社内SEとして、中小企業のセキュリティはどうすりゃいいのかこれまでの経験から考えてみる。
数人の会社で、UTMとかPCのログ取得とか、セキュリティにわざわざ金をかけるなんて聞いたことがない。セキュリティが低いから売り上げが伸びないなんてこともまず無いし、単なるコストだ。
じゃあなんでここに金をかけるのか?心配だからだ。
自分が会社を経営していて誰かに下記の恐れがあるなんて言われたらそりゃ心配だ。
・外部から攻撃を受けてサーバがダウンする
・ウイルスに感染してPCの動作がおかしくなる
・社員の犯行で顧客リストが持ち出される
安心するためにどうすんの?と言われたら、UTMとかログ取得の仕掛けに頼ることになる。保険みたいなもんだ。導入すればとりあえず安心できるが、単なる自己満足である。攻撃受けて防ぎきったというわかりやすい結果はまず出ないので、いくら金かけても平穏無事なら導入効果すらわからない。
だから会社が小さいうちは、セキュリティに金をかける必要は無い。セキュリティをどこまでかければいいかとよく聞かれるが、現状で何か困ってなければ何もするなと答える。でも心配で夜も眠れないなら、高額なUTMでも入れてちゃんと寝た方がいい。
しかし、ある程度売り上げを伸ばしている会社はどこかでセキュリティを気にする時がやってくる。
それはこんなケースだ。
・顧客データを紛失した
・外部の攻撃やウイルス感染などでひどい目に遭った
・顧客にセキュリティを指摘された(ISMS取得企業と取引する際は必ず監査っぽいことを受けさせられる)
会社が痛い目を見たときがセキュリティを考えるタイミングなのだ。最初はセキュリティの必要性なんて誰もわからないし、社内SEが必要性を説いたところで費用対効果が無いので決裁は通らないだろう。
しかしセキュリティ関連の事件が起これば状況が一変する。どう対策すればよいか明確で費用対効果は出せるし(実害が出てたりするならなおさら)、社内の説得もしやすいだろう。何か導入するなら大騒ぎになっているときが一番だ。
それでもセキュリティ対策は不要、というならそれもよし。
運に任せるのが最もコスパが高いとも言えるが、対策はしないが何かあったら責任だけ問われるような社風ならとっとと転職してしまおう。
繰り返しなるが、中小企業のセキュリティ対策は会社が興味無いなら何もしないのが一番だ。最近のWindowsはウイルス対策も標準で付いて来るし何もしなくてもそこそこセキュアだ。
でも事件が起きたら凄まじいスピードで提案と導入ができるよう情報収集しておくことが重要だ。何か起こった際はタイミングを逃さず動けるようにしたい。