スタートアップ｢セキュリティ対策は後手｣の危険 ｢成長ステージ｣ごとに求められる対応は変わる

そうした中では、顧客からのセキュリティ要請や期待に応え、社会的な信頼を獲得できるようなセキュリティ対策が重要になってくる。

例えば、大半の大手企業は取引開始前に、スタートアップ企業に対して「委託先チェックシート」への回答を求める。セキュリティ認証（ISMSやプライバシーマークなど）の取得状況や安全な認証機能の有無（SSOや多要素認証など）、ログの保存期間など、戦略・技術・運用など多岐にわたる確認を求められるため、対応しておきたい。

また、セキュリティ専任の担当者を採用することやCISOを外部から招聘することも検討すべきだろう。対策の一端を紹介する技術ブログやセキュリティ対策報告書をWebサイトで公開するのも、自社のセキュリティの取り組みを外部に理解してもらうためには有効だ。

さらに、ステージ後半では、企業ブランディングの一環として広告・マーケティングに多額の投資を行うことも一般的だが、認知の高まりと共にインターネット経由のアクセス数が増え、サイバー攻撃が増加したという事例もある。攻めの施策をする際には、守りも同時に考えておきたい。

スタートアップ企業との協業や取引での注意点

一方で、これからスタートアップ企業との協業や取引を考えている企業経営者には、どんな視点や心構えが求められるだろうか。「これさえ押さえておけば大丈夫」という魔法の杖はないが、筆者は以下の3つの観点が大切だと考えている。

（1）経営陣のセキュリティに対する考えや取り組みを聞く
（2）導入事例や技術ブログなどからセキュリティ関連の創意工夫を確認する
（3）リスクレーティングを活用する

まず1つ目は、スタートアップ企業の中でセキュリティがどういう位置づけで、文化としてどのように浸透しているか、説明を求めることだ。

あるスタートアップ企業の経営者は、セキュリティ観点でヒヤリハットがあった時に、今後起こりうる最悪の未来を想定し、即座にセキュリティ委員会を立ち上げた。最初の数年はあらゆるセキュリティの意思決定にも経営者自身が関わり、ヒヤリハットが発生した日を風化させないように今でも年に1回「セキュリティの日」として社内イベントを続けている。

このようにセキュリティへの「Why」が明確な企業ほど、持続可能な仕組みの整備が期待できるだろう。

2つ目は、スタートアップ企業が公開しているユーザー企業の導入事例や技術ブログなどの公開情報から情報を収集することだ。導入事例におけるセキュリティ対策の要点や、技術者が中長期視点で取り組んでいる施策を探ることは、協業先の選定における一助となる。