記事の執筆背景
私がベンチャー企業にジョインしてみて、これまで各領域では百戦錬磨の猛者たちも、セキュリティの分野となると結構ちんぷんかんぷんで、
セキュリティの専門家同士で話している中ではもはや当たり前であることは、一般事業会社や、ベンチャー企業では全く当たり前ということはないということを肌で感じた。
そのようなメンバーの環境の中で、さらに判断をより難しくさせるのは、「推進側にプロジェクトスコープなんてものはない」ということである。
コンサルのプロジェクトは受注した時点でプロジェクトリスクを最大限提言するために、業務実施スコープをできるだけ制限し明確に決定することから、コンサル時代であれば
「〇〇の対策をすべきです(ただし、手間はかかりそうだし、一番嫌がっていた○○部長が大変になりそうだけど、そういうのはいったん考えないでいいか)」というようなアウトプットも出されていたりするのだけれど、
いざ推進する側になると検討のスコープなんてものはなくて、会社と事業のあらゆる状況を考えて、最適と思われる判断をスピーディーに下していかなければならないという状態に否が応でも置かれるのである。
リソースも限られているベンチャー企業にとっては、セキュリティに限らずともこのような理想像と現実とのギャップで大いにもがき苦しむことが大いにあろうかと思う。現状、私自身としてもたびたび考えあぐねている部分もあり、こういった苦悩を共有し、読み手の皆さんと解決策を模索していくことに一定の意味があると思ったのが執筆の背景である。
ベンチャー企業の多様性とセキュリティの実態
ベンチャー企業と一言に言っても、事業のフェーズ・従業員の規模・向かい合うマーケットなどの様々な事情がほとんどの会社で異なることから、前提として全てのベンチャー企業に対して一律にセキュリティ対策水準を示すことはできないと思っている。
例えば、顧客のマイナンバーを扱うサービスと、風景写真のみを扱うサービスではセキュリティ対策の水準が異なることは想像に難くないだろう。
だからセキュリティの分野で、〇〇を必ずしなければならない・してはならないとか、そういった個々具体的な対策の要否をすべてのベンチャー企業に対して画一的に決めることは難しい。要するに、ISO27001 付属書A(いわゆるISMS)で列挙されている対策をすべてやったからOKとか、やっていないからNGとか、そういう話ではないということだ。
一方で、ベンチャー企業の製品を購入する企業側は、一定水準以上の企業であればセキュリティに関するデューデリジェンスを実施するのだけれど、採択する企業側にも十分なセキュリティの知見があるわけではないから、結局画一的な基準(Pマークを取得しているか、ISMS認証を取得しているか)などを用いて購入時の評価を行うことになる。
これにより、企業に製品を売りたい弱小ベンチャー vs とりあえずセキュリティデューデリジェンスを実施しなければならない企業 という構図が出来上がる。
そうすると、リソースの限られたベンチャー企業では、ひとまずPマークを取ろうとか、ISMS認証を取得しようとか、そういうわかりやすいところに着手せざるを得ないのである。
なお、監査法人が財務情報に対して実施する監査の強度を1000とすれば、PマークもISMSの監査も5くらいの強度であり、最低限の文書の閲覧や質問しか行われない。そのため、これらの認証を取得するためのコンサルティングサービスもコモディティ化しており、これがベンチャー企業が認証をひとまずとるという流れに拍車をかけている。
こうなってくると、とりあえず画一的な基準に対して、なんとなく対策を講じているような、講じていないような、そういうサービス提供者が増えてきてしまう。
より重要な情報資産を取り扱っている企業にとっては対策不十分であり、本来であればそこまでの対策は求められない企業ににとっては対策が過剰となりうる。
だからこそより重要なのは、会社がセキュリティ水準を決める上での「ものさし」を提供し、そのものさしに従って対策の要否を検討するということであり、もう少し専門的に言えばベースラインアプローチからリスクベースアプローチへの転換と言い換えることもできる。(専門家にとっては目新しい考えではない)
セキュリティ水準を決める「ものさし」とは
セキュリティとか、リスクとか、そういった堅苦しい言葉を並べると一気に眠くなる人が大勢かもしれないのだが、
セキュリティの考え方は普段の生活の中で皆が持ち合わせている感覚と実はよく似ている。
例えば、タンス貯金を考えてみる。
毎月5000円ずつためてきた貯金が、今月で5万円に達したとしよう。
あなたはこの5万円を空き巣から守るために、どのような対策を講じるだろうか?あるいはそれが100万円だったとしても同じ対策を施すのだろうか?また、その対策はあなたの家と隣の家で全く同じだろうか?違うとしたらなぜか?
