3.当社の取り組み 
データセキュリティキット
シャープのデータセキュリティキットは、暗号化、実データ消去、パスワード保護機能により高い安全性を確保しています。
●製品によっては、一部の機能に対応しない場合があります。
機能
■暗号化
ジョブデータとドキュメントファイリングデータは、デジタル複合機内の記憶装置に保存されています。これらのデータを暗号化することにより、たとえ何らかの方法でデータを入手できたとしても、復元できない状態となります。
■実データ消去
通常、ジョブデータやドキュメントファイリングデータは、消去操作を行っても実データ部は消去されません。これは、ジョブデータやドキュメントファイリングデータの所在を示す情報だけを消去しているためです。したがって、一見、消去されたように見えていても、実際には他のデータで上書きされるまで残存しています。専門的な知識・技術をもってすれば、消去されたはずのデータを復元させることも可能です。
シャープのデータセキュリティキットでは、ジョブデータやドキュメントファイリングデータの消去には、実データ部を乱数値等により上書きした後に、データの所在を示す情報を消去する方法を採っており、実データ部を復元できないようにします。
■パスワード保護
ドキュメントファイリングとは、再利用を意図する機能なので、消去が実施されるまでドキュメントファイリングデータはデジタル複合機内に存在しています。このドキュメントファイリングデータについては、データ毎にパスワードを付加できるようになっています。このパスワードが一致しなければ、ドキュメントファイリングデータを再利用できないようにします。
特長
当社のデータセキュリティキット(AR-FR1/FR2/FR3)は2001年4月、複写機・プリンタ業界では世界で初めてCommon Criteria EAL 2の認証を取得しました。
■操作性の良さ
シャープのデータセキュリティキットによるデータの消去/暗号化は自動的に機能します。そのため、機密データを扱う際に利用者は特別な操作を行う必要はなく、高いセキュリティレベルを維持できます。
■ドキュメントファイリングデータのロック
ドキュメントファイリングデータにはパスワードが設定されており、ドキュメントファイリングデータの再操作にあたり、連続して3回パスワードを間違えるとパスワード入力を拒絶しロックます。この解除は管理者のみが実施できるようになっており、不正なアクセスを防止し、高いセキュリティレベルを維持できます。
■第三者に認められたセキュリティ機能
シャープは、デジタル複合機のデータセキュリティ対応に取り組み、2000年4月、米国をはじめ海外向けデータセキュリティキットを発売。2001年4月には、米国認証機関から複写機・プリンタ業界では世界で初めて「Common Criteria EAL2」の認証(セキュリティ認証)を取得しました。
2002年12月には、日本を含む全世界向けデータセキュリティキットAR-FR4が「Common Criteria EAL2」のセキュリティ認証を取得。更に2004年9月には一般商用製品として現状最高レベルと言える「Common Criteria EAL4」認証を業界で初めて取得しました。
このEAL4という評価保証レベルは、製品そのもののセキュリティ機能の有無から、製品の改ざんに関する組織の管理体制まで幅広く厳密に評価された結果、シャープのこれらの製品が、開発からお客様の手に渡るまで、第三者に改ざんされることなく、間違いなくセキュリティ機能が保証されるということを表しています。
シャープは、今後もこのコモンクライテリア認証の取得を継続的に推進するとともに、デジタル複合機の情報セキュリティ対策に取り組んでいきたいと考えています。
コモンクライテリアとは
コモンクライテリア(Common Criteria)とは、情報システムやそれを構成するハードウェア/ソフトウェアについて、目標となるセキュリティ保証レベルを評価基準に基づいて評価するための国際規格の名称です。
1999年12月に「ISO/IEC15408情報技術セキュリティ評価基準」として国際規格化されました。
1998年10月、米英独仏加の5ヵ国によりCCRA(Common Criteria Recognition Arrangement)が設立され、ある国でCommon Criteriaに基づいて評価・認証されたIT関連製品は、CCRAに加盟している他国でも認証の適用が認められます。日本では、2000年7月に ISO/IEC15408が「JIS X 5070」としてJIS化、2001年4月、IT関連製品のセキュリティ機能・品質をチェックする「ITセキュリティ評価及び認証制度(JISEC)」が創設され、2003年10月にCCRAに加盟しました。
EAL(評価保証レベル)とは
EALは、Evaluation Assurance Levelの略で、評価の厳格さのレベルです。EALの上位レベルは、下位レベルで定義されている評価内容を含んでいます。
EALはセキュリティ機能の強度を表すものではなく、あくまで評価内容の厳格さを示すものです。したがって、EALのレベルと評価対象のセキュリティ機能強度は一致しません。
たとえば、シャープのデータセキュリティキット「AR-FR1/FR2/FR3」は、Common Criteria EAL2の認証を取得していますが、セキュリティ機能強度は、EALの上位レベルに劣るものではありません。
EALは、下表の7段階で定義されています。
| レベル | 概要 | 主な用途 |
|---|---|---|
| EAL1 | 機能的な評価 | 民生用途向け |
| EAL2 | 構造的な評価 | 民生用途向け |
| EAL3 | 体系的な評価と確認 | 民生用途向け |
| EAL4 | 体系的な設計と評価およびレビュー | 民生・政府機関・軍事用途向け |
| EAL5 | 半形式的な設計と評価 | 政府機関・軍事用途向け |
| EAL6 | 半形式的な設計の検証と評価 | 政府機関・軍事用途向け |
| EAL7 | 形式的な設計の検証と評価 |
政府機関・軍事用途向け |
