「スタートアップのセキュリティ対策」はどこまでやるべき?ステージごとに求められる対応は変わる
実際、筆者が以前、スタートアップ企業のCEOに聞き取り調査を行ったところ、セキュリティ対策に十分に手が回っていない様子がうかがえた。 「社員の労務管理にさえ課題がある状況なので、セキュリティ管理は後回し」「セキュリティ対策は必要だと思うが、予算には限りがあり、どこから始めればよいかを迷っている」「セキュリティは開発者に任せている」といった声が聞かれたのだ。 ■「成長ステージ」により必要な対策は異なる
では、本来ならどのような対策や心構えが必要なのか。スタートアップ企業は一般的に下図のような4つの成長ステージに分類されるが、とくにステージの前半(シード、アーリー)と後半(ミドル、レイター)ではセキュリティ対策のポイントが異なる。 通常、従業員・資金調達額・顧客は、ステージが進むごとに増加するため、創業間もない企業と上場間近の企業では必要なセキュリティ対策が変わり、段階的な強化が必要になるのだ。
ステージの前半では、見込み顧客へのデモやトライアルを繰り返して有効なフィードバックを得て、顧客が魅力を感じるプロダクト(独自のWebサービスやSaaSなどの製品・サービス)を育てることが企業の最優先事項だ。そのため、セキュリティ対策は、大切なプロダクトを守り、インターネット経由で顧客に安全に届けるための施策がポイントになる。 このフェーズでは、インフラ・アプリの技術者がセキュリティ対策を兼務することが多いこともあり、主に技術面の対策が重要になる。例えば、パブリッククラウド自体のセキュリティ設定、連携するAPIや生成AIのセキュリティ対策、公開Webサイトには欠かせないWAF(Webアプリケーションファイアウォール)の導入などだ。
これらの対策を成功に導くためには、経営陣の理解や支援が欠かせない。成功しているスタートアップ企業の経営陣ほど、顧客から信頼を得て、安定した事業運営をするために必要不可欠な課題として、セキュリティを捉えている。 こうした意識を持つ経営陣は、セキュリティ関連の相談や意思決定に時間を割くことや、対策の進展や成功を賞賛・感謝することを大切にしている。日々の小さな積み重ねが、利用者が急増しても安全・安心なサービス提供ができる盤石な体制や、よきセキュリティ文化の形成・浸透につながるのである。