BMSecのガイドラインや規約、申請方法に関するお問い合わせは、FAQの内容をご確認いただいた上で、問い合わせフォームよりお願い致します。
- 電話やFAXでの対応は行っておりませんのでご注意ください。
BMSecの適合製品について
-
BMSecとは何ですか?BMSec(事務機セキュリティプログラム)とは、事務機セキュリティガイドラインに対して自己適合宣言が行われた製品について、BMSec運営委員会が申請に基づき、適合製品リストへの掲載、BMSecマーク使用許可を与える仕組みです。
-
申請対象は、ネットワーク機能付きの事務機(プリンター、ファクス、スキャナ、複合機)だけでしょうか?国内で販売されているLAN接続可能な事務機を対象としています。ただし、対象となる事務機については、今後拡充を検討しています。
-
本制度で対象となる”ネットワーク機能付き”とはどのような機能を指しますか?有線または無線でLANに接続する機能です。BluetoothやNFCについては本ガイドラインでは規定していません。
-
事務機セキュリティガイドラインに適合した製品は、Wi-Fi通信時のセキュリティも保証されますか"いいえ。
事務機セキュリティガイドラインでは、Wi-Fi通信におけるセキュリティ要件は規定していません。Wi-Fi通信のセキュリティに関しては、メーカーにお問い合わせください。" -
SOHO/一般ユーザー向けとのことですが、パブリックスペースでの利用については、本要件でカバーされますか?パブリックスペースでは、ガイドラインの運用環境要件(要件ID:PR-1)を満たさない可能性があります。
-
SOHO/一般ユーザー向けとのことですが、政府/地方自治体や大企業等、より大きな規模の組織での利用は、本要件でカバーされますか?より大きな規模の組織については、運用環境や想定される脅威への対策が、IEEE 2600.2やHCD PP V1.0といったプロテクションプロファイルで規定され、それに適合したCC認証を取得した機器の利用が行われており、本制度では検討されておりません。
-
事務機セキュリティガイドラインに適合した製品は、どのようにユーザーが知ることができるのでしょうか?JBMIAホームページ上の適合製品リストで知ることが可能です。マニュアル、カタログ等でBMSecマークが表示されている適合製品もあります。
-
事務機セキュリティガイドラインに適合した製品は、CC認証の要件を満足していると考えていいですか?本制度で規定されたガイドラインの要件は、サイバーセキュリティ対策を目的としており、CC認証が要求する所有権に基づくユーザーデータへのアクセス制御などの要件を盛り込んでいません。
また、CC認証が要求する第三者による認証評価も行っていません。
CC認証取得製品と見なすことはできません。 -
CC認証とBMSecの両方に対応した製品は、より強固なセキュリティ機能を持っていると言えますか?BMSecの要求は、CC認証の要求のサブセットであり、適合基準は緩和されているので、両方に対応した製品がより強固なセキュリティ機能を持つとは言えません。
-
事務機セキュリティガイドラインの適合について、JBMIAから証明書などは発行されますか?BMSecは第三者認証を行う仕組みではないため、JBMIAから証明書などは発行されません。ガイドラインに適合することをメーカー自身が確認・主張する文書として「適合宣言書」があります。
-
事務機セキュリティガイドラインに適合した製品は、「端末機器の基準認証に関するガイドライン」のセキュリティ要件を満たしますか「デフォルトパスワードの変更」など、「端末機器の基準認証に関するガイドライン」と「事務機セキュリティガイドライン」で一部のセキュリティ要件の規定が重複していますが、「端末機器の基準認証に関するガイドライン」への適合を保証するものではありません。また、事務機セキュリティガイドラインへの適合は自己申告制であり、第三者認証ではありません。「端末機器の基準認証に関するガイドライン」への適合に関しては、メーカーにお問い合わせください。
-
事務機セキュリティガイドラインに規定されたセキュリティ要件は、今後あらたなセキュリティ上の問題が報告された場合、更新などは行われるのでしょうか?セキュリティ要件は、国内外のセキュリティ基準や最新の脆弱性の報告に基づき、BMSec運営委員会において1年に1回を目途に見直しを行います。
-
