使用説明書RICOH IM C6000/C5500/C4500/C3500/C3000/C2500/C2000 シリーズ

ネットワーク通信を暗号化する

情報機器を使用するうえで、外部機器やパソコンとの通信を暗号化し、その内容を読み取られないように対策することは不可欠です。

ネットワークを経由して本機に送受信される情報は、外部からの侵入者に盗み見られたり、悪意のある第三者に改ざんされたりするリスクがあります。たとえば本機では、外部機器やパソコンとやりとりする情報として以下のようなものがあります。

  • プリンタードライバーで印刷する社内文書

  • スキャンしてメール送信する会議資料

  • ログインユーザー名/ログインパスワード

これらの情報を守るために、以下の表を参照して暗号化を設定してください。

暗号化の対象

暗号化の方法

実施項目/本ページ内の参照先

Web Image Monitor

IPP印刷

Windows認証

LDAP認証

メール送信など

SSL/TLS

機器証明書の導入

  1. 自己証明書/認証局証明書を導入する

  2. SSL/TLSで通信を暗号化する

メール

S/MIME

ユーザー証明書の導入

  • S/MIMEで本機から送信されるメールを暗号化する

機器管理データ

SNMPv3

暗号化パスワードの設定

  • 機器管理ソフトウェアとのSNMPv3通信を暗号化する

印刷ジョブの認証情報

ドライバー暗号鍵

IPP認証

ドライバー暗号鍵の設定

IPP認証の設定

  • 印刷ジョブのログインパスワードを暗号化する

Kerberos認証データ

KDCサーバーによって異なる

暗号化方法の選択

  • 本機とKDCとの通信を暗号化する

自己証明書/認証局証明書を導入する

本機との通信を暗号化するには機器証明書の導入が必要です。

機器証明書には、本機で作成する「自己証明書」と、認証局から発行される「認証局証明書」の2種類があります。より信頼性を高めるときは「認証局証明書」を使用してください。

自己証明書/認証局証明書を導入するイメージイラスト
  • 操作部またはWeb Image Monitorから証明書を導入します。

  • 操作部からは「自己証明書」を1つだけ導入できます。複数の証明書を導入するときや、「認証局証明書」を導入するときは、Web Image Monitorで設定してください。

  • [設定]の画面タイプを[従来]にしているときの例で手順を説明しています。

  • [従来]の設定画面タイプと[標準]の設定画面タイプでは、設定項目名が異なることがあります。

    設定項目対応表(従来:標準)

操作部から自己証明書を導入する

1操作部からネットワーク管理者としてログインする。

2ホーム画面で[設定]を押す。

本体画面のイラスト

[標準]の画面タイプを使用しているときは、以下の画面で設定してください。

  • [システム設定][管理者向け設定][セキュリティー][機器証明書登録/消去]

