ゼロトラスト導入状況
意識・実態調査報告 2023

昨年に続き、
【報告A】事業規模（従業員数）が大きいほどゼロトラストセキュリティへの関心が高い。
【報告A】事業規模で比べた際に差異が大きいのは　「DX推進」、「社内SE」、「セキュリティ管理」に属する部署。
昨年から本年の変化
【報告A】従業員数100名以上の組織において、「DX推進」部署にてゼロトラストの認知の深度が上がり、「社内SE」にて認知が広がった。
【報告A】従業員数100名未満の組織において、「DX推進」部署にてゼロトラストの認知が広がった。

昨年に続き、傾向に大きな変化はない。数値の変動に関しては下記。
【報告B】事業規模が大きいほどシステム数は増える傾向がみられる。
【報告B】クラウドシステムは平均39.7個、オンプレシステムは平均39.9個。
【報告B】クラウドシステムは7割前後の方が増加傾向にあると回答、オンプレシステムは3割前後の方が増加傾向にあると回答。一方、オンプレシステムは減少傾向にあるとの回答が2.5割。
【報告B】クラウドとオンプレが置き換わる傾向に関しては、クラウドからオンプレに置き換わるとの回答が3.5割、オンプレからクラウドに置き換わるとの回答が2.5割。
【報告B】「クラウド利用に関する明確な社内ルール」に関しては、「ある」が6割、「ない」が4割。

昨年に続き、
【報告C】【重要度】調査結果　スコア順位は、1位「データ漏えい防止」、 2位「ネットワークセキュリティ」、続いて「ID統制」、「デバイス統制・保護」、5位が「ログの収集・分析」
【報告C】【実態】調査結果　ゼロトラストセキュリティの重要5要素（22項目）、導入が6割、未導入が2割、未把握が2割
昨年から本年の変化
【報告C】【導入項目順位】結果　1位「ネットワークセキュリティ アプリケーション単位の接続制御」、最も導入率が低い項目は、「ネットワークセキュリティ　テナント識別」。

【報告D】導入実態と関心度の高さは、「ID統制　クラウドを対象としたID管理」。次いで、「機密ファイルやメールの暗号化とアクセス制御」、「ネットワークセキュリティ　マルウェアの検知」。
【報告D】新規導入予定として多いのは、「ID統制　アクセスコントロール」次いで、「ネットワークセキュリティ（テナント識別）」。
【報告D】「ID統制（オンプレを対象としたSSO）」「ネットワークセキュリティ（テナント識別）」。機能に関しては、「未検討」「未把握」のスコアが高い。

【報告E】10課題別で5要素を集計したところ、下記の傾向が見て取れた。課題感の難易度、1位ID統制｜人材（PM）、2位ネットワークセキュリティ｜人材（導入・ゼロトラストセキュリティの知見）、3位ログの収集・分析｜人材（ポリシーの策定、改変）と、「人材」に関してスコアが高く、導入時のハードルとなり得る。
【報告E】 前年との比較として、全体的に「難しい」との認識に傾向が寄った。また、人材（PM）に関して、課題と感じるスコアが上昇。

※ページ最下部のダウンロードボタンより、2024年1月12日「ゼロトラストDAY」にて配布した同資料をダウンロードが可能です。
　ページ最下部のダウンロードフォームよりご確認ください。
※資料内には、報告A～Cの詳細及び、
　報告A-2.認知ポイント向上_TOP10 。＜どの業種×職種に変化が見られたか＞2022-2023比較 3業種(製造、医療・福祉、サービス)×10職種
　報告C-2.導入、未導入比率。5業種（医療・福祉、サービス、製造、情報通信、金融・証券・保険）
　報告D. ゼロトラストセキュリティ　導入状況別　今後の予定
　報告E. ゼロトラストセキュリティ　検討や導入を進める上で直面した課題
　に関しても記載しております。

事前調査、本調査を各1回実施。ゼロトラストセキュリティに関する、認知、認識、実態に関して把握を行うため、設問を設定。

事前調査
・日本在住者
・WEBアンケート
・期間　2023年10月～11月
・対象者数：14,000名
・18歳～65歳

本調査
・事前調査の中から下記を対象者とし実施
・対象者：事業規模（従業員数）100名以上の組織に所属
　正社員または経営者、且つ情報システム部門所属またはセキュリティ管理に関わる部署または組織、いずれかに所属している方
・WEBアンケート
・期間　2023年10月～11月
・対象者数：400名

設問、”ゼロトラストセキュリティの意味を知っていますか？” にて、「よく知っている」、「知っている」、「概ね知っている」、「あまり知らない」、「聞いたことが無く、全く知らない」の5つの中から1つだけを選択。100名を閾値とし、事業規模（従業員数）未満と以上にて比較を行った。有効回答数は13,763件。※複数回答可とし（兼務）回答数は14,724件。

前面のグラフが事業規模100名以上、後ろに薄く表示しているのが、事業規模100名未満のグラフ（※図1）。事業規模が大きいほどゼロトラストへの関心が高い事が見て取れる。また、情報システム関連の部署に関しては認知は高い。認識に関しては継続的な調査が引き続き必要。
事業規模で差異が大きい部署としては、「DX推進」、「セキュリティ管理」に属する組織。マーケティング・広報部門に関しては、概ね情報システム部門と同程度の認知度。部署間で見た際には、事業規模に関わらず、ユーザ部門の方と情報システム部門の方との間で大きな差が見られる。

「セキュリティ管理」部署の所属者の認知度が思いのほか低い理由は、“セキュリティ”という言葉が持つ意味の範囲が広く、また、役割が細分化されているためと考えられる。また、「DX推進」、「セキュリティ管理」部門の認知度の差に関する仮説としては、事業規模によって“DX”や“セキュリティ”において重要視するポイント（セキュリティ以外）、課題、ボトルネックが変化するためと考えられる。

IPA（情報処理推進機構）産業サイバーセキュリティセンターから示された文書、”ゼロトラスト移行のすゝめ”（2022年6月時点）では
ゼロトラストを構成する重要な要素を以下5つに分類しています。

1.ID統制　（例 ID管理、SSO、アクセスコントロール）
2.デバイス統制・保護（例 デバイスの機能制限、紛失時の対応、ポリシーやアプリケーションの一斉配布、マルウェア検知・遮断、監視機能、攻撃を受けた後の対応）
3.ネットワークセキュリティ　（例 アプリケーション単位の接続制御、アクセス制限、SSL復号機能、マルウェアの検知、シャドーITの可視化、同一SaaS内での組織用と個人用のテナントを識別）
4.データ漏えい防止　（例 機密情報の不正な取り扱い防止、機密ファイルやメールの暗号化とアクセス制御）
5.ログの収集・分析　（例 あらゆる機器からのログ集約と可視化、収集したログの分析）

ZTAJ事務局では、上記各要素それぞれに対する認識に関して、意識調査を行いました。

全ての項目において、”非常に重要”及び”重要”と選択された方は6割～8割、”やや重要”を含めるとほぼ全ての方が重要との回答。尚、重要度のスコアの順位としては、1位データ漏えい防止、2位ネットワークセキュリティ。（※図4）