2025年に予測されるサイバー脅威の動向と、大手企業におけるゼロトラスト導入事例を整理します。
近年サイバー攻撃は高度化の一途をたどっており、2024年には新たな感染経路やLinuxを狙う攻撃、生成AIの悪用などが顕在化し、ランサムウェアの新グループも出現するなど攻撃の根絶が難しい状況でした。専門家の予測では2025年にはランサムウェアやサプライチェーン攻撃がさらに高度化・増加し、AI技術を悪用した新たな手口も登場するとされています。実際、生成AIによるディープフェイクを用いたビジネスメール詐欺(BEC)やSNS詐欺など、AIを悪用した巧妙ななりすまし詐欺の増加が予測されています。このようにサイバー脅威はますます進化し、従来型の境界防御だけでは防ぎきれないリスクが高まっています。
※1 IIJ 国内企業のゼロトラストに関する実態調査より引用
調査によると、企業の約88%がゼロトラストセキュリティの必要性を感じており、約5割の企業は既に一部のゼロトラスト対応に着手しています。大企業を中心にゼロトラストへの移行が加速しており、その導入事例も増えてきました。例えば、岡三証券グループではコロナ禍を契機に従来の境界型防御からゼロトラストネットワークモデルへの転換を図り、リモートワーク環境をゼロトラストで保護しました。
その結果、Zscaler導入後3年半にわたり大きなトラブルなく安定運用を実現し、レポーティング機能の活用などで運用負荷を20%軽減する成果を上げています。※2 このように大手企業のケースでは、ゼロトラスト導入がセキュリティ強化だけでなく運用効率の向上にもつながっており、ゼロトラストはデジタルトランスフォーメーションを支える基盤とも位置付けられています。
限られた人員でゼロトラストを導入する際に直面する課題と、その解決に向けた実践のポイントを解説します。
一人情シスとは、企業の情報システム部門を1人ないし数名(2~3人)で運用している状況を指します。その背景には深刻なIT人材不足があり、中小企業を中心に増加しています。一人で担う範囲が広すぎると手が回らず、業務効率の低下やセキュリティリスクの増大につながります。ゼロトラストの導入においても、人手不足やノウハウ不足が大きな障壁です。実際、ゼロトラスト実現の課題として「対応できる人材が足りない」「必要な予算が確保できない」が最も多く挙げられ、次いで「最適なソリューション選定の難しさ」「自社に必要な知識が不足していること」「既存システムとの非互換性」など様々な問題が指摘されています。
※1 IIJ 国内企業のゼロトラストに関する実態調査より引用
具体的に上のグラフが示すように、人材不足や予算制約が突出した課題となっており、次いで「どのソリューションを選べば良いか分からない」という声も多く寄せられています。また「自社にゼロトラストの知見がない」「古い社内システムにゼロトラストを適用しづらい」といった技術面の懸念や、「導入に時間がかかる」「経営層の理解・協力が得られない」といった組織面での課題も少人数情シスにとって大きなハードルです。
このように人的リソースや予算の不足、経営層の理解不足などが重なり、十分な対策が遅れがちなのが実情です。しかし、脅威の高まりを考えるとゼロトラストは無視できない課題であり、少人数でも可能な範囲から段階的に対応を進めることが求められます。
人手や予算に限りがある中でも、優先度の高いセキュリティ強化策から順にゼロトラストを実践していくことが重要です。まず取り組みやすいのは認証・認可基盤の強化です。具体的には、多要素認証(MFA)の導入やシングルサインオンの実装によってユーザー認証を厳格化し、ID管理を徹底します。実際、多要素認証は比較的多くの企業が対応済みとなっており、少人数の情シスでも導入しやすい施策と言えます。また、アクセス権限の見直し(最小権限の原則の適用)や端末のセキュリティ対策(デバイスの暗号化やエンドポイントセキュリティの導入)なども早期に着手すべきポイントです。
次に、クラウドサービスの活用も少人数情シスにおけるゼロトラスト実現を助ける有効策です。例えば、社内システムをクラウド化し、SaaSやクラウドセキュリティサービス(CASBやSASEなど)を利用すれば、自前でハードウェアを管理する負担を減らしつつ高度なセキュリティ機能を享受できます。クラウドサービスは自動アップデートにより常に最新のセキュリティが維持されるため、限られた人員でも最新脅威への対策を講じやすくなります。
不足しがちなセキュリティ運用については外部の専門サービスを活用することも検討すべきです。例えば、24時間体制のマネージドセキュリティサービス(MDR/SOC)を契約し、ログ監視やインシデント対応をアウトソースすれば、一人情シスでも高度なセキュリティ体制を確保できます。
ゼロトラスト導入を進める上では、「全てを一度に置き換えようとしない」こともポイントです。既存環境とうまく共存させながら、ゼロトラストの要素を順序立てて段階的に取り入れていくアプローチが現実的でしょう。
まず守るべき重要資産や高リスク領域からゼロトラスト化を開始し、効果と運用負荷を確認しつつ徐々に適用範囲を広げます。小規模な環境で試験的にゼロトラストを導入して運用上の課題を洗い出し、本格展開時のリスクを低減する方法も有効です。このように段階的な導入であれば、一人情シスでも現場への影響を最小限に抑えながらゼロトラスト化を推進できます。
また、経営層の理解を得ることも重要なステップです。ゼロトラストのメリットや緊急性を社内に訴求し、経営層からのサポートや十分な予算確保につなげる努力が必要です。セキュリティ投資は事業継続の保険であること、将来的な損失リスクを軽減し企業の信用を守るために不可欠であることを丁寧に説明し、組織一丸で取り組める環境を整えましょう。
高度化するサイバー攻撃や未知の脅威に備えるため、ゼロトラストは今や大企業だけでなく全ての企業に必要なセキュリティ対策です。2025年もランサムウェアの巧妙化やAI悪用型の攻撃増加などが警戒されており、境界防御の限界が一層鮮明になるでしょう。そうした中、社内外を問わず「何も信頼せず常に検証する」ゼロトラストの考え方は、企業規模を問わずサイバーリスク軽減に大きく寄与します。
まずは自社の状況を踏まえ、実行可能な施策から段階的に着手することが重要です。また、クラウドサービスや外部専門サービスの活用も取り入れ、自社だけで抱え込まない柔軟な体制を構築しましょう。ゼロトラスト導入は人材やコスト面で障壁がありますが、将来のサイバーリスク軽減と企業の持続的成長を考慮すれば、一歩ずつでも理想像に向けて前進することが大切です。この記事を参考に、限られたリソースでも工夫と計画次第でゼロトラストを実現し、企業防衛力を高めていきましょう。
著者:犬を飼っているゴリラ
大手IT企業に入社し、フロントエンド、PFシステムの開発に従事。その後、IaaSサービスなどの各種サービス事業開発に携わったのち、大手HR・販促事業会社に転職した。2018年にMBAを取得し、現在も国内大手メーカーの新規事業企画、プロダクトオーナーなどを担っている。
(TEXT:犬を飼っているゴリラ 編集:藤冨啓之)
月曜日の朝にお送りする「情シス『目』ニュース」では、日々発信されるさまざまなトピックスを情シス・エンジニアの方々向けに「再解釈」した情報を掲載中。AI、働き方、経済など幅広いニュースをピックアップし、業務に役立つほか、つい同僚に話したくなる面白い話題まで身近で自分事化しやすくお届けします。
イベントページはこちら30秒で理解!フォローして『1日1記事』インプットしよう!