スタートアップのための強固なサイバーセキュリティ守りの構築

スタートアップのサイバーセキュリティに関する4つの神話と3つの怖い話:

神話 #1 - 攻撃者にとって魅力的な標的ではない

それは全くの誤りです。これは危険な誤解であり、安易な考えに陥ってサイバーセキュリティ対策が不十分になる恐れがあります。実際、規模や業種を問わず、すべての企業がサイバー攻撃の潜在的な標的です。むしろ、資源が限られている小規模企業やスタートアップは、対策にかけられるリソースが少なく、狙われにくいと誤解されがちですが、攻撃者にとっては守備が手薄な容易な標的となるため、成功率が高まります。したがって、貴社および顧客の機微な情報をサイバーの脅威から守るため、先手を打った対策が肝心です。

実情 #1 - 脅威の99％はすでに自動化され、非公式な「市場」でアクセスやデータなどが購入されている

昨今のサイバー環境では、セキュリティの重要性が一層増しています。自動化された脅威が全攻撃の99％を占めるため、データ漏洩のリスクは個人や組織にとって現実の問題です。さらに、攻撃者は闇市場で機微な情報へのアクセス権やデータそのものを購入できる状況にあります。Linux、Windows、Ruby on Railsなどの一般的なプラットフォームに対して、自動化ツールを使いマルウェアを仕込んだり、後でデータ再販を試みたりするケースが増えています。新たな脆弱性が発見されると、攻撃者は数時間のうちにインターネット全体をスキャンすることもあり、サイバー攻撃が巧妙化・頻発化している現状では、デジタル資産の安全確保に十分注意を払う必要があります。

神話 #2 - セキュリティ対策は多額の費用が必要、今はその余裕がない

この神話はよくあるもので、多くの個人や企業が十分なセキュリティ対策を講じない理由となっています。確かに、対策によっては高額なものもありますが、すべてがそうとは限りません。例えば、ソフトの定期更新や強固なパスワードの運用など、手軽で費用効果の高い対策を実施することで、サイバー脅威から守ることが可能です。さらに、物理的な対策として南京錠や監視カメラの設置も、大きな費用をかけずに安全性を向上させられます。いかなるセキュリティ投資も、被害コストと比較すれば十分価値があります。

実情 #2 - セキュリティの99％は、無料で知識を得られるエンジニアのような人材に依存している

この点は、セキュリティのプロトコルや対策を理解し実践できる熟練エンジニアの重要性を示しています。知識自体は容易に入手可能ですが、実際に効果的な対策を実行し維持するには、専門知識と経験が求められます。セキュリティを重視し、エンジニアの教育や訓練に投資する企業は、より強固なセキュリティ基盤を築き、リスクに立ち向かう体制が整います。また、全従業員がリスクと自身の役割を認識できるよう、セキュリティを重視する文化の醸成も大切です。

神話 #3 - 誰かがハックしようと決めれば、必ず成功する

ハッキングに関する第3の神話は、誰かがハックすることを決めれば突破されるという誤解を招きます。政府や大企業など、攻撃コストが問題とならない対象には当てはまるかもしれませんが、スタートアップなどの場合は状況が異なります。ほとんどの企業では、攻撃者がシステムに侵入するには相当な時間と資源を投資する必要があるため、適切なサイバーセキュリティ対策により攻撃を防ぐか、少なくとも実行を困難にできます。どんなシステムも完全無欠とは言えませんが、リスクを軽減し機微なデータを守るための対策が重要です。

実情 #3 - 政府や攻撃コストが問題とならない対象に限る。その他の企業では、ハックにかける費用が鍵となる

大企業や政府機関の場合、サイバー攻撃に対する費用が抑止力とはならない一方で、中小企業ではセキュリティ対策への投資と費用管理のバランスが求められます。企業は自社のセキュリティリスクを把握し、ファイアウォール、暗号化、アクセス制御など適切な対策を実施する必要があります。現代のデジタル社会では、セキュリティに投資しないリスクが、評判の低下や財務的損失へと直結するため、先手必勝が肝要です。
神話 #4 - 小規模企業だから、ハックされても大きな影響はなく、被害も軽微だ

