2025年からテクノロジースタートアップが学ぶべきことが1つあるとすれば、それはサイバー犯罪者の標的にならないほど小規模なビジネスはないということです。実際、中小企業(SMB)は現在、リソースが限られていることや貴重な顧客データを持っていることから、レガシー企業よりもランサムウェアの魅力的な見込み客となっています。
多くの場合、スタートアップには、ビジネスの初期段階で適切な意思決定を行うために必要な知識やリソースが不足しています。私たちは、テック系スタートアップと頻繁に仕事をしているITセキュリティの専門家に連絡を取り、ビジネスを始めたばかりのときに知っておくべきことについての洞察を得ました。
Power Consulting(新しいウィンドウ)のCOO兼クライアントサービスディレクターであるGary Power氏は、外部委託IT業界で25年の専門知識を持っています。Power Consultingは、あらゆる業界のあらゆる規模の企業と緊密に連携し、マネージドITサービス、IT戦略計画、サイバーセキュリティ監査およびサービスなどのサービスを提供しています。
私たちはGary氏と話し、テック系スタートアップがビジネスの初期段階でどこで間違いを犯しているかを理解しました。
あなたのビジネスはサイバーセキュリティ対策には小さすぎない
Protonは、データ侵害観測所を使用して、ダークウェブ上で漏洩したビジネスデータを追跡し、ハッカーが誰を標的にしているのか、そしてビジネスがどのように侵害されているのかを理解しました。私たちは794件の侵害を発見し、合計3億件以上の漏洩したレコードを確認しました。小規模な組織がますますリスクにさらされていることは明らかです。
あなたのビジネスは、他のビジネスがデータ侵害によってどのような影響を受けたか、そしてなぜ影響を受けたかを調べることから利益を得ることができます。データ侵害観測所から得られた洞察、およびテック系スタートアップ向けのサイバーセキュリティの推奨事項は、最新のeBook『The breaches that broke 2025(2025年を崩壊させた侵害)』に記載されています。
認証情報管理が不十分だったのか、エンドツーエンド暗号化などの保護対策を利用しなかったのかにかかわらず、中小企業はセキュリティ対策において重大な間違いを犯しているようです。そして、中小企業がサイバー脅威に対して脆弱なままであれば、最終的にはビジネスの成長を制限することで、世界中の産業とイノベーションに損害を与えることになります。
Gary氏は、ビジネスを適切に保護するための重要な部分は、採用するセキュリティ対策に関する考え方を変えることだと指摘しています。
「初期の段階では、創業者は通常、『これが必要なのか?』や『私たちの規模ではやりすぎではないか?』といった受動的な質問をします。成熟するにつれて、質問は『実際に侵害されるのを防ぐものは何か?』や『ビジネスを減速させずに安全にスケールするにはどうすればよいか?』へと移行します。」
ビジネスが確立されるにつれて手順をスキップするのではなく、最初からサイバーセキュリティに投資してください。結局のところ、Garyが言うように、「最も成功している創業者は、セキュリティがブロッカーではなくイネーブラーであることを理解しています。」
レガシーツールは自動的に安全になるわけではない
ビジネスで使用するメール、ドライブ、パスワードマネージャーソリューションなどのツールを選択する際、その選択は大きな違いを生みます。Gary氏は、人気のある最新のソリューションが自動的に最も安全なオプションであると想定することに対して警告しています。
「最大の盲点は、最新のツールやクラウドプラットフォームを使用しているため、セキュリティが『暗黙のうちに』確保されていると思い込むことです。創業者は多くの場合、Microsoft 365、Google Workspace、またはAWSが自動的に安全であると信じています。実際には、ほとんどの侵害は、設定ミス、脆弱なユーザー情報管理、不十分なアクセス衛生管理、監視の欠如に起因しており、特殊なハッキング技術によるものではありません。」
これは前向きには聞こえないかもしれませんが、実は前向きなことです。高度なハッキング手法を予測して防ぐことは、ネットワーク内で強力なユーザー情報管理と監視の実践を構築することよりもはるかに困難です。Gary氏が強調する問題には、以下を使用してアプローチできます:
- 環境に対する潜在的な脅威を特定して軽減できるようにする、徹底したWebアプリのセキュリティ対策。
- ビジネスネットワークを保護しながら、チームメンバーがビジネスネットワークに簡単かつ安全にアクセスできるようにする、シングルサインオン(SSO)や2要素認証(2FA)などのユーザー情報管理対策。
