1. HOME
  2. ブログ
  3. 組織がゼロトラストを最大限に活用するための提言

組織がゼロトラストを最大限に活用するための提言

ゼットスケーラー株式会社は、ゼロトラストセキュリティへの移行状況に関するレポートを発表した。

・クラウドに移行するグローバル組織の90%以上がゼロトラストアーキテクチャーを「実装済み」、「実装中」、「実装予定」であり、日本でも94%の組織がいずれかの段階に該当

・クラウドインフラストラクチャーの可能性を最大限に活用していると「強く確信する」IT部門の意思決定者はわずか22%にとどまり、ゼロトラストの必要性を示唆。日本ではさらに低い17%という結果に

・グローバルの68%、日本の66%が「従来型のネットワークセキュリティインフラストラクチャーでは安全なクラウドトランスフォーメーションを実現できない」または「従来型のファイアウォールやVPNよりもゼロトラストネットワークアクセス(ZTNA)のほうが明らかに優れている」と認識

・グローバルでは ZTNAが今後12か月のゼロトラスト投資の最優先事項であり、ハイブリッドワーク向けのリモートアクセスの重要性が浮き彫りに。日本ではデジタルエクスペリエンスモニタリング(DEM)を最優先事項としている割合が最多

クラウド セキュリティ業界を牽引するZscaler (以下 ゼットスケーラー)は、クラウドへの移行を開始したIT部門の意思決定者(以下、ITリーダー)を対象とした調査レポート「2023年版 ゼロトラスト トランスフォーメーションの現状(日本語版)」を発表し、ゼロトラストアーキテクチャーを「実装済み」、「実装中」、「実装予定」のいずれかであると回答したITリーダーが、グローバルで90%以上、日本でも94%であったことを明らかにした。
また、グローバルの68%(3分の2以上)、日本の66%のITリーダーが「従来型のネットワーク セキュリティ インフラストラクチャーでは安全なクラウドトランスフォーメーションを実現できない」または「アプリケーションへのリモートアクセスに関して、従来型のファイアウォールやVPNよりもZTNAのほうが明らかに優れている」と認識しており、ユーザーやクラウドを保護するゼロトラストへの大規模な移行が支持されていることがわかった。
本レポートは、アプリケーションやサービスのクラウドへの移行をすでに開始した世界中の1,900以上の企業(うち100社が日本企業)のIT部門に所属するシニアレベルの意思決定者を対象とした調査の結果をまとめている。

ゼロトラストは、いかなるユーザー、デバイス、アプリケーションも本質的に信頼できないという原則に基づき構築されたフレームワーク。急速なデジタル トランスフォーメーションを背景に、多くのITリーダーがクラウドとモバイルを中心とした高度に分散化した世界で企業のユーザー、ワークロード、IoT/OT環境を保護する理想的なフレームワークはゼロトラストと考えていることが今回の調査で明らかになった。ITを総体的な視点で捉えるゼロトラストは、イノベーションの推進、従業員エンゲージメントの向上、具体的な費用対効果の実現など、デジタル化のプロセス全体にわたってビジネス チャンスを引き出す可能性を秘めている。

クラウドに関する最上位の懸念事項

ITリーダーは、セキュリティ、アクセス、複雑性をクラウドの最上位の懸念事項として挙げているが、これらはゼロトラストで解決できる典型的な課題である。従来型のネットワークやセキュリティインフラストラクチャーに関して、グローバルの54%が「VPNや境界型防御のファイアウォールではサイバー攻撃に対抗できない」または「アプリケーショントラフィックや攻撃に関する可視性が不十分である」と認識している。
一方、日本では64%のITリーダーが認識しており、その数値はグローバルよりも高いものとなっている。これは、「従来型のネットワークセキュリティインフラストラクチャーでは安全なクラウドトランスフォーメーションを実現できない」または「重要なアプリケーションへのリモートアクセスに関して、従来型のファイアウォールやVPNよりもZTNAのほうが明らかに優れている」と回答したリーダーがグローバルで68%、日本で66%という調査結果を裏付けている。

