どうしてスタートアップでもセキュリティ対策をしないといけないの?

Note: タイトルでわざわざ「スタートアップ」と断っているのは、社内向け文章をnoteで一般公開しているためです。スタートアップでもそうでなくてもセキュリティ対策は必要です。

小さい会社でもセキュリティ対策が必要なのでしょうか。そして、社員全員が対策しなければいけないのでしょうか。簡単な例を上げて説明します。

自分くらいやらなくても大丈夫でしょ。○○さんがきちんと対策しているから大丈夫でしょ。

そんなことはありません。会社全体のセキュリティレベルは、一番対策してない人のセキュリティレベルになります。一人でも適当なことをすると組織全体の足を引っ張ります。

簡単なモデルで説明します。
4人の社員がいて、機密情報が記載されたファイルを共有しています。4人のうち3人は意識が高いのですが、一人だけは適当です。そして、攻撃者が情報を盗み取ろうと狙っています。どのように攻撃するでしょうか。

攻撃者は手当たり次第に攻撃します。たとえばフィッシングメールを送りつけたとしましょう。メールアドレスがわからなくても、よくあるようなアドレス（supportとかallとかpressとか）に送りまくれば何通かは届くかもしれません。さらに社員の名前がわかれば、メールアドレス候補を生成して送りつけてくる可能性もあります。

この会社は運悪く全社員MLに送られてしまいました。不幸中の幸い、この会社の社員はみな意識が高く、メールを開かずに削除しました。一人を除いては。

なんということでしょう!たった一人脆弱な人がいるだけで、機密情報が盗み出されてしまいました。

これはとても簡単なモデルですが、社員全員が対策することが欠かせない理由がおわかりいただけたでしょうか。

小さい会社は狙われないのでは?狙うなら大きい会社でしょ

小さい会社も狙われます。たとえばサプライチェーン攻撃の対象になりえます。この脅威は情報処理推進機構が選出した「情報セキュリティ10大脅威 2019」の第4位に位置します。

サプライチェーン攻撃とは、ターゲットを直接攻撃するのではなく、ターゲットの取引先や委託先などを攻撃し、そこから間接的にターゲットを攻撃するという手法です。下のイラストを見てください。

出典: 情報セキュリティ10大脅威 2019, 情報処理推進機構, https://www.ipa.go.jp/security/vuln/10threats2019.html

このイラストの例では、A社がB社に発注し、B社はさらにC社に発注しています。A社、B社は攻撃を防ぎましたがが、C社への攻撃が成功してしまいました。その結果、発注元であるA社の機密情報が流出してしまいました。

攻撃者にとってみれば、対策が十分されているターゲットを狙うより、どこかの対策が不十分な取引先を攻撃するほうが楽です。つまり、小さい会社だから狙われないという理屈は成り立ちません。攻撃のコストは非常に小さいので、手当たり次第に攻撃して、成功したらそこを足がかりにさらなる攻撃をしかけていくのです。

まとめ

小さい会社でも、社員全員がOWNERSHIPをもってセキュリティ対策が必要な理由を簡単に紹介しました。もちろんこれ以外の理由もありますが、長くなると読んでくれなくなる気がしたので、二つだけにしぼりました。

情報セキュリティ対策は何かを生み出すわけではないので、どうしても後回しにしたくなりがちです。しかし自分が攻撃を受けるとわかっているなら、きっと対策をするはずです。「自分に限って攻撃されない」、「自分が攻撃されても大したことがない」、という根拠がない思い込みを捨てて、情報セキュリティを自分の問題として考えてもらえたら幸いです。