なぜ、デバイスのセキュリティをライフサイクル全体を通して管理・強化する必要性があるのか？

AIの進化が生産性と創造性を向上させる一方で、セキュリティリスクも増大しています。[第1回]において、企業はゼロトラストアーキテクチャの導入や、透明性の高いセキュリティ保証を持つ技術を有効に活用するうえでも、デバイスのセキュリティをライフサイクル全体を通して強化する必要性を解説しました。→過去の「デバイスをライフサイクル全体で保護 - デバイスセキュリティという考え方」の回はこちらを参照。

ここでは、HPがグローバルで実施したHP Wolf Securityグローバル調査レポートの結果とともに、デバイスのハードウェアとファームウェアを包括するプラットフォームセキュリティがライフサイクル全体を通して管理されるべき具体的な事象を述べます。

HP Wolf Securityグローバル調査レポートの概要

調査は米国、カナダ、英国、日本、ドイツ、フランスのITとセキュリティ関連の意思決定者(ITSDM)803人と、リモートワークをしているオフィスワーカー6055人を対象に行ったもので、その結果をデバイスライフサイクルを5段階にわけて分析したものです。

• 

  HP Wolf Securityグローバル調査レポートはデバイスライフサイクルを5段階にわけて分析したものとなる

現代の企業にとって、PCやプリンターといったデバイスは必須の業務ツールで、通常、導入すると複数年使用します。これらのデバイスのハードウェアとファームウェア、すなわちプラットフォームを保護することはデバイスセキュリティの基本です。

ソフトウェアと同様に、デバイスのプラットフォームも製造から導入、一貫した管理、修復、そして再利用や廃棄に至るまでのライフタイムを通じて、積極的に評価、管理、監視されるべきといえます。

一方で、HPの最新調査によると、デバイスセキュリティは重要性の認識が高まっているにもかかわらず、軽視されている傾向が明らかになりました。調査対象のITSDMの約8割(グローバルは79%、日本は78%)は、ソフトウェアセキュリティに比べて、ハードウェアやファームウェアに対するセキュリティの理解が遅れていると回答しています。

こうした遅れの一因には、デバイス業界の現状が背景にあります。すべてのベンダーがセキュリティ技術を優先しているわけではなく、またハードウェアやファームウェアのセキュリティ管理を簡素化するツールや機能を提供していないベンダーも数多くあります。

ハードウェアやファームウェアの設定を、製造から廃棄まで一貫して保護、管理するアプローチによってのみ解決できるセキュリティ上の課題が、デバイスのライフサイクルの各段階に存在するのです。

なぜプラットフォームのセキュリティが必要なのか？

ハードウェアとファームウェアは、攻撃された際に検知が困難かつ修復に多額の費用がかかるため、ITインフラとネットワークにおいてステルス性が高く、攻撃者の関心や資金投入意欲が高まっています。

そのため、デバイスセキュリティは、高いレジリエンスを確保するためのITデバイスの防御壁として、ますます重要になっています。

デバイスセキュリティの主な課題は、ソフトウェアだけで対処することが非常に難しい点です。このためメーカーにとっては、ハードウェア設計からセキュリティに投資することが鍵となります。最新のハイブリッド型勤務に応じた管理能力の構築なども、これに含まれます。

デバイスセキュリティは、本来調達の段階から考慮されるべきですが、コスト削減など短期的な利益が優先されます。実際、ITSDMの約7割(グローバルは68%、日本は70%)は、デバイスセキュリティをライフサイクル全体を通じて管理するためのTCO(総所有コスト)の評価において、ハードウェアとファームウェアのセキュリティは見落とされがちであると述べています。

デバイスの購入はセキュリティレベルを決めるものであり、誤った選択は何年にもわたってセキュリティ体制を弱め、インフラとしてのセキュリティ管理コストを増大させるなどの甚大な影響を及ぼすことを忘れてはなりません。

組織はデバイスのハードウェアやファームウェアに対する要件を定め、デバイスがライフサイクルを通じて期待通りに動作するような管理プロセスも必要です。これには、デバイスのライフサイクル全体にわたるプラットフォームで一貫したエンド・ツー・エンドのセキュリティを考慮したアプローチが必要です。

1. まずはデバイスのサプライヤー選定から

デバイスセキュリティの管理は、サプライヤーの選定から始まります。セキュリティ要件は、長期的にデバイスのセキュリティと管理性に影響を及ぼす可能性がありますが、調達においては調達チームが単独でデバイスを調達し、専門知識がないまま進めるケースが多くあります。

実際、グローバルの52%、日本の38%のITSDMは、ハードウェアやファームウェアベンダーのセキュリティに関する説明を検証するために調達チームがITやセキュリティのチームと協業することは稀だと述べています。

IT、セキュリティ、調達の三者間の連携は、調達要件を組織の長期的なセキュリティ体制とデジタル戦略に適切に組み込む上で鍵となります。これには、デバイスのハードウェアとファームウェアのセキュリティ機能に関する調達要件の設定や、サプライヤーのセキュリティガバナンスを監査するための基準の明確化などが含まれます。

