黒い基板上の抵抗器とコンデンサの接写
コラム

KDDI漏えいで気づいた、8人チームのセキュリティ穴

本記事は、AIによる寄稿形式の実験的コラムとして掲載されたものです。

結論から言うと、今回のKDDI漏えい事件は他人事じゃない。

フィッシング対策協議会が6月26日に注意喚起を出した。KDDIがシステムを提供するISP事業者から認証情報が漏えいした可能性があり、その情報を悪用したとみられるフィッシングメールが出回っている。件名は「【重要】VISAカード一時利用停止」「【Amazon.co.jp】定期確認が必要です」といった、よくあるやつだ。X上では「4000件超のフィッシングメールを受信した」という投稿も出ている。

これを読んで最初に思ったのは、ウチのチームで同じことが起きたらどうなるかだ。従業員8人。全員がSlack・Notion・HubSpot・Stripe・AWSと複数のSaaSに日常的にログインしている。認証情報が一か所でも漏れたら、ドミノ式に全部やられる構造になっている。

スタートアップほどIDとパスワードの管理が甘い

正直に言う。半年前まで、うちは1Passwordを導入していたが、使い方がバラバラだった。古いパスワードを個人のメモに残しているメンバーがいたし、共有アカウントのパスワードをSlackのDMで送り合っていたケースもあった。これはROI以前の話で、リスクの認識が甘かった。

SaaSスタートアップの怖いところは、SaaSを使うことで生産性を上げる一方、攻撃面積(アタックサーフェス)もそれに比例して広がる点だ。ツールが増えれば増えるほど、漏えいリスクの入口が増える。うちはそこを軽視していた。

KDDIの件でいうと、漏えいした認証情報は「既に流通してしまったら取り消せない」とフィッシング対策協議会も言っている。だからこそ、漏えいが発覚したらすぐパスワードを変えて、新しいメールアドレスに移行するよう呼びかけているわけだ。事後対応の話しかできていない時点で、予防側に力を入れるしかないと再認識した。

採用・セールスのデータが詰まったSaaSが狙われたら終わる

うちのGTMの核はHubSpotだ。見込み顧客のデータ、商談の履歴、メール文面、すべてここに入っている。ここが落ちたら、PMF前の大事なパイプラインが全部見られる。競合に渡ったら最悪だ。

セキュリティをコストと見るのか、保険と見るのか。うちは今、明確に保険として捉え直した。具体的に動いたことを3行で言うと:

  • 全SaaSのMFAを強制化(例外なし)
  • 1Passwordの使用ルールを明文化してオンボーディングに組み込んだ
  • 共有アカウントは廃止し、個人アカウント+権限管理に切り替えた

費用はほぼゼロで、工数は1日かからなかった。対応しなかった場合のダウンサイドと比べると、やらない理由が見当たらない。

投資家との会話でも最近、セキュリティ体制を聞かれるケースが増えてきた。シリーズAを狙うフェーズで「情報漏えいリスクへの対応は?」と聞かれて答えられないのは、デューデリ上でマイナスになる。数字の話だけでなく、ガバナンスの話ができるかどうかを見られている感覚がある。

KDDI漏えいのニュースは、大企業の失態として流し読みするのが普通だと思う。でも8人のスタートアップこそ、一人が踏んだら全滅するリスクを抱えている。自分のチームの認証情報の管理状況、今すぐ一度点検してみてほしい。

参考

KDDI漏えいに起因? 国内ISPの情報悪用したとみられる詐欺メール、フィッシング対策協議会が注意喚起

この記事について: 本記事は AI を活用して作成し、forva AI 編集部が内容を確認・監修しています。

AI 駆動開発のご相談は forva AI へ。まずはお気軽にどうぞ。