しかし、これは単なる神話に過ぎません。ハッカーは大企業だけでなく、小規模企業やスタートアップも狙います。実際、ハッカーは守備が手薄な企業を容易な標的と見なすため、被害がすぐに表面化しなくとも、長期的には壊滅的な結果を招く可能性があります。顧客の信頼低下、ブランドイメージの傷、さらには顧客データ流出による法的リスクなど、多大な影響が懸念されます。小規模企業も真剣にセキュリティ対策に投資し、従業員にベストプラクティスを周知させる必要があります。

実情 #4 - 企業が成長すると、サイバーセキュリティ事故やデータ漏洩、ハッキングなどは数年後にまで影響を及ぼす

サイバー攻撃やデータ漏洩のリスクは日々高まっており、企業はあらゆる予防策を講じる必要があります。これらの攻撃は収益の損失や企業の評判を損なうだけでなく、法的責任も生じかねません。企業が成長すれば、取り扱うデータ量も増加し、サイバー犯罪者にとってより魅力的な標的となります。そのため、早期のサイバーセキュリティ投資が将来的な安全を確保するために極めて重要です。現代においては、攻撃を受けてからの対応よりも、先手を打つことが望まれます。

怖い話 #1 - ゲームがリリース前にハックされ、攻撃者がすべての資産を競合他社に売却し、正式リリース前にローンチした

この怖い話は、スタートアップに対するサイバー攻撃の厳しい現実と、製品ローンチ前のセキュリティ対策の重要性を示しています。ハッカーは有利なデジタル資産や情報を得るため、手段を選びません。スタートアップは、潜在的な攻撃に備えてセキュリティ対策を最優先すべきです。サイバー攻撃により、資産喪失や顧客信頼の低下など、甚大な被害が発生する恐れがあります。この事例から、貴重なデジタル資産を守り、製品を成功に導くためには予防策が鍵であると学べます。

以下は、リリース前にゲームがハックされた高注目事例です:

1. 「Gwent: The Witcher Card Game」 - 2017年、CD Projekt RedはGwentのリリース前資産が盗まれ、流出したことを確認しました。
2. 「Watch Dogs」 - 2014年、ハッカー集団がWatch Dogsの初期版を入手し、ゲームデータをTorrentサイトで公開しました。
3. 「Halo: Reach」 - 2010年、複数のHalo: Reachのコピーが配送倉庫から盗まれ、正式リリース前に不正流通されました。
4. 「Call of Duty: Modern Warfare 3」 - 2011年、ロシアのハッカー集団がActivisionのサーバーから初期ビルドを盗み、流出させました。
5. 「Half-Life 2」 - 2003年、ハッカーによりHalf-Life 2のソースコードが盗まれ、リリース予定の数か月前に公開されました。

怖い話 #2 - 出会い系サイト/アプリがハックされ、その後顧客信頼の喪失で立て直せなかった

出会い系サイトやアプリは、世界中の人々を繋ぐ便利なサービスとして普及しています。しかし、その利便性の裏にはサイバー攻撃のリスクも潜んでいます。ある事例では、出会い系プラットフォームがハックされ、顧客データが危険に晒されました。その結果、ユーザーの信頼が回復せず、事業に大きな打撃が生じました。

この不運な事件は、現代のデジタル時代においてデータセキュリティが最優先であるべきことを強く示しています。企業が見過ごしていた脆弱性をハッカーが突いたことで、かつての顧客が、よりセキュリティ対策が行き届いた他の出会い系サービスへと移っていく結果となりました。

この事例は、特にオンライン出会い系業界において、頑健なセキュリティ戦略やプロトコルへの投資の重要性を浮き彫りにしています。

以下は、ハックされ顧客信頼を失った出会い系サイト/アプリの例です:

