【ゼロトラスト実態調査2023】ゼロトラスト導入の動機、課題

2023年4月6日 ～ 2023年4月10日 にインターネットアンケート調査（ゼロトラスト及び関連システムに関する調査 ）を実施し、1,106件の回答を得ました。
この記事は、その結果の中から「ゼロトラスト導入の動機、課題」について整理しています。

ゼロトラスト導入の動機、課題

ゼロトラスト導入の動機や課題について、回答をいただきました。動機と課題の間には興味深い関係性が見られ、そのなかからゼロトラストを実現するためのヒントも見えてきました。

導入の動機は情報システム部門主導が多数

「ゼロトラストサービスを導入した、または導入しようとしている動機（複数回答）」についての回答では、「情報システム部門が必要と判断したため」（63.5%）が最も多く、次いで「経営層からの指示があったため」（32.8%）となっています。

やはり情報システム部門が主導となる場合が多数を占めますが、全体の約3割は経営層主導です。経営層主導の場合は、情報部門に対してDXの一環としてゼロトラストの導入を進めるように指示されている、と推測されます。また、情報システム部門主導の場合はデジタル化や業務の効率化を進めるなかで、ゼロトラストの導入を意識しているのではないでしょうか。このことから、多くの企業・団体にとってゼロトラストとDXは互いに強く意識されているといえます。

課題は「知識不足」「人材・予算の不足」が上位

「ゼロトラストを導入した、または導入を検討していく際の課題（単一回答）」についてのアンケートでは「自身の知識不足」（26.1%）が最も多く、次いで「セキュリティ対策に必要な予算が限られている」（17.3%）、「システムの複雑さに対応できる人材の不足」（15.5%）となっています。

「ゼロトラストには注目しているが、何からはじめるべきかわからない」「人材や予算が不足していて対応できない」という企業・団体が多いことがわかる結果となりました。

ゼロトラストの導入検討は、こうした課題と向き合いながら取り組まれていることが伺えます。

「知識不足」はテクニカル部分だけとは限らない

「ゼロトラスト全体、及び構成要素に対しての理解度」についても回答をいただきました。「ゼロトラスト（全体の概念）」については「ある程度理解している」との回答は4割ほどですが、その他の構成要素（個別のゼロトラストソリューション）に対しては3割程度となっています。「概念はある程度理解できているが、個々のソリューションに対しての理解はさほど進んでいるわけではない」という結果といえるかもしれません。

しかし、課題として挙げられている「知識不足」はテクニカル部分だけとは限りません。「ゼロトラストをはじめるにあたり、誰と協働すべきかわからない」というような、セキュリティ運用やマネジメントに関する知識不足も該当すると考えられます。また、経営層主導の場合、トップダウンで指示が下りるため、情報システム部門のゼロトラストに関する知識の吸収が間に合っておらず知識不足を感じている、というケースもあるでしょう。

 ゼロトラストにおける知識不足の課題については、テクニカル部分だけでなく「何からはじめ、どのようなプロセスを得て、実現へと至るのか」といった全体像のイメージ化も重要と考えられます。

 導入の動機と課題の関係性

前述の導入の動機と課題を掛け合わせることで、より具体的な課題が見えてきます。

導入の動機として「経営層からの指示があったため」と回答した場合「自身の知識不足」（61.4%）が最も多い課題として挙げられました。この結果からトップダウンでゼロトラストの導入を進める場合、現場の情報システム部門の準備が整わない状況でも取り組む必要があり、そのためどう対応すべきか頭を悩ませている、と予測できるでしょう。

また、導入の動機が「情報システム部門として必要と判断したため」と回答した場合は「セキュリティ対策に必要な予算が限られている」（57.7%）、「システムの複雑さに対応できる人材の不足」（57.2%）と、予算・コストが大きな課題として捉えられているようです。

