IIJ、「国内企業のゼロトラストに関する実態調査」を実施し、結果を発表 | IIJについて

約半数の企業がゼロトラスト対応着手も、動的なアクセス制御やセッション毎の検証・認可が課題

2024年11月5日
株式会社インターネットイニシアティブ

当社は、国内企業のゼロトラストセキュリティ対応に関する調査を実施し、本日結果を発表いたしました。国内企業の情報システム部門を対象に、ゼロトラストの実現に向けた対応状況や課題を調査したもので、その結果、回答企業の約5割が一部対応を進めていることや、動的なアクセス制御やセッション毎のアクセス検証・認可の導入が今後の課題であることなどが明らかになりました。

主な調査結果

ゼロトラスト推進の意識を尋ねる設問では「必要だと感じる」と回答した企業が約88%にのぼり、多くの企業で必要性が認識されていることが明らかになりました。ゼロトラストの個別の要素について、NIST（米国国立標準技術研究所）が定義した「ゼロトラストの7つの要素」における対応状況を聞いたところ、最も進んでいる対応は「多要素認証など認証対策の実施」で、約58%の企業が対応を完了していると回答しました。一方で、最も進んでいないものは「セッション単位でのアクセス検証・認可」で、対応しているのは約38%でした。昨今のクラウド活用やテレワークの普及に伴い、オンプレミスおよびクラウド上のITリソース保護や通信保護に注力する企業が増えている一方で、ユーザやデバイスの状態に応じた動的なアクセス制御やセッション毎のアクセス検証・認可の導入についてはまだまだ進んでいない企業が多いことが明らかになりました。

ゼロトラストを実現する上での最大の課題は、「専門人材の不足」と「セキュリティ対策にかかるコスト」でした。企業がセキュリティ対策の導入や運用において予算や人員が足りないと感じていることが多く、特に中小企業では人的リソースが限られているため、対応が遅れている傾向が見られます。また、経営層の理解不足も一因となっており、今後はゼロトラストのメリットを社内にも効果的に訴求していくことが重要です。

ゼロトラストを実現することは必要だと思いますか？

ゼロトラストを実現するための7つの要素のうち、貴社が対応できているものを教えてください

ゼロトラストを実現する際の対応を進める上での課題を教えてください（複数回答可）

ゼロトラストを実現する際の対応を進める上での課題を教えてください

また、回答者のフリーコメントから、特に障壁となっている要因として、以下が多く挙げられました。

導入及び運用コストがかさむ、費用対効果の検証が難しい
ゼロトラスト実現の必要性を経営陣が理解しておらず、予算確保が難しい
数多くのソリューションがあり、最適なものを選定するのが難しい
レガシーシステムを含む既存システムをゼロトラストに適応させるのが大変

本調査結果に対する当社ゼロトラストセキュリティサービス担当の考察

ゼロトラストは、単なるセキュリティ技術の導入ではなく、企業全体のセキュリティ戦略の根本的な見直しを必要とします。既存システムとの整合性をとるためには、まず現行のセキュリティポリシーをゼロトラストの原則に沿って再評価し、段階的に移行する計画が求められます。ゼロトラストの実装は人材やコストといった障壁もありますが、将来的なサイバーリスクの軽減と企業の持続的成長を考慮すれば、あるべき姿に向けた一歩を踏み出していくことが大切です。

今回のアンケート結果から、多要素認証には対応済みの企業が比較的多い一方で、動的なアクセス制御やセッションごとの検証・認可には未対応の企業が多いことが明らかになりました。こうした動的なアクセス制御の実現には、SASEのような包括的なソリューションが不可欠と考える企業が多く、実際にゼロトラスト導入支援を行う中でも、SASEソリューションの選定や導入に際し、既存環境の大幅な変更が必要となり、それが導入のハードルとなっているケースが少なくありません。また、社内に残るレガシーシステムとの連携が障壁となり、動的アクセス制御の導入が遅れる要因となるケースも多くあります。
「アクセス制御」という言葉には複雑な印象を受けるかもしれませんが、リモートアクセスのポリシーを見直すことで、ゼロトラストの考え方を段階的に取り入れることが可能です。自社に最適なゼロトラスト環境を実現するために、様々なサービスを比較検討することが重要です。