ゼロトラストの現状
リモートワークがいかにネットワークセキュリティを加速したか
世界的パンデミックで、新しいネットワークセキュリティモデルの必要性が、突如として劇的に高まりました。 Zero Trust セキュリティは目新しい概念ではありません。それが、俄然注目を集めています。導入すればセキュリティが強化されて、分散型チームとハイブリッドネットワークのためのセキュリティプロセスが簡略化されるというのが、セキュリティリーダーの共通見解です。
ところが、このモデルの展開は一筋縄ではいかず、企業への導入では成功もあれば障壁に悩まされる場合もあります。
リモートワークへの大規模な移行とリモートワーカーのセキュリティ向上の必要性が、Zero Trustセキュリティへの投資に拍車をかけました。企業ネットワークの内外を問わず、すべてのトラフィックを認証し、監視する能力を持つことで、多くのセキュリティリスクの削減または排除が約束されます。
しかし、多くの企業にとってZero Trustセキュリティアプローチの実装は複雑です。主な理由は、Zero Trust採用が技術的に難しいだけでなく、ロジスティックス上も困難だからです。セキュリティの革新は、ユーザーID統合とクラウドトランスフォーメーションの進捗次第で、これらは共に複雑な長期的プロジェクトです。
では、Zero Trust採用の現状はどうなっているのでしょうか。採用までの過程で企業はどのような困難に直面してきたのでしょうか。
その答えを求め、Forrester Consultingが最近、Cloudflareに代わって 調査 を行いました。この調査では、300人以上のグローバルセキュリティリーダーを対象に、変化への対応の成果と課題について尋ねました。この調査で以下が判明しました。
Zero Trust採用に最も貢献しているビジネスとテクノロジーのトレンド
最も多く計画されているZero Trustセキュリティユースケース
Zero Trust採用における主な障害
企業ITに影響を与えた外的動向のトップ3:リモートワーク、データ漏えい、VPN
リモートワークへの劇的なシフトは、どの企業も予測しなかった変化をもたらしました。調査対象となったセキュリティリーダーの52%が、ITセキュリティプログラムに影響したトップ要因の1つとしてリモートワークを挙げました。
調査は、パンデミックの最中、企業ネットワークと機密データに関連するセキュリティインシデントの増加も特定しました。セキュリティリーダーの55%が、今年に入ってからフィッシング攻撃の増加を経験したと報告しています。さらに、セキュリティリーダーの58%は自社が何らかのデータ漏えいを経験したと回答しています。
単に接続を維持するだけでも困難でした。セキュリティチームの多くが、旧式のVPNプラットフォームではリモートワークする従業員のトラフィックすべてを処理することができないことを確認し、その46%がVPN利用の増加による遅延の問題を報告しました。
このようにリスクが増大する中で必然的に導き出された答えが、以下を実現できるZero Trustセキュリティフレームワークなのです。
すべてのアプリケーションの前に追加のID検証手段を置くことで、フィッシング攻撃を阻止する。
1つのアプリケーションまたはサービスにアクセスできたサイバー攻撃者が、次に内部ネットワーク全体へ無制限にアクセスするのを阻止する。
ID検証は個々のアプリケーションにアクセスすることが求められるため、VPNの必要がなくなる。
Zero Trustのユースケース:企業はさまざまな将来的メリットを考えている
Zero Trustは、ネットワークセキュリティ以上のメリットをもたらします。アクセス処理を簡素化し、さまざまなロケーションやデバイスから勤務可能にすることで、従業員の生産性が高まり、勤務体験も向上します。
当社の調査結果は、こうした多様性を反映しています。セキュリティリーダーに優先度の高いZero Trustのユースケースについて尋ねたところ、多方面に関わる用例が上位に来ていました。回答者の87%が選んだのは、クラウドのワークロードを可視化することでした。その理由は容易に想像できます。従業員がクラウドをどのように利用しているかを理解することで、企業はどこからでもデータを監視し、安全を確保する能力を備えるだけでなく、より賢いクラウド投資ができるようになるからです。
次にご紹介する3つのZero Trustユースケースも多面的です。
安全で迅速な開発者アクセスを確保する(回答者の83%が重要と選択)セキュリティの強化に加えて、このユースケースは開発者がさらに確実にツールと環境にアクセスできるようにします。これは、大幅な生産性アップです。
