スタートアップ企業と情報セキュリティ

2019年4月26日

スタートアップ企業に関わる人々は、アイデアの実現に情熱を燃やし、1日も早く実行したいと考えるものです。大抵は金銭的に厳しく、製品開発、販売促進など諸事に多額の費用を必要としています。新進気鋭のビジネスパーソンたちは、優先順位を考えるときに、情報セキュリティ関連を軽視することが多いようです。この記事では、情報セキュリティをおろそかにすべきではない理由を説明します。

ハッカーの栄養はスタートアップ企業の毒

多くのスタートアップ企業は、サイバーセキュリティに関する費用を節約しようとします。限られた資産しか持っていない小さな企業がサイバー犯罪者に狙われることはない、と思っているのです。しかし実際は、誰もがサイバー犯罪の被害者になる可能性があります。そもそも、サイバー脅威の多くは規模が非常に大きく、攻撃者は広範囲を対象に、できる限り多くの人を攻撃して少しでも見返りを得ようとします。また、スタートアップ企業はセキュリティ対策が甘いことが多く、サイバー犯罪者にとっては魅力的なターゲットなのです。

サイバー攻撃を受けた企業が回復を遂げるには何か月もかかることがありますが、小規模な企業の場合、回復できずに消えてしまう恐れがあります。2014年、悪意あるサイバー犯罪者の攻撃によって、Code Spacesというスタートアップ企業が廃業に追い込まれました(英語記事)。同社は、共同プロジェクトの管理用のツールを提供するホスティングプロバイダーでしたが、攻撃者がクラウドリソースにアクセスして、顧客のデータの大部分を破壊しました。同社はできる限りデータを復元させましたが、通常業務に戻ることはできませんでした。

会社に打撃を与えかねない過ち

限られた予算の中で自分の会社を適切に保護するために、自社にとってどのようなリスクが考えられるのか、事業をスタートする前に把握したいと思われるのではないでしょうか。ここで、初めて起業する人が陥りやすい過ちを見てみましょう。

1. 個人情報の保存および処理に関する法令への知識が不足している

多くの政府が、市民のセキュリティを確保しようと努めています。たとえば、欧州にはGDPRがあり、米国にはさまざまな業界や州を対象とする複数の法令があります(リンク先はいずれも英語)。そうした法令を読んだことがある人にもない人にも、これらは平等に適用されます。

対象となる法律の要件に違反した場合の罰則はさまざまですが、不履行があった場合にはかなりの金銭的な痛手を被る可能性が高いでしょう。少なくとも制裁金、それも高額を課されることが考えられます。最悪の場合、関連する法令に準拠していることが確認されるまでは、業務を停止しなければならないかもしれません。

大事な点はもうひとつあります。そうした法令は、あなたが考えているよりも広い範囲に適用される場合があります。たとえばGDPRは、欧州市民のデータを扱うすべての企業に適用されます。欧州以外の国の企業であったとしても、例外ではありません。そのため、国内の法令だけではなく、パートナーやクライアントの国の法令についても調べておくことが重要です。

2. クラウドリソースの保護が甘い

多くのスタートアップ企業がAmazon AWSやGoogle Cloudのようなパブリッククラウドサービスを利用していますが、中にはそのような保存場所でのセキュリティを適切に設定できていない企業もあります。顧客のデータやWebアプリのコードが入ったコンテナを、簡単なパスワードでしか保護していないような場合が珍しくありません。さらに、企業の内部文書にリンクから直接アクセスできたり、そうした文書が検索エンジンから見られるようになっていたりもします。その結果、重要なデータを誰もが入手できてしまう状況になるのです。業務の簡便化を図ろうとしたスタートアップ企業が、重要なドキュメントをGoogle ドキュメントに置き、アクセス権限の設定を忘れたせいで、誰もが見られる状態でずっと放置されていることもあります。

3. DDoS攻撃への備えができていない

DDoSは、Webサイトをダウンさせる効果的な方法の1つです。ダークネットではDDoS用のサービスが比較的安価で販売されていて、ライバル企業やサイバー犯罪者は手軽に利用できる状態にあります。DDoS攻撃は、より高度な悪意ある攻撃を隠す目くらましかもしれません。

2016年、度重なるDDoS攻撃によって、Coinkiteは仮想通貨の電子ウォレットサービスを停止せざるを得ませんでした(英語記事)。開発者によれば、Webウォレットサービスを立ち上げてからというもの、心の休まるときはなかったそうです。同社は数年間持ちこたえましたがついにギブアップし、ハードウェアウォレットのビジネスに集中することにしました。

4. 従業員の意識が低い

どのような企業であっても、人間がウィークポイントになってしまうことがよくあります。攻撃者もそれをよく知っていて、ソーシャルエンジニアリングの手法を使って企業ネットワークに侵入したり、機密情報を盗み出そうとしたりします。

セキュリティ意識の低さの問題は、フリーランスで働く人と契約する企業にとって二重の危険です。フリーランサーが仕事で使っているデバイスやネットワークまで管理するのは、かなりの困難でしょう。したがって、セキュリティを重視する姿勢を持つことを関係者に働きかけ、その方向に導いていくことが非常に重要です。

スタートアップ企業を存続させていくには

サイバー犯罪の危険にさらされることなく業務を続けていくには、ビジネスプランを策定するときに、サイバーセキュリティを適正に考慮する必要があります。

  • どのリソースをまず保護する必要があるかを判断し、初期の段階で投資できる価格帯のセキュリティツールを確認する。実際のところ、それほど費用のかからないセキュリティ対策はいくつもあります。
  • 強力なパスワードを設定して、業務用のデバイスとアカウントを保護する。2段階認証の設定も忘れないでください。最近ではあらゆるところで使われるようになっていますし、有効な対策です。
  • 事業展開を計画している国々のデータ保存に関する法令を詳しく調べ、個人情報の保存および処理のワークフローを、そうした法令に準拠するように見直す。可能であれば弁護士に相談して、対象となる市場のそれぞれについて見落としている事項がないかどうかを確認してください。
  • サードパーティのサービスやソフトウェアのセキュリティに十分注意する。使用している協調開発システムは、十全に保護されているでしょうか。ホスティングプロバイダーの安全性は大丈夫でしょうか。使用しているオープンソースライブラリに、脆弱性は見つかっていませんか。こうしたことには、自社製品の消費者特性に対するのと同じくらいの関心を持つべきです。
  • 従業員のサイバーセキュリティへの意識を高め、従業員が自分自身で積極的にこの問題に取り組むように働きかける。サイバーセキュリティの専門家が社内に常勤していないのであれば(スタートアップ企業ではそれが普通でしょう)、この問題にいくらかでも関心のある従業員を探して、このブログ(Kaspersky Daily)をフォローしてもらうことから始めてはいかがでしょうか。
  • ITインフラの保護対策を講じる。Kaspersky Labでは、予算が限られているスタートアップ企業向けの製品をご用意しています。この製品は、社内のワークステーションやサーバーに対するセキュリティ面での監視を自動化し、オンライン決済を保護します。管理者としてのスキルは必要ありません。