Okta Japan株式会社(本社: 東京都渋谷区、代表取締役社長: 渡邉 崇)は、日本を含む世界中の組織が現在どのようにアイデンティティを中心とするゼロトラスト導入に取り組んでいるのか、今後18ヶ月の間にどこに向かおうとしているのかなどを調査したゼロトラスト導入実態調査「The State of Zero Trust Security 2021」の結果を公表しました。本調査は、700人のセキュリティリーダー(日本100人、APAC300人、EMEA100人、北米100人、グローバル2000企業100人)を対象に実施しました。
ニューノーマルの新しい働き方やセキュリティの脅威に対応するため、組織の多くは、顧客や従業員、企業の安全性を高めるため、従来のセキュリティアプローチを見直し、ゼロトラストのフレームワークを導入することを検討しています。しかし、実際にゼロトラスト導入にあたってどこから始めたら良いのか分からない組織が多いのが現状だと思われます。Oktaでは、ゼロトラストの原則である、あらゆるアクセスを「信頼せず、常に検証する」には、アイデンティティとアクセス管理(Identity and Access Management = IAM)を基盤とするゼロトラストに取り組むことが最も良い出発点になると確信しています。このことは業界アナリストや政府機関もゼロトラストの取り組みとして推奨しています。実際、今回調査を行うことによって、世界中でアイデンティティを中心とするゼロトラスト導入が急速に進んでいることが明らかになりました。
調査結果のポイント
ポイント1:パンデミックの影響で、ゼロトラストの優先順位が高まっています。
ゼロトラストの取り組みを実施しているか聞いたところ、すでに実施しているところを含めて今後18ヶ月の間で全世界の7割〜9割以上がゼロトラストの取り組みを実施すると回答しています。しかし、ゼロトラストの取り組みの予定がないと回答した割合を見ると、日本が他国より高い結果でした。また、ゼロトラストに取り組んでいる組織のうち、世界全体では、新型コロナウイルスにともなうリモートワークの拡大によって、約8割近くがゼロトラストの優先度が高まった、もしくは最優先課題になったと回答しています。特に、日本ではゼロトラストが最優先課題になったと回答している割合が他国より高くなっています。
ポイント2:アイデンティティが新たな境界線です。
アイデンティティが新たな境界線となることで、IAMはユーザー、デバイス、データ、ネットワークの中央の管理ポイントとなります。ゼロトラストを実施する上で重要な要素のランキングについて尋ねたところ、第1優先事項が「人」、次いで「デバイス」となりました。従業員、顧客、パートナー、請負業者、サプライヤーなどの人を重視し、従来のネットワークベースから、人やデバイスを重視する方向に移行しています。日本では、「ネットワーク」を重視する割合が他国より高い一方で、「デバイス」を重視する割合が極めて低い結果でした。
ポイント3:アイデンティティ中心のゼロトラスト導入が急速に進んでいます。
組織がアイデンティティ中心のゼロトラスト導入に取り組む際には、4つのIAM成熟度(ステージ0〜3)の段階をたどることが分かっています(注1)。この成熟度の各ステージにおける全てのゼロトラストプロジェクトの採用率は、2023年までに少なくとも日本では約10%、その他の国では約25%になるでしょう。この数値は、フォーブスのグローバル2000企業では約40%以上にまで跳ね上がります。
ポイント4:アイデンティティ中心のゼロトラストの取り組みで日本が他国より遅れています。
「従業員ディレクトリ(従業員情報)とクラウドアプリの連携」の導入状況について質問したところ、すでに連携していると回答した割合が、日本で40%であるのに対して、それ以外の国では84%がすでに連携済みと回答しており、日本での取り組みが大幅に遅れています。
また、ステージ1の5つのプロジェクトの1つである「従業員を対象にしたシングルサインオンの導入」状況において、すでに導入済みと回答したのが日本で53%であるのに対し、日本以外の調査対象国やグローバル2000企業では90%以上がすでに導入済みと回答しています。さらに、「従業員を対象にしたMFAの導入 」においても、すでに導入していると回答した割合が日本で37%であるのに対し、日本以外の国やグローバル2000企業では80%以上で導入が完了しており、ここでも日本での取り組みが遅れている傾向が見られました。
ポイント5:企業はIAMの成熟度が高いステージのプロジェクトを強化しています。
IT部門とセキュリティ部門のリーダーたちは、即効性のあるプロジェクトだけではなく、今後18ヶ月の間に優先的に取り組むべきゼロトラストプロジェクトとして、IAMの成熟度が高いステージのプロジェクトを挙げる企業が多くなっています。例えば、ステージ2のコンテキストベースのアクセスポリシー、従業員のプロビジョニングとデプロビジョニングの自動化、ステージ3のパスワードレスアクセスの導入を優先しています。
今回の調査結果について、Okta Japan株式会社の代表取締役社長、渡邉 崇は、次のように述べています。「このプレスリリースで紹介したポイントは調査結果の一部ですが、世界中でアイデンティティを中心とするゼロトラスト導入が進んでいる状況を垣間見ることができます。どのような組織でも一夜にしてゼロトラストを実現することはできなく、場所、デバイス、ネットワークに関係なく、様々なユーザーのアクセスを保護するためのアイデンティティ中心のゼロトラストを段階的に整えていくことをOktaでは推奨しています。今回ご紹介したIAM成熟度で各組織がどこまで達成しているのか、今後どのような対策が必要なのかを知るため、無償のアセスメントツールを公開していますので、ご活用頂ければ幸いです。」
調査方法について
本調査は、OktaがPulse Q&Aと楽天インサイトに委託をして、700人のセキュリティ意思決定者を対象にオンラインで実施しました。Pulse Q&Aが日本以外のグローバル企業のセキュリティ意思決定者600人を対象に実施し、楽天インサイトが日本国内のセキュリティ意思決定者100人を対象に調査を実施しました。700人の回答者の内訳は、日本100人、APAC300 人、EMEA100人、北米100人、グローバル2000企業100人となります。調査実施期間は、2021 年の3月から5月。
日本の回答者の対象者条件:
- 20‐79歳男女会社員(従業員数500名以上の会社に所属)
- 企業のセキュリティ担当者(情報システム部所属を想定)
- 役職はチーフセキュリティオフィサー、ディレクター、バイスプレジデントから課長以上
調査結果の完全版レポートはこちらからダウンロードできます。
ゼロトラスト導入実態調査「The State of Zero Trust Security 2021」