はじめに
セキュリティ対策にフリーソフトを使っている会社を見かけることがあります。
一見コスト意識が高いように見えますが、実態はそうではないケースが少なくありません。
この記事では、フリーソフト依存の組織に潜むリスクと、転職時の見極め方をまとめます。
なぜフリーソフト依存になるのか
典型パターンは次の3つです。
- セキュリティに投資する予算がない
- 社内にセキュリティ判断できる人材がいない
- 技術的な検証をする時間を与えられていない
この状態の会社は、
「とりあえず穴を塞ぐ」対処を繰り返す文化
になりやすいです。
事例① 無償の裏側を考えない会社
ある会社で使われていたのが ブラウザ拡張の Web of Trust(WOT) です。
安全なサイトかを判定する拡張機能として広く使われていましたが、
後に次の問題が発覚しました。
- ユーザーのブラウジング履歴を収集
- 個人特定可能な形で販売されていた
つまり
「無料の代わりにデータを売るモデル」
だったのです。
少し考えれば、
なぜ無料で提供できるのか
という疑問は出るはずです。
しかしITリテラシーが低い組織では
- 「無料で便利そう」
- 「セキュリティっぽい」
という理由で導入されてしまいます。
事例② 脆弱性対応がさらに危険
別のケースをご紹介します。
圧縮ソフト Lhaplus(ラプラス) に脆弱性が見つかったとき、 ある会社では代替として
の導入を推奨しました。
CubeIceは中国系のバンドルソフトが一緒に付属されるソフトとして有名で、あまりSier内で採用されることはないのですが、 この会社では、中国系バンドルソフトを含み、不要なソフトが自動インストールされる可能性があるようなソフトを推奨ソフトとして社内に導入しています。
つまり、脆弱性対策の結果、別のリスクを導入している ことになります。
よくある思考パターン
こういう会社に共通する考え方があります。
穴は塞げばいい
しかし実際には
- その塞いだツールは安全か
- 別の穴を作っていないか
- データが外部に流れないか
という視点が欠けています。
結果として
「セキュリティ対策ツールがセキュリティリスクになる」
という本末転倒が起きてしまいます。
転職時にチェックすべきポイント
面接や社員口コミで次の点を確認すると判断しやすいです。
セキュリティ投資
- 有償セキュリティ製品を使っているか
- SOCやEDRの導入状況
ソフトウェア管理
- ソフトのインストール権限
- ホワイトリスト運用
IT部門の意思決定
- ツール導入の審査プロセス
- セキュリティレビューの有無
見抜く質問例(面接)
かなり有効な質問です。
- 「セキュリティツールは何を使っていますか?」
- 「ソフトウェア導入の承認フローはありますか?」
- 「EDRは何を入れていますか?」
回答が
- 「フリーソフト中心」
- 「特に決まっていない」
であれば要警戒です。
おわりに
フリーソフト自体が悪いわけではありません。 問題は判断能力のない組織が使うことです。
セキュリティで重要なのは
ツールではなく意思決定の質
です。
セキュリティ対策をフリーソフトに依存している会社は、資金力・技術力・意思決定の質のどれかが弱い可能性が高いです。 転職先としてはリスク要因になりやすいといえます。
転職では次の点を見極める必要があります。
- IT投資をする会社か
- セキュリティを理解している組織か
- 「無料」に飛びつく文化がないか
これを見誤ると、
入社後に自分が火消し役になる可能性が高いです。
本サイトへのご意見、お問い合わせなどありましたらこちらからご連絡下さい。
お問合せフォーム