Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
セキュリティベンチャーのリスク管理
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Ren Kimura
September 21, 2024
Business
160
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
セキュリティベンチャーのリスク管理
OWASP Kansai DAY
[email protected]
Ren Kimura
September 21, 2024
More Decks by Ren Kimura
See All by Ren Kimura
脅威解析概論
rkx1209
0
250
Ideas for defeating Anti-Deep-Fakes
rkx1209
0
120
ファジング+トリアージ技術を用いた脆弱性解析自動化
rkx1209
0
140
Introduction to Fuzzing
rkx1209
6
4.4k
ARM TrustZone エクスプロイト入門
rkx1209
7
8.7k
More efficient remote debugging with Thin Hypervisor
rkx1209
3
2.7k
Reverse Debugging with radare2
rkx1209
6
2k
カーネルエクスプロイトによるシステム権限奪取
rkx1209
13
8.1k
$Hell on Sony Snatch the Kernel privilage from Browser
rkx1209
6
27k
Other Decks in Business
See All in Business
BizDev視点で見る、Snowflake最新動向!/ snowflake-trend
finanori
1
200
Sprocket会社紹介資料_20260701
sprocket
0
160
自分のハンドルを握る〜AI時代だからこそ求められるセルフマネジメントの技術/Self-Management Skills Needed More Than Ever in the AI Era
ikuodanaka
1
3k
【ブログ用サンプル】Claudeを活用したエージェント分析レポート自動生成例
sai0412
0
290
NOROSHI inc_COMPANY DECK
noroshi
0
970
会社紹介資料
gatechnologies
2
190k
エイターリンク株式会社 会社紹介資料
aeterelink
0
45k
タスクマネジメント入門
nozomuiino
0
170
タケウチグループRecruit
takeuchigroup
0
13k
会社説明資料2026.7.1
mforce
0
140
余白を生むセルフマネジメント/Self-Management That Creates Breathing Room
ikuodanaka
1
2.8k
株式会社ユビレジ_採用ピッチ資料 / Ubiregi_CompanyProfile
ubiregi_saiyo
1
11k
Featured
See All Featured
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
234
17k
Why You Should Never Use an ORM
jnunemaker
PRO
61
9.9k
Discover your Explorer Soul
emna__ayadi
2
1.2k
Building a Modern Day E-commerce SEO Strategy
aleyda
45
9.1k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
35
2.5k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
38
2.9k
The Curse of the Amulet
leimatthew05
2
13k
Docker and Python
trallard
47
3.9k
Navigating the moral maze — ethical principles for Al-driven product design
skipperchong
2
400
Site-Speed That Sticks
csswizardry
13
1.2k
Tell your own story through comics
letsgokoyo
1
980
The agentic SEO stack - context over prompts
schlessera
0
840
Transcript
セキュリティベンチャーのリスク管理 基本理念編 OWASP Kansai DAY
[email protected]
株式会社リチェルカセキュリティ CEO ⽊村 廉
(@RKX1209) 1
2 ⾃⼰紹介 株式会社リチェルカセキュリティ 創業者&CEO ⽊村 廉 (X: @RKX1209) 興味: 新規事業開発、ファイナンス、法規、
