Skip to content Skip to footer
Search

Loading Results

国内企業における「ゼロトラスト・アーキテクチャ」の実態調査2021

―ゼロトラストから得られた効果は「DXの推進・多様な働き方の実現」がトップ

Innowell

1.はじめに

2020年8月、ITアーキテクトやセキュリティの専門家が新しいセキュリティの概念である「ゼロトラスト・アーキテクチャ(以下、ゼロトラスト)」の原則を理解する際に役立つガイドとして「Special Publication(SP)800-207 ゼロトラスト・アーキテクチャ」が発行されました(PwCコンサルティング合同会社が日本語翻訳版を公開)。リモートワークが企業に浸透し、アタックサーフェイス(攻撃対象領域)が急激に増加する昨今、このゼロトラストへの注目が世界的に高まっています。

「ゼロトラスト」とはアーキテクチャ、つまり概念であり、具体的なソリューションを示すものではありません。そのため、どの程度のリソースを投入し、どこから着手すべきかといった実装アプローチについて、多くの企業が課題を抱えています。そこでPwCコンサルティングは、この発展途上のセキュリティ概念であるゼロトラストの実装に先進的に取り組む国内企業の実体を明らかにし、今後、新たにゼロトラストに取り組む企業が検討時に役立てることを目的に、国内企業338社を対象にアンケート調査を実施しました。

今回の調査から、ゼロトラスト実装に先進的に取り組む企業は、コロナ禍によるリモートワークが進んだことを契機に検討を進め、主に従業員向けシステムを対象にゼロトラストの概念を取り入れていることが分かりました。また、セキュリティやネットワークにおける効果よりも「デジタルトランスフォーメーション(DX)の推進・多様な働き方の実現」が、ゼロトラスト実装により得られた効果として最も多く挙げられました。特に、部門横断的にゼロトラストを推進する企業や、その概念を深く理解している企業が、より多くの効果を得ていると言えます。一方で、ゼロトラスト実装の障壁は「コスト(時間・人・予算)」が最も多く、また期待した効果を得られていない企業も一定数存在することが明らかになりました。以下に、調査結果とそこから得られた示唆を紹介します。

2.ゼロトラストに取り組む国内企業の実体

(1)従業員規模「1,001人以上」、業種では「情報通信業」が、最も多くゼロトラストに取り組んでいる

今回の調査では、ゼロトラストに先進的に取り組む国内企業338社からアンケート結果を得ることができました。回答企業の属性データ(図表1)を見ると、業種では「情報通信業」が最も多く52.1%、次いで「製造業」が16.6%、「金融業、保険業」が8.9%と続きます。情報通信業が積極的にゼロトラストに取り組んでおり、製造業や金融・保険業でも取り組みや検討が進んでいると考えられます。また、従業員規模では、1,001人以上の企業が半数以上を占めることから、従業員数が多い企業で検討が進んでいる傾向にあることが分かります。なお、「ゼロトラストをすでに実装済みである」と回答した企業は、全体の38.5%(130社)でした。

図表1 回答企業の属性

(2)ゼロトラストに取り組むきっかけは、リモートワーク化が進んだこと

ゼロトラストに取り組むことになった契機を質問したところ、「コロナ禍によるリモートワーク化が進んだため」を選択する企業が最も多く39.3%、次いで「DXや働き方改革などIT戦略を見直すため」が26.6%、「複数のクラウドサービスの利用が進んだため」、「セキュリティインシデント・内部不正が発生/リスクが高まったため」が同列で24.6%、「ITシステムの入れ替え時期のため」が24.3%と続きました(図表2)。コロナ禍によりワークスタイルの急激な変更を余儀なくされた企業は少なくありませんが、オフィス以外での業務遂行を強いられたことが、ゼロトラストに取り組む最大の契機となったことが分かりました。

図表2 ゼロトラストの取り組みの契機

(3)対象システムはファイルサーバーやグループウェア

ゼロトラスト実装の対象システム(図表3)は、「ファイルサーバーやクラウドストレージ」である企業が最も多く55.0%、次に「オフィス系ソフトウェアやグループウェア」が49.7%、「基幹業務システム」が48.2%、「認証サーバー」が45.3%、「メールサーバー」が43.8%、「イントラネット、社内SNS」が40.5%、「データベース(DB)サーバー」が37.6%の順でした。このことから、多くの企業は従業員向けシステムをゼロトラストの対象としていることが分かりました。

