なぜIPOを目指すベンチャー企業がセキュリティ対策を行う必要があるのか?

2018.03.29

Webセキュリティ

image

多くのベンチャー企業が目標としているIPO(Initial Public Offering)ですが、IPOまでの道のりは険しく、上場を実現させるまでに多くの要素を満たす必要があります。
セキュリティ対策はIPOを目指すベンチャーであれば、企業の信用度を高め安全性を確立するためにもIPO準備の段階で実施するべき項目の一つと言えます。
今回は、なぜIPOを目指すベンチャー企業がセキュリティ対策を行う必要があるのかを解説します。

目次

ベンチャー企業のセキュリティ対策は十分なのか

IPO(Initial Public Offering)を目指すベンチャー企業の多くはセキュリティ対策が万全とは言い切れません。
なぜならベンチャー企業は、経営に直結する課題にリソースを取られやすく、セキュリティ対策まで手が回らない傾向にあるためです。
セキュリティ対策が経営に直結するという認識が低く、後回しにされがちです。
また、企業の利用しているプラットフォームはベンダー側がセキュリティ対策をしているものだと勘違いしていることも多く、セキュリティ対策が手付かずということもあるようです。
AWSやその他クラウドサーバを提供する企業も、Webサイトを製作・管理する企業も、セキュリティ対策を標準サービスとして実施してくれるわけではなく、セキュリティ対策実施の判断は利用する企業側が行うべきものです。
セキュリティ専任の人材の確保がままならないことも、セキュリティ対策が後回しになってしまったり、セキュリティ対策が手付かずになってしまう原因の一つと言えるでしょう。

なぜ、ベンチャー企業にセキュリティ対策が必要なのか

IPOを目指すベンチャー企業がセキュリティ対策を行う必要がある理由として、一番大きいものが「信用」と言えます。
株主が未来を投資する相手として信用に足りるかは非常に重要なポイントです。
信用の内容もさまざまなものがありますが、セキュリティはその中でも軽視できない事柄です。

万が一セキュリティインシデントの発生により個人情報を漏えいすることがあれば、多額の賠償金を請求される可能性があるだけにとどまらず、会社の信用の低下、最悪の場合倒産することもあり得ます。上場以前の問題です。
個人情報を取得しないサービスだから安心と考える企業もいるかもしれませんが、攻撃者たちはそう言った企業もターゲットとしており、踏み台として利用するケースもあります。

また、上場目前になると企業はより多くの注目を浴びます。注目度が高まるということは、攻撃者たちにより狙われやすくなることに直結しています。攻撃者に狙われやすい状態にもかかわらずセキュリティ対策を行なっていないとなれば、最悪の事態を招くことになるでしょう。
上場直後にサイバー攻撃による個人情報流出が発生する可能性もありますし、そうした場合実被害と株価低下が予想されます。
そのような事態を防ぐためにも、セキュリティ対策が必要になってくるのです。

セキュリティ対策しないとどうなるのか

以前、上場を直近に控えたベンチャー企業が、情報漏えいが原因で上場を中止した、という事件がありました。
この企業は先進的な技術の開発をしており、世間からの注目度が非常に高いものでした。
2016年11月末に東証マザーズへ上場をする予定でしたが、11月半ばにインターネットへの顧客情報流出事件が起きたことを公表し、12月8日の取締役会で新株式の発行ならびに株式売出しを中止、上場手続きの延期を決議しました。これを受け、東証も承認を取り消す事態となりました。
問題の事件の概要は、同社のダイレクトメール送付先として登録されている顧客リストの一部が、複数のウェブサイトへ投稿されたというものです。
同社では、5月にダイレクトメールの送信システムが不正アクセスを受けており、その際にシステム登録されていた情報が流出した可能性があるが、詳しい原因は不明としています。
流出した情報は削除されましたが、上場手続きの再開にはセキュリティ体制の見直しが必要とのことで、上場延期を決定しました。
この事例のように、不正アクセスを含めたセキュリティ対策が不十分でセキュリティインシデントが発生してしまうと、上場を延期または中止する事態が発生する可能性があります。

少ないリソースでもできるセキュリティ対策とは?

