今日、どのようなビジネスにおいても、セキュアな製品やサービスづくりは企業にとって重要な課題だ。HPにおいても以前から、自社の開発現場や工場などでセキュリティを考慮し、様々な取り組みを続けてきたが、現在では構成するサードパーティーのパーツの調達に至るサプライチェーンを含むすべてのライフサイクルにおいて万全のセキュリティ体制があるか否かによって、業者が選択される時代になっている。これは安全な社会を実現するという意味において、社会貢献にも通じる。さらに、サプライチェーンを含むライフサイクルにわたる視点を持ちガバナンスを強化する取り組みは、循環型社会を実現するサステナビリティの観点からも重要だ。HPでは創業当時から、社会貢献のための取り組みを続けており、よりよいものづくりのための体制構築や持続可能社会の実現へ向けた数々の活動など時代をリードしてきた歴史がある。グローバルベンダーとして、現在のサプライチェーンセキュリティやサステナビリティについて、どのような考え方を持っているのか株式会社 日本HP 大津山 隆氏に取材してきたので紹介しよう。

株式会社 日本HP
エンタープライズ営業統括 営業戦略部 プログラムマネージャー
大津山 隆 氏

セキュアな製品をセキュアにつくる

冒頭でも述べたように、ITベンダーがセキュアな製品やサービスを作るためには、自社だけにとどまらず、製品を構成する部品やサービスの調達先に至るすべてのサプライチェーンをコントロールする必要がある。さらに、不安定化する世界情勢の中で「経済安全保障」が注目されているが、そこではIT機器を利用する事業者がサプライチェーンにわたるセキュリティが担保された製品を調達することが求められている。経済合理性のみでなく、リスク管理の視点を含めたIT調達が新たな課題となってきている。

この新たな経営課題について、創業時から社会的責任として捉え、対応してきた企業のひとつにHPがある。グローバルベンダーとして、ビジネスのライフサイクル全体を通した課題を発掘、解決してきた経験の豊富さは誰もが認めるところだろう。

そんなHPのサプライチェーンセキュリティに対する基本的な考え方は、製品の企画が始まるコンセプト段階から廃棄まで、製品のライフサイクルすべての工程でセキュリティを考慮するというものだ。下の図を見てもらえば、すべての工程で強固なガバナンスモデルを導入していることが分かると思う。

クリックして拡大表示

具体的な対策は図の下半分を見てもらえれば分かると思う。セキュアな設計に関しては「SDLC（Security Development Life Cycle）」が設けられており、ハードウェア、ソフトウェア、ファームウェアを含む、すべての製品の開発工程に適用される。

例えば、セキュリティ仕様に基づいたチェックポイントを各フェーズに埋め込むことや、サイバーセキュリティスペシャリストが開発ライフサイクル全体を通してレビューするといった対策を設けている。リリース後に脆弱性が特定された場合にはPSRT（Product Security Response Team）がハブとなり業界標準のプロセスに従いパッチをリリースするといったこともおこなっている。

社内IT環境は常にアップデートされており、強力なパスワード、多要素認証、添付ファイルスキャン、などはもちろん、システム全体が堅牢であり続けるために進化しているだけでなく、セキュリティ文化の醸成を目的にトレーニングや演習なども頻繁に行われている。

こうした活動は社内だけにとどまらず、サプライヤーやパートナーも同じレベルの高いセキュリティ基準に従うようなガバナンスのモデルが導入されている。協力企業が高いセキュリティを保つことで、HPの競争力の源泉となっているサプライチェーン全体のセキュリティが保たれることになる。また、製造業のセキュリティは安全な工場から始まるといわれており、HPと同様にサプライヤーやパートナーの製造現場でもオフィス環境よりも一段高いレベルのセキュリティが実践されている。

製造現場は世界中に存在しているが、日本においては日野工場がその対象となる。例えば、製品の出荷時に採用されるソフトウェアイメージは安全なチャンネルを通じて本社から工場に送信され、ロードプロセスは厳格に管理される。開発からPCへのロードまで、すべての工程が一貫したガバナンスのモデルで運営されている。

ここ数年、コンピューターにスパイチップなどが入っていたといったニュースが流れることがあるが、いわゆる偽造部品が紛れ込むことがないように、万が一紛れ込んでもいち早く発見し、問題の特定と防御策が公示されるようにするため、米国国防総省の調達基準に則った対策もなされている。

クリックして拡大表示

プラットフォーム証明書の発行プロセス

また、近年PC製造時のBOMをPCとバンドルして出荷し、流通過程での偽造の有無を技術的に証明する「プラットフォーム証明書」も実用化されている。

これによりエンドユーザーは製品の受け入れ時に、製品に改変がないことや、オーダーした通りの構成になっているかを確認することができるというわけだ。HPはこの取り組みをいち早く実現しており、サプライチェーンセキュリティを重視する組織のニーズに応えている。

