Embed Size (px)
Citation preview
富士ゼロックス情報セキュリティ報告書~ 2010年度 ~
12 基本情報
13 富士ゼロックスの 情報セキュリティに対する考え方
14 情報セキュリティ推進体制
16 社内の情報セキュリティへの 取り組み
19 サービス・商品・技術開発における 情報セキュリティへの取り組み
14 第三者評価・認証
Contents
基本情報
富士ゼロックスが本報告書を発行している目的と本報告書の対象期間、対象範囲などは、次の通りです。
本報告書の目的
本報告書の責任部署・お問い合わせ先
本報告書の対象期間
対象範囲
本報告書は、富士ゼロックス株式会社(以下、「富士ゼロック
ス」)の情報セキュリティへの取り組みをステークホルダー1)の皆
様に説明し、事業への信頼性を高めていただくことを目的として発
行しています。本報告書の内容は、情報セキュリティの効果を阻害
しない範囲で、ステークホルダーの皆様に開示することが適当で
あると判断した情報を記載しています。
〒107-0052 東京都港区赤坂九丁目7番3号
富士ゼロックス株式会社 総務部リスク管理グループ
TEL:03-6271-5145 総務部(代表)
本報告書が対象とする期間は、2009年4月1日~2010年3月
31日とします。
本報告書が対象とする組織は、富士ゼロックスおよび関連会社2)
(以下、「全社」)とします。
1)本報告書における「ステークホルダー」とは、お客様、従業員、取引先、株主、地域住民、その他の利害関係者とします。
2)「関連会社」とは、富士ゼロックス株式会社が議決権の過半数を直接または間接に保有する会社とします。個々の関連会社については、http://www.fujixerox.co.jp/company/about/japan.htmlをご参照ください。
2
お客様のダントツな満足を目指して
高度な情報活用と情報セキュリティの確保
図1 情報セキュリティの考え方
富士ゼロックスは、「CSR(企業の社会的責任)は経営そのもので
ある」との考え方に立ち、「お客様のダントツな満足」をCSRの視点
から優先すべき経営目標の一つと位置付けています。これを実現
するためには、お客様が安心して富士ゼロックスの商品・サービス
をご利用いただけるように、当社の業務プロセス全体の情報セキュ
リティに万全を期すことが必要です。
富士ゼロックスは、ビジネス上で取り扱う機会が多いお客様の
個人情報やお客様からお預かりする重要な情報資産を、漏えいや
改ざんなどの脅威から確実に守ることが重要と考えています。その
ために、全従業員が情報セキュリティ活動に参加し、課題を把握
富士ゼロックスは、ブロードバンド環境を積極的に活用する
ユビキタス時代の新たな働き方と、オフィス、企業、国や地域と
いった枠組みを超えて知と知のコラボレーションを実現し、より
フレキシブルに働けるオープンなオフィス環境をお客様に提供し
たいと考えています。このような高度な情報活用は、それに見合っ
た情報セキュリティがあってはじめて実現可能となります。つまり、
情報セキュリティを確保することは、オープンなオフィス環境を実
し、改善するマネジメントプロセスを継続することで、情報セキュ
リティのレベルアップを図っています。また、このような情報セキュ
リティの実践活動において、さまざまな手法や工夫を試みて、その
成功体験に基づいてお客様にソリューション・サービスを提供する
「言行一致活動」を推し進めています。このような「言行一致活動」
を通じて、お客様および社会の情報セキュリティに貢献できるよう
努めています。
また、その一方で、自らの企業価値を維持するため、自社の経営情
報や技術情報の機密保持にも力を入れています。
現する必須要件であると考えています。
富士ゼロックスの情報セキュリティへの取り組みにおいては、安
全性と利便性の適切なバランスに配慮しつつ、個人情報保護など
のコンプライアンスを実現するため、マネジメント体制を整備し、
適切なIT技術を導入しています。また、日々の業務において従業員
一人ひとりが情報セキュリティに対する感性を高め、自律的な行
動を取れるようになることが重要であると考えています。
富士ゼロックスの情報セキュリティに対する考え方
