00:07
始めるを応援するポッドキャスト、STARTFM。おはようございます。
起業家で東京FMパーソナリティの関口舞です。
連続起業家でエンジェル投資家の柴田陽さんと、
起業や独立を考えている方に役に立つ情報を楽しく語っていきます。
陽さん、おはようございます。
おはようございます。柴田陽です。
久しぶりに、陽さんのおすすめコンテンツ紹介をやりましょうかね。
お、復活。まだ、もしまだ見ていなければという話なんですけど、
HBOのドラマ、シリコンバレーをAmazonプライムで流れているので、
もしまだ見ていない方がいらっしゃったら、ぜひ見ていただきたいなと思います。
なんかね、盛り上がってますよね、前から。
そうですね。これは2014年に最初に放映されたんですけれども、
僕、2015年くらいにアメリカに住んでたんですが、
その時もみんなこの話をしていて、まさにスタートアップっていうものが
ポップカルチャーの、もともとサブカルチャーだったと思うんですけども、
起業っていう行為ってメインストリームじゃないので、
サブカルチャーというかパンクというかだったと思うんですけれども、
それがもう今やメインストリームカルチャーになって、
例えば起業関連の漫画とかドラマとか、別に出てきてもみんな驚かないと思うんですけれども、
それをポップカルチャーに押し上げた、たぶん最もターニングポイントになった象徴的なドラマで、
要はちっちゃいシェアハウスみたいなのに住む何人かの起業家が起業して、
その中でグーグルとおもしき人と戦ったり、
投資家のピーター・ティールとおもしきちょっと変わった人から投資を受けたりみたいな、
そういうのをものすごくコメディとして描いていて、
そこに出たコメディアンの方みんなすごく人気が出て、
その後コメディアンとしても成功しているというぐらい非常にヒットしたドラマですね。
結構じゃああれなんだ、意外と熱血というか、見てて感情移入して涙が出ちゃうような感じ?
全然そういう感じじゃないですね。
ただのコメディですね。
かつみんな見てるから、シリコンバレージョークはみんな通じると思いますね。
シリコンバレーからの引用とか。
これは勉強にもなりそうだわ、英語のね。
そうですね、めっちゃ面白いのでぜひ。
ぜひぜひみなさん。
というわけでですね、結構質問最近いろいろいただいてまして。
本当にうれしいです。ありがとうございます。
今日も一つご紹介します。
モンスターエナジーさんからいただきました。
いつも拝聴してます。現在26歳で起業して3年目になります。
03:02
成功はアート、失敗はサイエンスという言葉がありますが、成功は文脈によるところが強く、
成功話は聞く分には面白いですが、自分に当てはめた時にあまり鵜呑みにはできないなというスタンスで聞いております。
一方で失敗はどの文脈でも通ずる汎用性は高いと考えております。
そこでお二人に質問ですが、経営を行う上でやってはいけないこと、
ご自身の失敗談とその失敗の原因を教えていただきたいです。よろしくお願いします。
これは良い質問ですね。
失敗はサイエンスですかね。
なのかも。でも結構歴史は繰り返すというか。
そうですね。共通の落とし穴というのは確かに必ずたくさんありますよね。
失敗話というとたくさん出てくる、私なんかもう失敗ばっかりしているわけなんですけれども、
それを羅列していくだけだと一般論みたいになっちゃうので、
失敗回というのは何回かに分けてやっていきたいと思うんですけど、
洋さんは失敗談ありますでしょうか。
それはもちろんあります。たくさんあります。
せっかくなのでその中でも特にヒヤヒヤした危機一髪だったみたいなドラマティックなのがあれば。
ドラマティックなんですね。
大抵の失敗はドラマティックじゃないんですけど、
でも一番もうこれはこの会社終わったかもしれないって一番強く思ったやつがあって、
ハッキングされた話なんですけど、されかかったというか被害は実際ないんですけれども、