こうした一連のセキュリティに対する対策は製品出荷時の配送に至るまで、高いレベルで実装されている。HPの製品ライフサイクル全体にわたる健全性と安全性はこのようにして確保されているが、導入後に関しては以前からPCに様々なセキュリティ機能を実装することで、エンドユーザーが安全にPCを利用できるようにしているのはご存じの通りだ。誌面の都合上、ここでの説明は割愛するが、法人向けモデルに一連のHP Wolf Securityという統合セキュリティ機能やサービスが用意されていることでもそれはお分かりいただけると思う。

エンドポイントとなる製品がその使命を全うした後、SSDを安全に消去する機能も法人向けPCに内蔵している。気になる消去のレベルはPurgeレベルで、通常アクセスすることのできないリザーブ領域を含めて消去することができるので、安心してPCを廃棄、再利用することができる。

クリックして拡大表示

HP 法人向けPCに組み込まれるセキュリティ機能の一例

クリックして拡大表示

HPのデータ消去ガイドライン

サステナビリティにもライフサイクルを適用

ここまではサプライチェーンのライフサイクルにおけるセキュリティの話をしたが、その後廃棄されたPCはどこへゆくのだろう。世界的に資源に対する再認識が強まり、SDGsやサステナビリティへの取り組みは日増しに強くなっているのが現状だ。そんな中、多くの企業もまた、それらに準じた活動を進めることが使命となるだけでなく、協業先、就職先として選ばれるためにも、どれだけ社会貢献ができる企業であるかを証明する必要がある。

HPはグローバルベンダーとして、かなり以前からサステナビリティについても業界のトップランナーとして活動を続けてきた。

クリックして拡大表示

サステナビリティを語るうえで、よく引き合いにだされるのは「Cradle to Cradle」という考え方だ。循環型の製品設計の全体像を考える際に有効なリファレンスモデルで、セキュリティの際に直線で表していた製品ライフサイクルは円を描くことになる。HPはこの円を描くライフサイクル全体で環境への負荷を最低限に抑え、サステナビリティの目標を達成するアプローチをとっている。

「Cradle to Gate」の段階では、生産プロセスや使用する資源の選択により、エネルギー消費、排出物、原材料の削減が重要になる。HPではより多くの再生素材やバイオ循環型材料、オーシャンバウンド・プラスチックなどを使用した設計に加えて、購入時にカーボンフットプリント相当分をカーボンニュートラルプロトコルに従いClimate Impact Partners のカーボンオフセットプロジェクトに投資するといったユニークなプログラム「HPカーボンニュートラルコンピューティングサービス」なども提供している。これはPC購入時に製造時に発生するCO2相当分のCO2を吸収するプロジェクトへ投資することで、PCライフサイクルに影響するカーボンフットプリントが相殺できるので、かなり積極的な取り組みとして利用できる。

「Gate to Grave」では、組織でつかうPCが廃棄されるまでのエネルギー効率、性能、保守などを全体最適化し、環境への影響を最小限に抑えることが重要になる。HPではPC・モニターの省電力性にすぐれた設計に力をいれており、業界最多のEPEAT®ゴールド認定を得ている。１台単位の省電力性に加えて重要になるのは、組織全体でどれぐらい効率よくすべてのPCが運用できるのかという視点だ。

HPはワークフォースソリューションの「HP Proactive Insights」を提供しており、収集するテレメトリー情報に基づき、PC運用を全体最適化することが可能となる。保守と修理を予防的に行うことで製品寿命を延ばしたり、運用状況を常に把握し、きめ細かな管理を実施したりするなど、日常の運用やPCライフサイクルを全体最適化することで、より的確なエネルギー効率の向上を実現することができるのだ。

クリックして拡大表示

「HP Proactive Insights」を活用することで、エンドユーザーが必要としているPCのパフォーマンスを分析、最適なPC配置により生産性を向上させることも期待できる。

「Grave to Cradle」においては、廃棄されるPCがいかに循環型経済に使用できるかを考え、持続可能性を高めることが必要となる。

HPでは企業が不要としたPCを買い取り、安全かつ法と環境規制に準拠した形でリユースまたはリサイクルするサービス「HPデバイスリフレッシュサービス」や「PCリユースプログラム」を提供している。さらに古くなったPCを新品同様に再生し、組織内での利用を延長する「PCリファービッシュプログラム」なども新たに提供を始めている。（2023年発表、2024年から順次各国でリリース予定）循環型社会の実現に向けて、HPが未来を見据えて寄り添っていることがよくわかる取り組みだ。

学ぶところが多いHPイズム

PCライフサイクル全般にわたるセキュリティやセキュアな運用、その先にあるPC再利用、テレメトリー情報によるデータに基づく管理、そしてサステナビリティへつなげていくことで、企業におけるPC運用はさらに最適化できることがお分かりいただけたかと思う。

これらHPの各工程における取り組みは製品を調達することでその価値を享受することがもちろん可能だが、HPの取り組み自体を参考にすることもできる。その一部はサービスとして提供している部分もあるので、理想のサプライチェーンセキュリティとサステナビリティを実現するため、ぜひ一度HPに話を聞いてみるとよいだろう。