2025年1月16日に奈良商工会議所で開催された「あなたのパスワードは大丈夫？」というセキュリティセミナーに参加しました。

パスワード使い回しの危険性と総当たり攻撃の実演

セミナーでは、パスワードの使い回しをしているか、パスワードの管理は面倒くさいか、パスワードの設定方法はどうしているか、銀行の暗証番号はなぜ4桁なのか、パスワードは忘れていいのか、といった内容が語られました。そして、質疑応答の前には、パスワードの解読実演もありました。

パスワードリストはアングラ市場で出回っており、リストに載っているパスワードは、総当たり攻撃（ブルートフォースアタック）で簡単に解読されてしまうとのこと。総当たり攻撃とは、例えば、1万個のパスワードリストがある場合、IDに対してそのパスワードを一つずつ入力していき、エラーでなければ、ヒットする可能性があるというものです。

セミナーでは、25人程度の会社を想定したデモが行われました。被害者側のパソコンと、総当たり攻撃を実行する加害者側のパソコンが用意され、攻撃の様子がリアルタイムで表示されました。1万個のパスワードリストから総当たりでパスワードが試行され、エラーが返される様子、そして、その中から次々に解読されていく様子は、非常に衝撃的でした。結果、ほとんどのアカウントが解読されてしまいました。

もし私に何かあったら？事業継続と顧客情報の管理対策

私は、パスワード管理に「LastPass」というサービスを利用しています。また、仕事関連では「1Password」という有料サービスを年間契約で利用しています。どちらも強固なセキュリティを誇るサービスです。

しかし、私に何かあったとき、例えばお客様への連絡や課金の停止などを、家族や他の人が行えるようにしておく必要性を感じています。私が提供しているサービスは、Teachableやメール配信サービスのKit（ConvertKit）、オンラインコミュニティのCircle（サークル）といった海外のプラットフォームを利用しています。そのため、ログインできなければ、お客様への連絡や返金手続き、キャンセルなどが滞ってしまいます。

特に、顧客リストはサービスを乗り換えるたびに、CSVファイルとしてダウンロードし手元に保管しています。顧客情報が漏れてはいけないという危機感もあり、インターネットに接続しているパソコンのセキュリティ対策について常に考えています。

セキュリティ強化と事業継続のジレンマ

セキュリティを高めれば高めるほど、私以外の人がアクセスしにくくなるというジレンマがあります。例えば、生体認証などで私しかログインできないように設定してしまうと、私がいなくなったときに、様々な問題が起こる可能性があります。

この問題は、この2年ほどずっと考えている課題です。セキュリティは高めたいけれど、私以外の人が後始末できるような環境も整えておきたいのです。「デジタル終活」という言葉が一般的になってきましたが、私個人としては、デジタル終活というよりも、サービス提供者として、事業継続の観点からこの問題を解決しなければならないと考えています。

私が入っているコミュニティの中でも、ウェブサイトの保守管理など継続的なサービスを提供されている方々が、自分に何かあったときのことを話題にされていることがあり、この問題は私だけのものではないと認識しています。

情報セキュリティ専門家であるセミナー講師への質問とその回答

この日のセミナー講師は、1980年代からSEをされていて、数年前に独立され、今はセキュリティのことをメインにお仕事をされている方でした。セミナー後に、「本題とは少し外れますが…」ということで、パスワード管理と事業継続のジレンマについて質問してみました。

例えば、顧問契約などで、何かあったときに後始末をしてくれるようなサービスや、そのようなことを仕事にされている方がいないのか、あるいは、そのような保険があるのかどうかを伺いました。

すると、大企業向けの専門サービスはあるものの、中小企業以下では、そのようなサービスはほとんどない、基本的にはないと考えた方が良い、とのことでした。そして、「それよりもBCPの問題じゃないか」と指摘されました。

BCP（事業継続計画）とは？

BCPについて伺ったところ、ビジネス・コンティニュイティ・プラン（事業継続計画）の略称とのことでした。自然災害やテロ、システム障害、感染症などの緊急事態に遭遇した際に、事業を継続または早期復旧させるための計画のことです。セミナーから帰宅後、自分でもBCPについて調べてみましたが、講師の言う通り、事業をいかにして継続していくか、まさかという事態にどう備えるかを決めていくことがBCPであると理解しました。

講師の方によると、BCPに強い職種としては、中小企業診断士や、デジタルに強い税理士、社労士などが挙げられるそうです。また、士業と一口に言っても得意分野がいろいろあるので、もしどこか士業の方を知っていたら、「BCPに強い人を知りませんか」と聞いてみるのも一つの方法だと教えていただきました。

PerplexityでBCPについて調べてみた

セミナー後、PerplexityでBCPについて調べてみました。BCPの主な目的は、事業資産の損害を最小限に抑え、重要な業務を継続し、早期復旧を実現し、企業価値と社会的信頼を維持することです。

