「スタートアップのセキュリティ対策」はどこまでやるべき?ステージごとに求められる対応は変わる
最先端のテクノロジーを活用し、大きな成長を目指すスタートアップ企業のサイバーセキュリティ対策について。新技術の利用や急成長を目指すプレッシャーなど、独自の事情がある中でセキュリティリスクへの対応が課題となっている。
スタートアップ企業は新しい技術を積極的に活用するため、それに伴うセキュリティリスクにも対応する必要がある。クラウドやAIなどの技術固有の脆弱性に対処するための対策が重要だ。
成長期間を確保しながら急成長を遂げるため、セキュリティ対策の優先度を下げる場合もある。プレッシャーとバランスを取りながら、適切なセキュリティ対策を行う必要がある。
最先端のテクノロジーを活用して、大きな成長を目指すスタートアップ企業。そのサイバーセキュリティ対策の実態はどうなっているのか。
スタートアップ企業の経営者だけでなく、彼らとの協業を考えている企業経営者も気になるところだろう。
経済産業省は、スタートアップ企業を「1. 新しい企業であって、2. 新しい技術やビジネスモデル(イノベーション)を有し、3. 急成長を目指す企業」と定義している。この「新しい」「急成長」というキーワードこそスタートアップ企業を象徴する強みだが、サイバーセキュリティの観点では、足をすくわれる要素にもなりうる。
■対策が難しいスタートアップならではの事情
まず、スタートアップ企業は、「クラウド」「API」「ブロックチェーン」「生成AI」など、社会で注目を集める新技術を積極的な姿勢でイノベーションに活用している。そのため、「新しい」ゆえに考慮すべき「新しい技術固有のセキュリティリスク」とも日々向き合わなければいけない。
例えば、クラウドをビジネスに活用する際、必要なのはウイルス対策のような従来のセキュリティ対策だけではない。
「管理コンソールの設定不備による不正アクセス」「クラウド上にデータを格納するサービスを意図せずインターネット公開したことによる個人情報漏洩」などのクラウド固有のセキュリティリスクを考慮する必要があり、対策を疎かにすれば新規事業の見直しや撤退といった事態に陥る可能性も考えられる。
さらに、セキュリティ対策を求められる一方で、ランウェイ(キャッシュ不足に陥るまでの残存期間)での「急成長」を問われ続けるというプレッシャーも抱えている。
国内スタートアップ企業528社からの回答を調査・分析した「スタートアップサーベイ2023」(三井住友信託銀行)によれば、目標とするランウェイを24カ月以上とする企業が約半数を占めるものの、足元のランウェイを目標の期間以上確保できている企業は4分の1にとどまる。
目標と現実のギャップは大きく、スタートアップ企業が短期間で成長し続けなければいけないプレッシャーと向き合っていることがわかるだろう。
このプレッシャーは、成長の強い源泉でもあるのだが、成長スピードを優先したい事情から、セキュリティ対策の優先度を下げる意思決定につながってしまう場合がある。