3設定画面で[本体機能設定]を押す。

4[システム設定][管理者用設定]タブ[機器証明書登録/消去]と押し、設定画面を表示する。

5[証明書1]を押し、証明書に含める情報を設定する。

本体画面のイラスト
  • 共通名称:機器証明書の名称です。必ず入力します。

  • メールアドレス:S/MIME、デジタル署名PDF、デジタル署名PDF/Aに機器証明書を使用するときは、管理者のメールアドレスを入力します。

  • 「組織名称」、「部門名称」など、その他の項目は必要に応じて入力してください。

6[設定]を押す。

7[閉じる]を押す。

8設定が終わったら、ホーム()を押す。

Web Image Monitorから自己証明書/認証局証明書を導入する

1Web Image Monitorからネット―ワーク管理者としてログインする。

2[機器の管理]メニューで[設定]をクリックする。

本体画面のイラスト

3「セキュリティー」の[機器証明書]をクリックする。

4「機器証明書」画面で、以下の手順に従って自己証明書または認証局証明書を導入する。

自己証明書を導入するとき

自己証明書を作成して導入します。

  1. リストから作成する証明書番号を選択する。

  2. [作成]をクリックし、証明書に含める情報を設定する。

    • 共通名称:機器証明書の名称です。必ず入力します。

    • メールアドレス:S/MIME、デジタル署名PDF、デジタル署名PDF/Aに機器証明書を使用するときは、管理者のメールアドレスを入力します。

    • 「組織名称」、「部門名称」など、その他の項目は必要に応じて入力してください。

  3. [OK]をクリックする。

    「証明書状態」に「導入済み」と表示されます。

認証局証明書を導入するとき

認証局に機器証明書を申請し、導入します。中間証明書を導入するときも手順は同じです。

  1. リストから作成する証明書番号を選択する。

  2. [要求]をクリックし、証明書に含める情報を設定する。

  3. [OK]をクリックする。

    「証明書状態」に「要求中」と表示されます。

  4. 機器証明書を認証局に申請する。

    • Web Image Monitorからの申請はできません。申請方法は認証局により異なります。申請先の認証局に確認してください。

    • 申請に必要な情報は、詳細アイコン本体画面のイラストをクリックして表示される「証明書詳細情報」画面で確認できます。

    • 複数の証明書の申請を同時にすると、証明書の発行先が表示されないことがあります。導入するときに証明書の目的と導入順について確認してください。

  5. 認証局から機器証明書が発行されたら、「機器証明書」画面のリストから該当する証明書番号を選択し、[導入]をクリックする。

  6. 入力欄に機器証明書の内容を入力する。

    • 中間証明書も併せて導入するときは、中間証明書の内容も入力します。

    • 認証局から発行された中間証明書がないと、ネットワーク通信時に警告画面が表示されます。認証局から中間証明書が発行されているときは、中間証明書を導入しておくことをお勧めします。

  7. [OK]をクリックする。

    「証明書状態」に「導入済み」と表示されます。

5証明書の導入が終わったら、「利用する証明書」でアプリケーションごとに証明書を選択する。

6[OK]をクリックする。

7設定が終わったら[OK]をクリックし、Webブラウザーを終了する。

補足

  • IPP-SSLを使用して本機で印刷するときは、ユーザーのパソコンに証明書のインストールが必要です。IPPで本機にアクセスするときの証明書ストアの場所は、「信頼されたルート証明機関」を選択してください。

  • Windows標準のIPPポートを使用し、機器証明書の「共通名称」を変更するときは、あらかじめパソコンのプリンターを削除してから、プリンタードライバーを再インストールしてください。またユーザー認証の設定(ログインユーザー名とログインパスワード)を変更するときも、プリンターを削除し、ユーザー認証の設定を本機で変更してから、プリンタードライバーを再インストールしてください。

SSL/TLSで通信を暗号化する

SSL(Secure Sockets Layer)/TLS(Transport Layer Security)とは、ネットワーク通信を暗号化する技術のことです。第三者によるデータの盗聴や改ざん、解析などを防止できます。

  • [設定]の画面タイプを[従来]にしているときの例で手順を説明しています。

  • [従来]の設定画面タイプと[標準]の設定画面タイプでは、設定項目名が異なることがあります。

    設定項目対応表(従来:標準)

