IoT產品資安議題升溫，Canon揭露複合機內建多種防護機制，並發布自家設備零信任安全模型實作指引

早年列印複合機與事務機往往被視為辦公設備，成為IT與資安管理容易忽略的角落，雖然這類產品後續的發展，已重視文件安全、功能權限控管與稽核機制的強化，不過安全重心放在文件與使用者層面。

隨著物聯網（IoT）風險日益嚴峻，不論路由器、攝影機、印表機都有可能被駭客入侵操控，甚至成為內網跳板，使得設備本身的安全防護日益受重視。例如，過去我們曾介紹晶睿監控攝影機強化防護，導入趨勢科技的物聯網防護系統，即顯現IoT設備對資安防護的提升。

在列印設備方面，早年多是強調提供硬碟加密與資料安全覆寫等防護功能，後續我們亦注意陸續有業者展開更多行動，強化設備本身的安全，提供BIOS驗證、韌體完整性檢查，以及即時監控防護。

經過多年的安全性持續改進，近期佳能（Canon）在臺發表新款商用複合機imageFORCE系列，產品資安設計竟一躍成為最大賣點，也讓我們有機會了解近期這類事務設備防護功能的最新趨勢，包括：提供可主動建議資安設定的AI環境評估，內建開機驗證系統與Trellix資安防護，以及發布設備零信任安全模型實作指引的白皮書等。

新增AI強化安全環境評估，可主動偵測環境提供資安設定建議

這次發表會主角是Canon全球最新推出的imageFORCE系列複合機，1月在臺灣舉行的產品發表會上，佳能亞洲行銷總部商用產品行銷部資深經理Bhatt Ravi指出，Canon在安全設計上迎來重要突破，新一代產品全面導入2025年推出的AI強化「安全環境評估引擎（Security Environment Estimation Engine）」，可提供更直覺的安全設定操作。

具體而言，這項安全環境評估引擎是Canon自行開發，以機器學習技術預先訓練的軟體演算法，其核心價值在於，當複合機感測到網路環境發生變化時，系統會立即提出相應的資安建議，可協助無專業IT背景的客戶，在設備初次連網或日後環境變更時，可分析網路環境、自動建議最佳安全設定並持續監控風險。

現場Canon人員展示安全環境評估引擎功能的設定介面。從畫面中可見，其觸發條件包括使用環境更新，或偵測到網路安全性問題，或發現無線區域網路加密方法存在漏洞時。

事實上，部分家用無線路由器品牌已提供類似機制，會根據當前環境主動提供簡化流程後的安全設定建議。然而，這類安全環境評估設計在列印設備領域相對少見，如今Canon已將這類概念導入商用複合機產品中。

至於其他最新安全功能的發展，Canon imageFORCE系列還新增3項強化措施，包含在遠端存取控制機制中導入MFA，提升可設定的密碼長度上限，以及改善雙網路架構，進一步支援無線區域網路作為主線路。

以Root of Trust防範竄改，以白名單保護開機啟動檔案完整性

除了上述AI環境評估等最新安全功能，在設備內建安全功能方面，在這次發表會上，Canon亦強調裝置層即時防護，結合Trellix資安引擎主動攔截風險，並具備系統完整性監控。

基本上，這類開機防禦功能的強化已推動多年，我們在七、八年前即觀察少數列印設備業者有此發展，像是HP等，Canon亦在2019年已跟上潮流，包括：引入開機驗證系統功能，以及導入McAfee Embedded Control解決方案（現稱Trellix Embedded Control）。

上述所謂的開機驗證系統功能，是以硬體信任根（Root of Trust）強化防範軟體竄改的安全性，確保啟動時執行程序，包括開機程式碼、作業系統、韌體及MEAP應用程式未遭竄改。此外，期間Canon亦升級TPM 2.0晶片。

以導入McAfee Embedded Control而言，將與開機驗證系統功能協同運作，主要是以白名單機制確保設備韌體與應用程式的檔案完整性，禁止未經授權的註冊軟體模組改寫行為，僅允許授權系統程序對設備實施變更，此設計有助於限制蠕蟲、病毒、間諜軟體及其他惡意軟體對裝置的侵害。

還有一項重點是，Canon商用複合機在2018年增加與第三方SIEM系統的整合，設備主要支援透過Syslog協定推送即時安全事件，以實現與第三方SIEM解決方案的日誌同步。

Canon發布設備零信任安全模型實作指引，強調將列印設備納入端點安全討論

資安合規亦是Canon強調的重點，當中最矚目的是通過FIPS 140-3認證，根據NIST網站公開資料顯示，Canon的MFP Security Chip加密模組已在2024年底取得FIPS 140-3認證。以列印設備商而言，目前Canon在這方面的進度算是領先。

由於產品資安已是產業共識，產品資安事件應變團隊（PSIRT）的建立也是大家關心的重點之一，Canon在這方面的進展又是如何？

李紹祺表示，最早可追溯至2022年1月，當時Canon PSIRT即加入FIRST國際資安應變組織，建立起標準化的漏洞通報與因應機制，隔年正式公開揭露自家PSIRT。

此外，Canon亦針對列印設備發布多份資安白皮書。儘管發布白皮書是國際大廠的常態，但我們過去較少有進一步介紹，因此這次也請該公司說明其背後的意義。

以「Canon設備NIST SP 800-171/800-172合規指引」而言，初版於2022年1月發布。李紹祺表示，主要是回應NIST標準要求，提升產品合規與國際市場採購需求，特別的是，他提到Canon亦針對醫療、教育、法務等垂直產業推出客製化版本，這將顯現業者不僅是設備供應商，也能是資安合規夥伴。同年7月，還有發布「Canon設備NIST SP 800-193平臺韌體保護指引」。

以「Canon設備零信任安全模型實作指引」而言，是在2025年11月發布。李紹祺指出，這不僅呼應全球資安發展趨勢，更聚焦將列印設備正式納入「端點設備」範疇，展示其在網路防護、身分驗證、加密、偵測與回復等面向的對應機制，讓IT團隊能將印表機視為零信任策略的一環。

此外，Canon配合商用複合機產品早年亦推出文件安全管理系統Therefore，如今Therefore Online亦強調對全球多國合規標準的支援。

整體而言，我們可以發現，對於產品資安的強化，列印設備領域亦是相當積極，而臺灣的產品與服務業者亦可從中借鏡，並將產品從純硬體銷售提升至資安合規服務的戰略層次。

列印驅動新變革，微軟2027年7月不再提供第三方驅動更新

列印驅動的發展態勢亦受關注，這次Canon亦介紹其搭配商用複合機的企業列印管理平臺uniFLOW Online雲端服務，提供漫遊列印，已整合微軟最新Universal Print，因此不像早年uniFLOW軟體需架設專用伺服器與特定驅動程式。

我們猜測這項發展應是呼應微軟在2023年推動以IPP Class Driver與Windows Protected Print（WPP）模式，取代傳統的第三方驅動程式，並也推出Universal Print服務簡化其應用。如今Canon表示他們已做好這方面的準備，uniFLOW Online服務已全面相容微軟的最新規範，進一步提升雲端列印方便與安全。

而我們也查詢這方面的最新進展，微軟表示預計從2026年7月起，優先採用內建的IPP Class Driver，2027年7月則是更進一步，Windows Update不再提供第三方驅動更新。這意味著，微軟正持續推動列印架構轉型，藉由統一維護列印核心元件，降低第三方驅動程式將漏洞引入作業系統的風險，目前，各大列印設備供應商已普遍跟進支援此趨勢。