成長を追求するスタートアップにとって、セキュリティは二の次になりがちですよね。売上、顧客数、成長率... まず先に目を向けるべきことが沢山あります。とにかく事業の成長を全力で追求している中で、セキュリティに目を向ける余裕がある経営陣は決して多くはないでしょう。大事だとはわかっているけど、いつ、何をしていくべきか分からない...今日は、1つの参考として、スタートアップがどのタイミングでセキュリティを頑張るべきなのかを紹介します。エンタープライズ顧客の獲得が始まったときSaaSやtoBのビジネスにおいて、大企業・大口の顧客獲得は大きなインパクトを持っています。あの業界の巨人が当社のプロダクトを検討している!あの会社から大口の発注が取れそうだ!...このタイミングで担当者を困らせるのが、いわゆる「セキュリティチェック」です。発注の前段階で、顧客がチェックする項目の中に「セキュリティチェックシート」「ITリスクアンケート」「個人情報保護の対応状況」など、セキュリティに関するチェックが含まれていることは少なくありません。情報資産を取り扱うことのないビジネスであれば、これらは無縁でしょうが、SaaSやFinTechのように、システムとして顧客に導入したり、顧客の重要な情報を預かったりするようなサービスが一般的な現代では、これらのチェックはほぼ避けることはできません。このチェックへの対応は、失注の原因になるだけではなく、体制が整っていなければ大きなコストになります。営業担当が管理部や開発部、情報システム部門に「このリストのこの部分、入れてください!」「こんな追加質問が来てるんです、お願いします!」と五月雨式にコミュニケーションするシーンは珍しくありません。Slackは大荒れです。高い利益・LTVを実現する大口顧客のセグメントを組織的に開拓することが決まった場合、間違いなくセキュリティには投資すべきです。顧客獲得コストのなかで対応する予算をつけるか、開発または管理でセキュリティ体制を整える予算をつけておく時期と言えます。会社のサイズが100名を超えたとき急成長するスタートアップは、創業者だけの数名から、数年で100名以上の大きなチームに進化することも珍しくありません。当初はダイレクトにコミュニケーションを取り、意思決定できていたことが、100名規模になると難しくなってきます。チームを分割し、組織化し、必要なルールや仕組みづくり、強いカルチャー作りに着手するのもこの頃でしょう。この時期に、同様に手が足りなくなってくるのが社内情報システムの担当者です。端末の購入、キッティング、SaaSの導入など、日々入社する従業員の対応で手一杯です。なんとか情報システムをちゃんとした組織的なものにしたい、でもその時間や予算なんてない…こうしてカオスな状況は続いていきます。そして、組織的な情報システムの整備が後回しになればなるほど、社内セキュリティの構築は技術的に困難になっていきます。100台のPCのセキュリティ設定を後から手動で更新なんて無理ですよね。後からやろうと思えば思うほど、コストがかかるジレンマは避けられません。そう、もしセキュリティ投資を効率よく行おうと思ったら、このタイミングです。会社の組織化と社内情報システムの整理の段階で、並行してITリスクを技術的にカバーすると最も手数が少なくてすみます。情報システム部門の立ち上げや関連ルールの整理の段階で、セキュリティを組み込みましょう。ただし、注意が必要となるのが、人材の専門性です。情シス関連だけでなく、発展途上にあるビジネスの方向を理解でき、カオスな社内情報システムを把握し、それらをセキュアに再構築できる専門性は必要不可欠です。従業員としての採用だけでなく、伴走できる専門家も部分的に取り入れながら一気に進めるという手段で固定費を抑えるという手もあるでしょう。IPOの準備や売却先の検討に入ったとき市場へのIPOや自社の売却を検討することは、創業者やステークホルダーにとっては大きなマイルストーンの1つであることは間違い無いでしょう。投資家や売却先候補に魅力的に見えるよう、実力ある担当の採用、内部統制の構築、ロードショーの準備など、余念がない時期でもあります。