AI時代に拡大するサイバー脅威、VPNのリスクと企業が行うべき次の対策とは?

現代の IT 部門やセキュリティ部門を取り巻く環境は、相反するさまざまなプレッシャーにあふれています。デジタルトランスフォーメーションの動きは加速を続けており、クラウドベースのセキュリティツールの採用、アプリケーションのクラウド移行、クラウド型ゼロトラストフレームワークの実装に多くの組織が真剣に取り組んでいます。同時に、組織は高度化が進むサイバー脅威への対処も迫られていますが、その防御は日増しに困難なものとなっています。主な原因は、組織の攻撃対象領域の拡大と複雑さにあります。組織の攻撃対象領域は、今やクラウド環境、SaaSアプリケーション、Web サービス、エンドポイント、生成 AI ツール、メールなどに広がっているのです。

このレポートは、Zscaler が ViB に委託して実施した調査に基づくものであり、現代の IT 部門とセキュリティ部門が直面する課題を多角的に掘り下げ、組織がデジタル資産を効果的に管理および保護する方法について、有用なインサイトを提供するものです。IT とセキュリティのプロフェッショナルが直面する最も差し迫ったサイバー脅威に対する見解、そして、こうしたリスクに対抗するための戦略的投資計画を説得力のある形で示します。特に注目すべき領域は人工知能 (AI) です。AI は諸刃の剣であり、脅威の深刻化につながることもあれば、セキュリティ対策を強化する強力な手段にもなります。また、デジタル資産を保護し、より強力で将来にわたって有効な防御戦略を確立するための革新的なアプローチとして魅力が高まっているゼロトラストについても詳しく取り上げていきます。

進化する脅威

サイバー脅威を取り巻く状況は常に変化を続け、防御にあたっては新たな課題が生まれ続けています。2024 年は攻撃事例が絶え間なく報告され、AT&Tでは7,300万件の顧客アカウントが流出し、Ticketmasterでは5億6,000万件の個人情報が盗まれるなど、重大なインシデントもいくつか発生しています。Ticketmaster のケースでは、侵害された資格情報を通じて Snowflake の顧客アカウントが攻撃を受けていました。

ランサムウェアは依然として最も影響の大きい攻撃ベクトルの 1 つであり、標的には世界的に知名度の高いブランドも含まれています。2024 年版 Zscaler ThreatLabz ランサムウェア レポートで取り上げられているとおり、2024 年上半期にはランサムウェア グループ「Dark Angels」に史上最高額となる 7,500 万ドルもの身代金が支払われていたことが明らかになっています。この金額は一般に知られていたあらゆるケースを上回るものです。また、2023 年から現在までに、Zscaler クラウドでブロックされたランサムウェア攻撃は 17.8%、データリークサイトで脅迫された組織は 57.8% 増加したことが ThreatLabz の調査で明らかになっています。

AI の進歩により、このテクノロジーがサイバー攻撃において果たす役割はかつてないほど大きくなっています。AI で作成した「ディープフェイク」動画を使った手口によって、香港の企業が 2,500 万ドルをだまし取られるという事例も発生しています。生成 AI は、効果的なフィッシングメールを作成できるほか、その他のソーシャル エンジニアリングにも利用できます。フィッシング攻撃は 2023 年に 58% の増加を見せていますが、AI によってこの状況はさらに悪化すると予測されています。また、AI を使用することで、脅威アクターは以前より簡単に脆弱性を発見できるようになっています。

セキュリティ担当者の悩みの種

脅威をめぐる状況がセキュリティ担当者の悩みの種であることは間違いありません。しかし、日々の業務で頭を悩ませるのは、より実利的な問題です。ビジネスやテクノロジーに関連する問題 (デジタルトランスフォーメーションやVPN セキュリティなど) から経済的要因や予算まで、その問題は多岐にわたります。

ビジネストランスフォーメーションにより複雑さとリスクが増大

テクノロジーとセキュリティは、突き詰めればビジネスの問題です。テクノロジーはビジネスの運営と目的の達成を支援し、セキュリティはビジネスが機能するようにデジタル資産を保護します。実務担当者にとって課題となるのは、テクノロジー、ビジネス、セキュリティの絶え間ない変化です。新たなテクノロジー、ビジネス要件、ニーズに対応するために、常に時間と不安に追われることになります。

