[調査・レポート]

2025年5月9日(金)IT Leaders編集部

リスト

　ガートナージャパンは2025年2月、従業員500人以上の国内組織を対象に実施した、国内企業におけるゼロトラストセキュリティへの投資領域に関する調査結果を発表した。

　ゼロトラストの取り組みへの見直し、または強化を行った領域の上位に、ネットワークセキュリティ（セキュアWebゲートウェイ、CASB、ZTNAなど）、ID/アクセス管理（多要素認証など強固な認証）、ID/アクセス管理（特権管理）が挙がっている（図1）。

図1：「ゼロトラスト」として見直し/強化したセキュリティ領域（出典：ガートナージャパン、2025年2月）
拡大画像表示

　調査では、多くの組織が、SASE（Secure Access Service Edge）を含むネットワークセキュリティ、ユーザー/IDやデバイスの管理の取り組みを引き続き強化していることが判明した。一方で、アプリケーション/ワークロードやデバイスへのCTEM（継続的脅威エクスポージャ管理）、自動化/分析については、他の領域と比べて見直しや強化が後回しにされている傾向も見てとれる。

　ガートナーが示す、ゼロトラストセキュリティの7つの領域ごとの動向は以下のとおりである。

(1)ネットワーク（SASEやOTセキュリティを含む）

　SASEを前提とした、クラウド中心のネットワークへの移行の取り組みと、オンプレミスで事業部門が利用するシステム（OT/サイバーフィジカルシステムなど）のセキュリティ対策への関心が継続している。

　SASE関連テクノロジーの導入は、エンドポイント対策や認証機能の連携などを伴うため、インフラやセキュリティの複数組織にまたがるプロジェクトになること、ベンダーの選定や価格の上昇などの悩みに直面することがチャレンジとして挙げられる。

(2)ユーザー（アイデンティティ/アクセス管理など）

　この領域では、人間のユーザーIDだけでなく、マシンIDの増加についても備えておく必要がある。マシンIDは、IoTのようなデバイスに限らず、AIエージェントのようなプログラムによるITリソースへのアクセスも含まれる。

　アイデンティティの多様化に合わせ、アイデンティティ管理とその運用、そしてモニタリングについても、多様化するユースケースごとに実施していくことが求められるようになる。

(3)デバイス（管理/セキュリティ）

　PCをはじめとしたデバイス／エンドポイント領域では、VDI（デスクトップ仮想化基盤）/DaaS（Desktop as a Service）などのシンクライアント環境からファットPCへ戻す動きが加速し、エンドポイント環境におけるセキュリティ対策に注目が集まっている。

　デバイス環境そのものに頼ったセキュリティ対策から、クラウドやネットワークも含めた「統合的なゼロトラスト環境」を目指す企業が増えている。どこからでもアクセス可能なクラウドサービスの利用拡大を背景に、親和性の高いモバイルデバイスの価値を再考する動きも見られる。EMM（企業モビリティ管理）、UMM（統合エンドポイント管理）といった管理ツールを含め、モバイルデバイス管理の強化やセキュリティの見直しが進んでいる。

●Next：組織/SRMリーダーは生成AIの急速な進化にどう対処するか