 一方、導入の動機が「セキュリティインシデント再発防止のため」の場合は「既存システムとの整合性が取れない」（47.1%）、「セキュリティ対策が過剰で作業効率が低下する」（44.1%）と、異なる課題の割合が高くなっていました。インシデントの影響を受けて急遽対策を導入したことにより、既存システムとの不整合や、対策による作業効率の低下が課題になったことが伺えます。

ゼロトラスト導入の動機が異なれば課題も異なることから、まずは自社の状況や課題を正しく把握する必要がありそうです。

限られた予算・コストのなかで段階的に実装していくことが現実的

ゼロトラストの導入における「知識不足」「予算・コスト・人材不足」などの課題に対しては、システム全体をシンプルなアーキテクチャーで考えると整理しやすくなります。

ソリトンシステムズでは、ゼロトラストへの移行を進めるなかでセキュリティに課題を感じている企業・団体に対し「認証」「データ保護」「モニタリング」の3つの要素に分けて、段階的に実装していくご提案をしています。

これまでに解説してきたとおり、データの保管場所はクラウド・オンプレミス環境に点在しています。オンプレミス環境をプライベートクラウドとみなして整理することで、データが格納されている場所を「クラウド」と考え、そのデータにアクセスするデバイス・ユーザーを「エッジ」として考えます。はじめに検討すべきはエッジからクラウドへのアクセス、つまりデータを利用するための最初のアクセスの「認証」です。ゼロトラストの原則は「何者も信頼せず検証する」ということであるため、認証の強化がゼロトラストセキュリティ実現の一歩となります。

 次の「データ保護」は「クラウドからデータを持ち出さない」ようにする方式で実現することをご提案しています。いまやエッジはパソコンだけでなくスマートフォンなどのモバイルデバイスも含まれるため、クラウドからデータを持ち出せるような環境下では情報漏えい対策が非常に困難になります。そのため、データを持ち出さずに活用することこそ最適なデータ保護の方法といえるでしょう。

 最後の「モニタリング」は、環境変化に伴う情報漏えい経路の広がりに対応した対策です。前述のとおり、エッジはいまや多種多様で情報漏えい経路も広がっています。加えて、クラウドサービスの利用拡大により、シャドークラウドのリスクも増加しています。そのため、新たな情報漏えい経路やシャドークラウドの監視を実現するために、利用状況やアクセス状況を可視化することが重要です。

このように、シンプルなアーキテクチャーで要素を分けて考えることができれば、限られた予算・人材のなかで、段階的にゼロトラストを実現できます。加えて、全体像がシンプルになれば「既存システムとの整合性が取れない」「セキュリティ対策が過剰で作業効率が低下する」といった課題も解決できるようになるでしょう。

「認証」「データ保護」「モニタリング」の3要素を実現するソリューション

ソリトンシステムズでは、「認証」「データ保護」「モニタリング」の3要素を実現するためのセキュリティソリューションを開発・提供しています。

 ・認証：Soliton OneGate
・データ保護：Soliton SecureBrowser、WrappingBox
・モニタリング：InfoTrace 360

 ソリトンシステムズでは「セキュリティと利便性の両立」を掲げ、いずれのソリューションも導入・運用における金銭的・人的コストを抑えられるように設計・開発したものです。クラウドとオンプレミス環境が混在するハイブリッド環境は今後も残り続けると考えられ、そんななか限られたリソースでゼロトラストを実現することが求められます。人的リソース不足のような根本的な課題を持つお客様を支援するためのソリューションと体制が整っていますので、お悩みの場合にはぜひ一度当社までご相談ください。

 ・Soliton OneGate
https://www.soliton.co.jp/lp/onegate/

 ・Soliton SecureBrowser
https://www.soliton.co.jp/products/category/product/mobile-security/ssbssg/

 ・WrappingBox
https://www.soliton.co.jp/products/category/product/mobile-security/wrappingbox/

 ・InfoTrace 360
https://www.soliton.co.jp/lp/it360/