パロアルトネットワークス株式会社は9月30日、国内企業のゼロトラストに関する取り組みの現状と課題を明らかにすべく実施した「ロード・トゥ・ゼロトラスト ジャパンサーベイ 2021年版」の調査結果を発表した。 本調査は、従業員500人以上の民間企業のサイバーセキュリティ分野の決裁権者や意思決定者、関与者401名を対象に実施、企業の全20項目のセキュリティ対策の実施状況について、ゼロトラストの原則に基づき評価し、合計スコア(満点100点)に応じて20点刻み5段階(レベル1から5)の「ゼロトラスト成熟度」を独自に算出している。 本調査によると、ゼロトラスト関して情報収集や検討、または採用中、採用済みであると回答した国内企業は88%に上る一方で、国内企業の「ゼロトラスト成熟度」は平均56点、最高レベルの企業は13%にとどまる結果となった。 「ゼロトラスト成熟度」レベル5の企業の63%、ゼロトラスト採用済み企業の75%は、サイバーセキュリティを「コスト」ではなく「投資」と位置付ける一方、成熟度レベル1から4の企業及びゼロトラスト未採用企業で「投資」と位置付けているのはそれぞれ16%、12%にとどまっており、ゼロトラストの採用、セキュリティ強化には、サイバーセキュリティを投資と位置付ける企業のマインドセットの変革が不可欠であると指摘している。 またゼロトラストの定義について質問したところ、ゼロトラストの原則である「場所を問わずすべてのリソースから信頼を排除するもの」と回答したのは全体の34%で、成熟度レベル5の企業及びゼロトラスト採用済み企業はそれぞれ78%、77%が同原則を認識する一方、成熟度レベル1から4の企業及びゼロトラスト未採用企業はそれぞれ27%、26%にとどまっており、ゼロトラストの解釈に大きな格差があることが明らかになった。 さらに「ゼロトラスト成熟度」レベル5の企業とそれ以外の企業では、「保護対象領域の明確化」、「最小特権の原則」、「場所を問わない一貫した動的ポリシー」、「コンテキストベースの動的なアクセス制御」といったゼロトラストの原則に密接な対策に大きな格差が見られた。