1. Ashley Madison - 2015年、既婚者向けの出会い系サイトAshley Madisonがハックされ、3000万人以上のユーザーの個人情報が流出しました。
2. Adult FriendFinder - 2016年、性的パートナー探し用のサイトAdult FriendFinderがハックされ、約3億4000万人のユーザーデータが盗まれました。
3. BeautifulPeople.com - 2016年、魅力的な人々向けの出会い系サイトBeautifulPeople.comがハックされ、100万人以上のユーザーデータが流出しました。
4. Zoosk - 2018年、人気出会い系サイトZooskでデータ漏洩が発覚し、380万以上のユーザーアカウントが影響を受けました。
5. Mate1 - 2019年、真剣交際向けのサイトMate1がハックされ、2700万以上のユーザーデータが危険に晒されました。

怖い話 #3 - SaaS B2Bプロジェクトが、2年前のデータ漏洩を理由に調達プロセス/RFIで断られた

この話では、2年前に発生したデータ漏洩のために調達プロセスで断られたソフトウェア as a service B2Bプロジェクトが紹介されています。企業はRFIで事件について触れなかったものの、調達チームは漏洩事実を把握し、その理由でプロジェクトを見送ったのです。このような事態は決して稀ではなく、同様のリスクに直面する可能性があります。定期的にオンラインのバグ報奨金プラットフォームや公開脆弱性データベースをチェックし、潜在的な問題を早期に発見し、顧客を含む関係者に迅速に情報を提供することが重要です。こうした対応を怠ると、ビジネスチャンスの喪失や信頼の低下に繋がる恐れがあります。

以下は、高注目の事例です:

1. 2017年、Booz Allen Hamiltonは内部オンラインプラットフォームが侵害されたことを受け、利用を中止しました。
2. 2017年、アメリカの信用情報会社Equifaxは大規模なデータ漏洩に見舞われ、評判と利益が低下しました。
3. 2019年、金融・顧客データ管理ソフトに特化するBlackbaudがハックされ、ハッカーは寄付者や寄付情報を含む顧客データベースにアクセス。さらに、顧客のクレジットカード番号や社会保障番号も危険に晒され、Oxford UniversityやJashak Boxaなど主要顧客が提携を打ち切りました。
4. 2020年、非営利組織向けSaaSソリューションを提供するBlackbaudがハックされ、機微な顧客情報が流出。この事件を受け、複数の大学や慈善団体が契約更新を見送りました。
5. 2021年、無線通信・ネットワーキング機器の提供企業Ubiquiti Networksがサイバー攻撃を受け、顧客データが侵害され、一部のSaaS利用顧客がサービスを中止しました。

スタートアップのセキュリティを解く鍵

• 早めに対策する。すでに10人以上が参加しているなら、手遅れかもしれない
• セキュリティ対策を明確なプロセスに分ける
• ミッションクリティカルなプロセスのみ実行する
• 各プロセスに対し重複する対策を導入しない
• 上記すべてに絶対的に取り組む ― 言い訳は認めず
• 言い訳が発生した場合、それをリスクとみなす

新規事業の立ち上げは、子どもを育てるように絶え間ない注意とケアが必要です。スタートアップを設立する上で最も重要な点のひとつは、セキュリティの確保です。サイバー攻撃やデータ漏洩といった脅威に備えるため、早期に対策を講じることが大切です。従業員が増えてからでは、潜在的な隙間が生じる可能性があります。

また、セキュリティ対策を明確なプロセスに分割することも不可欠です。どの部分を守るべきか、手順を細かく定義することで、企業のどの部分も抜け落とすことなく対策を講じられます。さらに、必要な対策に絞ることで、過剰な費用や混乱を避けることができます。

各プロセスに対して複数のソリューションを導入しないことも、混乱や一貫性の欠如を防ぐ上で重要です。全員が同じ認識を持ち、万が一の抜けがあればそれをリスクとして捉え、対応すべきです。

