中小企業によくある課題

無料セキュリティソフトだけで
PCのセキュリティは
大丈夫?

中小企業によくある課題 Common Challenges

セキュリティソフトには有料のものと無料のものがありますが、中には無料のものであっても、有料のものと検出率に差がないケースがあったりもします。

できる限り無駄なコストは抑えたいと考えるのは企業として当然の姿勢ですが、差がないのであれば企業として使うセキュリティソフト自体も無料のもので問題はないといえるのでしょうか?

企業の担保すべきセキュリティ対策として、無料セキュリティソフトだけで対応できるのかどうか、有料セキュリティソフトとの違いなどについてお伝えします。

前提:無料セキュリティソフトのみの利用は非常に危険

最初に結論を書くと、無料セキュリティソフト単体でセキュリティ対策を完結させようと考えるのは、非常に危険です。
サポートや機能に制限がある、有料版と無料版でパターン定義ファイルの更新速度が異なっているなどの違いがある他、そもそも法人利用については利用規約としてNGとなっているケースもあります。

もし無料セキュリティソフトを利用する場合は、こうした制限や違いをきちんと理解したうえで、足りないセキュリティ対策を他のソリューション等でしっかりとカバーできるようにしましょう。

有料セキュリティソフトと
無料セキュリティソフトの機能面での違い

一概に有料と無料のソフトの違いといっても、ソフトによって個々に異なる部分があるのですべてのケースに当てはまるわけではありませんが、機能面では主に以下のような違いがあります。

機能の限定

セキュリティソフトであっても、その中には複数の機能が含まれています。
ウイルスの検出・駆除は現在無料セキュリティソフトにも基本機能として付いていますが、ファイアウォール機能や詐欺サイトの回避、迷惑メール対策などいくつかの機能については有料版にしかついていないなどのケースが見受けられます。

管理機能(ライセンスの一括管理機能など)

法人の場合は、「情シス担当者」がライセンス管理を行っているケースが多いと思われます。
こうしたケースを想定し、法人向けセキュリティソフトの有料版では「一括管理機能」が提供されていることがあり、管理工数を大きく削減することができます。
一方の無料版には当然こうした機能が実装されていることは少なく、全ライセンスを個別に管理する必要があります。

広告表示

無料での提供を続けるため、広告を表示し収益とするケースがあります。
バナーやメルマガでのテキスト広告などが送られてくるケースが多いようです。

サポート

情シス担当者として一番のネックはここかもしれません。
無料版は、無料であるがゆえに、ほとんどサポートを受けることができないと考えたほうが良さそうです。
トラブル発生時は自己解決か、もしくはメールなどでのやり取りを行う必要があり、それなりに時間がかかってしまいます。

無料セキュリティソフトはなぜ無料なのか?

無料セキュリティソフトのベンダーであっても営利企業のため、どこかで利益を生まなければ存続することができません。
当然、無料とは言いながらも利益を獲得できる仕組みを持っています。

具体的には次のようなビジネスモデルが存在しているようです。

プレミアムアカウントへのエントリー製品としての位置づけ

いわゆるプレミアムモデルです。
無料のソフトウェアは、あくまでも“まずは”使ってみてもらうための入り口として機能し、そこから先は高機能な
「プレミアムアカウント」を訴求することで、アップセルを図る形式です。
多くの無料セキュリティソフトはこの形態を取っているように見受けられます。

広告表示による収益化

無料である代わりに広告を表示し、外部企業からお金を貰うモデルです。
GoogleやFacebookなどもこのモデルであり、現代としては一般的な収益モデルともいえます。

サイトやアプリケーションの利用情報をマーケティングデータとして販売

こちらは現在ほぼ行われていないと思しきケースですが、セキュリティソフトユーザーの行動データを収集し、匿名化した大規模データとして外部の企業に販売するというモデルです。
ITP2.0などに伴いブラウザによる行動履歴がなかなか追えなくなってくる中、セキュリティソフトは原則OSの起動直後に動きだし、インターネットブラウザにとどまらずOS上の動きをほとんどすべて取得することができます。
こうした行動データは、マーケティングを行いたい企業にとって有用な情報といえます。

OS普及のためのバンドルソフト(Windows)

Windows10には「Windows Defender」と呼ばれるセキュリティソフトがバンドルされています。
このセキュリティソフトはMicrosoftが開発及び提供しているセキュリティソフトになります。
セキュリティソフトをインストールせずPCを利用しているユーザーが多いことを知り、プリインストール版として提供することを決めたそうです。
かつて競合のMacが「セキュリティソフト不要」を謳っていたこともあり、スイッチを防ぐ意味でもあったと推測されます。

いくつか収益モデルをご紹介しましたが、この中で特に問題になりがちなのが利用情報の販売です。
最近ではAvast!やAVGなどが収集したデータを第三者に販売していた事実があります。
※現在は、セキュリティ製品に利用する目的以外で拡張機能で収集したユーザーデータを利用する慣行は、完全に中止したと声明を出しています。

