相談実績から見る
ゼロトラストセキュリティの浸透状況

2021年以降、多くの企業でゼロトラストセキュリティの導入が進んだ。本連載では半年ほど前に、主に大規模の製造業においてゼロトラストセキュリティの導入が進んでいるという傾向を伝えた。今回は再び調査を行い、その傾向がどのように変化したか、業種、従業員数、ソリューション別に見ていく。

サービス・インフラ・金融での導入検討割合が増加

 業種別の内訳が図1の通りだ。半年前と今回では1位と2位が入れ替わっており、前回1位だった製造の割合が減少し、サービス・インフラ※1、金融の割合が増加した結果となった。

 この変動の経緯として、ゼロトラストセキュリティをけん引していた大手製造業を中心に検討・導入が落ち着き始めていることが推測できる。一方で、社会インフラを構成するサービス・インフラ、金融業の増加が目立ったことが今回の調査のハイライトとなった。

 サービス・インフラ、金融などの業界は、個人情報などセンシティブな情報を扱うため、以前はクラウドサービスの導入に慎重であった。しかし、ここ数年、クラウドシフトにかじを切ってきたことが増加の背景の一つにあると考えられる。不正アクセスや暴露型ランサムウェアなどの被害により情報が漏れてしまえば、企業の信用失墜につながる恐れがあるため、クラウドシフトに合わせてゼロトラストセキュリティ導入を進めているということだろう。

小規模企業では導入検討割合が減少

 企業規模別の結果も比較してみよう。半年前と今回を比較すると、0〜999人の割合が17%減少し、1,000〜4,999人が1%増加、5,000人〜の割合が17%増加した。

 残念なのは、0〜999人の小規模企業の割合が減少していることだ。業種別に見ると、製造業の小規模企業の割合が5%減少、中規模企業が12%増加、大規模企業が7%減少、サービス・インフラ業の小規模企業が34%減少、中規模企業が15%増加、大規模企業が20%増加、金融業の小規模企業は変わらず、中規模企業が4%減少、大規模企業が47%増加した。そのほかの業種はあまり変化が見られなかった。ここからも、大手金融業が、ゼロトラストセキュリティにかじを切り始めたことがうかがえるだろう。

 大規模企業での導入検討が進む一方、小規模企業では検討割合が減少しており、セキュリティ対策の二極化が進行している。製造やインフラを起点として、販売、サービスまでつながるサプライチェーンのレジリエンス強化ができていないのだ。

 ランサムウェアやEmotetに代表される昨今のサイバー攻撃は、セキュリティ対策の弱いサプライチェーンの企業を狙う傾向にある。2022年に発生した大規模病院のランサムウェア被害事例でも、サービス業である給食提供事業者が踏み台となってランサムウェアが侵入し、1カ月以上病院を業務停止に陥らせた。サプライチェーン全体でセキュリティ強化が必要であることを、いま一度認識いただきたい。

セキュリティソリューションの多様化進む

 次に、IAM※2、SDP※3、SWG※4、UEM※5、EDR※6、SIEM※7、CASB※8、CSPM※9、SOAR※10の9ソリューション別に前回と今回の傾向を見ていこう(図2参照)。

 前回と比較すると、CASB/SWGの伸びが9%と最も目立ち、次いでUEM/EDRが4%、CSPMが2%伸びている。筆者の肌感覚としても、許可されていないインターネットアクセスや、事業部門で個別契約されているIaaS/PaaS環境など、いわゆるシャドーITの可視化・制御のニーズが高まっている印象を受ける。また、ここ数年右肩上がりで増加しているランサムウェアやEmotetの被害に伴い、再度、エンドポイントセキュリティの必要性も高まっている。前回は、IAMやSDPといったクラウドネットワークインフラを築くためのソリューション導入が目立っていたが、今回は、セキュリティ対策としてのソリューションが注目を浴びた結果が示された。

 今後は、さらに、CSPMや、比較的新しい分野であり、SaaSの設定ミスや脆弱性などセキュリティ常態を可視化・管理するSSPM※11、EDRの進化系であるXDR※12のニーズが高まっていくと予想する。

セキュリティ対策を支援するサービスの利用も検討しよう

 サプライチェーンの大部分を担う中小企業の対策が遅れているため、国や自治体も試行錯誤し対策を促している。セキュリティ対策を強化するために活用でき、資金などの支援を受けられる取り組みは多くある。例えば、国が運営するサービスデザイン推進協議会の「サービス等生産性向上IT導入支援事業 セキュリティ対策推進枠」や 、情報処理推進機構(Information-technology Promotion Agency, Japan:IPA)の「サイバーセキュリティお助け隊サービス制度」、 自治体が運営する東京都中小企業振興公社の「サイバーセキュリティ対策促進助成金」 などがある。

 対策の必要性は各所で叫ばれているものの、適切なセキュリティ対策や運用を考慮した際の負担が大きく二の足を踏んでいる企業もいるかもしれない。そういったケースに対しては、前述した団体の支援を受けることで、サプライチェーン全体でのレジリエンス強化が促されるだろう。

※1 不動産、運輸、ライフライン、旅行、医療・福祉、飲食、レジャーなどを含む。

※2 Identity and Access Management:クラウド上でアカウント管理・認証を行う統合基盤。

※3 Software Defined Perimeter:ユーザー/グループごとに細かくアクセスを制御し、必要なアクセスのみを許可する。

※4 Secure Web Gateway:インターネットへのアクセスに対し、社内だけでなく社外の端末にも共通のポリシー、アクセス制御を適用する。

※5 Unified Endpoint Management:企業で利用されているエンドポイントを一元的に管理する。

※6 Endpoint Detection and Response:端末の処理を常時監視し、不審な挙動をいち早く検知。被害状況の可視化など脅威検知後の対応を支援する。

※7 Security Information and Event Management:さまざまなデバイス・サービスのセキュリティイベントをリアルタイムに監視、分析し、セキュリティリスクを可視化する。

※8 Cloud Access Security Broker:デバイスとクラウドサービスの間に設置し、利用状況の可視化や利用制御を行う。

※9 Cloud Security Posture Management:クラウド上の各種システムの現状を確認し、設定ミスや脆弱性などを検証してセキュリティを担保するシステム。

※10 Security Orchestration, Automation and Response:脅威判定や影響範囲の調査、一次対処やトリアージといった対応を自動化するシステム。

※11 SaaS Security Posture Management:SaaSのセキュリティリスクを継続的に監視・チェック・管理する技術。

※12 Extended Detection and Response:エンドポイント、ネットワーク、クラウドなどを監視し、脅威の防御、検出、調査、対応を統合的に行う。