HP、セキュリティ調査結果を発表：デバイスのライフサイクル全体でプラットフォームセキュリティの弱点が明らかに

サプライヤーの監査不適合、BIOSパスワードの脆弱性、アップデートに対する不安、デバイスの紛失・盗難、電子廃棄物の増加に至るまで、ライフサイクル全体を通じてサイバーセキュリティの課題が浮き彫りに



株式会社日本HP（本社：東京都港区、代表取締役 社長執行役員：岡戸 伸樹）は、デバイスライフサイクルの各段階でセキュリティ対策を怠ることで、サイバーセキュリティ上の影響が甚大なものになることを明示した最新のグローバル調査レポートの日本語版（https://jp.ext.hp.com/content/dam/jp-ext-hp-com/jp/ja/ec/lib/info/newsroom/2025/202502/wolf_security_lifecycle_report_jp.pdf）を発表します。調査結果では、プラットフォームのセキュリティ、すなわちPCやプリンターなどのハードウェアやファームウェアを保護する対策が見落とされることが多く、その結果、今後何年にもわたってサイバーセキュリティ体制を弱体化させる恐れがあることが示されました。

このレポートは、世界の800人以上（日本では151人）のITとセキュリティ関連の意思決定者（ITSDM）と、6,000人以上（日本では1,017人）の場所にとらわれない働き方を行う従業員を対象に行った調査に基づいています。本レポートでは、プラットフォームセキュリティへの懸念が高まっていることが明らかになりました。たとえばITSDMの81%（日本では77%）は、攻撃者が脆弱なデバイスを悪用できないようにするためにはハードウェアやファームウェアのセキュリティを優先事項にすべきと回答しています。一方で、ハードウェアやファームウェアのセキュリティへの投資はデバイスの総所有コスト（TCO）において見落とされることが多いとの回答は68%（日本では70%）に上りました。この結果、コストのかかるセキュリティ上の問題、管理費用の負担、さらには効率性の低下が後々発生する原因となっています。

デバイスライフサイクルの5段階における主な調査結果は次の通りです。

・サプライヤーの選定：調査対象の34%（日本では29%）が、PCやプリンターのサプライヤーが過去5年間にサイバーセキュリティ監査に不適合となったと回答し、18%（日本では21%）が監査不適合が重大であり、契約を打ち切ったと回答しています。ITSDMの60%（日本では55%）は、デバイスの調達にIT部門やセキュリティ部門が関与しないことが、企業をリスクにさらしていると回答しました。

・オンボーディングと設定：ITSDMの半数以上（世界では53%、日本では64%）は、BIOSパスワードが共有されていたり、使いまわされていたり、強度が不十分であると指摘しています。さらに、53%（日本では47%）がデバイスの使用期間中に、BIOSパスワードを変更することはほとんどないと認めています。

・継続的な管理：ITSDMの60%以上（日本では58%）は、ノートPCやプリンターのファームウェアアップデートがリリースされてもすぐに更新処理しないと回答し、さらに57%（日本では51%）は、ファームウェアに関してFOMU（アップデートに対する不安）に悩まされています。一方で、80%（日本では84％）はAIの進化により攻撃者がより速く不正プログラムを開発できるようになることから、迅速なアップデートの重要性を認識しています。

・監視と修復：デバイスの紛失や盗難により企業に生じる費用は、推定で年間86億ドルにも及んでいます（*1）。場所にとらわれない働き方を行う従業員の5人に1人（日本では9%）はPCの紛失または盗難を経験したことがあり、その件をIT部門に知らせるまでに平均で25時間（日本では29時間）を要していることが明らかになっています。

・再利用と廃棄：ITSDMの47%（日本では56％）が、PCを再利用、売却、リサイクルするにあたっての大きな障害はデータセキュリティの問題であると回答しました。同様に39%（日本では44％）がプリンターについても同じ問題を大きな障害に挙げています。


HPのセキュリティリサーチ／イノベーション担当チーフテクノロジストであるボリス・バラシェフ（Boris Balacheff）は次のように述べています。「PCやプリンターの調達は、企業のエンドポイントインフラに長期的な影響を与えるセキュリティ意思決定です。調達時にハードウェアとファームウェアのセキュリティ要件を優先するか否かによって、リスクの増大から、コストの上昇、あるいはユーザーエクスペリエンスの低下まで、保有するすべての機器のライフタイム全体に影響が及ぶ可能性があります。利用可能な技術水準に比べてセキュリティと管理性の要件が低く設定された場合などは特にそうです。エンドユーザーのデバイスインフラをサイバーリスクに強いものにすることが不可欠です。これを実現するには、ハードウェアとファームウェアのセキュリティに対する優先順位を引き上げ、デバイス群のライフサイクル全体にわたる管理方法の成熟度を高めるところから始める必要があります」。


