好きな所から読む
ゼロトラストは、コンテキスト制御(ユーザー、デバイス、アプリなど)に基づいてプライベートアプリへの最小特権アクセスを提供する新しいセキュリティモデルとして急速に普及しています。これを可能にするために、多くのチームが、VPNやDMZなどの従来のインフラストラクチャを置き換えることができる最新のクラウドファーストテクノロジーを採用しています。
2019ゼロトラスト導入レポートは、企業がアプリをパブリッククラウドに移行し、ますますモバイルワーカーをサポートする際にビジネスを安全に保ち、リスクを最小限に抑えながら優れたユーザーエクスペリエンスと可視性を提供することで、組織にゼロトラストの価値を明らかにします。
重要なポイント:
- ITセキュリティチームの78%は、将来、ゼロトラストネットワークアクセスを採用することを検討しています。19%はゼロトラストを積極的に導入しており、15%はすでにゼロトラストを実施しています。同時に、エンタープライズITセキュリティチームの約半数(47%)は、現在のセキュリティテクノロジーでゼロの信頼を提供する能力に自信がありません。
- アプリケーションアクセスの最高のセキュリティ優先順位は、ユーザーの特権アカウント管理と多要素認証(68%)です。これに続いて、異常なアクティビティの検出と応答(61%)と、管理されていない個人的なデバイスからのアクセスの保護(57%)が続きます。
- 組織の62%が、最大のアプリケーションセキュリティの課題は、データセンターとクラウド環境に分散されたプライベートアプリへのアクセスを保護することであると述べています。その後、プライベートアプリのインターネットへの露出を最小限に抑え(50%)、ユーザーアクティビティの可視化(50%)と結び付けます。
- ゼロトラストの利点について尋ねられたとき、ITセキュリティプロフェッショナルの3分の2(66%)は、プライベートアプリを保護するための最小特権アクセスを提供するゼロトラストの能力に最も興奮していると述べています。その後、権限のないユーザーやインターネットに公開されなくなったアプリ(55%)と、ネットワークアクセスを必要としない限定公開アプリへのアクセス(44%)が続きます。
この重要な研究プロジェクトをサポートしてくれたZscalerに感謝します。IT環境を保護するための取り組みを継続する上で、このレポートが有益で参考になることを願っています。ありがとうございました。—ホルガー・シュルツェ
セキュリティの優先事項
アプリケーションアクセスの最高のセキュリティ優先順位は、ユーザーの特権アカウント管理と多要素認証(68%)です。これに続いて、異常なアクティビティの検出と応答(61%)と、管理されていない個人的なデバイスからのアクセスの保護(57%)が続きます。
データセンターまたはパブリッククラウド環境で実行されているプライベートアプリへのアクセスに関して、今後1〜2年間のセキュリティの優先事項は何ですか?
- 68%:多要素認証/特権アカウント管理
- 61%:異常なアクティビティの検出と応答
- 57%:管理されていない個人のデバイスからのアクセスの保護
- 35%:経営幹部向けの強力な可視性とセキュリティ指標
- 34%:従来のセキュリティインフラストラクチャを再評価し、ソフトウェア定義のアクセスを検討する
- 33%:マイクロセグメンテーション
アクティブなセキュリティイニシアチブ
組織で現在進行中の上位4つのセキュリティイニシアチブはすべて、ゼロトラストネットワークアクセスに関連しています。IDおよびアクセス管理(72%)、データ損失防止(DLP)(51%)、BYOD /モバイルセキュリティ(50%)、およびアクセスの保護パブリッククラウドで実行されているプライベートアプリ(Microsoft Azureなど)、Amazon Web Services、Google Cloud Platform(47%)
現在進行中のセキュリティイニシアチブは何ですか?
