2017/04/05

スタートアップ企業におけるビジネス継続のためのセキュリティ対策

Hint ヒント ひらめき ヒラメキ Tips
2017 年 4 月 5 日 Marc Laliberte 著

Small Business Trends の 2016 年版レポートによると、サイバー攻撃の 43% は中小企業を標的にしており、攻撃を受けたスタートアップ企業の 60% が半年以内に廃業に追い込まれています。今日、スタートアップ企業や小規模の組織は、前例のないほど多くの新たなセキュリティの課題に直面しています。ところが、現状では、これらの脅威を緩和する十分な能力があると答えた企業は 14% に過ぎません。

スタートアップ企業にとって、ランサムウェア、マルウェア、フィッシング攻撃などの多様な脅威への対策は容易ではありません。だからこそ、最新の脅威や脆弱性に備えて、ビジネスを存続させることが極めて重要です。スタートアップ企業が攻撃の標的になるのを回避するには、どうすれば良いのでしょうか。いくつかのヒントを以下にご紹介します。

セキュリティ教育が鍵である

技術的なセキュリティ管理への投資はもちろん必要ではありますが、スタートアップ企業におけるセキュリティ対策では、ユーザ教育が極めて重要な役割を果たします。最も有効な教育プログラムは、セキュリティを企業文化として定着させることです。古くからある従業員の文化や行動を変えようと苦労する企業が増えていますが、スタートアップ企業には、企業文化をゼロから育成できるという強みがあります。セキュリティに対する意識を啓蒙するプログラムを今すぐ始めることで、セキュリティのベストプラクティスを企業文化の中核として定着させることができます。たとえば、フィッシング攻撃を検知する方法やデータの安全な取り扱い方法の概要などを従業員に教育することが、将来的な問題の発生防止につながります。

最重点課題に集中する

多くのスタートアップ企業には、セキュリティポリシーの設計や強力なネットワーク対策の実装に役立つ、正式なネットワークセキュリティ評価を実施する時間や予算はありません。そこで、重要なデータやインフラストラクチャの保護に重点的に取り組むことをお勧めします。セキュリティの詳細分析を実施できない場合は、社内のチームに重要な分野が何であるかを確認し、その分野に重点的に取り組むようにします。たとえば、製品管理チームが新しいソフトウェアの開発に取り組んでおり、開発の過程でコラボレーションが重要であったとします。その場合は、コラボレーションを可能にしつつ、サーバやシステムを適切に保護する方法の実現を優先させる必要があるでしょう。その一方で、マーケティング部門が作成する、外部向けのマーケティング資料の場合は、機密性がそれほど高くないかもしれません。そういった資料であれば、一般的なクラウドサービスを使ってやり取りできるでしょう。機密性の低い資料の場合は、速さや便利さを優先しても良いはずです。

従業員にとって使いやすいソリューションを導入する

生産性低下のリスクができるだけ少ないセキュリティソリューションを探すことも重要です。
最も安全な多要素認証システムとしては、強力なパスワードを入力し、ワンタイムコードを生成する特別なハードウェアトークンを使用する方法が考えられます。確かにこれは非常に安全な方法ではありますが、ユーザにとっての利便性が大きく低下する可能性があります。もう 1 つの選択肢として、モバイルデバイスの生体認証とモバイルデバイスの ID を併用することで、初回以外はパスワードの入力を省略する方法も考えられます。簡単に言えば、CIA のような厳重なシステムと感じさせるよりは、利便性を損なわない範囲で十分なセキュリティを採用する方が良い場合もあるのです。

オールインワンソリューションに注目して ROI を最大化する

ウイルス対策とファイアウォールはセキュリティ対策の第一歩ではありますが、脅威が多様化する今日の環境では、それだけでは不十分です。スタートアップ企業には、さまざまなセキュリティ対策をシンプルな1つのプラットフォームで可能にする UTM(統合型脅威管理)ソリューションの導入をお勧めします。このソリューションは、テクノロジやセキュリティの関係者が何人もいる大企業には必ずしも適しているとは言えませんが、中小規模企業や分散型企業には最適です。必要なすべてのセキュリティサービスが 1 つのアプライアンスに統合されているため、スタートアップ企業であっても簡単に導入・管理できるというメリットがあります。

バックアップ計画を用意する

いずれかの段階で何らかのセキュリティインシデントが発生する確率は高いため、計画を立てて準備しておくことが、ビジネスへの影響を最小限に抑える最良の方法となるでしょう。スタートアップ企業はもちろん、実際には、どのような規模の企業であっても、完璧なセキュリティ対策は不可能です。しかしながら、適切なディザスタリカバリ/ビジネス継続計画があれば、セキュリティインシデントを切り抜けることができます。適切な計画の有無がビジネスの継続を左右します。たとえば、重要なデータについては常に最新のバックアップを作成し、ランサムウェアにアクセスされないようにするために、バックアップをオフラインにしておきます。また、バックアップを使ったリカバリ手順を定期的にテストして、その手順が有効であることを確認します。そして、災害発生時(火災による重要なシステムの崩壊など)に備えた対策も計画しておきます。事前準備の有無が、ビジネスの継続あるいは廃業の分かれ道になるかもしれません。

ここでご紹介した以外のヒントについては、以前のブログ記事「ビジネスのリスクとなる 6 つのソーシャルメディア利用方法」を参考にしてください。