富士ゼロックスは、「GoToCustomers」を合言葉に、「お客様のダントツな満足」を得られる商品やサービスの提供に努めています。商品やサービスの提供プロセスの中で、お客様が重要な情報資産を当社に安心してお預けいただけるパートナーとなるために、情報セキュリティは当社にとって、極めて重要なテーマです。
CSR(企業の社会的責任)経営
お客様・自社の
情報資産のセキュリティ
安心・安全な
ソリューション・サービスの提供
お客様のダントツな満足
言行一致活動
3
情報セキュリティ推進体制
富士ゼロックスの情報セキュリティ推進体制は、本社を中心とした全社共通の情報セキュリティ推進機能と、この共通取り組みの土台の上に位置する、営業(国内、海外)、研究・開発・生産、関連会社などの領域ごとに運用される情報セキュリティ推進機能(部門の情報セキュリティ)の2階層から構成されています。2009年10月より、全社共通の情報セキュリティ推進機能は、全社のリスクマネジメント機能の一機能として運用されています。
全社の情報セキュリティマネジメント体制
本社組織の役割
❶ 総務部リスク管理グループ総務部リスク管理グループの情報セキュリティの役割は、まず、
本社組織として全社共通の情報セキュリティ方針・規程・ルール
をつくることです。次にこれらに基づく全社統制、監視活動、統制
環境の整備などを行ない、社内実践事例の構築やノウハウの蓄
積による成果を全社およびお客様へ展開(「言行一致活動」)する
ことです。
❷ 情報通信システム部/FXIS情報通信システム部は、本社組織として全社のIT統括を担当し、
IT戦略の策定とITマネジメントの推進を行なっています。セキュリ
ティ面ではITセキュリティにかかわる方針・規程・ルールを策定し
遵守状況をモニタリングする役割を担っています。
FXISは、1984年9月、富士ゼロックスが100%出資して設立さ
れました。その後、富士ゼロックスから情報システム部門の機能の
一部とホストコンピューターやネットワーク回線などのインフラ資
産の移管を受け、ITシェアード会社として情報システムのシステ
ム主管を担当し、全社の社内システムの企画・開発・運用とネット
ワークインフラの企画・運用管理を担当しています。
ITセキュリティにおいては、インターネット接続環境における
ファイアウォール、リモートアクセスや各種業務システムの利用に
おける個人認証、コンピューターウイルス対策などコンピューター
システムに対するセキュリティ対策実施の役割を担っています。
富士ゼロックスの全社共通の情報セキュリティ推進機能は、全
社リスクマネジメントの一機能として、本社 総務部リスク管理グ
ループが担当しています。
情報セキュリティ対策の実効性を高めるために、ファイアウォー
ルや個人認証などの技術的な対策と、ルール整備や教育・啓発など
の人的・組織的な対策を両輪としたセキュリティ対策を推進してい
ます。この考えに基づき、総務部リスク管理グループでは、ITによる
情報セキュリティを担当する情報通信システム部および富士ゼロッ
クス情報システム株式会社(以下、「FXIS」)と連携して、全社の情報
セキュリティを推進しています(図2)。
図2 情報セキュリティマネジメント体制
本部・部門・関連会社の情報セキュリティ
国内営業
海外営業
国内販売会社
海外販売会社
生産関連会社
研究・開発・生産
関連会社
全社の情報セキュリティ
社長 情報セキュリティ担当役員
情報システム担当役員
本社 総務部リスク管理グループ・全社リスクマネジメント・全社情報セキュリティマネジメント
・全社ITマネジメント・ITセキュリティ
本社 情報通信システム部/FXIS
2010年7月1日現在
4
本部・部門および関連会社の役割
情報セキュリティにかかわる会議体
本社が全社共通の情報セキュリティ対策を担うのに対し、現場
における従業員一人ひとりのレベルで情報セキュリティを徹底す
るために、共通課題を抱える複数の組織の集合体や関連会社ごと
に、現場主体で情報セキュリティに取り組んでいます。
情報セキュリティなどリスクマネジメントにかかわる意思決定機
関は、富士ゼロックスの社長が議長を務めるCSR会議です。ここで
は、情報セキュリティに関する重要な方針などの審議・決定や、大規
模な情報漏えい時の対応方針の審議・決定をします。
図3 情報セキュリティ関連会議体
