Okta Japan株式会社(本社: 東京都渋谷区、代表取締役社長: 渡邉 崇)は、企業におけるゼロトラストの取り組み状況を調査した最新レポート「The State of Zero Trust Security 2023」(https://www.okta.com/jp/state-of-zero-trust/ )の調査結果を発表しました。本調査は、世界中の800人以上の情報セキュリティ意思決定者を対象にして、ゼロトラストの導入が現在どのような状況にあるのかを調査しました。
ゼロトラストへの取り組みが拡大
ゼロトラストの取り組みを策定し実施している組織の数が増え続けています。ゼロトラストに取り組んでいる組織の割合は、2021年には調査対象の24%でした。しかし、2022年には半数を超え、今年はさらに61%へと増加しました。より多くの企業がゼロトラストの取り組みを急務として実施に移しています。
ゼロトラスト戦略におけるアイデンティティの重要性
ゼロトラストの取り組みを推進する上で、アイデンティティの重要な役割がますます明確になりつつあります。ゼロトラストセキュリティ戦略全体でアイデンティティが「非常に重要」であると回答した割合は、昨年は世界平均で 27%にとどまりましたが、今年は51%まで増加しました。
地域別に見ると、北米での割合が最も高く、回答者の64%がアイデンティティを「非常に重要」であると考え、32%が「ある程度重要」であると考えています。EMEAとAPJの両地域では、「非常に重要」と回答した割合はそれぞれ50%と44%、「ある程度重要」と回答した割合はそれぞれ42%と46%ですが、アイデンティティの重要性について「どちらとも言えない」と答えている回答者がそれぞれ7%と8%でした。APJ地域では、アイデンティティの重要性について「あまり重要でない」 または「まったく重要でない」を選択した回答者が少数ながら(2%)存在します。
日本では39%が「非常に重要」、35%が「ある程度重要」と回答している一方、19%が「どちらともいえない」、7%が「あまり重要でない」 または「まったく重要でない」と回答しており、世界全体と比較するとアイデンティティの重要性に関する認識が浸透していない傾向が見受けられます。
変化しつつあるアイデンティティ管理の責任
セキュリティに対する企業のアプローチの急速な進化 は、組織におけるどの部門がアイデンティティ管理のコントロールを担っているのかを調査することによっても理解できます。これまでアイデンティティ管理は、主にIT部門が担当していましたが、フィッシングのようなアイデンティティベースの脅威が攻撃の主流となる状況が続く中、近年はセキュリティ部門へと責任が移行しつつあります(Verizonの2023年データ漏洩調査報告書によると、昨年起きた侵害の74%で人的要素が関与しています)。
現在、北米では73%の組織でセキュリティ部門がアイデンティティ管理を全面的に担当しており、EMEAでは50%に上ります。APJでは、担当部門はより分散しており、セキュリティ部門にアイデンティティ管理の全面的な管理を委ねている組織は41%にとどまっています。APJの56%の組織では、セキュリティ部門がアイデンティティを監督するか、テクノロジーを管理するかのどちらかであり、 両方を担っていません。日本では、45%の組織でセキュリティ部門が全面的な管理を担っている一方、38%の組織では部分的な管理、17%の組織では別の組織での管理となっており、他国と比較して、担当部門がさらに分散している傾向が見られます。
今後取り組む予定のゼロトラストソリューション
毎年、今後12~18ヶ月以内に取り組む予定のゼロトラストソリューションについて質問しています。今年のデータを掘り下げると、地域差が見えてきます。すべてのタイプのセキュリティ対策について、北米の組織は優先的に取り組む傾向があり、具体的な計画としてはクラウドへの特権アクセスの管理とプロビジョニング/デプロビジョニングの自動化が上位に挙げられました。EMEAでは、従業員向けのMFAの導入、APIへのアクセスの保護、従業員ディレクトリとクラウドアプリの接続が最優先の取り組みとして挙げられました。APJ地域の企業は平均して、セキュリティに優先的に取り組むと回答する割合がやや低くなりましたが、全体として計画の対象が分散し、クラウドインフラストラクチャへの特権アクセスの管理とAPIへのアクセスの保護を筆頭に、従業員向けのMFAの導入、パスワードレスアクセスの導入、従業員ディレクトリとクラウドアプリの接続が挙げられました。
日本では、従業員ディレクトリとクラウドアプリの接続や、従業員向けのシングルサインオン導入、パスワードレスアクセスの導入などが比較的上位に挙げられていますが、他国と比較して、クラウドインフラストラクチャへの特権アクセスの管理や、従業員や外部ユーザー向けのプロビジョニング/デプロビジョニングの自動化、外部ユーザー向けのシングルサインオン導入などの取り組みが遅れている傾向がみられます。
本調査について
本調査はQualtricsに委託して、2023年4月に全世界のさまざまな業界で情報セキュリティの意思決定者を対象に調査を実施しました。情報セキュリティの意思決定者とは、「テクノロジー購入の意思決定に責任を負うディレクター以上の従業員」と定義されます。調査のサンプル総数は、北米(米国、カナダ)、 EMEA(デンマーク、フィンランド、フランス、ドイツ、 アイルランド、オランダ、ノルウェー、スウェーデン、 英国)、APJ(日本、オーストラリア)の情報セキュリティ意思決定者860人です。調査は13 か国のQualtricsパネルを通じて英語と日本語で行われました。
本調査の詳細は以下をご覧ください。
https://www.okta.com/jp/state-of-zero-trust/
配信元企業:Okta Japan株式会社
コメント