編集部からのお知らせ
量子コンピューティングへの注目
特集まとめ:高まるCISOの重要性

ゼロトラストの導入予定がない企業が日本はまだ3割強残る--Okta調査

渡邉利和

2021-08-24 09:58

 Okta Japanは8月20日、アイデンティティーを中心とするゼロトラストの導入実態について、報道関係者向けに調査結果を明らかにした。

 この調査「The State of Zero Trust Security 2021」は、700人のセキュリティリーダー(日本:100人、APAC:300人、EMEA:100人、北米:100人、グローバル2000企業:100人)を対象に、2021年3~5月にオンラインで実施したもの。新型コロナウイルス感染症の影響もあってゼロトラストに関する取り組みの重要性が高まっていることが確認される一方で、日本に関しては「ゼロトラストに関する取り組みの予定がない」と回答した割合が32%に達するなど、他のエリアと比べても突出した結果となっている。

ゼロトラスト導入実態調査「The State of Zero Trust Security 2021」の概要
ゼロトラスト導入実態調査「The State of Zero Trust Security 2021」の概要

 同社 代表取締役社長の渡邉崇氏はまず、ゼロトラストの概要を説明した。従来のセキュリティアーキテクチャであった「信頼できる内部の人と信頼できない外部の人の間に強固な防御壁を作る」というやり方の問題点が顕在化しつつあり、さらにモバイルやクラウドの活用が進むといった環境変化もあって「防御壁の内か外か」という視点だけでは保護できないアクセスも増えてきている。こうした状況から、「場所とかデバイスとかネットワークの状況とかに関係なく、さまざまなタイプのユーザーを保護するためのアプローチとしては、アイデンティティーを中心にゼロトラストというものに取り組んでいくのが最も良い出発点となる、というのがわれわれの考えているところ」だと語った。

 調査に関しては、日本、APAC(アジア太平洋)、EMEA(欧州、中東、アフリカ)、北米、という地理的な区分に加えてグローバル2000企業という異なる属性の対象が加わっているためにやや分かりにくくなっているが、グローバル2000に含まれるような“先進的な企業”はゼロトラストの取り組みが先行している一方、APAC、EMEA、北米という地理的な区分で見た場合には多少のばらつきはあるものの、グローバルと日本の中間的な段階にあると見ることができ、端的にはグローバル2000企業の現状に比べて日本の取り組みの遅れが目立つ、ということになるだろう。

ゼロトラストの取り組みの概要。「すでに実施している」という回答に関しては、地理的な差はさほど大きくはないが、グローバル2000企業に比べると低いというところ。一方で「そのような予定はない」という回答が日本で突出して多い点が目立つ
ゼロトラストの取り組みの概要。「すでに実施している」という回答に関しては、地理的な差はさほど大きくはないが、グローバル2000企業に比べると低いというところ。一方で「そのような予定はない」という回答が日本で突出して多い点が目立つ

 同社では「アイデンティティーとアクセスの成熟度」を独自に定義した4ステージの発展段階として整理している。「ステージ0:散在するアイデンティティー」から、「ステージ1:統合IAM(Identity and Access Management)」「ステージ2:コンテキストに基づくアクセス」「ステージ3:適応型のアクセス」と段階的に成熟していくというもので、同社の顧客事例などから抽出された知見が生かされているという。この成熟度を踏まえたアセスメントツールも無償提供されており、自社の現状把握や今後の取り組みに関して推奨されるロードマップの提示などの機能があるとのことだ。

Oktaによる、アイデンティティーとアクセスの成熟度の整理
Oktaによる、アイデンティティーとアクセスの成熟度の整理

 最後に、これからゼロトラストに取り組んでいく企業に向けた、渡邉氏の提言をまとめて紹介する。

Okta Japan 代表取締役社長の渡邉崇氏
Okta Japan 代表取締役社長の渡邉崇氏

 「境界線がなくなって、これまでのネットワーク中心のアプローチは通用しなくなってきたので、人やデバイスを中心としたアイデンティティーをベースにする。さらにそれがオンプレミスやクラウドの環境によらず、いろいろな環境で横断的にセキュリティを担保できるような組織を作るというところが大事。また、企業全体のアイデンティティーとアクセス制御を一元化することによって、設定漏れやセキュリティホールを減らすことも重要になる」

 「アイデンティティー以外にも主要なセキュリティソリューションをお持ちかと思うが、それをIAMと統合していただく。セキュリティの領域では新しい脅威が出てくるので、各領域で最高のソリューションを組み合わせてベストオブブリードで作っていくというのが非常に効果的なアプローチになる。やはり、専門領域の研究開発に集中して投資してより早く、より深く対応できるソリューションプレーヤーを選ぶことが非常に効果的なアプローチだとわれわれは考えている」

 「今後将来的には、パスワードレス認証やコンテキストベースといったものを採用し、従業員のアカウントの保護だけではなくて、パートナーのアカウントも保護できるといった形で、対応範囲や深さを進化させていくことが必要になる」

同社が提言する、ゼロトラストを成熟させるステップ
同社が提言する、ゼロトラストを成熟させるステップ

 ゼロトラストを導入するといっても、現状では「これを導入すればゼロトラストが簡単に実現できる」といったパッケージがあるわけではない。むしろ、意識の在り方や運用管理のやり方といった人的な部分も変えていく必要があるため、「やるべきなのは分かっているが、どこから手をつければよいか」と悩んでいる企業も少なくないと思われる。そうした企業にとっては、同社が示すアプローチは参考になるのではないだろうか。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]