リスク管理、Red Team、システムソフトウェア 経歴: https://rkx1209.github.io/about/
3 発表概要 発表内容は私個⼈の視点での分析結果であり、 弊社の企業活動と100%リンクしているわけではありません。 セキュリティベンチャーの経営者が、 ⾃組織のリスク管理をどのように⾏うのか、ケーススタディとして共有。 注意事項: リスク管理の考え⽅や⼿法は企業ごとに千差万別です。 この考え⽅が同業他社において必ず正しいとは限りません。
4 このテーマを選んだ動機 ベンチャー企業ならではの特異さ セキュリティ企業ならではの特異さ※ ⼤企業と違ってリスク分散ができないため、リスクの優先度付けを 誤るとあっという間に事業継続が不能になる。 お客様が実施しているセキュリティ管理策が⾒える。 これが攻撃者やIAブローカーに漏洩すると多⼤なリスク。(例: SOC) 0→1の新しい価値創出を⾏うため、短期間でゴールが変わり、せっかく
作ったセキュリティ要件が⼤幅に変化する。 ←本発表ではこちらを主に扱う ←機会があればどこか次回作で お客様の環境に対して⾼い権限を付与されている。(例: 侵⼊前提のPT) ※ EUでは既に重要インフラ(NIS2)にMSSPが指定されています。
5 企業ペルソナ設定 財務: 既にいくつかの事業で単年度黒字を達成済み。 売上⾼ 4億円 (FCF 0.5億円) 企業の存続に関わるようなリスクに焦点を絞ることで、 なるべく成⻑スピードを落とさないような戦略指標とマップを定義する。
⼈数: 10〜40名程度 新しい事業を開発したり、既存の事業を伸ばして市場シェアを伸ばしたい 「成⻑前期」のベンチャー企業
6 使えそうな経営指標はあるか? 財務諸表(P/L, B/S) + 財務健全性指標 → リスク値が短期間で変動する環境には不適 管理会計 +
逆ツリー展開 投資した資本に対して 効率良く売上をあげるための指標と、 売上⾼に対して 効率良く利益をあげるための指標を 分析する。 → 財務に紐づく指標しか扱えない。 お客様の⼼理に起因するマーケティング指標や、 SLAなどの法務的な指標が扱えない。 『ROIC経営』より
7 使えそうな経営指標はあるか? バランストスコアカード(BSC) 4つの視点(財務‧顧客‧業務プロセス‧学習)で戦略指標と対応する 施策を組み⽴てたもの → 戦略の異なる事業を同じ視点に まとめてしまっている。 作成者の経営戦略への理解度に 依存してしまう。
『CISOの役割や仕事とは?--JNSAが公開したハンドブックの中⾝』 より
8 経営指標の設定※1 「市場への受け⼊れられ度合い」でフェーズを分ける 仮説検証フェーズ: お客様の課題とソリューションのペアが定まること (PSF※2)が⽬標 成⻑フェーズ: ソリューションが達成可能な最⼤市場シェアを取ること (PMF※3)が⽬標 フェーズごとに、⽬標達成に必要な業務要素と指標を構築
以降4枚のスライドで図時 ※1 『RUNNING LEAN』と『The Model』を元に作成 ※2 Problem Solution Fitの略。 ※3 Product Market Fitの略。
9 ヒアリングの実施。 課題の精緻化。 市場仮説の検証。 既存ソリューション がお客様の課題を解 決できない要因を特 定。 改善⽅法を検証。 事業設計
課題発⾒ ソリューション設計 試作品フィードバック 既存の 代替品 収益構造 顧客 課題 独⾃の 価値 フィードバックを元に 設計した事業モデルを修正 仮説検証フェーズ (PSF前) 戦略的指標 事業現在価値 (NPV): 事業が将来⽣む総利益額
10 本製品 新規‧継続契約 カスタマーサクセス リード獲得 有望リード育成 成⻑フェーズ (PMF前) 収益‧定着型成⻑ループ 戦略的指標
顧客ライフタイムバリュー (LTV): お客さまから発⽣する収益合計 顧客獲得コスト(CAC): お客さまを⼀⼈獲得するのにかかるコスト 事業で得られた価値を 新しいお客様(リード)の 獲得に再投資する
11 本製品 新規‧継続契約 カスタマーサクセス リード獲得 有望リード育成 事業の仕組みの中に 他のお客様を呼び込む。 (例: 紹介クーポン機能)
成⻑フェーズ (PMF前) バイラル型成⻑ループ 戦略的指標 バイラル係数 (K): 既存のお客さまが新規お客さまを紹介する平均⼈数倍率 バイラルサイクルタイム: 既存のお客さまが新規お客さまを紹介するまでの平均時間
12 リスクアセスメントと管理策の実装 収益‧定着型成⻑ループに対する脅威例 コストをかけてようやく取り付けた商談が、「先⽅の求める認証」を取得し ていなかったせいでなくなった (CAC < LTV) バイラル型成⻑ループに対する脅威例 求める要件に合わない製品を他のお客様に紹介してしまい、ハレーションが
蔓延した 製品の脆弱性をつかれてお客様の情報が漏洩した。 (離脱率の増加)
13 リスクアセスメントと管理策の実装 やみくもに個別具体の脅威を列挙してもキリがない。 リスクを受容範囲まで効率よく下げるための管理策が知りたい。 経営指標 <-> セキュリティ指標 <-> 管理策 の上⼿な対応マップが必要。
to be continued ..
14 リスクアセスメントと管理策の実装 脅威列挙はキリがないし、資産価値の計算は経営指標から遠い。⼀体どうすれば... 『リスクアセスメントツールの根底思想』から引⽤