Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
セキュリティベンチャーのリスク管理
Search
Ren Kimura
September 21, 2024
Business
0
100
セキュリティベンチャーのリスク管理
OWASP Kansai DAY
[email protected]
Ren Kimura
September 21, 2024
Tweet
Share
More Decks by Ren Kimura
See All by Ren Kimura
Ideas for defeating Anti-Deep-Fakes
rkx1209
0
53
ファジング+トリアージ技術を用いた脆弱性解析自動化
rkx1209
0
98
Introduction to Fuzzing
rkx1209
6
4.3k
ARM TrustZone エクスプロイト入門
rkx1209
7
8.1k
The Game is Over. Nintendo switch has been totally compromised
rkx1209
9
5.1k
インサイドNintendo Switch
rkx1209
18
13k
More efficient remote debugging with Thin Hypervisor
rkx1209
3
2.6k
Reverse Debugging with radare2
rkx1209
6
1.9k
カーネルエクスプロイトによるシステム権限奪取
rkx1209
13
7.8k
Other Decks in Business
See All in Business
イオングローバルSCM株式会社 会社概要
agscm
0
490
株式会社Domuz会社紹介資料(採用)
kimpachi_d
0
36k
株式会社ファンコミュニケーションズ|会社説明資料 / Company Deck
fancomi_career
0
1.6k
ラッコキーワード サービス紹介資料
rakko
0
19k
メタデータ通りの趣旨と進め方
datayokocho
0
120
ラクスパートナーズ採用ピッチ資料_エンジニア部門.pdf
rakuspartners_recruit
0
25k
CC採用候補者向けピッチ資料
crosscommunication
2
52k
株式会社TableCheck - 会社紹介 Company Profile
tablecheckac
0
1k
アウトカムファーストな専門技術組織の構築と運用のための取り組み / Efforts to Build and Operate an Outcome-First Technical Expertise Organization
lycorptech_jp
PRO
5
490
처음 시작하는 사람들을 위한 GA4 핸즈온 | 2025년 7월 세미나
datarian
0
600
フルリモートで社内にどうやって自分の居場所を作るのか?
satoshi256kbyte
12
18k
How can i speak to someone at Expedi𝓪® USA : A Complete Guide Steps
travelhupsupport
0
140
Featured
See All Featured
How to Ace a Technical Interview
jacobian
278
23k
How GitHub (no longer) Works
holman
314
140k
RailsConf 2023
tenderlove
30
1.2k
Balancing Empowerment & Direction
lara
1
490
GitHub's CSS Performance
jonrohan
1031
460k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
53k
Building a Scalable Design System with Sketch
lauravandoore
462
33k
Practical Orchestrator
shlominoach
189
11k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
21
1.3k
Building an army of robots
kneath
306
45k
Automating Front-end Workflow
addyosmani
1370
200k
Rebuilding a faster, lazier Slack
samanthasiow
83
9.1k
Transcript
セキュリティベンチャーのリスク管理 基本理念編 OWASP Kansai DAY
[email protected]
株式会社リチェルカセキュリティ CEO ⽊村 廉
(@RKX1209) 1
2 ⾃⼰紹介 株式会社リチェルカセキュリティ 創業者&CEO ⽊村 廉 (X: @RKX1209) 興味: 新規事業開発、ファイナンス、法規、
リスク管理、Red Team、システムソフトウェア 経歴: https://rkx1209.github.io/about/
