JBMIA公式サイトへ

事務機セキュリティ
プログラム
bmsecロゴ

FAQ(よくあるご質問と回答)

BMSecのガイドラインや運営規程、申請方法に関するお問い合わせは、FAQの内容をご確認いただいた上で、問い合わせフォームよりお願い致します。
  • 電話やファクスでの対応は行っておりませんのでご注意ください。

共通項目

  • BMSecとは何ですか?
    BMSec(事務機セキュリティプログラム)とは、事務機セキュリティガイドラインに対して申請者(製造業者/販売事業者)による自己適合宣言が行われた製品について、JBMIAが申請に基づき、適合製品リストへの掲載、BMSecマーク使用許可を与える制度です。
  • 申請対象は、ネットワーク機能付きの事務機(プリンター、スキャナー、ファクス、デジタルコピー機、デジタル複合機)だけでしょうか?
    国内で販売されているLAN接続可能な事務機を対象としています。ただし、対象となる事務機については、今後拡充を検討しています。
  • 本制度で対象となる”ネットワーク機能付き”とはどのような機能を指しますか?
    有線または無線でLANに接続する機能です。BluetoothやNFCについては本ガイドラインでは規定していません。
  • 事務機セキュリティガイドラインの目的は何ですか?
    近年、IoTデバイスを標的としたサイバー攻撃が増加傾向にあり、世界各国でIoTデバイスに対するセキュリティ対策が求められています。
    従来、事務機分野では、高度なセキュリティ機能が要求されるミドル・ハイクラス複合機が対象となるCC認証や、ファクスのセキュリティガイドラインであるFASECがありましたが、 SOHOからオフィスまで幅広い環境で使用される事務機(プリンター、スキャナー、ファクス、デジタルコピー機、デジタル複合機)に対応し、IoTデバイスとしての基本的なセキュリティ要件を定義したセキュリティガイドラインは存在していませんでした。
    このような背景から、SOHOからオフィスまで幅広い環境で使用される事務機に求められる基本的なセキュリティ要件をJBMIA標準規格として定義したものです。
  • 事務機セキュリティガイドラインでは、どのようなセキュリティ要件が要求されていますか?
    事務機セキュリティガイドラインでは、以下のセキュリティ要件および脆弱性評定が要求されています。
    1. セキュリティ機能要件
      a) 識別認証機能
      b) セキュリティ管理機能
      c) ファームウェアアップデート機能
      d) 大容量記憶装置データ保護(条件付き必須)
      e) インターネット通信データ保護(条件付き必須)
      f) PSTNファクスとネットワーク間の分離(条件付き必須)
    2. セキュリティ保証要件
      a) 構成管理
      b) 運用環境
      c) 欠陥修正
    3. 脆弱性評定
    詳細はガイドラインをご参照下さい。
  • 事務機セキュリティガイドラインに規定されたセキュリティ要件は、今後あらたなセキュリティ上の問題が報告された場合、更新などは行われるのでしょうか?
    セキュリティ要件は、国内外のセキュリティ基準や最新の脆弱性の報告に基づき、JBMIAにおいて1年に1回を目途に見直しを行います。
  • セキュリティ要件に適合しているかの確認は誰が行うのでしょうか?
    セキュリティ要件に適合しているかの確認は、申請者(製造業者/販売事業者)自身が行います。確認結果は、適合製品リストで公開されている要件チェックシートから参照することができます。
  • BMSecマークの使用に関する責任者は誰ですか?
    JBMIAがBMSecマークの使用を許可します。適合製品リストに掲載されることでBMSecマークの使用が許可されます。
  • セキュリティ事故(インシデント)が発生した場合、申請者(製造業者/販売事業者)は何をするのですか?
    申請者(製造業者/販売事業者)ごとにセキュリティインシデント対応が行われます。セキュリティインシデント対応の詳細は、申請者(製造業者/販売事業者)の問い合わせ窓口にお問い合わせください。

