Zscaler(ゼットスケーラー)は2月2日、クラウドへの移行を開始したIT部門の意思決定者(ITリーダー)を対象とした調査レポート「2023年版 ゼロトラスト トランスフォーメーションの現状」に関する発表会をオンラインで開催した。
同調査はイギリス、ドイツ、フランス、オランダ、スウェーデン、イタリア、スペイン、米国、メキシコ、ブラジル、日本、インド、オーストラリア、シンガポールの1908人のシニアレベルの意思決定者(CIO/CISO/CDO/ネットワーク アーキテクチャーの責任者)を対象に、2022年5月31日から2022年6月28日に調査したもの。調査対象となった組織の規模の内訳は、従業員数が4,999人以下の組織が43%、5,000人以上9,999人以下の組織が32%、10,000以上の組織が25%だった。
ゼロトラストとは、その言葉のとおり、「何も信頼しない」ことを前提とするセキュリティ対策における考え方。従来の「内側(社内ネットワーク)」と「外側(インターネット)」に分けて対策を講じる考えを一新するものだ。
ゼロトラスト展開の状況
同調査によると、ゼロトラスト アーキテクチャを「実装済み」、「実装中」、「実装予定」のいずれかであると回答したITリーダーが、グローバルで90%以上、日本でも94%であったことが分かった。
また、グローバルの68%(3分の2以上)、日本の66%のITリーダーが「従来型のネットワーク セキュリティインフラストラクチャでは安全なクラウド トランスフォーメーションを実現できない」または「アプリケーションへのリモート アクセスに関して、従来型のファイアウォールやVPNよりもZTNA(ゼロトラストネットワークアクセス)のほうが明らかに優れている」と認識しており、ユーザーやクラウドを保護するゼロトラストへの大規模な移行が支持されていることが判明した。
ゼロトラストを実装する主な理由に関しては、「高度な脅威やWebアプリケーション攻撃の検出の改善と機密データの保護の強化」が65%(日本は64%)と一番多かった。これに、「ベンダー、パートナー、運用技術のリモートアクセスの保護」(44%、日本は49%)、「ハイブリッドワークの接続の安全性の改善」(27%、日本は18%)と続いた。
発表会に登壇したマーケティング本部長の近藤雅樹氏は「ゼロトラストを考える際、企業が完全にデジタル化するためのビジネス戦略は、現時点で重要な役割を担っていない」と説明した。
ゼロトラスト採用の背景にあるクラウドの実態
一方で、「クラウドインフラストラクチャの可能性を最大限に活用している自信がある」と回答したグローバルのITリーダーはわずか22%で、日本においては17%にとどまった。クラウドインフラストラクチャの使用に関して「十分に自信がある」と回答した組織は、南北アメリカ地域では42%、ヨーロッパ/中東/アフリカ地域では14%、アジア太平洋地域では24%。国ごとでは、インド(55%)およびブラジル(51%)が上位となり、これに米国(41%)およびメキシコ(36%)が続いた。
近藤氏は、「従来型のネットワークとセキュリティインフラがリモートアクセスやクラウドトランスフォーメーションの障壁となっている」と補足。実際、64%の日本企業が「VPNや境界ファイアウォールはどちらもサイバー攻撃からの保護や、アプリケーションのトラフィックおよび攻撃の可視化には効果がない」ことに同意している。
ゼロトラストベースのハイブリッドワークインフラ
同調査結果によると、日本の従業員の現在のワークスタイルは、完全なオフィス勤務が39%、完全なリモート勤務が36%、ハイブリッドが25%になっており、グローバルの平均値とほぼ同じ割合になっている。
ITリーダーは従業員が今後12カ月も引き続き、このような働き方の選択肢を最大限に活用すると予測。一方、進化し続けるハイブリッドワークの多種多様な要求に応えるのに、十分な基盤がまだ組織に備わっていない可能性があることも明らかとなった。
「ハイブリッド ワークに特化したゼロトラストベースのインフラストラクチャをすでに導入している」と回答したリーダーはグローバル、日本ともに19%にとどまり、多くの組織では、このような高度に分散化したワークスタイルに適したセキュリティに大規模に対応できる準備がまだ整っていないと同社はみる。また、グローバルの50%、日本の55%の組織がゼロトラストベースのハイブリッド戦略を「実装中」または「実装予定」であることが判明した。
「ハイブリッドワーク環境におけるセキュリティとは脅威を防ぐだけでなく、従業員から派遣の方や出向の方まで、幅広いユーザーにインフラへのアクセスを安全に提供することである」(近藤氏)
新興技術に対するゼロトラスト
また、同調査では新興技術の導入プロジェクトにおいて最も課題となる点を1つだけ回答するよう求めた。すると「十分なセキュリティ」を挙げたITリーダーが30%、「さらなるデジタル化のための予算要件」が23%であったのに対し、「戦略的なビジネス上の意思決定」を課題として挙げたITリーダーはわずか19%だった。
日本では41%のITリーダーが「十分なセキュリティ」を課題として挙げ、次いで「さらなるデジタル化のための予算要件」が28%、「新興技術プロジェクトに対するビジョンの欠如」が15%という結果だった。
この結果を受け、近藤氏は「インフラを決定する際は今後予測される技術的進歩も考慮に入れる必要がある。ゼロトラストはその際にパズルの最後のピースになる可能性がある」と述べた。
ゼロトラストの可能性を引き出す3つの取り組み
近藤氏は最後に、ゼロトラストの可能性を最大限に引き出すための3つの取り組みについて説明を行った。
1つ目はビジネス戦略に基づいて、ゼロトラストを求める理由を明確にすること。セキュリティ強化だけではなく、ITシステムの簡素化、コスト削減、ユーザーの生産性の向上、など、組織が新たなテクノロジーの導入・成果に集中できるようにする必要があるという。
2つ目はゼロトラストが持つ意味やビジネスに及ぼす影響について経営陣に正しく理解してもらうこと。「CIOやCISOはゼロトラストを広い視野で捉えて取締役会で説明し、ビジネス戦略との整合性に焦点を当てるという重要な役割を担っている」(近藤氏)
そして、3つ目はゼロトラストをしっかりと展開して既存のITインフラを変革していくこと。「新興技術の採用を決定する際は、トレンドや流行に左右されるのではなく、全体的なビジネスのビジョンと組織の現在および将来のニーズによって推進する必要がある」と、近藤氏は強調していた。