ゼロトラスト導入状況
意識・実態調査報告 2022

【報告A】2022年10月～11月の期間、日本在住者14,000名に、WEB上にてアンケート調査を実施。結果、従業員数が多い組織への所属者程、ゼロトラストセキュリティの認知度が高いことが示された。
【報告B】前述の対象者の内、従業員数100名以上且つ情報システム部門及びセキュリティ管理部門所属者、400名を対象にWEB上にてアンケート調査を実施。結果、従業員数が多い組織ほど、利用システム数は増える傾向がみられる。
【報告B】クラウドシステムは増加傾向にあるとの回答者が7割を超える一方、オンプレシステムが増加傾向にあるとの回答者も3割。同時に、オンプレシステムが減少傾向にあるとの回答者は3割弱。オンプレシステムとクラウドシステムの置き換わりの傾向に関しては各社各様。
【報告B】クラウド利用に関して社内に明確なルールが存在するとの回答者は6割、未満の回答が4割。
【報告C】ゼロトラストセキュリティを5要素に分類した際の各要素間の重要度意識調査の結果、1位「データ漏えい防止」、 2位「ネットワークセキュリティ」、3位「ID統制」、4位「デバイス統制・保護」、5位「ログの収集・分析」
【報告C】実態調査において、ゼロトラストセキュリティの重要5要素（22機能及び項目）、導入が6割、未導入が2割、未把握が2割
【報告C】実態調査において、導入率が最も高い項目は1位「ネットワークセキュリティ アプリケーション単位の接続制御」、最も導入率が低い項目は「ID統制 オンプレを対象としたSSO」
【報告D】導入実態と関心度の高さは「データ漏えい防止」、次いで「デバイス管理」（マルウェア検知、機能制限、紛失時の対応）
【報告D】「ネットワークセキュリティ　テナント識別」「ネットワークセキュリティ　シャドーIT」機能に対する関心度は他と比べると低い
【報告E】難易度の認識調査を実施。要素5グループ間の10課題比較において差異は見受けられず。セキュリティへの考え方が各社各様のためと考えられる。
【報告E】難易度の認識調査を実施。10課題間の要素5グループ比較において、一定の差異が見られた。難易度順位、1位ネットワークセキュリティに関する人材（運用、教育）、2位ログの収集・分析に関する人材（ポリシーの策定、改変）、3位ネットワークセキュリティに関する人材（PM）。結果、「人材」に関してスコアが高く、「ネットワークセキュリティ」に関して、導入時のハードルとなり得る。

※ページ最下部のダウンロードボタンより、2022年12月2日「ゼロトラストDAY」にて配布した同資料をダウンロードが可能です。
　ページ最下部のダウンロードフォームよりご確認ください。
※資料内には、報告A～Cの詳細及び、
　報告D. ゼロトラストセキュリティ　導入状況別　今後の予定
　報告E. ゼロトラストセキュリティ　検討や導入を進める上で直面した課題
　に関しても記載しております。

事前調査、本調査を各1回実施。ゼロトラストセキュリティに関する、認知、認識、実態に関して把握を行うため、設問を設定。

事前調査
・日本在住者
・WEBアンケート
・期間　2022年10月～11月
・対象者数：14,000名
・18歳～65歳

本調査
・事前調査の中から下記を対象者とし実施
・対象者：事業規模（従業員数）100名以上の組織に所属
　正社員または経営者、且つ情報システム部門所属またはセキュリティ管理に関わる部署または組織、いずれかに所属している方
・WEBアンケート
・期間　2022年10月～11月
・対象者数：400名

設問、”ゼロトラストセキュリティの意味を知っていますか？” にて、「よく知っている」、「知っている」、「概ね知っている」、「あまり知らない」、「聞いたことが無く、全く知らない」の5つの中から1つだけを選択。100名を閾値とし、事業規模（従業員数）未満と以上にて比較を行った。有効回答数は13,914件。※複数回答可とし（兼務）回答数は14,955件。

前面のグラフが事業規模100名以上、後ろに薄く表示しているのが、事業規模100名未満のグラフ（※図1）。事業規模が大きいほどゼロトラストへの関心が高い事が見て取れる。また、情報システム関連の部署に関しては認知は高い。認識に関しては継続的な調査が引き続き必要。
事業規模で差異が大きい部署としては、「DX推進」、「セキュリティ管理」に属する組織。マーケティング・広報部門に関しては、概ね情報システム部門と同程度の認知度。部署間で見た際には、事業規模に関わらず、ユーザ部門の方と情報システム部門の方との間で大きな差が見られる。

「セキュリティ管理」部署の所属者の認知度が思いのほか低い理由は、“セキュリティ”という言葉が持つ意味の範囲が広く、また、役割が細分化されているためと考えられる。また、「DX推進」、「セキュリティ管理」部門の認知度の差に関する仮説としては、事業規模によって“DX”や“セキュリティ”において重要視するポイント（セキュリティ以外）、課題、ボトルネックが変化するためと考えられる。

IPA（情報処理推進機構）産業サイバーセキュリティセンターから示された文書、”ゼロトラスト移行のすゝめ”（2022年6月時点）ではゼロトラストを構成する重要な要素を以下5つに分類しています。

1.ID統制　（例 ID管理、SSO、アクセスコントロール）
2.デバイス統制・保護（例 デバイスの機能制限、紛失時の対応、ポリシーやアプリケーションの一斉配布、マルウェア検知・遮断、監視機能、攻撃を受けた後の対応）
3.ネットワークセキュリティ　（例 アプリケーション単位の接続制御、アクセス制限、SSL復号機能、マルウェアの検知、シャドーITの可視化、同一SaaS内での組織用と個人用のテナントを識別）
4.データ漏えい防止　（例 機密情報の不正な取り扱い防止、機密ファイルやメールの暗号化とアクセス制御）
5.ログの収集・分析　（例 あらゆる機器からのログ集約と可視化、収集したログの分析）

ZTAJ事務局では、上記各要素それぞれに対する認識に関して、意識調査を行いました。

全ての項目において、”非常に重要”及び”重要”と選択された方は6割～8割、”やや重要”を含めるとほぼ全ての方が重要との回答。尚、重要度のスコアの順位としては、1位データ漏えい防止、2位ネットワークセキュリティ。（※図4）