デジタルトランスフォーメーション

現在の急速に進化するビジネス環境において、デジタルトランスフォーメーションはもはや選択肢の 1 つではなく、必要不可欠なものとなっています。テクノロジーの進歩と働き方の変化に後押しされる形で、この革命によって組織の運営、コラボレーション、イノベーションの方法が再定義されようとしています。デジタルトランスフォーメーションの核となるのは、クラウドコンピューティング、モバイル デバイス、高速ネットワークなどのテクノロジーを通じた、プロセスの合理化、生産性向上、新たな機会の開拓です。アプリケーションがクラウドに移行し、従業員がさまざまなデバイスで場所を問わず働けるようになるなかで、従来のデータ センターを中心とした環境から、より分散性や相互接続性の高い環境への移行が進んでいます。この転換によって、IT 管理が簡素化されるだけでなく、組織は絶えず変化する市場での俊敏性、応答性、競争力を高めることができます。調査では、1 つ以上のデジタルトランスフォーメーションの取り組みを積極的かつ継続的に行っている回答者は 82% にも上りました。2025 年より前にデジタルトランスフォーメーションの取り組みを開始する予定がないと回答したのはわずか 2% でした。

取り組みの内容について具体的に見てみると、回答者の 57% がクラウド型のセキュリティツールとインフラを採用していました。デジタルトランスフォーメーションの一環としてアプリケーションのクラウド移行を進めていると回答したのは 43%、ゼロトラスト ネットワーク アーキテクチャー (ZTNA) の採用を進めていると回答したのは 29% でした。

一方、デジタルトランスフォーメーションにより攻撃対象領域が拡大し、脅威アクターの攻撃手段は増加しています。IT 環境の複雑化は設定ミスや脆弱性の発生につながり、それが悪用される可能性があります。さらに、デジタルトランスフォーメーションは、多くの場合セキュリティ部門が包括的な保護を維持できる域を超えた急速なペースで進み、これによってセキュリティギャップが生まれます。また、機密情報がさまざまなプラットフォームや場所に分散する形で保存されることで、データプライバシーの問題も深刻化します。

• 

  図1 - 「ご自身の組織のデジタル トランスフォーメーション(DX) に含まれる項目は次のうちどれですか？」という質問への回答

VPN セキュリティの問題

昨今、重大なリスク要因として浮上しているのが VPN です。Zscaler ThreatLabz の調査によると、56% の組織がVPN サーバーの脆弱性を利用した攻撃を経験しています。2024 年には、VPN の脆弱性を悪用した攻撃が幾度となく発生しました。たとえば、Ivanti の VPN 製品は、中国の国家支援型のハッカーによって複数のゼロデイ脆弱性を悪用されました。これは、CVE-2023-46805 および CVE-2023-21887 の欠陥を利用したもので、攻撃者はこれらの脆弱性を利用して認証のバイパスとリモートコマンドインジェクションを実行していました。これらの欠陥にパッチが適用されると、攻撃者は他の脆弱性 (CVE-2024-21888) を利用してその修正をバイパスしました。また、この最初のパッチを回避するための代替策によって、権限昇格とサーバー側のリクエストフォージェリーが可能になりました。2024年2月、CISAは、CiscoのAdaptive Security Appliance (ASA)とFirepower Threat Defense (FTD)に対する攻撃について、VPN 関連の新たな警告を発表しました。このケースでは、ランサムウェア グループ「Akira」が脆弱性 (CVE-2020-3259) を悪用し、設定ミスのある WebVPN/AnyConnect のインスタンスを利用して情報を盗み出しました。VPN に対するこれらの度重なるゼロデイ攻撃からわかるのは、特定のベンダーではなく古いアーキテクチャーこそが真の問題であるということです。

調査の回答には、この危険な現状が表れており、VPN のリスクや脆弱性について「強く懸念している」または「極めて懸念している」と答えた回答者は 23% に上りました。4 人に 1 人は今後 12 か月以内に VPN の利用をやめることを計画しています。中小規模の組織では、技術的負債が少なくインフラが複雑ではないため、VPN からの移行を計画している組織がより多くなっています。中小規模の組織 ( 従業員数 1,000 〜 2,499 人 ) の 3 分の 2 がVPN の利用をやめる計画を立てているのに対し、従業員数 10,000 人以上の組織ではわずか 11% です。大規模な組織では現状維持バイアスが働きやすく、大きな変更を行うことも難しいためにこのような差が生まれている可能性があります。

