ゼロトラストの現状
リモートワークがいかにネットワークセキュリティを加速したか
世界的パンデミックで、新しいネットワークセキュリティモデルの必要性が、突如として劇的に高まりました。 ゼロトラスト セキュリティは目新しい概念ではありません。それが、俄然注目を集めているのです。導入すればセキュリティが強化され、分散型チームとハイブリッドネットワークのためのセキュリティプロセスが簡略化されるというのが、セキュリティリーダーの共通見解です。
ところが、このモ�デルの展開は一筋縄ではいかず、企業への導入では成功もあれば障壁に悩まされる場合もあります。
リモートワークへの大規模な移行とリモートワークをする従業員のセキュリティ向上の必要性が、ゼロトラストセキュリティへの投資に拍車をかけました。企業ネットワークの内外を問わず、すべてのトラフィックを認証し、監視する能力を持つことで、多くのセキュリティリスクの削減または排除が約束されます。
それでも、多くの企業にとってゼロトラストセキュリティアプローチの実装は複雑です。主な理由は、ゼロトラストの採用が技術的に困難であることに加え、ロジスティックにおいても困難だからです。セキュリティの革新は、ユーザーID統合とクラウドトランスフォーメーションの進捗次第ですが、この2つの実現は複雑で長期にわたって取り組まなければならないプロジェクトです。
では、ゼロトラスト採用の現状はどうなっているのでしょうか。採用までの過程で企業はどのような困難に直面してきたのでしょうか。
その答えを求め、Forrester Consultingが最近、Cloudflareに代わって 調査 を行いました。この調査では、300人以上のグローバルセキュリティリーダーを対象に、変化への対応の成果と課題について尋ねました。この調査で以下が判明しました�。
ゼロトラスト採用に最も貢献しているビジネスとテクノロジーのトレンド
ゼロトラスト採用のきっかけとなる、よくあるユースケース
ゼロトラスト採用における主な障害
企業ITに影響を与えた外的動向のトップ3:リモートワーク、データ漏えい、VPN
リモートワークへの劇的なシフトは、どの企業も予測しなかった変化をもたらしました。調査対象となったセキュリティリーダーの52%が、ITセキュリティプログラムに影響したトップ要因の1つとしてリモートワークを挙げました。
調査は、パンデミックの最中、企業ネットワークと機密データに関連するセキュリティインシデントの増加も特定しました。セキュリティリーダーの55%が、今年に入ってからフィッシング攻撃の増加を経験したと報告しています。さらに、セキュリティリーダーの58%は自社が何らかのデータ漏えいを経験したと回答しています。
単に接続を維持するだけでも困難でした。セキュリティチームの多くが、旧式のVPNプラットフォー�ムではリモートワークする従業員のトラフィックすべてを処理することができないことを確認し、その46%がVPN利用の増加による遅延の問題を報告しました。
ゼロトラストセキュリティのフレームワークは、自然に導き出される答えかもしれません。それは、次のことを実現できるからです。
すべてのアプリケーションの前に追加のID検証手段を置くことで、フィッシング攻撃を阻止する。
1つのアプリケーションまたはサービスにアクセスできたサイバー攻撃者が、次に内部ネットワーク全体へ無制限にアクセスするのを阻止する。
ID検証は個々のアプリケーションにアクセスすることが求められるため、VPNの必要がなくなる。
ゼロトラストのユースケース:企業はさまざまな将来的メリットを考えている
ゼロトラストは、ネットワークセキュリティ以上のメリットをもたらします。アクセス処理を簡素化し、従業員がさまざまなロケーションやデバイスから仕事ができるようにすることで、生産性が高まり、従業員の体験も向上します。
当社の調査結果は、こう�した多様性を反映しています。セキュリティリーダーに優先度の高いゼロトラストのユースケースについて尋ねたところ、多方面に関わる用例が上位に来ていました。回答者の87%が選んだのは、クラウドのワークロードを可視化することでした。その理由は容易に想像できます。従業員がクラウドをどのように利用しているかを理解することで、企業はどこからでもデータを監視し、安全を確保する能力を備えるだけでなく、より賢いクラウド投資ができるようになるからです。
次にご紹介するゼロトラストの3つのユースケースも多面的です。
安全で迅速な開発者アクセスを確保する(回答者の83%が重要と選択)セキュリティの強化に加えて、このユースケースは開発者がさらに確実にツールと環境にアクセスできるようにします。これは、大幅な生産性アップです。