クラウドの使用状況が示す自信の不足

ゼロトラストの進歩はすさまじいものの、「クラウドインフラストラクチャーの可能性を最大限に活用している自信がある」と回答したグローバルのITリーダーはわずか22%で、日本においては17%にとどまった。組織がクラウドジャーニーの確固たる最初の一歩を踏み出したとはいえ、クラウドのメリットを最大限に引き出すための余地がまだ残されているということになる。地域ごとに結果は異なり、クラウドインフラストラクチャーの使用に関して「十分に自信がある」と回答した組織は、南北アメリカ地域では42%、ヨーロッパ/中東/アフリカ地域では14%、アジア太平洋地域では24%であった。国ごとでは、インド(55%)およびブラジル(51%)が上位となり、次いで米国(41%)およびメキシコ(36%)となっている。一方、ヨーロッパおよびアジア諸国の自信の程度は前述の地域よりも低く、ヨーロッパのスウェーデン(21%)とイギリス(19%)にオーストラリア(17%)、日本(17%)、シンガポール(16%)が続いている。上記以外のヨーロッパ諸国は遅れを取っており、オランダ(14%)、イタリア(12%)、フランスおよびスペイン(11%)、ドイツ(9%)であった。最も進んでいる国と最も遅れている国の差は6倍以上と、地域ごとにクラウドに対する自信の程度が異なることを示しており、教育やスキルのギャップを埋めるための機会も生み出している。

一見すると、セキュリティがクラウドの可能性を最大限に活用するうえでの障壁となっているよだが、実際の障壁はITリーダーのクラウドに対する考え方にあると見られ、これはクラウドへの移行に対する動機からも見て取ることができる。ITリーダーは、「データ プライバシー関連の懸念事項」、「クラウド上でのデータ保護の課題」、「ネットワークセキュリティの拡張の課題」を、クラウドの可能性を最大限に活用するうえでの主な障壁として挙げていたが、デジタルトランスフォーメーションの取り組みを推進する主な理由の回答では、「コスト削減」、「サイバーリスクの管理」、「5Gやエッジコンピューティング」といった新興技術の推進が上位3つを占めている。これは幅広いビジネス上のメリットを完全に活用する方法に関して、まだ理解が足りていないということを示唆するものである。

ハイブリッド ワークでのゼロトラストの活用

本レポートの調査結果によると、日本の従業員の現在のワークスタイルは、完全なオフィス勤務が39%、完全なリモート勤務が36%、ハイブリッドが25%になっており、グローバルの平均値とほぼ同じ割合になっている。ITリーダーは従業員が今後12か月も引き続き、このような働き方の選択肢を最大限に活用すると予測している。
一方、進化し続けるハイブリッドワークの多種多様な要求に応えるのに、十分な基盤がまだ組織に備わっていない可能性があることも明らかになった。「ハイブリッドワークに特化したゼロトラストベースのインフラストラクチャーをすでに導入している」と回答したリーダーはグローバル、日本ともに19%にとどまり、多くの組織では、このような高度に分散化したワークスタイルに適したセキュリティに大規模に対応できる準備がまだ整っていないといえる。また、グローバルの50%、日本の55%の組織がゼロトラストベースのハイブリッド戦略を「実装中」または「実装予定」であることがわかった。

ゼロトラストベースのハイブリッドワークインフラストラクチャーを実装する理由で最も多く挙げられたのが従業員のユーザーエクスペリエンスである。「オンプレミスとクラウドベースのアプリケーションやデータにアクセスする際の一貫性のないエクスペリエンスに対処できる」と回答したグローバルのITリーダーは半数以上(52%)で、他にも「ネットワークアクセスの問題に起因する生産性の低下の課題に役立つ」(グローバル46%、日本55%)、「ゼロトラストで従業員個人のデバイスからアプリケーションやデータへのアクセスが可能になる」(グローバル39%、日本57%)という理由も挙げられている。これらの見解は、ハイブリッドワークがアクセス、エクスペリエンス、パフォーマンスにもたらすセキュリティ以外の幅広い課題と、それらに対してゼロトラストが果たす役割を反映している。日本でも70%が「オンプレミスとクラウドベースのアプリケーションやデータにアクセスする際の一貫性のないエクスペリエンスに対処できる」と回答しており、グローバルの58%よりも大きな割合になった。

