パロアルトネットワークスは9月30日、国内企業のゼロトラストに関する取り組みの現状と課題を明らかにするために実施した「ロード・トゥ・ゼロトラスト ジャパンサーベイ 2021年版」の調査結果を発表した。
同調査は、従業員500人以上の国内の民間企業のサイバーセキュリティ分野の決裁権者・意思決定者・関与者401名を対象に実施したもの。
「すべての場所のすべてのユーザー、デバイス、アプリケーションなどのリソースから暗黙の信頼を排除する」というゼロトラストの原則に基づき、全20項目のセキュリティ対策の実施状況を評価し、合計スコア(満点100点)に応じて20点刻み5段階(レベル1から5)の「ゼロトラスト成熟度」を独自に算出した。
チーフサイバーセキュリティストラテジストの染谷征良氏は、「『ゼロトラストついて、『バズワードではないか』『どれだけの企業が取り組んでいるのか』と疑問を持っている人も多いのではないかと思う。実際、当社のパートナー企業や顧客からもこうした声が寄せられている」と語り、国内企業のゼロトラストに関する考察を定量化するため、今回の調査を実施したという。
染谷氏は、今回の調査結果のポイントの一つとして、ゼロトラストに注目する国内企業は88%にも上る一方、国内企業の「ゼロトラスト成熟度」は平均56点で、最高レベルであるレベル5の企業は13%のみだったことを挙げた。
そして、染谷氏はゼロトラストの成熟度が高い企業と低い企業において、3つの違いがあることがわかったと述べた。
1つ目の違いは、ゼロトラストの採用状況だ。成熟度レベル5の企業の86%が、ゼロトラストを採用中あるいは採用済みと回答した一方で、レベル1から4の企業では同様の回答は27%にとどまっているという。
2つ目の違いは、ゼロトラストの原則の解釈の理解度だ。ゼロトラストの定義について、ゼロトラストの原則である「場所を問わずすべてのリソースから信頼を排除するもの」と回答したのは全体の34%の企業となった。成熟度レベル5の企業およびゼロトラスト採用済み企業のそれぞれ78%、77%が同原則を認識していた一方、成熟度レベル1から4の企業およびゼロトラスト未採用企業はそれぞれ27%、26%だった。
誤った解釈が浸透している背景について、染谷氏は「定義がまだ明確ではないこと、さまざまなベンダーがいろいろな観点でゼロトラストを語っていることがある」との見解を示した。
3つ目の違いは、ゼロトラストを「投資」「コスト」のどちらに位置付けているかだ。ゼロトラスト採用済み企業の75%は、サイバーセキュリティを「コスト」ではなく「投資」と位置づけている一方、レベル1から4およびゼロトラスト未採用企業で同様に位置づけている割合はそれぞれ16%、12%にとどまった。
染谷氏は、今回の調査でわかったゼロトラストに向けた国内企業の現状として、以下の5点を挙げた。
- インフラとリスクの変化によるセキュリティを再考する必要性がある
- 関心は高いが、ゼロトラストの認識は多様化している
- ツールは導入されているが、範囲・実装粒度に大きな差がある
- ゼロトラストの原則に関する取り組みに企業間で差がある
- セキュリティをコストと見るか、投資と見るかで格差が生じている
これらを踏まえた上で、染谷氏は「ゼロトラストはビジネスをイネーブルするものにしなくてはいけない。国内企業に、機能するゼロトラストを実装してもらいたい」と述べ、そのためのポイントとして、以下の5点を紹介した。
- サイバー投資をコストに転換する
- ゼロトラストの理解を深める
- 個別最適化からの脱却
- ツールありきのゼロトラストからの脱却
- 運用を含めたゼロトラストにする
「ゼロトラストの理解を深める際は、要件を整理することが大事なステップとなる。また、本社・データセンター、在宅勤務をする従業員の自宅、国内・海外拠点のすべての場所を一貫したポリシーに基づき制御する必要がある。ゼロトラストを導入するにあたっては、運用も含めて考える必要がある。セキュリティ業界では、人材不足、スキル不足が問題になっているが、AI、機械学習、自動化技術を使って、運用を変えていくべき」(染谷氏)