SSL/TLSによる暗号化通信の流れ

  1. ユーザーのパソコンは、本機へアクセスするとき、SSL/TLSの機器証明書と公開鍵を要求します。

  2. 本機からユーザーのパソコンへ機器証明書と公開鍵が送られます。

    SSL/TLSで通信を暗号化するイメージイラスト
  3. パソコンで生成した共通鍵は、公開鍵によって暗号化されて本機に送られ、本機の秘密鍵で復号されます。

    SSL/TLSで通信を暗号化するイメージイラスト
  4. 共通鍵を使用してデータを暗号化し、相手側で復号する安全な通信を実現します。

    SSL/TLSで通信を暗号化するイメージイラスト
  • 暗号化通信を有効にするには、あらかじめ、本機に機器証明書を導入してください。

  • SSL/TLSを使用して通信を暗号化するには、以下の手順でSSL/TLSを有効にしてください。

SSL/TLSを有効にする

1Web Image Monitorからネットワーク管理者としてログインする。

2[機器の管理]メニューで[設定]をクリックする。

本体画面のイラスト

3「セキュリティー」の[SSL/TLS]をクリックする。

4「SSL/TLS」で暗号化通信を有効にするプロトコルを選択し、通信方法の詳細を設定する。

本体画面のイラスト
  • SSL/TLS通信許可設定:以下から暗号化通信モードを選択します。

    • 暗号文優先:機器証明書が生成されているときは暗号化します。暗号化できないときは平文で通信します。

    • 暗号文/平文:Webブラウザーから「https」のアドレスで接続したときは暗号化します。「http」のアドレスで接続したときは平文で通信します。

    • 暗号文のみ:暗号化通信だけを許可します。暗号化できないときには通信しません。何らかの原因で暗号化できない状態のときは通信できません。そのときは、操作部の[システム設定][インターフェース設定]タブ[SSL/TLS通信許可設定]から一時的に[暗号文/平文]に変更し、設定を確認してください。

      [設定]の画面タイプを[従来]にしているときの例で手順を説明しています。[標準]の画面タイプを使用しているときは、以下の画面で設定してください。

      • [システム設定][ネットワーク/インターフェース][通信のセキュリティー][SSL/TLS通信許可設定]

      [従来]の設定画面タイプと[標準]の設定画面タイプでは、設定項目名が異なることがあります。

      設定項目対応表(従来:標準)

  • SSL/TLSバージョン:TLS1.2、TLS1.1、TLS1.0、SSL3.0の有効/無効を設定します。必ず1つ以上を有効にします。

  • 暗号強度設定:AES、3DES、RC4で使用する暗号化アルゴリズムを設定します。必ず1つ以上を設定します。

  • 鍵交換:RSA鍵交換の有効/無効を設定します。

  • ダイジェスト:SHA-1ダイジェスト(ハッシュ)の有効/無効を設定します。

5[OK]をクリックする。

6設定が終わったら[OK]をクリックし、Webブラウザーを終了する。

SMTPサーバーとの通信を暗号化するときは、続けて以下の手順で「SSL」を[利用する]に変更してください。

SMTPサーバーとの通信経路を暗号化する

1操作部からネットワーク管理者としてログインする。

2ホーム画面で[設定]を押す。

本体画面のイラスト

[標準]の画面タイプを使用しているときは、以下の画面で設定してください。

  • [システム設定][送信(メール/フォルダー)][メール][SMTPサーバー]

3設定画面で[本体機能設定]を押す。

4[システム設定][ファイル転送設定]タブ[SMTPサーバー]と押し、設定画面を表示する。

5「SSL」の[利用する]を押す。

本体画面のイラスト
  • 設定後、ポート番号が465(SMTP over SSL)に変更されます。SMTP over TLS(STARTTLS)で暗号化するときは、ポート番号を587に変更してください。

  • ポート番号を465/587以外に設定したときは、SMTPサーバーの設定に従って暗号化されます。

6[設定]を押す。

7設定が終わったら、ホーム()を押す。

補足

  • SMTPサーバーでSSLを利用すると、インターネットファクスは必ずSMTPサーバーを経由して送信されます。

S/MIMEで本機から送信されるメールを暗号化する

S/MIME(Secure/Multipurpose Internet Mail Extensions)とは、メールのセキュリティーを向上するための暗号化方式のことです。S/MIMEを設定すると、メールの内容や添付ファイルを暗号化したり、電子署名を付けて送信したりできます。

S/MIMEで本機から送信されるメールを暗号化するイメージイラスト
  • S/MIMEに対応したユーザーと対応していないユーザーに同時に送信したときは、対応したユーザーのメールだけが暗号化されます。

  • S/MIMEに対応したメールソフトで受信する必要があります。

  • メールの暗号化と電子署名の添付は、どちらか一方の機能だけを使用することもできます。

  • メールに電子署名を付けて送信するときは、ユーザー証明書は必要ありません。自己証明書/認証局証明書を導入するに従って機器証明書を導入してから、電子署名の添付設定をしてください。

ユーザー証明書を対象ユーザーに登録する

メールを暗号化するときは、ユーザー証明書を対象ユーザーに登録します。

あらかじめ、ユーザー証明書を用意してください。本機に導入できるユーザー証明書は、「DER Encoded Binary X.509」、「Base 64 Encoded X.509」、「PKCS #7 証明書」の3種類です。

