かつて企業活動の中心として活躍していた謙虚なプリンターは、数年前に電子文書管理に取って代わられました。しかし、しばしば見過ごされがちなこのオフィスの働き者は、現代のIT環境において依然として存在感を保ち、セキュリティ意識の低い組織にとって潜在的なリスクとなっています。
「プリンターはもはや無害なオフィス備品ではありません。今やスマートでネットワークに接続され、機密データを保存するデバイスです」と、HP Inc.のグローバル シニア プリントセキュリティ ストラテジストであるスティーブ・インチ氏は、同社が先月発表したレポートに関するプレスリリースで述べています。「誤った選択をすると、組織はファームウェア攻撃や改ざん、不正侵入に気付けなくなり、攻撃者がネットワーク全体にアクセスするための入り口を提供してしまうのです。」
HPが800人以上の企業ITおよびセキュリティ意思決定者を対象に実施した調査によると、多くの組織が悪意ある攻撃者に対して扉を大きく開けている状態です。プリンター管理に月平均3.5時間を割いているにもかかわらず、ファームウェアのアップデートを迅速に適用していると回答したのはわずか36%でした。
既知のデバイス脆弱性の修正を怠ることも、HPによれば蔓延している問題です。回答者の3分の1強しか、不正なプリンターのハードウェア変更を追跡したり、公開されているセキュリティ推奨事項に基づいてデバイスの脆弱性を特定したりできないと答えています。
2023年には、FBIとサイバーセキュリティ・インフラストラクチャセキュリティ庁がPaperCutユーザーに対し、プリント管理ソフトウェアの脆弱性を悪用する攻撃者がいると警告しました。この攻撃はベンダーがパッチをリリースした後に始まりました。
「プリントインフラを無視して、悪意ある攻撃者もそれを無視してくれると期待することはできません」と、HPのセキュリティ研究・イノベーション担当チーフテクノロジスト、ボリス・バラシェフ氏はCIO Diveに語りました。「適切なエンタープライズセキュリティ体制を維持したいのであれば、プリントインフラのセキュリティ体制も同様に整える必要があります。」
問題の一因は可視性の欠如です。エンタープライズプリンターはしばしば集中管理から外れており、ITやセキュリティ責任者がすべての機器を把握するのが難しいとバラシェフ氏は指摘します。合併や買収で既に分散しているプリンターフリートがさらに増えると、課題はさらに複雑化します。
「プリンターが施設管理や不動産部門によって管理されている企業も見受けられます。IT部門とは全く関係がありません」とバラシェフ氏。「ドアがあり、照明があり、そしてプリンターがあるのです。」
シャドーITは、アプリケーションであれネットワーク接続デバイスであれ、不要なセキュリティリスクをもたらします。
最新情報をチェックしましょう。Cybersecurity Diveの無料デイリーニュースレターに登録してください。
「適切に管理されていないコンピューターにデータをさらすことなど夢にも思わないでしょう」とバラシェフ氏。「プリンターもネットワーク上で保護すべきコンピューターと同じです。IoTデバイスであり、常に稼働しています。」
プリントの根強い存在感
ペーパーレス化の進展に伴い、従来のプリンターフリートが廃止される中でプリンター需要は減少していますが、金融、医療、政府、法務、小売など特定の業界では依然として依存が続いています。
エンタープライズプリンターがすぐにITの廃棄リストに載るという見方は、少なくとも時期尚早だと、IDCのイメージング・プリンティング・ドキュメントソリューション担当プログラムVP、キース・クメッツ氏はメールで述べています。
「多くの組織がプリントインフラの削減を試みていますが、それは排除ではなく縮小に過ぎません」とクメッツ氏。
IDCの調査によると、昨年メーカーは印刷、スキャン、コピーができるプリンターや複合機を約7,900万台出荷しました。今後5年間で市場は10%縮小すると予測されていますが、2029年にも約7,000万台が出荷される見込みです。
プリントの根強さは、人間の好み、規制要件、ITの能力などが複雑に絡み合った結果です。完全にデジタルプロセスへ移行するための技術基盤が不足している組織もあれば、審美的価値などの理由で印刷を好む組織もあります。
「紙の書類は、私たちが日々受け取るデジタルコンテンツの洪水よりも無視しにくいものです」とクメッツ氏。「紙の文書は行動を促すものです。」
それにもかかわらず、多くの組織でプリンターは経営層の関心から外れ、セキュリティ管理の対象外となっています。
「正直なところ、プリントはCIOにとって常に魅力的な提案ではありません」と、Xeroxの社長兼COO、ジョン・ブルーノ氏は2025年第1四半期の決算説明会(5月)で述べました。同社のプリント部門の売上は、第2四半期に前年同期比8.6%減の14億ドルとなり、2024年1月に組織改革を開始して以来、ITおよびデジタルサービスへの転換を進めています。
HPは2025年度第2四半期(4月30日終了)において、プリンター部門の売上が4%減の42億ドルと、より緩やかな減少を経験しました。同社は年内もプリンター部門の売上減少が続くと予想していますが、それでも初の量子耐性エンタープライズプリンターの展開に投資していると、HP社長兼CEOのエンリケ・ロレス氏は5月の第2四半期決算説明会で述べました。
「セキュリティ予算は機器の購入には使われませんが、IT部門は将来的にネットワークに存在するあらゆる問題に対処しなければなりません」とバラシェフ氏。「プリンターのライフサイクルを通じて管理すべき問題は、必ずしも事前に考慮されていたものではありません。」
多くの企業は、3〜5年のリースやマネージドサービス契約でプリンターを調達し、更新サイクルが決められているとクメッツ氏は説明します。サービスされていない旧型機器は、IT部門が立ち入らない事業の片隅で、さらに長期間稼働し続けることもあります。
「契約外のデバイスについては、『壊れていなければ直さない』という考え方が根強いでしょう」とクメッツ氏。「そうした場合、10年以上前のプリンターやMFPが見つかるのも珍しくありません。」
翻訳元: https://www.cybersecuritydive.com/news/printers-cybersecurity-risk-tech-debt-hp-xerox-idc/757884/