HPによると、世界の多くの組織はハードウェア調達の際にITセキュリティ部門に相談しておらず、たとえ相談していたとしても、ITおよびセキュリティの意思決定者(ITSDM)の4分の3超(79%)が、自身のハードウェアおよびファームウェアに関する知識に大きなギャップがあることを認めている。
テック大手のHPは、HP Wolf Security部門が米国、カナダ、英国、日本、ドイツ、フランスのオフィスワーカー6000人超とITおよびセキュリティの意思決定者800人を対象に調査を実施し、レポートSecuring the Device Lifecycle: From Factory to Fingertips, and Future Redeployment.をまとめた。
同レポートは、エンドポイントのハードウェアセキュリティに関する知見とプロセスに大きな欠落があることを明らかにし、PC、ノートPC、プリンターのデバイスライフサイクルのあらゆる段階で組織をリスクにさらしているとした。
例えば、ITSDMの52%は、調達チームがサプライヤーのハードウェアおよびファームウェアのセキュリティ主張を検証するために、ITおよびセキュリティ部門と協働することはほとんどないと回答した。これは、過去5年間にハードウェアがサイバーセキュリティ監査に不合格となったことがあると3分の1が答え、その結果として18%がサプライヤー契約の打ち切りを余儀なくされたと述べているにもかかわらず、である。
ハードウェアセキュリティに関する詳細はこちら:新しいLenovoノートブックモデルがUEFIファームウェアの脆弱性の影響を受ける。
オンボーディングと設定に関しても、レポートはさらなるセキュリティ上の懸念を指摘した。ITSDMの過半数(53%)は、BIOSパスワードが共有されている、広範に使われすぎている、または十分に強固ではないと回答し、同じ割合が、デバイスの寿命を通じてこれらの認証情報を変更することはほとんどないと認めた。
継続的な監視と是正も課題だ。ITSDMの60%超は、ノートPCやプリンター向けのファームウェア更新を利用可能になり次第実施しておらず、AIツールが脅威アクターによるバグの発見と悪用をより迅速にしている時代において、侵害リスクにさらしている。
さらに、ITSDMの63%は、ハードウェアおよびファームウェアの脆弱性や誤設定を調査する際に「複数の死角」に直面していると回答し、同程度の割合(60%)が、ハードウェア/ファームウェアの脅威の検知と是正は不可能だと主張した。
加えて、従業員の10人に1人超は、メンテナンスの遅さに強い不満を抱き、業務用デバイスの修理に無許可のサードパーティ業者を利用したことがある。半数(49%)は修理に2.5日超かかったと答え、その結果、セキュリティが十分でない可能性のある個人用ノートPCを使わざるを得なかった。
セキュリティ上の課題はデバイスライフサイクルの終盤まで続く。従業員の約70%が、自宅またはオフィスの作業スペースに古い業務用PC/ノートPCを少なくとも1台保有しており、取り残されたデバイスをめぐるデータセキュリティリスクを生んでいる。
電子廃棄物の失敗
セキュリティ上の懸念は、サステナビリティの取り組みや収益にも影響している。ITSDMの約69%は、消去(サニタイズ)できれば再利用や寄付に回せるデバイスが多数あると明かしたが、過半数(59%)はそれが難しすぎるため、セキュリティ上の懸念から機器を破壊することが多いと述べた。
HP Inc.でセキュリティ研究・イノベーション担当チーフテクノロジストを務めるBoris Balacheff氏によれば、PC、ノートPC、プリンターの購入は、組織のエンドポイントとセキュリティ態勢に長期的な影響を及ぼす。
同氏は「調達時にハードウェアおよびファームウェアのセキュリティ要件を優先する(あるいは優先しない)ことは、デバイス群のライフタイム全体にわたって影響を及ぼし得ます。利用可能な最先端技術に比べてセキュリティや管理性の要件が低く設定されている場合、リスク露出の増大、コストの押し上げ、ユーザー体験の悪化につながりかねません」と付け加えた。
「エンドユーザー向けデバイスのインフラは、サイバーリスクに対してレジリエントであることが不可欠です。そのためには、ハードウェアとファームウェアのセキュリティを優先し、機器群全体のデバイスライフサイクル全般にわたる管理の成熟度を高めることから始まります」
翻訳元: https://www.infosecurity-magazine.com/news/threequarters-security-leaders/