情報セキュリティ関連会議体
さらに、CSR会議の下部機関として情報セキュリティ連絡会を設
置し、情報セキュリティマネジメントにかかわる各種施策について
の審議・決定・展開や情報セキュリティ事故に対する対策・再発防止
策の審議・決定・進捗管理を行ないます(図3)。
(議長:社長)
CSR会議
情報セキュリティ連絡会
(議長:リスクマネジメント担当役員)
2010年4月1日現在
(議長:情報セキュリティ担当役員)
リスク対策検討会
5
社内の情報セキュリティへの取り組み
個人情報保護法への対応をきっかけに、ITセキュリティ主体の取り組みから、情報セキュリティガバナンスの取り組みに移行しました。現在は、ガバナンスの強化に加え、ワークフローシステムなどを導入することで、情報セキュリティ業務の標準化・効率化にも取り組んでいます。今後は、全社重大リスクの抽出活動など、より予防的な対応に力を入れていきます。
情報セキュリティガバナンスの取り組み
下図(図4)のように、1999年に情報セキュリティに関する全社
規程を整備し、コンピューターウイルス対策や不正アクセス対策な
どを推進してきました。
2005年からは、個人情報、お客様からの預かり情報や社内の
営業秘密など重要な情報を適切に管理するため、これまでのITセ
キュリティ主体の活動から、情報セキュリティの専門部署による全
社的なガバナンス活動に移行しました。
この活動の中で、規程類の再構築、全社情報セキュリティ体制、
会議体の整備、情報セキュリティ事故報告の仕組みの展開、eラー
ニングによる全社教育の実施、ポスターやシールなどセキュリティ
啓発グッズの企画、情報セキュリティ報告書の発行など、情報セ
キュリティガバナンスの基盤を整備してきました。
2008年からは、社外持ち出しPCのセキュリティ強化、各種ガイ
ドライン(委託先管理、有事対応、在宅勤務に関する詳細ルール)
の整備などのガバナンス強化に加え、事故報告書管理システムや
Webフィルタリング解除申請などの申請手続きシステムの導入と
いった、IT活用による情報セキュリティ業務の標準化・効率化を推
進しています。
今後の情報セキュリティガバナンスの取り組みとしては、全社重
大リスクの抽出とリスク対応を進め、より予防的な対応に力を入
れていくとともに、ASP、SaaS、クラウドなど新たな技術・サービ
ス活用における適切な情報管理の仕組みづくりを進めていきます。
今後も全社をあげて、社内の情報セキュリティ意識の醸成と情
報セキュリティ事故の撲滅に取り組んでいきます。
図4 社内の情報セキュリティ活動のあゆみ
セキュリティレベル
年代
・ITセキュリティ規程の整備・コンピューターウイルス対策・不正アクセス対策など
1999~ITセキュリティ主体の取り組み
・規程類の再構築・体制・会議体の整備・事故報告の仕組みの展開など
2005~全社情報セキュリティガバナンスの取り組み
・ガイドライン拡充・事故報告書管理システム、セキュリティ申請手続きシステムの導入・海外ガバナンスの強化など
2008~ガバナンス強化と標準化・効率化
・重大リスクの抽出・ASP、SaaS等活用のセキュリティ・現場対応力の強化など
2010~重大リスクへの対応と現場対応力の強化
6
❸在宅勤務における情報セキュリティガイドライン展開 昨今、ワーク・ライフ・バランスへの配慮などから在宅勤務を導
入する企業が増えつつあり、従業員の勤務形態にも変化が生じて
います。在宅勤務の実施については、会社での勤務とは異なるさま
ざまなリスクが考えられます。たとえば、空き巣によるPCや紙文
書の紛失・盗難、私的情報環境と会社情報環境の混乱による情報
漏えいなどがあげられます。
そのため、在宅勤務においても情報セキュリティ事故を防止す
るために、可能な限りの対策をしておく必要があります。富士ゼ
ロックスは、情報セキュリティガイドラインを策定し、在宅勤務時
に遵守すべき情報セキュリティに関するルールを定め、全社に展
開しました。今後は、安全性や利便性に配慮しつつ、在宅勤務に携
わる職種や業務の多様化に応じて、本ガイドラインを順次見直して
いく予定です。
図5 FXセキュアPCの概念図
図6 ペーパーセキュリティ
図7 隠し印刷クリーンな初期状態
作業持ち出し
コピー
コピー
ペーパーセキュリティ対応機の場合
コピーできない!
