スタートアップ企業にセキュリティは必要?対策実施についての考え方 | Codebook|Security News
Codebook|Security News > Articles > 情報セキュリティ > スタートアップ企業にセキュリティは必要?対策実施についての考え方

情報セキュリティ

セキュリティ体制構築支援

セキュリティ規格

中小企業

スタートアップ企業にセキュリティは必要?対策実施についての考え方

佐々山 Tacos

佐々山 Tacos

2022.10.28

スタートアップ企業では、少数精鋭で人手が足りない、予算に余裕がないといった理由から、セキュリティ対策が後回しになってしまうケースが多いようです。また、ビジネスモデルやサービスの確立を急ぐあまり、取引先や顧客企業からセキュリティに関する質問をされて初めてセキュリティに目を向けるようになったという企業も見受けられます。さらには、そもそも貴重なリソースや時間を割いてまでセキュリティに手をかける必要があるのだろうか?という疑問を抱く方もいらっしゃるかもしれません。そこで今回は、スタートアップ企業にもセキュリティが必要な理由やセキュリティ対策実施についての考え方、近年のインシデント事例から見えてくる課題、認証取得の必要性有無などについて解説します。

スタートアップ企業にもセキュリティが必要な理由

 ・インシデント発生による企業へのダメージは事業運営を左右

 ・対外的な企業イメージや、顧客・ユーザーからの信頼性の向上

スタートアップにおける近年のインシデント事例

 ・事例から見えてくる、スタートアップのセキュリティ課題

セキュリティ対策実施についての考え方

 ・セキュリティ=信用と安心を得るための投資/経営課題

認証取得の検討が必要な場合も

 ・認証取得を検討すべきケース

 ・各種認証の概要(ISMS、Pマーク、PCI DSS)

具体的には何から始めればいい?

 ・まずはセキュリティ体制の構築が必要

 ・セキュリティコンサルの利用

情報源

スタートアップ企業にもセキュリティが必要な理由

「スタートアップ企業にもセキュリティ対策は必要なのか?」、この問いに対する答えは「イエス」です。その理由について、以下の2つの観点からご説明します。

 

①インシデント発生による企業へのダメージ

②対外的な企業イメージや、顧客・ユーザーからの信頼性の向上

インシデント発生による企業へのダメージ

サイバー攻撃を受けて情報を盗まれてしまう、不注意で第三者に顧客の情報を送信してしまう、クラウドの設定ミスにより重要情報が公開状態になってしまう、などのインシデント(情報セキュリティ関連の事故)発生による企業への影響は、甚大なものとなる可能性があります。

インシデントが発生すると、システム復旧費用などの経済的損害が出るだけでなく、顧客や利用者および世間一般からの信頼が低下するなど、レピュテーションにもダメージが及ぶ場合があります。また、最悪の場合には事業/サービスの終了を余儀なくされることも考えられます。

知名度が低く実績もさほどないことの多いスタートアップにとって、対外的評価や企業イメージの低下は今後の事業運営を左右する死活問題となり得ます。したがって、インシデントを未然に防ぐためのセキュリティ体制・仕組み作りに加えて、万が一インシデントが発生しても被害を最小限に抑えるための対応計画の整備は必須です。

対外的な企業イメージや、顧客・ユーザーからの信頼性の向上

一方で、セキュリティ対策実施による効果・メリットは、インシデント防止だけにとどまりません。セキュリティに力を入れている企業であることがアピールできれば、企業イメージや顧客・ユーザーからの信頼は向上します。このようなイメージが利用者のプロダクト選定や事業者選定に大きく影響し得ることを踏まえると、セキュリティ対策は経営戦略の1つとみなすことができると言えます。また、この対外的イメージ・信頼性の向上効果は、PマークやISMSといった情報セキュリティ関連認証(詳しくは後述)を取得することによってさらに高まります。

セキュリティが必要なのは大企業だけではない

以上の2点から、スタートアップにおいてもセキュリティ対策が必要であることはお分かりいただけたと思います。これに加えて押さえておきたいポイントは、「セキュリティは企業規模や知名度、事業年数にかかわらず等しく重要である」という点です。スタートアップやベンチャーであろうと、インシデントは発生し得ます。現に、以下のセクションでご紹介する通り、スタートアップでのインシデント事例も複数報告されています。