BMSecマークを取得した製品のソフトウェアアップデートが行われた場合、BMSecマークの使用は継続できるのでしょうか?セキュリティ要件の適合に影響しないアップデートの場合は、継続してBMSecマークを使用できます。セキュリティ要件に適合しないアップデートが行われた場合は、マークの継続使用はできません。また適合製品リストからアーカイブリストへ移動させる申請を行う必要があります。
-
BMSecマークの使用や適合製品リストの掲載に有効期限はありますか?BMSecマークの使用に有効期限はありません。適合製品リストは、登録から5年経過すると自動的にアーカイブリストに移動されます。
-
BMSecマークは、どのような対象に掲載することができるのでしょうか?適合製品のマニュアル、カタログ、製品本体へのプリントなどに使用が可能です。詳細は「事務機セキュリティプログラム運営規程」を参照ください。
-
セキュリティ要件に適合しているかの確認は誰が行うのでしょうか?セキュリティ要件に適合しているかの確認は、申請者(メーカー)自身が行います。確認結果は、適合製品リストで公開されている要件チェックシートから参照することができます。
-
BMSecマークの使用に関する責任者は誰ですか?BMSec運営委員会がBMSecマークの使用を許可します。
-
BMSecの申請やBMSecマークの使用に必要な費用について教えてください。適合確認申請やBMSecマークの使用には、費用がかかりません。適合製品リストへの登録には、登録手数料がかかります。登録手数料の詳細については、「事務機セキュリティプログラム運営規程」を参照ください。
-
登録手数料は、いつ支払うのですか?JBMIAの会計年度内(4月~翌年3月)に1件以上の登録が行われた場合、登録手数料の請求が発生します。申請を実施した会計年度の1月から3月の間に、BMSec運営委員会より請求書をお送りしますので、期日までにお支払いください。
-
事故(インシデント)が発生した場合、メーカーは何をするのですか?メーカーごとにインシデント対応が行われます。インシデント対応の詳細は、メーカーの問い合わせ窓口にお問い合わせください。
-
事務機セキュリティガイドラインの目的は何ですか近年、IoTデバイスを標的としたサイバー攻撃が増加傾向にあり、世界各国でIoTデバイスに対するセキュリティ対策が求められています。
従来、事務機分野では、高度なセキュリティ機能が要求されるミドル・ハイクラス複合機が対象となるCC認証や、FaxのセキュリティガイドラインであるFASECがありましたが、 SOHOからオフィスまで幅広い環境で使用される事務機(複合機・プリンター・スキャナー・ファクス)に対応し、IoTデバイスとしての最低限のセキュリティ要件を定義したセキュリティガイドラインは存在していませんでした。
このような背景から、SOHOからオフィスまで幅広い環境で使用される事務機に求められる最低限のセキュリティ要件をJBMIA標準規格として定義したものです。 -
事務機セキュリティガイドラインでは、どのようなセキュリティ機能が要求されていますか。BMSecでは、以下のセキュリティ機能が要求されています。
1. セキュリティ機能要件
a) 識別認証機能
b) セキュリティ管理機能
c) ファームウェアアップデート機能
d) 大容量記憶装置データ保護(条件付き必須)
e) ネットワークデータ保護要件(条件付き必須)
f) PSTNファクスとネットワーク間の分離(条件付き必須)
2. セキュリティ保証要件
a) 構成管理
b) 運用環境
c) 欠陥修正
3. 脆弱性評定
詳細はガイドラインをご参照下さい。 -
調達しようとしている機器が、本ガイドラインに記載の機能要件以外にも、セキュリティと謳っている機能を持っているが、これらの機能については宣言の対象外ですか?はい。
本ガイドラインに規定されていない要件については、宣言の対象外です。
BMSecの登録方法について
-
海外モデルも対応していますか?現時点では、国内モデルのみ対応しています。
-
海外モデルも対応していますか?現時点では、国内モデルのみ対応しています。
BMSecのロゴ使用について
-
海外モデルも対応していますか?現時点では、国内モデルのみ対応しています。
-
海外モデルも対応していますか?現時点では、国内モデルのみ対応しています。
その他
-
海外モデルも対応していますか?現時点では、国内モデルのみ対応しています。
-
海外モデルも対応していますか?現時点では、国内モデルのみ対応しています。