経済的要因

回答者の 56% が、2024 年の経済の不確実性が組織の IT/ セキュリティ予算に影響を与えたと回答しています。具体的には、予算削減につながったと答えた回答者が 46% となったほか、採用の縮小 (18%) や余剰人員の解雇(14%) といった回答が見られました。

• 

  図2 - 「経済の不確実性によってIT 部門やセキュリティ部門にどのような影響がありましたか？」という質問への回答

こうした経済の不確実性は見られるものの、予算の削減は多くの組織にとって一時的なものにとどまるでしょう。セキュリティの改善の必要性から、来年は多くの組織が支出を増やすと見られます。今後については、「今年のセキュリティ予算が昨年と比較して変化するとすれば、どのように変化すると見込んでいますか？」という質問に対し、 54% が増加すると回答しています。回答者の 19% は 10% 以上の増加を見込んでいました。

• 

  図3 - 「今年のセキュリティ予算が昨年と比較して変化するとすれば、どのように変化すると見込んでいますか？」という質問への回答

懸念されている脅威の種類

セキュリティ担当者は幅広い脅威に懸念を抱いています。多くのセキュリティ担当者が真っ先に思い浮かべるのはやはりランサムウェアで、回答者の 72% が最も懸念されるサイバー脅威として挙げています。2024 年版 Zscaler ThreatLabz ランサムウェア レポートによると、ランサムウェア攻撃はますます高度化し、執拗なものになっていくと見られています。さらに、サイバー犯罪者は組織幹部の子どもを標的にして身代金の支払いを強要するなど、標的の範囲を広げてきており、誰もが狙われる可能性があることが明らかになってきています。

フィッシング (69%) とゼロデイ エクスプロイト (48%) も、サイバー脅威に関する懸念事項の上位に入っています。 Zscaler ThreatLabz では、生成 AI ツールの普及により、フィッシングの脅威が過去 1 年間でかつてないほど高度化したことを確認しています。AI の進歩によってサイバー犯罪者の活動方法にも変革が起きており、フィッシングの脅威をめぐる状況は大きく様変わりしようとしています。さらに、このテクノロジーにより、複雑なフィッシング キャンペーンを実行するための機能が簡単に利用できるようになり、初心者でも複雑で信憑性のあるフィッシング攻撃をこれまで以上に簡単に行えるようになっています。より具体的には、この変化によって、経験の浅いサイバー犯罪者でも非常に説得力のあるパーソナライズされた詐欺を簡単に実行できるようになっているのです。結果として、拡大するフィッシング攻撃の猛威からデータとシステムを保護するにあたって、無数の新たな課題が生まれています。図が示すように、警戒が必要な脅威は多岐にわたります。

• 

  図4 - 「最も懸念しているサイバー脅威は何ですか？( 該当するものをすべて選択)」という質問への回答

外部からの攻撃者だけでなく、内部関係者も懸念材料となります。調査では、内部脅威について「強く懸念している」または「極めて懸念している」という回答は 33% に上りました。脅威の原因となる内部関係者には、悪意がある場合もあれば、ない場合もあります。セキュリティ担当者が認識しているように、従業員がセキュリティ設定を間違えたり、セキュリティポリシーの順守を怠ったりすることでリスクが生まれることは少なくありません。

• 

  図5 - 「悪意のある内部脅威および悪意のない内部脅威についてどの程度懸念していますか？」という質問への回答

投資の優先事項

さまざまな脅威や懸念事項を踏まえ、回答者は今後どのようなセキュリティ投資を予定しているのでしょうか。データ セキュリティはやはり優先度が高く、これを今年と来年の投資領域とした回答者は 64% となりました。データ セキュリティが重視されている状況は理解しやすいでしょう。つまるところ、ランサムウェア攻撃やハッキングの最終的な標的はデータであるため、データ防御への投資は賢明だと言えます。組織のデータを保護しながら AI ツールを安全に活用しようという動きもあることを踏まえれば、なおのことです。

