「ゼロトラスト」を企業から遠ざける“真犯人”：ゼロトラストを成功に導く方法【前編】

ユーザー企業やセキュリティベンダーはゼロトラストの考え方に注目している。しかし、ゼロトラストは難解であり、実装できる企業やベンダーが限られている。難しさの要因は何なのか。

[Aaron Tan，TechTarget]

　近年、セキュリティベンダーの間でゼロトラストが話題になっている。ゼロトラストとは何もトラスト（信頼）しない考え方のことだが、実際はもっと難解だ。

　ゼロトラストの考え方を理解して実装するのは簡単ではない。調査会社Gartnerによると、2026年までに成熟度の高いゼロトラストプログラムを策定できるのは大企業でもわずか10％だという。企業はゼロトラストのどこにつまずいているのだろうか。

ゼロトラストにない「普遍性」とは

併せて読みたいお薦め記事

なぜゼロトラストを導入したほうが良いのか？

• ゼロトラスト戦略が攻撃経路の把握に有効な理由
• 「ゼロトラストセキュリティ」が“感謝されるIT部門”を生む理由と、その作り方

　Gartnerのゼロトラストの定義は、ユーザーとデバイスを明確に認識して適切なレベルのアクセス権を許可することで、摩擦を抑え、リスクを緩和した状態で事業を運営可能にする思想だ。

　「ゼロトラストとは一つの考え方のようなもので、目標実現のためにビジョンと計画を持って特定のアーキテクチャとツールを使用することを指す」。Gartnerのアナリストでセキュリティとリスク管理分野のアドバイザーを務めるリサ・ノイバウアー氏は、2023年3月にシドニーで開催された「Gartner Security & Risk Management Summit 2023」でそう語った。

　Gartnerのシニアディレクターアナリストであるリチャード・アディスコット氏は、企業がセキュリティ対策に積極的に取り組み、投資するようになれば、自然と方針の中にゼロトラストが組み込まれてくると予測する。「場当たり的ではなく、先を見越して熟考した上で、ゼロトラストへの投資が進むだろう」

　ユーザー企業のゼロトラストへの関心は強い。しかし、セキュリティベンダーがゼロトラストの専門性を利益につなげるのは簡単ではない。その一因は、ゼロトラストには決まり事や、ツールに関する標準がないに等しいからだ。

　「セキュリティベンダーが自社のゼロトラスト関連製品に、独自の成熟度モデルやベンチマーク（基準や指標）を取り入れている例が目立つ」とアディスコット氏は指摘する。ゼロトラストを評価する普遍的な基準がないため、ゼロトラストの評価が非常に難しくなっている。

---

　後編はゼロトラストを実践する上での注意点やアドバイスを紹介する。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。