働き方の変化がセキュリティにも影響
新型コロナウイルス感染症(COVID-19)パンデミックは、働き方を大きく変えました。リモートワークを活用した在宅勤務、オフィス勤務と在宅勤務を組み合わせたハイブリッドワーク、私物端末の業務利用(BYOD)、各種クラウドサービスの多用など、事例はいくつも思い当たるはずです。こうした変化の一部は、これから定着していくでしょう。
クラウドフレアが日本を含むアジア太平洋地域の5カ国(オーストラリア、インド、日本、マレーシア、シンガポール)で実施した調査(※1)によると、多くの人がそのように考えています。ちなみに、対象者は企業のITおよびサイバーセキュリティに関する意思決定者などで、各設問に対して「とても当てはまる」「少し当てはまる」と答えた人の割合は以下のとおりです。
| 設問 | 平均 | オーストラリア | インド | 日本 | シンガポール | マレーシア |
|---|---|---|---|---|---|---|
| 新型コロナウイルスによって 組織における仕事の仕方が変わった | 88% | 89% | 90% | 75% | 88% | 96% |
| 今後は出社と在宅勤務を 組み合わせた働き方を導入する | 88% | 94% | 93% | 74% | 91% | 89% |
| 今後、働き方のモバイル化が進む | 85% | 86% | 87% | 72% | 91% | 92% |
| より多くの従業員が、 社外で個人/自宅のネットワークを 使用して仕事をする | 84% | 92% | 78% | 72% | 86% | 94% |
| より多くの従業員が、 個人のデバイスを使用して仕事をする | 81% | 91% | 82% | 55% | 85% | 92% |
| ITセキュリティは、 夜眠れないほど心配な問題のひとつである | 77% | 86% | 86% | 42% | 82% | 90% |
ここで目立つのは、すべての項目で日本の数値が低いこと。なかでも、ITセキュリティを問題視している人の少なさが際立っています。
※1 クラウドフレア『
ITセキュリティ感度の低い日本企業
クラウドフレアの調査レポートを見ると、日本の企業はITセキュリティに対する感度が他の国より低いようです。
パンデミックとITセキュリティ
ITセキュリティへの取り組み方がパンデミックに影響されたかどうか尋ねたところ、日本は「大きな影響を受けた」と「ある程度の影響を受けた」の合計が51%でした。5カ国平均の74%に比べかなり低く、オーストラリア(87%)、マレーシア(80%)、シンガポール(79%)、インド(77%)から大きく引き離されています。
パンデミック中はサイバー攻撃が増えたようですが、日本はそれに対する取り組みも消極的です。ITセキュリティに関して、強化や見直しを図った企業は4割にとどまりました。
| 設問 | 平均 | オーストラリア | インド | 日本 | シンガポール | マレーシア |
|---|---|---|---|---|---|---|
| ITセキュリティへの投資が増えた | 56% | 60% | 62% | 40% | 62% | 57% |
| 社内セキュリティアプローチを 更新、変更、または追加した | 52% | 57% | 59% | 40% | 53% | 51% |
この1年のセキュリティ強化にも消極的
パンデミック後を見据えたITセキュリティ強化はどうでしょうか。今後1年間でITセキュリティをアップグレードしたり追加したりする可能性について、日本は際立って低い結果でした。
| ITセキュリティ強化の 可能性 | 平均 | オーストラリア | インド | 日本 | シンガポール | マレーシア |
|---|---|---|---|---|---|---|
| 極めて高い | 53% | 63% | 63% | 31% | 47% | 62% |
| 少しある | 37% | 35% | 34% | 37% | 46% | 36% |
ゼロトラスト導入意向は低い
徐々に広まるハイブリッドワークやBYODのような働き方をする場合、家庭のネットワークや多種多様な個人のデバイスから重要な業務用データを扱う場面が増えます。こうした状況はサイバー攻撃の標的も増加するため、あらゆる対象を疑って安全確保する「ゼロトラストセキュリティ」という思想が欠かせません。
クラウドフレアも、ゼロトラストに注目して調査を進めていました。