「セキュリティが注目されるのは大企業や有名企業だけだろう」、「ウチは小規模な会社だからサイバー攻撃者に狙われることはないだろう」、「セキュリティに力を入れるのはもう少し会社が成長してからでいいだろう」といった先入観や思い込みには惑わされないようにしましょう。自社サービス・製品の開発ばかりを優先させるのではなく、同時進行でセキュリティ対策にも注力していくことが大切です。

スタートアップにおける近年のインシデント事例

ではここで、スタートアップ企業で実際にどのようなインシデントが発生しているのか、参考までに近年の事例をいくつかご紹介します。

 

なお、各事例を、原因別に大きく4つのカテゴリに分類しています。

・カテゴリA:第三者によるサイバー攻撃

・カテゴリB:自社内でのミス

・カテゴリC:システムやサービスの障害

・カテゴリD:サードパーティで発生したインシデント/過失

 

インシデント事例カテゴリ
(2022年8月)CXプラットフォームの開発・運用を行う企業で、同社がコミュニケーションツールとして採用しているSlackに関して、ユーザーのメールアドレス等を含むレポートが、Slackを契約する他の米国企業1社に対して誤って一時的に開示されるという事態が発生。D
(2022年6月)障害者就労支援などを行う企業がランサムウェア攻撃を受け、一部の社内データが暗号化されたほか、一部の社内サーバーに対する不正アクセスの被害があった。A
(2022年4月〜5月)人材派遣サービスなどを提供する企業が運営するコミュニティサイトにおいて、パスワードリスト攻撃による不正アクセスが確認された。アカウント情報が閲覧された可能性があるほか、第三者によるポイントの不正利用が行われた。A
(2022年4月)クリエイター向けプラットフォームを運営する企業で、外部スタッフの過失行為により議事録がホームページに公開され、個人情報が閲覧可能な状態となる事態が発生。D
(2022年2月)ふるさと納税支援サイトなどを手がける企業のサイトがパスワードリスト攻撃を受け、不正アクセス/ログインやなりすましによる退会処理、Amazonギフトコードの不正利用などが行われた。A
(2021年8月〜2022年1月)決済代行企業が運営するクレジットカード決済システムが不正アクセスを受け、個人情報を含む情報が外部に流出し、クレジットカードが不正利用された。A
(2021年9月)クラウド事業やゲーム事業などを手がける企業が運営するライブ配信アプリにおいて、メール誤送信により個人情報(メールアドレス)が流出。B
(2021年8月)ソフトウェア開発などを行う企業が運営するプロダクトサイトが第三者によって一部改ざんされ、同サイトへアクセスすると海外の販売サイトへ自動的に移動するようになっていた。A
(2021年5月)オンラインプログラミング学習サービスの運営などを行う企業のサービスにおいて、外部で不正に取得されたと思われるメールアドレス、パスワードを使った第三者による不正なログインが発生。A
(2020年1月~2021年2月)バックオフィス関連クラウドサービスの提供などを行う企業の社外システムにおいて、同社への問い合わせ受付内容の一部が約1年間にわたり第三者によるアクセスが可能な状態となっていた。B
(2020年10月)ネット宅配クリーニングサービスなどを提供する企業が運営するサイトが不正アクセスを受け、個人情報が漏洩した可能性がある。同サービスは2021年9月をもって終了A
(2020年8月)暗号資産関連企業が利用しているMPCウォレットに何者かが不正にアクセスし、暗号資産を流出させた。A
(2020年6月)医療関連事業を手がける企業が、委託先がAWSのストレージを公開設定したことが原因で、顧客情報が閲覧可能状態になっていたことを発表。D
(2020年5月)暗号資産関連企業が利用するドメイン登録サービスの同社アカウントに不正アクセスがあり、同社ドメイン情報が第三者により書き換えられた。D
(2020年3〜4月)システムやプラットフォームの提供を行う企業のテレワーク向けクラウドサービスでサービス障害が発生し、他の利用者のユーザーIDが表示されるなどの事象が起きた。同社は復旧を断念し、同サービスを9月末で終了C

(報道資料を参考に作成、情報源一覧はページ下部に記載)

事例から見えてくる、スタートアップのセキュリティ課題

近年の事例を見てみると、不正アクセスやランサムウェアなど、外部からのサイバー攻撃によるインシデントに加えて、クラウドの設定不備やメールの誤送信といった企業側のミスによるものや、サードパーティの過失によるものも発生しています。これを踏まえると、スタートアップ企業は次に挙げるようなタイプのリスクを踏まえて対策を講じていかねばならないことがわかります。

