企業が直面する5つのセキュリティ課題とその対応策
デバイスのライフサイクルは、1)サプライヤー選定、2)デバイス導入(オンボーディング)、3)継続的な運用・管理、4)監視と修復、5)廃棄・再利用の5つのフェーズに分けられる。調査によって明らかになったのは、各段階における以下のような深刻な課題だ。
1. 「サプライヤー選定」の課題
調査対象の34%(日本29%)がPC・プリンターのサプライヤーが過去5年間にセキュリティ監査で不適合となり、さらに18%(日本21%)は重大な不適合により契約を打ち切ったと回答している。特に懸念されるのは、IT・セキュリティ部門がデバイス調達に関与しないケースだ。ITSDMの60%(日本55%)がこの点をリスク要因として挙げた。
ここで問題になるのが、企業がベンダー側の提案書に記載された安全性の宣伝文句を十分に検証せず、そのまま受け入れてしまっているという点である。
「ベンダー側が提案書に書いた自社の製品の安全性の宣伝文句を、本当に検証していますか? そのまま受け入れてしまっていませんか?」(大津山氏)
2.「デバイス導入(オンボーディング)」における脆弱性の放置
BIOSパスワードの管理は大きな課題となっている。セキュリティ責任者の半数以上(世界53%、日本64%)がBIOSパスワードの共有や強度不足を問題視し、53%(日本47%)は使用期間中にパスワード変更をほとんど行わないと認めているのだ。
特に憂慮すべきは、BIOSへの不正アクセスがOSレベルのセキュリティをすべて無効化できる恐れがあるという点である。にもかかわらず、こうした基礎的なセキュリティ対策がおろそかになっているのが現状だ。
3. 「継続的な運用・管理」における更新遅延
ファームウェアアップデートの遅延が深刻な問題となっている。セキュリティ責任者の60%以上(日本58%)が更新処理をすぐに行わず、57%(日本51%)がアップデートに不安を抱えていることが判明した。
多くの企業では「安定稼働しているものには触れない」という考え方が根強く残っている。だが、サイバー攻撃のスピードが加速する今日、そうした消極的な姿勢は極めて危険なのである。
4. 「監視と修復」における初動対応の遅れ
デバイスの紛失・盗難による年間損失は推定86億ドルに達している。場所を選ばない働き方をする従業員の5人に1人(日本9%)がPC紛失または盗難を経験し、IT部門への報告までに平均25時間(日本29時間)かかっているという調査結果が示された。
こうした状況において、紛失したデバイスからの情報漏洩リスクは計り知れない。リモートワイプ機能やデータ暗号化の導入と並んで、従業員への速やかな報告の重要性を徹底することが必要不可欠だ。
5. 「廃棄・再利用」におけるデータ残存リスク
デバイスのライフサイクル終盤においても、データセキュリティが最大の障壁となっている。47%(日本56%)がPCの、39%(日本44%)がプリンターの再利用・売却・リサイクルにおいてこの問題を指摘した。
使用済みデバイスからの情報漏洩は過去に多くの企業で実際に発生している。特に見落とされがちなのがプリンターの内部メモリだ。ここには想像以上の機密情報が残されていることが少なくない点に注意が必要である。
効果的なデバイスセキュリティ戦略の構築法
これらの課題に対して、どのような対策が有効なのか。デバイスライフサイクル全体のセキュリティ戦略を構築するためには、以下のポイントがある。
- 部門間連携の強化: IT・セキュリティ・調達部門間で緊密に連携し、明確な調達要件を確立する
- ベンダー主張の検証: セキュリティに関する宣伝文句について、技術説明や資料提出を求め、徹底的に検証する
- 長期的視点での判断: デバイスライフサイクル全体を通じてセキュリティ要件とコスト削減効果との関係性を検討する
- サプライヤー監査の実施: 製造プロセスやセキュリティガバナンスについて定期的な監査・検証を行う
特に重要なのは、「前工程」――つまり調達段階での慎重な判断である。「ここで手抜きをすると、その後ずっと苦労しますよ」(大津山氏)
