ゼロトラスト戦略とセグメンテーションに関する業界初のレポートを発表：セキュリティリーダーの約半数が「侵害を受けないだろう」という認識であることが明らかに

ゼロトラスト・セグメンテーションの先駆者として市場をリードするIllumio（本社：米国カリフォルニア州、読み方：イルミオ、https://www.illumio.com/ja）は本日、ゼロトラスト戦略の現状とセグメンテーション技術のビジネスへの影響に焦点を当てた業界初の調査結果レポート「Zero Trust Impact Report（ゼロトラスト・インパクト・レポート）」（https://www.illumio.com/resource-center/research-report/esg-zero-trust-impact）（英語）を公開しました。本調査は、米Tech Target Inc.の調査部門Enterprise Strategy Group（ESG）により、日本を含む8か国のITおよびセキュリティの専門家1,000人を対象に実施されました。本調査では、サイバー攻撃が巧妙化かつ高頻度化している中、セキュリティリーダーの47%が侵害を受けないだろうという認識でいることや、ゼロトラスト・テクノロジーの採用の増加、ハイブリッド攻撃の対象領域でマシンを分離し侵害の拡散を防止するゼロトラスト・セグメンテーションのビジネスおよびセキュリティ上の実証効果などが明らかになりました。主な調査結果は以下の通りです。

• 攻撃の深刻度と頻度が依然として増加：過去2年間だけでも、調査対象者の4分の3以上（76%）がランサムウェア攻撃を経験しており、3分の2（66%）が少なくとも1回のソフトウェアサプライチェーン攻撃を経験しています。半数以上（52%）は、サイバー攻撃が重大な侵害につながると認識しています。
• 今やゼロトラストが標準：サイバーレジリエンスを改善し、攻撃が甚大な被害に発展する恐れを低減する手段として、回答者の90%が今年度のセキュリティの最優先事項3つのうちの1つにゼロトラスト戦略の推進を挙げています。
• すべてのゼロトラスト戦略で、セグメンテーションが重要な柱：本調査の一環でゼロトラスト・セグメンテーションの成熟度別に回答者を3つのカテゴリーに分類した場合、上級ユーザーとして分類されるカテゴリーである「パイオニア」の75%が、専用のセグメンテーションツールがゼロトラストに不可欠であると認識しており、81%がセグメンテーションをゼロトラストにおける重要なテクノロジーであると回答しています。
• ゼロトラスト・セグメンテーションは、目に見える効果をビジネスにもたらす：ゼロトラスト戦略の一環としてゼロトラスト・セグメンテーションを導入した組織は、アプリケーションダウンタイム時のコストを平均2,010万ドル削減し、年間に5件の甚大なサイバー被害を回避し、次年度に向けてはさらに14件のデジタル・クラウド変革プロジェクトの推進を計画しているとしています。

IllumioのCTO（最高技術責任者）兼共同創業者であるPJキルナー（PJ Kirner）は次のように述べています。「年間のサイバーセキュリティの支出が記録的数字となったにもかかわらず、依然として重大な侵害は発生し続けています。セキュリティリーダーが検知や境界保護のみを考慮する従来型の手法から脱却しない限り、セキュリティ投資をいくら増やしても問題は解決できません。Zero Trust Impact Reportの調査対象者の約半数が、侵害は不可避であると考えていないことに衝撃を受けました。私はゼロトラストとセグメンテーションで実現できるビジネス上の確かな効果に自信を持っています。ゼロトラスト・セグメンテーションは、ビジネス運営を変革し、サイバーレジリエンスを強化する真のマーケットカテゴリーとして確実にその存在意義を増しつつあります。」

ハイパーコネクテッドワールドで頻発する攻撃
デジタルトランスフォーメーションにより生み出された、ユーザー、アプリケーション、データ、モノのハイパーコネクティビティのために、攻撃対象領域が拡大し、組織がこれまでにないほどの危険にさらされることになりました。回答者は、さまざまな攻撃タイプに大きな懸念を示しており、サプライチェーン攻撃、ゼロデイ攻撃、ランサムウェア攻撃をその上位に挙げています。 その詳細な割合と、ランサムウェア攻撃の被害状況は以下の通りです。

