成長とスピードを求められるスタートアップ企業は、セキュリティ対策をどう考えればよいのか(写真:kou/PIXTA)

最先端のテクノロジーを活用して、大きな成長を目指すスタートアップ企業。そのサイバーセキュリティ対策の実態はどうなっているのか。


東洋経済Tech×サイバーセキュリティのトップページはこちら

スタートアップ企業の経営者だけでなく、彼らとの協業を考えている企業経営者も気になるところだろう。

経済産業省は、スタートアップ企業を「1. 新しい企業であって、2. 新しい技術やビジネスモデル(イノベーション)を有し、3. 急成長を目指す企業」と定義している。この「新しい」「急成長」というキーワードこそスタートアップ企業を象徴する強みだが、サイバーセキュリティの観点では、足をすくわれる要素にもなりうる。

対策が難しいスタートアップならではの事情

まず、スタートアップ企業は、「クラウド」「API」「ブロックチェーン」「生成AI」など、社会で注目を集める新技術を積極的な姿勢でイノベーションに活用している。そのため、「新しい」ゆえに考慮すべき「新しい技術固有のセキュリティリスク」とも日々向き合わなければいけない。

例えば、クラウドをビジネスに活用する際、必要なのはウイルス対策のような従来のセキュリティ対策だけではない。

「管理コンソールの設定不備による不正アクセス」「クラウド上にデータを格納するサービスを意図せずインターネット公開したことによる個人情報漏洩」などのクラウド固有のセキュリティリスクを考慮する必要があり、対策を疎かにすれば新規事業の見直しや撤退といった事態に陥る可能性も考えられる。

さらに、セキュリティ対策を求められる一方で、ランウェイ(キャッシュ不足に陥るまでの残存期間)での「急成長」を問われ続けるというプレッシャーも抱えている。

国内スタートアップ企業528社からの回答を調査・分析した「スタートアップサーベイ2023」(三井住友信託銀行)によれば、目標とするランウェイを24カ月以上とする企業が約半数を占めるものの、足元のランウェイを目標の期間以上確保できている企業は4分の1にとどまる。

目標と現実のギャップは大きく、スタートアップ企業が短期間で成長し続けなければいけないプレッシャーと向き合っていることがわかるだろう。

このプレッシャーは、成長の強い源泉でもあるのだが、成長スピードを優先したい事情から、セキュリティ対策の優先度を下げる意思決定につながってしまう場合がある。

実際、筆者が以前、スタートアップ企業のCEOに聞き取り調査を行ったところ、セキュリティ対策に十分に手が回っていない様子がうかがえた。

「社員の労務管理にさえ課題がある状況なので、セキュリティ管理は後回し」「セキュリティ対策は必要だと思うが、予算には限りがあり、どこから始めればよいかを迷っている」「セキュリティは開発者に任せている」といった声が聞かれたのだ。

「成長ステージ」により必要な対策は異なる

では、本来ならどのような対策や心構えが必要なのか。スタートアップ企業は一般的に下図のような4つの成長ステージに分類されるが、とくにステージの前半(シード、アーリー)と後半(ミドル、レイター)ではセキュリティ対策のポイントが異なる。

通常、従業員・資金調達額・顧客は、ステージが進むごとに増加するため、創業間もない企業と上場間近の企業では必要なセキュリティ対策が変わり、段階的な強化が必要になるのだ。


ステージの前半では、見込み顧客へのデモやトライアルを繰り返して有効なフィードバックを得て、顧客が魅力を感じるプロダクト(独自のWebサービスやSaaSなどの製品・サービス)を育てることが企業の最優先事項だ。そのため、セキュリティ対策は、大切なプロダクトを守り、インターネット経由で顧客に安全に届けるための施策がポイントになる。

このフェーズでは、インフラ・アプリの技術者がセキュリティ対策を兼務することが多いこともあり、主に技術面の対策が重要になる。例えば、パブリッククラウド自体のセキュリティ設定、連携するAPIや生成AIのセキュリティ対策、公開Webサイトには欠かせないWAF(Webアプリケーションファイアウォール)の導入などだ。

これらの対策を成功に導くためには、経営陣の理解や支援が欠かせない。成功しているスタートアップ企業の経営陣ほど、顧客から信頼を得て、安定した事業運営をするために必要不可欠な課題として、セキュリティを捉えている。

こうした意識を持つ経営陣は、セキュリティ関連の相談や意思決定に時間を割くことや、対策の進展や成功を賞賛・感謝することを大切にしている。日々の小さな積み重ねが、利用者が急増しても安全・安心なサービス提供ができる盤石な体制や、よきセキュリティ文化の形成・浸透につながるのである。

「社会的な信頼」を獲得するセキュリティ対策とは?

