定量調査と定性調査の組み合わせが指し示すゼロトラスト導入提案の新たな活路

PRESS RELEASE（報道関係者各位） 2023年7月18日

定量調査と定性調査の組み合わせが指し示すゼロトラスト導入提案の新たな活路

調査設計/分析/執筆： 岩上由高


ノークリサーチ（本社： 〒160-0022東京都新宿区新宿2-13-10武蔵野ビル5階23号室：代表：伊嶋謙ニ TEL：03-5361-7880URL：http//www.norkresearch.co.jp）は同社が提供する「カスタムリサーチ・プラス」（数理統計などを用いた高度な分析を行うサービス）を適用することで、ゼロトラスト提案を成功させるための新たな突破口を探る分析を行い、その結果を発表した。


＜中堅・中小企業のゼロトラスト導入意向は6.0%に留まるが、提案の工夫によっては32.9%に達する＞
■営業担当の顧客ヒアリングとWebアンケート調査が一致しない場面には隠れた商機がある
■まずは「未知の攻撃でも防御できる製品/サービス（NGAVなど）」を起点とした提案が有効
■「災害/攻撃に強いデータバックアップ」の提案はゼロトラストの取り組み意向を引き上げる


■営業担当の顧客ヒアリングとWebアンケート調査が一致しない場面には隠れた商機がある
マルウェアの脅威が続く状況下において、中堅・中小企業におけるIT活用を更に進めるためにはゼロトラストの考え方に基づく網羅的なセキュリティ対策が欠かせない。ところが、年商500億円未満の中堅・中小企業の中で 『ゼロトラストを前提としたネットワーク対策を講じる』と回答したユーザ企業の割合は僅か6.0%に留まる。したがって、IT企業にとっては中堅・中小企業がゼロトラストに向けた一歩を踏み出すためのきっかけを見つけることが急務となっている。
左下のグラフは有効回答件数1300社のWebアンケート調査の分析結果から、セキュリティ対策の取り組み方針別に見た時の『ゼロトラストを前提としたネットワーク対策を講じる』の回答割合を集計したものだ。「未知の攻撃への対処」（※1）や「従業員のIT活用の監視/制御」（※2）を方針に掲げるユーザ企業ではゼロトラストの取り組み意向も高いことがわかる。一方、右下は営業担当が顧客に個別ヒアリングを行った結果として、『未知の攻撃への対処と共に災害や攻撃に強いデータバックアップを提案すると、ゼロトラストへの取り組み意識が高まる』という知見が得られた様子を示している。
左側の定量調査においても、「災害や攻撃に強いデータバックアップ」（※3）を方針として掲げるユーザ企業はゼロトラストへの取り組み意向が相対的に高い。しかし、定量調査を見る限りは「クラウドサービスの利用」（※4）も同程度であり、マーケ担当としては営業担当が得た知見だけを信じてソリューション構成を見直すという判断を下すことは難しい。だが、営業担当の知見に何らかの裏付けが得られれば、他社に先んじた商機を得ることになる。 このように、IT製品/サービスを訴求しようとする際には「定性調査（対象は少ないが深堀しやすい調査）で得た知見を定量調査（対象は多いが深堀しづらい調査）の結果とどのように整合させるべきか？」に悩むことが多い。次頁以降ではノークリサーチが提供している「カスタムリサーチ・プラス」（数理統計などを用いた分析サービス）の手法の1つであるベイジアンネットワーク分析によって、上記の課題に対処した具体例を紹介する。


