イベント報告 2023/12/27

「Security Days fall」講演レポート＃２　DX推進部門1,106人実態調査に見る、ゼロトラスト導入の成功の鍵とは？

日々、巧妙・悪質化しているサイバー攻撃。企業や組織もランサムウェアをはじめとしたサイバー攻撃のリスクにますます晒されており、その規模や業種を問わず早急な対策が求められています。

ソリトンシステムズ（以下、ソリトン）は、注目すべき最新のセキュリティ動向や当社製品の魅力について、より多くの企業担当者様に知っていただきたいという思いから、2023年10月17日〜20日にJPタワーホール&カンファレンスで開催された情報セキュリティに関する専門イベント「Security Days Fall 2023」に参加し、全４講演のセミナーを実施しました。

今回の記事では、イベント２日目に実施したセミナー「DX推進部門1,106人実態調査に見る、ゼロトラスト導入の成功の鍵とは？」について、その概要とポイントをご紹介します。

DX推進部門の実態調査の結果

2023年４月、ソリトンは、今後の情報セキュリティ戦略上避けて通れない「ゼロトラスト^※」についての企業実態を把握すべく、クラウドサービスの選定や導入、企業の情報セキュリティ戦略全般に関与している1,106人を対象に、インターネットアンケート調査を実施しました。

※「何も信頼しない」という前提のもとで、対策を実施するセキュリティの概念のこと。概要については、こちらの記事でもご紹介しています。：ゼロトラストとは？　考え方や仕組み・実現方法などを徹底解説

まず、取り組み状況として、ゼロトラスト導入に着手している割合は回答した担当者の約56％でした（導入完了、対応中、検討中を「着手済み」と見なした場合）。ゼロトラスト導入が既に完了している割合は6.9％となっているものの、半数以上では少なくとも検討を始めている状況が見られます。

また、ゼロトラストの導入に至った主な動機としては、以下のようなものが挙げられました。

部門で必要と判断したため（63.5％）
経営層の指示があったため（32.8％）
事案再発防止のため（22.3％）
法令・ガイドライン遵守のため（14.1％）

※％は複数回答の割合を記載

この「着手済み」と回答した方々の状況に注目してみると、導入が進むにつれて、その課題も変化していくことが分かりました。

ゼロトラスト導入を「検討中」と回答した担当者においては、まだ課題は顕在化していないのか、どの項目もポイントは高くありません。しかし、ゼロトラスト導入を「対応中」と回答した担当者においては、どの項目もポイントが高くなっています。

セキュリティ対策に必要な予算が限られている（48％）
システムの複雑さに対応できる人材の不足（48％）
社員の教育やトレーニングの手間（49％）
導入にかかる時間が長い（29％）

「対応中」と答えた担当者の中で一番回答が多かった課題は「社員の教育やトレーニングの手間」です。ゼロトラスト導入は、情報セキュリティ部門内だけで完結するわけではなく、導入によってネットワーク接続方法などが変わることが多いため、社員を巻き込み、教育を行うことが重要。また、実際に導入することで業務効率の悪化などが見られた場合、その解決のためにビジネス部門との協力が必要となることもあります。さらに、そうなった際には、そもそものゼロトラスト導入の意義や効果について、改めて理解を得るような活動も必要となる場合もあります。

一方、ゼロトラスト導入がすでに「完了」していると答えた担当者の課題では、以下のような回答が目立つ結果となりました。

システムの複雑さに対応できる人材の不足（50％）
セキュリティ対策が過剰なことによって作業効率が低下する（31.7％）
頼れる外部のセキュリティ専門家がいない（25％）

ここで注目すべきは、導入が進むにつれて、上に挙げた３つの項目を「課題と感じている」と回答した割合が増加していることです。本来、ゼロトラストの導入によるセキュリティの強化や業務効率の改善、現場の課題の解決を期待して取り組まれるものと考えられますが、いくつかの項目において課題が悪化・深刻化してしまっているのは、期待通りの効果が得られていない、あるいは、導入がうまくいっていないことの現れと言えます。「頼れる外部のセキュリティ専門家がいない」というポイントが高くなっていることは、こうした課題の解決が自社だけでは立ち行かなくなっている厳しい状況を伺わせるものでもあります。

調査で判明した「利便性や運用性が低い」という課題

今回行った実態調査では、ゼロトラスト導入後の課題として、「システムの複雑さに対応できる人材の不足」、「過剰なセキュリティ対策による作業効率の低下」といったような声が目立つ結果となりました。

「ゼロトラストで重視するもの」についての調査では「セキュリティ」を重視すると答えた割合が63.7％と高い一方、「生産性＝ユーザー負担の最小化」や「運用性＝管理のしやすさ」を重要視すると回答した人の割合は50％以下と、比較的少ない結果となっています。

※％は複数回答の割合

今回の調査結果から“システム導入によるセキュリティ強化”には意識が十分に向いているものの、導入後の生産性や運用性に対する意識はやや薄く、ユーザーや情報セキュリティ担当者にかかる負担の軽減を蔑ろにしてしまっている現状があると言えるでしょう。

