アーキテクチャから始める印刷セキュリティ

プリントサーバー、ローカルの印刷スプーラー、ファイアウォールのインバウンド経路は、印刷環境が狙われる主要なポイントです。ezeepはそれらを強化するのではなく、排除します。クラウドレンダリングはMicrosoft Azure上で実行され、ISO 27001およびSOC 2の独立監査を受けています。印刷ジョブはデバイスでのユーザー認証後にのみリリースされ、印刷後はドキュメントデータを保持しません。ThinPrint技術を基盤に構築され、Fortune 500企業にも採用されています。

今すぐ無料で試す専門家に相談する
cloud-based-printing-dashboard
セキュリティ

最新の印刷環境向けのセキュリティ制御

すべての印刷ジョブに暗号化、IDベースのアクセス、監査対応のログ記録を標準で組み込んでいます。

エンドツーエンドで暗号化。データ保持は必要最小限に。

ドキュメントデータは、通信中はHTTPS(TLS 1.3対応、TLS 1.2以上)で暗号化され、保存時はAzure Storage Service EncryptionによりAES-256で保護されます。Pull Printingジョブはリリースされない場合は72時間で破棄され、リリースされたジョブは印刷完了後すぐに削除されます。

IDがすべての工程を管理します

ユーザーは印刷前にお使いのIDプロバイダーで認証します。プリンターへのアクセスはポリシーで制御されるため、ユーザーには権限のあるデバイスだけが表示されます。Pull Printingはユーザーがデバイスで認証するまで全てのジョブを保留するため、ID認証を経ずに印刷や印刷物の受け取りはできません。

侵入経路なし、迂回経路なし。

ezeep Hubはアウトバウンド接続のみを行います。インバウンドのファイアウォールポートは不要です。ネットワーク内にプリントサーバーはなく、エンドポイントで印刷スプーラーが公開されることもありません。また、ユーザーからプリンターへの直接的なネットワーク経路がないため、誰もezeepを迂回してハードウェアと通信することはできません。印刷における従来の攻撃対象領域は消滅します。

GDPR準拠

GDPR(一般データ保護規則)と国際データ移転

ezeepはデータ最小化、明確な保持期間、適法な処理などGDPRの原則に基づいて運営されています。EEA、英国、スイスから域外へ転送されるデータについては、ezeep Inc.がEU–米国、スイス–米国、および英国のデータプライバシーフレームワークに基づく自己認証を行っており、代替措置として標準契約条項(SCC)も整備しています。EEA、英国、スイスのお客様のデータ管理者はThinPrint GmbH(Berlin)であり、それ以外の地域のお客様のデータ管理者はezeep Inc.(Denver)です。 

データ保護責任者へのお問い合わせ
ezeepCampus
セキュリティ

文書で証明できるコンプライアンス

セキュリティ質問票向けの契約条件とガバナンス統制

データ処理補足契約

データ処理補足契約(DPA)は標準契約条件の一部であり、技術的・組織的措置、違反通知、副処理者への義務、ならびに国際移転に関する標準契約条項(SCC)を含みます。DPAとプライバシーポリシーは、いずれも以下で公開されています。 ezeep.com/legal.
データ処理補足契約

ISO/IEC 27001

ezeepは、ISO/IEC 27001に準拠した情報セキュリティマネジメントシステムを運用しています。認定機関による認証を進めており、適用範囲と証明書の詳細は発行次第ここに掲載します。なお、ezeepが稼働するMicrosoft AzureプラットフォームはすでにISO 27001、SOC 2、GDPRに基づく独立した監査を受けています。
ISO/IEC 27001

セキュリティガバナンス

本番環境へのアクセスはロールベースの最小権限で管理しています。本番環境と非本番環境は分離されています。ログと監視はAzureプラットフォーム上で一元化されています。インシデント対応手順は文書化され、訓練を行っています。
セキュリティガバナンス

文書コンテンツはAIの学習に使用しません

お客様の文書コンテンツはAIや機械学習モデルの学習に使用したり、製品分析のために再利用したりしません。エラー率やサービスのパフォーマンスなどの運用テレメトリは、信頼性の監視と製品改善のために利用します。
文書コンテンツはAIの学習に使用しません
再委託先

ezeepの再委託先

ezeepは、サービス提供のために短く管理された副処理者リストを使用しています。

  • Microsoft Corporation - Azureホスティング(北ヨーロッパリージョン、アイルランド)
  • HubSpot Inc. - ウェブサイト、マーケティング、CRM
  • Freshworks Inc. - カスタマーサポート(Freshdesk)およびCRM(Freshworks CRM)
  • Cortado Holding AG - ezeepの親会社(グループ共通の事業管理を担当)

DPAの規定に従い、変更は有効になる前にお客様に通知されます。

ezeepCampus
セキュリティとコンプライアンス

ezeepの印刷セキュリティに対する考え方

ezeepは、貴社の印刷方法を安全にするよう設計されています。

情報露出なしでの可視性

すべての印刷ジョブで、ユーザー、プリンター、文書名、ページ数、タイムスタンプ、実行結果を含む監査記録が作成されます。これらの記録は管理コンソールから確認、エクスポート、レポート作成が可能です。ログが取得するのはメタデータであり、コンテンツそのものではありません。文書名とルーティングの詳細は記録されますが、文書の中身が保存されることはありません。コンプライアンス担当者は必要な可視性を確保でき、監査証跡が機密コンテンツの漏洩源になることもありません。

