Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
セキュリティベンチャーのリスク管理
Search
Ren Kimura
September 21, 2024
Business
0
45
セキュリティベンチャーのリスク管理
OWASP Kansai DAY
[email protected]
Ren Kimura
September 21, 2024
Tweet
Share
More Decks by Ren Kimura
See All by Ren Kimura
Ideas for defeating Anti-Deep-Fakes
rkx1209
0
26
ファジング+トリアージ技術を用いた脆弱性解析自動化
rkx1209
0
35
Introduction to Fuzzing
rkx1209
6
4.1k
ARM TrustZone エクスプロイト入門
rkx1209
7
7.9k
The Game is Over. Nintendo switch has been totally compromised
rkx1209
9
5k
インサイドNintendo Switch
rkx1209
18
12k
More efficient remote debugging with Thin Hypervisor
rkx1209
3
2.5k
Reverse Debugging with radare2
rkx1209
6
1.9k
カーネルエクスプロイトによるシステム権限奪取
rkx1209
13
7.7k
Other Decks in Business
See All in Business
RAKSUL会社紹介資料 / RAKSUL Introduction
raksulrecruiting
8
81k
スマートキャンプ株式会社 会社紹介資料 / companydeck
smartcamp
18
650k
プロダクトデザイナー向け採用情報資料
robot_payment
0
330
意見交換での思いやり 〜会議ファシリテーションその前に〜 / Consideration in the exchange of opinions
pauli
0
250
朝日新聞社 ITエンジニア キャリア採用 紹介資料
asahi_cto
0
150
わわわ理念制作所 紹介資料
yuadachi
0
430
マリッシュサービス資料
marrish
0
190
圧倒的な営業生産性の確立
kotohashi
1
340
Cobe Associe: Who we are? /コンサル・市場調査・人材紹介のCobe Associe
nozomi
6
19k
enechain company deck
enechain
PRO
8
99k
SaaSの次なる潮流BPaaS ゼロイチの事業づくりと伴走するプロダクト開発の裏側
kubell_hr
3
1.6k
merpay-Overview
mercari_inc
7
160k
Featured
See All Featured
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
46
2.3k
Practical Orchestrator
shlominoach
186
10k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
12
960
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
10
1.3k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
366
25k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
Site-Speed That Sticks
csswizardry
4
380
Building a Modern Day E-commerce SEO Strategy
aleyda
38
7.1k
Bootstrapping a Software Product
garrettdimon
PRO
306
110k
How GitHub (no longer) Works
holman
314
140k
4 Signs Your Business is Dying
shpigford
182
22k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
Transcript
セキュリティベンチャーのリスク管理 基本理念編 OWASP Kansai DAY
[email protected]
株式会社リチェルカセキュリティ CEO ⽊村 廉
(@RKX1209) 1
2 ⾃⼰紹介 株式会社リチェルカセキュリティ 創業者&CEO ⽊村 廉 (X: @RKX1209) 興味: 新規事業開発、ファイナンス、法規、
リスク管理、Red Team、システムソフトウェア 経歴: https://rkx1209.github.io/about/