購入/調達者向け項目

  • 事務機セキュリティガイドラインに適合した製品は、Wi-Fi通信時のセキュリティも保証されますか?
    いいえ。
    事務機セキュリティガイドラインでは、Wi-Fi通信時のセキュリティ要件は規定していません。Wi-Fi通信時のセキュリティに関しては、申請者(製造業者/販売事業者)にお問い合わせください。
  • SOHO/一般ユーザー向けとのことですが、パブリックスペースでの利用については、本要件でカバーされますか?
    パブリックスペースでは、ガイドラインの運用環境要件(要件ID:PR-1)を満たさない可能性があります。
  • SOHO/一般ユーザー向けとのことですが、政府/地方自治体や大企業等、より大きな規模の組織での利用は、本要件でカバーされますか?
    より大きな規模の組織については、運用環境や想定される脅威への対策が、IEEE 2600.2やHCD PP V1.0といったプロテクションプロファイルで規定され、それに適合したCC認証を取得した機器の利用が行われており、本制度では検討されておりません。
  • 事務機セキュリティガイドラインに適合した製品は、どのようにユーザーが知ることができるのでしょうか?
    BMSec公式サイト上の適合製品リストで知ることが可能です。マニュアル、カタログ等でBMSecマークが表示されている適合製品もあります。
  • 事務機セキュリティガイドラインに適合した製品は、CC認証の要件を満足していると考えていいですか?
    本制度で規定されたガイドラインの要件は、サイバーセキュリティ対策を目的としており、CC認証が要求する所有権に基づくユーザーデータへのアクセス制御などの要件を盛り込んでいません。
    また、CC認証が要求する第三者による認証評価も行っていません。 CC認証取得製品と見なすことはできません。
  • CC認証とBMSecの両方に対応した製品は、より強固なセキュリティ機能を持っていると言えますか?
    BMSecの要求の多くはCC認証(複合機)の要求と類似していますが、要件と適合基準は緩和されているので、両方に対応した製品がより強固なセキュリティ機能を持つとは言えません。
  • 事務機セキュリティガイドラインに適合した製品は、「端末機器の基準認証に関するガイドライン」のセキュリティ要件を満たしますか?
    「デフォルトパスワードの変更」など、「端末機器の基準認証に関するガイドライン」と「事務機セキュリティガイドライン」で一部のセキュリティ要件の規定が重複していますが、「端末機器の基準認証に関するガイドライン」への適合を保証するものではありません。また、事務機セキュリティガイドラインへの適合は自己申告制であり、第三者認証ではありません。「端末機器の基準認証に関するガイドライン」への適合に関しては、申請者(製造業者/販売事業者)にお問い合わせください。

申請者向け項目

  • 事務機セキュリティガイドラインの適合について、JBMIAからお客様へ証明書などは発行されますか?
    BMSecは第三者によって認証が与えられる仕組みではないため、JBMIAは証明書を発行しません。ガイドラインに適合することを申請者(製造業者/販売事業者)自身が確認・主張する文書として「適合宣言書」があります。
  • BMSecマークを取得した製品のソフトウェアアップデートが行われた場合、申請者(製造業者/販売事業者)はBMSecマークの使用を継続できるのでしょうか?
    セキュリティ要件の適合に影響しないアップデートの場合は、継続してBMSecマークを使用できます。セキュリティ要件に適合しないアップデートが行われた場合は、マークの継続使用はできません。
  • BMSecマークの使用や適合製品リストの掲載に有効期限はありますか?
    BMSecマークの使用に有効期限はありません。適合製品リストは、登録から5年経過するとアーカイブリストに移動されます。
  • 適合製品のプロモーション方法として、BMSecマークはどのように使用できるでしょうか?
    適合製品のマニュアル、カタログ、製品本体へのプリントなどに使用が可能です。詳細は「事務機セキュリティプログラム運営規程」を参照ください。
  • BMSecの申請やBMSecマークの使用に必要な費用について教えてください。
    適合確認申請やBMSecマークの使用には、費用がかかりません。適合製品リストへの登録には、登録手数料がかかります。登録手数料の詳細については、「事務機セキュリティプログラム運営規程」を参照ください。
  • 登録手数料は、いつ支払うのですか?
    JBMIAの会計年度内(4月から翌年3月)に1件以上の登録が行われた場合、登録手数料の請求が発生します。申請を実施した会計年度の1月から3月の間、もしくは申請時に、JBMIAより請求書をお送りしますので、期日までにお支払いください。
    登録手数料の詳細については、「事務機セキュリティプログラム運営規程」を参照ください。