パロアルトネットワークスは2021年9月30日、国内企業を対象にしたゼロトラストセキュリティの実態調査「ロード・トゥ・ゼロトラスト ジャパンサーベイ 2021年版」を発表した。“ゼロトラスト成熟度”が高い国内企業はわずか13%にとどまること、ゼロトラストに対する認識が多様化しておりユーザー企業が混乱状態にあることなどが浮き彫りとなっている。
同日の記者説明会では、ゼロトラスト成熟度の高い企業の特徴などもふまえながら、企業がゼロトラストを実現していくうえでのポイントが紹介された。
パロアルト調査による国内企業の“ゼロトラスト成熟度”の現状
パロアルトネットワークス チーフサイバーセキュリティストラテジストの染谷征良氏、ゲスト出席したラック サイバーセキュリティサービス統括部デジタルペンテストサービス部長の仲上竜太氏
「ゼロトラスト」の定義が混乱している現状
同調査は2021年7月、国内民間企業(従業員500人以上)のサイバーセキュリティ分野の決裁権者/意思決定者/運用担当者401人を対象に実施されたもの。全20項目のセキュリティ対策実施状況を評価し、100点満点の合計スコアに応じて5段階の独自指標“ゼロトラスト成熟度”を算出している。
説明会に出席したパロアルトネットワークス チーフサイバーセキュリティストラテジストの染谷征良氏は、「ゼロトラストは概念であり、戦略である。それを実行するため、どんなツールやソリューションを入れればいいのかがわからないという声も多い。ゼロトラストを導入している企業においても、ゼロトラストの原則が徹底できていないケースが目立つ」と、今回の調査結果を総括する。
調査では、ゼロトラストについて「採用中」または「採用済み」であると回答した企業は35%、「情報収集中」や「検討中」などを合わせて、合計で約9割の企業がゼロトラストに関心を寄せていることがわかった。ただし、国内企業のゼロトラスト成熟度は平均で56点、最高レベルである「レベル5」の企業は全体の13%にとどまる。
染谷氏は、テレワークが普及するなかで攻撃可能領域(アタックサーフェス)が多様化したため「ゼロトラストが世界的に重要なテーマになっている」と説明する。2021年5月には、米国でサイバーセキュリティに対する大統領令が発令され、連邦政府におけるゼロトラスト実装が盛り込まれているという。
米国連邦政府は「ゼロトラストアーキテクチャ」の採用を明示した
「だが、ゼロトラストの解釈が多様化しており、『(ゼロトラストは)限定的な対策である』といった誤った認識も広がっている。セキュリティベンダーによるゼロトラストの提案でも、『認証だけ』『ネットワークだけ』『エンドポイントだけ』といった具合だ。その結果、ゼロトラストの市場が混乱している」(染谷氏)
今回の調査でも、ゼロトラストの定義について「場所を問わず、すべてのリソースから信頼を排除するもの」という認識を示したのは全体の34%にとどまる。一方で「端末への信頼を排除する」「ユーザーへの信頼を排除する」「VPNの代替として信頼を排除する」「テレワーク環境への信頼を排除する」といった回答もそれぞれ1~2割を占め、ゼロトラストの定義が混乱している現状を反映している。
今回の調査における「ゼロトラスト」に対する認識の混乱
ゼロトラスト成熟度が高い企業の特徴は
ゼロトラストの定義について、染谷氏はあらためて次のように説明する。
「ゼロトラストは、企業や組織のインフラ全体から信頼という概念を取り除くことで、情報漏洩をはじめとした侵害を防ぎ、事業継続性を維持するサイバーセキュリティの戦略だ。NIST SP800-207では『ゼロトラストはパラダイムである』と定義されており、場所に関係なく、すべてのリソースに対して、すべての通信を制御していくことだとしている。したがってユーザー、デバイス、アプリ、コンテンツを、場所を問わず何も信頼せずに検査するものであり、『インフラ全体で』行うことが大切である。テレワークなど特定の用途、あるいは特定のツールに絞って行うものではない」(染谷氏)
なお、ゼロトラスト成熟度が最高レベル(レベル5)の企業群では、78%がゼロトラストの概念を正しく理解していた。さらに、サイバーセキュリティを「コストではなく投資」だと位置づける割合も63%に上ったという。
ゼロトラスト成熟度が高い(レベル5)企業の特徴
加えて、成熟度がレベル5の企業とそれ以外の企業(レベル1~4)では、「保護対象領域の特定」「最小特権の原則の徹底」「場所を問わない一貫した動的ポリシー」「コンテキストベースの動的なアクセス制御」といった、ゼロトラストの原則と密接に関係する対策に大きな格差があったという。レベル5企業では9割前後がこれらの対策を実施しているのに対し、レベル1~4企業では2割前後にとどまる。
パロアルトでは今回の調査結果から、ゼロトラストを機能させるためには「コストから投資へのマインドセットの転換」「ゼロトラストの原則を再認識し、自社環境での要件を定義」「個別最適から全体最適への転換」「ツールありきから、戦略的アプローチへの転換」「ゼロトラストを支える運用の実装」の5つが重要だと指摘している。
国内企業の現状と、「機能するゼロトラスト」実現のためのポイント
さらに染谷氏は、今後はさらにAIや自動化の取り組みも必須になることを指摘した。
「インフラ全体から集めた情報をAIで分析するといった取り組みは、成熟度が高い企業でも進んでいない。インシデントが発生した際の自動化、自律化もまだこれからという企業が相当数ある。セキュリティ運用では人材不足やスキル不足が課題であり、ゼロトラストを高度化させるにはAIや自動化に取り組む必要がある」(染谷氏)
また、ゲスト出席したラックの仲上氏は、国内企業でもゼロトラストアーキテクチャへの期待が高まる一方で「これひとつでゼロトラストになる、というソリューションは存在しない」ため、「どこから始めればよいかわからない」企業が多くあるのが実態だと語る。
そのうえで、ゼロトラスト推進のポイントは「保有する資産の現状把握と全体戦略(ロードマップ)の策定」「優先的課題の明確化」「ツールありきではなく、戦略に合致し課題を解決できる方法論の選択」「従業員やステークホルダーへの周知と理解の促進」といった点にあるとまとめた。
