ゼロトラストセキュリティの拡大と拡充
ちょうど1年前、2022年4月から2023年3月に日立ソリューションズに寄せられた相談実績から、企業におけるゼロトラストセキュリティの浸透状況についてレポートした。2022年度、サービス・インフラ業、小売・卸・商社、官公庁・公社・団体に広がりを見せたゼロトラストセキュリティの導入傾向は、2023年度にはどのように変わったのだろうか。以前と同じく、日立ソリューションズへの相談実績を基に、業種、従業員数、ソリューション分野別に導入傾向を掘り下げていこう。
重要インフラ事業者への広がり
ゼロトラストセキュリティを導入した企業を業種別に見ると、2023年度割合を伸ばしたのは、金融業が24%(対前年度+9%)、小売・卸・商社が13%(対前年度+2%)、官公庁・公社・団体が9%(対前年度+5%)だ。サービス・インフラ業の割合は29%(対前年度マイナス4%)となり、やや減少傾向にあるが、前年度に引き続き最も割合の高い業種となっている(図1)。2022〜2023年度にかけて、金融業、官公庁・公社・団体の割合が増えていたり、サービス・インフラ業が引き続き高い割合を維持していたりする背景には、内閣府が進める経済安全保障推進法があると考えられる。経済安全保障推進法の第3章「基幹インフラ役務の安定的な提供の確保に関する制度」は、基幹インフラをサイバー攻撃などから守るために、特定のインフラ事業者のリスク対策を国が審査するものだ。ゼロトラストセキュリティ導入に関する当社への相談の中には、本制度の審査の対象となっている、国に指定された企業や官公庁・公社・団体からのものも含まれており、その割合は全相談件数の20%を占めている。いわゆる重要インフラと呼ばれる分野の事業者もクラウドを活用し、ゼロトラストセキュリティの技術要素を取り入れ始めているのだ。
産業界で予想される今後の変化
ゼロトラストセキュリティ導入の割合を企業の規模別に見ると、2023年度は、従業員1,000人以上の企業の割合が増加している。先に述べたような重要インフラ事業者をはじめ、金融、公共分野の組織がゼロトラストセキュリティの検討を始めているため、大規模組織の割合が増えているのだ(図2)。
ただ、今後もこのような傾向が続いていくかといえば、それを予測するのは現時点では難しい。2024年4月に経済産業省が産業界に対する新たなサイバーセキュリティ政策の方向性として「規模や業種等サプライチェーンの実態に応じて企業の適切なセキュリティ対策レベルを評価し可視化する仕組みを検討していく」というメッセージ※1を発信した。サイバーセキュリティ対策がなかなか進まない産業界に対して、ようやく国が思い切った言葉を発したわけだが、これをきっかけに大企業に限らず産業界の多くの組織でゼロトラストが意識されるようになることが考えられる。
必要性の理解が進む各ソリューション
次に2023年度、どのようなゼロトラストセキュリティ対策が求められたかをソリューション分野別に見てみたい。割合が増えてきた分野としては、EDR※2/MDM※3といった端末のセキュリティが17%(対前年度+5%)、クラウドのセキュリティ維持管理を行うCSPM※4/SSPM※5が17%(対前年度+6%)、ログから相関分析や対策の自動化を行うSIEM※6/SOAR※7が12%(対前年度+9%)である。EDR/MDMの分野は、マルウェア対策強化のためのEDR新規導入や既設EDRの入れ替えが目立った。最近のセキュリティ対策はクラウドサービス型かつサブスクリプションであるため導入が容易で、利用しているサービスへの不満がたまった場合にも評判の良いサービスに切り替えやすくなっていることが背景にあるだろう。CSPM/SSPMはクラウド利用時のセキュリティリスクの状況を監視する。CSPMは、IaaS/PaaS環境の管理漏れや設定不備による不正アクセスが多発したことで普及が加速した。また、SSPMはSalesforceなど重要情報を扱うSaaS利用時の設定不備による情報漏えい事故が多発したことで、その必要性が理解され始めてきた。多くの基幹業務がクラウドにリフトし、セキュリティリスクが顕在化してきているのだ。SIEM/SOARは、導入済みではあるもののログを保管するだけの使い道にとどまっていた多くの組織が、ゼロトラストを機にログの有効活用を検討し始めたといったところだろう。実際に日立ソリューションズが2022年9月にSIEMの代表格であるSplunkの運用を支援するサービスを提供し始めたところ、すぐに複数の相談があった。
サイバーセキュリティ政策の方向性
「サイバーセキュリティ対策がなかなか進まない産業界に対して、ようやく国が思い切った言葉を発した」と前述したが、その具体的な内容となる経済安全保障推進法の第3章や経済産業省が公表した産業界に対する新たなサイバーセキュリティ政策の方向性については、読者の皆さんも気になるところであろう。また別途説明したい。
※1経済産業省「第8回『産業サイバーセキュリティ研究会』を開催しました」より引用。
https://www.meti.go.jp/press/2024/04/20240405003/20240405003.html
※2 Endpoint Detection and Response:エンドポイントのセキュリティ脅威を検知し、対応を支援。
※3 Mobile Device Management:モバイルデバイスやPCを含めたさまざまなデバイスの管理およびセキュリティ対策機能を提供。
※4 Cloud Security Posture Management:IaaS/PaaSのセキュリティリスクの継続的な監視・チェック・管理を実現。
※5 SaaS Security Posture Management:SaaSのセキュリティリスクの継続的な監視・チェック・管理を実現。
※6 Security Information and Event Management:さまざまなデバイス・サービスのセキュリティイベントをリアルタイムに監視、分析し、セキュリティリスクを可視化する。
※7 Security Orchestration, Automation and response:脅威判定や影響範囲の調査、一次対処やトリアージ(優先度付け)といった対応を自動化するシステム。