セキュリティは後でいいと思っていた

「セキュリティ、どうしますか」「後でいいんじゃない？」——この会話が、確認できただけで6回あった。

事件は静かにやってくる

ある月曜の朝、顧客から連絡が届いた。「御社を名乗る不審なメールが届いています」。

調べると、メールアカウントが不正アクセスを受けており、顧客リストを使ったなりすましメールが送信されていた。パスワードはサービス開始当初から変えていなかった。MFAの設定は「後でやろう」と思っていたまま2年が経っていた。

被害の把握、顧客への連絡、再発防止策の策定、弁護士への相談——その週、本来の業務はほぼ何もできなかった。

「後でやろう」にかかったコストは、「最初からやっておく」コストの、何十倍にもなった。

セキュリティ対策は、やっていない間は何も起きません。問題が見える化されるのは、インシデントが発生した瞬間だけです。「今は大丈夫」が続くと、「ずっと大丈夫」に変わっていきます。

リスクの高さは放置した時間に比例して上がりますが、その変化は数字では見えません。

MFAの設定とパスワードマネージャーの導入だけ、今日中に。これだけで主要なリスクの大半は下がります。