国内企業の約半数がゼロトラストに対応着手も、動的なアクセス制御やセッションごとの検証・認可が課題～IIJ調査

　株式会社インターネットイニシアティブ（以下、IIJ）は5日、国内企業のゼロトラストセキュリティ対応に関する調査結果を発表した。国内企業の情報システム部門を対象に、ゼロトラストの実現に向けた対応状況や課題を調査したもので、回答企業の約5割が一部対応を進めていることや、動的なアクセス制御やセッションごとのアクセス検証・認可の導入が今後の課題であることなどが明らかになったとしている。

　ゼロトラスト推進の意識を尋ねる設問では、「必要だと感じる」と回答した企業が約88％に上った。ゼロトラストの個別の要素について、NIST（米国国立標準技術研究所）が定義した、「ゼロトラストの7つの要素」における対応状況を聞いたところ、最も進んでいる対応は「多要素認証など認証対策の実施」で、約58％の企業が対応を完了していると回答した。一方で、最も進んでいないものは「セッション単位でのアクセス検証・認可」で、対応しているのは約38％だった。

ゼロトラストを実現することは必要だと思いますか？

ゼロトラストを実現するための7つの要素のうち、貴社が対応できているものを教えてください

　昨今のクラウド活用やテレワークの普及に伴い、オンプレミスおよびクラウド上のITリソース保護や通信保護に注力する企業が増えている一方で、ユーザーやデバイスの状態に応じた動的なアクセス制御や、セッションごとのアクセス検証・認可の導入については、まだまだ進んでいない企業が多いとしている。

　ゼロトラストを実現する上での最大の課題は、「専門人材の不足」と「セキュリティ対策にかかるコスト」が多く挙がった。企業がセキュリティ対策の導入や運用において予算や人員が足りないと感じていることが多く、特に中小企業では人的リソースが限られているため、対応が遅れている傾向が見られる分析。また、経営層の理解不足も一因となっており、今後はゼロトラストのメリットを社内にも効果的に訴求していくことが重要だとしている。

ゼロトラストを実現する際の対応を進める上での課題を教えてください（複数回答可）

　また、特に障壁となっている要因として、回答者のフリーコメントでは、「導入および運用コストがかさむ、費用対効果の検証が難しい」「ゼロトラスト実現の必要性を経営陣が理解しておらず、予算確保が難しい」「数多くのソリューションがあり、最適なものを選定するのが難しい」「レガシーシステムを含む既存システムをゼロトラストに適応させるのが大変」などが多く挙がった。

　IIJでは、今回のアンケート結果から、多要素認証には対応済みの企業が比較的多い一方で、動的なアクセス制御やセッションごとの検証・認可には未対応の企業が多いことが明らかになったと説明。こうした動的なアクセス制御の実現には、SASEのような包括的なソリューションが不可欠と考える企業が多く、実際にゼロトラスト導入支援を行う中でも、SASEソリューションの選定や導入に際し、既存環境の大幅な変更が必要となり、それが導入のハードルとなっているケースが少なくないと指摘。また、社内に残るレガシーシステムとの連携が障壁となり、動的アクセス制御の導入が遅れる要因となるケースも多くあるという。

　こうした状況に対して、「アクセス制御」という言葉には複雑な印象を受けるかもしれないが、リモートアクセスのポリシーを見直すことで、ゼロトラストの考え方を段階的に取り入れることが可能だと説明。自社に最適なゼロトラスト環境を実現するために、さまざまなサービスを比較検討することが重要だとしている。