はじめに
近年のクラウド利用の促進や、コロナ禍以降リモートワークが急速に普及するなど、情報資産を取り巻く環境は絶えず変化し続けています。デジタル化ならびにDXの波は、ロケーションやタイミングに捉われずに人やモノが情報とコンタクトを行える状態を実現させ、私たちの暮らしをフレキシブルでより豊かなものにしてきました。
一方で、不正アクセスや情報漏えい等のセキュリティリスクも増加傾向にあります。ネットワークの内側は安全、外側は危険という考えをもとにしたアーキテクトでは十分な安全性を担保出来なくなってきている現状から、2010年ごろに提唱されていた、ゼロトラスト「無条件には信用せず、全てにおいて確認する」という概念への注目が高まりました。
そのような中、2022年、安全にシステム活用が推進され、結果としてDXが加速されることを目指し、ゼロトラストアライアンス・ジャパンは発足されました。この度、日本国内におけるゼロトラストセキュリティに関する認知、認識、実態を把握するために行った本調査が、皆様の一助となれば幸いです。
※本ページに記載されております報告内容は、2022年12月2日「ゼロトラストDAY」にて配布いたしました資料
(https://majisemi.com/service/wp-content/uploads/2022/12/ztaj_report_2022.pdf)より一部抜粋し公開しております。
ゼロトラスト導入状況 意識・実態調査報告 2022
※2022年12月2日「ゼロトラストDAY」での配布資料と同じ内容です。
ZTAJ事務局
https://majisemi.com/service/wp-content/uploads/2022/12/ztaj_report_2022.pdf
(PDF:1,464kbyte)
要点
調査報告書内では、報告A~報告Eの5つの報告内で、下記事項について記載しています。
【報告A】2022年10月~11月の期間、日本在住者14,000名に、WEB上にてアンケート調査を実施。結果、従業員数が多い組織への所属者程、ゼロトラストセキュリティの認知度が高いことが示された。
【報告B】前述の対象者の内、従業員数100名以上且つ情報システム部門及びセキュリティ管理部門所属者、400名を対象にWEB上にてアンケート調査を実施。結果、従業員数が多い組織ほど、利用システム数は増える傾向がみられる。
【報告B】クラウドシステムは増加傾向にあるとの回答者が7割を超える一方、オンプレシステムが増加傾向にあるとの回答者も3割。同時に、オンプレシステムが減少傾向にあるとの回答者は3割弱。オンプレシステムとクラウドシステムの置き換わりの傾向に関しては各社各様。
【報告B】クラウド利用に関して社内に明確なルールが存在するとの回答者は6割、未満の回答が4割。
【報告C】ゼロトラストセキュリティを5要素に分類した際の各要素間の重要度意識調査の結果、1位「データ漏えい防止」、 2位「ネットワークセキュリティ」、3位「ID統制」、4位「デバイス統制・保護」、5位「ログの収集・分析」
【報告C】実態調査において、ゼロトラストセキュリティの重要5要素(22機能及び項目)、導入が6割、未導入が2割、未把握が2割
【報告C】実態調査において、導入率が最も高い項目は1位「ネットワークセキュリティ アプリケーション単位の接続制御」、最も導入率が低い項目は「ID統制 オンプレを対象としたSSO」
【報告D】導入実態と関心度の高さは「データ漏えい防止」、次いで「デバイス管理」(マルウェア検知、機能制限、紛失時の対応)
【報告D】「ネットワークセキュリティ テナント識別」「ネットワークセキュリティ シャドーIT」機能に対する関心度は他と比べると低い
【報告E】難易度の認識調査を実施。要素5グループ間の10課題比較において差異は見受けられず。セキュリティへの考え方が各社各様のためと考えられる。
【報告E】難易度の認識調査を実施。10課題間の要素5グループ比較において、一定の差異が見られた。難易度順位、1位ネットワークセキュリティに関する人材(運用、教育)、2位ログの収集・分析に関する人材(ポリシーの策定、改変)、3位ネットワークセキュリティに関する人材(PM)。結果、「人材」に関してスコアが高く、「ネットワークセキュリティ」に関して、導入時のハードルとなり得る。
※ページ最下部のダウンロードボタンより、2022年12月2日「ゼロトラストDAY」にて配布した同資料をダウンロードが可能です。
ページ最下部のダウンロードフォームよりご確認ください。
※資料内には、報告A~Cの詳細及び、
報告D. ゼロトラストセキュリティ 導入状況別 今後の予定
報告E. ゼロトラストセキュリティ 検討や導入を進める上で直面した課題
に関しても記載しております。
アンケート作成にあたって
本調査の設問内に記載されているゼロトラストを構成する要素は、2022年6月発表資料「ゼロトラスト移行のすゝめ」(IPA:独立行政法人情報処理推進機構 産業サイバーセキュリティセンター)を参考に作成しました。(2022年12月時点)
https://www.ipa.go.jp/files/000099778.pdf PDF
https://www.ipa.go.jp/icscoe/program/core_human_resource/final_project/zero-trust-mgn.html URL
調査方法
