スタートアップ｢セキュリティ対策は後手｣の危険 ｢成長ステージ｣ごとに求められる対応は変わる

ステージの前半では、見込み顧客へのデモやトライアルを繰り返して有効なフィードバックを得て、顧客が魅力を感じるプロダクト（独自のWebサービスやSaaSなどの製品・サービス）を育てることが企業の最優先事項だ。そのため、セキュリティ対策は、大切なプロダクトを守り、インターネット経由で顧客に安全に届けるための施策がポイントになる。

このフェーズでは、インフラ・アプリの技術者がセキュリティ対策を兼務することが多いこともあり、主に技術面の対策が重要になる。例えば、パブリッククラウド自体のセキュリティ設定、連携するAPIや生成AIのセキュリティ対策、公開Webサイトには欠かせないWAF（Webアプリケーションファイアウォール）の導入などだ。

これらの対策を成功に導くためには、経営陣の理解や支援が欠かせない。成功しているスタートアップ企業の経営陣ほど、顧客から信頼を得て、安定した事業運営をするために必要不可欠な課題として、セキュリティを捉えている。

こうした意識を持つ経営陣は、セキュリティ関連の相談や意思決定に時間を割くことや、対策の進展や成功を賞賛・感謝することを大切にしている。日々の小さな積み重ねが、利用者が急増しても安全・安心なサービス提供ができる盤石な体制や、よきセキュリティ文化の形成・浸透につながるのである。

｢社会的な信頼｣を獲得するセキュリティ対策とは？

ステージの後半で成長を続けるスタートアップ企業は、その過程で顧客層が多様化する。例えば、当初は中堅・中小企業向けのサービスを展開していた事業が、プロダクトの機能拡充と共にエンタープライズ企業からも利用されるようになるケースがある。

そうした中では、顧客からのセキュリティ要請や期待に応え、社会的な信頼を獲得できるようなセキュリティ対策が重要になってくる。

例えば、大半の大手企業は取引開始前に、スタートアップ企業に対して「委託先チェックシート」への回答を求める。セキュリティ認証（ISMSやプライバシーマークなど）の取得状況や安全な認証機能の有無（SSOや多要素認証など）、ログの保存期間など、戦略・技術・運用など多岐にわたる確認を求められるため、対応しておきたい。

また、セキュリティ専任の担当者を採用することやCISOを外部から招聘することも検討すべきだろう。対策の一端を紹介する技術ブログやセキュリティ対策報告書をWebサイトで公開するのも、自社のセキュリティの取り組みを外部に理解してもらうためには有効だ。