HP、最新のセキュリティレポートを発表：プリンターのファームウェアを速やかに更新しているIT部門はわずか36%、デバイスの脆弱性が放置されたままに

株式会社 日本HP（本社：東京都港区、代表取締役 社長執行役員：岡戸 伸樹）は、プリンターのハードウェアとファームウェアのセキュリティ対策（プラットフォームセキュリティ）の諸課題と、プリンターのライフサイクルのあらゆる段階でこれらの障害が及ぼす影響について取り上げた最新の調査レポートの日本語版「プリント環境の保護：サイバーレジリエンスに向けたプロアクティブなライフサイクルアプローチ（Securing the Print Estate: A Proactive Lifecycle Approach to Cyber Resilience）」を発表します。本調査は、ITおよびセキュリティの意思決定者（ITSDM）800人以上を対象としたグローバル調査（＊1）に基づくもので、調査結果からはプラットフォームセキュリティが軽視され、企業にとって重大なセキュリティ上の脆弱性が生じている実態が明らかになりました。

ライフサイクルの4つの段階を対象とした調査の結果、「継続的な管理」段階において、ファームウェアのアップデートを速やかに更新しているITSDMは36%（日本では40％）にとどまることが明らかになりました。IT部門がプリンター1台あたり毎月3.5時間（日本では3時間）を費やしてハードウェアおよびファームウェアのセキュリティ対策にあたっているにもかかわらず、このような調査結果が出ています。プリンターにファームウェアの更新を迅速に行わなければ、企業は不要な脅威にさらされることになり、サイバー犯罪者による重要なデータの窃取やデバイスの乗っ取りといった被害を受けるリスクが高まります。

また、プリンターのライフサイクルにおけるその他の段階でも、次のようなセキュリティ上の脆弱性が明らかになりました。

サプライヤーの選定およびオンボーディングの段階：

• 調達における連携不足：調達、IT、セキュリティの各部門で連携して、プリンターのセキュリティ基準を定義していると回答したITSDMは38%（日本では45％）にとどまります。また、そのうち60%（日本では55％）が、こうした部門間の連携不足が組織をリスクにさらしていると危惧しています。

• 提案依頼書の確認不備：ITSDMの42%（日本でも42％）がベンダーのプレゼンテーションにIT／セキュリティ部門を関与させていません。さらに、54%（日本では55％）がセキュリティ対策を検証するための技術情報を要求しておらず、55%（日本では53％）がベンダーからの回答をセキュリティ部門に提出してレビューを依頼していない状況です。

• プリンターの完全性確認の欠如：納品時点で、工場内や輸送中にプリンターが改ざんされていないことを確認できないと回答したITSDMは過半数（51%）にのぼりました（日本では54％）。

修復の段階：

• 脅威の検知・修復が困難：多くの組織が、デバイスへのパッチ適用を継続的に実施することに苦労しています。新たに公開されたハードウェアやファームウェアの脆弱性に基づき、攻撃を受けやすいプリンターを特定できているというITSDMは35%（日本では34％）にとどまり、ベンダーや一般にも知られていないゼロデイ脅威への対応はさらに困難です。また、ユーザーやサポート部門によるハードウェアの不正な変更を追跡できると答えたITSDMは34%（日本でも34％）、ハードウェアレベルの攻撃に関連するセキュリティイベントを検知できると回答したのは32%（日本では30％）にとどまりました。

• 物理的なリスクへの懸念：サイバー攻撃だけでなく、オフラインでの脅威に対する懸念も高まっています。ITSDMの70%（日本では68％）が、従業員による機密企業情報の印刷や誤った取り扱いなど、物理的な情報漏えいのリスクを懸念しています。

廃棄・再利用の段階：

• 使用終了時のリスク：ITSDMの86%（日本では90％）が、データセキュリティがプリンターの再利用、再販、リサイクルの障壁になっていると回答しています。加えて、平均して約80台（日本では約77台）のプリンターが組織内で不要または廃棄予定となっているとの報告があり、データセキュリティは大きな問題といえます。

• 信頼性の欠如：現在のサニタイズ（データ抹消処理）ソリューションに対する信頼は不十分で、ITSDMの35%（日本では45％）がプリンター内のデータを完全かつ安全に消去できるかどうか確信が得られないとしています。また、4人に1人（日本では27％）はプリンターのストレージドライブの物理的破壊が必要と考え、10人に1人（日本では17%）は、デバイス本体とストレージドライブの両方を破壊すべきだと考えています。

