時代が逆行している
私の会社は東芝テックさんの販売代理店でもあり、協業していく関係にあります。
ただ、何でもかんでも売ればいいとは思っていません。
特に UTM の販売に関しては慎重です。
先日、仲の良い営業マンから「なんでUTM売らないの?」と聞かれました。
そのときは急だったのでうまく説明できませんでしたが、改めて理由を書いてみます。
そもそもUTMって何なのか?
UTM(統合脅威管理)は、ファイアウォール・アンチウイルス・Webフィルタリングなどを1台にまとめた“全部入りセキュリティ機器”です。
テックさんも最近よく売っていますし、営業トークとしては「インターネットの入り口を守る」「スパムも防げる」と説明しやすい商品です。
でも私は、UTMは 不安を煽ることで売られてきた商品 だと感じています。
現実の攻撃手法とズレている
昔からBOX型ファイアウォールはありましたし、ゼロックスのBeatboxなどもありました。
このインターネットの入り口に置く手法。
これらは「玄関の鍵を強化する」ような発想です。
しかし、今の時代、現実的か?
セキュリティの世界では、“鉄壁を破るより、成りすまして入る方が簡単で効果的”
というのが常識です。
これは遡って考えると良く理解できますし、住宅の防犯を例にとれば理解できるでしょう。
つまり、玄関をどれだけ強化しても、泥棒は窓や裏口、あるいは住人になりすまして入ってくる。
これが現実です。
UTMはこの現実に逆行しています。
最近では「アイデンティティ(認証)の悪用」や「ソーシャルエンジニアリング」などの用語も出始めているのになぜか?日本ではUTMが未だに売れるのか?
ちょっと不思議です。
営業トークは間違いではないが、現実的ではない
営業マンはよくこう言います。
「ポートスキャンで常に狙われている」
「UTMがないと危険」
「スパム対策にもなる」
「ハッカーは常に狙っている」
確かに“間違いではない”のですが、確率的には非常に低い話 です。
もし本当に危険なら、
「じゃあルーターのメーカーは何してるの?」となるはずです。
ルーターのメーカーはルーターのメーカーでセキュリティを強化しています。
実際、ルーターにも基本的な防御機能は標準で備わっています。
UTMは“保険”でしかない
UTMを導入する理由を一言で言えば、「保険」 です。
それ以下でも、以上でもありません。
保険である以上、
・100%守れるわけではない
・むしろ誤作動で業務を止めるリスクもある
・入れていることを忘れてトラブルの原因になる
・契約していることを忘れない
という現実があります。
実際、メールが届かない・送れないなどのトラブルで調査すると、「UTMが原因だった」
というケースは珍しくありません。
返って邪魔するケースもありますから、お客様はリスクを負うんです。
私が思うに最大のセキュリティは“人が理解して使うこと”
どれだけ高価な鍵を付けても、
・鍵を無くす
・スマホ連動機能が使えなくなる
・仕組みを理解していない
などが起きれば、逆に不便で危険です。
UTMも同じで、実は仕組みを理解していないまま導入するのが一番危険なんです。
一般企業であれば、
・ウイルス対策ソフト
・基本的な運用ルール
これが現実的なラインだと思います。
せめてUTMなどを導入するのであれば、管理する社員が必要です。
売るなら「保険として売るべき」
私は売り方が問題だと言うことを言っています。
ですから、UTMが全く無意味とは言いません。
ただし売るなら、
「効果は限定的です。邪魔になる可能性もあります。でも保険としては意味があります」
と正直に説明してほしい。
お客様のリスクもかなりあると思いますので、それでも納得して買う人に売るべきだと思っています。
そうしなければ、そのうち「UTMが詐欺商法」ということが何かのタイミングで出始めたら、信用を無くすと思います。
信用を勝ち取るのは大変ですが、失うのは一瞬です。
私はそういう性格なので、サラリーマンでもUTMは売らなかったでしょう(笑)
だからこそ自分で好きなように自由にビジネスができる「起業」を選んだのかもしれません。
以上
