結論から言うと、今回のKDDI漏えい事件は他人事じゃない。
フィッシング対策協議会が6月26日に注意喚起を出した。KDDIがシステムを提供するISP事業者から認証情報が漏えいした可能性があり、その情報を悪用したとみられるフィッシングメールが出回っている。件名は「【重要】VISAカード一時利用停止」「【Amazon.co.jp】定期確認が必要です」といった、よくあるやつだ。X上では「4000件超のフィッシングメールを受信した」という投稿も出ている。
これを読んで最初に思ったのは、ウチのチームで同じことが起きたらどうなるかだ。従業員8人。全員がSlack・Notion・HubSpot・Stripe・AWSと複数のSaaSに日常的にログインしている。認証情報が一か所でも漏れたら、ドミノ式に全部やられる構造になっている。
スタートアップほどIDとパスワードの管理が甘い
正直に言う。半年前まで、うちは1Passwordを導入していたが、使い方がバラバラだった。古いパスワードを個人のメモに残しているメンバーがいたし、共有アカウントのパスワードをSlackのDMで送り合っていたケースもあった。これはROI以前の話で、リスクの認識が甘かった。
SaaSスタートアップの怖いところは、SaaSを使うことで生産性を上げる一方、攻撃面積(アタックサーフェス)もそれに比例して広がる点だ。ツールが増えれば増えるほど、漏えいリスクの入口が増える。うちはそこを軽視していた。
KDDIの件でいうと、漏えいした認証情報は「既に流通してしまったら取り消せない」とフィッシング対策協議会も言っている。だからこそ、漏えいが発覚したらすぐパスワードを変えて、新しいメールアドレスに移行するよう呼びかけているわけだ。事後対応の話しかできていない時点で、予防側に力を入れるしかないと再認識した。
採用・セールスのデータが詰まったSaaSが狙われたら終わる
うちのGTMの核はHubSpotだ。見込み顧客のデータ、商談の履歴、メール文面、すべてここに入っている。ここが落ちたら、PMF前の大事なパイプラインが全部見られる。競合に渡ったら最悪だ。
セキュリティをコストと見るのか、保険と見るのか。うちは今、明確に保険として捉え直した。具体的に動いたことを3行で言うと:
- 全SaaSのMFAを強制化(例外なし)
- 1Passwordの使用ルールを明文化してオンボーディングに組み込んだ
- 共有アカウントは廃止し、個人アカウント+権限管理に切り替えた
費用はほぼゼロで、工数は1日かからなかった。対応しなかった場合のダウンサイドと比べると、やらない理由が見当たらない。
投資家との会話でも最近、セキュリティ体制を聞かれるケースが増えてきた。シリーズAを狙うフェーズで「情報漏えいリスクへの対応は?」と聞かれて答えられないのは、デューデリ上でマイナスになる。数字の話だけでなく、ガバナンスの話ができるかどうかを見られている感覚がある。
KDDI漏えいのニュースは、大企業の失態として流し読みするのが普通だと思う。でも8人のスタートアップこそ、一人が踏んだら全滅するリスクを抱えている。自分のチームの認証情報の管理状況、今すぐ一度点検してみてほしい。