 

✔️第三者によるサイバー攻撃を受けるリスク

不正アクセス、ランサムウェア攻撃など

 

✔️自社内でミスや不正が起きるリスク

メールの誤送信、システムやクラウドの設定ミスなど

 

✔️システムやサービスに障害が発生し、インシデントにつながるリスク

障害により個人情報が閲覧可能な状態になる、など

 

✔️サードパーティで発生したインシデントの影響を受けるリスク

自社で利用しているサービスの運営会社が攻撃を受けて、運営会社のシステム内に保存されていた自社の情報が盗まれる、など

 

セキュリティ対策実施についての考え方

セキュリティ=信用と安心を得るための投資/経営課題

商品・サービスの開発や新たな市場開拓に注力しなければならないスタートアップ企業にとって、情報セキュリティは重荷に思えるかもしれません。人手や予算が足りない、社員や経営層がセキュリティをさほど重視していない、といった課題の存在ゆえに、セキュリティの優先順位が下がってしまうというスタートアップも多いようです。

しかし、繰り返しになりますが、インシデントの発生によって企業が受けるダメージは今後の事業運営を左右するものとなり得ます。そして、インシデントが起こってから「事前にしっかりと対策しておけばよかった」と後悔してももはや後の祭りです。そのため、セキュリティを「リソースを割かねばならないコスト」と考えて後回しにするのではなく、「信用と安心を得るための投資/経営課題」として捉えて具体的な対策実施につなげていくことをお勧めします。

認証取得の検討が必要な場合も

事業内容や扱う情報によってはセキュリティへの取り組みが強く求められるため、PマークやISMSといったセキュリティ認証の取得を検討した方がいい場合があります。また、IPOの条件として指定された、ベンチャーキャピタルから投資条件として要求された、といった理由で取得が必要になることも考えられます。

認証取得が必要なケースや取得を検討すべきケース

・セキュリティを強化したいと考えている

・クラウドサービスを提供している

・個人情報や医療関連情報、クレジットカード情報といった機密性の高い情報を扱っている

・IPOを目指している

・海外への事業展開を考えており、国際規格への準拠が必要である

各種認証の紹介(Pマーク、ISMS、PCI DSS)

代表的な情報セキュリティ認証であるPマーク、ISMS、PCI DSSの概要や違いを、以下の表にまとめました。

認証Pマーク(PMS)ISMSPCI DSS
概要個人情報を適切に保護している事業者を認定する制度。個人情報の取り扱いが適切に行われているかどうかを、日本国内の規格であるJIS Q15001に沿って審査する。国際規格「ISO/IEC 27001(日本版はJIS Q 27001:2014)」で定められている要求事項(情報セキュリティを効果的かつ継続的に行うための具体的なルール)が満たされているかどうかを認証する仕組み。加盟店(カードが使用できる店)やサービスプロバイダー(カードビジネスを提供する会社)において、クレジットカード会員データが安全に取り扱われる事を目的として策定された、クレジットカード業界のセキュリティ基準。
認証範囲日本国内世界世界
保護範囲(目的)個人情報情報セキュリティ全般クレジットカード情報
対象(認証単位)国内に活動拠点を持つ事業者組織、サービス、事業、個人など自由カード情報を保存、処理、または伝送する企業(カード加盟店、銀行、決済代行など行うサービス・プロバイダーなど)
特徴・個人情報保護に特化した内容
・2年ごとに更新審査を受ける必要がある
・更新審査は3年ごとだが、毎年審査を受ける必要がある。
・ISO/IEC 27017(クラウドセキュリティ認証)などのアドオン(拡張)規格がある
・定期的に審査を受ける義務はないが、年1回の審査を受けることが一般的。
・取得方法は3通り存在し、カード情報の取扱い形態や規模により異なる(①訪問審査、②サイトスキャン、③自己問診)

 

具体的には何から始めればいい?

