインが存在しなかった。

 「IoTデバイスの普及に伴い、これらを標的としたサイバー攻撃が増加傾向にあり、早急のセキュリティ対策が求められている。そこで、事務機に対するセキュリティガイドラインを策定し、メーカー自身が自己適合宣言を行い、適合結果をJBMIAが確認し、公開する仕組みとして構築したのがBMSecとなる。事務機セキュリティプログラムの運用を通じて、ガイドライン適合製品の普及を図り、より安心で、安全な製品をユーザーに提供する環境づくりを行う」(JBMIA BMSec運営委員会の穂岐山剛委員長=キヤノン デジタルプリンティングシステム開発センター 主幹研究員)と、BMSecの狙いを説明した。

BMSec構築の背景
JBMIA BMSec運営委員会の穂岐山剛委員長(キヤノン デジタルプリンティングシステム開発センター 主幹研究員)

 ガイドラインは、ビジネス機械・情報システム産業協会規格(JBMS)として策定している。

 対象となるのは、ネットワーク機能を持つコーポレート向け、スモールオフィス向け、ホームオフィス向けの複合機と、プリンター、スキャナー、FAXといった事務機器。日本市場向けに販売されている製品に限定され、適合申請はJBMIA会員企業以外からも受け付ける。

 CC認証が評価機関などによる第三者認証であるのに対して、BMSecはメーカー自らが確認する自己適合宣言の仕組みとなっている点が違い。また、エントリークラスやSOHO向け事務機を主な対象にしていること、取得期間が1~2週間と短期で、コストも申請手数料だけであり、低額で済むという点も特徴だ。

BMSecの詳細

 「BMSec取得のために、開発段階で新たな投資が発生するということはないだろう。既存製品ではほぼ満たされているものである。また、コストを下げるために要件を低くしているわけではない。SOHOや中小規模オフィスで使用する際に必要なセキュリティを網羅したものとなっている」とした。

BMSecの3つの要件

 BMSecでは、セキュリティの脅威に対抗できるセキュリティ機能を備えていることを規定した「セキュリティ機能要件」、製品開発から使用までのライフサイクル全体において、脅威を軽減できる体制となっていることを規定した「セキュリティ保証要件」、製品の開発段階で脆弱性に関する評価が行われていることを規定した「脆弱性評定」の3つの項目を用意する。

 このうち「セキュリティ機能要件」では、識別認証機能、セキュリティ管理機能、ファームウェアアップデート機能、大容量記憶装置データ保護、インターネット通信データ保護など、「セキュリティ保証要件」ではファームウェアなどのバージョン管理を含む構成管理、保護されたネットワーク内での使用における運用管理、脆弱性対策ファームウェアの提供体制の構築を含む欠陥修正、FAXとネットワークの分離などを規定。「脆弱性評定」では、脆弱性スキャナーによる検証、未使用ポートのクローズ、デバッグポートのクローズが要件となっている。

 例えば、権限のない第三者が不正にHCD(Hard Copy Device)のセキュリティ設定を変更することで、HCD内のデータが漏えい・改ざんされる懸念に対しては、セキュリティ設定にアクセスする際に、管理者の認証を要求する機能を持つことや、管理者の認証に用いるID/パスワードを変更する機能を持ち、管理者にデフォルトパスワードの変更を促す機能、あるいは、これに準ずるものを搭載することなどを機能要件としている。

BMSecの要件概要

 事務機メーカーは、要件チェックシートをもとに要件を待たすことを確認したら、製品責任者が自己適合宣言を行い、JBMIAのBMSec事務局に適合確認申請をして、問題がなければBMSecのWebページで公開される。

BMSec取得の流れ

 適合製品リストでは、要件チェックシートや補足資料も公開し、適合性が確認できた製品ではロゴマークが使用できる。ユーザーはそれを閲覧し、機器選定の際などにセキュリティに考慮した安心・安全な製品であることを確認し、購入・使用につなげられるとのこと。

適合製品リストの公開資料

 メーカーにとっては、ガイドラインに適合した製品開発により、IoTデバイスとして備えるべきセキュリティ機能を持つ製品をユーザーに提供できること、ガイドラインへの自己適合宣言やBMSecマークの使用により、セキュリティを考慮した製品開発を行っていることを訴求できるメリットがある。

 一方、ユーザーにとっては、必要なセキュリティ機能を備えた事務機を選定できること、ガイドラインへの適合結果がJBMIAホームページで公開されるため、各製品のセキュリティ機能を詳細に確認できること、メーカーの自己適合宣言により、各メーカーのセキュリティに対する姿勢を確認できるといったメリットがあるとしている。

BMSecのメリット

 2021年12月1日時点で、8社67社の製品が登録済みであり、今後、発売される製品も順次登録される予定だという。

 またBMSecガイドラインは、必要に応じて1年ごとの更新を予定している。

 JBMIAは、複写機メーカーなどが参加する業界団体で、1960年に11社の発起人によって設立された任意団体の日本事務機械工業会が前身だ。1966年に社団法人としての認可を受け、2002年にビジネス機械・情報システム産業協会に改称。さらに2012年4月からは、一般社団法人に改組している。

 キヤノンやリコー、富士フイルムビジネスイノベーション、セイコーエプソン、コニカミノルタ、シャープ、京セラドキュメントソリューション、東芝テックなど、23社が正会員として参加している。

 今回はJBMIA内に、BMSec運営委員会を立ち上げ、BMSecの普及、促進活動を推進するとのこと。なお同運営委員会は、申請受付や適合製品リスト登録を行うBMSec事務局、運用規定の改訂などを行う企画推進グループ、ガイドライン改訂作業などを行う技術推進グループで構成されている。

BMSecの運営体制