何を守るのか(漏れたらどう困るのか／なくなったらどう困るのか)をまず明確にしたうえで、影響の大きいものから対策を打つべきかと。
このへんが参考になるかな？
↑失礼。見るの疲れた。

何を何からどうやって守るのか、を明確にできてないと無駄なお金になってしまうかもしれません。
ちなみに価格は製品価格がそんなもんのようなので私は高い気はしません。

コスパがいいかはおいておいて、まずは知識をつけるのが有効だとは思います。
分からないものを分からないまま使って、あぶないリンクを踏んでしまうわけで、それが分かるようになれば、「ウイルスにまたやられ」ることも減るでしょう？

UTMでできてGSuiteでできないことのうちの一つにアクセス制限がありますが、例えばメール以外のリンクから悪意のあるURLをクリックしたときにGSuiteでは何もできませんが、UTMはブラックリストに基づきアクセス制限をかけていますので、外せば止める手立てもなくなりますね。(他にも似たようなことをやってくれるものはありますが)

UTMが過剰かどうか、は会社規模にはあんまり関係ない話だと私は思っていて、知識さえあればオープンソースUTMなんてものもあります。ただそれで守れなかったとしても利用者の責任ですし、どこかにサポートをしてもらったりすればお金はかかります。(なので私はセキュリティ製品は買います)
守るためにUTMが必要、ということであれば過剰ではないでしょうし、身の丈に合わない、ということであれば守ってるものも身の丈に合ってないのかもしれません。

the-key59さんこんにちは。

sysjojoさんもおっしゃっている通りセキュリティ対策は「何をどのレベルで守る必要があるのか」を中心に考えていく必要があると思います。

今回のケースでいうと、ランサムウェアに感染してしまった経緯から「今後はPCのデータを損失したくない」というだけなのであれば、おっしゃるようにUTMよりもバックアップの方が確実で安くあがると思います。
逆に「今回はデータの損失で済んだけれども、今後は情報漏洩含め十分に対策しないといけない」ならばUTM導入も納得できます。

業者については後者のような相談なら金額含め特段変な提案でもないかと思います。
強いて言うなら7年間も使える製品なのか（一定以上の効果があるのか）という疑問と運用保守も含めて提案してほしいかな、という点は気になりますが。。。

sysjojoさん、easyriderさん

返信ありがとうございます。

「守る対象を決めてから、どのようにして守るのかを決める」がやはり重要ですね。

資金に余裕があるわけではないので、データ損失の対策に留めるか、情報漏洩対策
も含めて考慮するかは、保守運用に対するコストを比較して考えたいと思います。

製品の金額は高いというわけではないというのを知れて安心しました。
ただ、7年というのはやはり気になるので、ここは業者に確認してみます。

現在、業者に導入時のパラメータの確認をしているのですが、「メーカー推奨値に
しているからメーカーに確認してみますね。」という返信が。
いまいちこの業者も信頼しきれていないというのも正直なところです、、、

現在、業者に導入時のパラメータの確認をしているのですが、「メーカー推奨値に
しているからメーカーに確認してみますね。」という返信が。

「このパラメータで問題ない？」みたいな聞き方するとこういう風に返されるかもですね。
メーカーが一番ノウハウを持ってるハズで、メーカー推奨値を変えるようなことをする方が「なんで？」と私は思いますが。
こちらのニーズに合わせて変えていて、きちんと説明してくれれば問題ないですけどね。

メールの脅威やWebサイトの脅威は　UTM 100 Std　で対応できますが、

USBメモリ経由でウィルスが来た

というのは対応できないのではありませんか？

アンチウィルスの各パソコンへの配布はされているのでしょうか？

UTM 100 Std　が付いていないインターネット回線はありませんか？

https://www.yrl.com/simplitedge/index.html
PCとセキュリティ対策、バックアップがセットになったサービスです。

UTM100Std/Proを入れられているということなので、社内に居る分には悪質なWebサイトやメールからの防御はあるものかと思います。

価格についても、7年ライセンスだとおおよそ100万ぐらいだったかと思うので、月額8000円はそこまで高いとも言えないと思います。（おそらく初期費用はそこそこ支払って、残りは代理店側で分割しているかと思います。）

これが過剰かどうか…と考えると、ざっくり二つの面で考えられると思います。
ひとつは、セキュリティー要件として適切かどうか。
これは、出入り口対策として、製品の仕様上（性能はさておき、機能として）ウイルスメールの防御とスパムメール隔離、WEBウイルス防御、フィッシングサイト防御、URLフィルタリング、スパイウェア、メッセンジャー防御と割とそろっているので、これらを使うなら足りてるのかもしれません。

もうひとつは、オーバースペックでないか。
具体的な性能はわかりませんが、推奨40ユーザーというところをみると、そこそこパワーはあるのではないかと思います。
端末数は分かりませんが、4名程度の小さい企業とのことなので、スペックとしては持て余してる可能性もありますが、今後の拡大を見据えてオーバーなものを入れることは往々にしてあります。

お金的なことを考えるとき、トラブルが起こったときのコストと平時のコストを比べることがありますが、正直比較にならないのが現実です。
トラブルがあったら復旧する手間が発生するのは当たり前ですし、平時の備えがないとそもそも復旧できません。また、問題を起こりにくくしてトラブルを絞るといった対策の仕方もあるかと思います。
常にセキュリティ対策は、ある程度の要件を定義してこれもやりつつあれもやるといった具合です。

たしかに、G-suiteであればGoogleのクラウドでGoogleの仕組みで保護されるでしょう。外にあるので社内でクリティカルなことがあっても（たとえ、事業所が消し飛んだとしても）、とりあえずGoogleとインターネットが生きていれば他の拠点で仕事が出来ます。（乗っ取りなどはないものとします。）が、ものが違うのでそれはUTMで社内のネットワークに対策をすることと等価での比較は不可能です。なぜなら、UTMを入れるのは拠点内のネットワーク内での保護を目的にしているので、その拠点内でのトラブルを減らすことに注視した対策だからです。

変な話ですが、UTMのURLフィルタリングでG-suiteにしか行けないようにして、G-suiteを活用するといったことをすると、いまでているものを利用して考えられる限りわりと最強のセキュリティーパフォーマンスになると考えられます。（利便性はすこぶる低下しますので、通常はやりませんが…）

ところで、質問内容を読む限り、出入り口の対策はされているようですが、エンドポイントの対策は如何でしょうか。
結局問題を起こすのは人間なので、端末ごとの対策（セキュリティソフトの導入など）はもちろんですが、個々人の努力においてITに関するリテラシーの取得が必要になってくるものと思われます。

対策したところで、重要性がわからないと手間だから適当でいいやとなってしまい、お座なりになっていきます。常にセキュリティーと利便性はトレードオフであることを認識する必要があります。

つぎはぎで書いたので変なところあるかもしれませんが、だいたいこんな感じだと思います。

sysjojoさん、desatoさん、nsさん、AKYM21さん

お返事ありがとうございます。
お礼が遅くなり失礼致しました。

エンドポイントへのウイルス対策ソフトの導入はしております。
また、UTMを経由しないインターネット回線もありません。

通信機器の減価償却が6年ということを考えると、7年という長さもそれほど
極端ではないのだろうという認識を持てました。

今弊社で実施しているセキュリティ対策は、UTMとウイルス対策ソフトの導入、
一部データのバックアップ取得といったところなので、UTMの運用面を考える
必要がありそうです。

機能を理解し、定期的なチェックを行う。当たり前のことですがこれをちゃんと
出来るようになれば価格面に対する納得感も増しますしね。