2025年2月3日、日本HPは、最新のグローバル調査レポートの日本語版を発表した。
調査結果
プラットフォームセキュリティへの懸念が高まっていることが明らかになったという。たとえば、ITとセキュリティ関連の意思決定者(ITSDM)の81%(日本では77%)は、攻撃者が脆弱なデバイスを悪用できないようにするためには、ハードウェアやファームウェアのセキュリティを優先事項にすべきと回答。一方で、ハードウェアやファームウェアのセキュリティへの投資はデバイスの総所有コスト(TCO)において見落とされることが多いとの回答が68%(日本では70%)に上ったとのことだ。結果、コストのかかるセキュリティ上の問題、管理費用の負担、効率性の低下が後々発生するとしている。
デバイスライフサイクルの5段階における主な調査結果は以下のとおり。
- サプライヤーの選定:調査対象の34%(日本では29%)は、PCやプリンターのサプライヤーが過去5年間にサイバーセキュリティ監査に不適合となったと回答し、18%(日本では21%)は監査不適合が重大で、契約を打ち切ったと回答。ITSDMの60%(日本では55%)は、デバイスの調達にIT部門やセキュリティ部門が関与しないことが、企業をリスクにさらしていると回答した
- オンボーディングと設定:ITSDMの半数以上(世界では53%、日本では64%)は、BIOSパスワードが共有されていたり、使いまわされていたりしており、強度が不十分と指摘。53%(日本では47%)はデバイスの使用期間中に、BIOSパスワードを変更することはほとんどないと認めている
- 継続的な管理:ITSDMの60%以上(日本では58%)は、ノートPCやプリンターのファームウェアアップデートがリリースされてもすぐに更新処理しないと回答。57%(日本では51%)は、ファームウェアに関してFOMU(アップデートに対する不安)に悩まされている。一方で、80%(日本では84%)はAIの進化により、攻撃者がより速く不正プログラムを開発できるようになることから、迅速なアップデートの重要性を認識している
- 監視と修復:デバイスの紛失や盗難により企業に生じる費用は、推定で年間86億ドルに及ぶ。リモートワークを行っている従業員の5人に1人(日本では9%)は、PCの紛失または盗難を経験したことがあり、その件をIT部門に知らせるまでに平均で25時間(日本では29時間)を要している
- 再利用と廃棄:ITSDMの47%(日本では56%)が、PCを再利用、売却、リサイクルするにあたっての大きな障害はデータセキュリティの問題だと回答。同様に39%(日本では44%)がプリンターについても同じ問題を大きな障害に挙げている
サプライヤーの選定プロセス、設定の制限における見落としは、デバイスのライフサイクル全体のセキュリティに影響
- ITSDMの52%(日本では38%)は、調達部門がIT部門やセキュリティ部門と協力して、ハードウェアやファームウェアのセキュリティに関するサプライヤーの宣伝文句を検証することはほとんどないと回答
- ITSDMの45%(日本では43%)は、提案依頼書に記載されたハードウェアやファームウェアのセキュリティに関する宣伝文句を検証する手段がなく、サプライヤーの宣伝文句を信用せざるを得ないと認めている
- ITSDMの48%(日本では36%)は、サプライヤーの言葉を何でも信じてしまう調達部門について、「子羊のように従順」と述べている
また、ITプロフェッショナルは、デバイスを自らオンボーディングし、ハードウェアやファームウェアのレベルまで、シームレスに設定する機能の限界についても懸念を抱いているという。
- ITSDMの78%(日本では79%)は、セキュリティ向上のため、クラウド経由のゼロタッチオンボーディングにハードウェアとファームウェアのセキュリティ設定を含めることを希望している
- ITSDMの57%(日本では55%)は、クラウド経由でデバイスのオンボーディングと設定ができないことに不満を感じている
- リモートワークを行う従業員のほぼ半数(48%)は、デバイスが自宅に配送されたのち、オンボーディングと設定のプロセスが非常に面倒だったと述べている
デバイスの継続的な管理、監視、是正にまつわる課題と不満
- ITSDMの71%(日本では70%)は、場所にとらわれない働き方の増加によって、デバイスセキュリティの管理が一層困難になり、従業員の生産性に影響を与え、危険な行動の発生要因となっていると回答
- 従業員の4人に1人(日本では18%)は、PCが利用できない期間を許容できず、IT部門に修理や交換を依頼するよりも性能の悪いノートPCで我慢することを選択する
- ノートPCを修理に出したことがある従業員は49%(日本では29%)で、修理や交換に2日半以上(日本では3.25日以上)を要したと回答。そのため、多くが私物や家族や友達から借りたノートPCで仕事をすることになり、個人と仕事での使用の境界線が曖昧になっている
- 12%(日本では18%)は、会社公認ではないサードパーティのプロバイダーに業務用デバイスの修理を依頼している
なお、ITSDMの79%(日本では78%)は、ハードウェアやファームウェアのセキュリティに対する自らの理解が、ソフトウェアセキュリティについての知識に比べて遅れていると回答。加えて、保有するすべての機器で、ハードウェアとファームウェアを管理するために必要な可視性や、制御性をもたらすツールが不足しているという。
- ITSDMの63%(日本では64%)は、デバイスのハードウェアやファームウェアの脆弱性や設定ミスに関する盲点が複数あると回答
- 57%(日本では59%)は、ハードウェアとファームウェアに関する過去のセキュリティ事象の影響を分析できず、リスクのあるデバイスを見極められないと回答
- 60%(日本では50%)は、ハードウェアまたはファームウェアへの攻撃の検知や緩和は不可能で、情報漏洩後の修復が唯一の方法だと考えている
データセキュリティ上の懸念が、いかに電子廃棄物(e-waste)の蔓延につながるか
- ITSDMの59%(日本では56%)は、データセキュリティ上の懸念により、デバイスをリサイクルに出すことができず、たいていの場合、デバイスを破壊していると回答
- 69%(日本では70%)は、データを完全に消去さえできれば、再利用や寄付が可能なデバイスを、大量に抱えていると回答
- ITSDMの60%(日本では69%)は、まだ利用可能なノートPCを自社がリサイクル・再利用できていないことが、電子廃棄物の蔓延につながっていると認めている
また、同社は問題を複雑にしている点として、以前に仕事で使用していた機器を所有したままの従業員が多いということを指摘。これは、デバイスのリサイクルを妨げるだけでなく、まだ会社のデータが入っている可能性のあるデバイスを放置することによるデータセキュリティリスクにもつながるとのことだ。
- リモートワークを行う従業員の70%(日本では65%)は、自宅またはオフィスの作業スペースに古いPCが1台以上あると回答
- リモートワークを行う従業員のうち、退職時、すぐデバイスを会社に返却しなかった人は12%(日本では5%)に上り、これらのうち半数(日本では2%)は返却しなかったと回答
調査概要
- 調査対象:①世界の800人以上(日本では151人)のITとセキュリティ関連の意思決定者(ITSDM)②6,000人以上(日本では1,017人)の場所にとらわれない働き方(リモートワーク)を行う従業員
- 調査期間:①は2024年5月22日から30日、②は2024年2月22日から3月5日
- 調査方法:Censuswide社がオンラインで実施
【関連記事】
・富士通、ハードウェア事業を2024年4月発足の「エフサステクノロジーズ」に統合へ
・日本HP、グローバル調査レポートの最新版を公開 マルウェアの多くが10ドル未満で販売か
・「情報セキュリティ10大脅威 2025」発表 “地政学的リスク”が初ラインクイン、第1位の脅威は?
