パロアルトネットワークスは9月30日、国内企業のゼロトラストに関する取り組みの現状と課題を明らかにすべく実施した「ロード・トゥ・ゼロトラスト ジャパンサーベイ 2021年版」の調査結果を発表した。
調査の概要
この調査は、従業員数500人以上の国内民間企業のサイバーセキュリティ分野の決裁権者・意志決定者・関与者401人を対象に2021年7月に実施したもの。国内企業のゼロトラストに対する取り組みの現状や課題を明らかにするとともに、先進的企業とそれ以外の企業との違いを明らかにすることを目的とし、企業のセキュリティ対策の実施状況を、インフラ全体でのゼロトラストの原則やセキュリティファンクションの実装に至る20項目で評価。合計スコア(満点100点)に応じて20点刻みの5段階(レベル1~5)でゼロトラストの成熟度を独自算出した。最高レベルの成熟度に該当するレベル5に分類された企業は調査対象の13%にとどまった。
国内企業の「ゼロトラスト」への認識は多様化
同社 チーフサイバーセキュリティストラテジストの染谷征良氏は、まず「ゼロトラストとは?」という疑問に対する答えとして「暗黙裡の信頼を排除し、継続してデジタルインタラクションの各段階を全て検証することで組織の安全性を確保するサイバーセキュリティの戦略的アプローチ」という定義を紹介。その上で、ゼロトラストを取り巻く疑問として「単なるバズワードではないのか?」「どれだけの企業が取り組んでいるのか?」「進んでいる企業は何が違うのか?」といった疑問に対し、「国内企業の取り組みの現状を明らかにすることを目的にリサーチを実施した」という。
同氏は、コロナ禍対応もあって企業ではテレワークやクラウド移行、デジタル変革(DX)の進展などを背景として、場所を問わずどこからでも業務が行えるようにするためにITインフラが変化してきているという現状を踏まえ、この結果としてサイバーリスクも変化し、アタックサーフェス(攻撃可能領域)が多様化してきていると指摘。その結果として、ゼロトラストがサイバーセキュリティに関して世界的に重要なテーマとなりつつあるとした。
パロアルトネットワークス チーフサイバーセキュリティストラテジスト 染谷征良氏
また、Palo Alto Networksではゼロトラストを「企業・組織のインフラ全体から信頼という概念を取り除くことで、情報漏えいをはじめとした侵害を防ぎ、事業継続性を維持するためのサイバーセキュリティの戦略である」と位置付けていることを紹介し、重要なポイントとして「インフラ全体で行うもの」であることを強調した。つまり、「テレワークといった限定的なユースケースのみに適用するものでもなければ、単一のツールや技術に注力するというものでもない。ネットワーク、エンドポイント、クラウド、アプリケーション、アイデンティティーと、インフラ全体で組織のセキュリティに必要となるあらゆる対策/取り組みが必要となる」ということだ。
しかしながら、調査の結果からは「ゼロトラストへの認識は多様化しており、市場の混乱状況を反映」しているとの知見も得られたという。ゼロトラストが「全てのリソースへの信頼を排除する」ものだとの回答が34%だったのに対し、「端末への信頼を排除する」が21%、「ユーザーへの信頼を排除する」が15%など対象を限定して考えていたり、「VPNの代替として信頼を排除する」が13%、「テレワーク環境への信頼を排除する」が11%あるなど、正しい理解がないままで取り組みを進めていたりする例も見られるようだ。
また、成熟度が高い企業とその他の企業との違いとしては、「保護対象領域の特定」ができているのがレベル5では90%に対してレベル1~4では23%、「最小特権の原則の徹底」はレベル5で92%に対してレベル1~4では25%など、根幹要素といえるような重要な取り組みに関して大差が付いていることが分かる。また、意識面の違いとしては、「サイバーセキュリティを投資と位置付け」ていると回答した企業は、レベル5では63%なのに対し、レベル1~4の企業では16%にとどまるっている点も特徴的な結果といえそうだ。
ゼロトラストの原則は徹底できているか
ゼロトラストの成熟度が高い企業の違いは?
これらの結果を踏まえて同氏は「機能するゼロトラスト」を実現するための提言として、「『コスト』から『投資』へのマインドセットの転換」「ゼロトラストの原則の再認識と自社環境での要件定義」「個別最適から全体最適への転換」「ツールありきから戦略的アプローチへの転換」「ゼロトラストを支える運用の実装」の5点を挙げている。
なお、レポートはこちらからダウンロード可能。
「機能するゼロトラスト」を実現するために