〈工場からユーザーの手元に届くまで：サプライヤーの選定プロセス、設定の制限における見落としは、デバイスのライフサイクル全体のセキュリティに影響〉
調査結果は、IT部門やセキュリティ部門が新しいデバイスの調達プロセスに関与し、要件の設定やセキュリティに関するサプライヤーの言い分の検証をすることが更に重要となっていることを浮き彫りにしています。

・ITSDMの52%（日本では38%）は、調達部門がIT部門やセキュリティ部門と協力して、ハードウェアやファームウェアのセキュリティに関するサプライヤーの宣伝文句を検証することはほとんどないと回答しています。
・ITSDMの45%（日本では43%）は、提案依頼書に記載されたハードウェアやファームウェアのセキュリティに関する宣伝文句を検証する手段がないため、サプライヤーの宣伝文句を信用せざるを得ないことを認めています。
・ITSDMの48%（日本では36%）は、サプライヤーの言葉を何でも信じてしまう調達部門について、「子羊のように従順」とさえ述べています。

ITプロフェッショナルは、デバイスを自らオンボーディングし、ハードウェアやファームウェアのレベルまでシームレスに設定する機能の限界についても懸念を抱いています。

・ITSDMの78%（日本では79%）は、セキュリティ向上のため、クラウド経由のゼロタッチオンボーディングにハードウェアとファームウェアのセキュリティ設定を含めることを希望しています。
・ITSDMの57%（日本では55％）は、クラウド経由でデバイスのオンボーディングと設定ができないことに不満を感じています。
・場所にとらわれない働き方を行う従業員のほぼ半数（48%）は、デバイスが自宅に配送されたのち、オンボーディングと設定のプロセスが非常に面倒だったと不満を述べています。

HPのサプライチェーンサイバーセキュリティ担当ビジネス情報セキュリティ責任者であるマイケル・ヘイウッド（Michael Heywood）は、次のように述べています。「信頼できるテクノロジープロバイダーを常に選ぶ必要があります。しかしITインフラの入口としての役割を果たすデバイスのセキュリティとなると、それは無条件の信頼であってはなりません。企業には、技術的な説明、詳細な文書、定期的な監査、厳格な検証プロセスといった確かな証拠をもって、セキュリティ要求が満たされていることと、デバイスを安全かつ効率的にオンボードできることを示す必要があります」。


〈デバイスの継続的な管理、監視、是正にまつわる課題と不満〉
ITSDMの71%（日本では70%）は、場所にとらわれない働き方の増加によって、デバイスセキュリティの管理が一層困難になり、従業員の生産性に影響を与え、危険な行動の発生要因となっていると回答しています。

・従業員の4人に1人（日本では18%）は、PCが利用できない期間を許容できず、IT部門に修理や交換を依頼するよりも性能の悪いノートPCで我慢することを選択します。
・ノートPCを修理に出したことがある従業員は49％（日本では29%）で、修理や交換に2日半以上（日本では3.25日以上）を要したと回答しています。そのため多くが私物や家族や友達から借りたノートPCで仕事をすることになり、個人と仕事での使用の境界線が曖昧になっています。
・12%（日本では18％）は会社公認ではないサードパーティのプロバイダーに業務用デバイスの修理を依頼しています。これはプラットフォームのセキュリティを脅かし、デバイスの完全性についてのIT部門の判断を誤らせることが懸念されます。

脅威アクター（意図的に損害を与えようとする個人やグループ）が機密データや重要なシステムにアクセスするのを防ぐためにも、ハードウェアとファームウェアのリスクを監視し、是正していくことが非常に重要です。しかしながら、ITSDMの79%（日本では78％）は、ハードウェアやファームウェアのセキュリティに対する自らの理解が、ソフトウェアセキュリティについての知識に比べて遅れていると回答しています。さらに、保有するすべての機器でハードウェアとファームウェアを管理するために必要な可視性や制御性をもたらす成熟したツールが不足しています。

