Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
セキュリティベンチャーのリスク管理
Search
Ren Kimura
September 21, 2024
Business
0
140
セキュリティベンチャーのリスク管理
OWASP Kansai DAY
[email protected]
Ren Kimura
September 21, 2024
Tweet
Share
More Decks by Ren Kimura
See All by Ren Kimura
脅威解析概論
rkx1209
0
88
Ideas for defeating Anti-Deep-Fakes
rkx1209
0
87
ファジング+トリアージ技術を用いた脆弱性解析自動化
rkx1209
0
120
Introduction to Fuzzing
rkx1209
6
4.3k
ARM TrustZone エクスプロイト入門
rkx1209
7
8.4k
The Game is Over. Nintendo switch has been totally compromised
rkx1209
9
5.2k
インサイドNintendo Switch
rkx1209
18
13k
More efficient remote debugging with Thin Hypervisor
rkx1209
3
2.6k
Reverse Debugging with radare2
rkx1209
6
2k
Other Decks in Business
See All in Business
フルカイテン株式会社 採用資料
fullkaiten
0
80k
jinjer recruiting pitch
jinjer_official
0
130k
Connected Robotics
cr
1
55k
Outputをもう一歩先へ 〜あなたの現在地に合わせた、量や質など「もう一歩先の」Output〜
amixedcolor
3
300
三井物産グループのデジタル証券〜千代田区・レジデンス〜徹底解説セミナー
c0rp_mdm
PRO
1
2k
【新卒採用資料】Natee Company Deck _202601
nateehr
0
1.6k
株式会社TENET 会社紹介資料
tenetinc
1
22k
Bakuraku Product Manager Team Deck
layerx
PRO
4
2.5k
株式会社ステラセキュリティ会社紹介資料/sterrasec-introduction
sterrasec
0
960
変化を抱擁するシステムの作り方〜「人が増えても速くならない」より
kuranuki
8
3.1k
Chatwork×BPaaS×AIエージェントで創る 次世代コーディネート基盤
kubell_hr
0
3.2k
数字で見る松岡会計事務所
wf714201
0
390
Featured
See All Featured
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
twada
PRO
115
100k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
133
19k
How To Stay Up To Date on Web Technology
chriscoyier
791
250k
Organizational Design Perspectives: An Ontology of Organizational Design Elements
kimpetersen
PRO
1
57
Unlocking the hidden potential of vector embeddings in international SEO
frankvandijk
0
140
How to Think Like a Performance Engineer
csswizardry
28
2.4k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
47
7.9k
Self-Hosted WebAssembly Runtime for Runtime-Neutral Checkpoint/Restore in Edge–Cloud Continuum
chikuwait
0
280
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
49
3.3k
A Tale of Four Properties
chriscoyier
162
24k
How Software Deployment tools have changed in the past 20 years
geshan
0
31k
Kristin Tynski - Automating Marketing Tasks With AI
techseoconnect
PRO
0
120
Transcript
セキュリティベンチャーのリスク管理 基本理念編 OWASP Kansai DAY
[email protected]
株式会社リチェルカセキュリティ CEO ⽊村 廉
(@RKX1209) 1
2 ⾃⼰紹介 株式会社リチェルカセキュリティ 創業者&CEO ⽊村 廉 (X: @RKX1209) 興味: 新規事業開発、ファイナンス、法規、
リスク管理、Red Team、システムソフトウェア 経歴: https://rkx1209.github.io/about/
3 発表概要 発表内容は私個⼈の視点での分析結果であり、 弊社の企業活動と100%リンクしているわけではありません。 セキュリティベンチャーの経営者が、 ⾃組織のリスク管理をどのように⾏うのか、ケーススタディとして共有。 注意事項: リスク管理の考え⽅や⼿法は企業ごとに千差万別です。 この考え⽅が同業他社において必ず正しいとは限りません。
