調査の結果、プラットフォームセキュリティへの懸念が高まっていることが明らかになった。ITSDMの81%（日本では77%）は、攻撃者が脆弱なデバイスを悪用できないようにするためにはハードウェアやファームウェアのセキュリティを優先事項にすべきと回答している。
一方で、ハードウェアやファームウェアのセキュリティへの投資はデバイスの総所有コスト（TCO）において見落とされることが多いとの回答は68%（日本では70%）に上った。この結果、コストのかかるセキュリティ上の問題、管理費用の負担、さらには効率性の低下が後々発生する原因となっていることが分かる。

デバイスライフサイクルの主な調査結果
・サプライヤーの選定：調査対象の34%（日本では29%）が、PCやプリンターのサプライヤーが過去5年間にサイバーセキュリティ監査に不適合となったと回答。18%（日本では21%）は監査不適合が重大であり、契約を打ち切ったと回答している。ITSDMの60%（日本では55%）は、デバイスの調達にIT部門やセキュリティ部門が関与しないことが、企業をリスクにさらしていると回答した。
・オンボーディングと設定：ITSDMの半数以上（世界では53%、日本では64%）は、BIOSパスワードが共有されていたり、使いまわされていたり、強度が不十分であると指摘している。さらに、53%（日本では47%）がデバイスの使用期間中に、BIOSパスワードを変更することはほとんどないと認めている。
・継続的な管理：ITSDMの60%以上（日本では58%）は、ノートPCやプリンターのファームウェアアップデートがリリースされてもすぐに更新処理しないと回答し、さらに57%（日本では51%）は、ファームウェアに関してFOMU（アップデートに対する不安）に悩まされている。一方で、80%（日本では84％）はAIの進化により攻撃者がより速く不正プログラムを開発できるようになることから、迅速なアップデートの重要性を認識している。
・監視と修復：デバイスの紛失や盗難により企業に生じる費用は、推定で年間86億ドルにも及んでいる。場所にとらわれない働き方を行う従業員の5人に1人（日本では9%）はPCの紛失または盗難を経験したことがあり、その件をIT部門に知らせるまでに平均で25時間（日本では29時間）を要していることが明らかになっている。
・再利用と廃棄：ITSDMの47%（日本では56％）が、PCを再利用、売却、リサイクルするにあたっての大きな障害はデータセキュリティの問題であると回答した。同様に39%（日本では44％）がプリンターについても同じ問題を大きな障害に挙げている。

PCやプリンターの調達は、企業のエンドポイントインフラに長期的な影響を与えるセキュリティの意思決定に繋がる。調達時にハードウェアとファームウェアのセキュリティ要件を優先するか否かによって、リスクの増大から、コストの上昇、あるいはユーザーエクスペリエンスの低下まで、保有するすべての機器のライフタイム全体に影響が及ぶ可能性があることから、エンドユーザーのデバイスインフラをサイバーリスクに強いものにすることが不可欠となっている。これを実現するには、ハードウェアとファームウェアのセキュリティに対する優先順位を引き上げ、デバイス群のライフサイクル全体にわたる管理方法の成熟度を高めるところから始める必要がある。

工場からユーザーの手元に届くまで

調査結果では、IT部門やセキュリティ部門が新しいデバイスの調達プロセスに関与し、要件の設定やセキュリティに関するサプライヤーの言い分の検証をすることが更に重要となっていることを浮き彫りにした。
ITSDMの52%（日本では38%）は、調達部門がIT部門やセキュリティ部門と協力して、ハードウェアやファームウェアのセキュリティに関するサプライヤーの宣伝文句を検証することはほとんどないと回答している。またITSDMの45%（日本では43%）は、提案依頼書に記載されたハードウェアやファームウェアのセキュリティに関する宣伝文句を検証する手段がないため、サプライヤーの宣伝文句を信用せざるを得ないことを認めている。ITSDMの48%（日本では36%）は、サプライヤーの言葉を何でも信じてしまう調達部門について、「子羊のように従順」とさえ述べている。
ITプロフェッショナルは、デバイスを自らオンボーディングし、ハードウェアやファームウェアのレベルまでシームレスに設定する機能の限界についても懸念を抱いていている。ITSDMの78%（日本では79%）は、セキュリティ向上のため、クラウド経由のゼロタッチオンボーディングにハードウェアとファームウェアのセキュリティ設定を含めることを希望している。またITSDMの57%（日本では55％）は、クラウド経由でデバイスのオンボーディングと設定ができないことに不満を感じている。場所にとらわれない働き方を行う従業員のほぼ半数（48%）は、デバイスが自宅に配送されたのち、オンボーディングと設定のプロセスが非常に面倒だったと不満を述べている。

