スタートアップ企業にありがちなサイバーセキュリティ関連のミス

まだ若い会社にありがちなサイバーセキュリティ関連のミスと、対策について。

スタートアップ企業を維持するためのヒントは、インターネット上でいくらでも見つかります。大抵はビジネスプラン、マーケティング戦略、投資の呼び込みなどの問題に目を向けさせる内容ですが、しっかりとしたサイバーセキュリティシステムの構築に関する問題を扱う記事には、ほとんどお目にかかりません。しかし、サイバー脅威をよく理解していないと、ビジネスの成功が危うくなる可能性があります。そこで、この記事では典型的なサイバーセキュリティ上のミスと、そうした事態を防ぐ方法について取り上げます。

問題の根源

素晴らしいアイデアを思い付いたあなたと友人は、少人数の仲間たちと話し合いを重ね、熱心な賛同者たちを得て、夢の実現に向かう—スタートアップ企業は、そんなふうにして始まるものです。Airbnb、Pinterest、Twitter、Uberといった著名なサービスは、まさにこうしてスタートしています。

しかし、最初のアイデアを現実的なワークフローの構築や追加メンバーの雇用に移す段階になると、問題が生じます。この時点で、志を同じくする少人数の集団はメンバーが増え、人生の見方も人生経験も異なる人々の集まりと化します。そうした集団の中では、どの情報を社外秘としてどのように保護するべきかの見解も、人によって大きく異なる可能性があります。

例を挙げましょう。ある社員が、オンラインサービスのパスワードをホワイトボードに書いてあったら便利だろうと思い付きます。そうすれば、誰でも必要なときすぐに見つけられる、と思ったのです。一方、別の社員は、オフィス内で撮った自撮り写真を「外に漏らしたらいけない情報を、誰でも見られるホワイトボードに書いちゃう人なんている?」という文章を添えてSNSにアップします。この種の意見の食い違いは、若いスタートアップ企業がサイバーセキュリティの問題に遭遇する理由の一つです。この問題を解決するには、サイバーセキュリティのカルチャーを社内に作り上げるしかありません。

また、スタートアップ企業で働く人々は、熱意があって冒険心に富んでいることが多いものです。アイデアにすぐに夢中になり、興味の対象がすぐに変わって去っていくこともしばしばです。さらに、現代のスタートアップ企業は、一般的に数年の間に会社を渡り歩く傾向を持つITスペシャリストの力に頼ることがかなりあります。

この2要因が重なると、社員の頻繁な入れ替わりが生じる可能性があります。そんな状況にあっては、さまざまなミス、特にサイバーセキュリティに関わるミスが増えやすくなり、簡単に回避できるはずのサイバー脅威が見逃されやすくなってしまいます。

サイバーセキュリティ関連のよくあるミス

想像してみてください—自分の立ち上げた小さなスタートアップ企業が、いつの間にか一人前の企業になっていました。さて、ここまでにどんなサイバーセキュリティ関連のミスを経験してきたでしょう?

アクセス権の与えすぎ

会社のリソースやサービスにアクセスする必要がある社員に、いきなり管理者権限が与えられることがよくあります。権限を与える側の人は、特定の社員や特定の職責には何に対するアクセス権が必要なのかが分かっておらず、アクセス権のリクエストを毎週受けるよりは全部にアクセスできる権限を渡してしまった方が楽だと考えがちです。しかし、社員が持つアクセス権が多いほど、エラーが起きる可能性は高くなります。サイバーインシデントの発生を最小限にとどめたいのなら、ワークフローの参加者ごとに、その人のタスクに必要なアクセス権のみを割り当てるようにする必要があります。

情報保管のルールが決まっていない

これは、一般的に言って、どんな規模の企業にとってもよろしくない状況です。スタートアップ企業の場合、先に述べたように社員の入れ替わりが多いせいで、重要な作業ファイルの場所が分からなくなってしまうかもしれません。どこかにはあるはずなのに、正確な在りかが分からないのです。ファイルの置き場所を知っていた社員が、情報を誰にも引き継がないまま会社をやめてしまったりすると、こういう事態が生じます。