デバイス持ち込み(BYOD)プログラムの開始および拡大(回答者の81%が選択)。このユースケースはコスト削減にも繋がり、ITチームが企業デバイスの管理と更新に手こずらされることもありません。
過負荷のVPNに置き換える(回答者の71%が選択)Zero TrustはVPNよりも安全であるだけでなく、従業員がより確実にアプリケーションにアクセスでき、ITチームがVPNクライアントの追跡をする必要がなくなります。
Zero Trust採用における進捗と主な障害
こうした外的な圧力とユースケースがZero Trustセキュリティへの幅広い関心を生み出しています。調査ではセキュリティリーダーの80%が、自社はZero Trust採用に取り組んでいると答えています。さらに、すべての企業の半数で最近、最高情報セキュリティ責任者を役員レベルの可視性へと引き上げたということです。これは、企業がZero Trustとサイバーリスクの軽減を重要視していることが理由です。
しかし、このような関心の高さにもかかわらず、まだ実際の採用までは至っていません。調査で、今年Zero Trustのパイロットを少なくとも1回完了したと答えた企業は39%に過ぎませんでした。
採用が広く進んでいない理由とは何か。
原因の1つは、全体的なクラウドトランスフォーメーションをめぐる課題です。企業の80%が2020年にクラウド採用計画を速めましたが、準備が整っていませんでした。個別のデータセンターからクラウドへ大量のデータを移動させていない場合、単一のセキュリティツールでデータの安全性を確保するのが難しくなります。
もう1つの障害は、IDとアクセス管理(IAM)の複雑性で、Zero Trust採用と同じぐらい困難だということが判明しました。調査対象となったセキュリティリーダーの76%が、社内におけるユーザーアクセスニーズの複雑性が原因で、Zero Trustアプローチへの移行に苦労していると言っています。Zero Trustは、ID管理を唯一のデータソースに頼っていますが、特に大企業では、時間の経過に伴い互換性のないID プロバイダーが複数蓄積され、混在する状況になっています。また、膨大な量のアプリケーションすべてのアクセスパターンを理解する必要があります。新しいIDプラットフォームに移行するために、アプリケーションのほとんどをわずかな時間でさえもシャットダウンすることはできません。
セキュリティリーダーは、こうした課題を克服するために何ができるでしょうか。ここで、3つのアプローチを簡単にご紹介しましょう。
セルフサービス機能がついたゼロトラストツールを選ぶ。クラウドトランスフォメーションと同様に、ユーザーアクセスパターンの管理は決して簡単ではありません。この重要な作業のための時間を確保するため、セキュリティリーダーは、アプリケーションの統合や役割および役割ベースの許可の作成など、他のアクセス管理アクションを可能な限り簡単で自律的なものにするZero Trustツールを見つける必要があります。
開発者向けアプリをはじめとして、VPNへの依存を徐々に減らす。セキュリティリーダーは、リモートワーク環境ではVPNが過負荷となり機能が低下するという認識で一致しています。「ゼロトラストネットワークアクセス」プラットフォームは、トラフィックのバックホーリングによって遅延を生じるVPNにとって代わり、アプリケーションごとにIDベースの保護を実現します。Jira、Jenkins、Grafanaといった開発者向けアプリは、ゼロトラスト導入プロセスの共通の出発点として最適です。
導入を進めるにつれて拡張可能な統合プラットフォームを検討する。Zero Trust実装の際に複数のポイントソリューションを使うと、管理が難しく、各ソリューションが新たな障害点となるためリスクも高まります。
調査結果をさらに詳しく見る
これらの結果はCloudflareが委託した調査でForresterがまとめたもので、20以上の業界にわたり317人のグローバルセキュリティリーダーを対象に行われた調査の集大成です。ご協力いただいた企業の規模はさまざまで、回答は32%が従業員5,000名以上の企業から、17%が従業員500名未満の企業からでした。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
記事の要点
この記事を読めば、以下が理解できます。
企業ITに影響を及ぼすトレンド
グローバルセキュリティリーダー300人以上に実施した調査の結果
最も多いZero Trustユースケース
Zero Trust導入の主な障害の克服方法