プリントアウト
プリントアウト コピー
2009年度の主な全社実績
❶新しい社外持ち出しPC(FXセキュアPC)の導入これまで導入していた社外持ち出しPCのセキュリティ機能(①
ハードディスク全体暗号化)に加え、②再起動をすると自動的に持ち
出し前の状態に戻る機能(図5)、③持ち出しファイルのリストを作成
したり、ファイル削除後の完全消去を行なうツールを追加した、「FX
セキュアPC」の全社への導入を開始しました。
これにより、持ち出したファイルの消し忘れやファイルの大量蓄
積などによる情報漏えいリスクが低減され、より安全なPCのモバ
イル利用が可能になりました。
1.情報セキュリティガバナンス強化策
❷プリントセキュリティ機能の活用富士ゼロックスは、内部情報の漏えい防止のために、「情報セ
キュリティガイドライン:基本・行動編」で、印刷時のセキュリティ
対策のルールを定めました。
会社の機密情報を取り扱う本社会議体の会議資料を手始めとし
て、当社製品のトラストマーキング機能の運用を開始しました。
トラストマーキングには次のような機能があります。
1 ペーパーセキュリティ:プリント時にコードを埋め込み、 それを原稿とした複製ができない(図6)
2 隠し印刷 :プリント時に隠し文字を埋め込み、複製の 際に特定の文字が浮き出てくる(図7)
3 スタンプ印刷 :プリント時に受領者ごとの特定の文字を 印字する
再起動
7
❶情報セキュリティ事故報告システムの導入従来、国内外ともに情報セキュリティに関する事故の報告は、電
子メールによる報告書の送付でしたが、報告内容の標準化、利便
性および業務効率向上のため、当社製品のArcSuiteWorkflow
を利用した事故報告システム(図8)を独自に構築しました。
2009年度からは、すべての国内拠点で事故報告システムの運
用を開始しました。また、海外拠点においては、2010年度からシ
ステム運用を開始しました。
このシステムの導入により、報告者の利便性が向上したととも
に、事故情報がデータベースで一元管理され、事故分析の効率化
を図ることができました。また、報告書の原本である紙文書の保管
が不要となり、紙文書の削減という効果もありました(図9)。
これらの情報セキュリティ事故情報から得た分析結果を経営層
がレビューし、さまざまな予防策へとつなげています。
❷情報セキュリティ申請手続きシステムの導入業務上の必要性からWebフィルタリングを解除したり、使用禁
止ソフトを例外使用したりする場合、これまで当事者は申請書の
作成、捺印などが必要でした。しかし、作業量が多く、定型的な作
業であることから、情報セキュリティの各種申請手続きをWebに
よる申請システムに移行しました。
これにより、手続きを簡易化するだけでなく、承認状況を見える
化し、申請者は自分の申請状況を簡単に把握することができるよ
うになりました。さらに、承認までの手続きの時間短縮、申請書の
紙文書の削減、申請・承認の捺印作業の不要化、申請データの一
元管理などの効果も得ることができました。
今後は、情報資産管理などのシステム化について検討し、順次ト
ライアルを経て導入していく予定です。
図8 事故報告システムの画面(ArcSuiteWorkflowを利用) 図9 事故報告システムのフローの定義例
情報セキュリティ事...
事故報告 事故報告処理 報告内容確認処理
更新内容確認処理
更新処理受付処理
社内の情報セキュリティへの取り組み
2.システム化による標準化と効率化
8
図10 リスク評価のイメージ図 図11 委託先の管理監督強化プロセス
サービス・商品・技術開発における情報セキュリティへの取り組み
富士ゼロックスのサービス・ソリューション・ビジネス、商品、技術開発における情報セキュリティへの取り組みについて、特徴的な活動をご紹介します。
サービス・ソリューション・ビジネスのセキュリティ品質向上
❶情報セキュリティリスク評価の実施全社をあげて力を入れているサービス・ソリューション・ビジネ
スの分野においては、お客様の大切な情報を取り扱うことから、富
士ゼロックスは情報セキュリティ事故を決して発生させてはなら
ないと考えています。
そのため、さまざまな角度からリスク評価を実施し、どのような
業務が情報セキュリティ上重大なリスクを抱えているかを評価し
ました(図10)。その結果に基づき、重要な業務を中心に情報セ
キュリティ点検を実施し、さまざまな予防策を策定し、実施してい
ます。
今後もお客様情報にフォーカスした情報セキュリティに関する
点検やリスク評価を定期的に行なうことで、全社で提供している
サービス・ソリューション・ビジネスのセキュリティ品質向上に努
めていきます。
❷委託先管理の強化委託先管理に関する既存の解説書を拡充して、正式なルールと
してガイドラインを策定し、個人情報や機密情報を取り扱う業務
の委託先の管理監督を強化しました(図11)。
このガイドラインでは、委託先の選定、契約交渉、委託業務開始
前準備、委託業務の実施、委託業務の終了といった一連のプロセ
スの中で、それぞれ実施すべき内容を盛り込みました。具体的には、
調査票(チェックリスト)によるヒアリング結果に基づく評価・選定、
個人情報保護および秘密保持条項を含むひな型契約の締結、安全
管理措置の取り決め、委託先・再委託先のモニタリングおよび預
託情報の廃棄・消去などについて定めました。
このガイドラインの適切な展開や運用を通じて、昨今問題とされ
ている委託先からの情報漏えいの未然防止を図っています。これ
により、当社に情報をお預けいただいているお客様により安心して
いただける環境を整備できたと考えます。リスクの評価
リスク名 種類 影響 脆弱性 ....