まずはセキュリティ体制の構築が必要

上記では認証取得についても触れましたが、まず第一にやるべきなのは基本となるセキュリティ体制の構築です。具体的には、情報セキュリティ業務の担当者・責任者の任命、セキュリティ規程の整備、自社が所有する情報資産や利用するクラウドサービスの特定、リスク・課題の把握、インシデント発生時の対応計画策定などを実施する必要があります。

セキュリティコンサルの利用

そうは言っても、セキュリティに割くことのできる人的リソースが限られている、セキュリティの知識を持つ社員がおらず、自社単独での対策実施に不安がある、認証を取得したいがどの認証が適しているのかわからない、といったお悩みをお持ちの企業も多いと思います。そのような場合には、セキュリティコンサルティングサービスの利用をお勧めします。

スタートアップにとってネックとなる料金に関して言うと、もちろんサービスの内容によっては高価なものも存在します。しかしコンサル会社によって価格設定はさまざまですし、困ったことがあった際にだけ相談に乗ってもらう顧問サービスのようなものであれば、比較的安価で利用できる場合があります。

マキナレコードのスタートアップセキュリティ支援

株式会社マキナレコードでは、情報セキュリティ体制の整備から規程・ガイドライン策定支援、従業員へのセキュリティ教育まで、 幅広いサービスでスタートアップ企業を支援しています。「そもそも何が自社の課題なのかわからない」といった場合も、コンサルタントが現在のセキュリティ状況をしっかり分析し、本当に必要な対策・支援を予算や現状に沿ったやり方で提案いたしますのでご安心ください。弊社サービスについて、詳しくはこちらのページをご覧ください。

豊富なスタートアップ支援実績

弊社のこれまでのスタートアップ支援実績については、以下のページで紹介しています。

導入事例|Pマークの取得を前提としたセキュリティ面の対策を支援/株式会社ジ・アイ様

導入事例|最初からちゃんとセキュリティ面の対策を/株式会社ビットジャーニー様

導入事例|クラウドサービス展開時にセキュリティ強化が必要に/A1A株式会社様

導入事例|手厚いフォロー体制が導入のポイント/ライフログテクノロジー株式会社様

導入事例|セキュリティ対策のノウハウ蓄積に貢献/Chatwork株式会社様

無料資料ダウンロード

また、セキュリティ体制構築支援に関する詳細資料を無料で配布しております。以下のリンクからお気軽にお申し込みください。

情報源

[1] https://scan.netsecurity.ne.jp/article/2022/09/01/48124.html

[2] https://scan.netsecurity.ne.jp/article/2022/06/29/47809.html

[3] https://scan.netsecurity.ne.jp/article/2022/07/11/47880.html

[4] https://scan.netsecurity.ne.jp/article/2022/04/27/47526.html

[5] https://scan.netsecurity.ne.jp/article/2022/03/09/47275.html

[6] https://scan.netsecurity.ne.jp/article/2022/08/04/48006.html

[7] https://scan.netsecurity.ne.jp/article/2022/07/06/47851.html

[8] https://scan.netsecurity.ne.jp/article/2021/09/28/46353.html

[9] https://s.netsecurity.ne.jp/article/2021/09/15/46294.html

[10] https://scan.netsecurity.ne.jp/article/2021/06/08/45783.html

[11] https://scan.netsecurity.ne.jp/article/2021/02/15/45183.html

[12] https://scan.netsecurity.ne.jp/article/2020/10/26/44729.html

[13] https://scan.netsecurity.ne.jp/article/2021/01/22/45082.html

[14] https://scan.netsecurity.ne.jp/article/2021/08/23/46166.html

[15] https://scan.netsecurity.ne.jp/article/2020/06/11/44193.html

[16] https://scan.netsecurity.ne.jp/article/2020/06/08/44182.html

[17] https://scan.netsecurity.ne.jp/article/2020/06/22/44230.html

[18] https://privacymark.jp/system/about/index.html(Pマーク)

[19] https://isms.jp/isms/(ISMS)

[20] https://www.jcdsc.org/pci_dss.php(PCI DSS)

情報セキュリティ関連のおすすめ記事

脆弱性診断とは?やり方や診断内容、ツールの比較ポイントまで解説!

クラウドセキュリティとは?リスクや対策、クラウド事業者の比較ポイントなどについて解説!

インシデント対応の4ステップとは?初動から事後までの流れをわかりやすく解説!

Writer

佐々山 Tacosライター/翻訳者

著者

2015年に上智大学卒業後、ベンチャー企業に入社。2018年にオーストラリアへ語学留学し、大手グローバル電機メーカーでの勤務を経験した後、フリーランスで英日翻訳業をスタート。2021年からはマキナレコードにて翻訳業務や特集記事の作成を担当。情報セキュリティやセキュリティ認証などに関するさまざまな話題を、「誰が読んでもわかりやすい文章」で解説することを目指し、記事執筆に取り組んでいる。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