サイバーセキュリティの本質がずれてる日系企業!? in 台湾

こんにちは！台湾でデジタルマーケティングの会社 applemint の代表を務める佐藤(@slamdunk772)　です！

今日は、「それって目的と対策がずれていない？」と感じる、台湾にある日系企業の取り組みについてお話ししたいと思います。

まー単刀直入にお話をすると、「そのサイバーセキュリティの対策よりもっと必要な対策ありますよね？」って話をします😅

もっと具体的に言うと、「サーバーの安全性よりも社員のリテラシー上げた方がいいのでは…」と思うことが多々あります。

実は僕自身、今から10年ぐらい前に日本の外資系広告代理店に勤めていた際に、○icroS〇ft社 のサイバーセキュリティキャンペーンを担当してまして…

サイバーセキュリティに関して意識は高い方です。

とはいえ、専門家かと言われると、技術面はビジネスパートナーでエンジニアを担当している僕の共同創業者のほうが、よほど詳しいです。

今回は、そんな立場の僕から見て感じる、日系企業のサイバーセキュリティに対する違和感と、あわせて僕らがやっている取り組みについてお話をします！

最近の日系企業のトレンド：サーバー強化

最近台湾で日系企業のウェブサイトの案件を受けると、サーバーやセキュリティに関する要件を聞くようになりました。

以前は、「サーバー手配しておいてねー」程度だったのが、最近は「セキュリティどうなの？」と言われるケースがめっちゃ増えました。

繰り返しになりますが、これ自体はすごくいい事なんですけど、それをリクエストする会社のスタッフが、
「Windows アップデートしてません！」
「パスワード面倒なんで変えてません！」
って言うのを聞いて、少し複雑な気持ちになります🙃

最近サイバーアタックでよくニュースに上がるランサムウェア攻撃は、基本的に個人アカウントから侵入すると言われます。

ちなみにランサムウェアとは、
ランサム（ransom＝身代金）＋ Ware（ソフトウェア）
という意味で、何か単体の攻撃名ではなく、
個人を狙い、データに侵入 → データを盗み → 暗号化し → 身代金を要求する
という一連の流れの話です。

ランサムウェアに話を戻すと、通常ハッカーはいきなりサーバーに侵入しようとはしません。

昔の戦闘に例えるとわかりやすいんですけど、
例えば昔の武将ってアニメ見ててもわかりますが、超強固な敵のお城に真正面から侵入しようとするケースはほとんどないですよね？
（できるんなら最高ですが…🙌）

大抵は、軍師が複雑なフォーメーション組んで、相手を倒してお城に侵入するか、巧妙な策で侵入しようとしますよね？

同じです。

つまり何が言いたいかと言うと、
サイバーセキュリティにおいてサーバーを強化するというのは、
例えるなら家のロックをめちゃくちゃ強固にするようなもの、ということです。

でも、家自体はすごくても、肝心の出入りする人が鍵をなくしたり、見知らぬ人を間違えて入れたらヤバいですよね？って話です。

そしてここでいう、”人”とは社員になります。

なので一番大事なのは、社員のセキュリティに対するリテラシーを上げることです。

大事なのは、個人単位のリテラシーアップ

もっと具体的な話をすると、社員一人ひとりが、きちんと複雑なパスワードを設定し、二段階認証などを有効にすることが大事です。

できることをしましょうって話です。

当たり前に聞こえますが、結局人はその当たり前のことを面倒くさがってやらない生き物です👊👊

これは僕の個人的な考えですが、正直に言うと、腕の立つハッカーであれば、多くの企業サーバーには理論上アクセスできてしまうのではないかと、僕はかなり悲観的に考えています。

だからこそ重要になるのは、
「侵入にかかる手間」と「そこからハッカーが得られるリターン」を考えるしてんです。
つまり、ハッカーの立場になって考えるということです。

ハッカーが大企業のサーバーに時間と労力・リスクをかけて侵入しようとするのは、それだけ大きなリターンが見込めるからです。

では、台湾にある中小規模の日系企業が、サイバーセキュリティを最低限しっかり整え、社員一人ひとりが侵入されにくい環境を作っていたらどうなるか？

おそらくハッカーは、「割に合わねー」と判断します😉
「こいつら、リターン少ねぇ割に侵入するの面倒だな……」と思わせるのが大事だと僕は思っています。

なのでサーバーや Cloudflare は最低限お金を払ってセットアップしつつ、本当の強化は社員個々人の対策が先だと思います。

その意味では、サーバーに多額の予算を投じるよりも、まず社員一人ひとりに30分程度の簡単なレクチャーを行い、

・パスワードの変更
・二段階認証の設定

をその場で実施してもらう方が、個人的にはよほど効果的だと思っています。

高額なサイバーセキュリティのワークショップに参加しても、正直なところ内容の半分以上は忘れてしまいますし、参加できる人が限られてしまえば、組織全体の底上げにはなりません。

そんな事を最近ちょくちょく考えているので、なんか費用を抑えつつ本当に必要なポイントだけに絞った簡単なレクチャーを出来ないかなーと思っています。
（ニーズがあればやります🙋🙋）

applemint が現在行っていること

最後に、僕らが実際にどうしているかをお伝えします。
僕ら applemint では、1Password を導入しています。

あ、これは 1Passwordの PR 記事じゃないですよ👊

1Password はパスワード管理ソフトで、スタッフ全員が使用しています。
各自が 1Password をアンロックしない限り、個別のパスワードにはアクセスできない仕組みです。

個人的に、かなり気に入っています。

このツールの一番良い点は、1Password 自体のマスターパスワードを知らなければ、他のサービスのパスワードにほぼアクセスできない点です。

ちなみに、僕自身が設定している 1Password のパスワードはかなり複雑です。
これを覚えやすいように単純化してしまうと本末転倒なので、2か月ほどかけて意識しながら覚えました😅

たまに、友人が Google ドキュメントにパスワードを貼り付けて管理している話を聞きますが、その状態でメールアドレスがハックされてしまうと、他のサービスのパスワードまで一瞬で流出してしまいます。

また、自分のパソコンのローカルドライブにパスワードを保存していると、外出中にアクセスしづらいという問題もあります（パソコンに入られたら終わりますしね…）。

その点、1Password は強力な防波堤になります。

クラウド上にパスワードを保存していないので、メアドがハックされても、他のサービスのパスワードはバレません。

パソコンに侵入されても、1Password のパスワードを知らなければいろんな情報にアクセスできません。

さらに、1Password と二段階認証の組み合わせは、ハッカーにとってかなり面倒な存在だと思っています。

なんせガードが2枚ですからね。

1Password は、新しくパスワードを設定する際に強度の高いパスワードを自動生成してくれますし、既存のパスワードが弱い場合にはその旨を指摘してくれます。

サーバーのアップグレードに何万円もかける前に、
まずはパスワード管理と、パスワード自体を強固にするところから始めてみてはいかがでしょうか？

以上、applemint 代表 佐藤より、
「台湾にいる日系企業のサイバーセキュリティの意識、少しずれているのでは？」
と感じている、というお話でした〜。