ゼロトラスト導入状況意識・実態調査報告 2023

はじめに

近年のクラウド利用の促進や、コロナ禍以降リモートワークが急速に普及するなど、情報資産を取り巻く環境は絶えず変化し続けています。デジタル化ならびにDXの波は、ロケーションやタイミングに捉われずに人やモノが情報とコンタクトを行える状態を実現させ、私たちの暮らしをフレキシブルでより豊かなものにしてきました。
一方で、不正アクセスや情報漏えい等のセキュリティリスクも増加傾向にあります。ネットワークの内側は安全、外側は危険という考えをもとにしたアーキテクトでは十分な安全性を担保出来なくなってきている現状から、2010年ごろに提唱されていた、ゼロトラスト「無条件には信用せず、全てにおいて確認する」という概念への注目が高まりました。

そのような中、2022年、安全にシステム活用が推進され、結果としてDXが加速されることを目指し、ゼロトラストアライアンス・ジャパンは発足されました。この度、日本国内におけるゼロトラストセキュリティに関する認知、認識、実態を把握するために行った本調査が、皆様の一助となれば幸いです。

※本ページに記載されております報告内容は、2024年1月12日「ゼロトラストDAY」にて配布いたしました資料(https://majisemi.com/service/wp-content/uploads/2024/03/ztaj_report_2023.pdf)より一部抜粋し公開しております。

ゼロトラスト導入状況 意識・実態調査報告 2023

※2024年1月12日「ゼロトラストDAY」での配布資料と同じ内容です。
ZTAJ事務局

https://majisemi.com/service/wp-content/uploads/2024/03/ztaj_report_2023.pdf
(PDF:1,615Kbyte)

要点

調査報告書内では、報告A~報告Eの5つの報告内で、下記事項について記載しています。

昨年に続き、
【報告A】事業規模(従業員数)が大きいほどゼロトラストセキュリティへの関心が高い。
【報告A】事業規模で比べた際に差異が大きいのは 「DX推進」、「社内SE」、「セキュリティ管理」に属する部署。
昨年から本年の変化
【報告A】従業員数100名以上の組織において、「DX推進」部署にてゼロトラストの認知の深度が上がり、「社内SE」にて認知が広がった。
【報告A】従業員数100名未満の組織において、「DX推進」部署にてゼロトラストの認知が広がった。

昨年に続き、傾向に大きな変化はない。数値の変動に関しては下記。
【報告B】事業規模が大きいほどシステム数は増える傾向がみられる。
【報告B】クラウドシステムは平均39.7個、オンプレシステムは平均39.9個。
【報告B】クラウドシステムは7割前後の方が増加傾向にあると回答、オンプレシステムは3割前後の方が増加傾向にあると回答。一方、オンプレシステムは減少傾向にあるとの回答が2.5割。
【報告B】クラウドとオンプレが置き換わる傾向に関しては、クラウドからオンプレに置き換わるとの回答が3.5割、オンプレからクラウドに置き換わるとの回答が2.5割。
【報告B】「クラウド利用に関する明確な社内ルール」に関しては、「ある」が6割、「ない」が4割。

昨年に続き、
【報告C】【重要度】調査結果 スコア順位は、1位「データ漏えい防止」、 2位「ネットワークセキュリティ」、続いて「ID統制」、「デバイス統制・保護」、5位が「ログの収集・分析」
【報告C】【実態】調査結果 ゼロトラストセキュリティの重要5要素(22項目)、導入が6割、未導入が2割、未把握が2割
昨年から本年の変化
【報告C】【導入項目順位】結果 1位「ネットワークセキュリティ アプリケーション単位の接続制御」、最も導入率が低い項目は、「ネットワークセキュリティ テナント識別」。

【報告D】導入実態と関心度の高さは、「ID統制 クラウドを対象としたID管理」。次いで、「機密ファイルやメールの暗号化とアクセス制御」、「ネットワークセキュリティ マルウェアの検知」。
【報告D】新規導入予定として多いのは、「ID統制 アクセスコントロール」。次いで、「ネットワークセキュリティ(テナント識別)」。
【報告D】「ID統制(オンプレを対象としたSSO)」「ネットワークセキュリティ(テナント識別)」。機能に関しては、「未検討」「未把握」のスコアが高い。

【報告E】10課題別で5要素を集計したところ、下記の傾向が見て取れた。課題感の難易度、1位ID統制|人材(PM)、2位ネットワークセキュリティ|人材(導入・ゼロトラストセキュリティの知見)、3位ログの収集・分析|人材(ポリシーの策定、改変)と、「人材」に関してスコアが高く、導入時のハードルとなり得る。
【報告E】 前年との比較として、全体的に「難しい」との認識に傾向が寄った。また、人材(PM)に関して、課題と感じるスコアが上昇。

※ページ最下部のダウンロードボタンより、2024年1月12日「ゼロトラストDAY」にて配布した同資料をダウンロードが可能です。
 ページ最下部のダウンロードフォームよりご確認ください。
※資料内には、報告A~Cの詳細及び、
 報告A-2.認知ポイント向上_TOP10 。<どの業種×職種に変化が見られたか>2022-2023比較 3業種(製造、医療・福祉、サービス)×10職種
 報告C-2.導入、未導入比率。5業種(医療・福祉、サービス、製造、情報通信、金融・証券・保険)
 報告D. ゼロトラストセキュリティ 導入状況別 今後の予定
 報告E. ゼロトラストセキュリティ 検討や導入を進める上で直面した課題
 に関しても記載しております。