どういう話かというと、これは2012年頃起きた話で、当時スポットライトという会社をやっていて、
コーポレートサイト、サービスサイトとコーポレートサイトが大抵のサービスあると思うんです。
特にC向けのサービスであればあると思うんですけれども、
コーポレートサイトなんて特に最初書くことがないので、採用していないサービスがあって、
採用向けとか取引先向けに一応置いておくみたいな感じになっているので、
創業当時にエンジニアではなく柴田陽がワードプレスを適当に立ち上げて、
適当に作ったやつがコーポレートサイトだったんですね。
まあでもそんな感じで結構十分になったりしますよね、コーポレート自体は。
それ自体も根津に作ったので、ワードプレスって管理者用画面があって、IDとパスワードで入ると思うんですけれども。
ある、私も昔ブログやってました、ワードプレスで。
それをね、パスワードを数字4桁かつザロ目っていう。
06:07
1111みたいな。
そうそうそう、作ってたんですよ。
ID、アドミン、パスワードを仮に1111ってやって、
そのまま、それは忘れましたけど、さくらのレンタルサーバーかなんかの上に載っていて、
その後、テレビが放映されたときにもうあっさり落ちたんですね。
当たり前なんですけど、ワードプレスでさくらでやってるので、
WBSかなんかに出たときに、もう登場して5秒後とかに落ちちゃったんですよ。
結構いろんな人がアクセスしてきてってことですね。
まあそれはしょうがないんですけど、それを見兼ねたエンジニアさんが、
さすがにレンタルサーバー上はダメだからって言って、
AWS上の1つインスタンスを立てて、そこに移行してくれたんですね。
そっくりそのまま移行してくれて、データベースごと。
すごい。
あと落ちないように、ワードプレスの画面を静的に1回サーバーサイドレンダリングして表示するような仕組みみたいなのを入れてくれて、
サーバーサイドレンダリング、なんかややこしい。
いろいろやってくれたと。
管理画面はそのまま移行したままで、もう誰も忘れてたんですよ。
うわー、アルファだわ。
そしてあるとき、ものすごいでかいファイルのダウンロードがあって、
それが失敗しているっていうのをCTOが見つけてくれて。
で、これおかしいぞってなって調べた結果、どうやら外部からアクセスがあるようだと。
で、何をされたのかっていうのがわからない。
不審なファイルが1個あって暗号化されているので、パスワードがないと不審なファイルの中身が見れないっていうこういう状況になっていることが発覚しましたと。
これ発覚して、そこから12時間くらいの間に起きたことですね。
で、その時点で何が起こったのかもわからない状態なんですよ。
その異常な状況というのはファイル?
ファイルをサーバーからサーバーの外にダウンロードしようとしたら大きすぎて失敗したアラートが飛んできたっていうのが発覚した経緯で、
CTOが調べた結果、何か外部からのアクセスがありそうで不審なファイルが置いてある。
ただそのファイルが何をするファイルなのかってのはわからないっていうのはこういう状況だったんですね。
勝手に変なファイルを置かれちゃってたってことですか?
そう、そういう状況です。
こわー、何それ。
ここから先がCTO間近系って話なんですけど、今某メルカリのR&D部門にいらっしゃるMさんなんですけど。
某メルカリのMさんですね。
これは誰か外部からハッキングした人が置いていったんだろうということで、
09:05
そのツール、何らかのツールのようなものだったので、そのツールのパスワードを受け入れたときにそのパスワードが何だったのかわかる
ハニートラップっていうんですかね。
を設置して待つと。
すごい。
そしたらですね、3日後くらいかなに再びアクセスがあって、その人はそのツールをパスワードを使って元通りにしようと。
複合化しようって試みたんですけど、それはできないようになっていて、かつそのパスワードが我々にわかる。
え、これじゃあつまりその悪さしたやつを逆にはめてやったってこと?
