インターネットイニシアティブ(IIJ)は11月5日、国内企業のゼロトラストセキュリティ対応状況を調査結果を発表した。その結果、回答企業の約5割が一部対応を進めていることや、動的なアクセス制御やセッション毎のアクセス検証・認可の導入が今後の課題であることなどが明らかになった。

  • ゼロトラストを実現することは必要だと考える企業は約88%

    ゼロトラストを実現することは必要だと考える企業は約88%

ゼロトラスト推進、約9割の企業が「必要だと感じる」

ゼロトラスト推進の意識を尋ねる設問では、約88%の企業が「必要だと感じる」と回答し、その重要性が広く認識されていることが明らかになった。また、NIST(米国国立標準技術研究所)が定義する「ゼロトラストの7つの要素」における対応状況については、「多要素認証など認証対策の実施」が最も進んでおり、約58%の企業が対応を完了していると回答した。

  • ゼロトラストを実現するための7つの要素のうち対応できるもの

    ゼロトラストを実現するための7つの要素のうち対応できるもの

一方、最も対応が遅れているのは「セッション単位でのアクセス検証・認可」で、対応している企業は約38%にとどまっている。クラウドやテレワークの普及にともない、オンプレミスおよびクラウド上のITリソースや通信の保護に注力する企業が増えている一方で、ユーザやデバイスの状態に応じた動的なアクセス制御やセッションごとのアクセス検証・認可の導入は、まだ進んでいない企業が多いことが判明した。

ゼロトラスト実現における最大の課題とは?

ゼロトラスト実現における最大の課題は「専門人材の不足」と「セキュリティ対策にかかるコスト」で、多くの企業が予算や人員の不足を感じており、特に中小企業では人的リソースの制約から対応が遅れている傾向がみられる。また、経営層の理解不足も課題となっており、今後はゼロトラストのメリットを社内で効果的に伝えることが重要だとIIJはみている。

  • ゼロトラストを実現する際、対応を進める上での課題

    ゼロトラストを実現する際、対応を進める上での課題

これらの結果から、多要素認証には対応している企業が多い一方、動的なアクセス制御やセッションごとの検証・認可には未対応の企業が多いことがわかった。動的アクセス制御にはSASEなどの包括的ソリューションが必要であるが、既存環境の変更やレガシーシステムとの連携が導入の障壁となっており、多くの企業で対応が遅れている。「アクセス制御」は複雑に感じられるものの、リモートアクセスのポリシー見直しによって段階的にゼロトラストを導入できる。IIJのゼロトラストセキュリティサービス担当者は、自社に合ったゼロトラスト環境を構築するためには、さまざまなサービスを比較検討することが重要だと考えている。

なお、このレポートは、7月24日から7月31日の期間に、IIJメールマガジンの読者である企業の情報システム担当者を対象に実施したWebアンケートの結果に基づいている。その詳細結果やフリーコメントの具体的な内容などは、IIJが運営するIT担当者向けのコラムサイト「IIJエンタープライズコラム」に掲載されている。