最新の調査によると、CISOの88%がZero Trustの導入に苦戦している。
Gannvector – shutterstock.com
最新のアクセンチュアのレポートによると、セキュリティ責任者のほぼ9割(88%)が、自社でZero Trustを導入するのに大きな困難を感じている。「この弱点は物理的な世界にも及び、80%がサイバーフィジカルシステムを効果的に保護できていない」と同調査は続けている。
他の市場調査会社は異なる結果を出しているが、企業が同様の不安を抱えていることは共通している。2024年のGartnerの分析によれば、世界の組織の63%がすでにZero Trust戦略を完全または部分的に導入しているという。「この積極的な動きにもかかわらず、企業はZero Trust導入のベストプラクティスが何か確信を持てていない」と、当時GartnerのVPアナリストであるジョン・ワッツ氏は指摘した。
Entrust Cybersecurity Instituteの別の調査では、近年Zero Trustの導入が進んでいるものの、ドイツはまだ遅れをとっていることが明らかになった。2024年には平均61%の企業がZero Trustの導入を開始していたが、ドイツ国内ではわずか53%だった。
「西側企業は問題やリスクを認識してはいるものの、現時点ではZero Trustの導入ができていないようだ」とEntrust調査の著者らは結論づけている。
Zero Trust導入の障壁
多くの企業がZero Trustを非常に多様に定義していることが問題の一因と考えられる。しかし、Zero Trustは仕様というよりもセキュリティアプローチである。
「私はよく、人々がこの用語の意味を理解していないと感じます。ある人は製品だと言い、別の人には違う意味を持つ」とWorld Wide Technologyのアイデンティティアーキテクト、カレン・アンダーセン氏は語る。「マーケティング用語と見なされることも多いですが、その背後にある戦略は信じています」と彼女は付け加えた。
さらに、Zero Trustアプローチには一般的な実装方法が存在しない。企業環境は非常に多様であるため、導入時にはコンプライアンス、地理的条件、業界、パートナーの種類などが影響する。加えて、オンプレミス、クラウド、リモート拠点、IoT、レガシーシステムなどの特性も大きく異なる可能性がある。
「これは戦略的な変革であり、戦術的な実装ではありません。そのため業界全体で大きな困難が生じているのです」とTata Consultancy Servicesのサイバーセキュリティグローバルプラクティス責任者、プラシャント・デオ氏は説明する。企業レベルでZero Trustを導入するのは困難な課題であり、段階的かつアプリケーション指向のアプローチが必要になることもある。
デオ氏は、Zero Trustの考え方が従来の企業のセキュリティ運用方法と根本的に矛盾していると指摘する。「何十年もの間、セキュリティはネットワーク境界内での暗黙の信頼を前提としていました。」Zero Trustモデルはこの考え方を完全に覆すものだ。
このサイバーセキュリティ専門家は、「組織全体を『決して信頼せず、常に検証する』文化に転換することは、重大かつ困難な変革です」と強調する。
このような背景から、World Wide Technologyのアンダーセン氏は、アクセンチュアの調査で「わずか」88%のCISOがZero Trust導入を困難と感じたと答えたことに驚きを示した。「問題がなかったという12%の人たちにぜひ会ってみたいですね」と彼女は冗談を言った。
Zero Trust:終わりなき旅
技術専門家によれば、包括的なZero Trustコンセプトの実現には10年以上かかる場合もあり、「そもそも完了するかどうかも分からない」と言う。彼女は「Zero Trustに終わりがあるとは思えません」と付け加えた。
また、長年フォーシーズンズホテルチェーンで情報セキュリティマネージャーを務めたサレハ・ハムダン・アル=ブアリー氏も、Zero Trustの複雑さや導入のための具体的なインセンティブの欠如を懸念している。「これをやるインセンティブは全くありません」と、現在AIスタートアップのセキュリティ責任者を務めるアル=ブアリー氏は語る。彼はZero Trustを、Unixのtrusted hostの原則とは正反対のものと定義している。trusted hostでは特定のユーザーがパスワードなしでアクセスできるが、Zero Trustはこれを否定する。「ビジネスの足かせになります。Zero Trustは完全に導入しないと意味がありません。それまでは利点を享受できません。」
Zero Trustが成功するためには、取締役会やCEOからCISOオフィスまで、トップマネジメント主導で推進される必要があると彼は強調する。これは生成AIと同様だ。
Moor Insights & Strategyの副社長兼主任アナリスト、ウィル・タウンゼント氏は、資金面も重要だと補足する。典型的なCISOの報酬体系が、Zero Trustの積極的な導入を妨げているという。
「報酬は通常、[Zero Trust]の目標に連動していません。ほとんどの上場企業は四半期ごとに動いています」とタウンゼント氏。「評価されるのは、事業部門の生産性向上やニッチサービスの収益化能力を高めることです。クラウドセキュリティの方が優先度が高い。セキュリティ衛生の改善による即時のROIをどう証明するのでしょうか?」
Tataのデオ氏は、企業のグローバルな脅威状況の透明性の欠如も、Zero Trust導入を難しくしている要因だと考えている。
「企業はしばしば、主体とリソース間のデータフローを十分に把握できていません。そのため、現状のアクセスパターンやZero Trustアクセスの必要性を特定するのが難しいのです」とデオ氏。「ユーザーやデバイスの現状を継続的に監視・検証する能力も、真のZero Trust導入の障壁となっています。」
ニュースレターを購読する
編集部から直接あなたの受信箱へ
まずは下記にメールアドレスを入力してください。
翻訳元: https://www.csoonline.com/article/4050543/zero-trust-bereitet-cisos-probleme.html