ニュース

Okta Japan、アイデンティティを中心としたゼロトラスト導入の実施状況や今後の動向を分析

 Okta Japan株式会社は20日、ゼロトラストの導入実態に関する記者説明会を開催した。

 説明会では、同日公表した「The State of Zero Trust Security 2021」の調査結果をもとに、日本を含む世界中の組織が現在どのようにアイデンティティを中心とするゼロトラスト導入に取り組んでいるのか、今後18か月の間にどこに向かおうとしているのかなどについて解説した。

 ゼロトラスト導入実態調査「The State of Zero Trust Security 2021」は、700人のセキュリティリーダー(日本100人、APAC300人、EMEA100人、北米100人、グローバル2000企業100人)を対象に実施したもの。

 調査を実施した背景について、Okta Japan 代表取締役社長の渡邉崇氏は、「ニューノーマルの新しい働き方の中で、場所やデバイス、ネットワーク環境に関わらず、すべてのユーザーをセキュリティ脅威から保護するため、ゼロトラストの導入が重要になってきている。当社は、あらゆるアクセスを『信頼せず、常に検証する』ゼロトラストの実現には、アイデンティティを中心としたアプローチが最も良い出発点になると考えている。しかし、実際にゼロトラストを導入するにあたっては、どこから始めればよいのかわからないという企業も多いのが実状だ。そこで今回、こうした悩みを抱えている企業に向けて、ゼロトラスト導入のヒントを提供するべく、ゼロトラスト導入実態調査を行った」と説明した。

Okta Japan 代表取締役社長の渡邉崇氏

 調査ではまず、「ゼロトラストの取り組みを実施しているか」を聞いたところ、すでに実施しているところを含めて、今後18か月の間で全世界の7割~9割以上がゼロトラストの取り組みを実施すると回答していた。一方で、日本では、ゼロトラストの取り組みの予定がないと回答した割合は32%と、他国より高い結果となった。

ゼロトラストの取り組み状況

 また、ゼロトラストに取り組む組織に、「新型コロナウイルスにともなうリモートワークの拡大によって、ゼロトラストの優先度は高まったか」と聞くと、世界全体では8割近くがゼロトラストの優先度が高まったと回答していた。とくに、日本では最優先課題になったと回答した割合が他国から多かった。

ゼロトラストの優先順位

 「ゼロトラストを実施する上で重要な要素」については、第1優先事項が「人」、次いで「デバイス」となった。従業員、顧客、パートナー、請負業者、サプライヤーなどの人を重視し、従来のネットワークベースから、人やデバイスを重視する方向にシフトしていることが示唆された。日本では、「ネットワーク」を重視する割合が他国より高く、「デバイス」を重視する割合が極めて低い結果となった。

ゼロトラストを実施する上で重要な要素

IAMの成熟度ステージごとの取り組み状況調査

 次に、ゼロトラスト導入における「アイデンティティとアクセス管理」(IAM)の成熟度のステージごとの取り組み状況を調査した。「当社では、ゼロストラスト導入に向けたIAMの成熟度を4つのステージに分けている。ステージ0は『散在するアイデンティティ』。ステージ1は『統合IAM』。ステージ2は『コンテキストに基づくアクセス』。ステージ3は『適応型のアクセス』となる。今回、このステージごとの取り組み状況を調査することで、企業におけるゼロトラスト導入プロジェクトの実態を明らかにした」(渡邉氏)という。

ステージごとの取り組み状況

 まず、ステージ0では、「従業員ディレクトリ(従業員情報)とクラウドアプリの連携」の導入状況について調査したところ、「すでに連携している」と回答した割合が、日本では40%であるのに対して、それ以外の国では84%がすでに連携済みと回答。日本では、アイデンティティが分散し、責任者も明確化されていない組織が多く、ステージ0の段階から取り組みが大幅に遅れていることが浮き彫りになった。

ステージ0「散在するアイデンティティ」

 ステージ1「統合IAM」の取り組みでは、「従業員を対象にしたシングルサインオンの導入」状況について調査すると、すでに導入済みと回答したのが日本で53%であるのに対し、日本以外の調査対象国やグローバル2000企業では90%以上がすでに導入済みと回答していた。さらに、「従業員を対象にしたMFAの導入」においても、すでに導入していると回答した割合が日本で37%であるのに対し、日本以外の国やグローバル2000企業では80%以上で導入が完了しており、ここでも日本での取り組みが遅れている傾向が見られた。

ステージ1「統合IAM」

 ステージ2「コンテキストに基づくアクセス」の取り組み状況について、渡邉氏は、「日本以外の国やグローバル2000企業では、『APIへの安全なアクセス』や『複数のユーザーグループを対象に多要素認証を導入』、『従業員のプロビジョニング・デプロビジョニングの自動化』において、導入済みと回答した割合が多かった。これに対して日本では、『コンテキストに応じたアクセスポリシーの導入』の取り組みが最も進んでいることがわかった。一方で、全世界的に最も導入が遅れているのは『外部ユーザーのプロビジョニング・デプロビジョニングの自動化』だった」と説明した。

ステージ2「コンテキストに基づくアクセス」

 ステージ3「適応型のアクセス」では、安全性の高い要素を使用した「パスワードレスアクセスの導入」状況について調べた結果、「全世界でパスワードレスアクセスを導入している企業の割合は、まだまだ低いことが明らかになった。ただ、今後18か月の間で重視する割合は、グローバル2000企業では41%と高い傾向にあるという。

ステージ3「適応型のアクセス」

 また、ゼロトラストのセキュリティ運用を行うために、どのツールをIAMソリューションと統合することが重要かを聞いたところ、最も多かった回答が、「セキュリティ情報イベント管理(SIEM)」だった。次いで「エンドポイントプロテクション(EMM)」となった。

ゼロトラストのセキュリティエコシステム

 ゼロトラストを導入するにあたっての課題としては、世界各国で「導入に必要となる人材/スキルの不足」、「コストへの懸念」が多く挙げられた。その中で日本においては、「プライバシーに関する規制/データセキュリティ」を課題と考える回答者が他国よりも多いことが浮き彫りになった。

ゼロトラスト導入の課題

 今回の調査結果を踏まえて渡邉氏は、今後ゼロトラストを成熟させるための重要なステップとして、「境界線がなくなったことで、これまでのネットワーク中心のアプローチは通用しなくなっており、人やデバイスを中心としたアイデンティティをベースにすること」、「オンプレミスやクラウドなど環境に関わらず、横断的にセキュリティを担保できる組織を作ること」、「企業全体のアイデンティティとアクセス制御を一元化し、セキュリティリスクを減らすこと」、「IAMの成熟度曲線を確認し、自社の今のポジションを判断して、次の投資を検討していくこと」、「IAMソリューションと主要なセキュリティツールを統合し、セキュリティエコシステムを拡張すること」、「将来的にはパスワードレス認証やコンテキストベースのアクセスポリシーの採用など、時間をかけてセキュリティをさらに進化させていくこと」を提言した。

 なお、同社では、アイデンティティ管理とゼロトラストの「アセスメントツール」を無償で公開している。このツールを利用することで、IAM成熟度の各ステージで組織がどこまで達成しているのか、今後どのような対策が必要なのか確認することができるという。