使用説明書RICOH IM C300/C300F

ネットワーク通信を暗号化する

情報機器を使用するうえで、外部機器やパソコンとの通信を暗号化し、その内容を読み取られないように対策することは不可欠です。

ネットワークを経由して本機に送受信される情報は、外部からの侵入者に盗み見られたり、悪意のある第三者に改ざんされたりするリスクがあります。たとえば本機では、外部機器やパソコンとやりとりする情報として以下のようなものがあります。

  • プリンタードライバーで印刷する社内文書

  • スキャンしてメール送信する会議資料

  • ログインユーザー名/ログインパスワード

これらの情報を守るために、以下の表を参照して暗号化を設定してください。

暗号化の対象

暗号化の方法

実施項目/参照先

Web Image Monitor

IPP印刷

Windows認証

LDAP認証

メール送信など

SSL/TLS

機器証明書の導入

  1. 自己証明書/認証局証明書を導入する

  2. SSL/TLSで通信を暗号化する

メール

S/MIME

ユーザー証明書の導入

  • S/MIMEで本機から送信されるメールを暗号化する

機器管理データ

SNMPv3

暗号化パスワードの設定

  • 機器管理ソフトウェアとのSNMPv3通信を暗号化する

印刷ジョブの認証情報

ドライバー暗号鍵

IPP認証

ドライバー暗号鍵の設定

IPP認証の設定

  • 印刷ジョブのログインパスワードを暗号化する

Kerberos認証データ

KDCサーバーによって異なる

暗号化方法の選択

  • 本機とKDCとの通信を暗号化する

重要

  • 管理者の方は、証明書の期限を管理し、期限が切れる前に証明書の更新をしてください。

  • 管理者の方は、証明書の発行元が適切であることを確認してください。

自己証明書/認証局証明書を導入する

本機との通信を暗号化するには機器証明書の導入が必要です。

機器証明書には、本機で作成する「自己証明書」と、認証局から発行される「認証局証明書」の2種類があります。より信頼性を高めるときは「認証局証明書」を使用してください。

自己証明書/認証局証明書を導入するイメージイラスト
  • 操作部またはWeb Image Monitorから証明書を導入します。

  • 操作部からは「自己証明書」を1つだけ導入できます。複数の証明書を導入するときや、「認証局証明書」を導入するときは、Web Image Monitorで設定してください。