セキュリティと生産性・運用性の両立を実現する「Soliton OneGate」

既存のシステムを排除し、完全にゼロトラスト化することは現実的には難しいため、多くの組織においては、ゼロトラスト導入後も、既存・新規環境の並行運用になります。このため、システムが複雑になるのはある意味必然とも言えますが、運用が大変で人材不足になったり、過剰なセキュリティ対策で作業効率が低下したり.......という結果は、多くの担当者様は望んでいないでしょう。

一方で、ゼロトラスト導入を成功させ、セキュリティ向上とビジネス推進の両方への貢献を実現しているケースもあります。こうした成功事例を学び、ゼロトラスト導入を成功させる鍵を探ってみましょう。

事例①　四国通運株式会社様

IDとパスワードでのセキュリティ対策には限界があるため、多要素認証でセキュリティを強化する必要があった
各部門でDX推進のためクラウドサービスとスマートデバイスを導入していることから、端末も様々であること、かつ、社員だけでなく協力会社の端末からもクラウド上のデータにセキュアにアクセスさせたい。つまり、MDM（モバイルデバイス管理）で端末管理していない様々なOSのデバイスに対して、証明書配布をする必要があった

四国通運株式会社様の事例では、ペーパーレス化・クラウド活用・スマートデバイス活用といったDXを推進するなかで、セキュリティ対策の課題が浮上し、デジタル証明書を利用して、許可した端末・ユーザーにのみクラウド上のデータにアクセスさせる制御を実現したいとお考えでした。

いくつかの製品を調査していたところ、MDMで管理していない協力会社の端末へのデジタル証明書の配布には課題があり、生産性や運用性の観点から、簡単に実現する方法を模索されていたようです。

そこで、展開性と運用性に優れた多要素認証としてソリトンの多要素認証クラウドサービス「Soliton OneGate」を採用。ソリトン独自のデジタル証明書展開方式を用いることで、MDM等では管理対象外となってしまう「協力会社のデバイスへの証明書配布」も可能にし、組織を超えたセキュアな情報共有を実現しました。

「Soliton OneGate」では、証明書を簡単に発行・管理可能。最近ではワンタッチで証明書をインストールできる仕組みも搭載したことで、難しい操作を一切することなく必要な端末のみがセキュアにクラウド上のデータへとアクセスできるようになりました。ソリューション選定時に、セキュリティ強度だけではなく、生産性への影響や運用性が高い方式を選択したことで、ゼロトラスト導入を成功させた事例と言えるでしょう。

事例②　西松建設株式会社様

DX推進によって利用する業務システムが急増。SAML認証に未対応の業務アプリなどもあるため、パスワード入力の手間軽減のために、やむなく複数システムで同一パスワードを使っていた
パスワード利用上のセキュリティ対策として定期的にパスワード変更を実施していたが、これによる運用負荷が高い状態にあった

西松建設株式会社様の事例では、DX推進により利用システムが急増したことによる課題に直面されていました。SAML認証に未対応の業務アプリではSSO（シングルサインオン）が利用できなかったため、パスワード入力の手間軽減のために、やむなく複数システムで同一パスワードを使用していたものの、セキュリティへの懸念がありました。
また、そのセキュリティ対策として、定期的なパスワード変更を実施していたものの、運用負荷が高いという課題も抱えていました。

そこで「Soliton OneGate」を導入し、クラウドで認証サービスを一元管理することで、パスワード入力の手間を省くと共に、定期的なパスワード変更作業の必要をゼロに。デジタル証明書を活用した多要素認証を行ったあとは、SAML対応・未対応両方のシステムにSSOを実現することで業務効率を高め、生産性の高いゼロトラストを実現しました。

いずれのケースにおいても、セキュリティ強化だけを重視するのではなく、現場の業務生産性の確保や全体的な運用性の課題に正面から向き合い、それらを解決していったことでゼロトラスト導入を成功させていることが分かります。ゼロトラスト導入の鍵は、セキュリティだけではなく、ビジネスニーズに合わせて生産性や運用性にも目を向けることなのかもしれません。

今後のゼロトラストとソリトンの姿勢について、セミナーを実施したITセキュリティ事業部プロダクト＆サービス統括本部の荒木粧子は以下のようにまとめます。

　“「認証セキュリティ」は、ゼロトラストセキュリティの要でもあり、生産性・運用性を大きく左右する部分でもありますが、インシデント対応の一環などでゼロトラスト導入を急いで行う組織では、セキュリティ強度だけを考慮した結果、課題が山積みになっているケースも見受けられます。
ソリトンでは「セキュリティの強化」はもちろん、生産性・運用性も考慮した製品開発に取り組んでおり、バランスよく、無理ないゼロトラスト導入をご支援するソリューションを提案していきたいと考えています。ゼロトラスト導入に欠かせない「認証セキュリティ」においてお困りの際は、ぜひお気軽にご相談いただけたらと思います。”