プリンターのファームウェア更新36％の現実

株式会社 日本HPは、最新セキュリティレポート「プリント環境の保護：サイバーレジリエンスに向けたプロアクティブなライフサイクルアプローチ」（英題：Securing the Print Estate）日本語版を発表した。対象はIT／セキュリティ意思決定者803名（米国、カナダ、英国、日本、ドイツ、フランス、オンライン調査）である。

継続的管理：ファーム更新“速やかに”は36％

ライフサイクルの「継続的な管理」段階で、ファームウェアを速やかに更新しているIT部門は36％（日本40％）にとどまるという。1台あたり毎月3.5時間（日本3時間）をハードウェア／ファームウェア対策に費やしているにもかかわらず、更新遅延が乗っ取りや機密データ窃取につながるリスクが指摘されている。

調達・オンボーディング：部門連携と審査の不足

調達・IT・セキュリティが連携して基準を定義しているのは38％（日本45％）。そのうち60％（日本55％）が連携不足のリスクを懸念する。ベンダー選定でも、IT／セキュリティを関与させていない42％（日本42％）、技術情報を要求しない54％（日本55％）、回答をセキュリティ部門に回付しない55％（日本53％）が確認された。さらに納品時の改ざん未確認51％（日本54％）という、完全性担保の課題も明らかである。

修復段階：検知・可視化・追跡の弱さ

新規公開の脆弱性に基づき攻撃されやすいプリンターを特定できるのは35％（日本34％）。ユーザー／サポートによる不正変更を追跡できるのは34％（日本34％）、ハードウェアレイヤのセキュリティイベントを検知できるのは32％（日本30％）にとどまる。物理的な情報漏えいへの懸念も高く、70％（日本68％）が機密文書の印刷・取り扱いに伴うリスクを指摘している。

廃棄・再利用：サニタイズと運用コストの壁

再利用・再販・リサイクル時のデータセキュリティが障壁と答えたのは86％（日本90％）。組織内で不要・廃棄予定のプリンターは平均約80台（日本約77台）との報告もある。現行のサニタイズに十分な信頼を置けない35％（日本45％）が存在し、ストレージの物理破壊が必要：25％（日本27％）、本体とストレージ双方の破壊が必要：10％（日本17％）といった見解も示された。

スティーブ・インチ（HP Inc. グローバルシニアプリントセキュリティストラテジスト）氏は、プリンターが機密データを保持する接続型スマートデバイスであり、更新が数年に一度では長期脆弱化を招くと警鐘を鳴らす。選定を誤れば、ファームウェア攻撃や改ざん・侵入の検知不全を通じて広範なネットワークアクセスを許す危険があるという。

HPが示す推奨対策（リリース記載の範囲）

• 調達・IT・セキュリティの三位一体連携で、導入機のセキュリティ／レジリエンス要件を明確化すること。
• 製品・サプライチェーンに関するセキュリティ証明書を製造元に要求・活用すること。
• ファームウェア更新の速やかな適用と、ポリシー準拠を維持するセキュリティツールの活用。
• ゼロデイやマルウェアを継続監視し、低レベル攻撃の防止・検知・隔離・復旧に対応するプリンターを採用すること。
• 再利用・リサイクルの前提として、ハードウェア／ファームウェア／保存データを安全に消去できる機能を備えた機種を選定すること。

もう一つの視点：ライフサイクル管理の効果

ボリス・バラシェフ（セキュリティリサーチ／イノベーション担当CTO）氏は、ライフサイクル各段階での配慮がエンドポイント基盤のセキュリティとレジリエンス向上に資するだけでなく、信頼性・パフォーマンス・コスト効率の面でも効果があると述べる。セキュリティは運用品質と費用対効果にも直結するという立場である。

出典：PRTimes HP、最新のセキュリティレポートを発表：プリンターのファームウェアを速やかに更新しているIT部門はわずか36%、デバイスの脆弱性が放置されたままに