事前調査、本調査を各1回実施。ゼロトラストセキュリティに関する、認知、認識、実態に関して把握を行うため、設問を設定。
事前調査
・日本在住者
・WEBアンケート
・期間 2022年10月~11月
・対象者数:14,000名
・18歳~65歳
本調査
・事前調査の中から下記を対象者とし実施
・対象者:事業規模(従業員数)100名以上の組織に所属
正社員または経営者、且つ情報システム部門所属またはセキュリティ管理に関わる部署または組織、いずれかに所属している方
・WEBアンケート
・期間 2022年10月~11月
・対象者数:400名
目次
1 報告A. ゼロトラストセキュリティ 認知・認識
2 報告B. クラウド・オンプレ 利用状況
3 報告C. ゼロトラストセキュリティ 意識・実態調査
4 ゼロトラスト導入状況意識・実態調査報告 2022 報告D~Eについて
1 報告A. ゼロトラストセキュリティ 認知・認識
事前調査
設問、”ゼロトラストセキュリティの意味を知っていますか?” にて、「よく知っている」、「知っている」、「概ね知っている」、「あまり知らない」、「聞いたことが無く、全く知らない」の5つの中から1つだけを選択。100名を閾値とし、事業規模(従業員数)未満と以上にて比較を行った。有効回答数は13,914件。※複数回答可とし(兼務)回答数は14,955件。
前面のグラフが事業規模100名以上、後ろに薄く表示しているのが、事業規模100名未満のグラフ(※図1)。事業規模が大きいほどゼロトラストへの関心が高い事が見て取れる。また、情報システム関連の部署に関しては認知は高い。認識に関しては継続的な調査が引き続き必要。
事業規模で差異が大きい部署としては、「DX推進」、「セキュリティ管理」に属する組織。マーケティング・広報部門に関しては、概ね情報システム部門と同程度の認知度。部署間で見た際には、事業規模に関わらず、ユーザ部門の方と情報システム部門の方との間で大きな差が見られる。
「セキュリティ管理」部署の所属者の認知度が思いのほか低い理由は、“セキュリティ”という言葉が持つ意味の範囲が広く、また、役割が細分化されているためと考えられる。また、「DX推進」、「セキュリティ管理」部門の認知度の差に関する仮説としては、事業規模によって“DX”や“セキュリティ”において重要視するポイント(セキュリティ以外)、課題、ボトルネックが変化するためと考えられる。
図1. 所属部署別 ”ゼロトラスト” 認知度調査
2 報告B. クラウド・オンプレ 利用状況
本調査
システム(アプリ、ツール、サービス含む)の管理状況に関して、オンプレシステム数、クラウドシステム利用数を把握している方を対象にアンケートを実施。
セグメンテーションとして、100名~199名、200名~499名、500名~1,999名、2,000名~4,999名、5,000名以上にて集計。事業規模が大きいほどシステム数は増える傾向がみられる。全体として、クラウドシステムは平均31.9個、オンプレシステムは平均48個。(※図2)
「クラウド利用に関する明確な社内ルール」に関しては、「ある」との回答が6割、「ない」との回答が4割(※図3)
図2. 事業規模(従業員数)別のシステム導入数
図3. システムの管理状況に関する質問
3 報告C. ゼロトラストセキュリティ意識・実態調査
本調査
IPA(情報処理推進機構)産業サイバーセキュリティセンターから示された文書、”ゼロトラスト移行のすゝめ”(2022年6月時点)ではゼロトラストを構成する重要な要素を以下5つに分類しています。
1.ID統制 (例 ID管理、SSO、アクセスコントロール)
2.デバイス統制・保護(例 デバイスの機能制限、紛失時の対応、ポリシーやアプリケーションの一斉配布、マルウェア検知・遮断、監視機能、攻撃を受けた後の対応)
3.ネットワークセキュリティ (例 アプリケーション単位の接続制御、アクセス制限、SSL復号機能、マルウェアの検知、シャドーITの可視化、同一SaaS内での組織用と個人用のテナントを識別)
4.データ漏えい防止 (例 機密情報の不正な取り扱い防止、機密ファイルやメールの暗号化とアクセス制御)
5.ログの収集・分析 (例 あらゆる機器からのログ集約と可視化、収集したログの分析)
ZTAJ事務局では、上記各要素それぞれに対する認識に関して、意識調査を行いました。
全ての項目において、”非常に重要”及び”重要”と選択された方は6割~8割、”やや重要”を含めるとほぼ全ての方が重要との回答。尚、重要度のスコアの順位としては、1位データ漏えい防止、2位ネットワークセキュリティ。(※図4)
図4.ゼロトラストセキュリティ各構成要素に関する意識調査
4 ゼロトラスト導入状況意識・実態調査報告 2022 報告D~Eについて
その他報告内容に関して
続きは、資料にてご確認下さい。
集計条件、対象者の基本属性、報告A~Cの詳細、報告D~Eの詳細に関してPDF資料としてまとめました。
引き続き、追加レポートを随時公開してまいります。
ゼロトラスト導入状況 意識・実態調査報告 2022
※2022年12月2日「ゼロトラストDAY」での配布資料と同じ内容です。
ZTAJ事務局
https://majisemi.com/service/wp-content/uploads/2022/12/ztaj_report_2022.pdf
(PDF:1,464kbyte)