図表3 ゼロトラスト実装の対象システム

(4)コスト(時間・人・予算)が最も大きな障壁

「ゼロトラスト実装にあたり障壁や課題を経験したか」という質問に対し、「経験した」と回答した企業は全体の85%(287社)に上りました(図表4)。障壁や課題の内訳は「コスト(時間・人・予算)が掛かり過ぎる/不足している」が最も多く68.6%、次いで「期待する効果が得られない」という不安が36.2%、「現状把握(システム・ユーザーニーズ)ができていない」が25.1%、「どこから取り組むべきか分からない」が20.2%、「経営層が協力的でない」が16.0%、「法規制遵守が難しくなる」が14.6%の順でした。「経営層が協力的でない」が2割を切る結果は、ゼロトラストに積極的な経営層が多い印象にも捉えられますが、この中には例えば推進には積極的に関与せず、情報システム・セキュリティ部門のような他部門に一任している経営層なども含まれるため、一概に積極的な経営層が多いとは言い切れません。

図表4 ゼロトラスト実装にあたっての障壁や課題

3.ゼロトラストから得られた効果

(1)ゼロトラストから得られた効果は「DXの推進・多様な働き方の実現」がトップ

ゼロトラスト実装済みの企業(130社)に対して「実際にゼロトラストから得られた効果は何か」と質問したところ、4割以上の企業が「DXの推進・多様な働き方の実現」を回答として挙げています(図表5)。次に「ネットワークやセキュリティのコスト削減」が37.7%、「データ流出リスク軽減といったセキュリティの向上」が32.3%、「リスク把握/対策の見直し機会の創出」が30.8%、「生産性の向上」が26.9%の順で多くなっています。セキュリティやネットワークの安全性が高まるのはもちろん、それによりいつでもどこでも働ける環境の整備が実現できた――。こうした実感が、「DXの推進・多様な働き方の実現」という回答に表れているようです。

本設問については、全体的に得られた効果への回答にはばらつきがありました。ゼロトラスト実装の目的や範囲が各社で異なるため、得られた効果も多様化したと考えられます。

図表5 ゼロトラスト推進により得られた効果

(2)ゼロトラストを実装したものの、得られた効果は期待値を下回る

上述のとおり、ゼロトラスト実装済みの企業(130社)においてはさまざまな効果が出ていますが、必ずしも「期待していた効果」を得られているわけではありません。図表6に、企業が期待していた効果と、実際にその効果を得られたかを、効果ごとにまとめました。結果、ほとんどの項目において、企業は期待したほどの効果を得られなかったことが分かりました。特に「ネットワークやセキュリティのコスト削減」、「データ流出リスク軽減といったセキュリティの向上」、「セキュリティリスク・対策状況の把握/見直し機会の創出」、「ネットワーク負荷の軽減」においては、10ポイント以上も期待値を下回りました。原因として、効果を体感するには実装後に一定の期間が必要なこと、期待値が高過ぎたことなどが考えられます。

図表6 ゼロトラストに期待していた効果と得られた効果のギャップ

(3)ゼロトラスト実装後、複数の効果を得ているのは「部門横断的に推進する企業」

ゼロトラスト実装済み企業のゼロトラスト推進体制から得られた効果の違いを分析すると、複数部門での推進が、より多くの効果を得られたとの実感をもたらすことが分かりました。「複数部門でゼロトラストを推進した企業」と「情報システム・セキュリティ部門のみでゼロトラストを推進した企業」を二分し、得られた効果を比較すると、前者がより多くの効果を実感しており、中でも「セキュリティ戦略の見直し機会の創出」や「DXの推進・多様な働き方の実現」、「データ流出リスク軽減といったセキュリティの向上」、「リスクの対策状況/見直し機会の創出」において、効果を得られたという回答が16.8ポイント~8.4ポイントも上回る結果になりました(図表7

ゼロトラスト実装の目的は企業によってさまざまですが、特にDXの推進や多様な働き方の実現を目指すのであれば、情報システム部門やセキュリティ部門のみならず、経営層や経営企画部門、監査部門などを巻き込み、全社的に施策を推進していくことで、当初の期待に留まらない効果がもたらされると推察します。

