スタートアップ｢セキュリティ対策は後手｣の危険 ｢成長ステージ｣ごとに求められる対応は変わる

例えば、クラウドをビジネスに活用する際、必要なのはウイルス対策のような従来のセキュリティ対策だけではない。

「管理コンソールの設定不備による不正アクセス」「クラウド上にデータを格納するサービスを意図せずインターネット公開したことによる個人情報漏洩」などのクラウド固有のセキュリティリスクを考慮する必要があり、対策を疎かにすれば新規事業の見直しや撤退といった事態に陥る可能性も考えられる。

さらに、セキュリティ対策を求められる一方で、ランウェイ（キャッシュ不足に陥るまでの残存期間）での「急成長」を問われ続けるというプレッシャーも抱えている。

国内スタートアップ企業528社からの回答を調査・分析した「スタートアップサーベイ2023」（三井住友信託銀行）によれば、目標とするランウェイを24カ月以上とする企業が約半数を占めるものの、足元のランウェイを目標の期間以上確保できている企業は4分の1にとどまる。

目標と現実のギャップは大きく、スタートアップ企業が短期間で成長し続けなければいけないプレッシャーと向き合っていることがわかるだろう。

このプレッシャーは、成長の強い源泉でもあるのだが、成長スピードを優先したい事情から、セキュリティ対策の優先度を下げる意思決定につながってしまう場合がある。

実際、筆者が以前、スタートアップ企業のCEOに聞き取り調査を行ったところ、セキュリティ対策に十分に手が回っていない様子がうかがえた。

「社員の労務管理にさえ課題がある状況なので、セキュリティ管理は後回し」「セキュリティ対策は必要だと思うが、予算には限りがあり、どこから始めればよいかを迷っている」「セキュリティは開発者に任せている」といった声が聞かれたのだ。

｢成長ステージ｣により必要な対策は異なる

では、本来ならどのような対策や心構えが必要なのか。スタートアップ企業は一般的に下図のような4つの成長ステージに分類されるが、とくにステージの前半（シード、アーリー）と後半（ミドル、レイター）ではセキュリティ対策のポイントが異なる。

通常、従業員・資金調達額・顧客は、ステージが進むごとに増加するため、創業間もない企業と上場間近の企業では必要なセキュリティ対策が変わり、段階的な強化が必要になるのだ。