エフセキュアのプリンシパルコンサルタントであるAntti Vähä-Sipilä(アンティ・ヴァハ・シピラ)は、「立ち上げたばかりのスタートアップ企業は、資金も時間もほとんど融通つかないのが実情です。」と起業時のスタートアップ企業について説明しています。
エフセキュアでは、スタートアップ企業が創業時から従来型のセキュリティコンサルティングサービスを利用するのは困難であると考えています。当社は、2016年にオープンした精鋭スタートアップが集う北欧諸国で最大のスタートアップ・コミュニティであるMaria 01の企業に対して目標を明確にし、必要なものだけに絞り込んだセキュリティとプライバシーに関するサービスを提供しました。
企業の立ち上げ時に、サイバーセキュリティやプライバシーを軽視してしまうと、重要な目標を達成しようとしているときに、不必要な障害を招いてしまうことになりかねません。
「ある時点で、さらに多くの資金を集めるか、買収されることを考えるタイミングが来ます。」とAnttiは述べています。「そのような時期に障害が発生することは絶対に避けなければなりません。また、重大なデータ侵害は、成長の中間段階あるスタートアップ企業にとって、存亡にかかわるリスクとなる可能性があります。しかしながら、高額な予算を投入する必要ないものの、アーキテクチャ、テクニカルデザイン、コンプライアンスにおいて、どの手順を実行すべきか、あるいは実行すべきでないかを理解することが重要です。それが早い段階で把握できれば修正するのも容易になります。」
ここでは、エフセキュアがスタートアップ企業にアドバイスを提供した例として、2つのケーススタディをご紹介します。
【ケーススタディ1】 認定審査官が他のスタートアップ企業へ模範例として紹介するに至るまで
エフセキュアのシニアセキュリティコンサルタントであるAntti Laatikainen(アンティ・ラーティカイネン)は、Noona Healthcare社を初めて訪問した際に感じた社内の熱気について今でもよく覚えています。
「ここの社員は皆興奮していました。」と彼は語っています。「それはまるで、ある種の熱病に罹ったようでした。」
2016年のことです。この新興企業は、スタートアップのフェーズからサイバーセキュリティを切り出すためにAnttiと彼の同僚に支援を仰ぎました。
「彼らはすでにエフセキュアのことを知っており、脆弱性管理に当社のエンドポイント保護とF-Secure Radarを使用していました。」
Noonaは、がん治療に焦点を合わせたクラウドベースのモバイルサービスを開発しています。同社は、ISO27001情報セキュリティ管理基準の認定を取得する準備を整えていましたが、これはこの野心的な企業にとってさらに野心的と言える目標でした。Noonaの社員によってセキュリティシステムは構築されていましたが、コンプライアンスの完全準拠のためにはガイダンスが必要でした。
「私たちは彼らのニーズに応じた専門家のチームを提供しました。」とAnttiは述べています。「目標は、アセスメントを受ける準備を整えることでした。」
世界で最も規制の厳しい分野の1つであるヘルスケア領域において、これまでNoonaが蓄積していた経験が生き、取り組みは順調にスタートしました。
「Noonaには、高品質を提供するという文化が根付いていたので、皆がコンプライアンスへの取り組みに慣れていました。 そのため、私たちが提供したのは、すべての利害関係者に情報セキュリティ管理を明確に理解させるための実践的な手順でした。」
Noonaは「大きな理想を掲げた小さなショップ」だったとAnttiは言いますが、スタートアップを成功させようとする精神は、審査可能なサイバーセキュリティコンプライアンスとはそぐわないことがよくあります。
「スタートアップ企業では、社員は皆、製品のことだけに集中しがちです。それに比べるとセキュリティや規制、そしてコンプライアンスなどは退屈なものに思われがちです。確かに、それは退屈な反復作業かもしれませんが、それでも気負うことなく俎上に載せておく必要があるのです。」
彼は、スタートアップ企業がクライアントの要求に迅速に対応する必要性に迫られている時には、セキュリティコンプライアンスへ取り組むことが難しいと感じています。
「信頼を築くことができる社外の人、またはこの取り組みを任務として受け入れられる社内の人が必要です。」と彼は述べています。
エフセキュアの助けを借りることで、Noonaは最終的に両者とも確保できたのです。
その後すぐに、ISO27001認証を受ける準備が整いました。
「同社は最初の審査をパスしました。」
その後、Noonaは審査を2回受け、いずれも合格しました。
「審査官は、他の小規模企業への模範例としてNoonaを挙げていると話してくれました。」
Anttiは、2年の間に、コーチから「CISO-As-A-Service(サービスとしてのCISO)」と呼ばれる立場になりました。彼は月に3日間オンサイトで作業し、開発者やエンジニアと打ち合わせをして、開発チケットに対するコーチング、ガイダンス、およびチェックを実施しています。
Noonaは、2018年後半にこの業界最大の企業に買収されました。そして、Noonaのサイバーセキュリティ態勢がこの買収を妨げることはありませんでした。むしろ、それがNoona Healthcareを魅力的な企業にしたもう1つの要因だったのです。
【ケーススタディ2】 サイバーセキュリティを資産に変える
このスタートアップ企業の製品は、大手金融機関が導入を検討していましたが、残念ながら、サイバーセキュリティに関する懸念が、商談の成立を遅らせていました。
同社の創業者は、信頼できるアドバイザーの支援を受けることにしました。同社から連絡を受けたエフセキュアのシニアリスクマネジメントコンサルタントであるLaura Noukka(ローラ・ヌッカ)と彼女の同僚が対応しました。
「強いプレッシャーを感じました。」とLauraは回想しています。「スケジュールがとても厳しかったのです。」
課題は、製品発売のスケジュールを妨げることなく、大手金融機関が課した要件を満たすことでした。これは、たとえて言えば、製造中の飛行機を滑走路に向けて走行させながら飛び立つ前に完成させるようなものでした。
「誰もが”1つの素敵な箱に収められたITセキュリティ”を望んでいます。」とLauraは述べています。「私たちはそのようなセキュリティを提供できかねますが、同社の経験豊富な専門家と協力し、取り組みを優先させるための脅威モデルを策定することができました。」
「業界ごとに異なるさまざまな要件があります。」とLauraは指摘します。「ゲーム業界は技術的なセキュリティに重点を置くかもしれませんが、金融業界のようなコンプライアンス志向の強い業界では、包括的な管理システムに基づいたエビデンスが必要となります。
Lauraと同僚は、オンサイトのパートタイムベースで取り組みました。ITセキュリティの目標と責任を含むポリシーの確立に焦点を当て、可能な限り多くのプロセスを引き継ぐようチームを指導しました。
「同様に重要だったもう1つの点は、DevOpsのプラクティスでした。セキュリティがソフトウェアライフサイクル全体で真剣に受け止められるようにしたかったのです。」とLauraは語っています。「要するに、リリースプランをサポートするためにセキュリティ作業に優先順位を付け、その後、長期的なセキュリティロードマップを作成しました。そのノウハウを見える化するために、すべてのステップを文書化しました。」
これにより、チームが正しい考え方で進んでいることを金融機関に信じてもらうことができたのです。
カテゴリ