ネットワーク通信を暗号化する
情報機器を使用するうえで、外部機器やパソコンとの通信を暗号化し、その内容を読み取られないように対策することは不可欠です。
ネットワークを経由して本機に送受信される情報は、外部からの侵入者に盗み見られたり、悪意のある第三者に改ざんされたりするリスクがあります。たとえば本機では、外部機器やパソコンとやりとりする情報として以下のようなものがあります。
プリンタードライバーで印刷する社内文書
スキャンしてメール送信する会議資料
ログインユーザー名/ログインパスワード
これらの情報を守るために、以下の表を参照して暗号化を設定してください。
暗号化の対象 |
暗号化の方法 |
実施項目/参照先 |
|---|---|---|
|
Web Image Monitor IPP印刷 Windows認証 LDAP認証 メール送信など |
SSL/TLS |
機器証明書の導入
|
|
メール |
S/MIME |
ユーザー証明書の導入
|
機器管理データ |
SNMPv3 |
暗号化パスワードの設定
|
印刷ジョブの認証情報 |
ドライバー暗号鍵 IPP認証 |
ドライバー暗号鍵の設定 IPP認証の設定
|
Kerberos認証データ |
KDCサーバーによって異なる |
暗号化方法の選択
|
管理者の方は、証明書の期限を管理し、期限が切れる前に証明書の更新をしてください。
管理者の方は、証明書の発行元が適切であることを確認してください。
本機との通信を暗号化するには機器証明書の導入が必要です。
機器証明書には、本機で作成する「自己証明書」と、認証局から発行される「認証局証明書」の2種類があります。より信頼性を高めるときは「認証局証明書」を使用してください。
操作部またはWeb Image Monitorから証明書を導入します。
操作部からは「自己証明書」を1つだけ導入できます。複数の証明書を導入するときや、「認証局証明書」を導入するときは、Web Image Monitorで設定してください。
操作部から自己証明書を導入する
操作部からネットワーク管理者としてログインする。
管理者としてログインする
カスタム権限管理者が登録されているときは、セキュリティー権限を持つカスタム権限管理者でもログインできます。
カスタム権限管理者としてログインするホーム画面で[設定]を押す。
設定画面で[システム設定]を押す。
[管理者向け設定]
[セキュリティー]
[証明書1]を選択し、[登録]を押す。
証明書に含める情報を設定する。
共通名称:機器証明書の名称です。必ず入力します。
メールアドレス:S/MIME、デジタル署名PDF、デジタル署名PDF/Aに機器証明書を使用するときは、管理者のメールアドレスを入力します。
「組織名称」、「部門名称」など、その他の項目は必要に応じて設定してください。
[OK]を押す。
[閉じる]を押す。
[ホーム](
)を押し、ログアウトする。
Web Image Monitorから自己証明書/認証局証明書を導入する
Web Image Monitorからネットワーク管理者としてログインする。
管理者としてログインする[機器の管理]メニューから[設定]をクリックする。
「セキュリティー」カテゴリーの[機器証明書]をクリックする。
「機器証明書」画面で、以下の手順に従って自己証明書または認証局証明書を導入する。
自己証明書を導入するとき
自己証明書を作成して導入します。
作成する証明書番号をリストから選択する。
[作成]をクリックし、証明書に含める情報を設定する。
共通名称:機器証明書の名称です。必ず入力します。メールアドレス:S/MIME、デジタル署名PDF、デジタル署名PDF/Aに機器証明書を使用するときは、管理者のメールアドレスを入力します。
「組織名称」、「部門名称」など、その他の項目は必要に応じて設定してください。
[OK]をクリックする。
設定中のメッセージが表示されるので、しばらくしてから次の手順へ進んでください。[OK]をクリックする。
「証明書状態」に「導入済み」と表示されます。認証局証明書を導入するとき
認証局に機器証明書を申請し、導入します。中間証明書を導入するときも手順は同じです。
作成する証明書番号をリストから選択する。
[要求]をクリックし、証明書に含める情報を設定する。
[OK]をクリックする。
設定中のメッセージが表示されるので、しばらくしてから次の手順へ進んでください。[OK]をクリックする。
「証明書状態」に「要求中」と表示されます。機器証明書を認証局に申請する。