- 72%:アイデンティティおよびアクセス管理
- 51%:データ損失防止(DLP)
- 50%:BYOD /モバイルセキュリティ
- 47%:パブリッククラウドで実行されているプライベートアプリへのアクセスの保護
安全なアクセスの課題
組織の62%は、最大のアプリケーションセキュリティの課題は、データセンターとクラウド環境に分散されているプライベートアプリへのアクセスを保護することであると述べています。その後、プライベートアプリのインターネットへの露出を最小限に抑え(50%)、ユーザーアクティビティの可視化(50%)と結び付けます。
プライベートアプリへのアクセスを保護することに関して、今日の最大の課題に関して以下をランク付けしてください。
- 62%:データセンターとクラウドに分散したプライベートアプリへのアクセスの保護
- 50%:内部アプリをインターネットに公開する必要性を最小限に抑える
- 50%:ユーザーアクティビティの可視化
- 41%:新しいセキュリティモデルをサポートする予算を見つける
- 30%:リモートユーザーとサードパーティをネットワークに接続する
アプリケーションアクセスに関する懸念事項
プライベートアプリケーションアクセスに関する個人的な懸念の最も高い領域は、特権の低いアクセス(61%)を持つ内部ユーザーであり、弱いセキュリティプラクティス(61%)を利用して内部アプリにアクセスするパートナーと結びついています。ネットワーク中心の機能を活用すると、セグメンテーションと最小特権アクセスの実装が困難になります。
プライベートアプリへのアクセスの保護に関して、今日個人的に最も懸念していることは何ですか。
- 61%:過剰なアクセス権を持つ内部ユーザー
- 61%:内部アプリにアクセスするセキュリティプラクティスが弱いパートナー
- 50%:インターネットベースの攻撃(DDoS、中間者攻撃、ランサムウェア)
- 45%:盗難または感染したモバイルデバイスがネットワークにアクセスする
- 40%:シャドウIT
- 37%:手動プロセスは複雑であり、迅速に対応するためにダウン可能性が遅い
ゼロトラストの採用
ゼロトラスト戦略を採用する計画について尋ねられると、78%のITセキュリティチームが将来、ゼロトラストネットワークアクセスを採用することを検討しています。19%はゼロトラストを積極的に実装しており、15%はすでにゼロトラストを実施しています。
プライベートアプリへのアクセスにゼロトラスト戦略を採用したいとお考えですか?
- 15%:はい、完了しました
- 19%:はい、進行中です
- 44%:はい、予定しています
ITセキュリティチームの78%は、近い将来にゼロトラストモデルの採用を検討しています。
- 19%:やる予定はない
- 3%:ゼロトラストとは何かわかりません
ゼロの信頼性
4分の3以上(78%)の企業がゼロトラストの採用を検討していますが、企業のITセキュリティチームのほぼ半分は、現在のセキュリティテクノロジーでゼロトラストを提供する能力に自信がありません。より信頼できる53%は、ゼロ信頼戦略を採用しようとして、レガシーネットワークセキュリティテクノロジーに依存する間違いを犯す可能性があります。
現在のセキュリティテクノロジーでゼロの信頼を提供する能力に対するあなたの信頼度はどのくらいですか?
