＼回答があります！／

• 

  Kosuke Takahara

  プロジェクトマネジメント

  1年前
  あくまで私見ですが回答いたします。
  

  ・PMF前のスタートアップでの主要なセキュリティリスクは何ですか？

  SaaSであればWEBセキュリティを破られること。
  また取引先や投資先、あるいはアルゴリズムなどの機密情報が漏れることです。
  

  ・限られたリソースで効果的なセキュリティ戦略を構築する方法はありますか？

  下記を参照願います。
  

  ・ユーザーデータの取り扱いに関する法的要件を満たすために何をすべきですか？

  特に個人情報保護法に焦点を当てて考えると、下記の対策が有効です。
  　・生のユーザーデータ (個人の特定が可能なレベル) に触れられる社内の人物を制限する
  　　→管理画面等であれば権限で絞る
  　　→生のDBであればユーザーデータを暗号化し、復号キーは限られた人物が管理する
  　・生のユーザーデータをテストデータに流用する場合は必ずマスキングする
  

  ・セキュリティ対策を実施するためのベストプラクティスやリソースは何ですか？

  ISMSへの準拠のほか、クラウドインフラストラクチャを使用している場合は各インフラの認定レビューを受けることも効果的です。例として、AWSであればファンデーショナルテクニカルレビュー(FTR)が挙げられます。
  参考：https://aws.amazon.com/jp/partners/foundational-technical-review/
  

  ・PMFを達成するためにセキュリティにどれだけのリソースを割り当てるべきですか？

  サービスによりけりですが、下記のような考え方が可能です。
  ・SQLインジェクションやsecure属性の無いcookieを使わないなど、WEBセキュリティの初歩を押さえる
  ・アクセスログを監視し悪意のあるアクセスに対し対処を行う
  ・情報漏洩のリスクをアセスメントし、適切な対策を行う　(社外から業務を行う際は必ずVPNを使用する、PCの画面に覗き見防止フィルターをかける、パスワード設定ポリシーを強力にする、など)
  view数 26
  • 1