1Web Image Monitorからユーザー管理者としてログインする。

2[機器の管理]メニューで[アドレス帳]をクリックする。

本体画面のイラスト

3証明書を導入するユーザーにチェックを付け、[詳細入力]タブの[変更]をクリックする。

本体画面のイラスト

4「メール」カテゴリーで、証明書の導入に必要な設定をする。

本体画面のイラスト
  • メールアドレス:ユーザーのメールアドレスを入力します。

  • ユーザー証明書:[変更]をクリックし、使用するユーザー証明書を指定します。

5[OK]をクリックする。

6設定が終わったら[OK]をクリックし、Webブラウザーを終了する。

続けて、以下の手順で暗号化の詳細を有効にしてください。

暗号化のアルゴリズムや電子署名の添付設定をする

1Web Image Monitorからネットワーク管理者としてログインする。

2[機器の管理]メニューで[設定]をクリックする。

本体画面のイラスト

3「セキュリティー」の[S/MIME]をクリックする。

4メールの暗号化と電子署名の設定をする。

暗号化

  • 暗号化アルゴリズム:S/MIMEの暗号化に使用する共通鍵の暗号アルゴリズムを選択します。ユーザーのメールソフトでサポートしている暗号化アルゴリズムを指定します。

署名

  • 証明書状態:S/MIME用に設定されている証明書が表示されます。

  • ダイジェストアルゴリズム:署名に使用するダイジェストアルゴリズムを選択します。

  • スキャナーでのメール送信、ファクス転送時、ファクスでのメール送信、ファクスでの送信結果メール通知、ドキュメントボックス(ユーティリティー)蓄積文書転送時:各機能でメールや文書を送信/転送するときに、署名の添付を個別に選択できるようにするかを設定します。

動作モード

  • 動作モード:証明書の有効期限をチェックするタイミングを選択します。

    • セキュリティー優先:あて先を選択したときと、[スタート]を押したときにチェックします。ユーザーへのレスポンスに時間がかかりますが、情報セキュリティーの国際評価規格(CC認証)を満たす環境下で適切に動作します。

    • パフォーマンス優先:ユーザー証明書はあて先を選択したとき、機器証明書は[スタート]を押したときにチェックします。情報セキュリティーの国際評価規格(CC認証)の基準を満たしませんが、[セキュリティー優先]を選択したときよりもユーザーへのレスポンスが早くなります。

5[OK]をクリックする。

6設定が終わったら[OK]をクリックし、Webブラウザーを終了する。

補足

  • メールに電子署名を添付したときは、メールの「From」に管理者のメールアドレス、「Reply-To」に「送信者」として選択したユーザーのメールアドレスが設定されます。

  • メモリー転送や時刻指定送信などで自動的にメール送信した場合に、証明書の有効期限外エラーが発生したときは、送信者か管理者用メールアドレスに平文のメールで通知されます。また、ログ収集機能を有効にしておくと、エラー内容をジョブログで確認できます。

  • ログを収集する

  • [設定]の画面タイプを[標準]にしているときは、以下を参照してください。設定項目名は[従来]の画面タイプと異なることがあります。

  • 設定項目対応表(従来:標準)

機器管理ソフトウェアとのSNMPv3通信を暗号化する

Ridoc IO Device Managerなどを使用してネットワーク経由で機器を監視するときは、プロトコルにSNMPv3を使用することで通信データを暗号化できます。

機器管理ソフトウェアとのSNMPv3通信を暗号化するイメージイラスト

[設定]の画面タイプを[従来]にしているときの例で手順を説明しています。[標準]の画面タイプを使用しているときは、以下の画面で設定してください。

  • [システム設定][ネットワーク/インターフェース][SNMPv3通信許可設定]

[従来]の設定画面タイプと[標準]の設定画面タイプでは、設定項目名が異なることがあります。

設定項目対応表(従来:標準)