ステージの後半で成長を続けるスタートアップ企業は、その過程で顧客層が多様化する。例えば、当初は中堅・中小企業向けのサービスを展開していた事業が、プロダクトの機能拡充と共にエンタープライズ企業からも利用されるようになるケースがある。

そうした中では、顧客からのセキュリティ要請や期待に応え、社会的な信頼を獲得できるようなセキュリティ対策が重要になってくる。

例えば、大半の大手企業は取引開始前に、スタートアップ企業に対して「委託先チェックシート」への回答を求める。セキュリティ認証(ISMSやプライバシーマークなど)の取得状況や安全な認証機能の有無(SSOや多要素認証など)、ログの保存期間など、戦略・技術・運用など多岐にわたる確認を求められるため、対応しておきたい。

また、セキュリティ専任の担当者を採用することやCISOを外部から招聘することも検討すべきだろう。対策の一端を紹介する技術ブログやセキュリティ対策報告書をWebサイトで公開するのも、自社のセキュリティの取り組みを外部に理解してもらうためには有効だ。

さらに、ステージ後半では、企業ブランディングの一環として広告・マーケティングに多額の投資を行うことも一般的だが、認知の高まりと共にインターネット経由のアクセス数が増え、サイバー攻撃が増加したという事例もある。攻めの施策をする際には、守りも同時に考えておきたい。

スタートアップ企業との協業や取引での注意点

一方で、これからスタートアップ企業との協業や取引を考えている企業経営者には、どんな視点や心構えが求められるだろうか。「これさえ押さえておけば大丈夫」という魔法の杖はないが、筆者は以下の3つの観点が大切だと考えている。

(1)経営陣のセキュリティに対する考えや取り組みを聞く
(2)導入事例や技術ブログなどからセキュリティ関連の創意工夫を確認する
(3)リスクレーティングを活用する

まず1つ目は、スタートアップ企業の中でセキュリティがどういう位置づけで、文化としてどのように浸透しているか、説明を求めることだ。

あるスタートアップ企業の経営者は、セキュリティ観点でヒヤリハットがあった時に、今後起こりうる最悪の未来を想定し、即座にセキュリティ委員会を立ち上げた。最初の数年はあらゆるセキュリティの意思決定にも経営者自身が関わり、ヒヤリハットが発生した日を風化させないように今でも年に1回「セキュリティの日」として社内イベントを続けている。

このようにセキュリティへの「Why」が明確な企業ほど、持続可能な仕組みの整備が期待できるだろう。

2つ目は、スタートアップ企業が公開しているユーザー企業の導入事例や技術ブログなどの公開情報から情報を収集することだ。導入事例におけるセキュリティ対策の要点や、技術者が中長期視点で取り組んでいる施策を探ることは、協業先の選定における一助となる。

3つ目は、リスクレーティングの活用だ。これは、スタートアップ企業のドメイン情報やシステム設定などの客観的な情報・状態から、セキュリティリスクやランキングを定量的なスコアとして測るサービスである。セキュリティ対策の取り組みを強調する企業のスコア結果が低く表れることもあるため、取引や協業前に参照するのは有効だ。

「ポジティブリスク」も踏まえた対策を

2024年2月に、グローバルで注目度の高いNIST(アメリカ国立標準技術研究所)の「サイバーセキュリティフレームワーク2.0」が公開された(改訂の要点はNRIセキュアのブログを参照)。この更新版には、新たに「ポジティブリスク」という記載が加わっている。

一般的なサイバーセキュリティリスクのマネジメント活動は、組織のミッションや目標の達成を阻害するネガティブなリスクへの対応を指すことが多いが、ミッションや目標の達成を促進するポジティブなリスクも存在するという考え方が盛り込まれたのだ。

例えば、急激に進化する生成AIに関して、利用における機密情報の漏洩や法令違反などネガティブリスクのみを捉えるのではなく、業務効率化や品質向上など生成AIが企業や組織にもたらしうるポジティブリスクや好影響の観点も踏まえて、セキュリティ対策を考えるべきだということだ。

新しい技術と向き合い、急成長を目指すスタートアップ企業は、まさにポジティブリスクの担い手と言える。その特性を生かしながら、自社にとって必要なセキュリティ対策を考え、セキュリティを自社の信頼・品質の一環と捉えられるか否かは、経営者の姿勢やリーダーシップによるところが大きい。

よいセキュリティ対策とは、短期的な打ち手の実行だけでなく、中長期的かつ持続可能なマネジメントサイクルを徹底することに尽きる。スタートアップ企業において、持続的な成長とセキュリティ対策への投資が、適度なバランスでなされていくことを願っている。

(足立 道拡 : NRIセキュアテクノロジーズ DXセキュリティプラットフォーム事業本部長)