セキュリティリーダーにとってのもう1 つの投資の最重要領域は、ゼロトラストです。回答者の約半数 (45%) が、将来的にゼロトラストに投資する予定であるとしています。実際、2024 年版 Zscaler ThreatLabz VPN リスクレポート：Cybersecurity Insiders による新たな洞察では、組織の約 78% が、エクスプロイトの増加に対応して、今後 12 か月以内にゼロトラスト戦略を取り入れる予定であることがわかっています。

• 

  図6 - 「今年と来年のセキュリティ投資の優先事項は次のうちどれですか？( 該当するものをすべて選択)」という質問に対する回答

複雑さの軽減とセキュリティ成果の向上のために多くの組織がセキュリティツールの統合を検討

今回の調査では、過剰なセキュリティツールがさまざまな問題の原因であることがわかりました。これには世界中のセキュリティのプロフェッショナルが共感するでしょう。単純なツールの無秩序な増加は、ツール間の統合と同様に問題です。ツールが多くなりすぎればサイバー リスク データの可視性は低下し、レポートの作成も課題となります。

ツールのスプロール化

多くの回答者がツールのスプロール化を懸念していました。これは、簡単に処理できる範囲を超えて多くのセキュリティツールを導入してしまうことを指し、一般的な現象です。62% 以上がツールのスプロール化を懸念していました。これは大規模な組織ほど大きな問題になり、従業員数 10,000 人以上の組織では 64% だった一方、従業員数 1,000 ～ 2,499 人の組織では 50% でした。一般に、大規模な組織の方がツールへの投資額が大きくなり、規模だけでなく複雑性も増すことを考えれば、納得の結果です。合併と買収 (M&A) を行う場合、複数の組織を一つにすることで、新たな事業体にそれぞれから旧式のツールセットが持ち込まれるため、この問題の悪化につながる可能性があります。

1 日に使用するセキュリティツールの数は平均で 15 となりましたが、50 や 100 といった回答もありました。ただし、組織がこれを制御するための行動を取っていることを示すような、良い傾向も見られました。ツールのスプロール化を懸念していると答えた62%の回答者のうち、58%がベンダーの統合を計画していると述べています。

可視性の不足

多くの回答者は、サイバーリスクデータの可視性が不足していると考えていました。サイロ化したセキュリティツールと手動プロセスでは、サイバー リスクの全体像を把握しにくく、それを補完するための効果的な方法もないため、この結果は予想通りと言えます。62% が「いいえ」( 完全な可視性はない )、または「わからない」と回答しました。

ここで注目すべき点は、スタンドアロンのセキュリティリスク ツールやポイント製品、そしてそれらに付随する手作業のプロセスでは、セキュリティリーダーがリスクを総合的に評価して徹底的に調査できないということです。その結果、より多くのビジネスが中断され、ブランドはこれまで以上にダメージを受けやすくなり、長期的な財務的リスクはかつてないほど高まっています。サイバーセキュリティのリスク管理が取締役会レベルの優先事項になったのも不思議ではありません。

• 

  図7 - 「サイバー リスク データに対する完全な可視性やインサイトを確保できていますか？」という質問への回答

レポート作成の課題

レポート作成が課題となっていると答えた回答者も多くの割合を占めました。

「IT 環境全体のリスクを統合、定量化、可視化するためのフレームワーク / ソリューションはありますか？」という質問に対し、57% が「はい」と回答しています。また、組織の規模が大きいほど、ツール統合のためのフレームワーク / ソリューションの導入率が高いようです ( 従業員数 1,000 ～ 2,499 名の組織では 45% であるのに対し、従業員数 10,000 名以上の組織では 58%)。

リスク データを統合、定量化、可視化するためのフレームワークがないとする回答は 42% で、そのうちの 63% はセキュリティリスクに関するレポートの作成に課題を抱えているとしています。こうした課題の原因は、ツールが多すぎることである可能性があります。複数のツールから取得したデータを使用して一貫性のある完全なレポートを生成することは困難です。スタンドアロンのセキュリティツールや手動のプロセスの存在は、セキュリティリーダーがリスクの包括的な評価や調査を行ううえで障害となります。