Web Image Monitorからの申請はできません。申請方法は認証局により異なります。申請先の認証局に確認してください。
申請に必要な情報は、詳細アイコンをクリックして表示される「証明書詳細情報」画面で確認できます。
複数の証明書の申請を同時にすると、証明書の発行先が表示されないことがあります。導入するときに証明書の目的と導入順について確認してください。認証局から機器証明書が発行されたら、「機器証明書」画面のリストから該当する証明書番号を選択し、[導入]をクリックする。
入力欄に機器証明書の内容を入力する。
中間証明書も併せて導入するときは、中間証明書の内容も入力します。
認証局から発行された中間証明書がないと、ネットワーク通信時に警告画面が表示されます。認証局から中間証明書が発行されているときは、中間証明書を導入しておくことをお勧めします。[OK]をクリックする。
「証明書状態」に「導入済み」と表示されます。証明書の導入が終わったら、「利用する証明書」でアプリケーションごとに証明書を選択する。
[OK]をクリックする。
設定中のメッセージが表示されるので、しばらくしてから次の手順へ進んでください。[OK]をクリックする。
ログアウトし、Webブラウザーを終了する。
IPP-SSLを使用して本機で印刷するときは、ユーザーのパソコンに証明書のインストールが必要です。IPPで本機にアクセスするときの証明書ストアの場所は、[信頼されたルート証明機関]を選択してください。
Windows標準のIPPポートを使用し、機器証明書の[共通名称]を変更するときは、あらかじめパソコンのプリンターを削除してから、プリンタードライバーを再インストールしてください。またユーザー認証の設定(ログインユーザー名とログインパスワード)を変更するときも、プリンターを削除し、ユーザー認証の設定を本機で変更してから、プリンタードライバーを再インストールしてください。
Web Image Monitorでは作成済みの機器証明書をアップロードすることもできます。以下のファイル形式の機器証明書がサポートされています。アップロードのしかたは、Web Image Monitorのヘルプを参照してください。
PKCS#12
PEM
SSL(Secure Sockets Layer)/TLS(Transport Layer Security)とは、ネットワーク通信を暗号化する技術のことです。第三者によるデータの盗聴や改ざん、解析などを防止できます。
SSL/TLSによる暗号化通信の流れ
ユーザーのパソコンは、本機へアクセスするとき、SSL/TLSの機器証明書と公開鍵を要求します。
本機からユーザーのパソコンへ機器証明書と公開鍵が送られます。
パソコンで生成した共通鍵は、公開鍵によって暗号化されて本機に送られ、本機の秘密鍵で復号されます。
共通鍵を使用してデータを暗号化し、相手側で復号する安全な通信を実現します。
暗号化通信を有効にするには、あらかじめ、本機に機器証明書を導入してください。
SSL/TLSを使用して通信を暗号化するには、以下の手順でSSL/TLSを有効にしてください。
SSL/TLSの設定が有効になっていることを確認するには、Webブラウザーのアドレスバーに「https://(本機のIPアドレス、またはホスト名)/」と入力し本機にアクセスしてください。「ページを表示できません」と表示されたときは、SSL/TLSの設定が無効です。設定の内容を確認してください。
SSL/TLS(暗号化通信)の設定を有効にした状態でIPPを使用してプリンター機能を運用すると、経路を暗号化し、通信途中でのデータの盗聴、内容の解析、改ざんを防止できます。
SSL/TLSを有効にする
Web Image Monitorからネットワーク管理者としてログインする。
管理者としてログインする[機器の管理]メニューから[設定]をクリックする。
「セキュリティー」カテゴリーの[SSL/TLS]をクリックする。
「SSL/TLS」で暗号化通信を有効にするプロトコルを選択し、通信方法の詳細を設定する。
- SSL/TLS通信許可設定:以下から暗号化通信モードを選択し、HSTS機能の有効/無効を設定します。HSTS機能を有効にするときは、有効期間も0~31,536,000秒の範囲で設定します。HSTS機能を有効にすると、設定した有効期間が終わるまで、Webブラウザーから本機への接続にHTTPS通信が自動的に使用されます。有効期間はWeb Image Monitorにアクセスするたびにリセットされ、再度同じ期間HSTS機能が有効になります。
