【コラム】スタートアップにとって信頼できるセキュリティとはコンプライアンス基準以上のものだ

今回は「【コラム】スタートアップにとって信頼できるセキュリティとはコンプライアンス基準以上のものだ」についてご紹介します。

関連ワード（コラム、コンプライアンス等）についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

編集注：本稿の著者Oren Yunger（オレン・ヤンガー）氏は、GGV Capitalの投資家で、サイバーセキュリティ分野を担当し、エンタープライズIT、データインフラ、開発者ツールへの投資を推進している。以前は、SaaS企業や公的金融機関で最高情報セキュリティ責任者を務めていた。

ーーー

コンプライアンス基準を満たすことに関しては、多くのスタートアップ企業が基本的な義務は果たしている。GDPR、CCPAからSOC 2、ISO27001、PCI DSS、HIPAAまで、企業は事業運営に必要なコンプライアンス基準の達成に向けて努力を重ねている。

例えば現在ではヘルスケア分野の創業者ならば、自社の製品がHIPAAに準拠していなければならないことを知っているし、コンシューマー分野で活動する企業であれば、GDPRなどもよく知っているだろう。

しかし、多くの高成長企業が犯している過ちは、コンプライアンスのことを、セキュリティをも含む万能の呪文として扱っていることだ。こうした考えは、痛みをともない高くつく問題を招きかねない。実のところコンプライアンスとは、企業が最低限の管理を行っていることを意味しているだけだ。一方、セキュリティとは、企業活動にともなうリスクに対処するためのベストプラクティスやソフトウェアを広く包含するものなのだ。

スタートアップ企業が、まずコンプライアンスに取り組みたいと考えるのは当然のことだ。規制された地域の市場に拡大したり、金融や医療などの産業に新たに進出したりする際には、コンプライアンスの遵守がまず大きな役割を果たす。つまり、いろいろな意味で、コンプライアンスの達成は、スタートアップ企業にとって市場開拓活動の一部なのだ。実際、各企業の購買担当者は、スタートアップと取引契約をする前にコンプライアンスが満たされているかどうかを知りたがるので、スタートアップ側は当然のことながら購買担当者の期待に応える努力を行っている。

このような背景を考えると、たとえばスタートアップ企業が、初期の段階でコンプライアンスを達成する活動を、エキサイティングな機能の開発やリードを獲得するための新しいキャンペーンの実施よりも優先させる動きが見られることは、当然だろう。

コンプライアンスは、若い企業にとって重要なマイルストーンであり、サイバーセキュリティ業界を前進させるものだ。またコンプライアンスはスタートアップの創業者のセキュリティ意識を高め、顧客はもちろん自社の保護について考えさせる。同時に、コンプライアンスは、顧客企業の購買担当者の法務チームやセキュリティチームが新興ベンダーと取引する際に安心感を与える。では、なぜコンプライアンスだけでは不十分なのだろうか？

まず第1に、コンプライアンスの遵守はセキュリティの保証を意味するものではない（もちろん正しい方向への一歩ではあるが）。若い企業では、コンプライアンスを遵守していても、セキュリティ対策が脆弱であることが多く見られる。

それはどのようなものだろうか？例えばあるソフトウェア会社は、すべての従業員が自分のデバイスにエンドポイントプロテクションをインストールすることを求めるSOC 2基準を満たしている一方で、従業員に実際にソフトウェアを有効にしてアップデートすることを強制する方法は持っていないかもしれない。さらに、そうした会社は、どこで、誰に、なぜエンドポイントの侵害が発生したのかを監視し、報告するための一元管理されたツールを持たない場合がある。そして最終的に、その会社はデータ漏洩や攻撃に迅速に対応し、解決するための専門知識を持っていない可能性がある。

こうしたことから、コンプライアンス基準は満たしている一方で、いくつかのセキュリティ上の欠陥が残ることになる。結果として、そのスタートアップ企業はセキュリティ侵害に遭い、莫大な損失を被ることになる可能性がある。IBMの調査によれば、従業員数500人以下の企業では、平均的なセキュリティ侵害のコストは770万ドル（約8億4450万円）に上ると推定されている。もちろん既存および潜在的な顧客からの信頼の喪失やブランドダメージはいうまでもない。

第2に、スタートアップにとって予期せぬ危険となるのは、コンプライアンスが誤った安心感を生み出す可能性があることだ。客観的な監査人や有名な組織からコンプライアンス証明書を受け取ると、セキュリティ面では対策済みのような印象を与えることができる。