HP Inc.のグローバルシニアプリントセキュリティストラテジストであるスティーブ・インチ（Steve Inch）は次のように警鐘を鳴らしています。「プリンターは、もはや無害な事務機器ではなく、機密データを保存する、接続型のスマートデバイスです。複数年に一度しか更新されない場合、十分なセキュリティ対策が施されていないプリンターが長期にわたって脆弱な状態に置かれる恐れがあります。侵害を受ければ、機密情報が脅迫や違法販売に悪用される可能性もあります。選択を誤れば、ファームウェア攻撃や、改ざん、侵入を検知できず、攻撃者にネットワークへの広範なアクセスを許してしまう危険性があります」。

本調査では、プリンターのライフサイクル全体にわたるセキュリティ課題への対処法として、以下の対策を推奨しています。

• IT、セキュリティ、調達の各部門が効果的に連携し、新たに導入するプリンターに求められるセキュリティとレジリエンスの要件を明確に定義すること。

• 製品やサプライチェーンのプロセスに関するセキュリティ証明書を製造元／プロバイダーに要求し、それらを活用すること。

• セキュリティ脅威へのリスクを最小限に抑えるため、ファームウェアのアップデートを速やかに適用すること。 セキュリティツールを活用し、プリンターのポリシーに基づいた設定のコンプライアンスを効率的に維持すること。

• ゼロデイ脅威やマルウェアを継続的に監視し、低レベルの攻撃に対して防止、検知、隔離、復旧できるプリンターを導入すること。

• 安全な再利用やリサイクルを実現するために、ハードウェア、ファームウェア、保存データを安全に消去できる機能を備えたプリンターを選択すること。

セキュリティリサーチ／イノベーション担当チーフテクノロジストのボリス・バラシェフ（Boris Balacheff）は次のように述べています。「プリンターのライフサイクルの各段階でセキュリティに配慮することは、エンドポイントインフラのセキュリティやレジリエンスの向上に貢献するだけでなく、信頼性、パフォーマンス、コスト効率の面でもライフサイクル全体を通じて高い効果が得られます」。

調査レポートの日本語版「プリント環境の保護：サイバーレジリエンスに向けたプロアクティブなライフサイクルアプローチ（Securing the Print Estate: A Proactive Lifecycle Approach to Cyber Resilience）」はこちらからご覧ください。

＊1：本レポートの調査結果は、2024年に米国、カナダ、英国、日本、ドイツ、フランスのITおよびセキュリティ関連の意思決定者803名を対象として実施された調査に基づいています。調査はCensuswide社によりオンラインで実施されました。

HP Wolf Securityについて

HP Wolf Securityはワールドクラスのエンドポイントセキュリティです。ハードウェアにより強化され、エンドポイントに焦点をあてたセキュリティサービスで構成するHPのポートフォリオは、組織がPC、プリンター、従業員をサイバー犯罪から保護できるよう設計されています。HP Wolf Securityは、ハードウェアレベルからはじまり、ソフトウェアとサービスまで包括的なエンドポイント保護とレジリエンスを提供します。「HP Wolf Security」に関する情報は、以下のURLを参照してください。

http://www.hp.com/jp/wolf

HPはQuocircaの「Print Security Landscape 2025」において、「戦略」と「提供の完全性」の両分野でリーダーに選出されました。

HPについて

HP Inc.（ニューヨーク証券取引所：HPQ）は、世界的なテクノロジーリーダーであり、人々のアイデアに命を吹き込み、大切な物事とつながるためのソリューションを創造しています。170カ国以上で事業を展開し、革新的で持続可能な幅広いデバイス、サービスおよびサブスクリプションを、パーソナルコンピューティング、プリンティング、3Dプリンティング、ハイブリッドワーク、ゲーミング、その他さまざまな分野で提供しています。

＃ ＃ ＃

文中の社名、商品名は、各社の商標または登録商標です。

◆お客様からのお問い合わせ先（記事掲載時のお問い合わせ先もこちらでお願いいたします。）

カスタマー・インフォメーションセンター 　

TEL：0120-436-555

ホームページ　 http://www.hp.com/jp/