2017年5月、スパムメールを通じて拡散する大規模なランサムウェア(身代金要求型マルウェア)攻撃のニュースが、世界を駆け巡りました。このランサムウェアの影響は非常に大きく、イギリスでは国民保健サービスのシステムや医療施設、スペインでは大手通信企業なども被害を受けています。

次から次へと現れる新たな脅威から社内の情報端末やネットワークを守るのは企業の責任という認識は大きく広がりましたが、その実、専門の知識を持たない社員がセキュリティ担当を兼務している、という中小企業は少なくありません。

もちろん、セキュリティソフトを適切に使用すればそれでも特に問題はありません。しかし、「突然セキュリティ担当者になり、セキュリティソフトの導入を任されたが、どれを選んでいいのかわからない」「現在のソフトで大丈夫だろうか」という不安の声もよく耳にします。
その中でも多いのが、「今、会社で個人向けセキュリティソフトを使用しているが、問題はないのだろうか」という疑問。
今回は、企業内で個人向けセキュリティソフトを使用する際の注意点をご紹介します。

「個人向け」と「法人向け」、何が違うの?

セキュリティ対策ソフトは、大きく分けて「個人向け」と「法人向け」の2つに分類されます。

「個人向け」製品個人や家庭のコンピュータでも使用されるセキュリティソフトのことを指しています。ソフトを使用する台数が少ない場合は、個人向けのソフトでも十分企業用として代替が可能。設定はそれぞれのコンピュータで行う必要があります。
「法人向け」製品管理サーバやそれに類するものを企業が用意し、そこから集中的に全てのユーザのコンピュータに対して設定やアップデートを行うことができます。

一番の違いは「価格」

「個人向け」「法人向け」の最も大きな違いは、ずばり「価格」です。法人向けセキュリティソフトは、個人向けのものに比べて、最小構成のライセンス単価が大きく跳ね上がります。

法人向けは使用人数が多いほど安くなる

ただし、法人向けセキュリティソフトは、ソフトの使用人数が多ければ多いほど、コンピュータ1台あたりの費用は安くなります。
法人の場合、使用するライセンスの数は10ユーザ以上からが大半。しかし、データを集約するためのサーバを用意しなくてはならないケースもあるため、別途費用が必要になることもあります。

メンテナンスの手間も見逃さずに

一元管理ができない個人向けソフト

個人向けソフトと法人向けソフトの、コスト以外の違いは、メンテナンスの手間の大小です。

個人向けソフトは個別のコンピュータの立ち上げごとに、設定やアップデートが必要になります。そのコンピュータが起動していなければ、ライセンスやアップデートの管理ができず、それぞれきちんとアップデートができているかの一元確認もできません。

また、アップデートの後の強制再起動も、個別に確認する必要があります。コンピュータが再起動されていないと、せっかくアップデートをかけてもプログラムが有効にならないケースがあるためです。

ユーザの意識が高ければ大丈夫?

そのコンピュータのユーザがそれぞれアップデートをきちんと意識し、実行していれば解決するのでは、と考える方もいるかもしれません。しかし、例えばそのコンピュータを使っている社員が長期休暇を取得した際や、怪我や病気で長い期間休んだ場合には、その間コンピュータが起動されないことも珍しくありません。復帰してコンピュータを立ち上げ、ネットワークをつないだ瞬間にアップデートがかかっているかどうかを、個人向けセキュリティソフトでは確認することができません。アップデートが完了する前、つまり脆弱性が存在する状態でインターネットに接続し、外部からのサイバー攻撃を受けてしまったら、個人情報漏洩などの大きなセキュリティ事故を引き起こしかねない、ということなのです。

一元管理でより簡単に安全性を確保

その点、もともと大人数の企業ユース向けに設計されている集中管理型セキュリティソフトは、より簡単に安全性を担保できるようになっています。

法人向けソフトは多くの場合、コンピュータの状況を集中管理する「管理コンソール」上でも、個別のコンピュータの設定を変更することができます。個別のコンピュータのセキュリティ設定がどうなっているか、アップデートがかかっているかの確認なども、管理コンソール上ですべて行うことが可能です。

外部ネットワークにつながる前に、集中サーバを用いて、アップデートがかかってから初めて外部ネットワークにつなげるようにも設定できるため、セキュリティ担当者による管理の手間を大幅に省くことができます。

「個人向け」ソフトの大きなリスク

複数のユーザが使うのはNG?

本来は家庭で使用するために設計された個人向けソフトを企業で使う際には、管理が不便になりうること以外に、ひとつの大きなリスクが考えられます。
それは、ライセンスの問題。

ホーム向けのソフトは契約約款に「1ライセンスにつき何台のコンピュータが適用されるか」が記してあります。基本的には「1人のユーザが使う場合にのみ」と規定されていることが大半です。

複数台にソフトを使用することは、技術的には問題ありません。しかし、使用すること自体は可能でも、会社内など複数のユーザが使う場合、本来的には利用規約に対する違反行為になりえます。

サポート対象外、訴訟の可能性も

その場合、インストールや設定などで何らかの問題が起こったとき、サポート窓口へヘルプを求めても、「規約に反する使い方をしているので対応できない」といわれてしまう可能性が存在するのです。

さらに、損害賠償や訴訟のリスクも皆無ではありません。ライセンスを選び、使う際には、その認識を忘れないことが大切です。

結局どっちがいい?

