ゼロトラストの現状

2020年にネットワークセキュリティの進化が加速した理由

2020年に発生した事態によって、新しいネットワークセキュリティモデルの必要性が劇的かつ予想以上に高まりました。ゼロトラストセキュリティは目新しいものではありませんが、注目を集めています。そして、セキュリティリーダー達は、これがセキュリティを向上し、分散化されたチームとハイブリッドネットワークのためのセキュリティプロセスを簡略化するものであるという共通する見解を示しています。

しかし、このモデルの展開が複雑であることは証明されており、企業は良い面と悪い面の詰め合わせセットを贈られたような状況です。

リモートワークへの大規模な移行とリモートワークをする従業員のセキュリティ向上の必要性が、ゼロトラストセキュリティへの投資に拍車をかけました。企業ネットワークの内外を問わず、すべてのトラフィックを認証し、監視する能力を持つことで、多くのセキュリティリスクの削減または排除が約束されます。

それでも、多くの企業にとってゼロトラストセキュリティアプローチの実装は複雑です。主な理由は、ゼロトラスト採用が技術的に困難であることに加え、ロジスティックにおいても困難だからです。セキュリティの革新は、ユーザーID統合とクラウドトランスフォーメーションの進捗次第ですが、この2つの実現は複雑で長期にわたって取り組まなければならないプロジェクトです。

では、ゼロトラスト採用の現状はどうなっているのでしょうか。採用までの過程で企業はどのような困難に直面してきたのでしょうか。

こうしたご質問にお答えするために、Cloudflareに代わり、Forrester Consultingが調査を行いました。この調査は300人以上のグローバルセキュリティリーダーを対象に、2020年に発生した変化でどのような成功を収め、その成功のためにどのような障害を乗り越えたかについてご回答いただきました。この調査で特定したこと:

  • ゼロトラスト採用に最も貢献しているビジネスとテクノロジーのトレンド
  • ゼロトラスト採用のきっかけとなる、よくあるユースケース
  • ゼロトラスト採用における主な障害

企業ITに影響を与えた外的動向のトップ3:リモートワーク、データ漏えい、VPN

2020年、どの企業も予測していなかった変化が起こりました。調査対象となったセキュリティリーダーの52%が2020年、ITセキュリティプログラムに影響したトップ要因の1つとしてリモートワークを挙げています。

調査は、パンデミックの最中、企業ネットワークと機密データに関連するセキュリティインシデントの増加も特定しました。セキュリティリーダーの55%が、今年に入ってからフィッシング攻撃の増加を経験したと報告しています。さらに、セキュリティリーダーの58%は自社が何らかのデータ漏えいを経験したと回答しています。

単に接続を維持するだけでも困難でした。セキュリティチームの多くが、旧式のVPNプラットフォームではリモートワークする従業員のトラフィックすべてを処理することができないことを確認し、その46%がVPN利用の増加による遅延の問題を報告しました。

ゼロトラストセキュリティのフレームワークは、自然に導き出される答えかもしれません。それは、次のことを実現できるからです。

  • すべてのアプリケーションの前に追加のID検証手段を置くことで、フィッシング攻撃を阻止する。
  • 1つのアプリケーションまたはサービスにアクセスできたサイバー攻撃者が、次に内部ネットワーク全体へ無制限にアクセスするのを阻止する。
  • ID検証は個々のアプリケーションにアクセスすることが求められるため、VPNの必要がなくなる。

ゼロトラストのユースケース:企業はさまざまなメリットの先を視野に入れている

ゼロトラストは、ネットワークセキュリティ以上のメリットをもたらします。アクセス処理を簡素化し、従業員がさまざまなロケーションやデバイスから仕事ができるようにすることで、生産性が高まり、従業員の体験も向上します。

当社の調査結果は、こうした多様性を反映しています。セキュリティリーダーに優先度の高いゼロトラストのユースケースについて尋ねたところ、多方面に関わる用例が上位に来ていました。回答者の87%が選んだのは、クラウドのワークロードを可視化することでした。その理由を想像するのはそれほど難しいことではありません。従業員がクラウドをどのように利用しているかを理解することで、企業はどこからでもデータを監視し、安全を確保する能力を備えるだけでなく、より賢いクラウド投資ができるようになるからです。