暗号文優先:機器証明書が生成されているときは暗号化します。暗号化できないときは平文で通信します。
暗号文/平文:Webブラウザーから「https」のアドレスで接続したときは暗号化します。「http」のアドレスで接続したときは平文で通信します。
暗号文のみ:暗号化通信だけを許可します。何らかの原因で暗号化できない状態のときは通信できません。そのときは、操作部の[システム設定]
- SSL/TLSバージョン:TLS1.3、TLS1.2、TLS1.1、TLS1.0、SSL3.0の有効/無効を設定します。必ず1つ以上を有効にします。
暗号強度設定:AES、CHACHA20、3DES、RC4で使用する暗号化アルゴリズムを設定します。必ず1つ以上を設定します。
鍵交換:RSA鍵交換の有効/無効を設定します。
ダイジェスト:SHA1ダイジェスト(ハッシュ)の有効/無効を設定します。
[OK]をクリックする。
ログアウトし、Webブラウザーを終了する。
SMTPサーバーとの通信を暗号化するときは、続けて以下の手順で[SSL]を[SMTP over SSL]または[STARTTLS]に変更してください。
HSTS機能を使用するには、認証局が発行した証明書の導入が必要です。
HSTS機能が有効なときに、「ネットワークセキュリティー」画面で「SSL/TLS」の「ポート443」で「クローズ」を選択すると、Web Image Monitorにアクセスできなくなります。
TLS1.3、TLS1.2、TLS1.1、TLS1.0、SSL3.0の有効または無効の設定により、LDAPサーバーに接続できないことがあります。
SMTPサーバーとの通信経路を暗号化する
操作部からネットワーク管理者としてログインする。
管理者としてログインする
カスタム権限管理者が登録されているときは、送信(メール/フォルダー)権限を持つカスタム権限管理者でもログインできます。
カスタム権限管理者としてログインするホーム画面で[設定]を押す。
設定画面で[システム設定]を押す。
[送信(メール/フォルダー)]
「SSL」のリストから[SMTP over SSL]または[STARTTLS]を選択する。
- [SMTP over SSL]を選択するとポート番号が465に、[STARTTLS]を選択すると587に変更されます。
- [自動選択]に設定したときは、ポート番号によって暗号化の方式が決まります。
- ポート番号を465/587以外に設定したときは、STARTTLSによる暗号化が試され、失敗するとSMTP over TLSで暗号化されます。
[OK]を押す。
[ホーム](
SMTPサーバーでSSLを利用すると、メールは必ずSMTPサーバーを経由して送信されます。
S/MIME(Secure/Multipurpose Internet Mail Extensions)とは、メールのセキュリティーを向上するための暗号化方式のことです。S/MIMEを設定すると、メールの内容や添付ファイルを暗号化したり、電子署名を付けて送信したりできます。
S/MIMEの機能を使用するときは、[システム設定]
[送信(メール/フォルダー)][メール][管理者メールアドレス]を必ず設定してください。
S/MIMEに対応したユーザーと対応していないユーザーに同時に送信したときは、対応したユーザーのメールだけが暗号化されます。
S/MIMEに対応したメールソフトで受信する必要があります。
メールの暗号化と電子署名の添付は、どちらか一方の機能だけを使用することもできます。
メールに電子署名を付けて送信するときは、ユーザー証明書は必要ありません。機器証明書を導入してから、電子署名の添付設定をしてください。機器証明書の導入については、自己証明書/認証局証明書を導入するを参照してください。
S/MIME使用時は通常のメールよりもメールサイズが増加します。
ファクスとスキャナーのS/MIME機能については、以下を参照してください。
セキュリティーを高めてメールやインターネットファクスを送信する(暗号化/署名)
メールにセキュリティーを設定してスキャンした文書を送信する
ユーザー証明書を対象ユーザーに登録する
メールを暗号化するときは、ユーザー証明書を対象ユーザーに登録します。
あらかじめ、ユーザー証明書を用意してください。本機に導入できるユーザー証明書は、「DER Encoded Binary X.509」、「Base 64 Encoded X.509」、「PKCS #7 証明書」の3種類です。
