相談実績から見るゼロトラストセキュリティ
導入検討企業の傾向

筆者が所属する日立ソリューションズでは、2020年よりゼロトラストセキュリティに関するソリューションを提供している。これまで、多くの相談を受け、中小企業から大企業まで幅広い企業のゼロトラストセキュリティの実現を支援してきた。今回は、2020年1月から2022年4月にかけて我々が受けた相談から見えてきた、ゼロトラストセキュリティ導入検討企業の傾向について紹介する。

導入が最も進んでいるのは製造業

 2020年前半は“ゼロトラストセキュリティとは何か教えてほしい”という相談が多かった。その後、「ゼロトラストセキュリティ」という言葉が浸透し、2020年後半には導入検討を具体的に行う企業が徐々に増えてきた。そして2021年以降、多くの企業で実際にゼロトラストセキュリティの導入が進んでいる。続いて、これらの企業の業種、従業員数、ソリューション別の傾向を見ていく。

 業種としては、製造業が最も多く、その後サービス・インフラ業、金融業、ソフトウェア・通信業、小売・卸業、広告・出版・マスコミ業、官公庁・公社・団体と続いた。補足をしておくと、サービス・インフラ業には、不動産、運輸、ライフライン、旅行、医療・福祉、飲食、レジャーなどが含まれる(図1参照)。

 従来、セキュリティ対策に特に力を入れているのは金融業であったが、ゼロトラストセキュリティに関しては製造業が先行しているように見える。

 2025年問題、災害・パンデミック、急速に変化する市場、サプライチェーンリスク、グローバル対応、企業グループガバナンスなど、さまざまな課題に対応するために、企業ではDX推進が加速している。製造業も例外ではなく、DX推進に伴うクラウドの利用拡大やテレワーク導入に適したゼロトラストセキュリティの検討が必要になっているのだ。

中・小規模企業の意識改革が必要

 ここでは、従業員数0〜999人の企業を小規模、1,000〜4,999人の企業を中規模、5,000人以上の企業を大規模とする。相談を受けた企業の規模別の割合を確認したところ、おおよそ均等であった。ただ、業種別に見ると少し違った結果となる。製造業、広告・出版・マスコミ業は、大規模企業の割合が最も多く、中規模、小規模と続いた。一方、サービス・インフラ業、ソフトウェア・通信業、小売・卸業では小規模の割合が最も多く、先ほどとは逆の傾向であった。金融業、官公庁・公社・団体については規模ごとのはっきりとした差異は見られなかった。

 サービス・インフラ業、ソフトウェア・通信業、小売・卸業において小規模の企業でもゼロトラストセキュリティの検討が進んでいるのは、最新のテクノロジーを使ってクラウドサービスを展開し、またテレワークを実施する企業が多いからであろう。

 業種別に企業規模の割合を見たときに、特に気になるのは製造業だ。製造業の中でも大規模企業ではゼロトラストセキュリティの導入検討が進んでいることが分かる。しかし、中・小規模ではまだまだDXへの取り組みが進んでおらず、ゼロトラストセキュリティの必要性もあまり浸透していないのではないだろうか。製造業全体で見ると、中・小規模の企業が多くを占めるにもかかわらず、この状態では、大規模の製造業をトップにしたサプライチェーン全体のDXやサイバーリスク対策推進の妨げになってしまう。ぜひ、サプライチェーンのトップ企業による働きかけと、中小企業の経営層の意識改革を行っていただきたい。

複数の技術要素を段階的に導入

 ゼロトラストセキュリティは、一つの製品を導入すれば実現できるというものではなく、複数の技術要素(アカウント管理、ネットワーク管理、デバイス管理・保護、分析・可視化、自動化)を段階的に導入して実現する。それぞれの技術要素に対する代表的なソリューションを列挙する。

【アカウント管理】
IDの管理・認証・認可を行うIAM※1。

【ネットワーク管理】
仮想的かつ動的なマイクロセグメンテーションおよびセキュアなリモートアクセスを実現するSDP※2やクラウド型のプロキシであるSWG※3など。

【デバイス管理・保護】
エンドポイントの一元管理を行うUEM※4やマルウェア侵入後の対策を支援するEDR※5など。

【分析・可視化】
統合的にログを管理・可視化・分析するSIEM※6やインターネットアクセスを可視化・制御するCASB※7、IaaS/PaaSの設定ミス・脆弱性などクラウドのセキュリティ常態を可視化・管理するCSPM※8など。

【自動化】
インシデントレスポンスを自動化するSOAR※9。

 これらのソリューションごとに相談件数の割合(図2参照)を見ると、SDPが最も多く、次いでIAM、CASB/SWGとなる。その後、UEM/EDR、CSPM、SIEM/SOARと続く。ここで注意したいのは、相談件数の割合が少ないからと言って、対象のソリューションを導入している企業が少ないというわけではないことだ。例えばIAMは、ゼロトラストセキュリティ導入時というよりクラウドシフトの段階で導入されるケースが多いため、実質的には、SDPよりも導入企業は多いだろう。また、UEM、EDRについてもゼロトラストセキュリティ検討前からモバイルデバイスの管理やマルウェア対策のために導入されており、SDPやIAMよりもさらに多く導入されていると思われる。

 ゼロトラストセキュリティが検討され始めてからニーズが高まったのが次世代のセキュアなリモートアクセスソリューションであるSDPだ。急激に浸透したテレワークがVPNの脆弱性や負荷といった問題を浮き彫りにし、これに代わる手法としてSDPが選ばれているのだ。そのほかに、インターネットアクセスのシャドーITを可視化・管理するCASBや、多くのセキュリティ事故につながっているクラウドの設定ミス・脆弱性問題を可視化・管理するCSPMのニーズが高まってきている。

 ただ、どのソリューションをどのような優先度で導入するかは企業によって異なる。DXの方針や、対応すべきサイバーリスクなど、各企業の状況に応じて決めていくものだ。次回は、導入するソリューションの選定や優先度付けについて実際の相談例をもとに説明していく。

※1 IAM:Identity and Access Management
※2 SDP:Software Defined Perimeter
※3 SWG:Secure Web Gateway
※4 UEM:Unified Endpoint Management
※5 EDR:Endpoint Detection and Response
※6 SIEM:Security Information and Event Management
※7 CASB:Cloud Access Security Broker
※8 CSPM:Cloud Security Posture Management
※9 SOAR:Security Orchestration, Automation, And Response

早稲田大学グローバルエデュケーションセンター
非常勤講師

日立ソリューションズ
セキュリティソリューション事業部
企画本部
セキュリティマーケティング推進部 部長
SecurityCoEセンタ長
セキュリティエバンジェリスト
扇 健一 氏