フェイズ別・スタートアップでのセキュリティやることリスト

FacebookLinkedInTwitter
#セキュリティ支援

2021-09-01

プロフェッショナルサービススタートアップ向け

セキュリティはやらなきゃってのは分かってるんですが、ぶっちゃけ、具体的にどのフェイズで何をすればいいんですかね?

分かります。

セキュリティを事業面で切り出してハウツーを教えるドキュメントはあまり多くはありません。ほとんどのセキュリティ本は、成熟した企業における対策や担当になってしまった人間にとって理解すべきことしか書かれていません。

しかしながら、これらのほとんどは急成長を模索するスタートアップでは役に立ちません!断言します、無理です!

そこで、ざっくりですが、(自社でもVCから投資を受けてディープテックを進める)当社が考えているフェイズ別のセキュリティやることリストについて、紹介します。

アーリー時期:最初ファンを失う「やらかし」だけは避ける

ビジネスが始まったばかり、もしくはまだ模索中のアーリーフェイズにおいて、セキュリティなんて考えてる暇はありません。考えている暇があったら顧客と話したりサービスを作りたいですよね。

この時期でやっておくべきことは、例えば、

  • BCCを使わないでマーケティングオートメーションをちゃんと入れる
  • 顧客リストをしっかり保護する
  • Webプロダクトの必要最低限のセキュリティ機能はちゃんとする

といった内容です。

とにかくビジネスの成立に向かって走っているこの時期は「やらかさないこと」が一番大事です。ここで事業の最初のファンになってくれた顧客を失望させるようなことは避けましょう。

例えば、メルマガに誤ってCCを使ってしまい、顧客から突っ込まれる。せっかくナーチャリングした最初の優良顧客のリストがビデオ会議のスクリーンに写ってしまう。これらは、せっかくの事業の熱を下げてしまいかねません。

また、顧客に提供しているプロダクトでのUXも重要です。ちゃんとログインできない、他人のデータが見えてしまった、パスワードリセットはどこ?といった体験は、失望、そして悪評に繋がりかねません。技術力の低さの現れとみられることもあり、顧客・投資家の両方に違和感を植え付けます。

事業の信頼の種を育てるセキュアさが求められるフェイズです。

ミドル時期:最初のセキュリティ投資、3つの領域+セキュア人材

ビジネスがグロースしてくると、多くのセキュリティ課題が登場します。( も参考にしてください)

ここでは、顧客のセキュリティ要求に応えつつ、自社でもベーシックなセキュリティを実現する投資が必要となってきます。

  • 情シス:社用PCの購入、ウイルス対策ソフトの導入、クラウドストレージの共有設定etc
  • 開発:プロダクトのセキュリティの向上etc
  • 管理:基本的な社内ルールの作成etc

このフェイズでは、主に社内情報システム部門で行うセキュリティが最も大きな比率を締めます。ウイルス対策ソフトなど具体的なセキュリティソリューションが必要になってくるのもこの頃です。テレワークが主体の2020年以降は、リモートのためのツールの整備も含まれるでしょう。

また、プロダクト開発を担うエンジニアによるサービスのセキュリティ向上や、管理部門による基本的な社内ルールの作成も課題に上がってきます。

しかし、このフェイズで大きな差となってくるのが、それぞれの経験の差です。情シスであれば理想的な社内システムを知っているか、プロダクト開発であればセキュリティ機能の設計や実装経験はあるか、管理部門であればセキュリティルールの整備経験もあるか。答えを知っていると知らないでは、進捗効率は大きく異なる領域です。

こういった経験を持つ「セキュアな人材」をこのフェイズで採用できるかは、セキュリティ投資全体の効率に大きく影響してきます。全社を巻き込んだ手戻りやビジネス成長を疎外するガチガチの制限ルールが生まれないよう、答えを知っている人材を確保しておくことが望ましいと言えます。

レイター時期:体制と戦略を作り込む

このフェイズになってくると、社内の管理体制にもある程度リソースを割り当てることが可能となってきます。一方で、次のマイルストーンであるIPOやM&Aに向けて、社内のITリスクについても外部に説明する機会が生じてくるのも事実です。またサイバー攻撃の兆しも見られてきます。