Web Image Monitorからユーザー管理者としてログインする。
管理者としてログインする
カスタム権限管理者が登録されているときは、アドレス帳権限を持つカスタム権限管理者でもログインできます。
カスタム権限管理者としてログインする[機器の管理]メニューから[アドレス帳]をクリックする。
証明書を導入するユーザーにチェックを付け、[詳細入力]タブの[変更]をクリックする。
「メール」カテゴリーで、証明書の導入に必要な設定をする。
メールアドレス:ユーザーのメールアドレスを入力します。
ユーザー証明書:[変更]をクリックし、使用するユーザー証明書を指定します。
[OK]をクリックする。
ログアウトし、Webブラウザーを終了する。
続けて、以下の手順で暗号化の詳細を有効にしてください。
アドレス帳にユーザー証明書を導入するとき、証明書ファイルが複数の証明書を含んでいると、Web Image Monitorにエラーメッセージが表示されます。複数の証明書を含む証明書ファイルを導入するときは、個別に導入してください。
選択したユーザー証明書の有効期限が過ぎていると、暗号化したメッセージを送信できません。有効期限内の証明書を選択してください。
暗号化のアルゴリズムや電子署名の添付設定をする
Web Image Monitorからネットワーク管理者としてログインする。
管理者としてログインする[機器の管理]メニューから[設定]をクリックする。
「セキュリティー」カテゴリーの[S/MIME]をクリックする。
メールの暗号化と電子署名の設定をする。
暗号化
- 暗号化アルゴリズム:S/MIMEの暗号化に使用する共通鍵の暗号アルゴリズムを選択します。ユーザーのメールソフトでサポートしている暗号化アルゴリズムを指定します。
署名
証明書状態:S/MIME用に設定されている証明書が表示されます。
ダイジェストアルゴリズム:署名に使用するダイジェストアルゴリズムを選択します。
スキャナーでのメール送信、ファクス転送時、ファクスでのメール送信、ファクスでの送信結果メール通知、ドキュメントボックス(ユーティリティー)蓄積文書転送時:各機能でメールや文書を送信/転送するときに、署名の添付を個別に選択できるようにするかを設定します。
動作モード
動作モード:証明書の有効期限をチェックするタイミングを選択します。
パフォーマンス優先:ユーザー証明書はあて先を選択したとき、機器証明書は[スタート]を押したときにチェックします。情報セキュリティーの国際評価規格(CC認証)の基準を満たしませんが、[セキュリティー優先]を選択したときよりもユーザーへのレスポンスが早くなります。
セキュリティー優先:あて先を選択したときと、[スタート]を押したときにチェックします。ユーザーへのレスポンスに時間がかかりますが、情報セキュリティーの国際評価規格(CC認証)を満たす環境下で適切に動作します。
[OK]をクリックする。
ログアウトし、Webブラウザーを終了する。
メールに電子署名を添付したときは、メールの[From]に管理者のメールアドレス、[Reply-To]に「送信者」として選択したユーザーのメールアドレスが設定されます。
送信時に有効期限内であっても、メールサーバーからクライアントPCに引き取る間に証明書の期限が切れたときは、サーバーからメールが引き取れなくなることがあります。
メモリー転送や時刻指定送信などで自動的にメール送信した場合に、証明書の有効期限外エラーが発生したときは、送信者か管理者用メールアドレスに平文のメールで通知されます。また、ログ収集機能を有効にしておくと、エラー内容をジョブログで確認できます。
ログを収集する選択した機器証明書の有効期限が過ぎていると、PDFに署名を添付できません。有効期限内の証明書を選択してください。
PDF/Aに添付できる機器証明書は、署名アルゴリズムがsha1WithRSA-1024のものです。
Ridoc IO Device Managerなどを使用してネットワーク経由で機器を監視するときは、プロトコルにSNMPv3を使用することで通信データを暗号化できます。
操作部からネットワーク管理者としてログインする。
管理者としてログインする
カスタム権限管理者が登録されているときは、ネットワーク/インターフェース権限を持つカスタム権限管理者でもログインできます。
カスタム権限管理者としてログインするホーム画面で[設定]を押す。