• 

  図8 - 「いいえ」(IT 環境全体にわたってリスクを統合、定量化、可視化するためのフレームワークがない) と答えた42% の回答者のうち、 63% がセキュリティ リスクに関するレポート作成で課題に直面

統合の課題

調査結果からはツールの統合に関する課題も示唆されています。膨大な数のツールが使用されているために、非常に大きな管理上の課題が生じ、多くの場合、ツールの展開と統合は不完全なものになっています。可視性の不足やレポートの問題は、いずれも統合不足の表れである可能性があります。また、統合はゼロトラストソリューションの選択を成功させるための重要な要素となることも興味深い点です。回答者の 53% が、ゼロトラストソリューションを購入する際の重要な選択基準として、他のシステムとの統合を挙げています ( 図 14)。

セキュリティにおける AI

AI は、単なる画期的なイノベーションの域を超えて進化しており、今では日常のビジネス運営に不可欠な要素となっています。ChatGPT のような生成 AI ツールによってビジネスのあり方が変わっていくなか、AI は組織の活動の中核的な部分に深く組み込まれつつあります。しかし、これらの AI ツールの安全な採用とAI による脅威の防御をめぐる問題は未解決のままです。これは間違いなくバランスの問題です。AI が持つ革新的な力を最大限に引き出すには、その安全な利用を可能にする取り組みが必要になります。AI ツールの統合と開発に伴うリスクを最小限に抑えながら、未承認の AI ツールの爆発的な増加を防止、抑制し、「シャドー AI」の利用拡大に対応する戦略が求められています。

今回の調査の回答者は間違いなくこの点に注目しており、大部分は AI の急速な普及を認識しているでしょう。ただし、2023 年 4 月から 2024 年 1 月にかけて組織における AIトランザクションが 600% 近く増加している点にまで想像が及ぶ人は少ないかもしれません。「既知のサイバーセキュリティ防御を回避する敵対的な AI の能力について、どの程度懸念していますか？」という質問に対して、「強く懸念している」または「極めて懸念している」と答えた回答者は 28%、「やや懸念している」は 42% でした。「全く懸念していない」または「少し懸念している」はごく一部となりました。

• 

  図9 - 「既知のサイバーセキュリティ防御を回避する敵対的なAI の能力について、どの程度懸念していますか？」という質問への回答

脅威アクターは新たな手法でAI を悪用しており、AI が使われたフィッシングキャンペーン、ディープフェイク、ソーシャルエンジニアリング攻撃、ポリモーフィック型ランサムウェア、組織の攻撃対象領域の検出、エクスプロイトの自動生成などが発生しています。「AI によって今後 2 〜 3 年でどのような攻撃がより危険または深刻になると思いますか？」という質問に対しては、60% がランサムウェア、次いで 59% がソーシャル エンジニアリングと回答しています。ソーシャル エンジニアリングには、フィッシング、SMS テキストメッセージを使用した「スミッシング」、音声を使ったフィッシングである「ビッシング」が含まれます。

• 

  図10 - 「AI によって今後2 〜3 年でどのような攻撃がより危険または深刻になると思いますか？」という質問への回答

AI はセキュリティ部門でも役立っています。AI がセキュリティ分析の改善に役立つと考える回答者は 68% でした。この数字から、多くのサイバーセキュリティツールがすでに分析に AI を使用しており、AI の進歩によっていっそう充実した機能の登場が見込まれることが理解されていると考えられます。AI がインシデント対応の迅速化に役立つと考える回答者は 60%、脅威の防止と検出の改善につながると考える回答者は 55% でした。これら 2 つの概念は関連していることが多く、AI によって脅威の検出と分析の自動化が可能になり、それによって脅威に関する情報が自ずと強化されます。これによって、セキュリティアナリストはインシデントに対してより迅速に対応できるようになります。

• 

  図11 - 「セキュリティにAI を活用するメリットは何だと思いますか？」という質問への回答

今後 2 年以内にサイバー防御に AI 機能を活用する予定であると答えた回答者は 62% でした。注目すべきは、 58% が AI によってデータプライバシーの侵害が深刻化することを懸念している一方 ( 図 10)、AI をデータ セキュリティの強化に使用することを予定しているのはわずか 11% であるという点です。

