中堅・中小企業向けに「ゼロトラスト」が広く普及しない要因とその打開策

PRESS RELEASE（報道関係者各位） 2023年2月27日

中堅・中小企業向けに「ゼロトラスト」が広く普及しない要因とその打開策

調査設計/分析/執筆：岩上由高


ノークリサーチ（本社〒160-0022東京都新宿区新宿2-13-10武蔵野ビル5階23号室 代表：伊嶋謙ニ TEL：03-5361-7880URL：http//www.norkresearch.co.jp）は中堅・中小市場において「ゼロトラスト」が普及しない要因とその打開策を分析した結果を発表した。 本リリースは「2022年版 中堅・中小企業のセキュリティ/運用管理/バックアップ利用実態と展望レポート」からの抜粋と追加分析の一部である。


＜「ゼロトラスト」は範囲が広く定義も様々であるため、キーワードに頼らない訴求策が大切＞
■セキュリティ対策において「ゼロトラスト」を方針として明示するユーザ企業は6.0%に留まる
■具体策（ZTNA、EDR/EPP、IDaaS等）を示せば訴求力も若干上がるが、まだ十分ではない
■ランサムウェア防止やIT以外の機器に課題を抱える場合は「ゼロトラスト」を訴求しやすい


対象企業： 年商500億円未満の中堅・中小企業1300社（日本全国、全業種）（有効回答件数）
対象職責： 情報システムの導入や運用/管理または製品/サービスの選定/決済の権限を有する職責
※調査対象の詳しい情報については右記URLを参照 リンク


■セキュリティ対策において「ゼロトラスト」を方針として明示するユーザ企業は6.0%に留まる
本リリースの元となる調査レポート 「2022年版 中堅・中小企業のセキュリティ/運用管理/バックアップ利用実態と展望レポート」では、有効回答件数1300社のユーザ企業を対象とした調査を実施し、中堅・中小企業におけるセキュリティ、運用管理、バックアップといった守りのIT対策の実態と今後を分析している。 守りのIT対策は多岐に渡るが、「ゼロトラスト」は様々な脅威が存在する現在では中堅・中小企業にとっても不可避の取り組みと言える。そこで、中堅・中小企業に対して「ゼロトラスト」に基づいた守りのIT対策に取り組む方針であるか？を尋ねた結果を2021年と2022年で比較したものが以下のグラフだ。（設問文が若干異なるが、尋ねている内容はどちらの年度もほぼ同様）
ゼロトラストを冠するセキュリティ関連の製品/サービスは既に多数存在している。 にも関わらず、ゼロトラストに基づいた守りのIT対策に取り組む方針であると回答した中堅・中小企業は2021年では4.0%、2022年では6.0%に留まっており、「ゼロトラスト」が浸透しているとは言えない状況だ。その最も大きな要因として考えられるのは「ゼロトラスト」というキーワードが指し示す範囲が非常に広く、かつ製品/サービスを提供するIT企業によって異なるという点だ。 そのため、IT企業がゼロトラストに関連する製品/サービスを訴求しようとする際は「ゼロトラスト」というキーワードに頼り過ぎず、自社の製品/サービスが解決する課題や提供する利点を伝えていく必要がある。 とは言え、新規に展開する製品/サービスではそれも可能だが、既に「ゼロトラスト」というキーワードを多用して拡販に取り組んでいる製品/サービスでは方向転換も難しい。次頁以降では、そうした状況においてゼロトラスト関連の製品/サービスをどのように訴求すべきか？について考察していく。


