ゼロトラストセキュリティ動向を日立ソリューションズへの相談実績から分析

　ゼロトラストセキュリティの導入傾向についてレポートするのは、今回で３回目になる。初回は、製造業を中心に導入が進んでいること、２回目はサービス・インフラ、金融の分野にも広がりつつあることが傾向として見られた。今回は、どのような変化が見られるだろうか。以前と同じく、業種、従業員数、ソリューション別に導入傾向を掘り下げていこう。

　業種別の浸透状況を見ると、製造業、ソフトウェア・通信業、広告・出版・マスコミの割合は前回の2022年度上期とあまり変わらないが、それら以外の業種の割合が大きく変動している（図1）。特に注目したいのが、小売・卸、官公庁・公社・団体、商社の増加だ。小売・卸、商社が分類される流通業は、これまでの調査や相談受付状況から、セキュリティの感度が低いように見えていたが、ここになって、ようやくセキュリティに関する相談が増えてきた。ただ、中身を見てみると小売業ではなく、国際調達を行う卸売企業や、エネルギーや製造業に関わる商品を取引する商社など、国内産業のサプライチェーンとしての役割を担う企業が多いことを補足しておきたい。

　官公庁・公社・団体の割合増加については、2021年に改定された内閣サイバーセキュリティセンター（NISC）の「政府機関等のサイバーセキュリティ対策のための統一基準群」に、ゼロトラストセキュリティの要素が追加された影響だと推測できる。この文書は、各府省庁が情報セキュリティの確保のために採るべき対策、およびその水準をさらに高めるための対策の基準を定めたものだ。2023年にも改定が予定されており、ゼロトラストセキュリティ関連の要件もブラッシュアップされる方向だ。

　規模別については、半年ごとでは傾向が見えにくいため年単位で比較した。企業規模別に「0〜999 人」「1,000 〜4,999 人」「5,000人以上」の3グループに分け、それぞれ2021年度以前（〜2022年3月）と、2022年度（2022年4月〜2023年3月）で比較したところ、2022年度の「0〜999人」の割合が31％で、2021年度の35％よりも減少している。規模別の割合で見ると減少しているものの、業種別の内訳では、特にサービス・インフラ業におけるサービス分野（重要インフラを支えるサービス業や成長過程のサービス業）の増加が目立った。2022年にNISCが改訂した「重要インフラのサイバーセキュリティに係る行動計画」や経済産業省の産業サイバーセキュリティ研究会の働きかけ、また成長過程にある企業においては経営層がクラウドやビッグデータ、AIなど新しいテクノロジーに見識があり、セキュリティに敏感であることにも起因するだろう。

　次に、IAM※1、SDP※2、SWG※3、UEM※4、
EDR※5、SIEM※6、CASB※7、CSPM※8、SOAR※9の九つのソリューション別に傾向を見る（図2）。過去のデータと比較し伸びているソリューションの中で取り上げたいのが、CASB／SWGとCSPMだ。

　CASB／SWGは、2022年上期から5％の伸びを示していた。ゼロトラストセキュリティが世の中に浸透しつつあった2020年ごろ、CASBのニーズはそこまで大きくはなかった。しかし、DXの加速によりクラウドサービスの利用が拡大したことで、単純にクラウドサービスの利用を禁止／許可するようなフィルタリングが弊害となった。さらにリモートワークではこのフィルタリングを通らない通信も利用されるようになり、働く場所を問わずクラウドの利用を細かく制御できるCASBの価値が認められるようになってきたのだ。

　CSPMは、今回6％の伸びを示していた。この増加もDXの加速に起因する。Microsoft AzureやAmazon Web ServicesなどIaa Sの利用拡大に伴い、セキュリティにあまり詳しくない業務部門がIaaSを契約し開発を行ったり、サービスを展開したりしている。このような場合、仮想環境の追加・変更が可能な管理者アカウントの漏洩や、サイバー攻撃の入り口となる通信ポートの開放など、セキュリティ設定ミスによるインシデントが発生する可能性がある。こうした課題解決のために、企業が求め始めたのがCSPMだ。なお、Microsoft 365やSalesforceなどSaaSのセキュリティ設定ミスや脆弱性などセキュリティ常態を可視化・管理するSSPM※10のニーズも今後高まってくるであろう。

　ここ数年で働き方改革やDXが急速に浸透してきた。リモートワークの拡大に伴い、2020年ごろには、IAMやSDP、SWGのニーズが高まり、その後、2021〜2022年に猛威を振るったランサムウェアへの対抗措置としてEDRのニーズが再加熱した。そして、2022年は、DX推進に伴いクラウドセキュリティのニーズが高まった。今後は、複雑化してきたゼロトラストセキュリティの運用を回すために自動化やセキュリティの運用を行うMSS※11のニーズも高まってくるであろう。

※1 Identity and Access Management：クラウド上でアカウント管理・認証を行う統合基盤。
※2 Software Defined Perimeter：ユーザー/ グループごとに細かくアクセスを制御し、必要なアクセスのみを許可する。
※3 Secure Web Gateway：インターネットへのアクセスに対し、社内だけでなく社外の端末にも共通のポリシー、アクセス制御を適用する。
※4 Unified Endpoint Management：企業で利用されているエンドポイントを一元的に管理する。
※5 Endpoint Detection and Response：端末の処理を常時監視し、不審な挙動をいち早く検知。被害状況の可視化など脅威検知後の対応を支援する。
※6 Security Information and Event Management：さまざまなデバイス・サービスのセキュリティイベントをリアルタイムに監視、分析し、セキュリティリスクを可視化する。
※7 Cloud Access Security Broker：デバイスとクラウドサービスの間に設置し、利用状況の可視化や利用制御を行う。
※8 Cloud Security Posture Management：クラウド上の各種システムの現状を確認し、設定ミスや脆弱性などを検証してセキュリティを担保するシステム。
※9 Security Orchestration, Automation and Respon se：脅威判定や影響範囲の調査、一次対処やトリアージといった対応を自動化するシステム。
※10 SaaS Security Posture Management：SaaSのセキュリティリスクを継続的に監視・チェック・管理する技術。
※11 Managed Security Service：導入ソリューションの監視、運用を支援するサービス。

早稲田大学グローバルエデュケーションセンター 非常勤講師
日立ソリューションズ セキュリティソリューション事業部 企画本部
セキュリティマーケティング推進部 Security CoEセンタ長 シニアエバンジェリスト
扇 健一 氏