米クラウドフレアがこのほど、オーストラリアやインド、日本、マレーシア、シンガポールのITシステムやサイバーセキュリティの意思決定者にゼロトラストなどに関する意識調査を実施した。それによると、54%(日本は45%)が21年は前年に比べて、「セキュリティ・インシデントが増加した」と回答した。とくにパンデミックが組織のITセキュリティに対する取り組み方に影響を与えたという。
その1つは、リモートワークになる。働き方の変化に対応するセキュリティ対策も求められており、策の1つがゼロトラストになる。「ゼロトラストをよく理解している」と「極めてよく理解している」との合計回答は78%(日本は49%)にもなる。しかも、ゼロトラストを導入していない組織の87%が今後、全体的なセキュリティ戦略の中にゼロトラストを組み込むことを検討していると回答する。ただし、日本は49%にとどまる。情報不足にも起因するようだ。
同社によると、これまでのセキュリティ対策は「城と砦」モデルのアプローチを採用し、組織のネットワークと外部の脅威の間に障壁を設けた。だが、アプリがクラウドに移行し、多くの従業員が自宅などオフィス外からネットワークに接続するようになり、そのモデルは崩壊した。そこで、企業のデータやリソースに対するリクエストを無条件で信頼せずに、システムへ接続する全アクセスを一度検証してから許可をする「ゼロトラスト・アプローチ」が必要不可欠になってきたと説く。
だが、日本企業にゼロトラストの導入気運は高まらない。最大の理由はゼロトラストに関するセキュリティベンダーが提供する情報が不足していること。信頼しないという考え方は、セキュリティの基本なのに、あえて提唱することに疑問もあるからだろう。それが実現できるなら、万全な対策になるのかも疑問だからだろう。(田中克己)