Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
セキュリティベンチャーのリスク管理
Search
Ren Kimura
September 21, 2024
Business
0
56
セキュリティベンチャーのリスク管理
OWASP Kansai DAY
LT@2024.09.21
Ren Kimura
September 21, 2024
Tweet
Share
More Decks by Ren Kimura
See All by Ren Kimura
Ideas for defeating Anti-Deep-Fakes
rkx1209
0
28
ファジング+トリアージ技術を用いた脆弱性解析自動化
rkx1209
0
57
Introduction to Fuzzing
rkx1209
6
4.2k
ARM TrustZone エクスプロイト入門
rkx1209
7
7.9k
The Game is Over. Nintendo switch has been totally compromised
rkx1209
9
5k
インサイドNintendo Switch
rkx1209
18
12k
More efficient remote debugging with Thin Hypervisor
rkx1209
3
2.5k
Reverse Debugging with radare2
rkx1209
6
1.9k
カーネルエクスプロイトによるシステム権限奪取
rkx1209
13
7.7k
Other Decks in Business
See All in Business
ユーザー体験の再定義 〜行動変容のための生成AI活用〜
_kojikako
1
400
株式会社B4A 会社紹介
b4a
0
6.7k
総合研究院の研究活動と企業等との連携促進|Science Tokyo(東京科学大学)
sciencetokyo
PRO
0
1.7k
株式会社Domuz会社紹介資料(採用)
kimpachi_d
0
21k
Spice Factory Co., Ltd. Culture Deck
spicefactory
0
430
PdM Days「組織と人をどう育てるか 〜プロダクトマネジメントエコシステムを紐解く〜」
muture
0
240
VISASQ: ABOUT DEV TEAM
eikohashiba
3
24k
プロダクトデザイナー向け採用情報資料
robot_payment
0
340
ITエンジニアのためのコーポレートファイナンス入門シリーズ!#全体像理解
tkhresk
2
340
アノマリーマーケティング カルチャーコード_ver1.0
anomalymarketing
1
210
【全ポジション共通】㈱エグゼクション/会社紹介資料
exe_recruit
1
1.1k
EMConf JP 2025 楽しいぞEM拡張パズル
sasakendayo
0
180
Featured
See All Featured
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.3k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
10
500
How GitHub (no longer) Works
holman
314
140k
Automating Front-end Workflow
addyosmani
1368
200k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
45
9.4k
Become a Pro
speakerdeck
PRO
26
5.2k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
53k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5.2k
Git: the NoSQL Database
bkeepers
PRO
427
65k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
4
360
Bash Introduction
62gerente
611
210k
Unsuck your backbone
ammeep
669
57k
Transcript
セキュリティベンチャーのリスク管理 基本理念編 OWASP Kansai DAY LT@2024.09.21 株式会社リチェルカセキュリティ CEO ⽊村 廉
(@RKX1209) 1
2 ⾃⼰紹介 株式会社リチェルカセキュリティ 創業者&CEO ⽊村 廉 (X: @RKX1209) 興味: 新規事業開発、ファイナンス、法規、
リスク管理、Red Team、システムソフトウェア 経歴: https://rkx1209.github.io/about/
