サイバー攻撃が組織をますます脅かすようになるにつれ、ゼロトラストは機密データや資産を保護するための頼りになる手段となっています。ゼロトラストは必要に応じてアクセスを制限でき、より強力な保護を約束するため、多くの組織で注目されています。
しかし、このタイプのセキュリティを導入するのは、指を鳴らすほど簡単ではありません。セキュリティプロバイダーのBanyan Securityが火曜日に発表したレポートでは、ITおよびセキュリティ専門家によるゼロトラストに対する姿勢と意図が分析されています。
セキュリティ専門家は、VPNよりもゼロトラストを優先している
バンヤン・セキュリティは、Sapio Researchに委託し、「安全なリモートアクセスに関するITとセキュリティの意識」というレポートを作成しました。このレポートでは、米国とカナダのITおよびセキュリティ専門家1,025名を対象に調査を行いました。この調査では、ゼロトラストとVPNの両方について認識しているITまたはセキュリティの責任者410名からも回答を得ました。
新型コロナウイルス感染症のパンデミック発生に伴い、リモートワークやハイブリッドワークへの移行が進む中、多くの組織がリモートワーカーに安全なネットワークアクセスを提供するためにVPNを導入しました。しかし、VPNには一定の制限と弱点があります。そのため、より強固なセキュリティ、より快適なユーザーエクスペリエンス、そして優れたパフォーマンスを約束するゼロトラストは、より優れた代替手段とみなされています。
セキュリティ専門家がゼロトラストの実装に時間がかかるのはなぜでしょうか?
調査対象となったITおよびセキュリティ専門家のうち、97%がゼロトラストを自社の優先事項と見なしています。しかし、ゼロトラストモデルの導入初期段階にあるのはわずか14%、実際に導入を開始しているのはわずか17%です。多くの専門家がゼロトラストを優先事項と考えているのに、なぜもっと多くの専門家が導入しないのでしょうか。
参照:サイバーセキュリティ:組織はゼロトラスト導入において主要な障害に直面(TechRepublic)
既存のセキュリティインフラへの満足
一つの障害は、セキュリティ担当者のほとんどが既存のテクノロジーに満足していることです。回答者の約92%が、現在のリモートアクセスプラットフォームが不正アクセスから組織を効果的に保護していると確信しています。
さらに詳しく調査すると、回答者の92%が既存のリモートアクセス製品の管理者エクスペリエンスに満足しており、88%がエンドユーザーエクスペリエンスにも満足していると回答しました。つまり、現在のソリューションがうまく機能しているように見える場合、多くのセキュリティリーダーは変更する必要はないと考えているのです。
複雑な実装プロセス
ゼロトラストへの道のりにおけるもう一つの課題は、その構築プロセスです。回答者の69%は、ゼロトラストの実装は大規模、あるいは非常に大規模な取り組みになると考えています。さらに、現在VPNを利用しているユーザーの約30%は、現在の環境でゼロトラストを実装するのは困難だと考えています。
ゼロトラストの実装にかかる時間とコスト
もう一つの障害は時間です。ゼロトラストに着手した組織は、導入に平均で約12か月を要しました。時間とともにコストも発生します。調査対象者の約62%が、ゼロトラスト導入の障壁としてコストと予算の制約を挙げています。
ゼロトラストの実装に関するアドバイス
ゼロトラストの導入を検討しているか、既存のVPNテクノロジーを維持しているかに関わらず、回答者の93%が今年または来年に既存のソリューションを強化する予定であると回答しました。ゼロトラスト導入を検討している回答者は、より安全なリモートアクセス、エンドユーザーエクスペリエンスの向上、VPNの脆弱性の低減など、導入の理由をいくつか挙げました。
ゼロ トラストを優先事項と考えているものの、導入に際しての障害を懸念している組織に対して、Banyan Security はアドバイスを提供しています。
参照: ゼロトラストリーダーは平均して年間5件のサイバー災害を回避している (TechRepublic)
「ゼロトラスト・インフラを導入する際の目標は、従業員が業務を遂行するために必要なリソース、アプリケーション、インフラに安全かつ容易にアクセスできるようにすることです」と、Banyan SecurityのCSO、デン・ジョーンズ氏はTechRepublicに語った。「この目標は無限の影響を与える可能性がありますが、具体的なビジネス成果に着目することをお勧めします。」
CISO(最高情報セキュリティ責任者)は、限られた予算をどこに費やすかという課題に直面しており、成果の出る分野に投資したいと考えています。そのため、ジョーンズ氏によると、彼らは人材育成や過去のデータ侵害に関連した投資に重点を置くことが多いとのことです。重要なのは、ゼロトラストがこれらのシナリオに対する適切な対応策であることを説得することです。
ゼロ トラスト実装に向けたもう 1 つのヒントは、アプリケーションまたはビジネス グループごとに段階的に展開することです。
「企業全体に一度に影響を及ぼすのではなく、組織内の特定の部門やチームに焦点を当てることができます」とジョーンズ氏は説明します。「時間の経過とともに、適切に機能する導入により、最終的にはすべてのアプリケーションと企業リソースがゼロトラスト・プラットフォームに結び付けられ、従業員全員がゼロトラスト・プラットフォームを活用するようになります。」
