ゼロトラストに取り組む中堅・中小企業は「わずか6%」 ノークリサーチ調査で判明
昨今セキュリティ対策において「ゼロトラスト」の考え方は不可避だが、ゼロトラストを明示してセキュリティ対策をとる中堅・中小企業はわずか6%にとどまることが調査で明らかになった。中堅・中小企業の「守りのIT対策」の実態は。またゼロトラスト関連製品、サービスを普及させる鍵とは。
ノークリサーチは2023年2月27日、中堅・中小企業におけるゼロトラストセキュリティモデル(ゼロトラスト)の実施状況に関する調査結果を発表した。
ゼロトラストに取り組む企業はわずか6% 浸透しない理由は?
同調査は、国内全業種にわたる年商500億円未満の中堅・中小企業1300社を対象に2022年7〜8月に実施した。
調査結果は「2022年版 中堅・中小企業のセキュリティ/運用管理/バックアップ利用実態と展望レポート」としてまとめられ、中堅・中小企業におけるセキュリティ、運用管理、バックアップといった「守りのIT対策」の実態や課題などを分析している。
守りのIT対策は多岐にわたる。その中でも何も信頼しないことを前提にあらゆるものを対象としてセキュリティ対策を実施する「ゼロトラスト」は、「さまざまなセキュリティ脅威が存在する現在、中堅・中小企業にとって不可避の取り組みだ」とノークリサーチは述べる。
ゼロトラストを冠するセキュリティ関連の製品/サービスは多数存在する。ただし、ノークリサーチの調査によると、「ゼロトラストに基づいた守りのIT対策」に取り組む方針だと回答した中堅・中小企業は2021年は4.0%、2022年は6.0%にとどまり、ゼロトラストが浸透しているとはいえない現状が明らかになった。
ノークリサーチは、ゼロトラストが浸透しない最も大きな要因として「ゼロトラストというキーワードが指し示す範囲が非常に広く、かつ製品やサービスを提供するIT企業によって異なるという点」にあると指摘する。
ゼロトラストの普及に向けた製品/サービスの訴求点とは
IT企業がユーザー企業にゼロトラスト関連製品やサービスを訴求しようとする際は、「ゼロトラストというキーワードに頼り過ぎず、自社の製品やサービスが解決する課題や提供する利点を伝える必要がある」とノークリサーチは説明する。
とはいえ、新規に展開する製品やサービスではそれも可能だが、既にゼロトラストというキーワードを冠して拡販している製品やサービスの方向転換は難しい。そこで同社が勧めるのが、より具体的な取り組みに落とし込んだ訴求方法だ。
図2は、中堅・中小企業における守りのIT対策のうち、具体的な製品、サービスと直結する取り組みに対する回答を抜粋して年商規模別に集計したものだ。「社内外を安全/手軽につなぐクラウドサービスを利用する」では、ZTNA(Zero Trust Network Access)、CASB(Cloud Access Security Broker)、SWG(Secure Web Gateway)などの利用が挙がった。「未知の攻撃でも防御できる製品/サービスを選ぶ」ではEDR(Endpoint Detection and Response)、EPP(Endpoint Protection Platform)、WAF(Web Application Firewall)などが、「アカウントやデータを集約管理できるサービスを利用する」ではIAM(Identity and Access Management )、IDaaS(Identity as a Service)などが挙がった。
ここまで見てきたように、中堅・中小企業の多くがゼロトラストを前提としたセキュリティ対策はとっていない。しかし、年商規模によっては、単にゼロトラストというキーワードを用いた時と比べて、高い割合を示す具体的な製品、サービスがあることが図2から確認できる。「ゼロトラスト関連製品やサービスは、こうした具体的な項目に落とし込めば、分かりやすく訴求できる可能性がある」とノークリサーチは分析する。
ただし、いずれの項目も1割以下にとどまることから、製品やサービスを訴求する上でっは「中堅・中小企業が守りのIT対策において抱える課題」と絡めた訴求方法が有効だと同社は述べる。
守りのIT対策の方針として「『ゼロトラスト』を前提としたネットワーク対策を講じる」と回答した中堅・中小企業(図1)が抱える課題のうち、全体平均と比べて20ポイント以上高い値を示した課題項目をまとめた(図3)。
ゼロトラストに基づく守りのIT対策に取り組もうとする中堅・中小企業は、「ランサムウェア防止やIT以外の設備(エンジニアリング領域など)に課題を抱える」割合が高いことが読み取れる。
裏を返せば、「これらの課題を抱えるユーザー企業に対しては、ゼロトラストの取り組みを訴求しやすい」(ただし、IoT《モノのインターネット》関連のスキルも必要)だとノークリサーチは指摘する。「ゼロトラストというキーワードを冠した製品やサービスについては、現状の課題を起点としたアピールを行うことが有効と考えられる」と同社は述べる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
ゼロトラストにはなぜマイクロセグメンテーションが必要なのか?
サイバー攻撃の激化によって、企業は従来型の境界型防御による「見つけて対応する」対策から「制限して封じ込める」対策へのシフトが求められている。この鍵を握るマイクロセグメンテーションについて解説する。
6社に1社が身代金に応じる今、中堅・中小企業はランサムウェアにどう立ち向かうか
トレンドマイクロはアンダーグラウンド調査からランサムウェアグループの活動の実態を解説した。ランサムウェアグループの標的の傾向や身代金の支払率、悪用されやすい脆弱性などが判明した。
テレワーク環境別に考える「ゼロトラスト構築の基本とセキュリティの落とし穴」
テレワークの浸透によってユーザーを手放しで信用できなくなった。そこで求められるのが、誰も信用せず厳密な認証・認可によってアクセスをコントロールするゼロトラストセキュリティだ。テレワーク環境別のゼロトラスト構築の注意点と落とし穴を紹介する。
KyndrylとNokia、提携を3年間延長 ITとOT領域にまたがりインダストリー4.0の実現を支援
KyndrylとNokiaがグローバルネットワークおよびエッジコンピューティングに関する提携を3年間延長すると発表した。インダストリー4.0の実現に向けたサービスやソリューションの提供を目指す。