3 発表概要 発表内容は私個⼈の視点での分析結果であり、 弊社の企業活動と100%リンクしているわけではありません。 セキュリティベンチャーの経営者が、 ⾃組織のリスク管理をどのように⾏うのか、ケーススタディとして共有。 注意事項: リスク管理の考え⽅や⼿法は企業ごとに千差万別です。 この考え⽅が同業他社において必ず正しいとは限りません。
4 このテーマを選んだ動機 ベンチャー企業ならではの特異さ セキュリティ企業ならではの特異さ※ ⼤企業と違ってリスク分散ができないため、リスクの優先度付けを 誤るとあっという間に事業継続が不能になる。 お客様が実施しているセキュリティ管理策が⾒える。 これが攻撃者やIAブローカーに漏洩すると多⼤なリスク。(例: SOC) 0→1の新しい価値創出を⾏うため、短期間でゴールが変わり、せっかく
作ったセキュリティ要件が⼤幅に変化する。 ←本発表ではこちらを主に扱う ←機会があればどこか次回作で お客様の環境に対して⾼い権限を付与されている。(例: 侵⼊前提のPT) ※ EUでは既に重要インフラ(NIS2)にMSSPが指定されています。
5 企業ペルソナ設定 財務: 既にいくつかの事業で単年度黒字を達成済み。 売上⾼ 4億円 (FCF 0.5億円) 企業の存続に関わるようなリスクに焦点を絞ることで、 なるべく成⻑スピードを落とさないような戦略指標とマップを定義する。
⼈数: 10〜40名程度 新しい事業を開発したり、既存の事業を伸ばして市場シェアを伸ばしたい 「成⻑前期」のベンチャー企業
6 使えそうな経営指標はあるか? 財務諸表(P/L, B/S) + 財務健全性指標 → リスク値が短期間で変動する環境には不適 管理会計 +
逆ツリー展開 投資した資本に対して 効率良く売上をあげるための指標と、 売上⾼に対して 効率良く利益をあげるための指標を 分析する。 → 財務に紐づく指標しか扱えない。 お客様の⼼理に起因するマーケティング指標や、 SLAなどの法務的な指標が扱えない。 『ROIC経営』より
7 使えそうな経営指標はあるか? バランストスコアカード(BSC) 4つの視点(財務‧顧客‧業務プロセス‧学習)で戦略指標と対応する 施策を組み⽴てたもの → 戦略の異なる事業を同じ視点に まとめてしまっている。 作成者の経営戦略への理解度に 依存してしまう。
『CISOの役割や仕事とは?--JNSAが公開したハンドブックの中⾝』 より
8 経営指標の設定※1 「市場への受け⼊れられ度合い」でフェーズを分ける 仮説検証フェーズ: お客様の課題とソリューションのペアが定まること (PSF※2)が⽬標 成⻑フェーズ: ソリューションが達成可能な最⼤市場シェアを取ること (PMF※3)が⽬標 フェーズごとに、⽬標達成に必要な業務要素と指標を構築
以降4枚のスライドで図時 ※1 『RUNNING LEAN』と『The Model』を元に作成 ※2 Problem Solution Fitの略。 ※3 Product Market Fitの略。
9 ヒアリングの実施。 課題の精緻化。 市場仮説の検証。 既存ソリューション がお客様の課題を解 決できない要因を特 定。 改善⽅法を検証。 事業設計
課題発⾒ ソリューション設計 試作品フィードバック 既存の 代替品 収益構造 顧客 課題 独⾃の 価値 フィードバックを元に 設計した事業モデルを修正 仮説検証フェーズ (PSF前) 戦略的指標 事業現在価値 (NPV): 事業が将来⽣む総利益額
10 本製品 新規‧継続契約 カスタマーサクセス リード獲得 有望リード育成 成⻑フェーズ (PMF前) 収益‧定着型成⻑ループ 戦略的指標
顧客ライフタイムバリュー (LTV): お客さまから発⽣する収益合計 顧客獲得コスト(CAC): お客さまを⼀⼈獲得するのにかかるコスト 事業で得られた価値を 新しいお客様(リード)の 獲得に再投資する
11 本製品 新規‧継続契約 カスタマーサクセス リード獲得 有望リード育成 事業の仕組みの中に 他のお客様を呼び込む。 (例: 紹介クーポン機能)
成⻑フェーズ (PMF前) バイラル型成⻑ループ 戦略的指標 バイラル係数 (K): 既存のお客さまが新規お客さまを紹介する平均⼈数倍率 バイラルサイクルタイム: 既存のお客さまが新規お客さまを紹介するまでの平均時間
12 リスクアセスメントと管理策の実装 収益‧定着型成⻑ループに対する脅威例 コストをかけてようやく取り付けた商談が、「先⽅の求める認証」を取得し ていなかったせいでなくなった (CAC < LTV) バイラル型成⻑ループに対する脅威例 求める要件に合わない製品を他のお客様に紹介してしまい、ハレーションが
蔓延した 製品の脆弱性をつかれてお客様の情報が漏洩した。 (離脱率の増加)
13 リスクアセスメントと管理策の実装 やみくもに個別具体の脅威を列挙してもキリがない。 リスクを受容範囲まで効率よく下げるための管理策が知りたい。 経営指標 <-> セキュリティ指標 <-> 管理策 の上⼿な対応マップが必要。
to be continued ..
14 リスクアセスメントと管理策の実装 脅威列挙はキリがないし、資産価値の計算は経営指標から遠い。⼀体どうすれば... 『リスクアセスメントツールの根底思想』から引⽤