IPOを目指すスタートアップが従業員規模が小さな頃から取り組むべきセキュリティ対策とは？

IPOを実現させるためには、多くの要素を満たす必要があります。

特にセキュリティ対策は、IPOを目指すスタートアップにとって、安全性を確立、信用度を高めためにもIPO準備段階に実施すべき重要な項目です。

ただし、IPOを目指すスタートアップの多くはセキュリティ対策が万全とは言い切れないのが現状です。

なぜなら経営に直結する課題・売上などの事業的な経営判断にリソースを取られやすく、セキュリティ対策まで手が回らない傾向にあるからです。

セキュリティ対策を行う理由として、会社の「信用」を高めるという文脈だからこそ、スタートアップは会社がまだ小さなときからセキュリティ対策を行う必要があります。

そこで、DXER株式会社が情報システムのアドバイザーをお招きし、IPOを目指しているスタートアップがまずは取り組むべきセキュリティ対策とその理由について詳しく伺いました。

本noteは、2021年7月20日（火）に開催したウェビナーを再編した内容となっております。

■IPOのセキュリティ関連情報は少ない

IPO関連の情報はたくさんありますが、体制の整備に必要なシステムやそのシステムを守っているセキュリティに関する情報は不足気味です。

幹事企業となる証券会社はITやセキュリティのプロではないので、細かいところまでの良し悪しは分からないのと、会社によってやっていることやシステムの使い方、そこに必要になるセキュリティは多種多様なので、体系化できないということが大きく関係していると考えられます。

IPOにおけるセキュリティの情報は少ないものの、上場におけるルールでもある、東証が出しているコーポレートガバナンスコードなどにおいても、「リスクに対する透明化」という意味合いはしっかり求められています。そして、その「リスク」という言葉の中に、「情報セキュリティのリスク」が含まれてくるのは、現在では言わずもがなとされています。

まずは情報の整理に向けて動き出す

では、実際にシステム周りの整備を「いつからやればいいのか？」「いつまでにやればいいのか？」という疑問があると思います。しかし、これは企業によって全く違いますし、さらには世の中の変化やトレンド、セキュリティ事故の影響なども受けて変化していきます。

また、東証はこれから市場の再編もあるため、一概にこれという期限の正解はないと考えています。

しかし、できるだけ早い段階で、整備が間に合うのかどうかを見極められるように「情報を整理すること」に向けて動き出すことが重要です。

情報が整理できていることで、

・何が対応すべきこととして足りていないか
・どういう優先順位で進めていくか
・どこに追加投資するか

の判断と準備が進められるようになります。

■セキュリティのリスク問題の考え方

では、具体的に「情報の整理とは何か」という点を説明します。
IPOにおける情報整理は、次の3つのステップで進めていきます。

①リスク把握のための情報整理

まずは、「リスクを把握するため」に取り扱っている情報を整理することが大切です。

例えば、

・自社のサービスや自社内における重要なデータ
・個人情報をはじめとする法的に守る必要があるデータ
・社員が使っているアカウントの情報
・データを取り扱う日々使っているPCやスマホ等のデバイス情報

などが整理すべき情報になってきます。

②リスクの評価と対策を理解する

次に、リスクを把握するために実施した方が良いと考えられる課題について、その発生頻度と、発生したときの影響度から考えていきます。

これは、情報セキュリティの分野でよく使われるリスクに関する考え方・評価の仕方を表したマトリックスです。課題・リスクに対して、どこにマッピングされてどういう対処にするかを考えていきます。

ただし、リスクを評価するには先に説明した通り、情報が整理できていることが前提になります。

各マッピングの定義は次の通りです。

【リスクの低減】
一番対象が多くなるところで、この図でも広く枠が定義されています。これは、システムを導入やルールを厳しく作るなど、発生頻度やリスクを減らしていく取り組みのことを指します。

【リスクの移転】
自社の責任の範囲から可能な限り外すことを指します。例えば、セキュリティインシデントに対応する組織であるSOC（Security Operation Center）を、社外の組織に委託する方法があります。

自社で対応しようとすると相当な責任を追わないといけないため、サイバーセキュリティ保険などを契約して、被害が起きたときの金銭的な問題を外に任せるという意味でリスクの移転と定義します。

