~ ゼロトラストの原則への理解なきツールありきの取り組みに警鐘、セキュリティを「投資」に変え戦略的なエンド・ツー・エンドでのアプローチにする転換期に ~
パロアルトネットワークス株式会社(本社:東京都千代田区、代表取締役会長兼社長:アリイ・ヒロシ、以下パロアルトネットワークス)は、本日、国内企業のゼロトラストに関する取り組みの現状と課題を明らかにすべく実施した「ロード・トゥ・ゼロトラスト ジャパンサーベイ 2021年版」の調査結果を発表します。クラウド移行やリモートワークの推進により、サイバーセキュリティ戦略としてのゼロトラストの重要度が高まる中で、ゼロトラスト成熟度が高い企業はわずか13%のみであることが明らかになりました。
パロアルトネットワークスは、従業員500人以上の国内の民間企業のサイバーセキュリティ分野の決裁権者・意思決定者・関与者401名を対象に本調査を実施しました。本調査では、企業の全20項目のセキュリティ対策の実施状況を、「すべての場所のすべてのユーザー、デバイス、アプリケーションなどのリソースから暗黙の信頼を排除する」というゼロトラストの原則に基づき評価し、合計スコア(満点100点)に応じて20点刻み5段階(レベル1から5)の「ゼロトラスト成熟度」(*)を独自に算出しています。
【調査結果要約】
ゼロトラストに注目する国内企業は88%にも上る一方で、国内企業の「ゼロトラスト成熟度」は平均56点、最高レベルの企業は13%のみ
ゼロトラスト成熟度が最高レベルの企業の63%は、サイバーセキュリティを「コスト」ではなく「投資」と位置付けている
「すべてのリソースから信頼を排除する」というゼロトラストの原則を理解している企業は全体の34%にとどまる一方で、成熟度が最高レベル、ゼロトラスト採用済みの企業はそれぞれ78%、77%に上る
成熟度が最高レベルの企業とそれ以外の企業では、「保護対象領域の明確化」、「最小特権の原則」、「場所を問わない一貫した動的ポリシー」、「コンテキストベースの動的なアクセス制御」といったゼロトラストの原則に密接な対策に大きな格差
図1:国内企業の「ゼロトラスト成熟度」スコア分布図(n=401)
■88%の企業がゼロトラストに関心を持つ一方で、ゼロトラスト成熟度が高い企業は僅かに13%、セキュリティを「コスト」から「投資」に変革する必要性
ゼロトラスト関して情報収集や検討、または採用中、採用済みであると回答した国内企業は88%にも上ります。クラウドやテレワークへの移行だけでなく、ランサムウェアをはじめとするサイバー攻撃の高度化や内部犯行による情報漏えいなど、企業インフラとサイバーリスクの変化がセキュリティ対策の再考を企業に促している現状が考えられます。
一方で、ゼロトラスト成熟度スコアの全体平均は56点となり、成熟度が最も高いレベル5となった企業は全体の13%にとどまりました。成熟度レベル5の企業の86%が、ゼロトラストを採用中あるいは採用済みと回答する一方で、レベル1から4の企業では同様の回答は27%にとどまりました。
また、成熟度レベル5の企業の63%、ゼロトラスト採用済み企業の75%は、サイバーセキュリティを「コスト」ではなく「投資」と位置付けている一方で、レベル1から4およびゼロトラスト未採用企業で同様に位置付けているのはそれぞれ16%、12%にとどまりました。ゼロトラストの採用、セキュリティ強化には、サイバーセキュリティを投資と位置付ける企業のマインドセットの変革が不可欠であると言えます。
図2:国内企業のゼロトラスト成熟度別の違い(n=401)
■ゼロトラストの解釈は多様化、市場の混乱を反映
ゼロトラストの定義について質問したところ、ゼロトラストの原則である「場所を問わずすべてのリソースから信頼を排除するもの」と回答したのは全体の34%の企業となりました。成熟度レベル5の企業およびゼロトラスト採用済み企業のそれぞれ78%、77%が同原則を認識しており、成熟度レベル1から4の企業およびゼロトラスト未採用企業はそれぞれ27%、26%にとどまり、企業のゼロトラスト、サイバーセキュリティの取り組みがどの段階にあるかで、ゼロトラストの解釈に大きな格差があります。
次いで、「デバイスから信頼を排除するもの」(21%)、「ユーザーから信頼を排除するもの」(15%)、「VPNの代替として信頼を排除するもの」(13%)、「テレワーク環境に対して信頼を排除するもの」(11%)とゼロトラストの解釈は多様化しており、半数以上の企業がゼロトラストを限定的な範囲で解釈するなど、市場の混乱が見てとれます。
図3:国内企業のゼロトラストに対する定義(n=401)
■成熟度によりゼロトラストの原則の実践に大きな格差、ツールありきの取り組みから戦略的かつエンド・ツー・エンドでのアプローチへ
ゼロトラスト成熟度レベル5とレベル1から4の企業では、20の評価ドメインの中でも、特に「保護対象領域の明確化」、「最小特権の原則の徹底」、「場所を問わない一貫した動的ポリシー」、「コンテキストベースの動的なアクセス制御」といったゼロトラストの原則に密接な対策の実施状況に、それぞれ67ポイント、67ポイント、63ポイント、75ポイントの大きな差が見られました。他にも、本社や拠点、テレワーク環境含めた全ての場所での全ての通信の可視化、アイデンティティやデバイス、ワークロード、アクセス、トランザクションを包含した動的なアクセス制御、インフラ全体から集めた情報に基づく継続した改善や運用など、成熟度を問わず全ての企業でゼロトラスト実現における課題が存在します。