- 11%:自信満々
- 42%:自信がある
53%の企業が、偽のゼロ信頼モデルを採用するリスクを負っています。
- 41%:自信がありません
- 6%:とても心配
ゼロトラストのメリット
ゼロトラストの利点について尋ねられたとき、ITセキュリティプロフェッショナルの3分の2(66%)は、プライベートアプリを保護するための最小特権アクセスを提供するゼロトラストの能力に最も興奮していると述べています。その後、権限のないユーザーやインターネットに公開されなくなったアプリ(55%)と、ネットワークアクセスを必要としない限定公開アプリへのアクセス(44%)が続きます。
ゼロトラストセキュリティモデルの採用について、最も興奮しているのは次のうちどれですか。
- 66%:従業員やパートナーからの過度の信頼を制限する能力
- 55%:アプリケーションは、権限のないユーザーやインターネットにさらされなくなりました
- 44%:限定公開アプリへのアクセスには、ネットワークアクセスは不要になります
- 40%:アプリケーションセグメンテーションのより効果的な手段を実現できます
- 27%:最新のサービスは、従来のアプライアンスベースのテクノロジーのコストを削減するのに役立ちます
優先使用ケース
ゼロトラストには、セキュリティソリューションとしての人気に貢献する多くの使用例があることが知られています。以下は、ゼロトラスト戦略を採用している企業で最近見つかったユースケースです。ハイブリッドおよびパブリッククラウド環境で実行されているプライベートアプリへの安全なアクセス(37%)、それに続く最新のリモートアクセスサービスを使用したVPNの置き換え(33%)、プライベートアプリケーションへのサードパーティアクセスの制御(18%)。
すでにゼロトラスト戦略を採用している場合、または近い将来に予定している場合、チームは次のどのユースケースから始めましたか?
- 37%:マルチクラウド環境でのプライベートアプリへのアクセスの保護
- 33%:VPNの代替として最新のリモートアクセスサービスを使用する
- 18%:プライベートアプリケーションへのサードパーティアクセス
- 5%:ネットワークを統合する必要性を排除することにより、M&Aと売却を加速
採用のスピード
ゼロ信頼は非常に迅速に起こっています。実際、企業の75%は、今後12か月以内に特定のユースケースにゼロトラストを採用するでしょう。37%が9か月未満で採用されます。他の38%は12か月以内に追随します。
上記で定義されているゼロトラストユースケースの1つを採用する可能性が最も高いのはどの期間ですか。
- 11%:0〜3 か月
- 15%:3~6 ヶ月
- 11%:6〜9 か月
37%が9か月未満で採用しています。
- 38%:9~12 ヶ月
- 25%:予定なし
ZTNAの採用
ITセキュリティチームの大多数(59%)は、今後12か月以内にゼロトラストネットワークアクセス(ZTNA)サービスを採用する予定です。1/10は今後3か月以内にZTNAを採用します。
2022年までに、Gartnerは企業の60%がVPNを段階的に廃止し、ゼロトラストネットワークを実現するサービスを支持すると確信しています。ZTNAサービスを採用する予定はありますか?
- 11%:0〜3 か月
- 7%:3~6 ヶ月
- 10%:6〜9 か月
- 31%:9~12 ヶ月
59%が今後12か月以内にZTNAサービスを採用する予定
- 41%:予定なし
方法論と人口統計
このレポートは、2019年7月および8月に実施された、米国の315名のITおよびサイバーセキュリティ専門家を対象とした包括的なオンライン調査の結果に基づいており、ゼロトラストセキュリティに関連する最新の企業の採用動向、課題、ギャップ、ソリューションの好みを特定しています。回答者は、技術的な幹部からITセキュリティの実践者まで多岐にわたり、複数の業界にわたってさまざまな規模の組織のバランスのとれた断面を表しています。
キャリアレベル
- 17%:CTO、CIO、CISO、CMO、CFO、COO
- 15%:コンサルタント
- 14%:建築家
- 13%:ディレクター
- 11%:マネージャー/スーパーバイザー
- 9%:専門家
- 9%:副社長
- 8%:オーナー/ CEO /社長
- 4%:その他
部門
- 47%:ITセキュリティ
- 18%:コンサルティング
- 13%:IT運用
- 8%:エンジニアリング
- 4%:操作
- 4%:製品管理
- 3%:コンプライアンス
- 3%:その他
業界
- 20%:テクノロジー、ソフトウェア、インターネット
- 13%:金融業務
- 9%:政府
- 7%:健康管理
- 7%:プロフェッショナルサービス
- 5%:電気通信
- 4%:製造
- 3%:メディアとエンターテインメント
- 3%:エネルギーとユーティリティ
- 29%:その他