こうした基本ステップを踏むことで、スタートアップは自社を先手でしっかり守り、サイバー脅威から安全な環境を作り出すことができます。早期の対策、明確なプロセス設定、必要な対策に絞ること、そして重複を避ける姿勢は、どの企業にとっても重要なセキュリティ対策です。加えて、万が一の際には速やかに適切な対応を取れる体制が必要です。これらの対策を講じることで、現代のセキュリティ意識の高い環境下でも安心して未来を迎えられるでしょう。

設けるべき5つのセキュリティ要素

#1. 認証とユーザ管理

• 一番簡単な方法はG Suiteを利用し、SSO（シングルサインオン）に対応しないローカルやクラウドサービスを許可しないこと
• さもなければ、いつかIdM（アイデンティティ管理システム）の導入を余儀なくされる
• LinkedInのように、営業担当が企業メールを使うべきか、個人アカウントを管理すべきかといった言い訳が発生する場合もある

認証とユーザ管理は、特にスタートアップが安全かつ効率的なシステムを構築するための重要な要素です。90％のスタートアップが採用しているように、G Suiteの利用が最も簡便な方法ですが、他のサービスとシングルサインオンが競合しないよう注意する必要があります。シングルサインオンに対応したプロバイダがない場合、高額で複雑なアイデンティティ管理システムを導入せざるを得なくなります。

たとえG Suiteを利用しても、従業員がLinkedInアカウントでSalesforceにアクセスするなどの問題が起こる可能性があります。企業は、私的なコミュニケーション手段の使用リスクを明確にし、業務に関するデータのみを共有する方針を設けるべきです。

#2. インフラの隔離。つまりデータ

• 内部のものは全て内部に留める ― 選択肢はVPNやSSOの活用
• 各インスタンスは相互に通信しても、全てが連携するわけではない
• ミスが重なると、インフラをゼロからやり直さざるを得なくなる
• ネットワークの隔離は、データフロー図から始めると非常に効果的

強固なアクセス制御を実施することで、インフラとデータを守ることができます。許可された担当者のみが機微なデータにアクセスできるよう認証と許可を徹底し、暗号化や定期的なバックアップを組み合わせることで、データ漏洩のリスクをさらに低減できます。

スタートアップにとって、インフラの隔離とデータ保護は、セキュリティ戦略の基本中の基本です。先手を打って対策することで、ビジネスや顧客情報をサイバー攻撃から守る基盤が築かれます。

#3. パッチ管理

• 脆弱性は発生するが、同時にパッチも提供される
• 目的は、依存関係や旧式コード、アーキテクチャの問題に阻まれることなく、適時にパッチを適用すること
• オープンソースや無料ツールが多数存在する
• 基本的に注意すべきは2点:
• 依存パッケージのバージョン管理はpip、bundle、その他のツールを利用する
• OSパッケージのアップデート
• もし完全にサーバーレスであれば、この問題は発生しない

システムコードの安全性はパッチ管理に大きく依存しています。どんなコードも脆弱性を持ち得ますが、パッチや修正によりリスクは最小限に抑えられます。古いコードやアーキテクチャの制約に阻まれることなく、タイムリーに更新を実施することが不可欠です。オープンソースや無料ツールを活用することで、この作業は円滑に進められます。

また、OSが提供するパッケージ管理ツールやアップデート監視機能、Pythonやnode.jsなどのパッケージ管理を利用してサードパーティの依存関係を管理することも重要です。自動化されたパッチ管理の特徴を持つサーバーレスは、セキュリティ上大きなメリットとなります。

#4. 監視とバックアップ

• 技術的な監視も、ビジネスメトリクスと同様に捉える
• 売上やマーケティング指標を監視するなら、技術的な指標を省く理由はない
• アラートをCTOの技術的な煩雑さと見るのではなく、製品品質の評価指標とする
• ビジネス視点での監視では、顧客がどれだけ、どの期間サービスを十分に利用できなかったかを明確に把握する
• 監視範囲は、サイバーセキュリティにおける決定的要素である
• 発生するセキュリティ事故の99％は、追加のセキュリティ製品なしで監視システムで記録可能 ― 予防だけではない
• 監視システム構築時には、インフラ隔離で用いたデータフロー図を活用する
• データフロー図の各ラインを独立したイベントとして監視できる仕組みがあるか確認する
• バックアップは主たるインフラ外に保管する ― クラウドプロバイダーが100%のSLAを保証していても同様