BCP診断士という専門家もおり、リスク評価、BCPの策定支援、社内教育訓練、計画の見直しと改善、緊急事態対応マニュアルの作成などを支援してくれるとのことです。ただ、Perplexityが述べた代表的な専門家組織は、横文字の大企業ばかりでした。

そこで、個人事業主がBCPについて相談できる職種をPerplexityに聞いてみたところ、やはり中小企業診断士、BCPコンサルタント、リスクマネジメントコンサルタント、行政書士という回答が得られました。

また、無料で相談できる機関としては、商工会議所、中小企業基盤整備機構、各地方自治体の中小企業支援センターなどがあることがわかりました。

（余談）久しぶりのリアルセミナー参加で感じたこと

「人と関わらなくていいからオンラインビジネス」？？？

今回、久しぶりにリアルなセミナーに参加してみて、オンラインとの違いを改めて実感しました。仕事目的で人に会ったり、セミナーに参加したりするのは、この10年で3回目くらいです。元々は作業療法士として、もう人の手を取るとか、抱きかかえて起こすとか、そういう近い距離で仕事をしていたはずなのに、この10年で、人に疲れてしまうようになってしまいました。

特に、相手の声の大きさや熱量は、オンラインでは調整できますが、リアルではそのまま受け取ることになります。50cmの距離で対面で話せば、相手の声が大きければ、Zoomなどのパソコンを介しているときとは違い、そのまま降りかかってきます。いろいろな人がいるので、いろいろな熱量を感じ、それでクタクタになってしまいました。セミナー中はそう思わなかったのですが、帰ってきてから、「意外と疲れたな」と感じました。少人数だったし、質問が多かったのは私だけだったのですが、それでも疲れを感じました。

オンラインビジネスをやっている人の中には、人と関わりたくない、人付き合いが面倒くさいから、リモートや一人でやりたいという方が多いという話を聞きますが、「私はそんなことないけどな？」と思っていたんです。でも、「全然そんなことあるわ！！」と思うようになりました。初対面で距離感のよくわからない人ばかりの中で会話をするというのは、久しぶりの感覚でした。

思えば、この仕事を始めてからリアルなセミナーに行ったのは、2013年頃と2015年（母が亡くなった年なのでよく覚えています）です。それから10年近く経って、今回が3回目の2025年。それなりに年齢も重ねたこともあるかもしれませんが、「リアルのお仕事ってこんな感じだったかな？」と感じました。

オンラインビジネスのメリットを再確認した瞬間

先日、別の用事で出かけたときのことです。地下鉄の階段を降りていると、後ろで女性2人が話しているのがずっと上から聞こえてきました。明らかに友達同士ではなく、片方が一方的に好きなことを喋っていて、もう片方はあまり興味がなさそうに聞いている、というような状況でした。ちょうど夕方だったから「会社帰りの同僚どうしなのかな？」と感じました。そういえば私も病院勤めのときに、たまたま病院を出たところで一緒になった職員の人と駅まで一緒に帰らなければいけない、という状況を思い出しました。

駅まで1本道なので、何か話さないといけない、というようなことがあり、仲の良い人となら良いのですが、そうでない場合もあります。挨拶だけして歩行速度を変えて離れていく場合もあれば、相手がそうする場合もあれば、私がそうする場合もあります。なんとなく一緒に喋って歩き出すと、ちょっと微妙な感じが駅まで続く、というようなことを思い出しました。

この経験と、今回のセミナーを通じて、時間も自由になり、場所も自宅でもどこでもできるオンラインビジネスがどれだけストレスなく恵まれているかを、改めて感じました。お付き合いなどもないですし、そういう意味では本当に恵まれています。

まとめ：フリーランスや個人事業主の事業継続計画の重要性

オンラインビジネスはストレスなく恵まれた働き方です。しかし、事業を継続していくためには、売上目標だけでなく、事業継続計画を策定し、不測の事態に備えておくことが重要です。私に何かあったとしても、事業への信頼を失わず、お客様に不快な思いをさせず、データ損失や漏洩を最小限に抑えるために、今からBCPについて考え、専門家に相談し、プランニングと行動計画を策定しておく必要があると強く感じました。事業目標を考えることも大事ですが、事業の継続をどうやって計画するか、毎日の中でどう対処するかをあらかじめ考えておく、備えておくということが重要だと気づきました。

事業目標、売上を上げていくことももちろん大事ですが、この事業をいかに信頼を失わず、そしてお客様にあまり不快な思いを与えず（難しいところもあるけれども）、データの損失や漏洩などをなくし、そして最小限に済むようにするには、どうプランニングして、どう行動していくかを策定しておくことも大事なのかもしれません。