理想的には、ISO27001やISO15001の認証取得を行って、対外的にもセキュリティ対策を積極的に行っていることをアピールするのが良いのですが、認証取得には多くのリソースが必要です。そこで、まずは少ないリソースでできる、必要十分な対策を検討するのが現実的でしょう。
少ないリソースでもできるセキュリティ対策をご紹介します。

社員のセキュリティ意識を高める

セキュリティ対策の基本は、人です。どんなに高度な技術を使ってセキュリティを高めても、結局はそれを使う人の意識が高くなければ脆弱性は残ります。そこで、まずは人に関する対策から行っていきます。
具体的には、最初に社内のセキュリティ運用ルールを明確にして、マニュアルを作成します。明文化・手順化しておかなければ事故発生のリスクを下げることはできません。

次に、そのマニュアルを熟知するよう、社員教育を行います。社員教育は集合研修の形で行なう方法、定期的にテストする方法、ディスカッションで理解を深める方法など、さまざまな方法があります。どれか一つの方法に固執せず、あらゆる角度から教育を行い、社員全員のセキュリティ意識を高めて、社内の文化として定着するまで徹底的に行いましょう。社員のセキュリティ意識向上は、対策に要するリソースを分散させ、比較的軽い負担で行うことができます。
また、他のさまざまなセキュリティ対策のベースとなり、それらの効果をより高いものにできます。低コストで高い効果が期待できるので、真っ先に行いましょう。

技術的な対策を行なう

教育と並行して、技術的な対策も順次行っていきましょう。
最初に行いたいのは、外部に公開しているサーバの脆弱性チェックです。先にあげた企業でも、外部からの不正アクセスが情報漏えいの原因と疑われていました。
不正アクセスによる情報漏えいは被害規模が大きくなりやすく、また発生すると企業の技術力も疑われてしまいかねないため、早急な対策が必要です。
対策を行なうためには、脆弱性の確認が必要です。ペネトレーションテスト(侵入テスト)は、脆弱性確認のための有効な手段です。
企業内にノウハウがない場合は、セキュリティ専門の企業に依頼するのも良い方法です。脆弱性が発見された場合は、その対策を検討します。サーバの設定を見直せば済むような、対策に労力がかからないものは、すぐに対策を実行すべきでしょう。自社アプリケーションの脆弱性など、対策に時間を要するものがあれば、もし脆弱性が露呈した場合にどの程度の被害が想定されるのかを検討し、対策の優先順位を決めます。

そのほかWAFをはじめとしたセキュリティサービス・製品の導入を検討しましょう。
特にWAFはSQLインジェクションやブルートフォースアタックをはじめとしたサイバー攻撃を防御することが可能なため、万が一の場合に備えられるでしょう。
最近はクラウド型の普及も進んでおり、対応リソースの少ないベンチャー企業でも安価かつ簡単に導入ができます。
けれども、すべての対策を一度に行なうことはできません。対策に要するリソースをうまく分散させるよう、計画を立てて実行することが大切です。

ベンチャー企業に限らず、セキュリティ対策は必須事項だと認識する

セキュリティ対策を行わなくても良い企業はありません。
どの企業にとってもセキュリティ対策は必須事項と言えます。個人情報をまったく扱わない企業はほとんどありませんし、営業情報も漏えいすれば大ダメージになりかねません。
セキュリティ対策はよその話で、自社には無縁と考えていると、セキュリティ事故によって思わぬ損失を被る恐れがあります。
特に顧客情報といった個人情報の漏えいは致命的です。対外的な信用が失墜すると、企業経営が傾く恐れさえあります。セキュリティ対策には銀の弾はありません。即効性があり、これさえ行っておけば万全という方法はないのです。日々の地道な準備や継続的な努力が企業内のセキュリティを高めます。
まずは、セキュリティの重要性を認識し、少しでも高めていこうという意識を持つことが大切と言えるでしょう。