認知度は81%だが
ゼロトラストを「聞いたことがある」または「知っている」と答えた人の割合は、5カ国平均が86%で、オーストラリアがもっとも高い96%、インドがもっとも低い78%。日本は81%で、マレーシア(93%)やシンガポール(85%)より低いものの大きな差はありませんでした。
ただし、ゼロトラストの理解度となると、日本は遅れています。「聞いたことがある」「知っている」人に理解度を質問したところ、日本企業の理解度は大きく引き離されていたのです。
| 設問 | 平均 | オーストラリア | インド | 日本 | シンガポール | マレーシア |
|---|---|---|---|---|---|---|
| 極めてよく 理解している | 36% | 42% | 36% | 20% | 38% | 40% |
| よく理解している | 48% | 48% | 54% | 40% | 49% | 47% |
導入意向は半数にも満たない
ゼロトラストの導入意向も、日本は予想どおり他国より低い状態です。未導入企業にゼロトラスト採用の可能性を尋ねると、他国で8割以上ある「非常に高い」「少しある」の合計が、日本では半数に届きません。
| 設問 | 平均 | オーストラリア | インド | 日本 | シンガポール | マレーシア |
|---|---|---|---|---|---|---|
| 導入意向がある | 75% | 対象者が少ないため 算出せず | 94% | 49% | 86% | 80% |
注目度は高い、理解度は低い
パロアルトネットワークスの調査(※2)でも、日本企業のゼロトラストに対する取り組みの弱さや理解度の低さが示されています。
パロアルトネットワークスは、対象企業の各種ゼロトラスト関連項目を評価し、100点満点のスコア「ゼロトラスト成熟度」を算出したうえで、20ポイント刻みの5レベルに分類しました。ゼロトラストに注目している企業は88%と比較的多いのですが、ゼロトラスト成熟度が最上位のレベル5に分類された企業は13%だけです。
理解度については、ゼロトラストの「すべてのリソースへの信頼を排除する」という大原則を正しく認識していた企業は、全体の34%でした。
※2 パロアルトネットワークス『 』
日本企業がゼロトラストに前向きでない理由
日本企業の多くは、ゼロトラストいうセキュリティ用語を知っていても、技術の理解度が低く、導入意向も高くないようです。しかし、この先ゼロトラストセキュリティは確実に広まっていきます。
市場調査会社のレポートオーシャン(※3)によると、世界ゼロトラストセキュリティ市場の規模は2020年時点で約196億ドル(約2兆2,409億円)でした。それが、2027年には602億5,000万ドル(約6兆8,902億円)に達するとの見通しです。この間の年平均成長率(CAGR)は17.4%以上になります。
ゼロトラストというセキュリティ用語が知られているにもかかわらず、日本ではなぜ導入に前向きでないのでしょうか。クラウドフレアの調査では「情報不足」という回答がもっとも多い一方、「現在のセキュリティ戦略で十分対応可能だから」「ITセキュリティは現在の優先事項ではないため」「セキュリティ違反やサイバー攻撃などの重大なインシデントを経験していない」といった、セキュリティに対する意識の低さが露呈する回答も多くありました。
働き方の多様化が進む以上、ゼロトラストセキュリティの重要性も高まります。日本企業の多くは、具体的な取り組みを始める前に意識改革や情報収集などがまだまだ必要です。
| 設問 | 回答率 |
|---|---|
| 採用を検討する前に もっと情報が必要 | 48% |
| 現在のセキュリティ戦略で 十分対応可能だから | 31% |
| ゼロトラスト採用の 資金を確保できる可能性が低い | 31% |
| ゼロトラストを実装する 人的資源や専門知識がない | 41% |
| ステークホルダーがゼロトラストを採用することの 価値を理解するのに苦しんでいるから | 33% |
| ITセキュリティは 現在の優先事項ではないため | 31% |
| セキュリティ違反やサイバー攻撃などの 重大なインシデントを経験していない | 31% |
| 社内のユーザーアクセスが複雑すぎて ゼロトラストを採用できない | 34% |
| 社外コンサルタントから推奨されていない | 17% |
| ※3 レポートオーシャン『 |