なお、調査結果には組織の規模によって差があり、中小規模の組織は、リスク評価や動的なリスク スコアリングにおける AI の活用に関心を寄せています ( このような AI の活用を計画する組織は、従業員数 10,000 人以上では17% であるのに対し、従業員数 1,000 ～ 2,499 人では 40%)。リスク評価と動的リスク スコアリングに関して、大規模な組織ではすでに成熟した機能が存在しているためにこのような差が生まれている可能性があります。こうした作業に対応するための AI の実装は複雑なため、大規模な組織では短期間でタスクを精査できないという現実を反映している可能性もあります。

中小規模の組織と比較すると、大規模な組織はアプリケーションやワークロードの保護における AI の活用に関心を寄せています ( 従業員数 1,000 ～ 2,499 名の組織では 26% であるのに対し、従業員数 10,000 名以上の組織では 34%)。このような差が生まれている背景には、大規模な組織のアプリケーション環境が中小規模の組織に比べはるかに複雑かつ相互依存的であるという実態があります。このため、大規模な組織ではアプリケーションの防御がより難しくなり、アプリケーションのセキュリティを向上させるための手段として、AI が魅力的な選択肢となります。

• 

  図12 - 「どのセキュリティ領域にAI 機能を活用する予定ですか？」という質問への回答

ゼロトラストの現状

ゼロトラストはサイバーセキュリティ戦略の一つで、「何も信頼しない」を前提に、最小特権アクセスによる制御と厳格なユーザー認証で確立されたコンテキストに基づいてセキュリティポリシーを適用します。調査の対象となった企業でも注目を集めており、「ゼロトラストのセキュリティアプローチを採用していますか？または採用する予定はありますか？」という質問に対して、「はい」と答えた回答者は合計 81% に上りました。ここには、展開を進めている (46%)、今年中に実装を開始する予定 (23%)、すでにゼロトラストのツールや戦略を展開している (11%) という回答が含まれます。

優れたゼロトラスト アーキテクチャーを導入すれば、ネットワーク インフラの簡素化、ユーザー エクスペリエンスの向上、サイバー脅威に対する防御力の改善が可能になるという事実が、このような関心の高さにつながっていると考えられます。今年ゼロトラストを採用する予定はないという回答は、わずか 15% でした。

• 

  図13 - 「ご自身の組織では、ゼロトラストのセキュリティ アプローチを採用していますか？」という質問への回答

このような関心に基づき、ゼロトラストソリューションの購入を検討している回答者は、多くの選択基準を念頭に置いています。重視する要素として最も多かったのが価格で 56%、次いで堅牢性 (54%)、既存のセキュリティソリューションとの統合 (53%) となっています。使いやすさとスケーラビリティー、特定の業界での実績やプラットフォームの幅広さも重視されています。

• 

  図14 - 「ゼロトラスト ソリューション ベンダーを評価する際、ご自身が組織が最も重要視している(または重要視するつもりの) 基準は何ですか？」という質問への回答

2025 年の予測

急速な変化とテクノロジーの進化のなか、セキュリティの取り組みの方向性を決めかねている組織も多いでしょう。多くの回答者は、IT 環境の可視性の不足について懸念を示しているほか、VPN からの脱却とゼロトラストの導入を目指しています。また、ツールのスプロール化や、AI がリスクレベルに与える影響も悩みの種となっています。

では、現在のやり方を変えるために、どのような行動を取ろうと考えているのでしょうか。今年や近い将来に予定している行動については、以下のような回答が得られました。

•今年はベンダーの統合に注力する (58%)

•今年は昨年よりも予算を増やす (54%)

•ゼロトラスト戦略を現在活用している、または今年中に実装する (81%)

•今後 2 年以内にサイバー防御に AI 機能を活用する (62%)

データから明らかなように、組織はサイバーセキュリティ戦略の合理化と強化を積極的に推進しようとしています。回答者の半数以上がベンダーの統合と予算の増加を検討しており、セキュリティの効率化と投資を押し進めていることがわかります。

