停滞なきセキュリティ:スタートアップ企業のメンターを務めて学んだこと
私は常に新しく革新的な製品に情熱を注いできました。サイバーセキュリティでは、刻々と変化する脅威の状況に応じてほぼ無限の製品イノベーションが求められます。そのことが、私が過去5年間取り組んできたこの分野をエキサイティングなものにしてきました。脅威アクター自身が最強のイノベーターに数えられるとさえ言えるでしょう。何しろ、脅威アクターを阻む新ツールが開発されるたびに、その防御を搔い潜る新手口をすばやく開発するのですから。
旅行者を新たな目的地へ案内する会社のCISOだった私には、いくつかの革新的企業の発展の道のりを共に歩む機会がありました。私は、スタートアップ企業が製品や製品戦略を成熟させる手助けをすることに大きな喜びを感じています。実は、メンターを務めることは、自社を守る新しい方法を学ぶことにも役立っています。
別にメンターになろうと思ったわけはありませんが、KAYAKで重要なポジションにいたため、助言を求められることが多かったのです(このインタビューが掲載されたらもっと増えるかもしれませんね!)。CISOは、「こんなことをしている時間はない」という考えに陥りがちです。実際、誰にも余分な時間などないのですが、私がメンタリングに時間を割くのは、社会貢献になるし、サイバーセキュリティにおける継続的なイノベーションの推進に役立つと信じているからです。
サイバーセキュリティのエコシステム(そしてイノベーションのエコシステム全体)にとってスタートアップ企業が不可欠であることは周知の通りです。その成長はすべての企業にメリットがあり、新たな雇用の創出と経済成長を促進します。好循環が生まれるわけです。私はテクノロジーサービスの買い手として、優れたアイデアを持つサイバーセキュリティスタートアップが繁栄し、顧客を増やして、その顧客がそれぞれ製品の改良により多くを投資できるようになればいいなと思います。会社の採算がとれるのが早ければ早いほど、製品の改良も早くなります。(こうした緊迫感は、レガシーなテック企業には必ずしも見られません)。
個人的な要素もあります。情熱を持った若者や企業と仕事をして、彼らの成長を見るのが好きなんです。子育てに似てますね。私は、斬新なアイデアと製品改良方法の追求に情熱を注いでいるので、一日のうち多少時間を割いてでも、これらの企業の手助けをする価値があると考えたのです。
メンタリングの実際
大企業が悪いわけではありませんが、挑戦のリスクは中小企業に比べてはるかに高くなります。そのため、イノベーションが難しいのです。大企業は、次の新しいものを模索するよりも守りに入る傾向があります。あるいは、単に次のヒット製品を買い、買収によって拡大します。中小企業では、より多くのリスクを冒すことができ、官僚的な手続きが少ないため、イノベーションの機会が多くなります。
しかし、スタートアップ企業の挑戦は途方もなく厳しいものです。いいアイデアさえあればいいという安直な話ではないのです。大衆顧客ベースを獲得する市場を定める(あるいは確立された市場カテゴリーへ参入する)には、一顧客の一問題を解決するだけでは話になりません。スタートアップ企業はしばしば、アイデアを発展させて次のレベルに引き上げるのに苦労します。そこで、メンターの出番です。
私たちはたいてい時間に追われていますので、メンタリングの方法と対象に優先順位をつけなければなりません。メンタリングを始める前に、私は次の3つを自問します。
対象企業は、自分たちの製品が何をもたらすのか、その製品をどのように成長させていくのか、について明確なビジョンを持っているか?
対象企業は、そのビジョンの実現に向けた熱意を持っているか?
対象企業は、私が興味を持ち、ワクワクするような分野の企業か?