監視とバックアップは、スタートアップにとって不可欠な要素です。売上やマーケティングと同様に、PagerDutyなどのツールから得られる技術的指標やアラートは、製品やインフラの品質を判断する上で重要です。また、サービスの可用性というミッションクリティカルな指標を把握する手段としても役立ちます。

機能する監視システムの構築は、セキュリティ事故の早期検知と対策の整理に大いに貢献します。インフラ隔離のためのデータフロー図を用いることで、バックアップが必要な部分を明確にし、危機時のデータ損失を最小限に抑えることが可能です。監視とバックアップは、コードやインフラ、そしてミッションクリティカルなサービスの品質管理に欠かせない要素です。

監視は単にデバッグ作業ではなく、プロジェクト内部で何が起こっているのかを理解するための手段です。創業者は事業の全体像を把握し、データの流れが適切に機能していることを確認すべきです。バックアップについては、プロジェクトと同じインフラ上に保存しないという基本ルールを守る必要があります。これは、クラウドプロバイダーがいかに高いSLAを保証していても例外ではありません。別のプロバイダーを利用することで、バックアップの安全性が確保されます。集中ログ管理は、機能の検索、イベントの相関、傾向の把握に大いに役立ちます。

#5. 集中ログ管理

• 集中ログ管理は、機能の検索、イベントの相関、問題の調査、全体の状況把握を可能にする
• ログは主たるインフラ外に保管する ― クラウドプロバイダーが100%のSLAを保証していても同様
• セキュリティ事故の際、ログが改ざんされずに保たれる可能性が高まる
• AWSならAWS、AzureならAzureで管理する

サイバー脅威が絶えず増大する現代において、集中ログ管理の重要性は非常に高いです。ログを主インフラ外に保管することで、攻撃リスクを軽減できます。さらに、AWSなどのクラウドプロバイダーが提供する各種サービスを活用することで、ログの管理や監視がより効率的に行えます。

ログをサービスと同じ場所に保管しないようにすることは、セキュリティ事故発生時にデータを失わないための重要な対策です。このシンプルな原則を守ることで、サイバー攻撃の際にもデータを確実に保つことができ、事業の継続性が担保されます。したがって、集中ログ管理は、今日のすべての組織にとって必須の対策と言えるでしょう。

トップ10のミス:

1. すべてのサービス間で通信を許す（隔離なし）
2. データフロー図なしでACL/VLANを設定する
3. 停電など、業務関連のサービス状況を監視しない
4. アプリサービスと同じマシンにログを保管する
5. 内部サービスで複数のSSOプロバイダーを使用する
6. 旧式のフレームワークや環境に固執する
7. サービスと同じインスタンスにバックアップを保管する
8. ログを単に開発者のデバッグ出力とみなす
9. PIIなどの機微な情報をログに残す
10. プロセスやリスクを十分に理解する前にサイバーセキュリティに費用をかける

これらのミスは、サービス間の無制限な通信、データフロー図なしのACL/VLAN設定、業務関連のサービス監視の欠如、アプリサービスと同じマシンへのログ保管、内部サービスでの複数SSOプロバイダーの利用、旧式な環境への固執、サービスと同一インスタンスへのバックアップ保管、ログを単なるデバッグ出力とみなすこと、機微な情報のログ保存、そしてプロセスやリスクを理解せずにセキュリティ対策に資金を投入することなどが挙げられます。

このようなミスを認識し、常にシステムが安全な状態に保たれるようベストプラクティスを実施することが不可欠です。サイバー脅威が増大する中、セキュリティを最優先にし、リスクを先手で対処する姿勢が求められます。