サイバー攻撃は、どのような企業であれ脅威にはかわりありません。大企業ならば、洗練されたセキュリティポリシーを構築し、データと同様に自社のインフラをよりセキュアにするために、最先端の技術を投入することも可能でしょう。しかし、中小企業およびスタートアップ(企業)は、違います。オープンで、ダイナミックかつスピード感をもったこれらの企業は、とかく従業員のシステムへの「出入り」が多く、データ流出の危険性が高いといえます。顧客が増えれば増えるほど、データは外部世界にさらされる危険性が増大します。ビジネスの伸張に伴い、クリティカルなデータ量も増加、結果的にサイバー脅威も加速度的に増加する傾向にあります。

リスクの発生原因

セキュリティ対策の欠如と小さい予算

大企業と違って、スタートアップはとかく様々なビジネスファンクションに対して、小さい予算しかかけない傾向にあります。スタートアップは、必要経費をカバーする最低限度の資本金しかもっていません。したがって、サイバーセキュリティ対策は、彼らにとって最優先事項ではなく、予算の割り振りも十分とはいえません。さらに、彼らは、まだ自社が小規模なので、サイバー攻撃の対象にはならないと考えています。これは、誤解といえます。彼らの知的財産はハッカーの攻撃対象になりえますし、加速度的に大きくなるビジネスのことを鑑みれば、流出リスクも加速度的に増大するといえます。この期間のセキュリティ上の事故で、自身の成長戦略に終止符を打つ(=倒産)公算は高いといえます。

人的資源

スタートアップの人材は、まずまず若いといえるでしょう。かれらは、ポリシーとかプロセスとかに締め付けられることを嫌うクリエイティブな集団です。それゆえか、スタートアップの多くは、インターネット、SNS、ウェブメール、その他の(怪しい)ウェブサイトに対しても寛容なスタンスを取ります。なぜなら、かれらは、コストを抑える、自宅でも仕事ができるようにとかを理由にして、従業員に自分のデバイスを使うことを奨励しています。こういった理由で、故意、過失を問わず、データ流出の危険性は増加するのです。

競合

スタートアップの世界は、競争原理で動いています。多くのスタートアップが同じ市場、同じようなスキル、そして多くの場合、同じ投資家からの投資のもとで、しのぎを削っています。そのような状況のなかで、悪意ある競合者が、あなたの会社を窮地に立たせるような標的型攻撃を仕掛けてくることもありえます。スタートアップは、これらの脅威から自らを守ることも必要となってきます。

データ流出のインパクト

ブランドの評判

データ流出という汚点は、いつまでも顧客のこころにとどまるものです。大企業、中小企業を問わず、企業がデータ流出を引き起こしたという悪い評判は、消し去ることはできません。昔からの顧客は逃げ出すかもしれないし、新規顧客でも取引をこのまま継続するか、今後は全く取引しない、ということもありえます。大企業で優良企業ならば、自社のリソースを最大限に使って、そのような流出事故から這い上がることも可能かもしれません。しかし、スタートアップにとっては、致命的な事態です。限られたリソースのなかで、ブランドの再構築は、評判がみるみる下がっていくことを食い止める、大変な作業を伴うものになります。

顧客の信用とロイヤリティ

スタートアップは、顧客数増を目指してハードワークもいとわず働き、顧客の信用とロイヤリティを維持するために、ビジネス上の競合優位、そして成功を維持していくことをモットーとしています。クライントと機密情報を共有する場合、普通彼らはデータの安全性を担保してくれる企業と取引します。ハッカーへの顧客データの流出は、信用の崩壊ともいえます。これは、相手企業のロイヤリティを低下させ、その後その取引先は、他の信用のおける企業に鞍替えするかもしれません。このことは単に売り上げの減少を意味するだけではなく、クロスセル、アップセルなど商機すらも喪失するかもしれません。

法的コスト

データ流出事故は、法的な側面も持っています。データを流出された顧客は、スタートアップを訴えるかもしれません。事故を鎮静化させる総コストは、会社をたたむだけのコストに達するかもしれません。起業家は、もう二度とベンチャー企業を立ち上げることはできないかもしれないし、起業家自身にも相当な向かい風が吹きつけるかもしれません。

スタートアップは限られたリソースしかもっていないことも事実ですが、自社のシステムのセキュリティを無視することは、最大のミステイクと理解する必要があります。スタートアップはハッカーが闇市場で売り飛ばしたい知的財産と顧客データを持っています。たった一度の攻撃で、ビジネスをたたんで市場から退場しつつ、複数の訴訟に対処しなければならないかもしれません。つまり、スタートアップといえども、Seqriteエンドポイントセキュリティのような簡単に実装ができるセキュリティソリューションを導入し、セキュリティ戦略とプランを実行することが肝要です。