編集注:本稿の著者Oren Yunger(オレン・ヤンガー)氏は、GGV Capitalの投資家で、サイバーセキュリティ分野を担当し、エンタープライズIT、データインフラ、開発者ツールへの投資を推進している。以前は、SaaS企業や公的金融機関で最高情報セキュリティ責任者を務めていた。
ーーー
コンプライアンス基準を満たすことに関しては、多くのスタートアップ企業が基本的な義務は果たしている。GDPR、CCPAからSOC 2、ISO27001、PCI DSS、HIPAAまで、企業は事業運営に必要なコンプライアンス基準の達成に向けて努力を重ねている。
例えば現在ではヘルスケア分野の創業者ならば、自社の製品がHIPAAに準拠していなければならないことを知っているし、コンシューマー分野で活動する企業であれば、GDPRなどもよく知っているだろう。
しかし、多くの高成長企業が犯している過ちは、コンプライアンスのことを、セキュリティをも含む万能の呪文として扱っていることだ。こうした考えは、痛みをともない高くつく問題を招きかねない。実のところコンプライアンスとは、企業が最低限の管理を行っていることを意味しているだけだ。一方、セキュリティとは、企業活動にともなうリスクに対処するためのベストプラクティスやソフトウェアを広く包含するものなのだ。
スタートアップ企業が、まずコンプライアンスに取り組みたいと考えるのは当然のことだ。規制された地域の市場に拡大したり、金融や医療などの産業に新たに進出したりする際には、コンプライアンスの遵守がまず大きな役割を果たす。つまり、いろいろな意味で、コンプライアンスの達成は、スタートアップ企業にとって市場開拓活動の一部なのだ。実際、各企業の購買担当者は、スタートアップと取引契約をする前にコンプライアンスが満たされているかどうかを知りたがるので、スタートアップ側は当然のことながら購買担当者の期待に応える努力を行っている。
このような背景を考えると、たとえばスタートアップ企業が、初期の段階でコンプライアンスを達成する活動を、エキサイティングな機能の開発やリードを獲得するための新しいキャンペーンの実施よりも優先させる動きが見られることは、当然だろう。
コンプライアンスは、若い企業にとって重要なマイルストーンであり、サイバーセキュリティ業界を前進させるものだ。またコンプライアンスはスタートアップの創業者のセキュリティ意識を高め、顧客はもちろん自社の保護について考えさせる。同時に、コンプライアンスは、顧客企業の購買担当者の法務チームやセキュリティチームが新興ベンダーと取引する際に安心感を与える。では、なぜコンプライアンスだけでは不十分なのだろうか?
まず第1に、コンプライアンスの遵守はセキュリティの保証を意味するものではない (もちろん正しい方向への一歩ではあるが)。若い企業では、コンプライアンスを遵守していても、セキュリティ対策が脆弱であることが多く見られる。
それはどのようなものだろうか?例えばあるソフトウェア会社は、すべての従業員が自分のデバイスにエンドポイントプロテクションをインストールすることを求めるSOC 2基準を満たしている一方で、従業員に実際にソフトウェアを有効にしてアップデートすることを強制する方法は持っていないかもしれない。さらに、そうした会社は、どこで、誰に、なぜエンドポイントの侵害が発生したのかを監視し、報告するための一元管理されたツールを持たない場合がある。そして最終的に、その会社はデータ漏洩や攻撃に迅速に対応し、解決するための専門知識を持っていない可能性がある。
こうしたことから、コンプライアンス基準は満たしている一方で、いくつかのセキュリティ上の欠陥が残ることになる。結果として、そのスタートアップ企業はセキュリティ侵害に遭い、莫大な損失を被ることになる可能性がある。IBMの調査によれば、従業員数500人以下の企業では、平均的なセキュリティ侵害のコストは770万ドル(約8億4450万円)に上ると推定されている。もちろん既存および潜在的な顧客からの信頼の喪失やブランドダメージはいうまでもない。
第2に、スタートアップにとって予期せぬ危険となるのは、コンプライアンスが誤った安心感を生み出す可能性があることだ。客観的な監査人や有名な組織からコンプライアンス証明書を受け取ると、セキュリティ面では対策済みのような印象を与えることができる。
スタートアップが人気を博し、優良顧客を獲得し始めると、その安心感はさらに高まる。なぜなら、そのスタートアップがセキュリティに関心の高くコンプライアンスも十分であるフォーチュン500企業を顧客として獲得できたのであれば、そのスタートアップも安全でだろうと考えられるからだ。企業との取引を狙う場合、買い手側がスタートアップに対して企業のセキュリティ基準を満たすためにSOC 2やISO27001への準拠を求めることは当然だ。しかし多くの場合、企業の購買担当者は取引先ベンダーがもたらすリスクについて、高度な質問をしたり理解を深めたりすることはないため、スタートアップが自社のセキュリティシステムについて実際に問われることはない。