【リスクの回避】
極端な例を挙げると「インターネットから不正アクセスを受けているときに、インターネットから切断することでインシデントが発生しないようにする」という方法があります。
リスクを0にする代わりに、事業を一時的に止めたり、断念するということです。

③ガバナンスを理解する

リスクを把握するためには、ガバナンスという観点があります。
ガバナンスには、大きく「事業のガバナンス」と「ITガバナンス」の2つがあります。

事業のガバナンス＝法令遵守

事業のガバナンスとは、一般的に上場に関係なく守ることを求められている法令を指します。

ここでは、「自社の事業や展開しているサービスが取り扱う情報を把握して、どのような法令に遵守する必要があるのか」を把握することが重要です。

例えば、個人情報保護法では、取得した個人情報の変更や削除の要求をされた場合、原則対応することになっています。
では、実際に個人情報の変更や削除を要求された場合、「自社サービスの情報管理やシステム内のデータベース設計が、一人ひとりの情報を速やかに検出できる設計になっているか」という視点が必要になります。

もし、自社システムが法令遵守に必要な設計がされていなかった場合、システムを根本から再設計する必要があることも考えられます。そのようなリスクを回避するためにも、早い段階から法令を正確に把握し、かつ法改正についてもキャッチアップする必要があります。

もう一つ難しいのは、「どこまで対策をすれば良いか正解のラインが分かりにくい」という点です。実際このあたりは、既に上場している同業他社の判例などを評価基準のひとつとしている場合もあるため、広く情報収集を続けるとことが必要です。

ITガナバンス＝内部統制

ITガバナンスとは、内部統制を指します。内部統制においては、情報を把握して可視化することと、その作業内容の透明性を確保することが必要になります。

【情報の可視化】
ここで意味する情報とは、データやアカウント、デバイスなど、様々な日々の業務にリンクしている情報やシステム上で取り扱われている情報です。

これらを整備していくことで、

・何がどこにあるのか
・誰がどのような権限をもっているか

ということを俯瞰できるようになります。

ISMSやPマークで作成が求められる情報資産台帳などもその一つになります。しかし、「ISMSやPマーク取得が出来ていれば問題ない」ということではありません。

実際にExcelなどで情報を管理し、定期的な棚卸で制御していても、その作業プロセスをコントロールできていないというケースもあります。

ISMSもPマークも取得しているからOKではなく、最低ラインが整っているくらいの認識にして、情報の整理や把握、維持管理、場合によっては対応施策の向上を図ることが必要です。

【作業内容の透明性の確保】
作業内容の透明性とは、「システムに対して、誰が・いつ・何をしたかを追跡・証明できる」状態にすることです。

例えば、自社サービスのシステムで保有している個人情報や機密情報が含まれているデータベースに

・誰がアクセスしたのか
・どこにデータを持ち出したか

という視点があります。

他にも、会社の財務会計情報をコントロールしているシステムへの操作があります。会計システムを不正操作できると、システムで自動化されている現代では気付きにくい不正会計に繋がる恐れもあるため、コントロール下にあるということは大切です。

よくある「共有アカウント」での運用はNG

ITのガバナンスで注意が必要なよくある懸念事項の一例が、「共有アカウント」での運用です。

一つのアカウントを複数人で使用していると、誰が何を行ったのか把握できないため作業の不透明性につながります。その状況でインシデントが発生した場合、ログも意味を成さなくなり、説明責任も果たせなくなります。

そもそもインシデントに関係なく、アカウントの共有利用自体がサービス側の利用規約に違反している恐れもあるため注意が必要です。

また、「最初から共有アカウントを使用しない」ということを意識すると良いでしょう。最初から共有アカウントを使っていたことで、いずれ共有アカウントを無くす対応に工数がかかることになります。

さらに、adminアカウントの運用をしている企業も注意が必要です。
強い権限を持っているアカウントを各メンバーが共用で使用できる状態は利便性が高いでが、かなりリスクがあることです。

