88%のCISOがゼロトラストの導入に苦労している

アクセンチュアの最近のレポートによると、セキュリティリーダーのほぼ10人中9人がゼロトラスト導入の試みにおいて大きな課題を経験しています。ゼロトラスト導入の包括的な性質、部門責任者からの強い反発、意味のあるROIを得るまでに非常に長い時間がかかることが、CISOがゼロトラストに不満を感じる主な要因だと業界アナリストやセキュリティ専門家は述べています。

「ゼロトラストという基本的なセキュリティフレームワークの導入でさえ、組織の88%にとって大きな課題となっています」とアクセンチュアのレポートは述べています。「この脆弱性は物理的な世界にも及び、80%がサイバーフィジカルシステムを効果的に保護できていません。」

多くの企業がゼロトラストを非常に異なる形で定義していることも大きな課題の一因です。ゼロトラストは仕様というよりもセキュリティアプローチであり、多くのCISOが自組織でゼロトラストの推進に大きな成功を収めていることも事実です。 

さらに、各企業環境が独自であるため、ゼロトラストの具体的な実装方法が定められていません。コンプライアンス、地域、業種、組織のシステムにアクセスする必要があるパートナーなどの性質が大きく異なるだけでなく、オンプレミス、クラウド、リモート拠点、IoT、レガシーシステムなどの要素も多様です。

「これは戦術的な導入ではなく戦略的な変革です。だからこそ業界全体でこれほど広範な苦労が見られるのです」と、Tata Consultancy Servicesのサイバーセキュリティグローバルプラクティス責任者プラシャント・デオ氏は語ります。「企業レベルでゼロトラストを導入するのは困難な作業であり、段階的かつユースケース中心のアプローチがゼロトラストの道のりの一部として必要になることもあります。」

デオ氏は、ゼロトラストの考え方は、企業が従来から取ってきたセキュリティアプローチとは根本的に相反すると主張します。

「何十年もの間、セキュリティはネットワーク境界内の暗黙の信頼という前提で構築されてきました。ゼロトラストモデルはこの考え方を完全に逆転させるものです」とデオ氏は指摘します。「組織全体を『決して信頼せず、常に検証する』文化へと転換するのは、非常に大きく困難な変化です。」

レックス・ブース氏（SailpointのCISO）は、定義の混乱が多くの摩擦の原因だと述べています。

「ゼロトラストは人によってさまざまな意味を持ちます。私たちはゼロトラストの意味を独占したり、『これが唯一のゼロトラストのやり方だ』と理想化したモデルを提示したくはありません」と彼は言います。

カレン・アンダーセン氏（World Wide Technologyのアイデンティティアーキテクト）も、ブース氏と同様にこの用語の曖昧さに同意しています。

「多くの人がこの用語をどう捉えていいかわからないのだと思います。ある人は製品だと言いますが、人によって意味が異なります」とアンダーセン氏は言います。「マーケティングのバズワードと見なされることも多いですが、その背後にある戦略には賛同しています。」

実際、アンダーセン氏は、ゼロトラストの導入が困難だと答えたセキュリティ幹部が88%しかいなかったことに驚いています。

「苦労していない12%の人たちに会ってみたいですね」と彼女は冗談を言います。 

終わりなき道のり

アンダーセン氏によると、本当に包括的なゼロトラスト導入には10年以上かかることもあるそうです――もし完了することがあればの話ですが。 

「ゼロトラストを経営層に説明する際、10～12年のロードマップ戦略だと伝えています。本当の基盤を築くにはそれだけかかるのです」と彼女は言います。「ゼロトラストに終わりはないと思います。」

サレハ・ハムダン・アル＝ブアリー氏（フォーシーズンズホテルチェーンで情報セキュリティマネージャーを長年務めた）は、ゼロトラストの複雑さと、それを実現するための具体的なインセンティブの不足を懸念する長年のサイバーセキュリティ幹部の一人です。

「それをやるインセンティブは全くありません」と現在はステルスAIスタートアップのセキュリティリーダーを務め、ゼロトラストをUnixのtrusted hostの逆と定義するアル＝ブアリー氏は言います。「ビジネスのスピードが遅くなります。ゼロトラストは完全に導入しない限り実現できません。それまでは何のメリットも得られません。」

アル＝ブアリー氏は、ゼロトラストを成功させる唯一の方法は、取締役会やCEOからCISOのオフィスまでトップダウンで推進することだと強調します。これは生成AIが推進された方法と似ています。 

「取締役会や経営陣に、なぜそれが必要なのかを説得しなければなりません」と彼は言います。

ウィル・タウンゼント氏（Moor Insights & StrategyのVP兼主席アナリスト）は、典型的なCISOの報酬体系が、積極的なゼロトラスト導入を妨げていると述べています。

「報酬は通常、[ゼロトラストの]目標と連動していません。ほとんどの上場企業は四半期ごとに動いています」とタウンゼント氏は指摘します。「重視されるのは、事業部門（LOB）の生産性向上や、ニッチサービスの収益化能力です。また、クラウドセキュリティの優先度も高まっています。セキュリティ衛生の向上による即時のROIをどう説明できるでしょうか？」

Tataのデオ氏は、ゼロトラストの道のりに摩擦を生むもう一つの要因として、企業全体のグローバルな脅威状況の可視性の欠如を挙げています。

企業はしばしば「主体とリソース間のデータフローの可視性が低く、現在のアクセスパターンやゼロトラストアクセスの必要性を把握するのが困難です」とデオ氏は言います。「ユーザーやデバイスの現状を継続的に監視・調査する能力も、本当のゼロトラスト導入を阻む要因となっています。」