出典:Adobe Stock Photo(Rawpixel.com)
質問:マネージドプリンターは依然として保護されていません。プリンターを効果的に保護するために、リーダーシップのレベルで何を変える必要がありますか?
Smyphion CEO ジム・ラロー:「管理されている」ことと「保護されている」ことは同じではありません。多くの企業がプリンターを「管理」する際に重視するのは、稼働率とトナー、用紙、修理のコストです。それはセキュリティではありません。保護でもありません。プリンターはしばしば組織のエンドポイントの20%〜30%を占めます。最も機微なデータを受信・送信・処理・保存し、侵害への最も脆弱な経路になり得ます――なぜなら、その保護の責任者がいないからです。
ここに不都合な真実があります。リーダーシップの課題は、技術的課題に先立って存在します。
責任の空白があります。プリンターのエンドポイントは通常、サプライチェーン(コスト重視)が所管し、IT(運用重視)やセキュリティ(リスク重視)に隣接しています。誰もその保護に責任を負ってきませんでした。セキュリティのためのポリシー、統制、KPIがなければ、保護もありません。
予算上の盲点。プリンターセキュリティの費目がなければ、優先順位もありません。持続的な予算のないセキュリティは、統制やポリシーではなく「プロジェクト」になってしまいます。サプライチェーンはRFPにおいて、マネージドサービスプロバイダー契約にセキュリティを含めようとすることがよくあります。
「管理」は誤った安心感につながります。マネージドプリントサービスは、印刷サービス提供、稼働率、コストを最適化します。デバイスがトナーや故障対応のために管理されていても、マネージドプリンターサービス業界は工場出荷時のデフォルト設定をそのままにしがちで、プリンターを開放状態のままリスクにさらします。セキュリティ(保護)はコストを増やし競争力を下げるため、基本的なサイバー衛生が実施されていません。また、印刷フリートを構成するプリンターのメーカー、モデル、種類、年式のばらつきに対処する技術も欠けています。
問題の一部は、慢心と注意散漫です。誰もが「新しい流行」を追いかける一方で、レガシー技術は無視しやすい。攻撃者は気にしません。最も抵抗の少ない経路――デフォルト認証情報、開放されたサービス、開放されたアクセス、監視不在――を通って侵入します。プリンターはその条件をすべて満たしています。
リーダーシップは、技術的な問題に取り組む前に組織的な変更を行う必要があります。
-
リスクを明確にし――その責任者を定める。CISO配下に「プリンターエンドポイントセキュリティ責任者」を1名任命してください。セキュリティ、インフラ/エンドポイント、ネットワーク、サプライチェーン/調達の全体に責任者を周知します。誰かが責任を負わない限り、何も進みません。
-
ポリシーレベルで「保護」を定義する。プリンターエンドポイント向けに、平易な言葉のセキュリティ標準を作成してください:IDとアクセス制御、変更管理(ガバナンス)と監視。ベンダー非依存で、成果(アウトカム)ベースにします。不完全なプログラムで妥協しないでください。
-
プロジェクトではなく統制として資金を確保する。印刷フリートの継続的なサイバーセキュリティ衛生と監視のために、恒常的な予算を設けてください。プロジェクトは一度だけ強化しますが、プログラムは強化状態を維持します。エンドポイントの20〜30%が未保護で、事実上見えない状態にあり、サイバー衛生もなく、事業にリスクをもたらしていることを踏まえれば、セキュリティ投資は十分に正当化できるはずです。
-
調達にセキュリティを組み込む。RFPとMSAを更新し、複数OEM間の互換性、自動コンプライアンス報告、エンタープライズ認証/暗号標準のサポートを要件化してください。「マネージド」の成果物には、デバイス稼働率だけでなく保護の成果を含めなければなりません。
-
リスクと監査に統合する。プリンターエンドポイントをリスク登録簿に入れてください。ペネトレーションテスト、机上演習、コンプライアンス監査に含めます。監査人が尋ねないとしても、あなたは実施すべきです。
-
本気で測定する。経営向けレポートを毎週作成:フリート全体のポリシー適用率、事業部別の例外件数(責任者名付き)、設定ドリフトの是正までの時間、レポートしているデバイスの割合、現行標準でカバーされている割合、再発の発生率。透明な数値は議論を終わらせます。
-
結果責任と運用リズムを作る。CISOと事業部リーダーによる四半期レビューを実施してください。未解決の例外を責任者にひも付けます。標準を達成したチームを評価し、達成しないチームはエスカレーションします。リトマス試験はシンプルです。合理的な監査人が、あなたの印刷エンドポイントがノートPCやサーバーと同等の厳格さで保護されていることを――ヒーロー(特定の個人)に頼らず、会議を開かず、ベンダーの宣伝文句なしに――検証できるでしょうか?答えがノーなら、あなたが抱えているのは技術の問題ではなく、責任所在とガバナンスの問題です。