- ダークウェブモニタリングは、ビジネスデータのいずれかがダークウェブに表示された場合に通知し、迅速に行動してデータ侵害を防ぐことができる便利なツールです。
人的エラーは深刻な脅威
ツールが安全であっても、安全に使用されていなければ意味がありません。実際、人的エラーはビジネスの最大のサイバーセキュリティ脅威の1つです。現代のビジネスネットワークの複雑さにより、攻撃対象領域は指数関数的に拡大しており、チームメンバーは一意のパスワードを使用して多数のアカウントを作成し、個人のデバイスからこれらのアカウントにアクセスする可能性があります。
「もう一つの大きな失敗は、人的リスクを過小評価することです。フィッシング、資格情報の再利用、管理されていないデバイスが、通常、正面玄関となります。」
これらのリスクは、サイバーセキュリティに対する認識不足や、チームメンバーの個人デバイスを介してビジネスネットワークにアクセスする方法や可否に関する期待が不明確であることに起因する可能性があります。ありがたいことに、これらはポリシーと教育の双方向のアプローチで簡単に対処できます:
- フィッシング詐欺やその他の種類のマルウェア(新しいウィンドウ)を見分ける方法についてのビジネス全体の教育は、すべてのチームメンバーがビジネスネットワークを保護するのに役立ちます
- リモートワークポリシーと、ビジネスに関連する場合の私的デバイスの業務利用(BYOD)ポリシー
- 安全なビジネスパスワードマネージャーは、パスワードポリシーが強制され、機密認証情報が一元的な場所に保管済みであることを保証し、必要に応じて安全に共有可能にします。
「初期の決定は、恒久的なデフォルトになります」とGaryは言います。「ユーザー情報モデル、データの位置、管理者アクセス、およびデバイス標準は、後から解きほぐすのが非常に困難です。特に、顧客、投資家、規制当局が関与するようになると尚更です。セキュリティの負債は、技術的負債と同様に積み重なっていきます。侵害、監査の失敗、またはサイバー保険の拒否の後にコントロールを後付けするよりも、早期に適切なガードレールを設定する方がはるかに安上がりで、混乱も少なくて済みます。」
セキュリティの基礎はツールよりも重要
市場に参入する際に企業が行う必要がある考慮事項はツールだけではありません。ITインフラストラクチャは、チームメンバーがどれだけ安全に作業できるか、リスクをどれだけうまく発見できるか、問題をどれだけ早く軽減できるかを決定します。
Gary氏は、Power Consultingの専門家がスタートアップ向けのITおよびサイバーセキュリティインフラストラクチャのセットアップにどのようにアプローチするかを説明しています。「私たちは、見栄えの良いツールの前に基礎に重点を置いています。」
- MFAや「最小特権」(人々が必要なシステムにのみアクセスできるようにすること)を含む、強力なユーザー情報およびアクセス管理ポリシーをセットアップします。
- 初日から、従業員の個人デバイスを含むエンドポイントを保護します。デバイス管理ソフトウェアを使用すると、誰がどこからネットワークにログを記録しているかを追跡できます。
- 不正アクセスやアカウント侵害などの問題が見過ごされないように、一元化されたログと監視を使用します。
- 不変のバックアップ(作成後に変更できないもの)や、重要なデータがメインのビジネスサイトから離れた場所に送信および保管済みとなるオフサイト保護など、適切なバックアップおよび復元ツールを使用して予定に備えます。
堅固な基盤の上にビジネスを構築することで、最終的には将来のために、より安全なビジネスに投資することになります。安全なインフラストラクチャの構築に費やす時間は、長期的には節約できるお金と回避できるリスクに見合う価値があります。
時間をかけて適切にセットアップする
Gary氏は、セキュリティへの影響が最も大きい領域であるため、ユーザー情報アーキテクチャに焦点を当てることを推奨しています。すべてのチームメンバーには、ビジネスネットワーク内で必要なデータやツールへのアクセスを許可するデジタルユーザー情報があり、これを適切に構成することで、将来的に大きな違いが生まれます。
「貧弱なユーザー情報アーキテクチャは、元に戻すのが最も困難です。共有アカウント、弱いMFAの採用、多すぎる管理者は、長期的なリスクを生み出します」とGary氏は説明します。「非構造化データのスプロール現象も大きな問題です。機密データが個人のドライブ、メールの受信トレイ、管理されていないSaaSアプリに散らばってしまうと、制御を取り戻すのは困難です。最後に、初期段階での文書化と所有権の欠如は、チームが成長するにつれて混乱と盲点につながります。」