そして第3に、コンプライアンスは、定義された一連のノウハウのみを扱っているに過ぎないということだ。未知のものや、規制要件の前バージョンが書かれてから発生した新しいものはカバーされていない。
例えばAPIの利用が拡大しているが、規制やコンプライアンスの基準がその流れに追いついていない。つまり、eコマース企業がクレジットカードによる支払いを受け付けるには、PCI-DSSに準拠していなければならないが、同時に認証が脆弱であったり、ビジネスロジックに欠陥があったりするAPIを複数利用している可能性がある。PCI規格が策定された当時には、APIは一般的ではなかったため、規制にはAPI が含まれていなかった。しかし現在ではほとんどのフィンテック企業がAPIに大きく依存している。つまり、取引業者がPCI-DSSに準拠していたとしても、安全でないAPIを使用している場合があり、顧客がクレジットカードの侵害にさらされる可能性があるのだ。
スタートアップが、コンプライアンスとセキュリティを混同しているのは仕方のない面もある。どのような企業にとっても、コンプライアンスとセキュリティを両立させることは難しい。予算や時間、セキュリティのノウハウが限られているスタートアップ企業にとっては、それは特に困難なことだ。理想的な世界では、スタートアップ企業は最初からコンプライアンスとセキュリティを両立させることができるだろうが、アーリーステージの企業がセキュリティインフラの強化に数百万ドル(数億円)を費やすことは現実的ではない。しかし、スタートアップ企業がより安全になるためにできることがある。
スタートアップがセキュリティに取り組むための最良の方法の1つは、早期にセキュリティ担当者を採用することだ。この役割のチームメンバーは、会社が従業員数や収益の大きな節目を迎えるまで後回しにできる「あったらいいな」要員と思われるかもしれないが、私はセキュリティ責任者を早期に採用することが鍵だと主張したい。なぜなら、このメンバーの仕事は、脅威の分析、セキュリティ対策の特定、展開、監視に専念することだからだ。さらに、スタートアップ企業は、自社の技術チームがセキュリティに精通し、製品やサービスを設計する際にセキュリティを最優先に考えるようにすることによって恩恵を手にすることができるだろう。
スタートアップがセキュリティを強化するためのもう1つの戦術は、適切なツールを導入することだ。ありがたいことに、Snyk(シンク)、Auth0(オース0)、HashiCorp(ハシコープ)、CrowdStrike(クラウドストライク)、Cloudflare(クラウドフレア)といった多くのセキュリティ企業が、オープンソースの無料版や、スタートアップに対しては比較的安価なバージョンのソリューションを提供しているので、スタートアップは大きな金銭負担なしにツール導入を行うことができる。
完全なセキュリティの展開を行うためには、IDとアクセス管理、インフラ、アプリケーション開発、障害回復、ガバナンスのための、ソフトウェアとベストプラクティスが含まれるが、ほとんどのスタートアップは、堅牢なセキュリティインフラのすべて重点項目を展開するために必要な時間と予算を持ち合わせていないと思われる。
幸いなことに、スタートアップ企業が最初に何をすべきかを把握するための無料のオープンソースのフレームワークであるSecurity 4 Startups(スタートアップのためのセキュリティ)のようなリソースが提供されている。このガイドは、創業者が成長の各段階で最も一般的で重要なセキュリティ上の課題を特定して解決するのに役立ち、長期的なセキュリティプログラムを構築するための確かなスタートを切るための初歩的なソリューションのリストを提供している。さらに、自動化コンプライアンスツールは、こうしたコントロールが確実に実施されるように、継続的なモニタリングを行う際に役立つ。
スタートアップにとって、パートナーや顧客との信頼関係を築くためには、コンプライアンスが不可欠だ。しかし、一度のセキュリティ事故によってこの信頼が失われてしまうと、信頼を取り戻すことはほぼ不可能になる。コンプライアンスだけでなく、セキュリティも確保することで、スタートアップは信頼性をさらに高めることができ、市場での勢いを増すことができるだけでなく、自社の製品を今後も存在させ続けることができるのだ。
なのでコンプライアンスとセキュリティを同一視するのではなく、コンプライアンスとセキュリティがどちらも信頼のために大切というように視野を広げてみてはいかがだろうか。そして、信頼はビジネスの成功と長寿につながるのだ。
関連記事
・グーグルがAndroidユーザーの位置情報取得に関しアリゾナで訴訟、設定項目を見つけにくくしたと報じられる
・カメラではなくレーダーを使ったプライバシーが保護されたアクティビティ追跡の可能性をカーネギーメロン大学の研究者らが提示
・PelotonとEchelon両社のプロフィール写真メタデータはユーザーの位置情報を流出していた
画像クレジット:gremlin / Getty Images
[原文へ]
(文:Oren Yunger、翻訳:sako)