新しいスタートアップ企業には、規模を拡大し、いつか私たちの会社で使おうと思うような製品を生み出すチャンスがたくさんあります。例えば今、アイデンティティとアクセスの管理、Zero Trustネットワーキング、ネットワークのマイクロセグメンテーションに関するイノベーションが盛んに行われており、私はこれらの分野に該当するプロジェクトに個人的に関心を持っています。メンターシップが企業の運命を変えるのを見ると、特別な感慨があります。あるケースでは、個人請負業者をいかに安全にオンボードし、そのアイデンティティを保護するかという問題に取り組んでいたセキュリティ会社に関わりました。彼らの最初のビジョンに興味を引かれてアイデアを共有することから始め、3年間にわたり製品アイデアについて定期的にフィードバックを与え、計画の弱点を指摘したり代替案を提供したりしました。彼らの製品は、最終的にアイデンティティ脅威検知レスポンス(ITDR)へと進化しました。
どの段階でも、私は彼らが何を達成しようとしているのか、何を改善する必要があるのか(後に詳述するS/N比など)という要点に立ち入りました。もちろん、すべてを私の手柄にすることはできませんが、協働が実を結び、このスタートアップ企業はフォーチュン100の企業に買収されました。私は今でも時々アドバイスを提供しています。
こうしたメンティーとのやり取りは、自社でイノベーションを推進するための新たな視点を得るのに役立ちました。
メンタリングは、メンター個人の守備範囲とメンティーのニーズによって違ってきます。継続的なアドバイスが必要な企業もあれば、1、2回のミーティングで正しい軌道に乗る企業もあるでしょう。アイデアだけなのか、ソリューションのモックアップまで出来ているのか、それとも完成品があるのか、そのスタートアップ企業が進化のどの段階にあるかによって大いに異なります。いずれにせよ、メンターシップは関係者全員にとってメリットのあるものでなくてはなりません。
私が見てきたスタートアップの苦闘
会社がそれぞれ違うように、メンタリングも同じではありません。とはいえ、私がここ数年、サイバーセキュリティ会社に注力を推奨してきた重点分野はいくつかあります。
高S/N比 セキュリティツールの最大の問題のひとつが、ノイズの多さです。S/N比が高いため、ユーザーはすべての通知をフォローアップするのに人的資源を費やすことになり、アラート疲れを起こして重要なアラートを見逃す危険性があります。アラートを発することができるからといって、そうすべきとは限りません。そのアラートは効果的で価値がありますか?それとも、仕事を増やすだけですか?アラートが多すぎると聞き流される傾向があるため、これらは不可欠な質問です。また、アラートは量だけでなく質も重要です。分析に時間と労力がかからないように、重要な送信信号はシンプルにしたいものです。
実装の容易さ 多くの企業は、自社製品の実装をあまりにも難しくしています。誰もが実装には15分しかかかりませんと言うでしょうが、そうなったためしがありません。ユーザーがグラフィカルユーザーインターフェース(GUI)の前に何時間も座って製品の設定をすることを期待するという間違いを犯す企業が多いのです。そんな実装は非効率です。大規模に行うならなおさらです。企業は、セットアップだけでなく継続使用も考えて、APIと自動化の使用に重点を置くべきでしょう。
SOC2またはISO27001への準拠 実はコンプライアンスより技術的なことに興奮するというのは、私だけではないはずです。しかし、機密データを扱うクラウドベースの企業にとって、これらの基準のいずれかに準拠することは極めて重要です。コンプライアンスは、企業クライアントの信頼を得る唯一の方法であり、早い段階で取り上げる必要があります。
私はマーケターではありませんが、ターゲットの買い手にはよくなりますので、バリュープロポジションを明確にするようスタートアップ企業にはっぱをかけます。難しい課題かもしれませんが、彼らの論文が私の心に響けば、他のCISOの心にも響くと信じています。
与えた分だけ、見返りがある
メンタリングは一方通行の関係ではありません。もちろん指導はしますが、その過程で得るものもあります。セキュリティーに対する新しい視点に出会う時、そこには自社のプロセスを改善する潜在的機会もあるのです。
学ぶべきことは常にありますし、最高のアイデアは新しい会話から生まれます。例えば、ITDR会社を指導する中で、私のIAMセッションの長さが思っていたものと違うことがわかり、修正できました。
私は情報中毒なんです。自分と同じ話題で盛り上がる人たちと話すことで得られる知的刺激は、活力を与えてくれます。そのために私は朝起きて、他のリーダーたちが前進する手助けを楽しんでいるのです。誰かの成功の一端を担えるという誇りもあります。
創業者が創造し、革新するのは、それが好きだからです。しかし、会社経営は自転車に乗るような簡単なことではなく、依然として多くのスタートアップ企業が失敗しています。メンタリングは、そうした企業を後押しし、頑張れば自分たちのアイデアを形にして世に送り出せるチャンスを与えることです。
利益相反の回避
KAYAKでは、コンプライアンスと倫理を推進する強力なプログラムを実施しています。KAYAKに適すると考える製品のベンダーとメンター・メンティー関係になれば、利益相反を引き起こすリスクがあります。私自身は、KAYAKが義務付ける利益相反開示宣言書を提出し、製品が当社に合うかどうかの最終判断をチームに任せることで、このリスクを軽減してきました。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
著者
Tom Parker氏
IT担当副社長兼CISO、KAYAK
記事の要点
この記事では、以下のことがわかるようになります。
メンターシップは社会貢献であり、サイバーセキュリティにおける継続的なイノベーションの推進に役立つ
スタートアップ企業はアイデアを発展させるのに苦労することが多く、そこがメンターの出番となる
メンターシップは、メンターに自組織のプロセスを改善する機会を提供する
関連リソース: