目次
昨今、サイバー攻撃の増加やリモートワークの推進などの背景もあり、情報セキュリティリスクは高まる一方だ。急成長を目指すスタートアップにとって、情報セキュリティなどいわゆる守りの部分は後回しとなりがちだが、セキュリティ事故によって、事業活動に急ブレーキがかかってしまうケースも少なくない。
情報セキュリティリスクが高まる環境下において、ユーザーや投資家などから求められる情報管理体制の水準も高くなっており、企業の信頼性を見極めるための評価ポイントの一つとなっている。情報セキュリティは決して守りの要素ではなく、市場のなかで競争力を保ち、継続的な成長を実現するためには、管理体制を整えていくことが必要不可欠だ。
それでは実際に、スタートアップはいつどのような対策を講じればよいのか。企業の情報セキュリティ対策を支援するソフトウェア「SecureNavi」の開発を手がけるSecureNavi株式会社、代表取締役CEOの井崎 友博氏の考察を紹介する。
スタートアップと情報セキュリティ脅威
井崎氏:2024年1月にIPA(独立行政法人 情報処理推進機構)より、「情報セキュリティ10大脅威 2024」が発表された。組織向け脅威として、「ランサムウェアによる被害」「サプライチェーンの弱点を悪用した脅威」が2年連続で1位、2位を占めている結果となった。
ランサムウェアによる被害は、悪意あるソフトウェアがコンピューターシステムに侵入し、データを暗号化して利用者から身代金を要求する手法である。この手法は、組織や個人にとって重大な脅威となっており、被害復旧には多額の費用と時間がかかることがある。以前はメールやWebサイト経由での感染経路が大半を占めていたが、近年はリモートワークの普及に伴い、「VPN機器」や「リモートデスクトップ」経由での感染が急増している。
サプライチェーンの弱点を悪用した脅威は、組織間の業務上の繋がりを悪用し次なる攻撃の踏み台とするサイバー攻撃全般のことを指し、本来進入が難しいセキュリティレベルの高い企業に対し、セキュリティレベルの低い取引先や子会社などを経由することで、侵入を可能にすることができる手法である。被害時には、企業の重要データや個人情報の窃取、不正アクセスによる情報漏洩や業務停止が発生し、取引先である他企業へも影響が及ぶ可能性がある。そのため、サプライチェーンの弱点を悪用した脅威は、企業だけでなく、関連する全ての組織にとって非常に深刻な脅威となっている。
このような状況から、スタートアップや中小企業にとって情報セキュリティ対策の重要性がますます高まっており、積極的な対策が求められている。
スタートアップが情報セキュリティ対策で信用を得る方法
一般的にスタートアップ企業は、社歴の短さや財務的な不安定さから、世間からの信用が低いケースが多く、大企業や自治体との取引においては、その信用の低さが問題になることがある。大企業や自治体が保有する重要度の高いデータを、信用の低いスタートアップ(もしくはそのスタートアップが提供するサービス)に預けても良いのかが、しばしば論点となる。
具体的な論点の1つとしては、情報セキュリティに関する懸念事項であり、信用の低いスタートアップは、情報セキュリティ体制も不十分ではないのかと推測され、良いサービスや製品にも関わらず、情報セキュリティ上の理由で取引が開始できないケースもしばしば見受けられる。
しかし、情報セキュリティのレベルが一定以上であることを、客観的な指標をもって表明することは難しい。そのため日本国内では、情報セキュリティの認証であるISMS認証の取得や、個人情報保護に関する制度であるPマークの付与状況により、その企業の情報セキュリティレベルを推定することが一般的である。
大手企業や自治体との取引が多いスタートアップ企業は、これらの情報セキュリティ認証を取得していれば、スムーズな取引が可能となり、逆に、これらの情報セキュリティ認証を取得していないことで、取引条件や入札要件を満たすことができなかったり、競合との比較で劣ってしまうなど、営業上のボトルネックになることすらある。
なお、厳密にはプライバシーマークは情報セキュリティではなく個人情報保護に関する制度だが、ここでは説明の都合上、情報セキュリティ認証として扱うこととする。
ISMSとプライバシーマークの違い
ISMSは、情報セキュリティに関する認証制度である。審査基準は国際規格である ISO/IEC 27001 と呼ばれる規格となり、この規格に準じた情報セキュリティ管理の仕組みが構築されていることを、審査にて確認し、証明する制度となっている。ここで、情報セキュリティとは、情報の機密性・完全性・可用性を維持することと定義され、より簡易な表現にすると、情報が漏えいしたり、改ざんされたり、滅失したりしないようにすることと言い換えることができる。
国際的な規格に基づいた制度であり、この認証を取得することで、グローバルスタンダードな情報セキュリティ管理体制を構築していると主張することができる。これだけ聞くと難易度が高いように思えるが、ISO/IEC 27001 は規模によらず適用できる規格になっているため、数名の組織でも取り組むことができる。規格においては、具体的なセキュリティ対策は要求されておらず、各組織がリスクを特定・分析・評価し、そのリスクに応じた対策をすれば十分であるという考え方が特徴的である。
一方、プライバシーマークは、個人情報保護に関する制度である。情報セキュリティを対象としたISMSと異なり、「個人の権利」を確保するための取り組みとなる。ここで「個人の権利」とは、例えば個人の預かり知らぬことで勝手に個人情報を取得しない(収集の制限)、収集された個人情報を変な用途で勝手に利用しない(目的外利用の制限)、本人から問い合わせがあったら個人情報を修正したり消したりする(個人参加)等といった権利のことを指し、情報セキュリティとは異なる概念である。しばしば「個人情報保護法+α」の取り組みと表現されることもある。
プライバシーマークの審査基準は日本のJIPDECが作成しており、国内に閉じたローカルな制度となっている。また、ISMSと比べ、取り組む事業者側が対策を選択できる自由度が低く、審査においても、実際に個人情報が取り扱われる現場ではなく、書類や記録の整備状況が重点的に確認されるといった特徴がある。
大企業が情報セキュリティ認証を気にする割合
先ほど、スタートアップ企業は情報セキュリティ認証を取得することで、大手企業や自治体との取引をスムーズに行うことができるといった説明を行った。この、組織の購買における情報セキュリティ認証が与える影響に関する調査レポートを紹介する。
下記は、企業がITシステムに関する業務を発注・委託するときに、情報セキュリティ認証の取得が必須であるかを問うた調査になっている。結果からわかるように、従業員数が多くなれば、情報セキュリティ認証の取得が必須である割合が高くなり、1,000名を超える企業の場合、およそ80%の企業が情報セキュリティ認証を取得していることが取引において必須だと回答している。
出典:セキュリティチェックシートと、セキュリティ認証に関する調査レポート
一般的に業務を発注する立場の企業も、すべての取引先のセキュリティレベルを自分たちで確認することは非常に難しい。そのため、何らかの方法で取引先の企業のセキュリティレベルを推定する必要があり、そのための手段として情報セキュリティ認証が用いられていることが予測できる。
認証取得による良い事例
情報セキュリティ認証がビジネスに対して果たす役割について見てきたが、とはいえ、情報セキュリティ認証に取り組むにも時間とリソースがかかる。一般的にこれらの情報セキュリティ認証は、取り組み開始から取得まで、半年から1年かかると言われている。しかし、情報セキュリティ認証を取得することにより、様々なメリットがある。
セキュリティチェックシートの工数削減
大企業や自治体との取引を行う場合、セキュリティレベルを確認することを目的とした、セキュリティチェックシートを受け取ったことのある方も多いだろう。情報セキュリティ認証を取得することで、このセキュリティチェックシートを簡略化もしくは省くことができるケースも多くある。
例えば下記の調査では、半数以上の企業が、委託先が情報セキュリティ認証を取得していれば、セキュリティチェックシートを省略もしくは項目数の削減ができることがわかっている。通常、これらのセキュリティチェックシートに回答するのは、会社や製品のセキュリティの状況を全体的に把握しているCTOや開発責任者が回答するケースが一般的である。このようなハイレイヤーな方々の人件費を考えると、情報セキュリティ認証を取得してしまったほうがROIが合うケースも多いだろう。
出典:セキュリティチェックシートと、セキュリティ認証に関する調査レポート
