違和感は、月額8,000円から始まった
個人事業主の方と話していたとき、
まったく別の話題から、セキュリティの話になった。
聞けば、
月々8,000円のセキュリティ機器を導入しているという。
正直、その時点で少し引っかかった。
まず、環境を聞いた
気になって、環境を聞いた。
- 家庭用Wi-Fi
- パソコンは1台
- ファイルサーバーなし
- クラウドも未使用
- 顧客情報はUSBメモリで管理
この時点で、
頭の中にネットワーク図が浮かぶ。
そして、自然にこう思った。
「……その機器、何だ?」
ネットワークについている、と聞いて
設置場所を聞くと、
「ネットワークのところについている」とのことだった。
そこで一気に察しがつく。
UTM(統合型セキュリティ機器)だな、と。
調べてみると、やはりそうだった。
その瞬間、
頭の中でほぼ反射的にツッコミが入った。
「いや、この環境でUTMはいらんやろ」
私が思ったこと
誤解のないように言うと、
UTM自体が悪いわけではない。
企業規模や環境によっては、
必要になるケースもある。
でも、この環境だ。
- PC1台
- 社内ネットワークなし
- サーバーなし
- VPN接続も想定されていない
この構成で、
ネットワーク境界に高価な機器を置く意味は、かなり薄い。
やるなら先に考えるべきことが、他にある。
決定打になった一言
話を続ける中で、
その方が、ぽつりとこう言った。
「実は、後からプロバイダの営業の人(セキュリティ機器導入会社とは別の方)に
『この環境なら、ウイルス対策ソフトで十分だと思いますよ』
って言われたんです。」
──うん、同意。
セキスペとしても、
その意見には強く同意した。
でも、もう遅かった
問題はここからだった。
そのセキュリティ機器は、
8年契約だったという。
8年。
聞いた瞬間、正直こう思った。
「8年!? そんな契約ある?」
解約もできない。
だから、次の更新はしないつもりだ、と。
問題は、機器ではない
この話で一番の問題は、
UTMを入れたことではない。
もっと根が深い。
- 環境を確認しないまま
- 「サイバー攻撃が怖い」という感情に乗せて
- 「対策が必要」という言葉だけで
- 長期契約が成立している
ここだ。
セキスペ目線で見ると、何が起きていたか
セキュリティは本来、
- 何を守るのか
- どこが入口なのか
- その環境に、どんな脅威が現実的か
を見たうえで、初めて選ぶものだ。
しかし、このケースでは、
「サイバー攻撃対策」という言葉が、
環境確認をすべて飛ばしてしまった。
判断は、
対策を選んだ時点で終わってしまっている。
だから、強く違和感が残った
私が一番引っかかったのは、ここだ。
この環境で、
この対策が選ばれていること。
そして、
それが8年間、見直されない構造になっていること。
セキュリティの失敗というより、
判断の順番が、完全に逆だった。
セキスペとして引いた線
セキュリティ対策は、
「入れたかどうか」ではない。
環境を見たかどうかだ。
環境を見ずに選ばれた対策は、
安心感は与えるが、
安全性を保証しない。
このケースは、
その典型だと思っている。
だから、この違和感は、
記録しておく価値がある。
セキュリティの話をするとき、
まず何を見るべきか。
その線が、ここにははっきり現れている。
コメント