セキュリティベンチャーのリスク管理

セキュリティベンチャーのリスク管理基本理念編 OWASP Kansai DAY [email protected] 株式会社リチェルカセキュリティ CEO ⽊村廉
(@RKX1209) 1

2 ⾃⼰紹介株式会社リチェルカセキュリティ創業者&CEO ⽊村廉 (X: @RKX1209) 興味: 新規事業開発、ファイナンス、法規、
リスク管理、Red Team、システムソフトウェア経歴: https://rkx1209.github.io/about/

3 発表概要発表内容は私個⼈の視点での分析結果であり、弊社の企業活動と100%リンクしているわけではありません。セキュリティベンチャーの経営者が、⾃組織のリスク管理をどのように⾏うのか、ケーススタディとして共有。注意事項: リスク管理の考え⽅や⼿法は企業ごとに千差万別です。この考え⽅が同業他社において必ず正しいとは限りません。

4 このテーマを選んだ動機ベンチャー企業ならではの特異さセキュリティ企業ならではの特異さ※ ⼤企業と違ってリスク分散ができないため、リスクの優先度付けを誤るとあっという間に事業継続が不能になる。お客様が実施しているセキュリティ管理策が⾒える。これが攻撃者やIAブローカーに漏洩すると多⼤なリスク。(例: SOC) 0→1の新しい価値創出を⾏うため、短期間でゴールが変わり、せっかく
作ったセキュリティ要件が⼤幅に変化する。 ←本発表ではこちらを主に扱う ←機会があればどこか次回作でお客様の環境に対して⾼い権限を付与されている。(例: 侵⼊前提のPT) ※ EUでは既に重要インフラ(NIS2)にMSSPが指定されています。

5 企業ペルソナ設定財務: 既にいくつかの事業で単年度黒字を達成済み。売上⾼ 4億円 (FCF 0.5億円) 企業の存続に関わるようなリスクに焦点を絞ることで、なるべく成⻑スピードを落とさないような戦略指標とマップを定義する。
⼈数: 10〜40名程度新しい事業を開発したり、既存の事業を伸ばして市場シェアを伸ばしたい「成⻑前期」のベンチャー企業

6 使えそうな経営指標はあるか？財務諸表(P/L, B/S) + 財務健全性指標 → リスク値が短期間で変動する環境には不適管理会計 +
逆ツリー展開投資した資本に対して効率良く売上をあげるための指標と、売上⾼に対して効率良く利益をあげるための指標を分析する。 → 財務に紐づく指標しか扱えない。お客様の⼼理に起因するマーケティング指標や、 SLAなどの法務的な指標が扱えない。『ROIC経営』より

7 使えそうな経営指標はあるか？バランストスコアカード(BSC) 4つの視点（財務‧顧客‧業務プロセス‧学習）で戦略指標と対応する施策を組み⽴てたもの → 戦略の異なる事業を同じ視点にまとめてしまっている。作成者の経営戦略への理解度に依存してしまう。
『CISOの役割や仕事とは？--JNSAが公開したハンドブックの中⾝』より

8 経営指標の設定※1 「市場への受け⼊れられ度合い」でフェーズを分ける仮説検証フェーズ: お客様の課題とソリューションのペアが定まること (PSF※2)が⽬標成⻑フェーズ: ソリューションが達成可能な最⼤市場シェアを取ること (PMF※3)が⽬標フェーズごとに、⽬標達成に必要な業務要素と指標を構築
以降4枚のスライドで図時 ※1 『RUNNING LEAN』と『The Model』を元に作成 ※2 Problem Solution Fitの略。 ※3 Product Market Fitの略。

9 ヒアリングの実施。課題の精緻化。市場仮説の検証。既存ソリューションがお客様の課題を解決できない要因を特定。改善⽅法を検証。事業設計
課題発⾒ソリューション設計試作品フィードバック既存の代替品収益構造顧客課題独⾃の価値フィードバックを元に設計した事業モデルを修正仮説検証フェーズ (PSF前) 戦略的指標事業現在価値 (NPV): 事業が将来⽣む総利益額

10 本製品新規‧継続契約カスタマーサクセスリード獲得有望リード育成成⻑フェーズ (PMF前) 収益‧定着型成⻑ループ戦略的指標
顧客ライフタイムバリュー (LTV): お客さまから発⽣する収益合計顧客獲得コスト(CAC): お客さまを⼀⼈獲得するのにかかるコスト事業で得られた価値を新しいお客様(リード)の獲得に再投資する

11 本製品新規‧継続契約カスタマーサクセスリード獲得有望リード育成事業の仕組みの中に他のお客様を呼び込む。 (例: 紹介クーポン機能)
成⻑フェーズ (PMF前) バイラル型成⻑ループ戦略的指標バイラル係数 (K): 既存のお客さまが新規お客さまを紹介する平均⼈数倍率バイラルサイクルタイム: 既存のお客さまが新規お客さまを紹介するまでの平均時間

12 リスクアセスメントと管理策の実装収益‧定着型成⻑ループに対する脅威例コストをかけてようやく取り付けた商談が、「先⽅の求める認証」を取得していなかったせいでなくなった (CAC < LTV) バイラル型成⻑ループに対する脅威例求める要件に合わない製品を他のお客様に紹介してしまい、ハレーションが
蔓延した製品の脆弱性をつかれてお客様の情報が漏洩した。 (離脱率の増加)

13 リスクアセスメントと管理策の実装やみくもに個別具体の脅威を列挙してもキリがない。リスクを受容範囲まで効率よく下げるための管理策が知りたい。経営指標 <-> セキュリティ指標 <-> 管理策の上⼿な対応マップが必要。
to be continued ..

14 リスクアセスメントと管理策の実装脅威列挙はキリがないし、資産価値の計算は経営指標から遠い。⼀体どうすれば... 『リスクアセスメントツールの根底思想』から引⽤

セキュリティベンチャーのリスク管理

セキュリティベンチャーのリスク管理

Ren Kimura

More Decks by Ren Kimura

Other Decks in Business

Featured

Transcript

セキュリティベンチャーのリスク管理基本理念編 OWASP Kansai DAY [email protected] 株式会社リチェルカセキュリティ CEO ⽊村廉

2 ⾃⼰紹介株式会社リチェルカセキュリティ創業者&CEO ⽊村廉 (X: @RKX1209) 興味: 新規事業開発、ファイナンス、法規、

6 使えそうな経営指標はあるか？財務諸表(P/L, B/S) + 財務健全性指標 → リスク値が短期間で変動する環境には不適管理会計 +

9 ヒアリングの実施。課題の精緻化。市場仮説の検証。既存ソリューションがお客様の課題を解決できない要因を特定。改善⽅法を検証。事業設計

10 本製品新規‧継続契約カスタマーサクセスリード獲得有望リード育成成⻑フェーズ (PMF前) 収益‧定着型成⻑ループ戦略的指標

11 本製品新規‧継続契約カスタマーサクセスリード獲得有望リード育成事業の仕組みの中に他のお客様を呼び込む。 (例: 紹介クーポン機能)

14 リスクアセスメントと管理策の実装脅威列挙はキリがないし、資産価値の計算は経営指標から遠い。⼀体どうすれば... 『リスクアセスメントツールの根底思想』から引⽤