.... .... .... .... ....
.... .... .... .... ....
.... .... .... .... ....
.... .... .... .... ....
.... .... .... .... ....
.... .... .... .... ....
.... .... .... .... ....
リスクマップ
影響度
発生頻度
リスク○○
リスク◇◇
リスク△△リスク□□
リスク☆☆
リスク▽▽
監査実施計画
登録番号○-○○制定0000年00月
主管責任部※※※
監査結果報告書
0000年00月00日○╳株式会社情報管理部
作成:○╳株式会社╳╳事業部○○部
情報セキュリティチェックリスト
①委託先の選定
②契約交渉
③委託業務 開始前準備
④委託業務の 実施
⑤委託業務の 終了
9
情報セキュリティ商品のご提供
富士ゼロックスは、紙・電子・伝送路を考慮したセキュリティ対
策ソリューションを提案しています。
オフィスのドキュメントは、作成、伝達、共有、保管・廃棄という
ライフサイクルそれぞれの段階に情報漏えいや改ざんなどのリ
スクが潜んでいるため、トータルな視点に立ったセキュリティソ
リューションが求められます(図12)。また、ドキュメントの流通経
路におけるセキュリティを強化するネットワークセキュリティも重
要になります。
次に、当社社内でのセキュリティ対策としても実績があるIC
カードソリューション(「紙文書の情報漏えい抑止」)、電子文書
ハンドリングソフトウエアDocuWorks(「電子文書化による
セキュリティ強化」)、セキュアネットワークアウトソーシングサー
ビスbeat(「ネットワークセキュリティ対策」)の機能について
ご紹介します。
管理・共有 不正コピー・改ざん防止
伝達・配布誤送信抑止 作成・更新 放置プリント防止
保管・廃棄 不正な持ち出し防止
図12 ドキュメントライフサイクルとセキュリティ
10
プリンターやコピーから出力された紙文書の放置、ファクスの送り
先を間違える誤送信など、紙文書の情報漏えい対策を強化すること
で、より効果的なドキュメントセキュリティを実現します。
❶複合機とソフトウエア活用によるドキュメントセキュリティ(ApeosPortとApeosWareManagementSuiteの連携)
ドキュメントのポータルとなる複合機ApeosPort-IVをコア
に、各種機器とドキュメントの運用を管理する統合ソフトウエア
「ApeosWareManagement Suite」により、オフィス環境に合
わせた統合的セキュリティ環境を構築。紙から電子へ、電子から紙
へと形態を変えながら伝達、共有、保管を繰り返す各種ドキュメン
トのセキュリティを確保します。
また、紙文書の情報漏えい抑止のためのソリューションとして、
ICカード認証による放置プリントや不正コピーの抑止、スキャン
文書の漏えい抑止策などさまざまな仕組みの提供とログの取得管
理を統合的に行ないます。
さらに、この複合機のICカード認証を行なうことで次の関連
ソリューションも提供しています。
❷フィジカルセキュリティソリューション ICカードを利用した入退室管理・就業管理・PCセキュリティを
ICカード発行サービスまで含めて提供しています。
❸基幹出力におけるドキュメントセキュリティ 基幹システムからの帳票出力や、CADからの図面出力における
放置プリント抑止策を提供しています。
❹ファクス誤送信抑止(DocWaysSafetyFAX連携、F抑/F歴の連携) 複合機ApeosPortとの連携で、ファクス誤送信による情報漏え
い抑止策を提供しています。
電子化した文書の安全性を多彩なセキュリティ機能によって確
保し、セキュアなドキュメント環境を実現します。
❶DocuWorksによる電子文書セキュリティ デジタル複合機のスキャン機能を利用して、オフィスに溢れる紙
文書を電子化することで、情報の共有・活用を図ることができます。
また、電子文書の活用は、ネットワークを使って社内外とのやりと
りをスピーディに行なうことが可能です。その反面、コピーや内容
の変更が簡単にでき、漏えい・改ざんといったリスクも生じます。
電子文書と紙文書を一元管理し、ドキュメントの有効活用を促
進するドキュメント・ハンドリング・ソフトウエア「DocuWorks」