一般的な認証+アルファに取り組むことによるメリット
ISMSやプライバシーマークに関する制度は、制度設立からおよそ20年が経過し、国内では一般的になっている。そのため、ISMSやプライバシーマークの取得のみでは、他企業と差別化を図ることが難しいこともある。ISMSに関しては、ISMS-CLD認証(通称「クラウドセキュリティ認証」)や、ISMS-PIMS認証と呼ばれるアドオン認証があり、追加でこれらに取り組むことにより、他社との差別化を図ることも考えられる。
スタートアップが情報セキュリティ認証に取り組むタイミング
情報セキュリティ認証は、すべてのスタートアップにおすすめできるものではない。適切なタイミングは、以下の3つだと考えられる。
(1) 組織をスケールさせる前
PMFの前後、いよいよ本格的に組織をスケールさせようとするタイミングが、1つ目のよくあるタイミングとなる。このタイミングである理由は、組織がスケールする前に、少人数でセキュリティ意識が高いチームを作ってしまったほうが、効率よくセキュリティ文化の根付いた組織を作れるためである。
セキュリティ意識が低い10人のチームに、90人の新しいメンバーがジョインしてくると、セキュリティ意識が低い100人を作ってしまいかねない。セキュリティ意識が低い100人全員を、あとから意識の高い状態に持っていくのは至難の業となる。そうではなく、10人の段階であらかじめ意識の高い状態を作ってから、100人にスケールさせたほうが効率が良い。途中からジョインしてくる社員は、すでに働いている社員の行動を真似るため、どうせ真似されるなら、セキュリティ意識の高い行動を真似てもらいたいものである。
(2) 獲得ターゲットをエンタープライズ(大企業)に向けたとき
エンタープライズ(大企業)になるにつれ、求められるセキュリティの要求レベルは高くなる。セキュリティ調査票の数や、場合によっては監査に入られる数も増えてくるだろう。
セキュリティ調査票の質問項目に、自身を持ってYesと答えるためには、一度体系的にセキュリティ体制の整備をしたほうが良いケースがある。いつまでも調査表に対してごまかしながら曖昧な答えを書き続けるのは、適切な対応ではない。場合によっては、ISMS認証やプライバシーマークなどの認証を取得し、対外的にセキュリティレベルをアピールすることで、営業機会の獲得や、商談先からの加点評価につながる可能性もある。
(3)新しいプロダクトをつくるとき
プロダクトの構築初期の段階でセキュリティが考慮されていると、後々の展開が楽になるケースがある。ここでは仮に、新しくB2Bのクラウドサービスを作ることを考えてみる。
セキュリティ調査票のよくある項目の1つとして「サービスの解約時に、自社のデータをすべて消去することができるか」がある。ここでいう「自社のデータ」とは、利用者がサービスにアップロードしたデータはもちろん、サービスを利用することで生成されるデータや、利用者を識別できるログデータも含まれる。つまり、この問題は、サービス内でデータをどのように持たせるかといった、システム設計に関わる問題に帰着する。一度作ってしまったサービスで、あとからシステム設計を見直すのは、難しいことが多くある。初期の段階に考慮していれば、1日で対応できたものが、サービス運用開始後だと、対応に数ヶ月かかってしまうような事も有りうる。この例のように、あらかじめセキュリティを考慮したプロダクト設計・開発を行うことで、将来無駄な対応コストをかけることなく、サービス展開をスムーズに進めることができる。
おわりに
ここまで、スタートアップと情報セキュリティ認証との関係性について見てきた。日本の商習慣上、スタートアップが売上を伸ばすには、情報セキュリティ認証の取得が必要となっている。また、情報セキュリティ認証に取り組むにも適切なタイミングがある。
情報セキュリティへの投資は、スタートアップの失敗のリスクを下げる事ができる。今回は、売上と情報セキュリティ認証との関係にフォーカスして説明したが、言うまでもなく、情報セキュリティ認証への取り組みは企業の情報セキュリティレベルを上げることにも繋がる。
一方で、投資できるリソースが非常にシビアなのがスタートアップの特徴である。どのタイミングで組織拡大のアクセルを踏むかも大事ですが、それと同様に、どのタイミングで情報セキュリティ投資のアクセルを踏むかも、企業の地盤固めには大切となる。