「わが社のCEO(最高経営責任者)のセキュリティ意識が低いが、どう解決していけばいいか」
「今の時代、それはあり得ない。そのような会社は、IPO(新規株式公開)してはいけない。目先の業績だけでなく、セキュリティにも投資するように、ベンチャー・キャピタリストをはじめ周囲が教育すべきだ」
こんなやりとりが行われたのは、2016年9月1日にアマゾン ウェブ サービス ジャパンが、ベンチャー企業を対象に開催した「AWS Startup Security Talks」だ(写真1)。ベンチャー企業に限らず、情報システムのセキュリティに関して「どれくらいのコストや労力をかけるべきか」は悩ましい問題である。今回のイベントは、そんな悩みを抱えるベンチャー担当者が、先駆者や専門家から考え方や対処方法を得る場所として企画されたものだ。
今回のイベントには、ベンチャー企業においてIPOやデュー・デリジェンス(資産価値評価)を経験したCTO(最高技術責任者)と、数多くの投資やM&A経験のある大企業担当者がゲストとして登壇、それぞれの立場から「ベンチャー企業に求められるセキュリティ」について語った。
ベンチャー企業側の立場で登壇したのが、弁護士ドットコムCTOの市橋立氏。弁護士ドットコムは、2014年に上場を果たしている。
市橋氏は、過去の上場プロセスを振り返り、「どれくらい前から上場準備をしていたのか」「上場審査において、セキュリティに関する質問とはどのようなものか」「上場だけを考えてセキュリティ対策すべきか」など、当事者としての体験や見解を述べた。また、システムセキュリティやパソコン環境やオフィス環境の整備、サービスや費用について同社の取組状況を紹介、「他社を真似るのではなく、自社のリスクを踏まえた対策が大事だ」とした。よく聞く事例として、企業の活気が、上場準備のために失われることがあるという。
ベンチャー企業としては、ナビプラスCTOの梅染充男氏も続いて登壇した。ナビプラスは、合併や買収の経験が複数あり、デュー・デリジェンスを自ら行ったほかに、逆にデュー・デリジェンスを受けたこともある。
梅染氏は、企業買収や合併、事業譲渡の当事者としての経験談を共有した。具体的には、想定損失金額の算出方法、評価時に重視するポイントなどが紹介された。同氏は、一般的に言われていることが自らのケースに当てはまらないことも多いと言い、できるだけ自社の事情に沿って考えるべきとした。
買収側の専門家として登壇したのが、KDDI理事で、経営戦略本部 副本部長兼グループマネジメント推進室長を務める松野茂樹氏。KDDIは、グリーをはじめ数多くの出資や買収の実績がある。
出資や買収案件を手がけた松野氏は、大企業における買収プロセスの考え方、セキュリティ評価におけるチェックポイント、大企業ならではのセキュリティ・インシデントの深刻さなどを伝えた。
主催者のAWS Security Solutions Architectの桐山隼人氏からは、事業立ち上げ期から事業拡大時まで、事業ステージごとにAWSが用意しているセキュリティ・ソリューションが紹介された。