は、その多彩な文書セキュリティ機能により、電子文書の安全
性を確保し、セキュアな電子文書環境を実現します。さらに、
DocuWorksContext Service 2.0が提供する「コンテキスト・
セキュリティ」機能により、社外に持ち出した電子文書を閲覧でき
なくするなど高度な文書セキュリティを提供します(表1)。
表1 DocuWorksで実現可能な電子文書のセキュリティ対策
電子文書の漏えい防止対策
暗号化・操作制限による機密性確保パスワードセキュリティ(DocuWorks電子印鑑、電子証明書でも可能)
電子文書の改ざん防止対策
電子署名による証拠性・完全性の確保【署名機能】・DocuWorks電子印鑑
・電子証明書
紙文書の漏えい防止対策
出力文書の複写抑制・紙文書の管理意識向上TrustMarkingBasic(オプション)
サービス・商品・技術開発における情報セキュリティへの取り組み
1.紙文書の情報漏えい抑止
2.電子文書化によるセキュリティ強化
11
NPO日本ネットワークセキュリティ協会(JNSA)が公表している
「2009年情報セキュリティインシデントに関する調査報告書」に
よると、情報漏えいインシデントの約72.6%が依然として紙媒体を
経由しています。2007年には40%、2008年には56%と紙媒体に
よる漏えいの割合は増加する傾向にあり、電子文書のセキュリティ
対策に比べて遅れていることが分かります。
富士ゼロックスは、これらの状況を踏まえ、従来からの電子文書
だけでなく、紙文書も含めたお客様の情報資産を総合的に守るた
めに、さまざまなドキュメントにかかわるセキュリティ技術の研究・
開発に取り組んでいます。
セキュリティの技術開発のご紹介
ドキュメントセキュリティ技術
インターネットからのさまざまな脅威を防止するとともに、内部
要因によって発生する情報漏えいやコンピューターウイルスによ
る感染対策など、総合的なセキュリティ環境を高度な技術で提供
しています。
❶セキュアネットワークアウトソーシングサービス「beat」 beatは、強固なセキュリティ対策をワンストップで提供するセ
キュアネットワークアウトソーシングサービスです(図13)。
beat/entryサービスは小規模事業所向けに、beat/basicサー
ビスはより規模の大きな企業や複数の拠点を持つ企業向けに、
信頼できるネットワーク環境の提供を通して、お客様のビジネス
や業務を強力に支援します。
beat以外にも、次のソリューションを提供しています。
❷UTM(UnifiedThreatManagement:統合脅威管理)による統合ネットワークセキュリティ
不正侵入防止、ウイルス対策、スパムメール対策など、ネット
ワークセキュリティに必要な機能を統合したソリューションを提供
しています。
❸プロキシーサーバーによるWebセキュリティ Webアクセスの高速化も可能なWebセキュリティ強化策を提
供しています。
❹認証・暗号化によるセキュア無線LAN 最新の暗号化・認証機能で、高いセキュリティを実現した無線
LANを提供しています。
図13 beat-boxが守るオフィスのネットワーク環境
3.ネットワークセキュリティ対策
beatコンタクトセンター
beat-noc
外出先
プロバイダー
ブロードバンド回線
ルーター
● オンデマンドサービス for DocuWorks
(オプション)
● beat/entry リモート アクセスサービス (オプション)
お客様beat-box
ハブ
● ウイルス・スパイウェア対策● 不正アクセス防止● 不正な通信対策機能● 迷惑メール判定機能● beat コンテンツフィルター サービス(オプション)
● 複合機/プリンター管理機能 E-QIX連携機能
● 文書ストレージ(1GB)● 文書ストレージサービス (オプション)
データセンター24時間365日リモート監視自動アップデート
各種問い合わせや障害発生時に対応
● beat PCクライアント アンチウイルスサービス (オプション)
Internet
● 安心ファクス サービス (オプション)
● らくらくコピー /ecoコピー /らくらくスキャン
12
❶セキュリティ・ペーパーセキュリティ・ペーパーとは、磁性ワイヤーを普通紙に漉き込ん
だもので、それをセンサーが検知することにより、紙文書の情報漏
