ゼロトラスト戦略の急速な拡大:地域と分野での取り組みをデータで参照

The factors driving today’s accelerated zero trust adoption

2022/08/18 HelpNetSecurity — Okta の 2022 State of Zero Trust Security Report により、ビジネスにおける重要かつ必須の事項はバズワードからゼロトラストへと、急速に変化していることが判明した。現時点において 97% の企業が、ゼロトラスト・イニシアチブを実施しているか、あるいは、今後の 12~18カ月以内に実施するとしており、2018年の 16% から上昇し、過去4年間で 500%以上の増加となっている。


ゼロトラスト戦略へと踏み出す EMEA 企業と、増加傾向にある予算

ゼロトラスト戦略の導入に関して、EMEA (ヨーロッパ/中東/アフリカ) の企業は、他の地域に遅れをとっている。 現時点で戦略の導入を検討していると答えた企業の割合は、APAC (アジアおよび太平洋) では 50%/北米では 59% であるのに対し、EMEA はわずか 36%だった。しかし、これは変化しつつあり、ゼロトラスト戦略に対する予算の増加という点では、EMEA がリードしている。 投資を増額している企業は、APAC では 83%/北米では 77% であるのに対し、EMEA では、90%にも上るという。

ゼロトラスト・イニシアチブ導入における最大の課題という点では、北米/APAC/Global 2000 では、人材不足がトップに挙げられている。その一方で、EMEA では、ソリューションの認識とコストへの懸念が同等の課題であり、それよりも上位にゼロトラストのサポートがランクされている。

世界全体では、全企業の 80%が、ゼロトラスト・セキュリティ戦略全体にとって、アイデンティティが重要であると回答している。さらに、19% の企業が、アイデンティティはビジネスに不可欠だと見做している。

つまり、企業の 99% が、ゼロトラスト戦略の主要な項目として、アイデンティティを挙げていることを意味する。CISO をはじめとする C-suite のメンバーの回答を見ると、ビジネスに不可欠なものとして、26% がアイデンティティを挙げている。

Okta の EMEA Head of Industry Solutions である Ian Lowe は、「絶えず変化する世界において、EMEA の企業は、システム/データ/従業員/顧客を保護するために、サイバー・セキュリティへのアプローチを変更する必要がある。この地域では、ゼロトラストへの取り組みが大きく進展しているが、企業は依然として、意識の向上/スキル不足/大規模な投資などの、この新しい技術を導入する際の、多くの課題に直面している」と述べている。

EMEA はユーザビリティ/セキュリティの懸念のバランスが最も良い

この調査結果は、ユーザビリティとセキュリティ懸念の間でバランスを見つけることが、現代の企業にとって継続的な課題であることを示している。セキュリティへのシフトは、APAC/北米でより顕著であり、EMEA 地域では、両者が均衡していることが報告されている。

Lowe は、「企業は現在、ユーザビリティに対するパンデミック時代の投資を活用し、セキュリティの負債を取り戻しつつある。しかし、セキュリティの強化とユーザビリティの向上は、必ずしも相反するものではないと認識するようになってきた。たとえば、パスワードレス技術は、ログインの手間を省くことにより、ユーザー・エクスペリエンスの向上と同時に、セキュリティの強化も可能にする」と述べている。

パスワードレス・アクセスの導入:先行する金融/医療と遅れる政府機関

金融/医療の機関では、ゼロトラスト・イニシアチブを導入するための、大半の定義付け作業が、既に行われている。

金融サービス:

  • 金融の 100% 近くが、今後の 12~18ヶ月でゼロトラスト・イニシアチブを導入予定
  • 48% がその種のイニシアチブを導入済
  • 75% が SSO や MFA をサーバ/DB/API に対して、18 か月以内に拡張予定

ヘルスケア・サービス:

  • 回答者の 58%がゼロトラスト・イニシアティブの導入を開始:2021年から20%増加
  • 99%が、ゼロトラスト・セキュリティ戦略全体において、アイデンティティが重要であり、ビジネス・クリティカルな役割を果たすと回答
  • 全回答者が、今後の 12~18カ月以内に SSO/MFA を SaaS/社内アプリ/サーバに拡張する予定でだと回答

金融機関の 22% 近くが、今後 12 ~ 18 ヶ月以内にパスワードレス・アクセスを採用すると回答し、ヘルスケア/ソフトウェア企業の 16% も同様に回答している。

政府機関では、パスワードレス・アクセスを既に導入しているか、今後数か月以内に導入を計画している機関は 7% のみという状況であり、遅れをとっている。しかし、世界中のほぼ全ての政府機関の回答者が、アイデンティティがゼロトラスト戦略全体の重要な一部であると回答しており、19% がビジネス・クリティカルであるとみなしている。

ゼロトラストが、ゆっくりであっても進んでいるようで安心しました。関連する記事としては、これまでに、3月14日の「ゼロトラスト環境の実践:どのようにして人の信頼を構築していくべきか?」や、7月21日の「クラウド・セキュリティの調査:IT リーダーの 60%が安全性に自信を持てない」などがあります。その一方で、ネガティブなトピックとしては、8月10日の「プロトコル運用の調査:FTP 公開 36%/LDAP 露出 41%/SSH 露出 64% ・・・」と、8月11日の「Cookie セッション・ハイジャックの脅威:ZTNA/MFA ツールの大半は無力化される」があります。よろしければ、カテゴリ Zero Trust も、ご利用ください。 なお、この記事の元データとなっている、Okta 2022 State of Zero Trust Security Report も、お薦めです。