このようなことを考えていると、いくつか考え方の要点となるポイントが見えてくる。
- 対策を考えるうえで、まずは守るべき資産は何かを考える
- それが盗まれる、燃えるてしまうというような、最悪の事態を想定する
- それがあなたにとってどれくらいのダメージがあるのかを考える
- どれくらいの可能性で起こりうるのかを考える
- 対策を講じる
「あなたにとっての」という部分が重要である。
隣の家は大金持ちだから、100万円取られるくらいは痛くもかゆくもなくて、100万円ごときに気を取られてあれやこれやと考えている時間がもったいないという判断をするかもしれない。(極端だが)
これを企業のセキュリティ対策に置き換えたとしても、実はほとんど同じようなことを考えているということが分かる。
- 守るべき情報資産を考える
- 情報資産資産に起こりうる、良くない事態を想定する
- それが会社や事業に与えうる影響の大きさを考える
- それが発生する可能性と合わせて、ダメージを考える
- ダメージが許容できるかという観点から、講じるべき対策を考える
冒頭で、ベンチャー企業と一言で言っても様々だとあえて言ったのは、各社が管理する情報資産も違えば、それが脅かされたときの影響の大きさが会社毎に異なるということを強調したかったためである。
「どのレベルのリスクは会社として受け入れられないのか、どのレベルなら受け入れられるのかということ」を決めることが、全ての対策の要否を決めるうえでのものさしとなる。専門的に言えば、リスクアペタイトを決定することが、対策決定のものさしとなる。
例えば、利用者の個人情報を大量に管理しているサービスでは、この個人情報が漏洩することが事業上の最大のリスクだと捉えれば、このリスクは会社にとって受け入れられないリスクとなるし、例えば自社のシステムの機能に関する情報が漏えいしたとしても、最大でも機能を盗まれるだけで、これが自社にとって競争優位を脅かす要因にはなり得ないと判断するのであれば、メリット次第では受け入れるべきリスクとなるのかもしれない。
このようなものさしを持っていない状態では、どのような対策を取るべきかの議論があらぬ方向に行きかねないし、そのように進んでいこうとする現場を何度も見たことがある。
繰り返しになるが、「どのレベルのリスクは会社として受け入れられないのか、どのレベルなら受け入れられるのかということ」を徹底的に経営層として納得感をもつことが先決だ。対策と利便性はトレードオフであり、意思決定の軸無しには何も決められない。
↑セキュリティに関連する書籍だが、めちゃくちゃ面白かったのでオススメ。
ベンチャー企業の実務で難しいと感じること
他方のベンチャー企業においては、リソースがより限られていることから、真にリスクがある箇所以外には対策を講じる余裕もない。そのため、リスクアペタイトに応じて、実施する対策としない対策を区別しながら強弱をつけていかなければならないのだが、これが後述の三つの理由で難しい。
①情報資産の洗い出しを、意思決定に資する粒度で行うことが難しいこと
例えば、公知の情報だけを取りまとめて、会社名と社長名と代表電話番号が記載された顧客候補リストがあり、これを『XXビジネス』のような正規のところから買ってきて、営業マンが利用しているとしよう。これは個人を特定できる情報であるから個人情報であるが、このリストを紛失した場合の事業影響は甚大か?
会社として「個人情報」という一つのカテゴリーしか考慮していなければ、この情報は最高レベルに位置づけられる情報となるだろう。
一方で、これらは元はWEBから収集した個人の情報であり、仮に漏えいしたとしても、拾った人はせいぜい会社に電話がかけやすくなる程度だ。相手方にとってはそれほどの被害もないかもしれない。もちろん、個人情報保護法遵守の観点で漏えい報告が必要になるケースもあるが、総合的に考えれば事業への影響は大きくはないという判断もあり得る。
このように、情報資産の分類は、その後どのような検討がなされるかを見通して行わなければ効果的なプロセスとはならない。
②情報が変化していくことに気づきにくいこと
上のような例で、仮に買ってきたリスト型の個人情報が事業リスクは大きくない情報であるとしても、これに商談情報を組み合わせれば、相手先の会社にとっての機密情報を含む、重要な情報となる可能性がある。
情報は収集と利用というプロセスを経て形を変えていくものであり、これを意識できていないと判断を誤る。
個人情報保護法QAにおいても、まさにこの点に言及されている。
ベンチャー企業では、事業もドラスティックに動いていくことから、より一層この点に留意していく必要がある。
③ベースラインアプローチをとれないということ
①も②も何とかこなして、仮に公表情報だけで構成されたリスト型の個人情報が事業リスクは大きくない情報であると整理したとしよう。
この場合に、他の機密情報よりも低い水準の管理をするとして、本当にこれでいいと納得できるだろうか??
よく企業でインシデントが発生した際に、事後的な報道で記載されるのは「一般的に実施されているべき〇〇が不十分であった」という説明書きである。いわゆるセキュリティのデファクトスタンダード的対策を実施しないという意思決定には、それ相応の説明責任が伴う。
だからこそ、多くの大企業においては、このような意思決定そのものがリスクが大きすぎると判断されることから、多少過剰になったとしても(効果が実質的になくとも)ルールをガチガチにしながら、不便を強いてでも対策を実施していく。つまり、多くの大企業では否が応でもベースラインを守っていく内部の力が働きやすい。
しかし、ベンチャー企業にはこれをやる体力が往々にして無い。だからこそ、実施すべき対策とそうでない対策の理由付けに向き合う必要があるのだが、爆速で変化していく経営環境を踏まえながら、限りあるリソースで実施していかなければならないのだ。
SaaSでセキュリティを推進する「これから」
まだまだSaaSスタートアップでのセキュリティ推進の挑戦は始まったばかり。何かを実施しようとすると、効率性、効果、技術的な問題などあらゆる問題に直面する。しかしここでは立ち止まってはいられない。日本のスタートアップを盛り上げるために、これからも前向きに情報発信していきたいとおもう。
筆者 10日間で基本情報技術者に合格経験あり
ピザまん
東大理系のとある学部を卒業後、2-3年ほどメガベンチャーにて新規事業の推進に携わる。 キャリアの底上げをと、BIG4に転職。技術的なセキュリティというよりは、運用面でのセキュリティ対策を中心として支援を実施。「支援側」でいるより「実行側」にいたいという思いからStartupに転職。 現在はセキュリティ方針の策定や事業推進が両軸のアラサー。 セキュリティとガジェットが好き。