えいを物理的に監視する技術です。数十ミクロンと極めて細い磁
性ワイヤーを漉き込んだセキュリティ・ペーパーは、複合機・プリ
ンターで通常通りに印字できます。センサーを建物やオフィスの
出入り口に設置することで、セキュリティ・ペーパーを用いた機密
文書の不正持ち出しを検知できるため、不正行為の防止・監視が
可能になります(図14)。
また、複合機やシュレッダーにセン
サーを搭載することで、スキャンや複
写行為を禁止したり、誤って文書を廃
棄する行為を防止することもできます。
❷紙指紋紙指紋とは、紙繊維のパターンを使って、物理的に紙の一枚一
枚の識別を可能にする技術です。紙は木材パルプを原料とした細
かい繊維が絡み合ってつくられているため、この天然繊維の絡み
具合は一定ではありません。そのため、完全に同じ紙繊維のパター
ンを持つ紙が存在する可能性は非常に低く、この特性を活かして、
用紙一枚一枚の識別を可能としました(図15)。多少の曲げや、経
年変化による影響を受けにくく、長期にわたって識別を行なうこと
ができるため、重要文書の管理や、契約書や証明書、チケットなど
の偽造防止に応用できます。
❸DocumentSecurity&Traceability(DS&T)DS&Tとは、紙と電子の両方の文書を統合してセキュリティ管
理を可能とする技術です。現状、多くの業務において紙と電子の両
方の文書を取り扱っているにもかかわらず、両者が異なるセキュリ
ティ環境の下で管理されているため、一貫してセキュリティレベル
を保つことが困難になっています。
DS&Tでは、文書単位で付与される識別子(文書ID)によって、
紙文書と電子文書を一つのセキュリティ環境の下で管理し、文書
の利用制御や利用履歴管理の機能を提供します。また、セキュリ
ティ・グレード設定をスタンプ認識によって簡易に取り扱う機能も
提供しています(図16)。
富士ゼロックスは、お客様の
情報資産保護のため、今後も、
ドキュメントにかかわるセキュ
リティ技術のさらなる研究・開
発を推進します。
図14 セキュリティ・ペーパーによる 資料の不正持ち出し検知
図16 DS&Tによる紙・ 電子文書の統合管理
電子文書紙文書
利用者制御操作制御
利用履歴管理
セキュリティ・グレード管理
図15 紙指紋の原理
持ち出し禁止
サービス・商品・技術開発における情報セキュリティへの取り組み
①ドキュメント上のID(文書識別符号)を読み取る②紙繊維のパターンを読み取り、データ化する③紙繊維のパターンと記録データの照合を行なう
認識手順
比較
スキャン
記録データ
紙繊維のパターン
①
② ②
③
10110100・・・
10110100・・・
13
第三者評価・認証
情報セキュリティに関連した第三者評価・認証の取得状況についてご紹介します。
ISMS認証取得状況
プライバシーマーク認証取得状況
2002年にBS 7799-2:1999(ISO 27001の前身である英
国の情報セキュリティマネジメントシステム規格)をユーザー認
証サービスにおいて取得して以来、認証取得の範囲(組織、業務な
ど)をお客様接点に関する業務を中心に拡大してきました。現在で
は、下記の組織において認証取得しています(表2)。
お客様および社内の個人情報を適切に保護し、その運用がマネ
ジメントシステムとして定着するよう継続的な改善に取り組んで
います(表3)。
表2 ISO27001認証取得状況
表3 プライバシーマーク取得状況
取得組織名称
取得会社名称
富士ゼロックスシステムサービス(株)
(株)富士ゼロックス総合教育研究所
国内販売会社お客様接点に関連する領域
富士ゼロックス北海道(株)富士ゼロックス岩手(株)富士ゼロックス宮城(株)富士ゼロックス福島(株)富士ゼロックス新潟(株)富士ゼロックス茨城(株)富士ゼロックス栃木(株)富士ゼロックス群馬(株)富士ゼロックス埼玉(株)富士ゼロックス東京(株)富士ゼロックス多摩(株)富士ゼロックス千葉(株)
富士ゼロックス神奈川(株)富士ゼロックス山梨(株)富士ゼロックス長野(株)富士ゼロックス静岡(株)富士ゼロックス北陸(株)富士ゼロックス愛知(株)富士ゼロックス愛知東(株)富士ゼロックス岐阜(株)富士ゼロックス三重(株)富士ゼロックス奈良(株)富士ゼロックス京都(株)富士ゼロックス大阪(株)
