スタートアップ｢セキュリティ対策は後手｣の危険 ｢成長ステージ｣ごとに求められる対応は変わる

成長とスピードを求められるスタートアップ企業は、セキュリティ対策をどう考えればよいのか（写真：kou/PIXTA）

最先端のテクノロジーを活用して、大きな成長を目指すスタートアップ企業。そのサイバーセキュリティ対策の実態はどうなっているのか。

【画像】成長ステージによってサイバーセキュリティ対策は変わる

スタートアップ企業の経営者だけでなく、彼らとの協業を考えている企業経営者も気になるところだろう。

経済産業省は、スタートアップ企業を「1. 新しい企業であって、2. 新しい技術やビジネスモデル（イノベーション）を有し、3. 急成長を目指す企業」と定義している。この「新しい」「急成長」というキーワードこそスタートアップ企業を象徴する強みだが、サイバーセキュリティの観点では、足をすくわれる要素にもなりうる。

対策が難しいスタートアップならではの事情

まず、スタートアップ企業は、「クラウド」「API」「ブロックチェーン」「生成AI」など、社会で注目を集める新技術を積極的な姿勢でイノベーションに活用している。そのため、「新しい」ゆえに考慮すべき「新しい技術固有のセキュリティリスク」とも日々向き合わなければいけない。

例えば、クラウドをビジネスに活用する際、必要なのはウイルス対策のような従来のセキュリティ対策だけではない。

「管理コンソールの設定不備による不正アクセス」「クラウド上にデータを格納するサービスを意図せずインターネット公開したことによる個人情報漏洩」などのクラウド固有のセキュリティリスクを考慮する必要があり、対策を疎かにすれば新規事業の見直しや撤退といった事態に陥る可能性も考えられる。

さらに、セキュリティ対策を求められる一方で、ランウェイ（キャッシュ不足に陥るまでの残存期間）での「急成長」を問われ続けるというプレッシャーも抱えている。

国内スタートアップ企業528社からの回答を調査・分析した「スタートアップサーベイ2023」（三井住友信託銀行）によれば、目標とするランウェイを24カ月以上とする企業が約半数を占めるものの、足元のランウェイを目標の期間以上確保できている企業は4分の1にとどまる。

目標と現実のギャップは大きく、スタートアップ企業が短期間で成長し続けなければいけないプレッシャーと向き合っていることがわかるだろう。

このプレッシャーは、成長の強い源泉でもあるのだが、成長スピードを優先したい事情から、セキュリティ対策の優先度を下げる意思決定につながってしまう場合がある。

実際、筆者が以前、スタートアップ企業のCEOに聞き取り調査を行ったところ、セキュリティ対策に十分に手が回っていない様子がうかがえた。