圧倒的多数がゼロトラストアプローチの採用を進めているか、採用を計画しており、より堅牢なセキュリティアーキテクチャーへの移行の動きが示唆されています。さらに、近い将来 AI をサイバー防御に活用することを計画している組織も多く、セキュリティ態勢の強化に向けて高度なテクノロジーにますます目が向けられるようになってきていることは明らかです。全体として、こうした傾向からは、サイバーセキュリティ機能の管理と強化に対する積極的な姿勢がうかがえます。

Zscaler Zero Trust Exchange のメリット

アプライアンスや集中型のネットワークを利用する従来のセキュリティアーキテクチャーでは、現在の脅威に対する適切な保護を提供することはできません。アプライアンスは更新に時間がかかり、パフォーマンス上の制約があるほか、複数の場所で複製するには高いコストがかかります。さらに、場所を問わない働き方を望むハイブリッドワーカーに対し、一貫したセキュリティポリシーを拡張できません。効果的かつ拡張可能な保護には、クラウドネイティブのゼロトラストプラットフォームが必要です。クラウドネイティブとは、仮想化されただけの従来のアプライアンスではなく、クラウド専用に設計されていることを意味します。また、ゼロトラストは、安全なネットワーク境界という時代遅れの概念を脱却し、その境界が存在しない環境を受け入れる考え方です。

Zscaler Zero Trust Exchange™ は、本当の意味でクラウドネイティブな唯一のゼロトラストプラットフォームとして、包括的なセキュリティサービス エッジ (SSE) を提供し、ユーザー、ワークロード、デバイスをネットワークに公開することなく接続します。Zero Trust Exchange は、サイバー脅威対策に対する根本的に異なるアプローチであり、攻撃対象領域を大幅に縮小し、AI を活用した高度な脅威対策を提供します。クラウドのスピードで動作する完全なインライン セキュリティ制御を使用して、ユーザー、デバイス、ワークロードを必要なリソースに直接接続します。

これらの機能は以下の点で役立ちます。

•攻撃対象領域の排除：アプリケーションを Zero Trust Exchange の背後に置き、インターネットに対して不可視化することで、発見と標的型攻撃を防止します。

•不正侵入の防止：パフォーマンスを低下させることなくSSLトラフィックの最大 100% を検査し、コンテキスト認識型のセキュリティ制御で分析します。このセキュリティ制御は、世界最大のセキュリティクラウドによってリアルタイムで常に最新の状態に保たれます。

•脅威のラテラル ムーブメントの防止：ネットワークにアクセスすることなく、安全な 1 対 1 のトンネルを通じてユーザーをアプリに直接接続し、脅威を分離します。

•ユーザー エクスペリエンスの改善：クラウドアプリケーションへの直接接続は効率的に管理および最適化され、ユーザーはスムーズかつ高速にアクセスできます。

•コストと複雑さの軽減：簡単に管理、展開でき、VPN や複雑なファイアウォール ルール、追加のハードウェアは一切必要ありません。

まとめ

組織のアプリケーションは急速にクラウドに移行しており、その勢いが衰える気配はありません。クラウドの導入によって、IT の俊敏性が向上し、コストが削減され、イノベーションは加速します。企業は、重要なニーズに対応するためにインターネットサービスや外部の SaaS アプリケーションの利用を拡大するとともに、内部アプリケーションをパブリック クラウドや IaaS、PaaS に移行して俊敏性とアクセス性の向上を図っています。しかし、常に絶えることのないランサムウェアの脅威、ツールのスプロール化、可視性の限界、古いアプライアンスの脆弱性など、こうした取り組みにはさまざまな課題が伴います。調査の回答者は、VPN とファイアウォールが有効性を失っていることをはっきりと認識しており、セキュリティ部門は、支出の増加、ベンダーの統合、ゼロトラスト アーキテクチャーの導入に取り組んでいます。

AIは、脅威の高度化につながる一方で、革新的な対策にも役立つ諸刃の剣ですが、ITやセキュリティのプロフェッショナルはこの状況に前向きに取り組んでおり、複雑な環境や合理的な懸念のなかでも、実用的な解決策を生み出すことに注力しています。調査結果には、こうしたプロフェッショナルたちの決意が反映されており、効果的な戦略を通じてこうした課題に正面から取り組もうとする明確なビジョンが見えてきます。

付録：調査回答者の内訳

• 

• 

• 

• 

• 

[PR]提供：ゼットスケーラー