エンドポイントに残らないもの

ezeepクライアントは仮想ドライバーを1つだけインストールします。ユーザーがアクセスできるすべてのプリンターは、メーカーや機種に関係なくこのドライバー経由で印刷されます。プリンターごとのドライバーパッケージも、ディスク上にキューされるスプールファイルも、クリーンアップ待ちのキャッシュされた文書も存在しません。アプリケーションが印刷ジョブをezeepに渡すと、文書はクラウドに移動し、エンドポイント側の処理は完了します。デバイスが紛失したり侵害されたりしても、元々そのデバイスに文書が保存されていないため、文書は保持されません。

悪用可能なPrint Spoolerは存在しない

Windows管理者ならPrintNightmare(CVE-2021-34527)を覚えているはずです。2021年以降、それに続く50件以上のPrint Spoolerの脆弱性が報告されていることに気づいていない人も多いでしょう。これは偶然ではありません。WindowsのPrint SpoolerはSYSTEM権限で動作し、リモートプロシージャコールを受け付け、インストール時にサードパーティ製のドライバーコードを読み込みます。そのような特性を持つサービスは、パッチ適用で軽減できても完全に安全にすることは困難です。ezeepはそのPrint Spooler自体を排除します。エンドポイントにスプーラーはなく、ネットワークにプリントサーバーはなく、インストールすべきドライバーもありません。バグを修正するだけでなく、攻撃クラスそのものを取り除きます。

悪用可能なベンダー製ドライバーは存在しない

プリンタードライバーには脆弱性が存在します。キヤノンは2025年初頭にCVE-2025-1268を公表しており、他のプリンターメーカーからも同様の注意喚起が定期的に出ています。このパターンが続くのは、アーキテクチャが同じだからです。各プリンターベンダーは、各デバイスに印刷したいエンドポイント上で高い権限で動作する独自のドライバーコードを配布します。ezeepはそのレイヤーを取り除きます。単一の仮想ドライバーがジョブをクラウドに渡し、宛先プリンター向けにクラウド側でレンダリングを行います。エンドポイントにベンダー固有のプリンタードライバーがインストールされることはなく、ベンダー製ドライバーのCVEはお客様の問題ではなくなります。

よくある質問

ezeepは転送中および保管時の印刷データをどのように保護していますか?

印刷データは転送中にHTTPSで暗号化され、TLS 1.3をサポートし、すべてのパブリックエンドポイントでTLS 1.2を最低基準として適用しています。保管時のデータはMicrosoft Azure Storage Service EncryptionによるAES-256で暗号化され、キー管理は独立した監査を受けるAzureプラットフォームの管理下で行われます。これらの保護は、ezeep Cloud内でのライフサイクルを通じてすべての印刷ジョブに適用されます。

ezeepはどのようにユーザー認証、プリンターアクセス制御、ネットワーク保護を行っていますか?

ユーザーは印刷を行う前に、お客様のIDプロバイダー(Microsoft Entra IDまたはGoogle Workspace)を通じて認証します。プリンターへのアクセスはポリシーで制御されるため、各ユーザーは権限のあるプリンターのみを表示します。Pull Printingでは、文書をリリースする前にQR codeまたはRFID/NFC cardでデバイス上でユーザーを再認証します。ezeep Hubはクラウドへのアウトバウンド接続のみを使用するため、お客様ネットワーク内でインバウンドのファイアウォールポートを開く必要がなく、攻撃者が到達できるようなプリントサーバーやスプーラーを公開することもありません。

ezeepはPrintNightmareやWindowsのPrint Spooler脆弱性の影響を受けますか?

いいえ。ezeepはエンドポイント上でWindowsのPrint Spoolerを実行したり、お客様ネットワーク内でプリントサーバーを運用したりしません。したがって、PrintNightmare(CVE-2021-34527)やそれに続く50件以上のPrint Spooler脆弱性が悪用してきたスプーラーの攻撃面は、ezeep導入環境には存在しません。WindowsのPrint SpoolerはSYSTEM権限で動作し、リモートプロシージャコールを受け入れ、インストール時にサードパーティ製ドライバーコードを読み込みます。ezeepはそのレイヤー全体をパッチするのではなく排除します。

ezeepはどのコンプライアンスフレームワークや契約上の保護措置に対応していますか?

ezeepは、データ最小化、保存期間の定義、合法的な処理を含むGDPRの原則に基づいて運用されています。EEA、英国、またはスイスから転送されるデータについては、ezeep Inc.はEU–U.S.、Swiss–U.S.、およびUKのData Privacy Frameworksに基づき自己認証を行っており、代替措置として標準契約条項(SCC)を備えています。技術的および組織的対策、侵害通知、再委託先の責務を定めたData Processing Addendum(DPA)は標準契約条項の一部として、プライバシーポリシーと併せて以下でご確認いただけます: ezeep.com/legalezeepはISO/IEC 27001に準拠した情報セキュリティマネジメントシステム(ISMS)を運用しており、現在認証取得手続き中です。基盤となるMicrosoft AzureプラットフォームはすでにISO 27001、SOC 2、およびGDPRに関する独立監査を受けています。

ezeepはどのような監査ログとレポート機能を提供しますか?

すべての印刷ジョブは、ユーザー、プリンター、文書名、ページ数、タイムスタンプ、処理結果を記録する監査ログを生成します。この監査ログはezeep Consoleで参照やレポート作成ができ、ezeep API経由でCSVとしてエクスポートしたり、webhooks経由で外部システムにリアルタイムで送信したりできます。監査ログにはメタデータのみが保持され、文書の内容は記録されません。したがって、監査ログ自体が機密情報の漏えい源になることはありません。

Back to top

Print server不要の 印刷セキュリティ

ezeepは従来の印刷スタックをクラウドネイティブなアーキテクチャに置き換え、企業のセキュリティチームが実際に投げかける質問にも応える設計です。セキュリティ資料を入手するか、構築チームにお問い合わせください。

ezeep-chart (1)