使用説明書RICOH P 501/500

セキュリティー強化機能を設定する

ユーザー認証や、管理者による機器の使用制限だけではなく、機器が通信する情報やアドレス帳などのデータを暗号化し、セキュリティーを強化できます。

1[メニュー]キーを押します。

2操作権限を持つ管理者がログインします。

ログイン方法は、管理者のログイン方法を参照してください。

3上矢印キー][下矢印キー]キーを押して[セキュリティー管理]を選択し、[OK]キーを押します。

本体画面のイラスト

4上矢印キー][下矢印キー]キーを押して[セキュリティー強化]を選択し、[OK]キーを押します。

5上矢印キー][下矢印キー]キーを押して設定を変更する項目を選択し、[OK]キーを押します。

6設定を変更し、[OK]キーを押します。

7ログアウトします。

ログアウト方法は、管理者のログアウト方法を参照してください。

手順5で変更できる設定項目は以下のとおりです。

ドライバー暗号鍵

ネットワーク管理者が設定します。

ベーシック認証、Windows認証、LDAP認証を利用しているときに表示されます。

ユーザー認証を設定しているときに、各ドライバーから送信されたログインパスワードや文書パスワードを復号するためのキー文字列を設定します。

ドライバー暗号鍵を設定するときは本機で設定した暗号鍵をドライバーに入力してください。

設定方法は、ドライバー暗号鍵を設定するを参照してください。

ドライバー暗号鍵:暗号強度設定

ネットワーク管理者が設定します。

ドライバーから本機へジョブを送信するときの暗号強度を設定します。

本機がジョブに付加されているパスワードの暗号強度を確認し、ジョブを処理します。

[簡易暗号]に設定したときは、ユーザー認証に対応しているすべてのジョブを受け付けます。

[DES]に設定したときは、DES、またはAESで暗号化されたジョブを受け付けます。

[AES]に設定したときは、AESで暗号化されたジョブを受け付けます。

[AES]または[DES]に設定したときは、プリンタードライバーで暗号化を設定します。プリンタードライバーの設定については、プリンタードライバーのヘルプを参照してください。

  • AES

  • DES

  • 簡易暗号

工場出荷時の設定:簡易暗号

個人情報表示制限

機器管理者が設定します。

ベーシック認証、Windows認証、LDAP認証を利用しているときに表示されます。

ユーザー認証を設定しているときに設定できます。個人認証ができない接続方法でジョブ履歴を確認するとき、個人情報をすべて「********」表示できます。たとえば、管理者として認証されていない場合に、ネットワーク上のパソコンから操作するWeb Image MonitorからSNMPを使ってジョブ履歴を確認するときは、個人情報がわからないように「********」表示にできます。(Web Image Monitorとは、Webブラウザーを使用して本機の監視や設定ができる、本機に搭載されている管理ツールです。)登録者の情報がわからないため、不特定のユーザーに登録した文書の情報が漏れることを防止できます。

  • する

  • しない

工場出荷時の設定:しない

アドレス帳暗号化

ユーザー管理者が設定します。

本機のアドレス帳情報を暗号化します。

内部の部品が流出したときでも、暗号化によりアドレス帳の情報を読み取ることはできません。

設定方法は、アドレス帳を暗号化するを参照してください。

  • する(暗号鍵の入力)

  • しない

工場出荷時の設定:しない

文書保護強化

文書管理者が設定します。

パスワード設定によって、文書の印刷、消去などの操作が制限され、不特定の人による文書アクセスは避けられますが、パスワードが破られることもあります。

文書保護強化を設定したとき、誤ったパスワードを10回入力すると文書はロックされ、アクセスできなくなります。何度もパスワードを入力して、パスワードを解除しようとする不正なアクセスから文書を保護できます。

文書管理者だけ、ロックされた文書のロックを解除できます。

文書がロックされるとそれ以降は正しいパスワードを入力しても照合は失敗します。

  • する

  • しない

工場出荷時の設定:しない

実行中ジョブへの認証の実施

機器管理者が設定します。

ベーシック認証、Windows認証、LDAP認証を利用しているときに表示されます。

本機のジョブキャンセルなどの操作に認証を必要とするか、不要とするか設定できます。

[ログイン権限]に設定すると、認証の許可があるユーザーと機器管理者が操作できます。[ログイン権限]の設定が有効で、すでにユーザーが本機にログイン中のときは認証を要求されません。