・ITSDMの63%（日本では64%）は、デバイスのハードウェアやファームウェアの脆弱性や設定ミスに関する盲点が複数あると回答しています。
・57%（日本では59%）は、ハードウェアとファームウェアに関する過去のセキュリティ事象の影響を分析できず、リスクのあるデバイスを見極めることができないとしています。
・60%（日本では50%）は、ハードウェアまたはファームウェアへの攻撃の検知や緩和は不可能で、情報漏洩後の修復が唯一の方法だと考えています。

HP Security Labのプリンシパル脅威リサーチャーであるアレックス・ホランド（Alex Holland）は、次のように述べています。「ハードウェアとファームウェアへの攻撃となると、情報漏洩後の修復は敗者の戦略です。攻撃によって攻撃者はデバイスを完全に掌握し、システムの奥深くに食い込みます。これらの脅威に対して、OSやソフトウェアのレイヤーに焦点を当てた従来のセキュリティツールは無力で、検知はほぼ不可能です。先手を打つためには、最初からこれらの攻撃を未然に防いだり封じ込めたりすることが重要であり、それができない場合、企業は目に見えない、そして取り除くことができない脅威にさらされることになります」。


〈再利用と廃棄：データセキュリティ上の懸念が、いかに電子廃棄物（e-waste）の蔓延につながるか〉
プラットフォームに関するセキュリティ上の懸念により、企業は使用済みデバイスを再利用、リサイクル、または売却しにくくなっています。

・ITSDMの59%（日本では56%）は、データセキュリティ上の懸念により、デバイスをリサイクルに出すことができず、たいていの場合、デバイスを破壊していると回答しています。
・69%（日本では70%）は、データを完全に消去さえできれば再利用や寄付が可能なデバイスを、大量に抱えていると回答しています。
・ITSDMの60%（日本では69%）は、まだまだ利用可能なノートPCを自社がリサイクル・再利用できていないことが、電子廃棄物の蔓延につながっていることを認めています。

さらに問題を複雑にしているのは、以前に仕事で使用していた機器を所有したままの従業員が多いという点です。このことは、デバイスのリサイクルを妨げるだけでなく、まだ会社のデータが入っている可能性のあるデバイスを放置することによるデータセキュリティリスクにもつながります。

・場所にとらわれない働き方を行う従業員の70%（日本では65%）は、自宅またはオフィスの作業スペースに古いPCが1台以上あると回答しています。
・場所にとらわれない働き方を行う従業員のうち、退職時、すぐデバイスを会社に返却しなかった人は12%（日本では5%）に上り、これらのうち半数（日本では2%）は返却すらしなかったと回答しています。

HPソリューション部門オペレーション兼ポートフォリオシニアバイスプレジデントのグラント・ホフマン（Grant Hoffman）は次のように述べています。「IT部門は、企業や個人の機密データが完全に消去されているという保証がほとんどないため、使用済みデバイスを溜め込んでいます。そのこと自体がデータセキュリティにとってリスクとなるほか、ESG目標の実現にもマイナスの影響を与えます。コンプライアンス要件を満たすには、最新かつ業界標準の消去プロセスまたはメディア破壊プロセスを駆使し、データ消去証明書を発行してくれるような、信頼できる IT 資産処分ベンダーを見つけることが重要です」。


〈プラットフォームのセキュリティ向上には、デバイスライフサイクルへの新しいアプローチが必要〉
企業の69%（日本では66%）が、デバイスのハードウェアとファームウェアのセキュリティに関する自社の管理方法について、ライフサイクルのほんの一部にしか対応していないと回答しています。これにより、デバイスはリスクに晒されたままとなり、IT部門はサプライヤーの選択から廃棄に及ぶプラットフォームセキュリティの監視と制御ができません。