このフェイズの経営陣の関心ごとの1つといえば、会社や事業のリスクコントロールでしょう。このリスクには、事業成長に関わるものだけでなく、コンプライアンスや事業継続性、そして、ITリスクなども含まれています。ビジネスがどんどんデジタルにシフトしていく現代では、ITリスクはもはや小さい比率とはいえないものになりつつあります。特に、SaaSなどのWebプロダクト事業においては「サービスが停止したらどうなるのか?」「顧客情報の漏洩の心配はないのか?」といった質問を担当者が受けることも多いでしょう。バックオフィスの担当が、エンジニアからの専門的な説明を、証券会社や監査法人の方に分かりやすく伝えることに苦慮している場面も多く見られます。そして、この時期で最も恐れることの1つが、情報漏洩やサイバー攻撃などのセキュリティ事故です。ひとたびセキュリティインシデントを起こせば、スケジュールには深刻な影響が出ます。特に、顧客の機微な情報を取り扱うビジネスでは、神経過敏となる時期かもしれません。こういったフェイズにおいては、会社の経営を理解しつつ、セキュリティとITリスクコントロールの全体を俯瞰し、戦略やリスク対応を説明できる人材や体制が社内に必要です。ここまでくると管理部長や情シス部長では本業を超え、荷が重くなりがちですから、CISO(最高情報セキュリティ責任者)の採用や専門コンサルティングの利用を検討すべきフェイズとも言えます。外部専門家を効率よく使ういずれのフェイズでも、セキュリティはスタートアップの大きな成長のステップに関連しています。全速力で走ることを止めないためにも、ギリギリでセキュリティ予算を組むのではなく、マイルストーンやラウンドに絡めて必要な手当てや採用・人材のコストを計上しておくことが大切です。一方で、セキュリティは取り組み始めれば、システム投資だけでなく人件費なども大きくかかってくるコストとも言えます。成長が期待されているなかで、必ずしも多くの予算をここに注ぎ込むべきはありません。経営陣はこういった矛盾の中で、自社の事業リスク、それもITリスクにまつわる部分をバランスよく手当てしなくてはなりません。他方、こういったセキュリティの経営課題に、オフィサーレベルでコミットできる人材は日本では限られているという現状があります。スーパーマンを採用できれば御の字ですが、そうはいかない現状があります。当社では、こういった矛盾あるITリスクの経営意思決定の現場を経験したメンバーにより、スタートアップに特化したセキュリティ支援を幅広く行っています。エンプラが獲得できるように、セキュリティの規定や体制を素早く最低限整備する社内情報システム部門にアタッチし、セキュリティ専用機器の設備投資方針から導入支援までをノンストップで行う社内情報システムや自社プロダクトのセキュリティ状況をエンジニアにインタビューし、IPOやM&AのDDで使える説明資料の援護射撃をする法規制などへの対応で必要な認証やセキュリティ基準から、「社内でやるべきリスト」を作成し、経営陣、管理部、エンジニアチームと伴走しながらクリアを目指すこの分野は大企業向けの非効率なソリューションも多く、私たちも悩んできました。だからこそ、スマートにお手伝いするぞ!という気持ちでこの支援をやっています。%3Cdiv%20class%3D%22iframely-embed%22%3E%3Cdiv%20class%3D%22iframely-responsive%22%20style%3D%22height%3A%20140px%3B%20padding-bottom%3A%200%3B%22%3E%3Ca%20href%3D%22https%3A%2F%2Fwww.skygate-tech.com%2Fprofessional-service%22%20data-iframely-url%3D%22%2F%2Fiframely.net%2FdhbdHNG%3Fcard%3Dsmall%22%3E%3C%2Fa%3E%3C%2Fdiv%3E%3C%2Fdiv%3E%3Cscript%20async%3D%22%22%20src%3D%22%2F%2Fiframely.net%2Fembed.js%22%3E%3C%2Fscript%3E