脱VPNは夢のまた夢？　日本のゼロトラストの進捗状況が調査で判明：セキュリティニュースアラート

　日本企業における生成AIの利用率は65.3％であったのに対し、米国（99.2％）やオーストラリア（100％）と比較して低い水準にあることが分かった。特に日本では社内の個人利用が主流（51.4％）であり、顧客向けサービスでの活用は6.3％にとどまっている。

　一方、米国およびオーストラリアでは社内向け業務や顧客向けサービスでの活用が進んでいることが明らかになった。この他、生成AIの活用に関する課題として、日本企業では「入力可能なデータの判断」や「ルールを策定する人材の不足」（ともに45.7％）の割合が高い。米国では「利用コストの予測」（47.6％）、オーストラリアでは「ルールを策定する人材の不足」（44.4％）が課題として認識されており、日本企業は特にデータ管理に対する懸念が強い傾向がみられる。

　ゼロトラストセキュリティについては日本企業の21.1％が「ゼロトラストを全面的に実装している」または「ゼロトラストを一部実装している」と回答し、2年前の調査と比較して7.8ポイント増加した。

　一方で「ゼロトラストを検討したが実装しなかった」企業の割合も9.1％と4ポイント増加した。これらの回答から多くの企業が実装の要否を決定する段階に移行していると推測されている。VPNの使用状況については、約8割の企業が「今後も使用を継続予定」と回答する一方で、6.8％が「使用停止を検討している」、2.9％が直近一年間または一年以上前に「既に停止した」と答えた。「使用停止を検討している」または「使用を停止した」と回答した企業の62.2％が「ゼロトラストセキュリティ推進による脱VPN」を理由として挙げている。この回答からサイバー攻撃の標的となりやすいVPNの利用を止めて、より高度なセキュリティ対策へと移行する動きが広がっているとみられる。

　サイバー攻撃への対応力と回復力を示す「サイバーレジリエンス」については、日本企業全体の24.7％が「サイバーレジリエンスを理解している」と回答したが、従業員1万人以上の大企業ではその割合が80.0％に達した。企業規模が大きいほど、アタックサーフェス（攻撃対象領域）が広がり、サプライチェーンリスクへの関心が高まることが影響していると考えられている。

　実際に「サイバーレジリエンスを理解し、実践している」と回答した企業の取り組みとしては「訓練・教育の実施」（71.2％）や「技術的対策の強化（検知・対応・復旧）」（61.0％）が上位に挙がった。サイバー攻撃への対策だけでなく、攻撃の検知や復旧対策の強化が企業にとって重要な課題となっている。

　IT関連予算に占めるセキュリティ関連予算の割合については、2023年度の調査では「10％以上を占める」と回答した日本企業は22.3％だったが、2024年度は29.8％と7.5ポイント増加した。ランサムウェア攻撃の多発などを背景に、セキュリティ投資が拡大していると推測できる。

　今回の調査からゼロトラストセキュリティの実装が進みつつあること、サイバーレジリエンスへの関心が企業規模によって異なること、そしてセキュリティ関連予算が増加傾向にあることが明らかになった。DX推進や生成AIの活用が進む中、企業は新たなセキュリティリスクへの対応を求められており、今後もセキュリティ対策の重要性が高まると予測されている。