操作部から自己証明書を導入する

1操作部からネットワーク管理者としてログインする。

管理者としてログインする

2ホーム画面で[設定]を押す。

本体画面のイラスト

3設定画面で[システム設定]を押す。

本体画面のイラスト

4[管理者向け設定][セキュリティー][機器証明書登録/消去]と押す。

5[証明書番号1]を選択し、[登録]を押す。

6証明書に含める情報を設定する。

本体画面のイラスト
  • 共通名称:機器証明書の名称です。必ず入力します。

  • メールアドレス:S/MIME、デジタル署名PDF、デジタル署名PDF/Aに機器証明書を使用するときは、管理者のメールアドレスを入力します。

  • 「組織名称」、「部門名称」など、その他の項目は必要に応じて設定してください。

7[OK]を押す。

8[閉じる]を押す。

9[ホーム]本体画面のイラスト)を押し、ログアウトする。

Web Image Monitorから自己証明書/認証局証明書を導入する

1Web Image Monitorからネットワーク管理者としてログインする。

管理者としてログインする

2[機器の管理]メニューから[設定]をクリックする。

Webブラウザー画面のイラスト

3[セキュリティー]カテゴリーの[機器証明書]をクリックする。

4[機器証明書]画面で、以下の手順に従って自己証明書または認証局証明書を導入する。

Webブラウザー画面のイラスト

自己証明書を導入するとき

自己証明書を作成して導入します。

  1. 作成する証明書番号をリストから選択する。

  2. [作成]をクリックし、証明書に含める情報を設定する。

    • 共通名称:機器証明書の名称です。必ず入力します。

    • メールアドレス:S/MIME、デジタル署名PDF、デジタル署名PDF/Aに機器証明書を使用するときは、管理者のメールアドレスを入力します。

    • [組織名称][部門名称]など、その他の項目は必要に応じて設定してください。

  3. [OK]をクリックする。

    [証明書状態]に「導入済み」と表示されます。

認証局証明書を導入するとき

認証局に機器証明書を申請し、導入します。中間証明書を導入するときも手順は同じです。

  1. 作成する証明書番号をリストから選択する。

  2. [要求]をクリックし、証明書に含める情報を設定する。

  3. [OK]をクリックする。

    [証明書状態]に「要求中」と表示されます。

  4. 機器証明書を認証局に申請する。

    • Web Image Monitorからの申請はできません。申請方法は認証局により異なります。申請先の認証局に確認してください。

    • 申請に必要な情報は、詳細アイコン本体画面のイラストをクリックして表示される[証明書詳細情報]画面で確認できます。

    • 複数の証明書の申請を同時にすると、証明書の発行先が表示されないことがあります。導入するときに証明書の目的と導入順について確認してください。

  5. 認証局から機器証明書が発行されたら、[機器証明書]画面のリストから該当する証明書番号を選択し、[導入]をクリックする。

  6. 入力欄に機器証明書の内容を入力する。

    • 中間証明書も併せて導入するときは、中間証明書の内容も入力します。

    • 認証局から発行された中間証明書がないと、ネットワーク通信時に警告画面が表示されます。認証局から中間証明書が発行されているときは、中間証明書を導入しておくことをお勧めします。

  7. [OK]をクリックする。

    [証明書状態]に「導入済み」と表示されます。

5証明書の導入が終わったら、[利用する証明書]でアプリケーションごとに証明書を選択する。

Webブラウザー画面のイラスト

6[OK]をクリックする。

7ログアウトし、Webブラウザーを終了する。

補足

  • IPP-SSLを使用して本機で印刷するときは、ユーザーのパソコンに証明書のインストールが必要です。IPPで本機にアクセスするときの証明書ストアの場所は、[信頼されたルート証明機関]を選択してください。

  • Windows標準のIPPポートを使用し、機器証明書の[共通名称]を変更するときは、あらかじめパソコンのプリンターを削除してから、プリンタードライバーを再インストールしてください。またユーザー認証の設定(ログインユーザー名とログインパスワード)を変更するときも、プリンターを削除し、ユーザー認証の設定を本機で変更してから、プリンタードライバーを再インストールしてください。

SSL/TLSで通信を暗号化する

SSL(Secure Sockets Layer)/TLS(Transport Layer Security)とは、ネットワーク通信を暗号化する技術のことです。第三者によるデータの盗聴や改ざん、解析などを防止できます。

SSL/TLSによる暗号化通信の流れ

  1. ユーザーのパソコンは、本機へアクセスするとき、SSL/TLSの機器証明書と公開鍵を要求します。

  2. 本機からユーザーのパソコンへ機器証明書と公開鍵が送られます。

    SSL/TLSで通信を暗号化するイメージイラスト
  3. パソコンで生成した共通鍵は、公開鍵によって暗号化されて本機に送られ、本機の秘密鍵で復号されます。

    SSL/TLSで通信を暗号化するイメージイラスト
  4. 共通鍵を使用してデータを暗号化し、相手側で復号する安全な通信を実現します。

    SSL/TLSで通信を暗号化するイメージイラスト
  • 暗号化通信を有効にするには、あらかじめ、本機に機器証明書を導入してください。

  • SSL/TLSを使用して通信を暗号化するには、以下の手順でSSL/TLSを有効にしてください。

補足

  • SSL/TLSの設定が有効になっていることを確認するには、Webブラウザーのアドレスバーに「https://(本機のIPアドレス、またはホスト名)/」と入力し本機にアクセスしてください。「ページを表示できません」と表示されたときは、SSL/TLSの設定が無効です。設定の内容を確認してください。

  • SSL/TLS(暗号化通信)の設定を有効にした状態でIPPを使用してプリンター機能を運用すると、経路を暗号化し、通信途中でのデータの盗聴、内容の解析、改ざんを防止できます。

