アーカイブ情報
2025/9/2
【セキュリティレポート】日本HP、プリンターのファームウェアを速やかに更新しているIT部門はわずか36%、デバイスの脆弱性が放置されたままに
日本HPは、プリンターのハードウェアとファームウェアのセキュリティ対策(プラットフォームセキュリティ)の諸課題と、プリンターのライフサイクルのあらゆる段階でこれらの障害が及ぼす影響について取り上げた最新の調査レポートの日本語版「プリント環境の保護:サイバーレジリエンスに向けたプロアクティブなライフサイクルアプローチ(Securing the Print Estate: A Proactive Lifecycle Approach to Cyber Resilience)」を発表する。同調査は、ITおよびセキュリティの意思決定者(ITSDM)800人以上を対象としたグローバル調査(*1)に基づくもので、調査結果からはプラットフォームセキュリティが軽視され、企業にとって重大なセキュリティ上の脆弱性が生じている実態が明らかになった。
ライフサイクルの4つの段階を対象とした調査の結果、「継続的な管理」段階において、ファームウェアのアップデートを速やかに更新しているITSDMは36%(日本では40%)にとどまることが明らかになった。IT部門がプリンター1台あたり毎月3.5時間(日本では3時間)を費やしてハードウェアおよびファームウェアのセキュリティ対策にあたっているにもかかわらず、このような調査結果が出ている。プリンターにファームウェアの更新を迅速に行わなければ、企業は不要な脅威にさらされることになり、サイバー犯罪者による重要なデータの窃取やデバイスの乗っ取りといった被害を受けるリスクが高まる。
また、プリンターのライフサイクルにおけるその他の段階でも、次のようなセキュリティ上の脆弱性が明らかになった。
サプライヤーの選定およびオンボーディングの段階:
・調達における連携不足:調達、IT、セキュリティの各部門で連携して、プリンターのセキュリティ基準を定義していると回答したITSDMは38%(日本では45%)にとどまる。また、そのうち60%(日本では55%)が、こうした部門間の連携不足が組織をリスクにさらしていると危惧している。
・提案依頼書の確認不備:ITSDMの42%(日本でも42%)がベンダーのプレゼンテーションにIT/セキュリティ部門を関与させていない。さらに、54%(日本では55%)がセキュリティ対策を検証するための技術情報を要求しておらず、55%(日本では53%)がベンダーからの回答をセキュリティ部門に提出してレビューを依頼していない状況。
・プリンターの完全性確認の欠如:納品時点で、工場内や輸送中にプリンターが改ざんされていないことを確認できないと回答したITSDMは過半数(51%)にのぼった(日本では54%)。
修復の段階:
・脅威の検知・修復が困難:多くの組織が、デバイスへのパッチ適用を継続的に実施することに苦労している。新たに公開されたハードウェアやファームウェアの脆弱性に基づき、攻撃を受けやすいプリンターを特定できているというITSDMは35%(日本では34%)にとどまり、ベンダーや一般にも知られていないゼロデイ脅威への対応はさらに困難だ。また、ユーザーやサポート部門によるハードウェアの不正な変更を追跡できると答えたITSDMは34%(日本でも34%)、ハードウェアレベルの攻撃に関連するセキュリティイベントを検知できると回答したのは32%(日本では30%)にとどまった。
・物理的なリスクへの懸念:サイバー攻撃だけでなく、オフラインでの脅威に対する懸念も高まっている。ITSDMの70%(日本では68%)が、従業員による機密企業情報の印刷や誤った取り扱いなど、物理的な情報漏えいのリスクを懸念している。
廃棄・再利用の段階:
・使用終了時のリスク:ITSDMの86%(日本では90%)が、データセキュリティがプリンターの再利用、再販、リサイクルの障壁になっていると回答している。加えて、平均して約80台(日本では約77台)のプリンターが組織内で不要または廃棄予定となっているとの報告があり、データセキュリティは大きな問題といえる。
・信頼性の欠如:現在のサニタイズ(データ抹消処理)ソリューションに対する信頼は不十分で、ITSDMの35%(日本では45%)がプリンター内のデータを完全かつ安全に消去できるかどうか確信が得られないとしている。また、4人に1人(日本では27%)はプリンターのストレージドライブの物理的破壊が必要と考え、10人に1人(日本では17%)は、デバイス本体とストレージドライブの両方を破壊すべきだと考えている。
HP Inc.のグローバルシニアプリントセキュリティストラテジストであるスティーブ・インチ(Steve Inch)は次のように警鐘を鳴らしている。「プリンターは、もはや無害な事務機器ではなく、機密データを保存する、接続型のスマートデバイスです。複数年に一度しか更新されない場合、十分なセキュリティ対策が施されていないプリンターが長期にわたって脆弱な状態に置かれる恐れがあります。侵害を受ければ、機密情報が脅迫や違法販売に悪用される可能性もあります。選択を誤れば、ファームウェア攻撃や、改ざん、侵入を検知できず、攻撃者にネットワークへの広範なアクセスを許してしまう危険性があります」。
同調査では、プリンターのライフサイクル全体にわたるセキュリティ課題への対処法として、以下の対策を推奨している。
・IT、セキュリティ、調達の各部門が効果的に連携し、新たに導入するプリンターに求められるセキュリティとレジリエンスの要件を明確に定義すること。
・製品やサプライチェーンのプロセスに関するセキュリティ証明書を製造元/プロバイダーに要求し、それらを活用すること。
・セキュリティ脅威へのリスクを最小限に抑えるため、ファームウェアのアップデートを速やかに適用すること。セキュリティツールを活用し、プリンターのポリシーに基づいた設定のコンプライアンスを効率的に維持すること。
・ゼロデイ脅威やマルウェアを継続的に監視し、低レベルの攻撃に対して防止、検知、隔離、復旧できるプリンターを導入すること。
・安全な再利用やリサイクルを実現するために、ハードウェア、ファームウェア、保存データを安全に消去できる機能を備えたプリンターを選択すること。
セキュリティリサーチ/イノベーション担当チーフテクノロジストのボリス・バラシェフ(Boris Balacheff)は次のように述べている。「プリンターのライフサイクルの各段階でセキュリティに配慮することは、エンドポイントインフラのセキュリティやレジリエンスの向上に貢献するだけでなく、信頼性、パフォーマンス、コスト効率の面でもライフサイクル全体を通じて高い効果が得られます」。
調査レポートの日本語版
「プリント環境の保護:サイバーレジリエンスに向けたプロアクティブなライフサイクルアプローチ(Securing the Print Estate: A Proactive Lifecycle Approach to Cyber Resilience)」
*1:同レポートの調査結果は、2024年に米国、カナダ、英国、日本、ドイツ、フランスのITおよびセキュリティ関連の意思決定者803名を対象として実施された調査に基づいている。調査はCensuswide社によりオンラインで実施された
HP Wolf Securityについて
HP Wolf Securityはワールドクラスのエンドポイントセキュリティです。ハードウェアにより強化され、エンドポイントに焦点をあてたセキュリティサービスで構成するHPのポートフォリオは、組織がPC、プリンター、従業員をサイバー犯罪から保護できるよう設計されている。HP Wolf Securityは、ハードウェアレベルからはじまり、ソフトウェアとサービスまで包括的なエンドポイント保護とレジリエンスを提供する。「HP Wolf Security」に関する情報は、以下のURLを参照。
http://www.hp.com/jp/wolf
HPはQuocircaの「Print Security Landscape 2025」において、「戦略」と「提供の完全性」の両分野でリーダーに選出された。
- カテゴリー
- news
- コンバーティングニュース