スタートアップが人気を博し、優良顧客を獲得し始めると、その安心感はさらに高まる。なぜなら、そのスタートアップがセキュリティに関心の高くコンプライアンスも十分であるフォーチュン500企業を顧客として獲得できたのであれば、そのスタートアップも安全でだろうと考えられるからだ。企業との取引を狙う場合、買い手側がスタートアップに対して企業のセキュリティ基準を満たすためにSOC 2やISO27001への準拠を求めることは当然だ。しかし多くの場合、企業の購買担当者は取引先ベンダーがもたらすリスクについて、高度な質問をしたり理解を深めたりすることはないため、スタートアップが自社のセキュリティシステムについて実際に問われることはない。

そして第3に、コンプライアンスは、定義された一連のノウハウのみを扱っているに過ぎないということだ。未知のものや、規制要件の前バージョンが書かれてから発生した新しいものはカバーされていない。

例えばAPIの利用が拡大しているが、規制やコンプライアンスの基準がその流れに追いついていない。つまり、eコマース企業がクレジットカードによる支払いを受け付けるには、PCI-DSSに準拠していなければならないが、同時に認証が脆弱であったり、ビジネスロジックに欠陥があったりするAPIを複数利用している可能性がある。PCI規格が策定された当時には、APIは一般的ではなかったため、規制にはAPI が含まれていなかった。しかし現在ではほとんどのフィンテック企業がAPIに大きく依存している。つまり、取引業者がPCI-DSSに準拠していたとしても、安全でないAPIを使用している場合があり、顧客がクレジットカードの侵害にさらされる可能性があるのだ。

スタートアップが、コンプライアンスとセキュリティを混同しているのは仕方のない面もある。どのような企業にとっても、コンプライアンスとセキュリティを両立させることは難しい。予算や時間、セキュリティのノウハウが限られているスタートアップ企業にとっては、それは特に困難なことだ。理想的な世界では、スタートアップ企業は最初からコンプライアンスとセキュリティを両立させることができるだろうが、アーリーステージの企業がセキュリティインフラの強化に数百万ドル（数億円）を費やすことは現実的ではない。しかし、スタートアップ企業がより安全になるためにできることがある。

スタートアップがセキュリティに取り組むための最良の方法の1つは、早期にセキュリティ担当者を採用することだ。この役割のチームメンバーは、会社が従業員数や収益の大きな節目を迎えるまで後回しにできる「あったらいいな」要員と思われるかもしれないが、私はセキュリティ責任者を早期に採用することが鍵だと主張したい。なぜなら、このメンバーの仕事は、脅威の分析、セキュリティ対策の特定、展開、監視に専念することだからだ。さらに、スタートアップ企業は、自社の技術チームがセキュリティに精通し、製品やサービスを設計する際にセキュリティを最優先に考えるようにすることによって恩恵を手にすることができるだろう。

スタートアップがセキュリティを強化するためのもう1つの戦術は、適切なツールを導入することだ。ありがたいことに、Snyk（シンク）、Auth0（オース0）、HashiCorp（ハシコープ）、CrowdStrike（クラウドストライク）、Cloudflare（クラウドフレア）といった多くのセキュリティ企業が、オープンソースの無料版や、スタートアップに対しては比較的安価なバージョンのソリューションを提供しているので、スタートアップは大きな金銭負担なしにツール導入を行うことができる。

完全なセキュリティの展開を行うためには、IDとアクセス管理、インフラ、アプリケーション開発、障害回復、ガバナンスのための、ソフトウェアとベストプラクティスが含まれるが、ほとんどのスタートアップは、堅牢なセキュリティインフラのすべて重点項目を展開するために必要な時間と予算を持ち合わせていないと思われる。

幸いなことに、スタートアップ企業が最初に何をすべきかを把握するための無料のオープンソースのフレームワークであるSecurity 4 Startups（スタートアップのためのセキュリティ）のようなリソースが提供されている。このガイドは、創業者が成長の各段階で最も一般的で重要なセキュリティ上の課題を特定して解決するのに役立ち、長期的なセキュリティプログラムを構築するための確かなスタートを切るための初歩的なソリューションのリストを提供している。さらに、自動化コンプライアンスツールは、こうしたコントロールが確実に実施されるように、継続的なモニタリングを行う際に役立つ。