SSL/TLSを有効にする

1Web Image Monitorからネットワーク管理者としてログインする。

管理者としてログインする

2[機器の管理]メニューから[設定]をクリックする。

Webブラウザー画面のイラスト

3[セキュリティー]カテゴリーの[SSL/TLS]をクリックする。

4[SSL/TLS]で暗号化通信を有効にするプロトコルを選択し、通信方法の詳細を設定する。

Webブラウザー画面のイラスト
  • SSL/TLS通信許可設定:以下から暗号化通信モードを選択します。

    • 暗号文優先:機器証明書が生成されているときは暗号化します。暗号化できないときは平文で通信します。

    • 暗号文/平文:Webブラウザーから「https」のアドレスで接続したときは暗号化します。「http」のアドレスで接続したときは平文で通信します。

  • 暗号文のみ:暗号化通信だけを許可します。何らかの原因で暗号化できない状態のときは通信できません。そのときは、操作部の[システム設定][ネットワーク/インターフェース][通信セキュリティー][SSL/TLS通信許可設定]で一時的に[暗号文/平文]に変更し、設定を確認してください。

  • SSL/TLSバージョン:TLS1.2、TLS1.1、TLS1.0、SSL3.0の有効/無効を設定します。必ず1つ以上を有効にします。

  • 暗号強度設定:AES、3DES、RC4で使用する暗号化アルゴリズムを設定します。必ず1つ以上を設定します。

  • 鍵交換:RSA鍵交換の有効/無効を設定します。

  • ダイジェスト:SHA-1ダイジェスト(ハッシュ)の有効/無効を設定します。

5[OK]をクリックする。

6ログアウトし、Webブラウザーを終了する。

SMTPサーバーとの通信を暗号化するときは、続けて以下の手順で[SSL][利用する]に変更してください。

補足

  • TLS1.2、TLS1.1、TLS1.0、SSL3.0の有効または無効の設定により、LDAPサーバーに接続できないことがあります。

SMTPサーバーとの通信経路を暗号化する

1操作部からネットワーク管理者としてログインする。

管理者としてログインする

2ホーム画面で[設定]を押す。

本体画面のイラスト

3設定画面で[システム設定]を押す。

本体画面のイラスト

4[送信(メール/フォルダー)][メール][SMTPサーバー]と押す。

5「SSL」のリストから[利用する]を選択する。

本体画面のイラスト
  • 設定後、ポート番号が465(SMTP over SSL)に変更されます。SMTP over TLS(STARTTLS)で暗号化するときは、ポート番号を587に変更してください。

  • ポート番号を465/587以外に設定したときは、SMTPサーバーの設定に従って暗号化されます。

6[OK]を押す。

7[ホーム]本体画面のイラスト)を押し、ログアウトする。

補足

  • SMTPサーバーでSSLを利用すると、インターネットファクスは必ずSMTPサーバーを経由して送信されます。

本機から送信するメールをS/MIMEで暗号化する

S/MIME(Secure/Multipurpose Internet Mail Extensions)とは、メールのセキュリティーを向上するための暗号化方式のことです。S/MIMEを設定すると、メールの内容や添付ファイルを暗号化したり、電子署名を付けて送信したりできます。

重要

  • S/MIMEの機能を使用するときは、[システム設定][送信(メール/フォルダー)][メール][管理者メールアドレス]を必ず設定してください。

S/MIMEで本機から送信されるメールを暗号化するイメージイラスト

ユーザー証明書を対象ユーザーに登録する

メールを暗号化するときは、ユーザー証明書を対象ユーザーに登録します。

あらかじめ、ユーザー証明書を用意してください。本機に導入できるユーザー証明書は、「DER Encoded Binary X.509」、「Base 64 Encoded X.509」、「PKCS #7 証明書」の3種類です。

1Web Image Monitorからユーザー管理者としてログインする。

管理者としてログインする

2[機器の管理]メニューから[アドレス帳]をクリックする。

Webブラウザー画面のイラスト

3証明書を導入するユーザーにチェックを付け、[詳細入力]タブの[変更]をクリックする。

Webブラウザー画面のイラスト

4[メール]カテゴリーで、証明書の導入に必要な設定をする。

Webブラウザー画面のイラスト
  • メールアドレス:ユーザーのメールアドレスを入力します。

  • ユーザー証明書:[変更]をクリックし、使用するユーザー証明書を指定します。

5[OK]をクリックする。

6ログアウトし、Webブラウザーを終了する。

続けて、以下の手順で暗号化の詳細を有効にしてください。

補足

  • アドレス帳にユーザー証明書を導入するとき、証明書ファイルが複数の証明書を含んでいると、Web Image Monitorにエラーメッセージが表示されます。複数の証明書を含む証明書ファイルを導入するときは、個別に導入してください。

