中小企業では、IT専門担当者を配置する余裕がある企業は少ない。兼務で1人いるか、配置ゼロがほとんどである。そうなると、そこを脆弱点として狙うことを考える人も出てくる。残念ながら、事実である。
最近の中小企業のITの実情を聞くと、これはあまりにひどいではないか・・・という事例もあった。ぜひ、ここで紹介する手口を理解していただき、このような契約をしないよう強く推奨したい。
今回はセキュリティ対策についてお話する。IT専門家が不在の中小企業では、セキュリティを不安に思う経営者も多い。一昔前は、所詮中小企業だから狙われることはないと考えている経営者もいたが、最近では、そのような人は少なくなってきた。特に、情報を暗号化され鍵が欲しければビットコインで払え、というような事件を聞いたりすると、どのように対策したらよいだろうか、ウイルス対策ソフトウエアだけで十分だろうか・・と相談する経営者も増えてきた。
ある経営者にセキュリティ対策について聞くと「我が社は、UTMというセキュリティ対策万全な機械を付けているから大丈夫だ。その機械は、セキュリティ対策を100%対策してくれると聞いている」自慢げにお話されていた。次に、その導入価格を聞けば、「月額1万円、5年契約だ」と言う。
解説しよう。UTMとは、UTM(Unified Threat Management)は、統合脅威管理と呼ばれるセキュリティ対策のハードウエアとソフトウエアを組み合わせたアプライアンス製品が主流である。ファイアウォール、IDS/IPS、Webフィルタリング、アンチウィルス、アンチスパムなどのセキュリティ機能を一つのハードウェアに集約する。中小企業にとっては、適切に導入すれば必要な機能が用意されており非常に有効だ。
この社長の誤解は2点。
1点目は、調達価格である。契約価格は1万円×12ヵ月×5年間=60万円になる。この企業の利用パソコン数、ネットワーク規模を考えれば、小規模企業向けの最低ラインの機能で十分。購入する場合の相場感は、5年分のライセンスもついて、1台10万円~20万円程度だ。この会社の契約に手厚いサポートサービスが付いているのであれば理解できるが、そのようなことが書かれた契約書は無い。また、保守契約が付保されており、リース料と保守料が含まれたメンテナンスリース契約であるかどうかもわからないということだ。
2点目は、セキュリティに対する誤解である。UTMを導入していれば100%近いセキュリティが確保できるということは全くない。大きな誤解である。セキュリティ対策はバランス良く整備しなければ意味は薄い。導入した会社はそのような説明もせず、単純にUTMを入れれば安心安全だ、かつ完璧だと売り込んで販売していたと思われる。しかし、リース契約であるゆえ、現実的にはこの契約を解約することは難しい。
このように、IT関連知識、製品の相場観、IT運用の知識がないと高額な調達になってしまうこともある。特に、情報システム関連の場合、中期~長期間利用し続けるため必要に応じて適切な保守契約も必要である。したがって、IT全般の見直し、情報システムの入替を検討するときには、ぜひ、公平中立な立場で専門家の支援を受けることを推奨する。