そうそう。それで何かわかったんですよ。
それのパスワードを使ってそのツールを我々の方で複合化してみたところ、
それはファイルの中にあるサーバーの中にあるいろんなファイルを閲覧できるファインダーみたいなツールであることがわかって、
どうやらそれでいろんな個人情報とかを浅くって、有用なファイルを外に持ち出すっていうことに使おうとしていたのだろうと。
なるほど。
この時点でも本当に被害があったかどうかってわかんないんですけど、
たまたまワードプレスを立てたインスタンスは他の用途にも使ってたんですけれども、
個人情報が入るような用途には使っていなくて、かつそこからそれを踏み台にして他に行くっていうこともできないような環境だったので、
良かったですね。
一応何にもないことが保証されたと。
でもその時やってたサービスってポイントサービスでたくさんいろんな人の情報を持っていたり、
BtoB、BtoCで企業さんにお金をもらっているサービスなんで、そのサービスを使ったことによって個人情報を流出するときっと契約解除みたいな話になって、
だいぶ被害が大きかった、あるいはもうちょっとキークライアントを失って終わっているっていうことも十分ありえたなと。
結構いろんなポイントサービスとかと連携していたので、ポイントってお金なので、何十万ポイントも貯めている人も中にはいるはずなので、
待っている、ハニートラップ仕掛けて待っている3日間くらいですね。
これはもう終わったかもしれないと思って過ごしていた。
うまい話だな。
そう。
12:00
そっか、じゃあ多分そういう、でもあれですよね、今回ってファイルのダウンロードの件でCTOの方がそもそも気づいたってことがあるから良かったですけど、
もしかしたら気づかないうちにそういう嫌なお気み上げみたいなものを勝手に置かれて、情報閲覧されてっていうことって結構あるんですよ。
これはだからね、みんなあんまり大ピラにしないのかもしれないですけど、多分ねがいっことウェブサービス経営している方はみんなお金少なから経験しているんじゃないかなと思っていて、
というのはこういうのって、ハッキングっていうと一般的には一般の自分のお母さんみたいな人って想像するのって、
個人の悪意を持ったパーカーを着た暗い部屋のお兄ちゃんみたいな絶対パーカー着てる感じが猫背パーカーだわ。
そういう人も実際にいるっていうか、ポイントサービスやってる時もポイント不正に取得しようとしたりする人とか、
なぜか知らないけど携帯電話10個とか20個持ってて、店先に行って10台分チェックインするみたいな。
うちのサービスを話題にしているににちゃんのスレッドでは千住観音って呼ばれてたんですけど。
本当センスあるよね。
そういう千住観音みたいなのをイメージすることが一般的だと思うんですけど、さっきのワードプレスのやつとかってビジネスとしてやっていて、
組織化されてたりするってことなんですか?
かつ分業されていて、あらゆるワードプレスのサイトを見つけてパスワードを推測して侵入する係っていうのを生業にしている人がおそらく、人っていうかそういう集団がたくさんあって、
クラックできたら、そのクラックできたっていう何十個かのサイトのリストをブラックマーケットで他の人に売りつけると。
他の人はサルベージハンでさっきのハニートラップに引っかかった人は多分その人なんですけど、ブラックマーケットで買ったIDとパスワードとかを使って、そのツールを使って大事なアセットを探す人。
それもダウンロードして、今度個人情報を売る。
個人情報を売ったやつをいろんなフィッシングに使ったり、他のサービスをクラックするのに使ったりっていう、個人情報からお金を現金化する人みたいな感じがすごく分業されていて、一つの生態系になっているので、別に自分のサイトは有名じゃないからとかって全然関係なくて、
機械的にやっているので、っていう一大産業と化していてですね。
なので、僕はポッドキャストのダークネットダイアリーズっていう、そういうインターネット上のマサイワ攻撃とかばっかりを掘り下げたポッドキャストがあるんですけど、1話1時間ぐらいで、大体3エピソードか4エピソードぐらいで、有名な過去のいろんなハッキング事件、リンクトインのハックとか、
15:24
ああいうのを掘り下げる、ルポルタージュみたいなポッドキャストです。すごい大好きで、いつも聞いているんですけど。
そうなんですよ、こういう話ってね、人のことだと正直ちょっと面白いって言ったら悪いですけど、
ビジネスになっているので、パーカー着ている兄ちゃんがやっているわけじゃないんですよね。