■まず着手すべき３つの事

これまでの知識を踏まえ、IPOまでに取り組むべきセキュリティ対策では、大きく次の3つのことを考える必要があります。

①システムとしてやること

まずシステムとしてやることは、現在の情報の把握と整理です。

それぞれのアカウントが

・どういう権限を付与されているか
・どういうデバイスを使っているか
・どういうデータにアクセス権をもっているか

というように、コントロールの中心に必ずアカウント情報が関わってきます。

しかし、当然ながらアカウント情報を押さえたら終わりというわけではありません。そこから派生するものが全て”情報”なので、これらを全社的に整理する必要があります。

例えば、「会社で払い出しているアカウントではなく個人で取得したアカウントを使っている」サービスが把握できたら、「それをどうにかしないといけない」という課題になり、リスクを評価する対象になるという考え方です。

②ルールで考えること

次に、システム面からみた情報の整理と並行して、必ずルールを明確にすることが必要になります。

特にここで欠かせないのが「トップのセキュリティに対するリーダーシップ」です。

IT投資に承認することだけが大事なのではなく、それをやるべき必要性や定着にむけた実行力につながる意思表示が重要になります。徹底させる社内ルールをしっかり整備して、それを説明し、浸透・定着させる、という動きは、トップダウンでやるべきことだと考えています。

セキュリティはどうしても利便性と戦わないといけないところがあるため、「うちの会社はこうします！」「これはルールです！」と言えるかどうかはとても重要です。その基準が存在しないと、上手くいかないケースに直面したり、現場の反対に遭ったりして、IT部門が苦労することになってしまいます。

③体制で考えること

3つ目に、体制の整備を考えることが重要になります。

まずは、「情シス人材・社内SE人材は募集しても思っているほど簡単に見つからない」ということです。しかも、上場の準備入ったフェーズでは単純に業務が増えるケースが多く、担当者にかなりの負荷がかかります。

また、スタートアップなど規模が小さいうちは、総務など他の部門の業務と兼任して対応しているケースも多くありますが、その体制も整備する必要があります。

兼務をといて専業にしたら終わりではなく、ひとり情シスにならないようにすることも重要です。例えば、N-2期やN-1期でひとりしかいない情シスが退職した場合、企業としての大きなリスクになります。

しかし、予算の事情やタイミングで、必ずしもすぐに人を集められないというケースもあるでしょう。その場合、外部サービスや外部の人材をパーツ単位で活用することを検討することが必要になります。

そして、もう一つ体制で大切なことは、「協力体制を全社一丸となって築いていくことができるか」という視点です。

もし外部サービスや外部の人材を活用した体制が組めていたとしても、外部から求められる要件を限られた期間で組み上げる場合、これまでの業務より負荷が増え、現場からの反発が予想されます。

最近は、現状のセキュリティを評価・採点してくれるツールやサービスも多くあるため、マンパワーだけに頼らず、そのようなツールやサービスも一つの方法として利活用できます。
しかし、最初からツールやサービスありきにならないように注意しましょう。

■まとめ：今から着手しておくことの再確認

IPOを目指すスタートアップが従業員規模が小さな頃から取り組むべきセキュリティ対策は、システム・体制・ルールの3つが重要であることが分かりました。

しかし、これらの整備を進めていっても、全社横断的にシステムやルールが変わる事があるので、従業員も含めた全社的な理解がないと実現することが難しくなってしまいます。だからこそ、トップがリーダーシップを強く持ち、トップダウンで組織に対して強くメッセージを打ち出す必要があるのです。

■情シスがくるサービス「シスクル」

これまでに説明したIPOまでに取り組むべき3つのセキュリティ対策支援すべく、弊社DXER株式会社では、企業を後押しする情シスに変革させるサービス「シスクル」をリリースいたしました。

専門的なスキルを持っている複数人の方々とチーム体制でき企業を支援する事で、コンサルを雇うよりも安く、正社員よりも低いリスクでプロジェクトを推進できるサービスになっています。

特徴としては、実際に専任のプロジェクトマネージャー1名とプロジェクト進捗に応じて、複数人の副業・フリーランス人材で企業をサポートしていきます。

まずは、業務課題や必要な採用ペルソナの要件を言語化していく事が最適なチーム作りに重要なことだと思いますので、もしご興味がある方は下記よりお問い合わせください。