スタートアップにとって、パートナーや顧客との信頼関係を築くためには、コンプライアンスが不可欠だ。しかし、一度のセキュリティ事故によってこの信頼が失われてしまうと、信頼を取り戻すことはほぼ不可能になる。コンプライアンスだけでなく、セキュリティも確保することで、スタートアップは信頼性をさらに高めることができ、市場での勢いを増すことができるだけでなく、自社の製品を今後も存在させ続けることができるのだ。

なのでコンプライアンスとセキュリティを同一視するのではなく、コンプライアンスとセキュリティがどちらも信頼のために大切というように視野を広げてみてはいかがだろうか。そして、信頼はビジネスの成功と長寿につながるのだ。

関連記事
・グーグルがAndroidユーザーの位置情報取得に関しアリゾナで訴訟、設定項目を見つけにくくしたと報じられる
・カメラではなくレーダーを使ったプライバシーが保護されたアクティビティ追跡の可能性をカーネギーメロン大学の研究者らが提示
・PelotonとEchelon両社のプロフィール写真メタデータはユーザーの位置情報を流出していた

画像クレジット：gremlin / Getty Images

【原文】

When it comes to meeting compliance standards, many startups are dominating the alphabet. From GDPR and CCPA to SOC 2, ISO27001, PCI DSS and HIPAA, companies have been charging toward meeting the compliance standards required to operate their businesses.

Today, every healthcare founder knows their product must meet HIPAA compliance, and any company working in the consumer space would be well aware of GDPR, for example.

But a mistake many high-growth companies make is that they treat compliance as a catchall phrase that includes security. Thinking this could be an expensive and painful error. In reality, compliance means that a company meets a minimum set of controls. Security, on the other hand, encompasses a broad range of best practices and software that help address risks associated with the company’s operations.

It makes sense that startups want to tackle compliance first. Being compliant plays a big role in any company’s geographical expansion to regulated markets and in its penetration to new industries like finance or healthcare. So in many ways, achieving compliance is a part of a startup’s go-to-market kit. And indeed, enterprise buyers expect startups to check the compliance box before signing on as their customer, so startups are rightfully aligning around their buyers’ expectations.

One of the best ways startups can begin tackling security is with an early security hire.

With all of this in mind, it’s not surprising that we’ve witnessed a trend where startups achieve compliance from the very early days and often prioritize this motion over developing an exciting feature or launching a new campaign to bring in leads, for instance.

Compliance is an important milestone for a young company and one that moves the cybersecurity industry forward. It forces startup founders to put security hats on and think about protecting their company, as well as their customers. At the same time, compliance provides comfort to the enterprise buyer’s legal and security teams when engaging with emerging vendors. So why is compliance alone not enough?

First, compliance doesn’t mean security (although it is a step in the right direction). It is more often than not that young companies are compliant while being vulnerable in their security posture.

What does it look like? For example, a software company may have met SOC 2 standards that require all employees to install endpoint protection on their devices, but it may not have a way to enforce employees to actually activate and update the software. Furthermore, the company may lack a centrally managed tool for monitoring and reporting to see if any endpoint breaches have occurred, where, to whom and why. And, finally, the company may not have the expertise to quickly respond to and fix a data breach or attack.

Therefore, although compliance standards are met, several security flaws remain. The end result is that startups can suffer security breaches that end up costing them a bundle. For companies with under 500 employees, the average security breach costs an estimated $7.7 million, according to a study by IBM, not to mention the brand damage and lost trust from existing and potential customers.

Second, an unforeseen danger for startups is that compliance can create a false sense of safety. Receiving a compliance certificate from objective auditors and renowned organizations could give the impression that the security front is covered.

Once startups start gaining traction and signing upmarket customers, that sense of security grows, because if the startup managed to acquire security-minded customers from the F-500, being compliant must be enough for now and the startup is probably secure by association. When charging after enterprise deals, it’s the buyer’s expectations that push startups to achieve SOC 2 or ISO27001 compliance to satisfy the enterprise security threshold. But in many cases, enterprise buyers don’t ask sophisticated questions or go deeper into understanding the risk a vendor brings, so startups are never really called to task on their security systems.

Third, compliance only deals with a defined set of knowns. It doesn’t cover anything that is unknown and new since the last version of the regulatory requirements were written.

