ゼロトラスト戦略導入に必要な3つのトッププラクティスとは Gartnerが概説:「ゼロトラスト戦略は通常、組織の環境の半分以下にしか対応していない」
Gartnerが実施した調査によると、ゼロトラスト戦略を導入する組織は63%に上るが、実装のためのトッププラクティスについて組織はよく理解できていないという。ゼロトラスト戦略を導入するセキュリティリーダーに対して、推奨される3つの主要なトッププラクティスをGartnerが概説した。
Gartnerは2024年4月22日(米国時間)、セキュリティリーダーを対象にした調査結果を公開した。調査によると、世界中の組織の63%がゼロトラスト戦略を完全または部分的に導入しているという。加えて、ゼロトラスト戦略への投資額はサイバーセキュリティ予算全体の25%未満に相当することが分かった。
調査は、2023年第4四半期にセキュリティリーダー303人を対象としてGartnerが実施した。ゼロトラスト戦略を(完全にまたは部分的に)導入済み、または導入を計画している組織のうち56%は、主な理由として「業界全体でその戦略が推奨されていること」を挙げた。彼らは、ゼロトラスト戦略の採用が一般的なベストプラクティスと考えているという。
Gartnerのバイスプレジデントアナリスト兼KIリーダーのジョン・ワッツ氏は、次のように指摘する。「ゼロトラスト戦略が業界のベストプラクティスであるという信念があるのにもかかわらず、企業はゼロトラスト実装のためのトッププラクティスがどのようなものなのかよく分かっていない。ほとんどの組織にとって、ゼロトラスト戦略は通常、組織の環境の半分以下にしか対応しておらず、企業におけるリスク全体の4分の1以下しか軽減しない」
Gartnerは、ゼロトラスト戦略を導入するセキュリティリーダーに対して、推奨される3つの主要なトッププラクティスを以下のように概説した。
1.ゼロトラスト戦略の適用範囲を早期に確立する
ゼロトラストの導入を成功させるには、組織がカバーする環境の範囲、どのドメインが対象で、どの程度のリスクを軽減できるかを理解する必要がある。
ゼロトラスト戦略の範囲には、通常、組織の環境全てが含まれるわけではない。ただし、調査回答者の16%は、組織環境の75%以上をカバーすると回答し、組織環境の10%未満しかカバーできないと考えているのは11%にすぎない(下図参照)。
ワッツ氏は次のように述べる。「ゼロトラスト戦略にとって、範囲の決定は最も重要なものだ。企業リスクはゼロトラスト対策の範囲よりもはるかに広く、軽減できる企業リスクは限られている。しかし、リスク削減とセキュリティ態勢の改善を測定することは、ゼロトラスト管理における成功の重要な指標だ」
2.ゼロトラストの戦略・運用指標を通じて成功を伝える
ゼロトラストを全面的、または部分的に導入した組織の79%は、進捗(しんちょく)状況を測定するための戦略的指標を持っており、そのうちの89%はリスクを測定するための指標を有している。ゼロトラストの取り組みの59%がCIO(最高情報責任者)やCEO(最高経営責任者)、社長や取締役会などによって支援されているため、セキュリティリーダーは、これらの指標を伝える際にも、聞き手を考慮する必要がある。
この点に関してワッツ氏は「ゼロトラストの指標は、エンドポイントの検出と対応の有効性など、他の領域で使用される指標を焼き直すのではなく、ゼロトラストの成果物に合わせて調整する必要がある。ゼロトラストの取り組みは、ネットワークにおけるマルウェアのラテラルムーブメント(水平展開)の削減など、既存のサイバーセキュリティ指標では捉えられない特定の成果をもたらす」 との見解を示している。
3.人員とコストは増加するが、遅れは生じないと予測
62%の組織がゼロトラスト導入の結果、コストが増加し、41%の組織が要員数も増加すると予測している。
「ゼロトラスト戦略を採用する組織における予算への影響は、導入の範囲や、計画プロセスの初期段階でゼロトラスト戦略がどの程度強固であるかによって異なる。ゼロトラスト戦略は、本質的に予算に影響を及ぼす。組織がリスクベースのポリシーや適応型コントロールに向けてシステマチックかつ反復的なアプローチをとると、その戦略が成熟するまでの過程で、予算に追加の負担が生じる可能性があるからだ」(ワッツ氏)
ゼロトラスト戦略の実施を中断させるような障害に遭遇したと回答した組織は35%にとどまったが、組織は遅延を最小限に抑えるために、運用指標を概説したゼロトラスト戦略計画を策定し、ゼロトラストポリシーの有効性を測定すべきだ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
デバイスに頼りすぎない「統合的なゼロトラスト環境」を目指す企業が増えている ガートナー
ガートナージャパンは「セキュリティリーダーが押さえておくべきゼロトラストの最新トレンド」を発表した。これは国内企業を対象に実施したセキュリティ調査の結果を基にしており、トレンドとして「IAM」「CTEM」などが紹介されている。「サイバー脅威ランドスケープ」とは――名和氏が訴える、その有効性と利用シーン
2023年11月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「実践・ゼロトラストセキュリティ」ゾーンで、サイバーディフェンス研究所 専務理事 上級分析官としても活躍する名和利男氏が「組織を守るために必要なサイバー脅威ランドスケープの把握」と題して講演した。あまり耳慣れない「サイバー脅威ランドスケープ」とは何か。なぜ注目すべきなのか。本稿では、講演内容を要約する。ゼロトラスト、LotLランサムウェア――2024年CISOが直面するセキュリティ上の課題トップ6とは
Broadcomは、CISOの意思決定の在り方を大きく変えるサイバーセキュリティトレンド6選を同社の運営するセキュリティブランド「Symantec」の公式ブログで公開した。