3 発表概要 発表内容は私個⼈の視点での分析結果であり、 弊社の企業活動と100%リンクしているわけではありません。 セキュリティベンチャーの経営者が、 ⾃組織のリスク管理をどのように⾏うのか、ケーススタディとして共有。 注意事項: リスク管理の考え⽅や⼿法は企業ごとに千差万別です。 この考え⽅が同業他社において必ず正しいとは限りません。
4 このテーマを選んだ動機 ベンチャー企業ならではの特異さ セキュリティ企業ならではの特異さ※ ⼤企業と違ってリスク分散ができないため、リスクの優先度付けを 誤るとあっという間に事業継続が不能になる。 お客様が実施しているセキュリティ管理策が⾒える。 これが攻撃者やIAブローカーに漏洩すると多⼤なリスク。(例: SOC) 0→1の新しい価値創出を⾏うため、短期間でゴールが変わり、せっかく
作ったセキュリティ要件が⼤幅に変化する。 ←本発表ではこちらを主に扱う ←機会があればどこか次回作で お客様の環境に対して⾼い権限を付与されている。(例: 侵⼊前提のPT) ※ EUでは既に重要インフラ(NIS2)にMSSPが指定されています。
5 企業ペルソナ設定 財務: 既にいくつかの事業で単年度黒字を達成済み。 売上⾼ 4億円 (FCF 0.5億円) 企業の存続に関わるようなリスクに焦点を絞ることで、 なるべく成⻑スピードを落とさないような戦略指標とマップを定義する。
⼈数: 10〜40名程度 新しい事業を開発したり、既存の事業を伸ばして市場シェアを伸ばしたい 「成⻑前期」のベンチャー企業
6 使えそうな経営指標はあるか? 財務諸表(P/L, B/S) + 財務健全性指標 → リスク値が短期間で変動する環境には不適 管理会計 +
逆ツリー展開 投資した資本に対して 効率良く売上をあげるための指標と、 売上⾼に対して 効率良く利益をあげるための指標を 分析する。 → 財務に紐づく指標しか扱えない。 お客様の⼼理に起因するマーケティング指標や、 SLAなどの法務的な指標が扱えない。 『ROIC経営』より
7 使えそうな経営指標はあるか? バランストスコアカード(BSC) 4つの視点(財務‧顧客‧業務プロセス‧学習)で戦略指標と対応する 施策を組み⽴てたもの → 戦略の異なる事業を同じ視点に まとめてしまっている。 作成者の経営戦略への理解度に 依存してしまう。
『CISOの役割や仕事とは?--JNSAが公開したハンドブックの中⾝』 より
8 経営指標の設定※1 「市場への受け⼊れられ度合い」でフェーズを分ける 仮説検証フェーズ: お客様の課題とソリューションのペアが定まること (PSF※2)が⽬標 成⻑フェーズ: ソリューションが達成可能な最⼤市場シェアを取ること (PMF※3)が⽬標 フェーズごとに、⽬標達成に必要な業務要素と指標を構築
以降4枚のスライドで図時 ※1 『RUNNING LEAN』と『The Model』を元に作成 ※2 Problem Solution Fitの略。 ※3 Product Market Fitの略。
9 ヒアリングの実施。 課題の精緻化。 市場仮説の検証。 既存ソリューション がお客様の課題を解 決できない要因を特 定。 改善⽅法を検証。 事業設計
課題発⾒ ソリューション設計 試作品フィードバック 既存の 代替品 収益構造 顧客 課題 独⾃の 価値 フィードバックを元に 設計した事業モデルを修正 仮説検証フェーズ (PSF前) 戦略的指標 事業現在価値 (NPV): 事業が将来⽣む総利益額
10 本製品 新規‧継続契約 カスタマーサクセス リード獲得 有望リード育成 成⻑フェーズ (PMF前) 収益‧定着型成⻑ループ 戦略的指標
顧客ライフタイムバリュー (LTV): お客さまから発⽣する収益合計 顧客獲得コスト(CAC): お客さまを⼀⼈獲得するのにかかるコスト 事業で得られた価値を 新しいお客様(リード)の 獲得に再投資する
11 本製品 新規‧継続契約 カスタマーサクセス リード獲得 有望リード育成 事業の仕組みの中に 他のお客様を呼び込む。 (例: 紹介クーポン機能)
成⻑フェーズ (PMF前) バイラル型成⻑ループ 戦略的指標 バイラル係数 (K): 既存のお客さまが新規お客さまを紹介する平均⼈数倍率 バイラルサイクルタイム: 既存のお客さまが新規お客さまを紹介するまでの平均時間
12 リスクアセスメントと管理策の実装 収益‧定着型成⻑ループに対する脅威例 コストをかけてようやく取り付けた商談が、「先⽅の求める認証」を取得し ていなかったせいでなくなった (CAC < LTV) バイラル型成⻑ループに対する脅威例 求める要件に合わない製品を他のお客様に紹介してしまい、ハレーションが
蔓延した 製品の脆弱性をつかれてお客様の情報が漏洩した。 (離脱率の増加)
13 リスクアセスメントと管理策の実装 やみくもに個別具体の脅威を列挙してもキリがない。 リスクを受容範囲まで効率よく下げるための管理策が知りたい。 経営指標 <-> セキュリティ指標 <-> 管理策 の上⼿な対応マップが必要。
to be continued ..
14 リスクアセスメントと管理策の実装 脅威列挙はキリがないし、資産価値の計算は経営指標から遠い。⼀体どうすれば... 『リスクアセスメントツールの根底思想』から引⽤