設定画面で[システム設定]を押す。
[ネットワーク/インターフェース]
[SNMPv3通信許可設定]と押す。「SNMPv3通信許可設定」のリストから[暗号化のみ]を選択する。
[OK]を押す。
[ホーム](
)を押し、ログアウトする。
Ridoc IO Device Managerは、リコーのホームページからダウンロードできます。
Ridoc IO Device Managerで機器を管理するRidoc IO Device Managerから本機の設定を変更するときは、[管理者登録/変更]でネットワーク管理者に暗号パスワードを設定し、Ridoc IO Device ManagerのSNMPアカウントにそのパスワードを登録してください。
ネットワーク管理者の暗号パスワードが設定されていないときは、通信データが暗号化されないことや、通信できないことがあります。ネットワーク管理者の暗号パスワードの設定は、内部管理者の追加登録や権限の変更をするを参照してください。
プリンタードライバーに設定するログインパスワードや、IPP印刷時のパスワードを暗号化することで、パスワード解析に対する安全性を強化できます。
社内LANから印刷するときは、ドライバー暗号鍵を設定します。
外部のネットワークからIPP印刷するときは、IPP印刷のパスワードを暗号化します。
ドライバー暗号鍵を設定してパスワードを暗号化する
本機で設定したドライバー暗号鍵をプリンタードライバーにも設定することで、パスワードが暗号化/復号化されます。
操作部からネットワーク管理者としてログインする。
管理者としてログインする
カスタム権限管理者が登録されているときは、セキュリティー権限を持つカスタム権限管理者でもログインできます。
カスタム権限管理者としてログインするホーム画面で[設定]を押す。
設定画面で[システム設定]を押す。
[管理者向け設定]
「ドライバー暗号鍵」の[変更]を押す。
ドライバー暗号鍵として使用するパスワードを入力する。
確認のため、「パスワード確認」にもう一度パスワードを入力する。
[OK]を2回押す。
[ホーム](
ドライバー暗号鍵をネットワーク管理者からユーザーに連絡し、ユーザーのパソコンに設定されているプリンタードライバーにドライバー暗号鍵を設定する。
必ず本機に設定したドライバー暗号鍵と同じ文字列を入力してください。
RPCSプリンタードライバーのときは、[プリンターのプロパティ]
[ユーザー認証]でドライバー暗号鍵を入力できます。
プリンタードライバー、TWAINドライバー、PC FAXドライバーの暗号鍵設定については、各ドライバーのヘルプを参照してください。
IPP印刷のパスワードを暗号化する
IPPプロトコルを使用した印刷では、認証方法を[DIGEST]にするとIPP認証のパスワードが暗号化されます。アドレス帳のユーザー情報とは別に、IPP認証用にユーザー名とパスワードを登録します。
Web Image Monitorからネットワーク管理者としてログインする。
管理者としてログインする[機器の管理]メニューから[設定]をクリックする。
「セキュリティー」カテゴリーの[IPP認証]をクリックする。
「認証」リストから[DIGEST]を選択する。
ユーザー名とパスワードを入力する。
「本体のユーザー認証機能」を[使用する]に設定すると、IPP認証用のユーザー名とパスワードの代わりに、本機で設定したユーザー認証情報を使用できます。
[OK]をクリックする。
設定中のメッセージが表示されるので、しばらくしてから次の手順へ進んでください。[OK]をクリックする。
ログアウトし、Webブラウザーを終了する。
Windows認証やLDAP認証でKerberos認証を使用するときに、本機とKDC(Key Distribution Center)サーバー間の通信を暗号化し、通信の安全性を確保します。
KDCサーバーの種類により、サポートする暗号化アルゴリズムは異なります。
Web Image Monitorから機器管理者としてログインする。
管理者としてログインする[機器の管理]メニューから[設定]をクリックする。
「機器」カテゴリーの[Kerberos認証]をクリックする。
有効にする暗号化アルゴリズムを選択する。
DES3-CBC-SHA1をサポートしているのはHeimdalだけです。
DES-CBC-MD5は、Windows Server OSの設定で有効にすると使用できます。
[OK]をクリックする。
ログアウトし、Webブラウザーを終了する。