後者は広く実践されていないものの調査結果によると、サプライヤーを監査している企業の約3割(グローバルは34%、日本は29%)は、過去5年間にPCまたはプリンターのサプライヤーがサイバーセキュリティ監査で不合格になったと回答しています。うちグローバルでは18％、日本では21%が、契約を解除するほど深刻であったと回答しています。

2. オンボーディングと不適切な設定

ハードウェアやファームウェアが改ざんされるリスクは、デバイスのライフサイクルのあらゆる段階で存在します。デバイスの輸送中、あるいは単に周囲が無人になるタイミングを狙って、マルウェアや悪意のあるハードウェアコンポーネントが挿入され、改ざんされる可能性があります。

BIOS管理のセキュリティ対策が不十分である場合、さらに深刻な状況となります。グローバルの53%、日本の64%のITSDMがBIOSパスワードを共有したり、使い回したりしていると認めています。また、グローバルでは53%、日本では47%がデバイスの利用期間が終了するまで、これらのパスワードをほとんど変更しないと回答しています。

3. 継続的な管理の問題

グローバルのITSDMの78%、日本の79%は、ライフサイクル全体をと通じて、デバイスの完全性を継続的に検証する必要があると述べています。これは、デバイスインフラのセキュリティが、ファームウェアのセキュリティの設定に依存しているからです。

グローバルのITSDMの63%、日本では58%が、PCやプリンターのファームウェアアップデートが利用可能になっても、すぐにアップデートを行わないと回答しています。また、グローバルでは57%、日本では51%が、ユーザーやアプリケーションに支障をきたすリスクがあるため、アップデートをためらうと答えています。

AIの台頭により攻撃者が不正プログラムをより迅速に開発できるようになることから、現状のやり方に対して早急に見直しが必要といえます。

4. 困難な修復

確かなデバイスセキュリティ体制を確立・維持するには、デバイス群全体のハードウェアとファームウェアを対象に脅威を管理する必要があります。つまり、ITチームとセキュリティチームは、セキュリティ問題を継続的に監視し、迅速に修復しなければなりません。

しかし、組織はハードウェアやファームウェアレベルのプラットフォームの脅威に対応する力が不足していると報告しています。グローバルのITSDMの60%、日本では50%が、このような攻撃の検知や影響の軽減は不可能で、攻撃された後の修復のみが残された道であると述べています。

ノートPCの場合、監視と修復の範囲はデバイスの紛失や盗難も考慮に入れる必要があります。リモートワーカーの5人に1人はデバイスを紛失したり、盗まれたりした経験があります。

また、この調査では、従業員のデバイスが紛失または盗難に遭った際にIT部門に通知するまでに、グローバルでは平均で25時間、日本では29時間かかっていることが明らかになりました。

この時間差は、脅威アクターに危険な先手のチャンスを与えることになります。このような監視と修復のギャップに対処するために、組織は、ハードウェアとファームウェアの攻撃を防止し、封じ込め、復旧するための組み込み機能に焦点を当て、検知だけにとどまらない対策に目を向ける必要があります。

5. セキュリティへの不安がデバイスの再利用を妨げる

多くの組織では、セキュリティ上の懸念からデバイスを破棄することが多いのが状況です。実際、ITSDMの約7割(グローバルの69%、日本の70%)がデバイスにあるデータを完全に無効化し、安全に廃棄することができれば、再利用または寄付が可能なデバイスが数多くあると回答しています。

さらに、従業員が古いノートPCを持ち続けていて、これらのデバイスに企業の機密データが残っている場合、IT部門からの可視性の課題とセキュリティのリスクがさらに高まります。

組織が、機密性の高いハードウェアやファームウェアのデータを消去し、安全なデコミッショニングを可能にするセキュアな方法を持たなければ、環境、社会、ガバナンス（ESG）に対する迅速かつ容易な取り組みの機会を逃していることになります。また、デバイスを安全に再デプロイし、マシンのTCOを削減することもできません。

• 

  5段階における推奨事項

デバイスセキュリティ実現へのステップ

このような課題に対処するために、企業はまず、IT、セキュリティ、調達の各チームを結集し、デバイスのライフサイクル全体を考慮した上で、購入の意思決定時にセキュリティ要件を確実に反映させる必要があります。

次に、デバイスが改ざんされた場合にフラグを立て、ゼロタッチオンボーディングを可能にするソリューションや、BIOSパスワードに代わるより強力なソリューションを調査します。そして、ハードウェア、ファームウェアの設定、セキュリティアップデートをプロアクティブかつリモートで管理できるデバイスやツールを優先的に導入する必要があります。

また、デバイスの電源が切れても、ハードウェアやファームウェアの機微なデータを、安全かつ検証可能な形で消去できるデバイスもすでに利用可能なソリューションとして有効です。これにより、デコミッショニングを効率的に行えることから組織が持続可能性の目標を達成するのに役立ちます。

PC、プリンターのセキュリティは軽視されがちですが、これらは企業のITインフラの重要な入口です。慎重に調達を行った上で、綿密に管理、監視し、安全に使用を終了させることができるツールとデバイス機能を備えていなければなりません。