パスワードが分からなくなってしまう

これまたよくあるのは、会社のSNSアカウントやあまり使っていなかったサービスのパスワードが分からなくなってしまうという問題です。例えば、ある社員がビジネスのプロモーション用にFacebookやLinkedInのアカウントを作ったけれども、ログイン情報を他の人に共有しておらず、突然別の役職に異動してしまった、というケースです。ログイン情報が分からなくて、アカウントのリカバリーがほぼ絶望的になってしまったりします。

パスワードを共有する

人の入れ替わりが激しいのなら共有アカウントを使ったらよいのでは、と思う人がいるかもしれません。しかし、パスワードを知る人が多いほど、フィッシングや不注意や悪意によって漏洩する可能性が高くなります。さらに、インシデントが発生した場合の調査が非常にややこしくなります。例えば、誰かがアカウントに不正アクセスしたとしましょう。調査に当たった専門家は、パスワードがマルウェアによって傍受されたことを疑い、どのコンピューターまたは社員がアクセスしたのか確認したところ、判明したのは社員皆がアクセスしていたということだった、といった具合です。

クラウドサービス内にパスワードを置く

パスワード関連のミスと言えば、Googleドキュメント内のファイルにパスワードを保存する、というものもあります。Googleドキュメントのファイルは、そのファイルへのリンクを知っている人は誰でもファイルにアクセスできます。必要なパスワードを全部一つのドキュメントにまとめてそのリンクを送ればいいので、全社員にとって必要な情報を共有するのには確かに便利です。ただし、Googleドキュメント上のファイルは検索エンジンによってインデックス化されます。ということは、パスワードが記載されたファイルが誰かよからぬ意図を持つ人の手に渡る可能性があるということになります。

2段階認証を設定していない

パスワード関連の問題は、2段階認証/2要素認証を設定してあれば危険性を減らせる場合があります。フィッシングなどの手段から重要なデータを守ることができるので、手始めにまずは、経理関連サービスの全アカウントで2段階認証を設定してください。

サイバーセキュリティの一般的なヒント

このような「よくあるミス」を避けるため、以下のヒントをぜひ実践してください。

  • 会社のリソースやサービスへのアクセス権を与える場合には、「ゼロトラスト」の原則に従いましょう。つまり、社員には、自分のタスクを実行するのに十分な最低限のアクセスしか認めないようにする必要があるということです。
  • 自社の重要情報がどこにあり、誰がアクセス権を持っているのかをきちんと把握しましょう。その上で、各社員が必要とするアカウント、一部役職のみに限定するべきアカウントの定義などを網羅した、新入社員向けのガイドラインを作成してください。
  • 企業のサイバーセキュリティカルチャーが成熟していれば、多くのサイバー脅威を防ぐことができます。例えば、皆が同じ意識を持てるように、社員向けサイバーセキュリティマニュアルを作成するところから始めるのもよいでしょう。こちらの記事で紹介しているガイドラインが役立つと思います。
  • パスワードはすべて、安全なパスワードマネージャーに保管しましょう。こうすることで、社員がパスワードを忘れたり無くしたりすることがなくなりますし、部外者が社員のアカウントにアクセスする可能性を最低限にとどめることにもなります。2段階認証を使える場合は、必ず設定してください。
  • 席を離れるときはコンピューターの画面をロックするように、社員に伝えましょう。オフィスには配送業者、お客様、取引先、就職希望者など外部の人が入る場合があるのだということを、社員が常に意識するようにすべきです。
  • ウイルスやトロイの木馬など悪質なプログラムからデバイスを守るため、デバイスにウイルス対策ソフトをインストールしましょう。

カスペルスキー スモール オフィス セキュリティは、脅威の大半を阻止することができます。ランサムウェアやよくあるサイバー脅威から保護する機能だけでなく、パスワードマネージャーも付属しています。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?