この結果は、ツールありきの取り組みから脱却し、戦略的なエンド・ツー・エンドでのアプローチの採用が一層必要であることを裏付けています。ゼロトラストは、単一のツールや技術に注力するべきものではありません。ネットワークやエンドポイント、クラウド、アプリケーション、IoT、アイデンティティなど、組織のセキュリティに必要となるあらゆる対策の採用が必要になります。
図4:国内企業のゼロトラストの原則に準じたセキュリティ対策の実践状況
本調査において、ゼロトラスト成熟度が高い企業やゼロトラストを採用している企業とそれ以外では、セキュリティ投資やゼロトラストの原則に対する理解度に決定的な格差があることがわかりました。サイバーセキュリティに対する企業のマインドセットを変革し、ゼロトラストという概念に対する理解を深め、理解に裏打ちされた対策を取ることが、機能を果たすゼロトラストを実現する上で不可欠といえるでしょう。
ゼロトラストは、暗黙裡の信頼を排除するという1つのユースケースに集約して、リスクマネージメントを簡素化するセキュリティアプローチです。状況やユーザー、ユーザーの場所、アクセス方法に関係なく、最大限のセキュリティ対策をとることが求められます。
■調査概要
調査名:「ロード・トゥ・ゼロトラスト ジャパンサーベイ2021年版」
調査対象: 従業員500名以上の民間企業のサイバーセキュリティ施策に関する決裁権者、意思決定者、関与者401人
実施時期:2021年7月
■調査レポートの詳細について
さらに詳しいレポートは、以下よりダウンロードいただけます。
< https://start.paloaltonetworks.jp/road-to-zero-trust-japan-survey-2021.html >
■年次カンファレンスにおける関連セッションについて
パロアルトネットワークスは、サイバーセキュリティの最新テクノロジーやトレンド、ベストプラクティスを提供する年次カンファレンス「Ignite‘21 Japan」を2021年10月1日よりオンラインで開催します。本レポートに関するセッションもカンファレンスの開催にあわせて公開します。
・Ignite’21 Japan特設サイト:https://seminar.jp/ignite21japan/
・本レポートに関するセッション
B-1:国内企業の取り組みと課題から考えるゼロトラスト実現のロードマップ
KG-5:ゼロトラスト座談会 - ゼロトラストの「先進的企業」は何が違うのか?
※「ゼロトラスト成熟度」は、以下20項目で総合的に評価し、合計スコア(満点100ポイント)に応じて20ポイント刻みの5段階(レベル1から5)で独自に算出しています。
1 | 保護対象領域の特定 | 11 | エンドポイント:PC・タブレット |
2 | 最小特権の原則 | 12 | エンドポイント:サーバー |
3 | 場所に関係ない一貫した動的ポリシー | 13 | ネットワーク:本社・データセンター |
4 | コンテキストベースのアクセス制御 | 14 | ネットワーク:テレワーク |
5 | CDM(Continuous Diagnostics and Mitigation) | 15 | ネットワーク:拠点間通信 |
6 | 脅威インテリジェンスの活用 | 16 | パブリッククラウド |
7 | Extended Detection and Response | 17 | アプリケーション:SaaSアプリケーション |
8 | セキュリティ対応の自動化・自律化 | 18 | アプリケーション:社内アプリケーション |
9 | アタックサーフェスマネージメント | 19 | データ保護 |
10 | サプライチェーンマネージメント | 20 | 業種特有環境 |
■パロアルトネットワークスのゼロトラストについて
URL:https://www.paloaltonetworks.jp/network-security/zero-trust
URL:https://start.paloaltonetworks.com/the-zero-trust-enterprise-jp.html
●パロアルトネットワークス株式会社について
パロアルトネットワークス(Palo Alto Networks)は、世界的なサイバーセキュリティのリーダー企業として、各組織や従業員の業務を変革する技術により、クラウド中心の未来を創造しています。パロアルトネットワークスの使命は、日々のデジタル生活を守るサイバーセキュリティパートナーとしてお客様に選ばれることです。AI、分析、自動化、オーケストレーションの分野で最新の技術革新を提供することにより、世界で最も重要な課題であるセキュリティの確保を支援します。統合プラットフォームを提供し、パートナーとのエコシステムを強化することで、クラウドやネットワーク、デバイスを越えて数万の組織を最前線で防衛しています。日々がより安全で安定した世界になっていくことが、パロアルトネットワークスの掲げる理想です。詳しくはwww.paloaltonetworks.jp をご覧ください。
※Palo Alto NetworksおよびPalo Alto Networksのロゴは、米国およびその他の国におけるPalo Alto Networksの登録商標です。本リリースに記述されているその他すべての商標、商号、サービスマークは、各所有者に帰属します。
●お客様向けのお問い合わせ先
パロアルトネットワークス株式会社
Tel: 03-6205-8061 Email: infojapan@paloaltonetworks.com
●報道関係者向けのお問い合わせ先
パロアルトネットワークスPR事務局 株式会社アクティオ
Email: paloalto-pr@actioinc.jp