  • 選択したユーザー証明書の有効期限が過ぎていると、暗号化したメッセージを送信できません。有効期限内の証明書を選択してください。

暗号化のアルゴリズムや電子署名の添付設定をする

1Web Image Monitorからネットワーク管理者としてログインする。

管理者としてログインする

2[機器の管理]メニューから[設定]をクリックする。

Webブラウザー画面のイラスト

3[セキュリティー]カテゴリーの[S/MIME]をクリックする。

4メールの暗号化と電子署名の設定をする。

Webブラウザー画面のイラスト

暗号化

  • 暗号化アルゴリズム:S/MIMEの暗号化に使用する共通鍵の暗号アルゴリズムを選択します。ユーザーのメールソフトでサポートしている暗号化アルゴリズムを指定します。

署名

  • 証明書状態:S/MIME用に設定されている証明書が表示されます。

  • ダイジェストアルゴリズム:署名に使用するダイジェストアルゴリズムを選択します。

  • スキャナーでのメール送信、ファクス転送時、ファクスでのメール送信、ファクスでの送信結果メール通知、ドキュメントボックス(ユーティリティー)蓄積文書転送時:各機能でメールや文書を送信/転送するときに、署名の添付を個別に選択できるようにするかを設定します。

動作モード

  • 動作モード:証明書の有効期限をチェックするタイミングを選択します。

    • セキュリティー優先:あて先を選択したときと、[スタート]を押したときにチェックします。ユーザーへのレスポンスに時間がかかりますが、情報セキュリティーの国際評価規格(CC認証)を満たす環境下で適切に動作します。

    • パフォーマンス優先:ユーザー証明書はあて先を選択したとき、機器証明書は[スタート]を押したときにチェックします。情報セキュリティーの国際評価規格(CC認証)の基準を満たしませんが、[セキュリティー優先]を選択したときよりもユーザーへのレスポンスが早くなります。

5[OK]をクリックする。

6ログアウトし、Webブラウザーを終了する。

補足

  • メールに電子署名を添付したときは、メールの[From]に管理者のメールアドレス、[Reply-To]に「送信者」として選択したユーザーのメールアドレスが設定されます。

  • 送信時に有効期限内であっても、メールサーバーからクライアントPCに引き取る間に証明書の期限が切れたときは、サーバーからメールが引き取れなくなることがあります。

  • メモリー転送や時刻指定送信などで自動的にメール送信した場合に、証明書の有効期限外エラーが発生したときは、送信者か管理者用メールアドレスに平文のメールで通知されます。また、ログ収集機能を有効にしておくと、エラー内容をジョブログで確認できます。

  • ログを収集する

  • 選択した機器証明書の有効期限が過ぎていると、PDFに署名を添付できません。有効期限内の証明書を選択してください。

  • PDF/Aに添付できる機器証明書は、署名アルゴリズムがsha1WithRSA-1024のものです。

機器管理ソフトウェアとのSNMPv3通信を暗号化する

Ridoc IO Device Managerなどを使用してネットワーク経由で機器を監視するときは、プロトコルにSNMPv3を使用することで通信データを暗号化できます。

機器管理ソフトウェアとのSNMPv3通信を暗号化するイメージイラスト

1操作部からネットワーク管理者としてログインする。

管理者としてログインする

2ホーム画面で[設定]を押す。

本体画面のイラスト

3設定画面で[システム設定]を押す。

本体画面のイラスト

4[ネットワーク/インターフェース][SNMPv3通信許可設定]と押す。

5「SNMPv3通信許可設定」のリストから[暗号化のみ]を選択する。

本体画面のイラスト

6[OK]を押す。

7[ホーム]本体画面のイラスト)を押し、ログアウトする。

補足

  • Ridoc IO Device Managerは、リコーのホームページからダウンロードできます。

  • Ridoc IO Device Managerで機器を管理する

  • Ridoc IO Device Managerから本機の設定を変更するときは、[管理者登録/変更]でネットワーク管理者に暗号パスワードを設定し、Ridoc IO Device ManagerのSNMPアカウントにそのパスワードを登録してください。

