サイバーセキュリティ企業のフォーティネットは2月14日、「Global State of Zero Trust Report（世界のゼロトラストレポート）」を発表した。それによると、大部分の組織・企業が「ゼロトラスト」のビジョンを持っているか、もしくはゼロトラストを実施しているにもかかわらず、その半数以上がゼロトラストの中核をなす基本事項が欠けているために、このビジョンをソリューションに反映できていないことが分かった。

※　ゼロトラストとは、すべての通信を「信用しない」と考えて、情報資産を守っていく考え方のこと。

同社のリサーチ部門（FortiGuard Labs）による脅威レポートでは、個人や組織、そしてますます重要になるインフラを標的とした攻撃の量が増加し、巧妙化していることが示された。組織は、進化する脅威から保護するためのソリューションを求めており、ゼロトラストはその最重要事項となっている。さらに、どこからでも仕事ができるようになったことで、とりわけ「ゼロトラスト・ネットワークアクセス（ZTNA）」への関心が高まり、組織は、セキュリティの脆弱なホームネットワークに接続する従業員から、大切な資産を守る必要がある。

◇揺れるゼロトラストの定義
レポートでは、完全なゼロトラスト戦略とは何かについて、いくつかの混乱があると指摘している。回答者のうち、77％はゼロトラストを、75％はZTNAのコンセプトを理解しており、80％以上はすでにゼロトラスト戦略やZTNAを導入、もしくは策定中だと回答した。しかし、50％以上はゼロトラストの中核となる機能を実装できていないと答え、約60％は継続的にユーザーとデバイスを認証する機能を持たず、54％は認証後のユーザーの監視に苦慮していると答えた。

こうした理解と現実の隔たりが懸念されるのは、これらの機能がゼロトラストの重要な要素であり、組織全体における実装の実態に疑問を呈するものであるからだ。また、「ゼロトラスト・アクセス」と「ゼロトラスト・ネットワークアクセス」の言葉が、時に混同して使われることも、混乱に拍車をかけている。

◇優先順位はさまざま
ゼロトラストを導入するにあたっての優先事項は、「侵害や侵入からの影響を最小限にする」が最も高く、次いで「リモートアクセスの保護」「事業やミッションの継続性の確保」が続いた。「ユーザーエクスペリエンスの向上」や「どこでもセキュリティを提供できる柔軟性」も最優先事項の1つに挙げられた。

調査回答者の大多数は、ゼロトラスト・セキュリティソリューションが、既存のインフラと統合され、クラウドやオンプレミス上で動作し、アプリケーション層で安全であることが不可欠だと考えている。だが、80％以上の回答者は、拡張されたネットワークにゼロトラスト戦略を導入するのは難しいと答えている。戦略を策定していない、もしくは策定中の組織では、スキルの欠如が障害となっており、35％の組織はゼロトラストに対処するために他のIT技術を用いている。

フォーティネットの製品担当副社長兼CMOのジョン・マディソン氏は、「進化する脅威、どこからでも仕事ができる環境への移行、クラウド上のアプリケーションに対するセキュリティ管理の必要性から、（絶対的な信頼を置く）従来型のセキュリティからゼロトラストへ移行することは、組織の最重要事項になっている」と指摘し、「私たちの調査では、大多数の組織が、何らかの形でゼロトラスト戦略を実施している一方で、全体的な戦略には至っておらず、ゼロトラスト・セキュリティの中核となる基本事項を実施するのに苦慮している。効果的なソリューションには、エンドポイント、クラウド、オンプレミスを含むインフラ全体で、ゼロトラストの基本事項すべてに対処する『サイバーセキュリティメッシュプラットフォーム』が必要だ。さもなければ、幅広い可視性を欠いた部分的で連携されていないソリューションとなる」と強調した。