• ソフトウェアサプライチェーン攻撃（48%）、ゼロデイ攻撃（46%）、ランサムウェア攻撃（44%）が、不安の種である3つの脅威として挙げられています。
• 3分の1以上の回答者（36%）が、過去2年間にランサムウェア攻撃の被害を受けています。
• 攻撃の被害を受けた回答者のうちの82%が身代金を支払っており（42%が直接支払い、40%がサイバー保険を介した支払い）、身代金支払い額の平均は495,000ドルでした。

組織は侵害されることを前提としたゼロトラストの導入が必要
ゼロトラストの手法は、リスクを低減しサイバーレジリエンスを高めるための最新の戦略であり、侵害を当然のものとみなす考えに基づいています。セキュリティチームの52%は、所属する組織に今後のサイバー攻撃に耐える準備ができていないと回答しています（22%は侵害が「間違いなく」ビジネス上の甚大な被害につながると回答、30%は「おそらく」甚大な被害になると回答）が、一方でゼロトラストの採用は急速に進んでいます。ゼロトラストの優先度や採用に向けた取り組み、採用することで得られる効果についての調査結果は以下の通りです。

• 90%が、ゼロトラストはサイバーセキュリティの上位3つの優先事項のうちの1つであると回答しており、33%がゼロトラストはサイバーセキュリティの最優先事項であると回答しています。
• 今後12か月におけるセキュリティ支出全体のうちの39%が高度なゼロトラストの取り組みを推進するために割り当てられる予定です。
• 成熟度別で上級ユーザーとして分類されるカテゴリーである「パイオニア」は、セグメンテーションを十分に活用していないグループに比べ、2倍近い確率の高さで侵害の拡散を防止することができます（45%に対して81%）。

なお、96%もの回答者が、広範なプラットフォームではなく、ベストオブブリードの機能を備えたテクノロジーを好んでいます。「パイオニア」のカテゴリーの75%が、専用のセグメンテーションツールがゼロトラストに不可欠であると認識しています。

ゼロトラスト・セグメンテーションなしにゼロトラストの達成は不可能
ゼロトラスト・セグメンテーションは、クラウドからデータセンターまで、ハイブリッドIT環境に侵害が拡散することを防止するための最新の手法です。回答者の81%が、あらゆるゼロトラストの取り組みを成功させるためにはゼロトラスト・セグメンテーションが必要不可欠であると考えています。また、「パイオニア」カテゴリーには以下の傾向があることが今回のレポートで明らかになりました。

• 非常に効果的な攻撃対応プロセスを持つ可能性が2.7倍高い
• 過去24か月の攻撃時における重大な業務停止を回避した可能性が2.1倍高い
• ダウンタイムのコストを年間で2,010万ドル削減
• 週39人時を短縮
• 年間に5件の甚大なサイバー被害を回避
• 今後12か月で14件のデジタル・クラウド変革プロジェクトが予定され、競争優位性獲得のためのデジタルトランスフォーメーションを加速

詳細は、「Zero Trust Impact Report（ゼロトラスト・インパクト・レポート）」（https://www.illumio.com/resource-center/research-report/esg-zero-trust-impact）をダウンロードして確認できます。


調査手法
2022年2月、IllumioからESGへの委託によりゼロトラスト戦略の現状とセグメンテーションの影響に関して、1,000人を対象にグローバル調査を実施。調査結果は、北米、ヨーロッパ、アジア太平洋地域および日本の、情報セキュリティとITを担当するシニア専門家の意見を反映しています。

Illumioについて
Illumioは、ゼロトラスト・セグメンテーションの先駆者として市場をリードしています。サイバー被害に発展する前に侵害を封じ込め、ゼロトラストのセキュリティモデル専用に設計された実証済みのセグメンテーション技術を用いて、企業や組織の基幹業務アプリケーションと貴重なデジタル資産を保護します。Illumioのランサムウェア対策やセグメンテーションソリューションは、クラウドネイティブアプリ、ハイブリッド/マルチクラウド環境、データセンター、エンドポイントに至るまで横断的にリスクを可視化し、攻撃を隔離してデータを保護することで、世界中の大手企業や組織のサイバーレジリエンス強化と、リスク低減を支援しています。