【ゼロトラスト実態調査】5割がすでに一部対応済。認証強化の実施が最多、今後の課題はアクセス制御

IIJ サービスプロダクト推進本部 プロモーション部 マーケティング課

大利 真弘

IIJ法人サービスのマーケティング全般を担当。市場トレンドを的確に捉え、お客様に"今"必要なコンテンツを提供。メールマガジンのコンテンツ企画、ウェビナー・イベントの企画、アンケート調査に基づくデータ分析など、多岐にわたる業務に従事し、トレンドやニーズに応じた情報発信を行う。

執筆・監修者ページ/掲載記事:15件

こんにちは。マーケティング担当の大利です。
IIJでは、企業ITにおけるお客様の実態や課題を深く理解するため、様々なテーマでのアンケートを実施しています。今回は、ゼロトラストに関するアンケート調査を実施しました。
ゼロトラスト実現に向けた対応状況や、対応における課題などが見えてきました。結果をご紹介します。

【アンケート調査の概要】

  • 調査手法:IIJメールマガジンの読者に対するWebアンケート
  • 調査期間:2024年7月24日~7月31日
  • 回答対象者:情報システム部門
  • 有効回答数:347件
切れない&ゼロトラストを実現するサービスガイドブックダウンロード(無料)
目次
  1. ゼロトラスト実現の必要性や対応状況
  2. ゼロトラストを実現する上での課題
  3. IIJのゼロトラストサービス担当による提言

ゼロトラスト実現の必要性や対応状況

ゼロトラストを実現することは必要だと思いますか?

質問「ゼロトラストを実現することは必要だと思いますか?」に対する回答の集計結果(IIJのゼロトラスト実態調査アンケートより)

サイバー攻撃の深刻化などを背景に、多くの企業がゼロトラストの対応を推進または検討しています。実際アンケートでも、ゼロトラストが必要だと回答した企業は全体の88%と高い結果となりました(「必要と感じる」62%と「とても必要だと感じる」26%の合計)。特に従業員数1,000名以上の企業に所属する方の9割は、ゼロトラスト実現が必要と回答しました。一方で必要性を感じていない12%(「あまり必要ではないと感じる」11%と「まったく必要ではないと感じる」1%の合計)は、7割が従業員数500名以下の中小企業でした。ゼロトラストの導入と運用には、コストがかかります。更に、中小企業の情報システム部門は人的リソースが限られているケースが多く、既存システムの運用やデータの活用など対応すべきことが多岐にわたることが多いため、優先度が下がっている可能性が高いと推察します。

ゼロトラストを実現するための7つの要素のうち、貴社が対応できているものを教えてください

質問「ゼロトラストを実現するための7つの要素のうち、貴社が対応できているものを教えてください」に対する回答の集計結果(IIJのゼロトラスト実態調査アンケートより)

NIST(米国国立標準技術研究所)が定義したゼロトラストの7つの要素※における、対応状況を聞きました。多要素認証など認証対策の実施率が58%と最も多いことが分かりました。ほぼ同率で続くのが、オンプレミス、SaaS、クラウド上のリソース保護、すべてのネットワークにおける通信保護でした。クラウド利用の浸透やテレワーク対応を背景に、リソースや通信の保護強化が進んでいることが分かります。一方で、リソースへのアクセスの動的な検証、認可、制御については対応済は5割以下に留まります(「ユーザやデバイスの状態などによって動的にアクセスを制御している」「リソースへのアクセスはセッションごとに検証・認可している」)。特に、アクセスのセッションごとの検証、認可は、未対応企業が56%と最も多い結果となりました。背景には、既存のアクセス制御ポリシーで一定のセキュリティを確保できていると考え、他要素の対応を優先しているケースが多いことが推察できます。

NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳(PwCコンサルティング合同会社)

(関連記事)ゼロトラストネットワークとは?境界防御にはない強靭性・利便性のポイントを解説

ゼロトラストを実現する上での課題

ゼロトラストを実現する際の対応を進める上での課題を教えてください(複数回答可)

質問「ゼロトラストを実現する際の対応を進める上での課題を教えてください」に対する回答の集計結果(IIJのゼロトラスト実態調査アンケートより)

ゼロトラストを実現する上での課題については、対応できる人材が足りないとの回答が多い結果となりました。IIJが行った「情シス人材に関するアンケート2024」でも、人材の課題に関しては、専門人材の不足(「豊富な経験を持つ人材が足りない」)が上位にきています。ゼロトラスト実現を推進できる人材確保の課題が、7つの要素において未対応となっている企業が多い要因の一つと言えることが分かりました。また、セキュリティ対策にかける予算が限られている、製品選定が難しいという声も多く上がりました。実際に回答者がどのようなことに対して課題を感じているのか、フリーコメントからゼロトラスト推進にあたってのリアルな声を紹介します。

ゼロトラストを実現する上で、特に障壁となっているものを具体的に教えてください(フリーコメント)

導入及び運用コストがかさむ、費用対効果の検証が難しい

  • コストに対するメリットの訴求が難しい。
    (建設業/100~499名)
  • 一般的なソフトに比べ、アカウント当たりの金額が大きく、全社展開しようとするとそれなりにコストが発生する。
    (他のサービス業/100~499名)
  • やり方によってはかなり高額になってしまうと考えられ、会社の規模に応じた適切なコストのかけ方が難しいと感じている。また様々な製品がでているため、その比較も難しい。導入順序等も難しいと感じている。
    (その他/1,000~2,999名)
  • 対策するうえでソリューションの導入・維持コストがかなりかかり、一部の導入のみになることが多い点が懸念。
    (他のサービス業/100~499名)
  • セキュリティ対策で、多額なコストをかけられない。
    (卸売・小売業/1~99名)