■具体策（ZTNA、EDR/EPP、IDaaS等）を示せば訴求力も若干上がるが、まだ十分ではない
本リリースの元となる調査レポートで計19項目に渡る以下の選択肢を列挙して、中堅・中小企業における守りのIT対策の方針について集計/分析を行っている。
＜＜自社の体制/人員に関する項目＞＞
・IT機器の管理/運用を遠隔支援するサービスを利用する
・情シス部門の役割を外部委託できるサービスを利用する
・「CISO」として遠隔で助言してくれるサービスを利用する
・守りのIT対策に関する従業員向けの教育/訓練を行う
＜＜エンドポイントに関する項目＞＞
・クラウド型のデスクトップ仮想化に移行していく
・「Device as a Service」の利用を増やしていく
・エンドポイントOSの標準機能を積極的に活用する
・未知の攻撃でも防御できる製品/サービスを選ぶ（※3）
・従業員のIT活用を監視/制御できるサービスを利用する
・端末が標準で備えている機能を積極的に活用する
・アカウントやデータを集約管理できるサービスを利用する（※4）
＜＜サーバ/ストレージに関する項目＞＞
・守りのIT対策の手段としてサーバをクラウドに移行する
・災害や攻撃に強いデータバックアップ手法を利用する
・オンラインストレージサービスを用いたデータ授受を行う
＜＜ネットワークに関する項目＞＞
・「ボックス型ワーキングスペース」を積極的に活用する
・社内外を安全/手軽に繋ぐクラウドサービスを利用する（※2）
・国内企業が管理/運用する国内のデータセンタを選ぶ
・「ゼロトラスト」を前提としたネットワーク対策を講じる（※1）
＜＜その他＞＞
・セキュリティ認証を受けている製品/サービスを選ぶ
・その他
前頁右側のグラフは（※1）の結果を中堅・中小企業全体で集計したものだ。上記の選択肢には、「ゼロトラスト」に含まれる守りのIT対策に関連した項目も幾つか見られる。例えば、「社内外を安全/手軽に繋ぐクラウドサービスを利用する」（※2）はZTNA/CASB/SWGなど、「未知の攻撃でも防御できる製品/サービスを選ぶ」（※3）はEDR/EPP/WAFなど、「アカウントやデータを集約管理できるサービスを利用する」（※4）はIAM/IDaaSなど、といった製品/サービス分野を挙げることができる。こうした具体的な項目に落とし込めば、「ゼロトラスト」に関連する製品/サービスを中堅・中小企業に分かりやすく訴求できる可能性がある。
そこで、※2～※3の回答割合を年商規模別に集計したものが以下のグラフだ。
年商規模によっては、単に「ゼロトラスト」というキーワードを用いた時と比べて高い割合を示す項目もあることが確認できる。しかし、いずれの項目の回答割合も値は1割以下に留まり、製品/サービスを訴求する上では十分な値とは言えない。そこで次頁では中堅・中小企業が守りのIT対策において抱える課題と絡めた訴求方法について考えていく。

■ランサムウェア防止やIT以外の機器に課題を抱える場合は「ゼロトラスト」を訴求しやすい
前頁に列挙した守りのIT対策における方針に加えて、本リリースの元となる調査レポートで計24項目に渡る以下の選択肢を列挙した上で、中堅・中小企業が守りのIT対策において直面する様々な課題についても集計/分析を行っている。
＜＜自社の体制/人員に関する項目＞＞
・守りのIT対策を担う社内人材が不足している
・従業員の守りのIT対策に対する意識が低い
・ランサムウェア被害に遭う危険性がある
・「シャドーIT」を把握/制御できない
＜＜エンドポイントに関する項目＞＞
・社外に持ち出した端末の管理/保護が不十分である
・個人が所有する端末の管理/保護が不十分である
・URLフィルタリングでは管理/制御が不十分である
・Windows 10/11の機能更新管理が負担である
・パスワード付ZIPファイル添付の代替策がない
・USBメモリによるデータ授受の代替策がない
・アカウントの管理が煩雑になっている
＜＜サーバ/ストレージに関する項目＞＞
・バックアップデータをサーバに復元できる確証がない
・アクセス/処理が増加した時の対策が不十分である
・障害や故障に備えた監視/予防が不十分である
・データ容量の増加に対処できる良い方法がない
・クラウドでは従来と同じサーバ管理が行えない
＜＜ネットワークに関する項目＞＞
・VPNでは安全性や十分な通信帯域を確保できない
・外出時でも安全にモバイル接続できる手段がない
・社内とクラウドサービスの接続を管理/把握できない
＜＜その他＞＞
・データが様々なクラウドサービスに分散して管理できない
・利用するクラウドサービスが多く、逆に管理負担が増える
・災害時の事業継続/バックアップ対策が不十分である
・IT以外の設備における守りのIT対策が不足している
・サプライチェーンでの守りのIT対策が不足している
・その他：
以下のグラフは守りのIT対策の方針として『「ゼロトラスト」を前提としたネットワーク対策を講じる』と回答した中堅・中小企業が抱える課題のうち、全体平均と比べて20ポイント以上高い値を示した課題項目の一部を抜粋したものだ。（以下に掲載したものが全てではない点に注意）
このグラフから、「ゼロトラスト」に基づく守りのIT対策に取り組もうとする中堅・中小企業はランサムウェア防止やIT以外の設備（エンジニアリング領域など）に課題を抱える割合が高いことを読み取れる。 逆に言えば、これらの課題を抱えるユーザ企業に対してはゼロトラストの取り組みを訴求しやすくなる。（ただし、後者についてはIoT関連のスキルも必要）このようにゼロトラストというキーワードを冠した製品/サービスについては現状の課題を起点としたアピールを行うことが有効と考えられる。 ここではゼロトラストに関連する製品/サービスを訴求する際の分析例の一部を紹介したが、本リリースの元となる調査レポートのデータを分析することによって、「未知の攻撃でも防御できる製品/サービス」（振る舞い検知によるマルウェア防御策など）や「従業員のIT活用を監視/制御できるサービス」を訴求する際の起点となる課題は何か？なども知ることができる。