For example, APIs are growing in use, but regulations and compliance standards have yet to catch up with the trend. So an e-commerce company must be PCI-DSS compliant to accept credit card payments, but it may also leverage multiple APIs that have weak authentication or business logic flaws. When the PCI standard was written, APIs weren’t common, so they aren’t included in the regulations, yet now most fintech companies rely heavily on them. So a merchant may be PCI-DSS compliant, but use nonsecure APIs, potentially exposing customers to credit card breaches.

Startups are not to blame for the mix-up between compliance and security. It is difficult for any company to be both compliant and secure, and for startups with limited budget, time or security know-how, it’s especially challenging. In a perfect world, startups would be both compliant and secure from the get-go; it’s not realistic to expect early-stage companies to spend millions of dollars on bulletproofing their security infrastructure. But there are some things startups can do to become more secure.

One of the best ways startups can begin tackling security is with an early security hire. This team member might seem like a “nice to have” that you could put off until the company reaches a major headcount or revenue milestone, but I would argue that a head of security is a key early hire because this person’s job will be to focus entirely on analyzing threats and identifying, deploying and monitoring security practices. Additionally, startups would benefit from ensuring their technical teams are security-savvy and keep security top of mind when designing products and offerings.

Another tactic startups can take to bolster their security is to deploy the right tools. The good news is that startups can do so without breaking the bank; there are many security companies offering open-source, free or relatively affordable versions of their solutions for emerging companies to use, including Snyk, Auth0, HashiCorp, CrowdStrike and Cloudflare.

A full security rollout would include software and best practices for identity and access management, infrastructure, application development, resiliency and governance, but most startups are unlikely to have the time and budget necessary to deploy all pillars of a robust security infrastructure.

Luckily, there are resources like Security 4 Startups that offer a free, open-source framework for startups to figure out what to do first. The guide helps founders identify and solve the most common and important security challenges at every stage, providing a list of entry-level solutions as a solid start to building a long-term security program. In addition, compliance automation tools can help with continuous monitoring to ensure these controls stay in place.

For startups, compliance is critical for establishing trust with partners and customers. But if this trust is eroded after a security incident, it will be nearly impossible to regain it. Being secure, not only compliant, will help startups take trust to a whole other level and not only boost market momentum, but also make sure their products are here to stay.

So instead of equating compliance with security, I suggest expanding the equation to consider that compliance and security equal trust. And trust equals business success and longevity.

（文：Oren Yunger、翻訳：sako）

コラムとは - コトバンク

日本大百科全書(ニッポニカ) - コラムの用語解説 - ラテン語のcolumnaから出た「円柱」を意味することば。転じて英字新聞紙面における縦の欄をさし、さらに、一定の大きさを囲んで定型化した決まりものの記事欄を意味することが多い。日本の新聞では、常時定まっている寄稿記事、毎日同じところ...

https://kotobank.jp/word/%E3%82%B3%E3%83%A9%E3%83%A0-66455

コラムニュース - エキサイトニュース

生活に役立つ雑学、ライフスタイル情報、ライフハック術、話のネタになるコラムや旅行や女性向けコラムを展開しています。また、チョベリーやスマダンといったエキサイトニュースオリジナルコラムも人気です。

https://www.excite.co.jp/news/column-topic/

コラム - 産経ニュース - Sankei

· 産経新聞社のニュースサイト。政治、経済、国際、社会、スポーツ、エンタメ、災害情報などの速報記事と解説記事を掲載 ...

https://www.sankei.com/column/column.html

Webコラム・解説 : 読売新聞オンライン

· Webコラム・解説 : 読売新聞オンライン. ホーム. Webコラム. 最新ニュース.

https://www.yomiuri.co.jp/column/

コラム - Wikipedia

もしくはコラムシフトの略。

https://ja.wikipedia.org/wiki/%E3%82%B3%E3%83%A9%E3%83%A0

「コラム」の記事一覧 | PRESIDENT Online（プレジデント ...

「コラム」の記事一覧ページです。PRESIDENT Online（プレジデントオンライン）は、ビジネス誌「プレジデント」を発行するプレジデント社が運営する総合情報サイトです。みなさまのビジネス人生をより豊かなものにするために必要な情報をタイムリーにお届けし、職場の悩みを解決し、理想的な働き方を実現するヒントを提示してまいります。24時間、365日、仕事の道具箱としてご活用いただけます。

https://president.jp/category/c01787