ライフサイクル全体でプラットフォームセキュリティを管理するため、「HP Wolf Security」は以下を推奨します。

・サプライヤーの選択： IT、セキュリティ、調達の各部門がしっかりと連携して、新規デバイスのセキュリティとレジリエンス要件を確立し、ベンダーによるセキュリティの宣伝文句を検証の上、サプライヤーの製造におけるセキュリティガバナンスの監査を行う。
・オンボーディングと設定：デバイスとユーザーの安全なゼロタッチオンボーディングと、BIOSパスワードのような脆弱な認証に依存しない安全なファームウェア設定管理を可能にするソリューションを検討する。
・継続的な管理：自社の保有するすべての機器のアタックサーフェス（攻撃対象領域）を減らすために、IT部門がリモートでデバイス設定を監視・更新し、ファームウェアアップデートを迅速に展開する上で役立つツールを特定する。
・監視と対策：電源がオフになっているデバイスであっても、IT部門やセキュリティ部門がリモートでデバイスを検索、ロック、データ消去できるようにすることで、デバイスの紛失や盗難のリスクに対処する。デバイスの監査ログを監視して、ハードウェアとファームウェアの不正な変更や悪用の兆候を検知するなど、プラットフォームのセキュリティリスクを特定することで、レジリエンスを向上。
・再利用と廃棄：ハードウェアやファームウェアの重要データを安全に消去できるデバイスを優先的に採用することで、安全な使用停止を実現。デバイスを再デプロイする前に、それまでのサービス履歴を監査し、管理の連鎖（chain of custody）およびハードウェアとファームウェアの完全性を検証する。

日本語版レポート「デバイスライフサイクルの保護：工場からユーザーの手元、将来の再デプロイまで」は、以下のURLを参照してください。
https://jp.ext.hp.com/content/dam/jp-ext-hp-com/jp/ja/ec/lib/info/newsroom/2025/202502/wolf_security_lifecycle_report_jp.pdf

本調査について
1. 場所にとらわれない働き方を行う従業員のサンプル：米国、カナダ、英国、日本、ドイツ、フランスでリモートワークをしているオフィスワーカー6,055人を対象に調査しました。フィールドワークは2024年5月22日から30日にかけて実施されました。調査はCensuswide社によりオンラインで行われました。
2. ITSDMのサンプル：米国、カナダ、英国、日本、ドイツ、フランスのITおよびセキュリティ関連の意思決定者803名を対象に調査しました。フィールドワークは2024年2月22日から3月5日にかけて実施されました。調査はCensuswide社によりオンラインで行われました。


HP Wolf Securityについて
HP Wolf Securityはワールドクラスのエンドポイントセキュリティです。ハードウェアにより強化され、エンドポイントに焦点をあてたセキュリティサービスで構成するHPのポートフォリオは、組織がPC、プリンター、従業員をサイバー犯罪から保護できるよう設計されています。HP Wolf Securityは、ハードウェアレベルからはじまり、ソフトウェアとサービスまで包括的なエンドポイント保護とレジリエンスを提供します。「HP Wolf Security」に関する情報は、以下のURLを参照してください。
http://www.hp.com/jp/wolf


＊1：ノートPCの紛失・盗難は世界で多発しており、昨年にITSDMが紛失・盗難を報告したノートPCの数は平均で103台、紛失・盗難事例ごとの平均コストは2,272ドル、つまり合計で23万4,119ドルのコストとなっています。次に、コストを調査範囲と同じ地域にある大規模企業（従業員数1,000人以上）の数にわたって推定します。
・米国：17,834社の大規模企業（米国労働省労働統計局)
・カナダ：2,868社の大規模企業（カナダ政府）
・英国：3,900社（英国政府）
・日本：6,557社（eStat - 日本国政府統計）
・ドイツ：4,304社（OECD）
・フランス：1,460社（OECD）

上記のとおり、大規模企業は計36,923社存在します。それぞれが103台のノートPCを失うと、平均コストが2,273ドル×103で23万4,119ドルとなり、全世界のノートPCの紛失・盗難によるコストは86億4437万5837ドルとなります。


HPについて
HP Inc.（ニューヨーク証券取引所：HPQ）は、世界的なテクノロジーリーダーであり、人々のアイデアに命を吹き込み、大切な物事とつながるためのソリューションを創造しています。170カ国以上で事業を展開し、革新的で持続可能な幅広いデバイス、サービスおよびサブスクリプションを、パーソナルコンピューティング、プリンティング、3Dプリンティング、ハイブリッドワーク、ゲーミング、その他さまざまな分野で提供しています。


＃ ＃ ＃

文中の社名、商品名は、各社の商標または登録商標です。

◆お客様からのお問い合わせ先（記事掲載時のお問い合わせ先もこちらでお願いいたします。）
カスタマー・インフォメーションセンター 　
TEL：0120-436-555
ホームページ　http://www.hp.com/jp/

企業プレスリリース詳細へ
PR TIMESトップへ