【起業ログ×Jumpstart共同連載】第3弾:サイバーセキュリティーの危機 〜スタートアップ企業に迫るリスク〜

【起業ログ×Jumpstart共同連載】第3弾:サイバーセキュリティーの危機 〜スタートアップ企業に迫るリスク〜

記事更新日: 2021/01/22

執筆: 編集部

アジアのスタートアップ企業についての情報を日々発信している香港発のJumpstartと起業ログが、定期的に共同でアジアのスタートアップ情報を発信していくこの企画。

第三弾は、新型コロナにより世界中で急拡大しているサイバー攻撃。
その中で、サイバー攻撃をうけた中小企業の約60%が半年以内に倒産すると指摘されている。

シンガポールを拠点とするサイバーセキュリティ企業HorangiのCEO、インドを拠点するサイバーセキュリティ企業TechnisanctのCEO・CTOが、中小企業で後回しにされがちなセキュリティ対策に警鐘を鳴らす。

「近年発生しているどんなデータ侵害も、従業員の過失など人為的な管理ミスによるものだ」

そう語るのは、Technisanctの共同創業者兼CEO、Nandakishore Harikumar氏。
サイバー犯罪に対する従業員のセキュリティへの意識向上の重要性、そして対策方法について語る

プロフィール

Jumpstart

香港で2014年にスタートし、アジア地域のスタートアップに関する情報をフリーペーパーやwebサイトで発信。現在では、起業家や投資家を繋げ、世の中にプラスな影響をもたらすイノベーティブなプロジェクトを共同するためのプラットフォームを提供している。
 

スタートアップ企業や中小企業はコロナ禍でサイバー犯罪の波に立ち向かっている

古典的なノンフィクション小説『冷血』において、トルーマン・カポーティはカンザス州を震撼させた1959年の犯罪を記録した。その犯罪を最も特徴づけたのが、犯人たちが鍵のかかっていない扉から家に入ってきて強盗をする場面である。

鍵のかかっていない扉は強盗にとって「予期せぬ恩恵」であるのと同じように、新型コロナウイルスは世界中のスタートアップ企業を標的とするサイバー犯罪者にとって「大きく開いた裏戸」なのだ。勤務形態がリモートワークに移行し、不十分なセキュリティハイジーンがネットワークを不安定な状況にしている。そのため、新型コロナはまさにビジネスネットワーク内のセキュリティの弱さをあらわにしていると言えよう。

シンガポールを拠点とするサイバーセキュリティ企業Horangiの共同創業者兼CEOであるPaul Hadjy氏は、コロナ発生以降に起きたサイバー攻撃は予想可能なものだと考える。コロナ禍においてサイバー攻撃者は、戦略的に十分な試行を重ねた手口を用いて、脆弱なサイバーセキュリティ対策をうまく利用した。

「『セキュリティとは1つのネットワークの周辺に壁を築くものだ』といったような古い考え方がある。しかし実際人々は異なるネットワークを使って仕事をしているため、セキュリティ面においてより多くのネットワークからサイバー攻撃を防御する必要がある」とHadjy氏は述べる。

ほとんどのスタートアップ企業や中小企業は、高度なセキュリティ脅威に対処するための設備が整っていない。強力なサイバーセキュリティ対策の必要性を軽視することで、これらの企業は未知のゼロデイ脆弱性 (注: システム上の問題点が発見され修復されるまでの欠陥のこと)の影響を受けやすくなる。

Hadjy氏は、「多くの中小企業や小規模なスタートアップ企業は、基本的な対策を着実に行うのに苦労している。これはよくあることだ。」と言う。

Horangiの共同創業者兼CEOのPaul Hadjy氏

急増するサイバー犯罪への危機管理を徹底せよ

Verizonが2020年に公表したデータ侵害調査報告書Verizon’s 2020 Data Breach Investigations Report (DBIR)によると、小さい企業を標的としたサイバー攻撃の件数が全件数の4分の1以上を占めていることが判明した。幸いなことに、この数字は下降傾向にある。2018年の報告書では、最大で58%だった。それに加えて、こうした攻撃は開始からわずか6か月以内に中小企業の約60%を解散に追い込んでいることも指摘されていた(Switchfast)。

Hadjy氏は、シンガポール通貨監督庁や香港通貨監督庁などの当局の規制を受けている企業はサイバーセキュリティ対策に注力しているが、規制を受けていない企業はそこまで注力していないと言う。

新型コロナの流行は、標的型攻撃を検知されにくくしている。Cynet global threat telemetry dataによると、新型コロナ関連のスピアフィッシング(機密情報を盗むための電子メール攻撃の一種)は、2月末だけで667%もの急増を見せている。

調査によれば、毎年1兆通もの詐欺メールが送信されており、その半分がフィッシング攻撃(Valimail)であることが判明している。不正な資金振替にも繋がる企業を狙ったフィッシング攻撃は、昨年だけでも世界で17億ドルの損失を出していることが米連邦捜査局の報告書で明らかとなった。

現在の企業のエコシステムの大混乱により、従業員は恰好の攻撃ベクトル(注:攻撃対象のシステムに進入するためにハッカーが使う方法や経路のこと)にされやすくなっている。アジア太平洋地域における労働者の60%以上が仕事で個人のデバイスを使用しており、その大多数は在宅勤務のためのサイバーセキュリティに関する十分な訓練を受けていないと感じている (2020 CrowdStrike Work Security Index)。