アンケート作成にあたって

本調査の設問内に記載されているゼロトラストを構成する要素は、2022年6月発表資料「ゼロトラスト移行のすゝめ」(IPA:独立行政法人情報処理推進機構 産業サイバーセキュリティセンター)を参考に作成しました。(2024年1月時点)

https://www.ipa.go.jp/files/000099778.pdf  PDF
https://www.ipa.go.jp/icscoe/program/core_human_resource/final_project/zero-trust-mgn.html URL

調査方法

事前調査、本調査を各1回実施。ゼロトラストセキュリティに関する、認知、認識、実態に関して把握を行うため、設問を設定。

事前調査
・日本在住者
・WEBアンケート
・期間 2023年10月~11月
・対象者数:14,000名
・18歳~65歳

本調査
・事前調査の中から下記を対象者とし実施
・対象者:事業規模(従業員数)100名以上の組織に所属
 正社員または経営者、且つ情報システム部門所属またはセキュリティ管理に関わる部署または組織、いずれかに所属している方
・WEBアンケート
・期間 2023年10月~11月
・対象者数:400名

目次

1 報告A. ゼロトラストセキュリティ 認知・認識
2 報告B. クラウド・オンプレ 利用状況
3 報告C. ゼロトラストセキュリティ 意識・実態調査
4 ゼロトラスト導入状況意識・実態調査報告 2023 報告D~Eについて

1 報告A. ゼロトラストセキュリティ 認知・認識

事前調査

設問、”ゼロトラストセキュリティの意味を知っていますか?” にて、「よく知っている」、「知っている」、「概ね知っている」、「あまり知らない」、「聞いたことが無く、全く知らない」の5つの中から1つだけを選択。100名を閾値とし、事業規模(従業員数)未満と以上にて比較を行った。有効回答数は13,763件。※複数回答可とし(兼務)回答数は14,724件。

前面のグラフが事業規模100名以上、後ろに薄く表示しているのが、事業規模100名未満のグラフ(※図1)。事業規模が大きいほどゼロトラストへの関心が高い事が見て取れる。また、情報システム関連の部署に関しては認知は高い。認識に関しては継続的な調査が引き続き必要。
事業規模で差異が大きい部署としては、「DX推進」、「セキュリティ管理」に属する組織。マーケティング・広報部門に関しては、概ね情報システム部門と同程度の認知度。部署間で見た際には、事業規模に関わらず、ユーザ部門の方と情報システム部門の方との間で大きな差が見られる。

「セキュリティ管理」部署の所属者の認知度が思いのほか低い理由は、“セキュリティ”という言葉が持つ意味の範囲が広く、また、役割が細分化されているためと考えられる。また、「DX推進」、「セキュリティ管理」部門の認知度の差に関する仮説としては、事業規模によって“DX”や“セキュリティ”において重要視するポイント(セキュリティ以外)、課題、ボトルネックが変化するためと考えられる。

図1. 所属部署別 ”ゼロトラスト” 認知度調査

2 報告B. クラウド・オンプレ 利用状況

本調査

システム(アプリ、ツール、サービス含む)の管理状況に関して、オンプレシステム数、クラウドシステム利用数を把握している方を対象にアンケートを実施。
セグメンテーションとして、100名~199名、200名~499名、500名~1,999名、2,000名~4,999名、5,000名以上にて集計。
事業規模が大きいほどシステム数は増える傾向がみられる。
全体として、クラウドシステムは平均39.7個、オンプレシステムは平均39.9個。(※図2)
「クラウド利用に関する明確な社内ルール」に関しては、「ある」との回答が6割、「ない」との回答が4割(※図3)

図2. 事業規模(従業員数)別のシステム導入数

図3. システムの管理状況に関する質問

3 報告C. ゼロトラストセキュリティ意識・実態調査

本調査

IPA(情報処理推進機構)産業サイバーセキュリティセンターから示された文書、”ゼロトラスト移行のすゝめ”(2022年6月時点)では
ゼロトラストを構成する重要な要素を以下5つに分類しています。

1.ID統制 (例 ID管理、SSO、アクセスコントロール)
2.デバイス統制・保護(例 デバイスの機能制限、紛失時の対応、ポリシーやアプリケーションの一斉配布、マルウェア検知・遮断、監視機能、攻撃を受けた後の対応)
3.ネットワークセキュリティ (例 アプリケーション単位の接続制御、アクセス制限、SSL復号機能、マルウェアの検知、シャドーITの可視化、同一SaaS内での組織用と個人用のテナントを識別)
4.データ漏えい防止 (例 機密情報の不正な取り扱い防止、機密ファイルやメールの暗号化とアクセス制御)
5.ログの収集・分析 (例 あらゆる機器からのログ集約と可視化、収集したログの分析)

ZTAJ事務局では、上記各要素それぞれに対する認識に関して、意識調査を行いました。

全ての項目において、”非常に重要”及び”重要”と選択された方は6割~8割、”やや重要”を含めるとほぼ全ての方が重要との回答。尚、重要度のスコアの順位としては、1位データ漏えい防止、2位ネットワークセキュリティ。(※図4)

図4.ゼロトラストセキュリティ各構成要素に関する意識調査

4 ゼロトラスト導入状況意識・実態調査報告 2023 報告D~Eについて

その他報告内容に関して

続きは、資料にてご確認下さい。
集計条件、対象者の基本属性、報告A~Cの詳細、報告D~Eの詳細に関してPDF資料としてまとめました。

引き続き、追加レポートを随時公開してまいります。

ゼロトラスト導入状況 意識・実態調査報告 2023

※2024年1月12日「ゼロトラストDAY」での配布資料と同じ内容です。
ZTAJ事務局

https://majisemi.com/service/wp-content/uploads/2024/03/ztaj_report_2023.pdf
(PDF:1,615Kbyte)