■まずは「未知の攻撃でも防御できる製品/サービス（NGAVなど）」を起点とした提案が有効
以下のグラフはノークリサーチの年刊調査レポート「2022年版 中堅・中小企業のセキュリティ/運用管理/バックアップ利用実態と展望レポート」の中から、セキュリティ対策の取り組み方針別に見た時の『ゼロトラストを前提としたネットワーク対策を講じる』の回答割合を集計したものだ。（以下のグラフを一部抜粋したものを前頁で掲載している）
既に述べた通り、ユーザ企業にゼロトラストへの取り組みを促すためには「未知の攻撃への対処」（I6）（赤帯グラフ）の訴求が有効であることがグラフからも読み取れる。一方で、「災害や攻撃に強いデータバックアップ」（I10）（緑帯グラフ）の値だけでは営業担当が顧客ヒアリングで得た知見の十分な裏付けとは言えず、「I6とI10の双方を方針として掲げるユーザ企業のゼロトラストへの取り組み意向」を知る必要がある。従来のクロス集計でもその値自体を得ることは可能だが、その他の項目との関連性も把握しておくことが望ましい。このように項目間の関連性を視覚化し、I6とI10の双方を方針として掲げた場合の状態などを算出できる手法がベイジアンネットワーク分析である。（詳細や過去の実施例については本頁末尾の※1～※3を参照） 下図は上記のデータにベイジアンネットワーク分析を適用して、I1～I13までの各項目と「ゼロトラストを前提としたネットワーク対策を講じる」（T）の関連を視覚化した結果である。各項目の方針を掲げている場合は1、そうでない場合は0の値を取る2値のノード（楕円）と項目間の関連を表すエッジ（矢印）で構成されている。
左図で赤くマークした個所を見ると、
「未知の攻撃への対処」（I6）
「従業員のIT活用の監視/制御」（I7）
「エンドポイントOS機能の積極活用」（I5）
からは「T」に向かってエッジが伸びており、これら3つの項目がゼロトラストの取り組み意向に大きく影響を与えていることが確認できる。また、I6からはI5とI7にもエッジが伸びている。
つまり、 I5、I6、I7の値は上段の横棒グラフで比較的高い値を示しているが、まずはI6を起点とした訴求を行うことが有効と考えられる。
さらに、上段の横棒グラフでは「端末機能の積極活用」（I8）も高い値を示しているが、エッジを確認するとI8はI5とI6から影響を受けている。そのためI8についても、まずはI6の訴求が優先事項となってくる。
次頁では、前頁で課題となった「災害や攻撃に強いデータバックアップ」（I10）とI6との関連について述べる。


■「災害/攻撃に強いデータバックアップ」の提案はゼロトラストの取り組み意向を引き上げる
下図は前頁下段の中から、「未知の攻撃への対処」（I6）と「災害や攻撃に強いデータバックアップ」（I10）の関連を探る上で重要となる箇所を抜き出したものだ。
左図を見ると、I10はI6の影響を受けているが、同時にI5とI7にも影響を与えている。そのため、I6とI10の双方の方針を掲げた場合は「エンドポイントOS機能の積極活用」（I5）」と「従業員のIT活用の監視/制御」（I7）の方針を掲げる割合も高まり、結果的に「ゼロトラストを前提としたネットワーク対策を講じる」の方針を掲げる割合も高めることになる。
これは「未知のマルウェア対策と確実なデータバックアップという2つの方向からの取り組みを進めることで、従業員のIT活用を監視/制御することの必要性やOSが備える機能を活用することの有効性にも視野が広がり、網羅的な対策としてのゼロトラストの取り組みへと進んでいく」という状態と捉えることができる。
ベイジアンネットワーク分析ではI6とI10の方針を掲げた場合（I6 = 1 & I10 = 1）にTの方針を掲げる割合（T = 1の割合）を算出することができる。 そこで、様々な条件下でのTの値を算出した結果が右記のグラフだ。単独の方針を掲げた場合はI6が最も有効であることがわかる。この点は通常の横棒グラフを参照した結果とも符合している。
一方、I10単体はI5やI7と比べて低い値に留まっているにも関わらず、I6とI10の双方を掲げた時の値はI6単体よりも8.2ポイント高くなっている。
したがって、冒頭で述べた、『未知の攻撃への対処と共に災害や攻撃に強いデータバックアップを提案すると、ゼロトラストへの取り組み意識が高まる』といった営業担当の知見は定量的な観点でも有効であることが確認できる。
従来は「Webアンケート調査を実施したが、顧客ヒアリングで得た新たな知見の有効性を確認できない」という場面も少なくなかった。だが、このように分析手法を工夫することで、既存の定量調査データを元に定性調査で得た知見の有効性を確認することも可能となってくる。 ノークリサーチでは今後もこうした工夫によって調査データを最大限に活かした分析/提言に向けた取り組みを続けていく。

本データの無断引用・転載を禁じます。引用・転載をご希望の場合は下記をご参照の上、担当窓口にお問い合わせください。
引用・転載のポリシー：リンク

当調査データに関するお問い合わせ

株式会社ノークリサーチ 担当：岩上由高
〒160-0022 東京都新宿区新宿2-13-10 武蔵野ビル5階23号室
TEL03-5361-7880 FAX03-5361-7881
Mail: inform@norkresearch.co.jp
Web: www.norkresearch.co.jp