インドを拠点とするサイバーセキュリティ企業Technisanctの共同創業者兼CEOであるNandakishore Harikumar氏は、「近年発生しているどんなデータ侵害も、従業員の過失など人為的な管理ミスによるものだ」と述べる。

Technisanctの共同創業者兼CEOのNandakishore Harikumar

セキュリティ対策が施されていないネットワークは、ジョン・ホプキンス大学の偽コロナウイルスマップのような、ユーザーを騙してマルウェアをダウンロードさせるリンクにさらされる。中でも、リモートアクセスポイントやリモートアクセスツールへの攻撃が急増している。2020年4月には、サーバへのブルートフォース攻撃(正しい組み合わせが見つかるまでパスワードを入力し続ける総当たり攻撃)が23%も急増しており (Kaspersky)、同月にはハッキングされたZoomのアカウントが50万件もダークウェブ上で売りに出された。

さらに、リモートワークへの移行が企業のクラウド展開を加速させている。Technisanctの共同創業者兼CTOのDinson David Kurian氏は、「最近、世の中はクラウドサーバーに移行している。それを不安定にしているのは人的要素だ。適切なセキュリティ対策を講じることで、ヒューマンエラーの影響をある程度軽減できる」と言う。

クラウド・インフラストラクチャは、組織内でのサイバーセキュリティ対策をより強化する必要性を示している。パブリック・クラウドとプライベート・クラウドのサービス・プロバイダではセキュリティプロトコル (注: データのやりとりを安全に行うための通信方法)が異なり、これは頻繁に更新される可能性がある。そのため、クラウドに移行する企業は、誰がどのようにデータにアクセスできるのかを確認する必要があるのだ。

中小企業やスタートアップ企業の課題は、単に技術的な側面やサイバーセキュリティ上の喫緊のリスクを理解していない可能性があることであり、それが社内での認識や意思決定を阻む最大の障害になっている、とHarikumar氏は言う。


Technisanctの共同創業者兼CTOのDinson David Kurian氏

サイバー危機に対処するための第一歩

完全なサイバーセキュリティ対策には、セキュリティポリシーやプロトコル、サイバーセキュリティ監査、企業のネットワークやデータを強化するためのソリューションが必要とされる。しかし、スタートアップ企業や中小企業は感染の拡大が発生していない状況でも資金不足に陥りやすいのが現実だ。かつてはサイバーセキュリティ関連の予算を組むことが困難だったが、今ではそれを組まないという選択肢は無い。

仮に危機に対する万能薬があったとしても、創業間もない企業がそれを入手できる金銭的余裕があるとは思えない。さらに言えば、金銭的余裕はそもそも必要ない。というのもネットワークやデータを守るための迅速なセキュリティ対策には、お金よりも時間と労力の方が必要だからだ。

「適切なポリシーと要件を備えていれば、多くのコストを削減しながらリスクをも大幅に軽減できる」とHadjy氏は説明する。

スタートアップ企業にとって最も基本的で効果的な行動は、組織内のサイバーセキュリティ対策に注意を払うことがいえる。従業員は、適切なセキュリティ対策の関連性と適用方法に関する教育を受ける必要がある。例えば、来る可能性のある詐欺メールに注意すること、OSにウイルス対策ソフトをインストールすること、家庭のネットワークの安全性を確保することなどがある。

「世界中のサイバー危機に関して強調すべきことは、大規模な意識改革を行わない限り、サイバーセキュリティの問題は解決できないということだ。サイバーセキュリティはカルチャーとして、組織内で認識されなければならない」とHarikumarは述べる。

Kurian氏とHadjy氏が指摘するように、多要素認証(MFA)もまた重要なセキュリティツールだ。MFAは、パスワードだけでなくアクセスコードでもユーザーの認証を行う仕組みであり、企業情報とネットワークに重層的な保護を提供している。

企業は、ゼロトラストモデルの導入を開発者に促すこともできる。「『ゼロトラスト』と呼ばれるのは、その名の通り、全てのシステムがデータ交換前に認証を受けなければならないからだ。これによって、万が一システムの1つが危険にさらされたとしても、残りのシステムには影響しにくくなる」とKurian氏は説明する。

デジタルこそが「ニューノーマル」

スタートアップ企業は、デジタル化の意味と、それがいかにより効果的に組織のニーズに応えられるかを認識してきた。新型コロナが引き起こしたデジタルトランスフォーメーションは、従業員がある程度元の状態に戻った後も続くと予想される。

「この状況は、企業がデジタルトランスフォーメーションを行う上で重要なチャンスをもたらした。将来似たような事が発生した際には、これは企業にとって助けになるだろう。デジタルトランスフォーメーションはほとんどの場合で、企業のコスト削減にも役立つだろう」とHadjy氏は指摘する。

コスト削減に熱心なスタートアップ企業にとって、自動化とクラウドソリューションは効率的な経営状況の維持に向けた明確な道筋を示している。

「ニューノーマル」はスタートアップ企業や大企業にとっても、柔軟でデジタルを活用した働き方を見つける機会となるだろう。またその際には、企業は組織内のカルチャーとしてサイバーセキュリティ対策に取り組み、デジタルの「扉」を施錠しておく方が身のためだ。

出典:JumpStart(https://www.jumpstartmag.com/jumpstart-magazine-issue-30-the-lockdown-issue/

この記事に関連するラベル

最新の記事

起業LOG運営のプロトスター社では一緒に働く仲間を募集しております

ページトップへ