ゼロトラスト実現の必要性を経営陣が理解しておらず、予算確保が難しい

  • 経営層への説明および理解。
    (他のサービス業/100~499名)
  • 必要性が情報システム部門しかわからず、他部門、経営層に理解されない。
    (他のサービス業/100~499名)
  • 経営層においてのIT関連セキュリティの認識があまりなく、積極的に対応する発想が無い。非経営層においては全く無い。
    (製造業/100~499名)
  • 必要性を経営者層が理解していないので、当然、高額なコストにも理解を示してくれない。
    (教育・学習支援業/100~499名)
  • ゼロトラストを実現させる必要性を情シス部門は感じているが、経営層の理解や予算に関して非常に厳しいと感じる。境界型防御へのコスト(投資)はある程度理解できているが、システムとしてはすでに境界型では対応できない仕組みを導入しておりザルな状態で運用している。起こってほしくはないがインシデント発生が起これば対応するのだろうが、現時点では見た目上のインシデントがないので現状維持になってしまっている。
    (情報通信業/1~99名)

ソリューションが多く、かつ既存システムと整合性がとれるかの判断も必要なため選定が難しい

  • 業務システムが多岐に渡り、社内外すべてに対して適応可能なソシューション選定が現実的に困難。現在は社員教育などによりカバーすることがポリシーとして認められているため実害はなし。
    (金融・保険業/1,000~2,999名)
  • どこまでやるかの判断が難しい。管理工数をかけられないので、ある程度監視や分析を委託するかAIで対応と考えるとコストがかさむ。また、SASEサービスは海外メーカーのものが多く、トラブル時の対応に時間がかかると聞いており、日本法人で手厚いサービスが受けられるものが望ましいなど、導入後の管理のハードルが高い。(中略)海外製品のサポートの悪さが気になり、サービス選定に迷う。
    (製造業/1,000~2,999名)
  • ゼロトラストのキーとなるSASE/SSEツールの選定。
    (情報通信業/100~499名)
  • 適切なソリューションの選定とコストバランスが難しい。
    (情報通信業/ 1~99名)
  • 選定・導入・運用まで担当できる工数が足りない。
    (情報通信業/ 1~99名)

レガシーシステム含む既存システムをゼロトラストに適応させるのが大変

  • オンプレミスで稼働している基幹システムがスクラッチで開発したクライアントサーバーシステムとなっており、認証の仕組みを入れるのが難しい。
    (製造業/100~499名)
  • レガシーシステムの存在。既存の古いシステムやインフラがゼロトラストの原則に対応しておらず、これらを改修または置き換えるためには多大なコストと時間がかかり、上申することすら憚られます…。
    (他のサービス業/100~499名)
  • レガシーシステム、特に“境界型ネットワーク”の内側に過去に構築済みであり運用中であるシステムを対応させること。
    (他のサービス業/1,000~2,999名)
  • 既存システムとの整合性が取れないことと、システムリプレース等に対応する余力が全然ないことに加え、グループ会社に属している関係からの制約等により、当社のみの独自対応が難しい。
    (その他/100~499名)
  • レガシーのシステムが認証・認可に対応できないため、根本的な対応をする必要があり、その場合、社内メンバーの業務影響が多大になるため理解が得られない。
    (製造業/100~499名)

IIJのゼロトラストサービス担当による提言

IIJ サービスプロダクト推進本部ゼロトラストセキュリティサービス担当 浅子 良太

ゼロトラストは、単なるセキュリティ技術の導入ではなく、企業全体のセキュリティ戦略の根本的な見直しを必要とします。既存システムとの整合性をとるためには、まず現行のセキュリティポリシーをゼロトラストの原則に沿って再評価し、段階的に移行する計画が求められます。ゼロトラストの実装は人材やコストといった障壁もありますが、将来的なサイバーリスクの軽減と企業の持続的成長を考慮すれば、あるべき姿に向けた一歩を踏み出していくことが大切です。

今回のアンケート結果から、多要素認証には対応済みの企業が比較的多い一方で、動的なアクセス制御やセッションごとの検証・認可には未対応の企業が多いことが明らかになりました。こうした動的なアクセス制御の実現には、SASEのような包括的なソリューションが不可欠と考える企業が多く、実際にゼロトラスト導入支援を行う中でも、SASEソリューションの選定や導入に際し、既存環境の大幅な変更が必要となり、それが導入のハードルとなっているケースが少なくありません。また、社内に残るレガシーシステムとの連携が障壁となり、動的アクセス制御の導入が遅れる要因となるケースも多くあります。

「アクセス制御」という言葉には複雑な印象を受けるかもしれませんが、リモートアクセスのポリシーを見直すことで、ゼロトラストの考え方を段階的に取り入れることが可能です。自社に最適なゼロトラスト環境を実現するために、様々なサービスを比較検討することが重要です。

なお、IIJでもレガシーシステムとも親和性の高いゼロトラストネットワークアクセスサービスを提供しています。ZTNA体験型プログラムも実施しておりますので、ゼロトラスト導入に関するご相談があれば、ぜひIIJまでお問い合わせください。

未対応企業が多かったアクセス制御に関して、IIJではリモートアクセスの課題であった「遅さ」「切れやすさ」を解消し、通信の可視化、きめ細かなポリシー設定やアクセス制御などゼロトラストを実現するサービス「IIJフレックスモビリティサービス/ZTNA」を提供しています。ゼロトラストの検討を後押しする「ZTNA徹底体感プログラム」もございます。実際の業務環境を想定したデモンストレーションで、「導入後のイメージが湧く」と好評です。ご興味がございましたら、ぜひご覧ください。

IIJサービスに触れて体感してみませんか?
~IIJ Touch & Experience College~
サービス体感プログラム(無料)の詳細はこちら