このようにセキュリティへの「Why」が明確な企業ほど、持続可能な仕組みの整備が期待できるだろう。 　2つ目は、スタートアップ企業が公開しているユーザー企業の導入事例や技術ブログなどの公開情報から情報を収集することだ。導入事例におけるセキュリティ対策の要点や、技術者が中長期視点で取り組んでいる施策を探ることは、協業先の選定における一助となる。 　3つ目は、リスクレーティングの活用だ。これは、スタートアップ企業のドメイン情報やシステム設定などの客観的な情報・状態から、セキュリティリスクやランキングを定量的なスコアとして測るサービスである。セキュリティ対策の取り組みを強調する企業のスコア結果が低く表れることもあるため、取引や協業前に参照するのは有効だ。

■「ポジティブリスク」も踏まえた対策を 2024年2月に、グローバルで注目度の高いNIST(アメリカ国立標準技術研究所)の「サイバーセキュリティフレームワーク2.0」が公開された(改訂の要点はNRIセキュアのブログを参照)。この更新版には、新たに「ポジティブリスク」という記載が加わっている。 　一般的なサイバーセキュリティリスクのマネジメント活動は、組織のミッションや目標の達成を阻害するネガティブなリスクへの対応を指すことが多いが、ミッションや目標の達成を促進するポジティブなリスクも存在するという考え方が盛り込まれたのだ。

　例えば、急激に進化する生成AIに関して、利用における機密情報の漏洩や法令違反などネガティブリスクのみを捉えるのではなく、業務効率化や品質向上など生成AIが企業や組織にもたらしうるポジティブリスクや好影響の観点も踏まえて、セキュリティ対策を考えるべきだということだ。 　新しい技術と向き合い、急成長を目指すスタートアップ企業は、まさにポジティブリスクの担い手と言える。その特性を生かしながら、自社にとって必要なセキュリティ対策を考え、セキュリティを自社の信頼・品質の一環と捉えられるか否かは、経営者の姿勢やリーダーシップによるところが大きい。

　よいセキュリティ対策とは、短期的な打ち手の実行だけでなく、中長期的かつ持続可能なマネジメントサイクルを徹底することに尽きる。スタートアップ企業において、持続的な成長とセキュリティ対策への投資が、適度なバランスでなされていくことを願っている。