このレポートでは、ITおよびセキュリティの意思決定者（ITSDM）が直面するプラットフォームセキュリティの課題に焦点を当て、デバイスのライフサイクルの􂻹1つの段階ごとに、強力なプラットフォームセキュリティを実現するための方法を提案しています。

• 下層レベルへの攻撃の脅威が増加：回答者の81 􀀅􀀃% がハードウェアやファームウェアのセキュリティを優先事項にすべきと答えており、 35􀀆􀀈% が自社もしくは他社において、サプライチェーンを狙って悪意のあるハードウェアやファームウェアをデバイスに侵入させようとする国家の脅威アクターの影響を受けていることを知っていると回答しています。
• 依然としてデバイスの調達の際にセキュリティが見落とされがち：回答者の60􀀉􀀂%が、デバイスの調達にセキュリティが考慮されていないことが自社のリスクを高めていることを認めており、48􀀄􀀅%が、調達チームはまるで「子羊のように従順」にベンダーの言うことを鵜呑みにすると回答しています。
• 時間のかかる手作業がミスを招く：62􀀉􀀁%が、ハードウェアやファームウェアレベルで誤った設定のデバイスによる時限爆弾に直面していると回答し、57􀀈􀀇%がファームウェアに関してFOMU（アップデートに対する不安）に悩まされています。
• ツールや知識の欠如がチームに敗北感を与えている：79􀀇􀀊%がハードウェアやファームウェアのセキュリティについて理解を深める必要があると回答している一方、􀀉􀀂60%はハードウェアやファームウェアによる攻撃を検知し緩和することは「不可能」だとして、敗北を受け入れています。
• デバイスを安全に廃棄できないことはESGの取り組みに悪影響を及ぼす：回答者の 􀀉􀀅68% が、電子廃棄物を削減することでより広範な ESG 目標の達成が容易になるとする一方で、59􀀈􀀊% が、データセキュリティ上の懸念から、デバイスの再利用は困難だと回答しています。

調査結果は、デバイスのライフサイクルのあらゆる段階でエンドツーエンドのプラットフォームセキュリティを管理するためには、包括的なアプローチが必要であることが明確に示されました。これによってリスク緩和、コスト削減、効率向上、生産性改善を実現し、同時にユーザーやITチームのエクスペリエンスも向上します。ITリーダーはデバイスのライフサイクルの各段階で、こうしたセキュリティギャップに対処することで、プラットフォームのセキュリティ体制を成熟させていくことができます。

• サプライヤーの選定：デバイス調達時の共通課題として、ステークホルダー間のコミュニケーション不足が浮き彫りになりました。まず、調達、IT、セキュリティの各部門が連携した取り組みとして、デバイスのセキュリティ要件の定義、ベンダーの回答の検証、サプライヤーの監査を見直すことから始めましょう。
• オンボーディングと設定：輸送中のデバイスの改ざんのような攻撃を検知し、緩和するためのソリューションとベンダーのファクトリーサービスと合わせて、ライフサイクルの初期段階でデバイスを保護するための機能を評価しましょう。納入後については、デバイスとユーザーの安全なゼロタッチオンボーディングと、レガシーなBIOSパスワードに依存しない安全なファームウェア設定管理を可能にするソリューションをチェックしましょう。
• 継続的な管理：組織のITポリシーを確実に遵守できるツールを特定し、ファームウェアアップデートを迅速に展開し、自社のハードウェアやファームウェアのアタックサーフェス（攻撃対象領域）を減らし、攻撃者が脆弱性を悪用する機会を最小限に抑えるようにしましょう。
• 監視と修復：ハードウェアやファームウェアに対する攻撃を予防、封じ込め、検知、修復するための機能が組み込まれたデバイスを導入することで、下層レベルへの脅威に対するレジリエンスを構築しましょう。さらに、デバイスの盗難や紛失のリスクへの対処法として、リモートでの検索、ロック、消去機能を備えたデバイスを検討しましょう。また、デバイス監査ログをプロアクティブに監視して、不正な変更を検知して漏えいのリスクや悪用の兆候を特定しましょう。
• 再利用と処分：安全なリサイクルや安全な廃棄に関連する運用コストを抑えるために、すべてのハードウェアおよびファームウェアの重要データを安全に消去できるデバイスを優先しましょう。デバイスを再デプロイする前に、それまでのサービス履歴を監査し、管理の連鎖（chain of custody、CoC）およびハードウェアとファームウェアの完全性を検証しましょう。

Author : 日本HP