そうなんだ、パーカー着ているお兄さんが一人でやっているイメージでしたね。
それだけじゃないのはもちろんわかってはいるものの、
関口前ムカつくから攻撃してやれみたいな、そういう人もいると思うんですけど、普通に機械的にやっているだけなので、
そうするとどんなに有名じゃないサービスでも油断しちゃいけないし、ゾロ目のパスワードとかは本当に、
結局そのワードプレスがクラックされるという話だけじゃなくなっちゃうんですよね。
そのサーバーに同居しているいろんなものも一緒に取られたり。
うわーそうですよね、でも結構やっぱり今回ポイントとしてあれですよね、
サイトが大きくなって、会社が大きくなってからちゃんとしたコーポレートサイトを作ろうって言って、
最初からエンジニアさんと一緒に作れば絶対パスワードゾロ目なんかやらないですけど、
初期にとりあえず手弁当で立ち上げて。
入っちゃうんですよ、混入しちゃうんですよね。
混入しちゃいますよね。
だからそこは常に油断しちゃいけないっていうか。
うわー何でしたっけ、あれと似てる。
なんかアメリカの偉い人がホワイトハウスか何かの偉い人の携帯電話の番号が普通にネットに出てた問題みたいな。
その人がもっと下っ端だった頃に何かのイベントでちょっと掲載しちゃって、
そのまま携帯は同じ番号のまま偉くなっちゃったんで。
なるほど、直通電話が。
みたいなそれが誰でもかけられるようになってたってすごい問題になったのがあったんですけど、結構それに近いというか。
これは。
かつ最近はビジネス、アンダーグラウンドビジネスとしてだけじゃなくて、
いわゆるステイトスポンサードっていうか国が支援してやらせて、
実際には国が攻撃をしているというケースがすごい多くて、
それこそこの間起こったコロニューアルパイプラインという石油パイプラインがランサムウェア、
ミノシロキンですかね。
これ解除してほしければ1000ビットコイン払えみたいなやつだったり、
すごくいろんなのがまさにここ数ヶ月でも起きてますけど、
18:04
これはさすがに名前は言えないんですけど、知り合いの運営しているウェブサービスで、まあまあ有名なウェブサービスで、
ハッキング事件が起こって、それもそういった事故に起こった後にインシデントが、
専用のセキュリティ会社に調査させたら、
ウクライナの有名なハッカー集団、国が支援している有名なハッカー集団がやったであろうという、
その改善性が非常に高い痕跡が見つかりましたという話で、
結局その1企業、1スタートアップが国と戦うみたいな、結果的には状況になっていて、
いやかっこいいというか絶対勝てないんですよね、当たり前ですけど。
勝ったらかっこいいですけど、勝てないですよね。
で、あと知り合いの自衛隊のサイバー部隊にいた人が教えてくれたんですけど、
何その知り合い。
ロシアにサイバー部隊が当然あるんですけど、対日本の部隊っていうのが設立されましたと、数年前ですね。
そうすると企業でも、例えば関口さんが日本支店長みたいな任命されて、
じゃあこれで活動してねってやったら、当然その年間予算みたいに立てて、
それに向けて日々いろんな打ち手を遂行するじゃないですか。
それと同じように日本部隊っていうのが作られたから、
その人たちが結局日本を攻撃するか、攻撃する準備をするためのリサーチだったり工作をするかっていうのが日課になっちゃうので。
それだけやってるわけですね。
それでものすごい攻撃の量が増えて、
でも毎日KPIとかも絶対あるんで、きっとAランクのうち今30%のIDを入手してますみたいな、そういう絶対になるじゃないですか。
もちろんロシアもあれば中国もあるだろうし、もしかしたら北朝鮮とかウクライナも日本をターゲットにする部隊があるんでしょうから。
どうしたらいいんだ。
ちょうど数日前ですかね、G7の後に開かれたNATOでも、一連のサイバー攻撃は武力行使とみなす可能性があるよ、みたいな声明を採択していて、
つまり戦争、抗戦と一緒であるというようなところまで今来ていて、
だから今までって別に気をつけなくていいって話ではないんですけど、
企業が何か、例えば仮想通貨が取られちゃったとか、個人情報がハッキングで流出しちゃったとかってなると、
21:06
企業ふざけんなよ、みたいなニュースの調子だし、消費者としてもそう思うじゃないですか。
でも北朝鮮の部隊とかが攻撃してきているのに対して、いくらなんでもそれはないんじゃないのって僕は個人的には思っていて、
かわいそうなんじゃないのと思っていて。
さすがに防げるレベルの攻撃じゃないってことですよね。