図表7 情報システム・セキュリティ部門のみでゼロトラストを推進した企業と複数部門で推進した企業の得られた効果の比較

(4)ゼロトラストの理解度が高い企業も、多くの効果を得ている

「ゼロトラストの理解度」という切り口で、得られた効果を分析したところ、明確な差異が浮き彫りになりました。ゼロトラストを「他者に説明できる程度理解している」企業は、「概要を理解している」「言葉を知っている」企業よりも「DXの推進・多様な働き方の実現」では約20ポイント、「ネットワークやセキュリティのコスト削減」では10ポイント以上、効果を得られていることが分かりました(図表8)。「他者に説明できる程度理解している」企業の特徴は、多くがゼロトラスト導入に際して、外部専門家に相談をしていることです(図表9)。この外部の専門家には、システムインテグレータやセキュリティベンダー、コンサルティングファームが含まれます。外部の専門家の知見を活用し、自身もゼロトラストを正しく理解することで、適用範囲の最適化や可能性の最大化を図ることが可能になると言えるでしょう。

図表8 ゼロトラストの理解度別に見る、得られた効果の比較
図表9 外部の専門家への相談の有無別にみるゼロトラストの理解度

4.国内企業への示唆

今回の調査で、セキュリティの新たな概念として近年注目を集めるゼロトラストの実装を先進的に取り組む企業においては、「セキュリティ」よりも「DXの推進・多様な働き方の実現」に、ゼロトラスト実装の効果が表れていることが明らかになりました。DXの推進や多様な働き方の実現は企業の経営戦略と密接に結び付くアジェンダであり、今後のビジネス展開に大いに影響をもたらし得ます。ゼロトラスト推進はそれらの経営アジェンダと親和性が高く、ニューノーマル時代の新しいビジネス形態に沿ったネットワークやセキュリティの在り方として、認知が広がり始めたのではないかと推察します。

一方で、ゼロトラスト推進に取り組む企業の多くが実装フェーズで障壁に直面しており、また実装済みとする企業が期待どおりの効果を必ずしも得られているわけではないことから、ゼロトラスト実装にはそれなりの難しさがあることが伺えます。そうした中でも、効果を得られている属性に倣い、期待どおりの効果を得るためには「推進方法の改革」が必要となることが見えてきました。具体的には、関係者の巻き込み、特に事業戦略を担う経営層や経営企画部門、また実際の利用者であるユーザー部門、さらに内部監査を行うリスク・監査部門など、ゼロトラスト推進に向けて理解を得るべきステークホルダーとの合意形成を図ることが必要です。関係者が増えれば増えるほど、実装に際する障壁は多くなるでしょう。このことから、目的と効果を照らし合わせながら、慎重にプロジェクトを推進していく必要があると言えそうです。

「セキュリティ」とは、企業がビジネスを推進するために不可欠な「一機能」です。しかしながら、いまだ国内外の多くの企業が、セキュリティをビジネスと切り離して考える傾向にあります。これにより、ビジネスの運用形態に沿わないセキュリティ戦略を設計してしまったり、ビジネスにマッチした最適な予算配分やリスクへの正しい対処・判断が難しくなったりしているケースは少なくなく、企業にとって大きな課題の一つと言えます。ゼロトラストが、ニューノーマル時代のビジネスを構成する一機能として、働き方に多様性をもたらすITの新しい形(ユースケース)として、セキュリティとビジネスの整合性を取る役目を担い、こうした課題を解決することが期待されます。

繰り返しになりますが、ゼロトラストはあくまで概念であり、現時点では定まった、またはベストプラクティスと呼べるシステム構成は存在しません。今後数年を掛けて、ゼロトラストのモデルやベストプラクティスが形成・確立されていくでしょう。そうした中、ゼロトラスト実装に積極的に挑戦する企業が、自社のビジネスと整合性のあるゼロトラストを慎重に検討される際に、本調査をお役立ていただければ幸いです。

ゼロトラストに関するインサイトについては以下もご覧ください。

<インサイト>NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳

<インサイト>ゼロトラストへの移行に際する検討・留意事項

<インサイト>ゼロトラストの実現に必要な機能および構成の例

{{filterContent.facetedTitle}}

主要メンバー

上杉 謙二

ディレクター, PwCコンサルティング合同会社

Email

愛甲 日路親

シニアアソシエイト, PwCコンサルティング合同会社

Email