  • ネットワーク管理者の暗号パスワードが設定されていないときは、通信データが暗号化されないことや、通信できないことがあります。ネットワーク管理者の暗号パスワードの設定は、以下を参照してください。

  • 管理者の追加登録や権限の変更をする

印刷ジョブのログインパスワードを暗号化する

プリンタードライバーに設定するログインパスワードや、IPP印刷時のパスワードを暗号化することで、パスワード解析に対する安全性を強化できます。

印刷ジョブのログインパスワードを暗号化するイメージイラスト
  • 社内LANから印刷するときは、ドライバー暗号鍵を設定します。

  • 外部のネットワークからIPP印刷するときは、IPP印刷のパスワードを暗号化します。

ドライバー暗号鍵を設定してパスワードを暗号化する

本機で設定したドライバー暗号鍵をプリンタードライバーにも設定することで、パスワードが暗号化/復号化されます。

1操作部からネットワーク管理者としてログインする。

管理者としてログインする

2ホーム画面で[設定]を押す。

本体画面のイラスト

3設定画面で[システム設定]を押す。

本体画面のイラスト

4[管理者向け設定][セキュリティー][セキュリティー強化設定]と押す。

5「ドライバー暗号鍵」の[変更]を押す。

本体画面のイラスト

6ドライバー暗号鍵として使用するパスワードを入力して[完了]を押す。

7確認のため、「パスワード確認」にもう一度パスワードを入力し、[完了]を押す。

8[OK]を2回押す。

9[ホーム]本体画面のイラスト)を押し、ログアウトする。

10ドライバー暗号鍵をネットワーク管理者からユーザーに連絡し、ユーザーのパソコンに設定されているプリンタードライバーにドライバー暗号鍵を設定する。

  • 必ず本機に設定したドライバー暗号鍵と同じ文字列を入力してください。

  • RPCSプリンタードライバーのときは、[プリンターのプロパティ][応用設定]タブでドライバー暗号鍵を入力できます。

補足

  • 印刷ジョブ自体を暗号化することもできます。詳しくは、以下を参照してください。

  • 印刷文書を本機に蓄積する

  • プリンタードライバー、TWAINドライバー、PC FAXドライバーの暗号鍵設定については、各ドライバーのヘルプを参照してください。

IPP印刷のパスワードを暗号化する

IPPプロトコルを使用した印刷では、認証方法を[DIGEST]にするとIPP認証のパスワードが暗号化されます。アドレス帳のユーザー情報とは別に、IPP認証用にユーザー名とパスワードを登録します。

1Web Image Monitorからネットワーク管理者としてログインする。

管理者としてログインする

2[機器の管理]メニューから[設定]をクリックする。

Webブラウザー画面のイラスト

3[セキュリティー]カテゴリーの[IPP認証]をクリックする。

4[認証][DIGEST]を選択する。

Webブラウザー画面のイラスト

5ユーザー名とパスワードを入力する。

  • 「本体のユーザー認証機能」を[使用する]に設定すると、IPP認証用のユーザー名とパスワードの代わりに、本機で設定したユーザー認証情報を使用できます。この機能は、RICOH Always Current Technology v1.2以降が搭載された機器で使用できます。

6[OK]をクリックする。

7ログアウトし、Webブラウザーを終了する。

本機とKDCとの通信を暗号化する

Windows認証やLDAP認証でKerberos認証を使用するときに、本機とKDC(Key Distribution Center)サーバー間の通信を暗号化し、通信の安全性を確保します。

KDCサーバーの種類により、サポートする暗号化アルゴリズムは異なります。

1Web Image Monitorから機器管理者としてログインする。

管理者としてログインする

2[機器の管理]メニューから[設定]をクリックする。

Webブラウザー画面のイラスト

3[機器]カテゴリーの[Kerberos認証]をクリックする。

4有効にする暗号化アルゴリズムを選択する。

Webブラウザー画面のイラスト
  • DES3-CBC-SHA1をサポートしているのはHeimdalだけです。

  • DES-CBC-MD5は、Windows Server 2008 R2以降の環境ではOSの設定で有効にすると使用できます。

5[OK]をクリックする。

6ログアウトし、Webブラウザーを終了する。