3 発表概要 発表内容は私個⼈の視点での分析結果であり、 弊社の企業活動と100%リンクしているわけではありません。 セキュリティベンチャーの経営者が、 ⾃組織のリスク管理をどのように⾏うのか、ケーススタディとして共有。 注意事項: リスク管理の考え⽅や⼿法は企業ごとに千差万別です。 この考え⽅が同業他社において必ず正しいとは限りません。
4 このテーマを選んだ動機 ベンチャー企業ならではの特異さ セキュリティ企業ならではの特異さ※ ⼤企業と違ってリスク分散ができないため、リスクの優先度付けを 誤るとあっという間に事業継続が不能になる。 お客様が実施しているセキュリティ管理策が⾒える。 これが攻撃者やIAブローカーに漏洩すると多⼤なリスク。(例: SOC) 0→1の新しい価値創出を⾏うため、短期間でゴールが変わり、せっかく
作ったセキュリティ要件が⼤幅に変化する。 ←本発表ではこちらを主に扱う ←機会があればどこか次回作で お客様の環境に対して⾼い権限を付与されている。(例: 侵⼊前提のPT) ※ EUでは既に重要インフラ(NIS2)にMSSPが指定されています。
5 企業ペルソナ設定 財務: 既にいくつかの事業で単年度黒字を達成済み。 売上⾼ 4億円 (FCF 0.5億円) 企業の存続に関わるようなリスクに焦点を絞ることで、 なるべく成⻑スピードを落とさないような戦略指標とマップを定義する。
⼈数: 10〜40名程度 新しい事業を開発したり、既存の事業を伸ばして市場シェアを伸ばしたい 「成⻑前期」のベンチャー企業
6 使えそうな経営指標はあるか? 財務諸表(P/L, B/S) + 財務健全性指標 → リスク値が短期間で変動する環境には不適 管理会計 +
逆ツリー展開 投資した資本に対して 効率良く売上をあげるための指標と、 売上⾼に対して 効率良く利益をあげるための指標を 分析する。 → 財務に紐づく指標しか扱えない。 お客様の⼼理に起因するマーケティング指標や、 SLAなどの法務的な指標が扱えない。 『ROIC経営』より
7 使えそうな経営指標はあるか? バランストスコアカード(BSC) 4つの視点(財務‧顧客‧業務プロセス‧学習)で戦略指標と対応する 施策を組み⽴てたもの → 戦略の異なる事業を同じ視点に まとめてしまっている。 作成者の経営戦略への理解度に 依存してしまう。
『CISOの役割や仕事とは?--JNSAが公開したハンドブックの中⾝』 より
8 経営指標の設定※1 「市場への受け⼊れられ度合い」でフェーズを分ける 仮説検証フェーズ: お客様の課題とソリューションのペアが定まること (PSF※2)が⽬標 成⻑フェーズ: ソリューションが達成可能な最⼤市場シェアを取ること (PMF※3)が⽬標 フェーズごとに、⽬標達成に必要な業務要素と指標を構築
以降4枚のスライドで図時 ※1 『RUNNING LEAN』と『The Model』を元に作成 ※2 Problem Solution Fitの略。 ※3 Product Market Fitの略。
9 ヒアリングの実施。 課題の精緻化。 市場仮説の検証。 既存ソリューション がお客様の課題を解 決できない要因を特 定。 改善⽅法を検証。 事業設計
課題発⾒ ソリューション設計 試作品フィードバック 既存の 代替品 収益構造 顧客 課題 独⾃の 価値 フィードバックを元に 設計した事業モデルを修正 仮説検証フェーズ (PSF前) 戦略的指標 事業現在価値 (NPV): 事業が将来⽣む総利益額
10 本製品 新規‧継続契約 カスタマーサクセス リード獲得 有望リード育成 成⻑フェーズ (PMF前) 収益‧定着型成⻑ループ 戦略的指標
顧客ライフタイムバリュー (LTV): お客さまから発⽣する収益合計 顧客獲得コスト(CAC): お客さまを⼀⼈獲得するのにかかるコスト 事業で得られた価値を 新しいお客様(リード)の 獲得に再投資する
11 本製品 新規‧継続契約 カスタマーサクセス リード獲得 有望リード育成 事業の仕組みの中に 他のお客様を呼び込む。 (例: 紹介クーポン機能)
成⻑フェーズ (PMF前) バイラル型成⻑ループ 戦略的指標 バイラル係数 (K): 既存のお客さまが新規お客さまを紹介する平均⼈数倍率 バイラルサイクルタイム: 既存のお客さまが新規お客さまを紹介するまでの平均時間
12 リスクアセスメントと管理策の実装 収益‧定着型成⻑ループに対する脅威例 コストをかけてようやく取り付けた商談が、「先⽅の求める認証」を取得し ていなかったせいでなくなった (CAC < LTV) バイラル型成⻑ループに対する脅威例 求める要件に合わない製品を他のお客様に紹介してしまい、ハレーションが
蔓延した 製品の脆弱性をつかれてお客様の情報が漏洩した。 (離脱率の増加)
13 リスクアセスメントと管理策の実装 やみくもに個別具体の脅威を列挙してもキリがない。 リスクを受容範囲まで効率よく下げるための管理策が知りたい。 経営指標 <-> セキュリティ指標 <-> 管理策 の上⼿な対応マップが必要。
to be continued ..
14 リスクアセスメントと管理策の実装 脅威列挙はキリがないし、資産価値の計算は経営指標から遠い。⼀体どうすれば... 『リスクアセスメントツールの根底思想』から引⽤