「継続的な管理の段階」

ファームウェアを速やかに更新しているIT担当者はグローバルで36％、日本では40％にとどまり、１台あたり毎月3.5時間（日本では３時間）を費やしても十分な対策が行われていない現状が明らかになった。更新が遅れることで、重要な企業データの窃取やデバイス乗っ取りといったリスクが高まる。

「サプライヤーの選定およびオンボーディングの段階」

プリンターのセキュリティ基準をIT、セキュリティ、調達の各部門で明確に定義していると回答した日本の担当者は45％にとどまった。また、ベンダーから提供される技術情報をセキュリティ部門に提出してレビューしているのは53％のみで、納品時に工場内や輸送中の改ざんがないことを確認できる担当者は54％に過ぎなかった。

「修復の段階」

新たに公開されたハードウェアやファームウェアの脆弱性に基づき、攻撃を受けやすいプリンターを特定できると答えた日本の担当者は34％にとどまった。ユーザーやサポート部門によるハードウェアの不正変更を追跡できると答えたのも34％、ハードウェアレベルの攻撃に関連するセキュリティイベントを検知できるのは30％に過ぎない。また、従業員による機密情報の印刷や誤操作など物理的な情報漏えいリスクを懸念する担当者は68％に上った。

「廃棄・再利用の段階」

データセキュリティがプリンターの再利用やリサイクルの障壁になっていると回答した日本の担当者は90％にのぼり、組織内で不要または廃棄予定のプリンターは平均77台報告されている。さらに、プリンター内のデータを完全かつ安全に消去できるかどうかに確信を持てない担当者は45％で、27％はプリンターのストレージドライブの物理的破壊が必要と考えている。

推奨されるセキュリティ対策

HPは調査結果を踏まえ、IT、セキュリティ、調達の各部門が連携し、新規導入プリンターに求められるセキュリティ要件を明確化することを推奨している。製造元やプロバイダーから提供されるセキュリティ証明書を活用し、ファームウェアの迅速なアップデートを行うことで、ゼロデイ脅威やマルウェアを含む脅威に対処できる。さらに、保存データ、ハードウェア、ファームウェアを安全に消去可能なプリンターを選択する必要がある。

HPのグローバルシニアプリントセキュリティストラテジストのスティーブ・インチ氏は「プリンターは、もはや無害な事務機器ではなく、機密データを保存する、接続型のスマートデバイスです。複数年に一度しか更新されない場合、十分なセキュリティ対策が施されていないプリンターが長期にわたって脆弱な状態に置かれる恐れがあります。侵害を受ければ、機密情報が脅迫や違法販売に悪用される可能性もあります。選択を誤れば、ファームウェア攻撃や、改ざん、侵入を検知できず、攻撃者にネットワークへの広範なアクセスを許してしまう危険性があります」と警鐘を鳴らした。