4 このテーマを選んだ動機 ベンチャー企業ならではの特異さ セキュリティ企業ならではの特異さ※ ⼤企業と違ってリスク分散ができないため、リスクの優先度付けを 誤るとあっという間に事業継続が不能になる。 お客様が実施しているセキュリティ管理策が⾒える。 これが攻撃者やIAブローカーに漏洩すると多⼤なリスク。(例: SOC) 0→1の新しい価値創出を⾏うため、短期間でゴールが変わり、せっかく
作ったセキュリティ要件が⼤幅に変化する。 ←本発表ではこちらを主に扱う ←機会があればどこか次回作で お客様の環境に対して⾼い権限を付与されている。(例: 侵⼊前提のPT) ※ EUでは既に重要インフラ(NIS2)にMSSPが指定されています。
5 企業ペルソナ設定 財務: 既にいくつかの事業で単年度黒字を達成済み。 売上⾼ 4億円 (FCF 0.5億円) 企業の存続に関わるようなリスクに焦点を絞ることで、 なるべく成⻑スピードを落とさないような戦略指標とマップを定義する。
⼈数: 10〜40名程度 新しい事業を開発したり、既存の事業を伸ばして市場シェアを伸ばしたい 「成⻑前期」のベンチャー企業
6 使えそうな経営指標はあるか? 財務諸表(P/L, B/S) + 財務健全性指標 → リスク値が短期間で変動する環境には不適 管理会計 +
逆ツリー展開 投資した資本に対して 効率良く売上をあげるための指標と、 売上⾼に対して 効率良く利益をあげるための指標を 分析する。 → 財務に紐づく指標しか扱えない。 お客様の⼼理に起因するマーケティング指標や、 SLAなどの法務的な指標が扱えない。 『ROIC経営』より
7 使えそうな経営指標はあるか? バランストスコアカード(BSC) 4つの視点(財務‧顧客‧業務プロセス‧学習)で戦略指標と対応する 施策を組み⽴てたもの → 戦略の異なる事業を同じ視点に まとめてしまっている。 作成者の経営戦略への理解度に 依存してしまう。
『CISOの役割や仕事とは?--JNSAが公開したハンドブックの中⾝』 より
8 経営指標の設定※1 「市場への受け⼊れられ度合い」でフェーズを分ける 仮説検証フェーズ: お客様の課題とソリューションのペアが定まること (PSF※2)が⽬標 成⻑フェーズ: ソリューションが達成可能な最⼤市場シェアを取ること (PMF※3)が⽬標 フェーズごとに、⽬標達成に必要な業務要素と指標を構築
以降4枚のスライドで図時 ※1 『RUNNING LEAN』と『The Model』を元に作成 ※2 Problem Solution Fitの略。 ※3 Product Market Fitの略。
9 ヒアリングの実施。 課題の精緻化。 市場仮説の検証。 既存ソリューション がお客様の課題を解 決できない要因を特 定。 改善⽅法を検証。 事業設計
課題発⾒ ソリューション設計 試作品フィードバック 既存の 代替品 収益構造 顧客 課題 独⾃の 価値 フィードバックを元に 設計した事業モデルを修正 仮説検証フェーズ (PSF前) 戦略的指標 事業現在価値 (NPV): 事業が将来⽣む総利益額
10 本製品 新規‧継続契約 カスタマーサクセス リード獲得 有望リード育成 成⻑フェーズ (PMF前) 収益‧定着型成⻑ループ 戦略的指標
顧客ライフタイムバリュー (LTV): お客さまから発⽣する収益合計 顧客獲得コスト(CAC): お客さまを⼀⼈獲得するのにかかるコスト 事業で得られた価値を 新しいお客様(リード)の 獲得に再投資する
11 本製品 新規‧継続契約 カスタマーサクセス リード獲得 有望リード育成 事業の仕組みの中に 他のお客様を呼び込む。 (例: 紹介クーポン機能)
成⻑フェーズ (PMF前) バイラル型成⻑ループ 戦略的指標 バイラル係数 (K): 既存のお客さまが新規お客さまを紹介する平均⼈数倍率 バイラルサイクルタイム: 既存のお客さまが新規お客さまを紹介するまでの平均時間
12 リスクアセスメントと管理策の実装 収益‧定着型成⻑ループに対する脅威例 コストをかけてようやく取り付けた商談が、「先⽅の求める認証」を取得し ていなかったせいでなくなった (CAC < LTV) バイラル型成⻑ループに対する脅威例 求める要件に合わない製品を他のお客様に紹介してしまい、ハレーションが
蔓延した 製品の脆弱性をつかれてお客様の情報が漏洩した。 (離脱率の増加)
13 リスクアセスメントと管理策の実装 やみくもに個別具体の脅威を列挙してもキリがない。 リスクを受容範囲まで効率よく下げるための管理策が知りたい。 経営指標 <-> セキュリティ指標 <-> 管理策 の上⼿な対応マップが必要。
to be continued ..
14 リスクアセスメントと管理策の実装 脅威列挙はキリがないし、資産価値の計算は経営指標から遠い。⼀体どうすれば... 『リスクアセスメントツールの根底思想』から引⽤
rkx1209
fullkaiten
jinjer_official
cr
amixedcolor
c0rp_mdm
nateehr
tenetinc
layerx
sterrasec
kuranuki
kubell_hr
wf714201
twada
morganepeng
chriscoyier
kimpetersen
frankvandijk
csswizardry
eileencodes
chikuwait
tammyeverts
geshan
techseoconnect
![セキュリティベンチャーのリスク管理 基本理念編 OWASP Kansai DAY [email protected] 株式会社リチェルカセキュリティ CEO ⽊村 廉](https://files.speakerdeck.com/presentations/37f9963338a84142b76219e10b8316bb/slide_0.jpg){kind=link}
