「スタートアップのセキュリティ対策」はどこまでやるべき?ステージごとに求められる対応は変わる
■「社会的な信頼」を獲得するセキュリティ対策とは? ステージの後半で成長を続けるスタートアップ企業は、その過程で顧客層が多様化する。例えば、当初は中堅・中小企業向けのサービスを展開していた事業が、プロダクトの機能拡充と共にエンタープライズ企業からも利用されるようになるケースがある。 そうした中では、顧客からのセキュリティ要請や期待に応え、社会的な信頼を獲得できるようなセキュリティ対策が重要になってくる。
例えば、大半の大手企業は取引開始前に、スタートアップ企業に対して「委託先チェックシート」への回答を求める。セキュリティ認証(ISMSやプライバシーマークなど)の取得状況や安全な認証機能の有無(SSOや多要素認証など)、ログの保存期間など、戦略・技術・運用など多岐にわたる確認を求められるため、対応しておきたい。 また、セキュリティ専任の担当者を採用することやCISOを外部から招聘することも検討すべきだろう。対策の一端を紹介する技術ブログやセキュリティ対策報告書をWebサイトで公開するのも、自社のセキュリティの取り組みを外部に理解してもらうためには有効だ。
さらに、ステージ後半では、企業ブランディングの一環として広告・マーケティングに多額の投資を行うことも一般的だが、認知の高まりと共にインターネット経由のアクセス数が増え、サイバー攻撃が増加したという事例もある。攻めの施策をする際には、守りも同時に考えておきたい。 ■スタートアップ企業との協業や取引での注意点 一方で、これからスタートアップ企業との協業や取引を考えている企業経営者には、どんな視点や心構えが求められるだろうか。「これさえ押さえておけば大丈夫」という魔法の杖はないが、筆者は以下の3つの観点が大切だと考えている。
(1)経営陣のセキュリティに対する考えや取り組みを聞く (2)導入事例や技術ブログなどからセキュリティ関連の創意工夫を確認する (3)リスクレーティングを活用する まず1つ目は、スタートアップ企業の中でセキュリティがどういう位置づけで、文化としてどのように浸透しているか、説明を求めることだ。 あるスタートアップ企業の経営者は、セキュリティ観点でヒヤリハットがあった時に、今後起こりうる最悪の未来を想定し、即座にセキュリティ委員会を立ち上げた。最初の数年はあらゆるセキュリティの意思決定にも経営者自身が関わり、ヒヤリハットが発生した日を風化させないように今でも年に1回「セキュリティの日」として社内イベントを続けている。