富士ゼロックス兵庫(株)富士ゼロックス岡山(株)富士ゼロックス広島(株)富士ゼロックス山口(株)富士ゼロックス四国(株)富士ゼロックス北九州(株)富士ゼロックス福岡(株)富士ゼロックス長崎(株)富士ゼロックス熊本(株)富士ゼロックス鹿児島(株)
国内関連会社
富士ゼロックス情報システム(株)ビジネスプロセスマネジメント事業部(人事ソリューションシステムの提案・設計開発・運用・保守およびASPサービス)
富士ゼロックスシステムサービス(株)板橋事業所、神保町事業所、電響社ビル事業所大阪事業所、北海道支店、東北支店、中部支店、関西支店、西日本支店
富士ゼロックスインターフィールド(株) お客様接点に関連する領域
海外関連会社
富士ゼロックスコリア(韓国)
富士ゼロックス上海(中国)
富士ゼロックス深圳(中国)
2010年7月1日現在
営業本部、ソリューション・サービス営業本部、ソリューション本部、カストマーサービス本部、グローバルサービス営業本部(国内)、プロダクションサービス営業本部、事務サービス部
富士ゼロックス(株)
14
ISO/IEC154083)認証取得状況
表4 ISO/IEC15408取得状況
商品名
XeroxWorkCentre7120,ControllerROMVer.1.201.6,IOTROMVer.4.21.0,ADFROMVer.7.06.50
FujiXeroxDocuCentre-IVC2260SeriesControllerSoftwareforAsiaPacific,ControllerROMVer.1.120.28
Xerox4112/4127Copier/Printer,Controller+PSROMVer.1.211.8,IOTROMVer.46.18.0,IITROMVer.15.6.1,IITOptionROMVer.14.0.4,ADFROMVer.12.2.7
FujiXeroxApeosPort-IVC5570/C4470/C3370/C2270,DocuCentre-IVC5570/C4470/C3370/C2270SeriesControllerSoftwareforAsiaPacific,ControllerROMVer.1.101.12
富士ゼロックスDocuCentre-IVC2260シリーズコントローラソフトウエア,ControllerROMVer.1.0.25
富士ゼロックスApeosPort-ⅣC5570/C4470/C3370/C2270,DocuCentre-ⅣC5570/C4470/C3370/C2270シリーズコントローラソフトウエア,ControllerROMVer.1.40.7
FujiXeroxApeosPort-ⅢC7600/C6500/C5500,DocuCentre-ⅢC7600/C6500/C5500Series,ControllerSoftwareforAsiaPacific,ControllerROMVer.3.120.2
富士ゼロックスApeosPort-ⅣC5570/C4470/C3370/C2270,DocuCentre-ⅣC5570/C4470/C3370/C2270シリーズコントローラソフトウエア,ControllerROMVer.1.0.6
XeroxWorkCentre7425/7428/7435,Controller+PSROMVer.1.180.9,IOTROMVer.40.10.0,IITROMVer.22.13.1,ADFROMVer.20.0.0
富士ゼロックスは、複合機、プリンター、アプライアンス・サー
バー(beat-box)などの商品において、ISO/IEC 15408の認証
を取得しています。
2009年4月1日から2010年7月1日までに認証取得した当社
商品を、下記にご紹介します(表4)。
2009年3月31日までに認証取得した商品については、独立行
政法人情報処理推進機構のホームページ(http://www.ipa.
go.jp/security/jisec/certified_products/cert_listv31.
html)でご確認ください。
2010年7月1日現在
3)「ISO/IEC 15408」とは、情報技術セキュリティの観点から、情報技術に関連した製品およびシステムが適切に設計され、かつその設計が正しく実装されているかどうかを評価するための国際的なセキュリティ基準です。
15
JH-007