PCの利用実態をほぼすべて取得できる関係から、そのデータには様々な機密情報が含まれます。
ケースによっては個人情報の流出などにもつながりかねず、非常に問題となりました。

このように収益モデルにも納得できるものから、なかなか納得しにくいものまでさまざまな形態があります。
しっかりと自社(自身)での利用時に問題ないか把握したうえでの選択を行うようにしましょう。

無料セキュリティソフトを利用しても問題ないケースとは

では、こうした無料のソフトウェアを利用しても問題ないケースはどのようなケースでしょうか?
大まかには以下のようなケースとなります。

そもそも社内で個人情報を取り扱っていなかったり、端末上セキュリティレベルが高い情報をあまり扱っていなかったりするケース

事業活動を営む上で、実際はあまりないケースかと思われますが、端末はあくまでも何かの参照・閲覧用であり、ほぼ見られても問題ないような端末であるケースです。

きちんとセキュリティソフトの限界を見定めたうえで利用するケース

前述のような機能やサポートの制限、収益モデルなどをきちんと把握したうえで、自社には問題ないと合意をとったうえで利用するケースです。
情シス担当者と経営者の間で必要な機能・コスト・リスク等の判断が合致した場合が当てはまります。

無料セキュリティソフトに他のソリューションを加えセキュリティ体制の補完を行っているケース

無料セキュリティソフトの限界は把握したうえで、そこに重ねるように他のソフトウェアやサービスを利用して補完・強化などを行っているケースです。両サービスの特徴を把握して抜け漏れが発生しないかなどを正しく評価する力が必要です。

上記はいずれも情シス担当者が積極的に選定に関わり、社内のポリシーと照らし合わせてきちんと判断したうえで採用したケースとなります。
コストは抑えられるものの、最後のケースを除きトラブル発生の確率はどうしても上がるといえるでしょう。
発生する対応工数と人件費などのバランスを見て、どのような形で実現するのが良いかを考えましょう。

無料セキュリティソフトに加えることが可能な
追加セキュリティ対策

無料セキュリティソフトを利用したうえで、セキュリティレベルを高めるにはいくつかの選択肢があります。

アカウントのプレミアム化

無料セキュリティソフトが無料ではなくなってしまいますが、セキュリティソフト自体のランクをアップさせ、セキュリティレベルを高める方法です。サポートや多くの機能を利用することができるようになる、ある意味順当な対応ともいえます。

社員教育

マルウェア感染などは「怪しいメールの添付ファイルは開かない」「不審なメールにあるURLはクリックしない」など個々人の意識によってある程度防ぐことが可能です。こうした情報リテラシー教育を実施することによって、そもそも危険なケースを減らすことでセキュリティレベルを高めることができます。

ネットワーク監視ソリューションの導入

端末内の挙動を監視するのではなく、その手前で怪しい通信を監視することによって攻撃を防ぎます。もし同時にマルウェア感染などが発生した場合でも不審な通信を遮断することでセキュリティを担保することができます。

無料セキュリティソフト+その他のソリューションでコストを抑えつつセキュリティレベル向上を

無料セキュリティソフトには無料という大きなメリットと同時にデメリットも存在します。

情シス担当者としてはデメリットを理解しつつ社内全体のセキュリティレベルを俯瞰して補完するためのソリューションを適切に選ぶことが非常に重要です。

選定の際は経営者ともよく相談のうえ、リスクに対しての対応策、そしてインシデント発生リスクについての許容範囲についてしっかりと合意のうえで取り組むようにしましょう。

また、その際は管理が煩雑にならないように運用コストが抑えられるサービスを選定するとセキュリティレベルを継続的に改善できる体制を構築しやすいかと思います。

SOMPOリスクマネジメントからのご提案

企業体力が少ないうちは、抑えられるコストは抑える必要があります。
こうした環境下においてリスクを低減するためには、セキュリティソフト単体での防御に加えコストを抑えたソリューションを併用した多層防御が効果的です。

SOMPOリスクマネジメントでは解析検知・復旧支援付きで月額550円から利用できる、常駐型監視サービスをご提供しております。
無料セキュリティソフトだけでは不安があるが情シス担当者のリソースに余裕がないという企業様はぜひ一度ご検討ください。

月額550円(税込)/台で使えるウイルスの解析検知・復旧支援サービス

SOMPOリスクマネジメントがご提供するSOMPO SHERIFFは、送信ログ、ディレクトリ作成履歴などを監視し、不審な挙動をチェック。
さらにウイルス対策ソフトをすり抜けてくる新種のウイルスも解析し検知します。
加えて、標準プランでは、検知したウイルスをハンティング(駆除)も可能です。

まずはSOMPO SHERIFF 体験版をお試しいただける『パソコン無料セキュリティ診断』からご利用ください。

SOMPO SHERIFF(標準プラン)は独立行政法人情報処理推進機構(IPA)が中小企業向けのサイバーセキュリティサービスとして制定した「サイバーセキュリティお助け隊サービス基準」を満たすサービスとして登録され「サイバーセキュリティお助け隊サービスマーク」を付与されました。 ※詳細はこちら