[アクセス権限]に設定すると印刷をしたユーザーと機器管理者が操作できます。

[ログイン権限]に設定し、ユーザーが本機にログインできるときでも、本機の操作権限がユーザーになければ、印刷ジョブのキャンセルはできません。

「ユーザー認証管理」を設定しているときだけ、「実行中ジョブへの認証の実施」の設定ができます。

  • ログイン権限

  • アクセス権限

  • しない

工場出荷時の設定:しない

@Remoteサービス

機器管理者が設定します。

[禁止する]に設定すると、RICOH @RemoteサービスのためのHTTPS通信を停止できます。[禁止する]に設定するときは、サービス実施店に相談してください。

[一部禁止する]に設定すると、リモート接続での設定変更などができなくなり、セキュアな運用に最適です。

  • 禁止する

  • 禁止しない

工場出荷時の設定:禁止しない

ファームウェアアップデート

機器管理者が設定します。

ファームウェアアップデートを許可するかしないかを設定します。ファームウェアアップデートとは、カスタマーエンジニアによる本機のファームウェア更新、また、ネットワーク経由でのファームウェア更新を意味します。

[禁止する]を選択すると、ファームウェアアップデートを実行できません。

[禁止しない]を選択したとき、ファームウェアアップデートの制限は無効になり、アップデートを実行できます。

  • 禁止する

  • 禁止しない

工場出荷時の設定:禁止しない

構成変更

機器管理者が設定します。

ファームウェア構成変更を監視するかしないかを設定します。ファームウェア構成変更とはSDカードの抜き差し、または異なった機種のSDカードの挿入を意味します。

[禁止する]を選択すると、ファームウェアの構成変更があったとき、本機は起動時に構成変更を検知して停止し、管理者のログインを要求するメッセージが表示されます。

機器管理者でログインすると、更新されたファームウェアで本機が起動します。画面に変更されたファームウェアのバージョンが表示され、管理者は構成変更が正当なものか不正なものかを確認できます。不正な構成変更のときは、サービス実施店に連絡してください。

ファームウェア構成変更を[禁止する]に設定するときは、「管理者認証管理」を有効に設定しておくことが必要です。

[禁止する]に設定したあとに、「管理者認証管理」を一度無効にし、再度「管理者認証管理」を有効に設定したとき、ファームウェア構成変更の設定は初期値の[禁止しない]に戻ります。

[禁止しない]に設定したとき、構成変更の検知は無効です。

  • 禁止する

  • 禁止しない

工場出荷時の設定:禁止しない

パスワードポリシー

ユーザー管理者が設定します。

ベーシック認証を利用しているときに表示されます。

パスワードの複雑度と使用できる最小文字数を設定できます。複雑度と最小文字数の両方の条件をみたすパスワードだけ設定できます。

[複雑度1]に設定したとき、英大文字、英小文字、10進数の数字、記号(#など)から2種類以上を組み合わせてパスワードを設定します。

[複雑度2]に設定したとき、英大文字、英小文字、10進数の数字、記号(#など)から3種類以上を組み合わせてパスワードを設定します。

  • 複雑度1

  • 複雑度2

  • 制限しない

工場出荷時の設定:制限しない、最小文字数なし

SNMPv1,v2による設定

ネットワーク管理者が設定します。

SNMPv1、v2プロトコルでアクセスしたときは、個人認証ができないため、用紙設定など機器管理者が管理する設定が変更されることがあります。[禁止する]に設定すると、SNMPv1、v2を使った設定はできません。確認だけできます。

  • 禁止する

  • 禁止しない

工場出荷時の設定:禁止しない

アクセスセキュリティー設定

機器管理者が設定します。

ネットワーク接続を使用したアプリケーションで機器にログインしようとしたとき、ユーザーの認証操作と機器内部の認証動作の回数が揃わず、そのユーザー名でのログインが禁止されることがあります。