ビジネス イネーブラーとしてのゼロトラストの可能性

ゼットスケーラーは、クラウド移行の動機と同様に、組織が新興技術に関する取り組みを計画する際に、より広範な戦略的成果に焦点が当てられていないということを明らかにした。新興技術の導入プロジェクトにおいて最も課題となる点を1つだけ回答するよう求めたところ、「十分なセキュリティ」を挙げたITリーダーが30%、「さらなるデジタル化のための予算要件」が23%であったのに対し、「戦略的なビジネス上の意思決定」を課題として挙げたITリーダーはわずか19%であった。日本では41%のITリーダーが「十分なセキュリティ」を課題として挙げ、次いで「さらなるデジタル化のための予算要件」が28%、「新興技術プロジェクトに対するビジョンの欠如」が15%となっている。

予算に関する懸念が挙がるのは自然なことだが、戦略的なビジネス運営との足並みを揃えずにネットワークを保護しようとすることは、ビジネス上の利点を十分に理解しないままセキュリティに重点を置いているということ、ゼロトラスト自体がビジネスイネーブラーとして理解されていないということを意味する。

ゼットスケーラーの日本およびアジア太平洋地域のCISOであるHeng Mok (ヘン・モック)は次のように述べている。
「アジア太平洋地域(APAC)は、”1つのシステムがすべてに対応できるわけではない”ことを示す良い例です。文化やライフスタイルが混じり合ったこの地域では、市場ごとに仕事へのアプローチが異なります。パンデミック以前から、日本やシンガポールではより階層的な構造に従っている一方で、オーストラリアやインドの労働スタイルはよりリラックスしたものという大きな違いが見られていました。アジア太平洋地域には、世界で最も厳格にロックダウンされた都市が含まれており、こういった違いはロックダウンから解放されるにつれてむしろより顕著になっています。調査回答者のうち、日本とシンガポールのIT意思決定者の過半数は、従業員が完全にオフィス勤務になると予測しており、完全にリモートになると予想しているオーストラリアとインドとは著しく対照的です。しかし、長期的には今より多くの組織がハイブリッド ワーク モデルを倍増させていくと予測しています。私が話を聞いた多くの組織では、人材を確保するという目には見えないメリットのためにハイブリッド ワークを選択しています。限られた人材をめぐって競争が激化する中、多くの企業が同様のポリシーを取り入れつつ、この移行をよりシームレスにサポートするためのテクノロジー スタックを検討していることは至極当然のことといえるかもしれません」。

ゼットスケーラーは、組織がゼロトラストを最大限に活用するために以下の4つを推奨している。

1.すべてのゼロトラスト製品が同じというわけではない:いかなるユーザー、アプリケーションも本質的に信頼できないという原則に基づいて構築された、真のゼロトラスト アーキテクチャーを実装することが重要。ゼロトラストでは、ユーザー アイデンティティーの検証をコンテキスト データに基づくビジネス ポリシーの適用と組み合わせて実行し、ユーザー、デバイス、ワークロードが(企業ネットワークではなく)アプリケーションやリソースに直接アクセスできるようにする。これにより攻撃対象領域が排除され、脅威アクターが企業ネットワークへのアクセスを取得して、水平に移動することを防止できるため、セキュリティ態勢が改善される。

2.トランスフォーメーションとビジネスの成果のイネーブラーとしてのゼロトラスト:セキュリティ、可視性、制御のレベルを上げる、総体的なゼロトラストベースのアーキテクチャーを活用することで、IT運用における複雑さが取り除かれる。これにより、組織はデジタルトランスフォーメーションのプロジェクトの一環としてビジネスの成果の向上に注力し、競争力を維持できるようになる。

3.役員に向けたゼロトラスト:CIOやCISOは、ビジネス戦略に沿って、重要な意思決定者がゼロトラストへの理解不足から抱える不安や疑念を払拭し、ゼロトラストがビジネスにもたらすインパクトの全体像をこうした意思決定者に伝えるために、今回の調査結果を活用する必要がある。

4.将来の基盤としてのゼロトラスト対応のインフラストラクチャー:新興技術がビジネス上の競争において優位性をもたらすと捉える必要がある。ゼロトラストであれば、安全で高性能な接続という主流の要件を満たすことができる。

「2023年版 ゼロトラスト トランスフォーメーションの現状(日本語版)」はこちら(https://info.zscaler.com/resources-industry-reports-the-state-of-zero-trust-transformation-2023-jp

出典:PRTIMES 日本企業の94%がゼロトラストの導入を進めているものの、ビジネス上の可能性を最大限に引き出せていないことが判明

関連記事

サイバーセキュリティの課題をテーマ別に紹介中!!