たぶん15年後とか20年ぐらいの期間が必要だと思うんですけれども、たぶん15年後とか20年後には、
例えば飛行機がハイジャックされるとするじゃないですか。
それって航空会社も当然セキュリティとかで見抜けなかったのは問題だと思うんですけど、
でも誰も航空会社のせいだっていうことにはしないじゃないですか。
ふざけんなあいつら、あいつらハイジャックされやがってみたいな感じにはならないじゃん。
なのでもちろんあらゆる空港でいろんな警備体制とか、本人確認とかっていうのがある前提ではあるんですけれども、
そういう扱いになってくるだろうなと思ってたサイバー攻撃も。
だからまるまる仮想通貨取引所ふざけんなみたいな、2020年代はそういう感じになりますけれども、
2030年代40年代に関してはいろんな規制で国だったり民間レベルで対策をした上で、
それでもなお中国なのかロシアなのかがハッキングをして破られたら、それはしょうがないよねというか、
企業も被害者ですよねっていう、だんだんそういう感じに物事がこなれてきて、
セキュリティの枠組みなんかもどんどん充実していくと、15年とか20年後にはそういう感じになっていて、
2020年代とか超牧歌的だったよねっていう感じに、
セキュリティチェックもせずに人乗せてたらそれはテロ起こるよねみたいな感じの捉え方に変わっていくんじゃないかなというふうには思っています。
ちょっと今結構過渡期で企業にとっては結構厳しい状況、要するに狙われたら多分防ぎようがないので基本的に。
まあそうですよね。だからせめてできることがあるとすれば、せめてゾロ目のパスワードなどにはしない。
そういう話もあるから、もちろん足元が緩いっていうのはもちろん良くないと思うんだけど、両方があるなと、そういう完璧な防御ってないので。
ないですよね。私も前々から基本流出するものだと思った方がいいと、特に自分のスマホの画像とかですね。
スマホを落としただけなのにとか。大したものは入ってないんですけど、大したものを入れちゃダメ。
24:05
切り取り方にもよりますもんね。
怖いなあ、世の中そんな感じなんだ。でもあれですね、さっき言ってたCTOさんみたいな方が、なんて言うんでしたっけ、ホワイトハッカーとかいうのがいるじゃないですか。
そういう悪と戦う感じの人。超かっこいいなあ。ホワイトハッカーになりたい。
ホワイトハッカーじゃなくて、ただのフルスタックエンジニアなんですけど。
でも結果的にやったことはね。
いや、もう超かっけえってなりました。
どうしたらいいんだろう。今から私がホワイトハッカー的な活躍をするためにはもう物理しかないかもです。ぶっ壊すとかパソコン相手の。
絶対そういうこと言うだろうなって。
醤油めちゃくちゃかけるとか。
醤油かけて戦いましょう。
醤油ビタビタにしたらもう無理なんで基本。
というわけでいろいろ話してきましたけど、質問者さんの質問に戻って失敗経験など今回ちょっと汎用性の高い教訓みたいな感じに結論をまとめるとどうでしょうかね。
セキュリティ関連スタートアップは大きなチャンスがあるってことじゃないですか。
これは大きいトレンドだとは思っていますし、実際ものすごい今ユニコーン増えていて、今年に入ってたぶん確か統計によるとサイバーセキュリティ関連のユニコーンで新しく30個ぐらい生まれてるんじゃないかな。
あとARRマルチプロも40倍ぐらいがアベレージになっているので、差数の2倍ぐらい高いですね。
失敗的に言うと、やっぱり混入しちゃうよっていう教訓はすごく汎用的だと思います。
一番最初に決めた会社の働き方のバリュー的な話だったり、期限遅れるのとか目標を達成しないのに対してどう対応するかみたいな話だったり、
パスワードポリシーをどれだけ厳密にしますかとか、ファイル共有をどうするかとか、そういう小さな、今ちっちゃいからいいやみたいなやつって意外に直す暇がなく、最後まで混入するバグになるっていう。
それは技術的な意味でも文化的制度的な意味でも。
会社が小さくて始めたばかりのうちからちゃんとしておいた方がいいということですね。
心構えとしてはですね。
皆さんぜひ参考にしてみてください。
スタートFMではあなたからの質問やメッセージを募集しています。
ポッドキャストの概要欄から送ってください。
そして最後まで聞いてくださったそこのあなた、チャンネル登録、高評価よろしくお願いします。
よろしくお願いします。
ということでエピソード19、聞いてくださりありがとうございました。
27:03
ありがとうございました。
それでは素敵な1日をお過ごしください。