1操作部からネットワーク管理者としてログインする。

2ホーム画面で[設定]を押す。

本体画面のイラスト

3設定画面で[本体機能設定]を押す。

4[システム設定][インターフェース設定]タブ[SNMPv3通信許可設定]と押し、設定画面を表示する。

5[暗号化のみ]を押す。

本体画面のイラスト

6[設定]を押す。

7設定が終わったら、ホーム()を押す。

補足

  • Ridoc IO Device Managerから本機の設定を変更するときは、[管理者登録/変更]でネットワーク管理者に暗号パスワードを設定し、Ridoc IO Device ManagerのSNMPアカウントにそのパスワードを登録してください。

印刷ジョブのログインパスワードを暗号化する

プリンタードライバーに設定するログインパスワードや、IPP印刷時のパスワードを暗号化することで、パスワード解析に対する安全性を強化できます。

印刷ジョブのログインパスワードを暗号化するイメージイラスト
  • 社内LANから印刷するときは、ドライバー暗号鍵を設定します。

  • 外部のネットワークからIPP印刷するときは、IPP印刷のパスワードを暗号化します。

  • [設定]の画面タイプを[従来]にしているときの例で手順を説明しています。

  • [従来]の設定画面タイプと[標準]の設定画面タイプでは、設定項目名が異なることがあります。

    設定項目対応表(従来:標準)

ドライバー暗号鍵を設定してパスワードを暗号化する

本機で設定したドライバー暗号鍵をプリンタードライバーにも設定することで、パスワードが暗号化/復号化されます。

1操作部からネットワーク管理者としてログインする。

2ホーム画面で[設定]を押す。

本体画面のイラスト

[標準]の画面タイプを使用しているときは、以下の画面で設定してください。

  • [システム設定][管理者向け設定][セキュリティー][セキュリティー強化設定]

3設定画面で[本体機能設定]を押す。

4[システム設定][管理者用設定]タブ[セキュリティー強化]と押し、設定画面を表示する。

5「ドライバー暗号鍵」の[変更]を押す。

本体画面のイラスト

6ドライバー暗号鍵として使用する任意の文字列を入力し、[OK]を押す。

7[設定]を押す。

8設定が終わったら、ホーム()を押す。

9ドライバー暗号鍵をネットワーク管理者からユーザーに連絡し、ユーザーのパソコンに設定されているプリンタードライバーにドライバー暗号鍵を設定する。

  • 必ず本機に設定したドライバー暗号鍵と同じ文字列を入力してください。

  • RPCSプリンタードライバーのときは、[プリンターのプロパティ][応用設定]タブでドライバー暗号鍵を入力できます。

IPP印刷のパスワードを暗号化する

IPPプロトコルを使用した印刷では、認証方法を[DIGEST]にするとIPP認証のパスワードが暗号化されます。アドレス帳のユーザー情報とは別に、IPP認証用にユーザー名とパスワードを登録します。

1Web Image Monitorからネットワーク管理者としてログインする。

2[機器の管理]メニューで[設定]をクリックする。

本体画面のイラスト

3「セキュリティー」カテゴリーの[IPP認証]をクリックする。

4「認証」で「DIGEST」を選択する。

本体画面のイラスト

5ユーザー名とパスワードを入力する。

6[OK]をクリックする。

7設定が終わったら、Webブラウザーを終了する。

本機とKDCとの通信を暗号化する

Windows認証やLDAP認証でKerberos認証を使用するときに、本機とKDC(Key Distribution Center)サーバー間の通信を暗号化し、通信の安全性を確保します。

KDCサーバーの種類により、サポートする暗号化アルゴリズムは異なります。

1Web Image Monitorから機器管理者としてログインする。

2[機器の管理]メニューで[設定]をクリックする。

本体画面のイラスト

3「機器」カテゴリーの[Kerberos認証]をクリックする。

4有効にする暗号化アルゴリズムを選択する。

本体画面のイラスト
  • DES3-CBC-SHA1をサポートしているのはHeimdalだけです。

  • DES-CBC-MD5は、Windows Server 2008 R2以降の環境ではOSの設定で有効にすると使用できます。

5[OK]をクリックし、Webブラウザーを終了する。