本リリースの元となる調査レポート

『2022年版 中堅・中小企業のセキュリティ/運用管理/バックアップ利用実態と展望レポート』
ランサムウェアの脅威、散在するアカウント、OSのアップデート管理、クラウドサービスに分散したデータ、ゼロトラストを前提としたネットワーク環境構築など、様々な課題を抱えた中堅・中小企業における守りのIT対策の実態と今後を詳説

【本調査レポートの背景】
セキュリティ/運用管理/バックアップといった守りのIT対策はユーザ企業がIT活用を安全かつ円滑に進める上で不可欠な取り組みだ。だが、その範囲は幅広く、ベンダや販社/SIerとしても「守りのIT対策の提案をどこから始めれば良いか？」の判断が難しくなっている。そこで、本調査レポートでは社内/社外のエンドポイントやサーバ/ストレージ、さらにはネットワークといったITインフラ全般の守りのIT対策の実施手段（パッケージ、サービス、アウトソース、アプライアンスなど）の実態を明らかにした上で、守りのIT対策においてユーザ企業が抱える課題や今後の方針を元に、ベンダや販社/SIerが今後注力すべき守りのIT活用の領域はどこか？を提言している。さらに、今後の守りのIT対策の主な担い手となるのは製品/サービスを提供するベンダなのか？それらをインテグレーションする販社/SIerか？、あるいはクラウド事業者か？についても分析を行っている。
【対象企業属性】（有効回答件数：1300社）
年商： 5億円未満 / 5億円以上～10億円未満 / 10億円以上～20億円未満 / 20億円以上～50億円未満 /50億円以上～100億円未満 / 100億円以上～300億円未満 / 300億円以上～500億円未満
従業員数： 10人未満 / 10人以上～20人未満 / 20人以上～50人未満 / 50人以上～100人未満 /100人以上～300人未満 / 300人以上～500人未満/ 500人以上～1,000人未満 /1,000人以上～3,000人未満 / 3,000人以上～5,000人未満 / 5,000人以上
業種： 組立製造業 / 加工製造業 / 建設業 / 卸売業 / 小売業 / 流通業(運輸業) /IT関連サービス業 / 一般サービス業 / その他(公共/自治体など）
地域： 北海道地方 / 東北地方 / 関東地方 / 北陸地方 / 中部地方 / 近畿地方 / 中国地方 /四国地方 / 九州・沖縄地方
その他の属性： 「IT管理/運用の人員規模」（12区分）、「ビジネス拠点の状況」（5区分）

【分析サマリ（調査結果の重要ポイントを述べたPDFドキュメント）の章構成】
第1章.守りのIT対策の実施状況
6項目の実施個所（エンドポイント、サーバ/ストレージ、ネットワークなど）と8項目の実施手段（パッケージ、サービス、アウトソース、アプライアンスなど）の選択肢を設けて、ユーザ企業における守りのIT対策がどのように実施されているか？の実態を明らかにしている
第2章.守りのIT対策における課題
24項目に渡る選択肢を列挙し、ユーザ企業が守りのIT対策において直面している課題は何か？を分析している
第3章.守りのIT対策における基本方針
19項目に渡る選択肢を列挙し、ユーザ企業が守りのIT対策に取り組む際の基本方針を尋ねた結果を分析している
第4章.今後の導入を増やす/減らすIT企業
11区分の種別（セキュリティ主体のベンダ、運用管理主体のベンダ、バックアップ主体のベンダ、複合機系の販社/SIer、地場の販社/SIer、OSベンダ、クラウド事業者など）を列挙し、守りのIT対策の導入を増やす/減らすIT企業はどれか？を尋ねた結果を分析している
第5章.許容可能な年額合計費用
守りのIT対策に対して許容できる年額合計費用を尋ねた結果を俯瞰し、現状で抱える課題や今後の基本方針との関連を分析している
【発刊日】 2023年1月16日 【価格】 180,000円(税別)
さらに詳細なレポート案内は右記を参照 リンク

本データの無断引用・転載を禁じます。引用・転載をご希望の場合は下記をご参照の上、担当窓口にお問い合わせください。
引用・転載のポリシー： リンク

当調査データに関するお問い合わせ

株式会社 ノークリサーチ 担当：岩上 由高
〒160-0022 東京都新宿区新宿2-13-10 武蔵野ビル5階23号室
TEL 03-5361-7880 FAX 03-5361-7881
Mail: inform@norkresearch.co.jp
Web: www.norkresearch.co.jp