IIJ法人サービスのマーケティング全般を担当。市場トレンドを的確に捉え、お客様に"今"必要なコンテンツを提供。メールマガジンのコンテンツ企画、ウェビナー・イベントの企画、アンケート調査に基づくデータ分析など、多岐にわたる業務に従事し、トレンドやニーズに応じた情報発信を行う。
執筆・監修者ページ/掲載記事:14件
こんにちは。マーケティング担当の大利です。
IIJでは、企業ITにおけるお客様の実態や課題を深く理解するため、様々なテーマでのアンケートを実施しています。今回は、ゼロトラストに関するアンケート調査を実施しました。
ゼロトラスト実現に向けた対応状況や、対応における課題などが見えてきました。結果をご紹介します。
【アンケート調査の概要】
サイバー攻撃の深刻化などを背景に、多くの企業がゼロトラストの対応を推進または検討しています。実際アンケートでも、ゼロトラストが必要だと回答した企業は全体の88%と高い結果となりました(「必要と感じる」62%と「とても必要だと感じる」26%の合計)。特に従業員数1,000名以上の企業に所属する方の9割は、ゼロトラスト実現が必要と回答しました。一方で必要性を感じていない12%(「あまり必要ではないと感じる」11%と「まったく必要ではないと感じる」1%の合計)は、7割が従業員数500名以下の中小企業でした。ゼロトラストの導入と運用には、コストがかかります。更に、中小企業の情報システム部門は人的リソースが限られているケースが多く、既存システムの運用やデータの活用など対応すべきことが多岐にわたることが多いため、優先度が下がっている可能性が高いと推察します。
NIST(米国国立標準技術研究所)が定義したゼロトラストの7つの要素※における、対応状況を聞きました。多要素認証など認証対策の実施率が58%と最も多いことが分かりました。ほぼ同率で続くのが、オンプレミス、SaaS、クラウド上のリソース保護、すべてのネットワークにおける通信保護でした。クラウド利用の浸透やテレワーク対応を背景に、リソースや通信の保護強化が進んでいることが分かります。一方で、リソースへのアクセスの動的な検証、認可、制御については対応済は5割以下に留まります(「ユーザやデバイスの状態などによって動的にアクセスを制御している」「リソースへのアクセスはセッションごとに検証・認可している」)。特に、アクセスのセッションごとの検証、認可は、未対応企業が56%と最も多い結果となりました。背景には、既存のアクセス制御ポリシーで一定のセキュリティを確保できていると考え、他要素の対応を優先しているケースが多いことが推察できます。
※NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳(PwCコンサルティング合同会社)
(関連記事)ゼロトラストネットワークとは?境界防御にはない強靭性・利便性のポイントを解説
ゼロトラストを実現する上での課題については、対応できる人材が足りないとの回答が多い結果となりました。IIJが行った「情シス人材に関するアンケート2024」でも、人材の課題に関しては、専門人材の不足(「豊富な経験を持つ人材が足りない」)が上位にきています。ゼロトラスト実現を推進できる人材確保の課題が、7つの要素において未対応となっている企業が多い要因の一つと言えることが分かりました。また、セキュリティ対策にかける予算が限られている、製品選定が難しいという声も多く上がりました。実際に回答者がどのようなことに対して課題を感じているのか、フリーコメントからゼロトラスト推進にあたってのリアルな声を紹介します。
導入及び運用コストがかさむ、費用対効果の検証が難しい
ゼロトラスト実現の必要性を経営陣が理解しておらず、予算確保が難しい
ソリューションが多く、かつ既存システムと整合性がとれるかの判断も必要なため選定が難しい
レガシーシステム含む既存システムをゼロトラストに適応させるのが大変
IIJ サービスプロダクト推進本部ゼロトラストセキュリティサービス担当 浅子 良太
ゼロトラストは、単なるセキュリティ技術の導入ではなく、企業全体のセキュリティ戦略の根本的な見直しを必要とします。既存システムとの整合性をとるためには、まず現行のセキュリティポリシーをゼロトラストの原則に沿って再評価し、段階的に移行する計画が求められます。ゼロトラストの実装は人材やコストといった障壁もありますが、将来的なサイバーリスクの軽減と企業の持続的成長を考慮すれば、あるべき姿に向けた一歩を踏み出していくことが大切です。
今回のアンケート結果から、多要素認証には対応済みの企業が比較的多い一方で、動的なアクセス制御やセッションごとの検証・認可には未対応の企業が多いことが明らかになりました。こうした動的なアクセス制御の実現には、SASEのような包括的なソリューションが不可欠と考える企業が多く、実際にゼロトラスト導入支援を行う中でも、SASEソリューションの選定や導入に際し、既存環境の大幅な変更が必要となり、それが導入のハードルとなっているケースが少なくありません。また、社内に残るレガシーシステムとの連携が障壁となり、動的アクセス制御の導入が遅れる要因となるケースも多くあります。
「アクセス制御」という言葉には複雑な印象を受けるかもしれませんが、リモートアクセスのポリシーを見直すことで、ゼロトラストの考え方を段階的に取り入れることが可能です。自社に最適なゼロトラスト環境を実現するために、様々なサービスを比較検討することが重要です。
なお、IIJでもレガシーシステムとも親和性の高いゼロトラストネットワークアクセスサービスを提供しています。ZTNA体験型プログラムも実施しておりますので、ゼロトラスト導入に関するご相談があれば、ぜひIIJまでお問い合わせください。
未対応企業が多かったアクセス制御に関して、IIJではリモートアクセスの課題であった「遅さ」「切れやすさ」を解消し、通信の可視化、きめ細かなポリシー設定やアクセス制御などゼロトラストを実現するサービス「IIJフレックスモビリティサービス/ZTNA」を提供しています。ゼロトラストの検討を後押しする「ZTNA徹底体感プログラム」もございます。実際の業務環境を想定したデモンストレーションで、「導入後のイメージが湧く」と好評です。ご興味がございましたら、ぜひご覧ください。