デバイスの継続的な管理、監視、是正にまつわる課題と不満

ITSDMの71%（日本では70%）は、場所にとらわれない働き方の増加によって、デバイスセキュリティの管理が一層困難になり、従業員の生産性に影響を与え、危険な行動の発生要因となっていると回答している。
従業員の4人に1人（日本では18%）は、PCが利用できない期間を許容できず、IT部門に修理や交換を依頼するよりも性能の悪いノートPCで我慢することを選択する。ノートPCを修理に出したことがある従業員は49％（日本では29%）で、修理や交換に2日半以上（日本では3.25日以上）を要したと回答している。そのため多くが私物や家族や友達から借りたノートPCで仕事をすることになり、個人と仕事での使用の境界線が曖昧になる。12%（日本では18％）は会社公認ではないサードパーティのプロバイダーに業務用デバイスの修理を依頼している。これはプラットフォームのセキュリティを脅かし、デバイスの完全性についてのIT部門の判断を誤らせることが懸念される。
脅威アクター（意図的に損害を与えようとする個人やグループ）が機密データや重要なシステムにアクセスするのを防ぐためにも、ハードウェアとファームウェアのリスクを監視し、是正していくことが非常に重要となる。しかしながら、ITSDMの79%（日本では78％）は、ハードウェアやファームウェアのセキュリティに対する自らの理解が、ソフトウェアセキュリティについての知識に比べて遅れていると回答している。さらに、保有するすべての機器でハードウェアとファームウェアを管理するために必要な可視性や制御性をもたらす成熟したツールが不足している。
ITSDMの63%（日本では64%）は、デバイスのハードウェアやファームウェアの脆弱性や設定ミスに関する盲点が複数あると回答している。また57%（日本では59%）は、ハードウェアとファームウェアに関する過去のセキュリティ事象の影響を分析できず、リスクのあるデバイスを見極めることができないとしている。さらに60%（日本では50%）は、ハードウェアまたはファームウェアへの攻撃の検知や緩和は不可能で、情報漏洩後の修復が唯一の方法だと考えている。
ハードウェアとファームウェアへの攻撃者はデバイスを完全に掌握し、システムの奥深くに侵食する。これらの脅威に対して、OSやソフトウェアのレイヤーに焦点を当てた従来のセキュリティツールでの検知はほぼ不可能となっている。先手を打つためには、最初からこれらの攻撃を未然に防いだり封じ込めたりすることが重要となっている。

データセキュリティ上の懸念　電子廃棄物（e-waste）蔓延

プラットフォームに関するセキュリティ上の懸念により、企業は使用済みデバイスを再利用、リサイクル、または売却しにくくなっている。
ITSDMの59%（日本では56%）は、データセキュリティ上の懸念により、デバイスをリサイクルに出すことができず、たいていの場合、デバイスを破壊していると回答している。また69%（日本では70%）は、データを完全に消去さえできれば再利用や寄付が可能なデバイスを、大量に抱えていると回答している。さらにITSDMの60%（日本では69%）は、まだまだ利用可能なノートPCを自社がリサイクル・再利用できていないことが、電子廃棄物の蔓延につながっていることを認めている。
さらに問題を複雑にしているのは、以前に仕事で使用していた機器を所有したままの従業員が多いという点が挙げられる。このことは、デバイスのリサイクルを妨げるだけでなく、まだ会社のデータが入っている可能性のあるデバイスを放置することによるデータセキュリティリスクにもつながる。
場所にとらわれない働き方を行う従業員の70%（日本では65%）は、自宅またはオフィスの作業スペースに古いPCが1台以上あると回答している。また、場所にとらわれない働き方を行う従業員のうち、退職時、すぐデバイスを会社に返却しなかった人は12%（日本では5%）に上り、これらのうち半数（日本では2%）は返却すらしなかったと回答している。
IT部門は、企業や個人の機密データが完全に消去されているという保証がほとんどないため、使用済みデバイスを溜め込んでおり、そのこと自体がデータセキュリティにとってリスクとなるほか、ESG目標の実現にもマイナスの影響を与える。コンプライアンス要件を満たすには、最新かつ業界標準の消去プロセスまたはメディア破壊プロセスを駆使し、データ消去証明書を発行してくれるような、信頼できる IT 資産処分ベンダーを見つけることが重要となる。

デバイスライフサイクルへの新しいアプローチでプラットフォームのセキュリティ向上

企業の69%（日本では66%）が、デバイスのハードウェアとファームウェアのセキュリティに関する自社の管理方法について、ライフサイクルのほんの一部にしか対応していないと回答している。これにより、デバイスはリスクに晒されたままとなり、IT部門はサプライヤーの選択から廃棄に及ぶプラットフォームセキュリティの監視と制御ができていない。
「HP Wolf Security」はライフサイクル全体でプラットフォームセキュリティを管理するため５つのことを推奨する。

プラットフォームセキュリティの管理
・サプライヤーの選択： IT、セキュリティ、調達の各部門が連携し、新規デバイスのセキュリティとレジリエンス要件を確立。ベンダーによるセキュリティの宣伝文句を検証の上、サプライヤーの製造におけるセキュリティガバナンスの監査を行う。
・オンボーディングと設定：デバイスとユーザーの安全なゼロタッチオンボーディングと、BIOSパスワードのような脆弱な認証に依存しない安全なファームウェア設定管理を可能にするソリューションを検討する。
・継続的な管理：自社の保有するすべての機器のアタックサーフェス（攻撃対象領域）を減らすために、IT部門がリモートでデバイス設定を監視・更新し、ファームウェアアップデートを迅速に展開する上で役立つツールを特定する。
・監視と対策：電源がオフになっているデバイスであっても、IT部門やセキュリティ部門がリモートでデバイスを検索、ロック、データ消去できるようにすることで、デバイスの紛失や盗難のリスクに対処する。またデバイスの監査ログを監視して、ハードウェアとファームウェアの不正な変更や悪用の兆候を検知するなど、プラットフォームのセキュリティリスクを特定することで、レジリエンスを向上する。
・再利用と廃棄：ハードウェアやファームウェアの重要データを安全に消去できるデバイスを優先的に採用することで、安全な使用停止を実現。デバイスを再デプロイする前に、それまでのサービス履歴を監査し、管理の連鎖（chain of custody）およびハードウェアとファームウェアの完全性を検証する。

▶レポートの詳細はこちら