次にご紹介するゼロトラストの3つのユースケースも多面的です。

  • 安全で迅速な開発者アクセスを確保する(回答者の83%が重要と選択)セキュリティの強化に加えて、このユースケースは開発者がさらに確実にツールと環境にアクセスできるようにします。これは、大幅な生産性アップです。
  • デバイス持ち込み(BYOD)プログラムの開始および拡大(回答者の81%が選択)。このユースケースはコスト削減にも繋がり、ITチームが企業デバイスの管理と更新に手こずらされることもありません。
  • 過負荷のVPNに置き換える(回答者の71%が選択)ゼロトラストはVPNよりも安全であるだけでなく、従業員がより確実にアプリケーションにアクセスでき、ITチームがVPNクライアントの追跡をする必要がなくなります。

ゼロトラスト採用における進捗と主な障害

こうした外的な圧力とユースケースがゼロトラストセキュリティへの幅広い関心を生み出しています。調査ではセキュリティリーダーの80%が、自社はゼロトラスト採用に取り組んでいると答えています。さらに、すべての企業の半数で最近、最高情報セキュリティ責任者を役員レベルの可視性へと引き上げたということです。これは、企業がゼロトラストとサイバーリスクの軽減を重要視していることが理由です。

しかし、企業における関心は高いものの、ほとんどの企業はまだ採用するところまでには至っていません。調査で、今年ゼロトラストのパイロットを少なくとも1回は行ったと回答した企業は39%に過ぎませんでした。

採用が広く進んでいない理由とは何か。

原因の1つは、全体的なクラウドトランスフォーメーションをめぐる課題です。企業の80%が2020年にクラウド採用計画を速めましたが、準備が整っていませんでした。個別のデータセンターからクラウドへ大量のデータを移動させていない場合、単一のセキュリティツールでデータの安全性を確保するのが難しくなります。

もう1つの障害は、IDとアクセス管理(IAM)の複雑性で、ゼロトラスト採用と同じぐらい困難だということが判明しました。調査対象となったセキュリティリーダーの76%が、社内におけるユーザーアクセスニーズの複雑性が原因で、ゼロトラストアプローチへの移行に苦労していると言っています。ゼロトラストは、ID管理を唯一のデータソースに頼っていますが、特に大企業では、時間の経過に伴い互換性のないID プロバイダーが複数蓄積され、混在する状況になっています。また、膨大な量のアプリケーションすべてのアクセスパターンを理解する必要があります。新しいIDプラットフォームに移行するために、アプリケーションのほとんどをわずかな時間でさえもシャットダウンすることはできません。

セキュリティリーダーは、こうした課題を克服するために何ができるでしょうか。ここで、3つのアプローチを簡単にご紹介しましょう。

  • セルフサービス機能がついたゼロトラストツールを選ぶ。クラウドトランスフォメーションと同様に、ユーザーアクセスパターンの管理は決して簡単ではありません。この重要な作業を行う時間を費やすために、セキュリティリーダーはできる限り簡単で自己解決できるアクセス管理アクション、たとえばアプリケーションの統合、ロールとロールベースの許可の作成などを行うゼロトラストのツールを見つける必要があります。
  • 開発者アプリから始めて、VPNへの依存を徐々に減らす。セキュリティリーダー達はVPNの負担が過多になり、リモートワーク環境では効果的でないという共通した意見を持っています。ゼロトラストネットワークアクセスは、アプリケーション別のIDベースの保護をして、トラフィックを遅延させるVPNの代わりになります。Jira、Jenkins、Grafanaのような開発者アプリは導入プロセスを始める素晴らしい出発点となります。
  • 導入の過程に合わせて成長できる統合プラットフォームを検討する。ゼロトラスト実装の際にマルチポイントソリューションを使うと、管理がさらに難しくなります。各ソリューションが新たな障害点にもなりえるため、その分のリスクも高くなることになります。

調査結果をさらに詳しく見る

調査結果は、2020年9月にCloudflareが調査を委託したForresterによってまとめられました。20以上の業界で317人のグローバルなセキュリティリーダー達を対象とした調査の集大成です。あらゆる規模の企業にご回答いただきました。回答者は32%が従業員数5,000名以上の企業、17%が従業員数500名以下の企業からでした。

「リーダーはゼロトラストの導入に取り組んでいる」レポートをダウンロードして、調査結果の詳細をぜひご覧ください。

この記事は、現代のテック企業の意思決定者に影響を与える最新のトレンドとトピックをお届けするシリーズの一部です。