自分がセキュリティ担当者としてソフトを選ばなくてはいけない場合、個人向けソフトでも問題ないのか、もしくは法人向けを使わなくてはいけないのかの線引きは、企業の従業員数とコンピュータの台数の規模で変わってきます。

従業員数のボーダーは20人

どちらのタイプにするのかは、メーカーの窓口で使用予定台数を告げて教えてもらうことはできますが、従業員数だけで判断するなら、一般的なボーダーの基準は、20人です。

意外と少ないように思えるかもしれませんが、実際にライセンス価格が金額に見合った性能になるのは平均20人から。もちろん製品によって値段は異なるので、どちらにするのかは、すでに記したメリットとデメリットを勘案して考えることが必要です。

進化している個人向け製品

個人向け製品でも、最近はインストールが非常に手軽になり、ネット上の集中管理コンソールからインストールするファイルをダウンロードするだけで設定できるタイプも増加しています。

面倒な「ライセンスキー」は不要に?

また、従来の個人向け製品では、「ライセンスキー」という形で、ライセンスを番号で管理しているのが一般的でしたが、クラウドでの集中管理の増加により、ライセンスをそれぞれ番号で扱うことが少なくなってきました。

1つのアカウントで複数台のコンピュータを集中管理コンソール上で動作確認することが増え、個別のライセンスキーの保存や何番がどれに適用されているかなどを考えなくても、比較的簡単な管理が可能になってきています。それは、個人向けのものでも法人向けのものでも同様。セキュリティ担当者にとっては、「とても楽」な時代になってきたといえます。

個人向けから法人向けへ切り替えるタイミング

それでも、20人を超えると、ライセンス管理が大変になり、個別のユーザがしっかりアップデートなど行っているかの把握や確認も難しくなります。1人のセキュリティ担当者が目の届く範囲で、判断ができる範囲の上限も、大体この人数が限度と考えておいた方が無難です。集中管理ができなくなると、セキュリティ担当者の他業務がままならなくなってしまうので、セキュリティソフトの切り替えを考えるなら、この人数や台数になったタイミングで行うのが望ましいと考えられます。

ソフトの導入は費用以上に、労力や工数がどのくらい増えるのか減るのかを見据えて選ぶことが、重要な時代になってきているのです。

「法人向け」ソフトを選ぶときのポイント

1ユーザあたりの価格を事前にリサーチ

セキュリティソフトのライセンス契約にはいろいろなパターンがありますが、法人向けソフトで多いのは、「集中管理コンソール費用+ユーザアカウント数」のパターンです。

将来コンピュータの台数が増えたら

ライセンスの値段は、基本的にはメーカーごとに大きく異なるため、事前にしっかりリサーチをすることが望ましいといえます。1ユーザあたりいくらになるか、ソフトを集約したときの値段がいくらになるかに加え、将来的に使用するコンピュータの台数が増えたときや、何台まで増える可能性があるかなどまで考慮して価格を調べる必要があります。

コンピュータの台数やユーザ数が増えたとき、サポートの対応やライセンスがどのように変わるかも、メーカーによって違いがあります。法人向けライセンスの場合、近年は法人向けサポートの充実化が進んでおり、窓口でコンピュータの増加や使用予定台数の相談をすれば、確認はメーカーにすべてしてもらえることも多くなってきました。

検出率精度はほぼ同レベル

セキュリティソフトは一昔前まで、動作の軽さやマルウェアの検出率の高さというものがベースの理由となり選ばれていました。しかし昨今の有償ソフトは、どのメーカーのものでもほぼ差がないほど、検出精度が向上しています。

どんな機能をプラスしたいかを見極める

ベースとなるファイアウォールやアンチウイルス、アンチマルウェアなどセキュリティの機能は同レベルになってきていても、法人向けセキュリティソフトの場合、業種によってプラスアルファで必要とされる機能の違いは存在しています。迷惑メール処理やデバイスの制御、アプリケーションの動作制御機能の有無など、セキュリティの機能以外に欲しい機能があるがどうかが、セキュリティソフトを選ぶ際の新しい参考になるといえるかもしれません。

「サポート」の充実が大きな基準に

最も大きなポイントとなるのは機能自体よりも、サポートの存在です。メーカーごとに特色や違いがあるのは、設定のしやすさやサポート窓口のつながりやすさ。何かサポートを受けたいときに、待たされずにすぐに窓口につながるかどうかや、問い合わせした際のわかりやすさ、サポートがどれだけ汎用的か、導入がしやすいかなどが、現在のセキュリティソフトの選び方の大きな基準になってきています。

最後に

膨大なセキュリティソフトの中から最適なものを選ぶということに対する重圧は大きいものです。しかし、しっかり比較検討すれば怖いものではありません。

また、個人向けのセキュリティソフトに慣れていると、集中管理型のセキュリティソフトは難しく感じ、躊躇してしまうこともあるかもしれません。しかし、数十人規模の中小企業においては、個別のコンピュータ一つひとつに割く時間を考えれば、その時間を集中管理型のセキュリティソフトについて学ぶ時間にあてた方が効率的と言えます。ぜひ選択肢の一つに加えてみてください。