たとえば、アプリケーションから複数部数の印刷指示をするときなどにログインできないことがあります。

「アクセスセキュリティー設定」を[する]に設定すると、そのような誤ったロックアウトを回避できます。

  • 設定する

    • 攻撃拒否時間

      同一のユーザーIDとパスワードによる連続アクセスを除外拒否する時間を設定します。

      「0-60」分の範囲で設定します。

      工場出荷時の設定:15分

    • ユーザー管理対象数

      「アクセスセキュリティー設定」で管理できるユーザー情報の管理件数を設定します。

      「50-200」件の範囲で設定します。

      工場出荷時の設定:200件

    • パスワード管理対象数

      「アクセスセキュリティー設定」で管理できるパスワード情報の管理件数を設定します。

      「50-200」件の範囲で設定します。

      工場出荷時の設定:200件

    • 状態監視間隔

      「ユーザー管理対象数」と「パスワード管理対象数」を監視する処理の間隔を設定します。

      「1-10」秒の範囲で設定します。

      工場出荷時の設定:3秒

  • 設定しない

工場出荷時の設定:設定しない

パスワード攻撃検知

機器管理者が設定します。

設定した測定時間内に許容回数を超えるパスワードの認証失敗が発生したとき、パスワード攻撃と判定します。アクセスログを残すとともに、メールで機器管理者に通知します。

許容回数を「0」に設定したときは、パスワード攻撃を検知しません。

  • 許容回数

    連続したパスワードの認証失敗数をパスワード攻撃として検知しない最大許容回数を設定します。

    「0-100」回の範囲で設定します。

    工場出荷時の設定:30回

  • 測定時間

    連続したパスワードの認証失敗数をカウントする間隔を設定します。

    測定時間を超えると、累積されたパスワードの認証失敗回数はクリアされます。

    「0-10」秒の範囲で設定します。

    工場出荷時の設定:5秒

補足

  • 「許容回数」や「測定時間」の設定の値により、頻繁に検出メールを受信することがあります。

  • メールの受信が頻繁に発生するときは、内容を確認し、設定値を見直してください。

アクセス攻撃検知

機器管理者が設定します。

設定した測定時間内に許容回数を超えるログイン要求が発生したとき、アクセス攻撃と判定します。アクセスログを残すとともにメールにて機器管理者に通知します。操作部とネットワーク上のパソコンから操作するWeb Image Monitorにメッセージが表示されます。(Web Image Monitorとは、Webブラウザーを使用して本機の監視や設定ができる、本機に搭載されている管理ツールです。)

許容回数を「0」に設定したときは、アクセス攻撃を検知しません。

また、「認証遅延処理時間」を設定すると、アクセス攻撃検出時のログイン要求への応答時間を遅らせ、アクセス攻撃によるシステムダウンを防止できます。

「認証遅延処理時間」の設定時に、「同時アクセス管理対象数」を超えるホストからアクセスがあったときは、監視不能となり監視不能検出ログが残されます。

  • 許容回数

    過剰なアクセス回数をアクセス攻撃として検知しない最大許容回数を設定します。

    「0-500」回の範囲で設定します。

    工場出荷時の設定:100回

  • 測定時間

    過剰なアクセス回数をカウントする間隔を設定します。

    測定時間を超えると累積されたアクセス回数はクリアされます。

    「10-30」秒の範囲で設定します。

    工場出荷時の設定:10秒

  • 認証遅延処理時間

    アクセス攻撃を検出したときに、ログイン要求への応答を遅らせる時間を設定します。

    「0-9」秒の範囲で設定します。

    工場出荷時の設定:3秒

  • 同時アクセス管理対象数

    アクセス攻撃を検出して応答時間を遅らせたとき、受け付ける認証要求の件数を設定します。

    「50-200」件の範囲で設定します。

    工場出荷時の設定:200件

補足

  • 「許容回数」や「測定時間」の設定の値により、頻繁に検出メールを受信することがあります。

  • メールの受信が頻繁に発生するときは、内容を確認し、設定値を見直してください。