デバイス持ち込み(BYOD)プログラムの開始および拡大(回答者の81%が選択)。このユースケースはコスト削減にも繋がり、ITチームが企業デバイスの管理と更新に手こずらされることもありません。
過負荷のVPNに置き換える(回答者の71%が選択)ゼロトラストはVPNよりも安全であるだけでなく、従業員がより確実にアプリケーションにアクセスでき、ITチームがVPNクライアントの追跡をする必要がなくなります。
ゼロトラスト採用における進捗と主な障害
こうした外的な圧力とユースケースがゼロトラストセキュリティへの幅広い関心を生み出しています。調査ではセキュリティリーダーの80%が、自社はゼロトラスト採用に取り組んでいると答えています。さらに、すべての企業の半数で最近、最高情報セキュリティ責任者を役員レベルの可視性へと引き上げたということです。これは、企業がゼロトラストとサイバーリスクの軽減を重要視していることが理由です。
しかし、企業における関心は高いものの、ほとんどの企業はまだ採用するところまでには至っていません。調査で、今年ゼロトラストのパイロットを少なくとも1回完了したと答えた企業は39%に過ぎませんでした。
採用が広く進んでいない理由とは何か。
原因の1つは、全体的なクラウドトランスフォーメーションをめぐる課題です。企業の80%が2020年にクラウド採用計画を速めましたが、準備が整っていませんでした。個別のデータセンターからクラウドへ大量のデータを移動させていない場合、単一のセキュリティツールでデータの安全性を確保するのが難しくなります。
��もう1つの障害は、IDとアクセス管理(IAM)の複雑性で、ゼロトラスト採用と同じぐらい困難だということが判明しました。調査対象となったセキュリティリーダーの76%が、社内におけるユーザーアクセスニーズの複雑性が原因で、ゼロトラストアプローチへの移行に苦労していると言っています。ゼロトラストは、ID管理を唯一のデータソースに頼っていますが、特に大企業では、時間の経過に伴い互換性のないIDプロバイダーが複数蓄積され、混在する状況になっています。また、膨大な量のアプリケーションすべてのアクセスパターンを理解する必要があります。新しいIDプラットフォームに移行するために、アプリケーションのほとんどをわずかな時間でさえもシャットダウンすることはできません。
セキュリティリーダーは、こうした課題を克服するために何ができるでしょうか。ここで、3つのアプローチを簡単にご紹介しましょう。
セルフサービス機能がついたゼロトラストツールを選ぶ。クラウドトランスフォメーションと同様に、ユーザーアクセスパターンの管理は決して簡単ではありません。この重要な作業のための時間を確保するため、セキュリティリーダーは、アプリケーションの統合や役割および役割ベースの許可の作成など、他のアクセス管理アクションを可能な限り簡単で自律的な�ものにするゼロトラストツールを見つける必要があります。
開発者向けアプリをはじめとして、VPNへの依存を徐々に減らす。セキュリティリーダーは、リモートワーク環境ではVPNが過負荷となり機能が低下するという認識で一致しています。「ゼロトラストネットワークアクセス」プラットフォームは、トラフィックのバックホーリングによって遅延を生じるVPNにとって代わり、アプリケーションごとにIDベースの保護を実現します。Jira、Jenkins、Grafanaのような開発者アプリは導入プロセスを始める素晴らしい出発点となります。
導入を進めるにつれて拡張可能な統合プラットフォームを検討する。ゼロトラスト実装の際に複数のポイントソリューションを使うと、管理が難しく、各ソリューションが新たな障害点となるためリスクも高まります。
調査結果をさらに詳しく�見る
これらの結果はCloudflareが委託した調査でForresterがまとめたもので、20以上の業界にわたり317人のグローバルセキュリティリーダーを対象に行われた調査の集大成です。ご協力いただいた企業の規模はさまざまで、回答は32%が従業員5,000名以上の企業から、17%が従業員500名未満の企業からでした。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
記事の要点
この記事を読めば、以下が理解できます。
企業ITに影響を及ぼすトレンド
グローバルセキュリティリーダー300人以上に実施した調査の結果
最も多いゼロトラストのユースケース
ゼロトラスト導入の主な障害の克服方法
関連リソース
このトピックを深く掘りさげてみましょう。
「」レポートで、調査結果の詳細をぜひご覧ください。