先のフェイズでセキュア人材の確保に成功していたならば、そういったメンバーを中心にセキュリティを浸透させ、前向きなセキュリティのカルチャーを育てていきましょう。

  • スマートでセキュアな社内システムづくり
  • 社内とプロダクトのサイバー攻撃に関する対策
  • セキュリティ勉強会(教育)の実施、規定づくり、全社セキュリティ組織の設置
  • 中期的なセキュリティ戦略の作成

情シス部門では、社内システムへの投資を充実させ、スマートかつセキュアなフロント&バックオフィスの従業員体験を作ると同時に、多要素認証やシングルサインオンのようなセキュリティも導入します。また、エンジニアではSREなどの運用エンジニアを主体とし、プロダクト機能だけではなく、システム全体が安定稼働し、かつサイバー攻撃に耐えうるセキュリティを効率よく構築します。管理部門では、全社に渡ってのセキュリティルールの浸透が喫緊の課題です。教育や規定だけでなく、セキュリティ委員会やCSIRTのようなセキュリティ専任の組織づくりが必要になる場合もあります。


この時期では、それぞれの領域を担うセキュア人材だけでなく、全社のセキュリティやITリスク全体を俯瞰するCISOのような立ち位置の人材も必要となってきます。情シス部長や管理部長、またはCTOがこのポジションを取ることも多く見られます。

企業が急激に成熟化していくのに合わせ、各個別のセキュリティやITリスク対策を1つの大きなロードマップに統合することもこのフェイズでは必要です。

勝てば官軍、負ければ

知名度が高いとは言えない急成長のスタートアップにおいて、セキュリティ事故は必ずしもビジネスへの致命傷とはならない場合もあります。またセキュリティ対策は顧客にとって直接的な価値があるというわけでもありません。

しかし、それでもフェイズに応じてセキュリティに取り組むことが必要なのはなぜでしょうか?

それは、圧倒的に効率的だからです。


社内体制の整備の中でもセキュリティは、その予算の投入の適切性の判断が難しいものです。セキュアさはKPIのような数値管理が難しく、バックオフィスとは異なり必要不可欠というわけでもありません。「やらなきゃなぁ」というふんわりとした課題意識だけがマネジメントには残ります。

しかし、スタートアップにおけるセキュリティは「成長を阻害するであろう要素=リスクを排除する」アクティビティに他なりません。


現代の効率の良いセールス&マーケティングオペレーションは、様々なシステムやサービスから成り立っています。顧客に提供するプロダクトでログイン機能のないものはないでしょう。大規模な顧客や投資家は、事業や会社のリスクを判断するとき、サービスや情報資産保護が適切かを必ず調べます。

これらに潜む「成長を阻害するリスク」は、顕在化したら最後、成長を阻害するだけでなく建て直しのリソースも必要とすることもあります。

このリスクを効率よく排除するために、段階的なセキュリティが必要となっているのです。


当社では、このような複雑なITリスクの課題を経験したメンバーにより、スタートアップに特化したセキュリティ支援を幅広く行っています。

  • シードステージであれば、セキュリティ面の相談に乗る(それも超スモールな金額から)
  • FinTechのような規制産業に参入するスタートアップのセキュリティ基準合致を必要十分にできるようにサポートする
  • 別に大企業みたいな堅牢さはいらないからセキュリティ戦略の策定を丸投げしたい、という要望に素早く答える
  • セキュリティエンジニアを採用する余裕はないが、エンジニアリングで手が足りない!というチームのお手伝い
  • セキュリティ教育代わりにやってくんない?に年4回しっかり教育をデリバー

この分野は面倒くさいことも多く、手がもう少しあればなぁ、という悩みも多いことも熟知しています。スタートアップに特化しているのは、スマートかつ必要な部分を効率よく手伝えたら俺たちもハッピーじゃん!という想いに他なりません。

ご興味・ご相談は下記フォームからいつでもお気軽にご連絡ください。

(C) 2020-2021 Skygate Technologies