元CISOたちがセキュリティ企業の創業に成功した経験を語る。CSOはPaul Hadjy、Joe Silva、Chris Pierson、Michael Coatesに話を聞いた。
ほぼどこでも、CISOであることは限られた予算、競合する優先事項、問題に完全に合致しないツール、そして無数の制約に対処することを意味します。多くのセキュリティリーダーは適応し、その枠内でできる限り組織を守ろうとします。しかし一部の人々にとって、適応や現状でやりくりするだけでは十分ではありません。制約は単なる障害ではなく、新しいものを創造する機会なのです。
この転身への動機は様々です。長年戦ってきたセキュリティギャップを埋めたい人もいれば、企業の惰性から抜け出したい、セキュリティがビジネス価値を生み出せることを証明したいという人もいます。彼らに共通するのは、ただ守るだけでなく「創造したい」という思いです。Paul Hadjy、Joe Silva、Chris Pierson、Michael Coatesは、その転身を果たした4人のセキュリティリーダーです。彼らが築いたものと、その過程で学んだことを紹介します。
Paul Hadjy
Paul Hadjy:創業者の混沌は価値があった
2016年、Paul Hadjyがアジアでシニアセキュリティリーダーとして働いていたとき、クラウドセキュリティに注力するベンダーがほとんどいないことに気付きました。米国の初期と同じように、政府や企業はクラウド導入に慎重でした。「数年間アジアで働いた後、多くの企業と同様に、パブリッククラウドのセキュリティニーズに対応できるベンダーやソリューションを見つけるのに苦労している会社に入社しました」と彼は振り返ります。「この分野に注力する製品やサービスプロバイダーは非常に少なく、この問題解決に特化した会社を作る大きなチャンスだと感じました」と、かつてシンガポールのGrab、Palantir Technologies、Arete Associatesでセキュリティ職を務めたHadjyは語ります。
その機会がHorangiというクラウドセキュリティ企業となり、HadjyがCISOとして抱えていた不満を解消するために創業しました。「シニアセキュリティリーダーとして、喫緊の課題に取り組むために必要なリソースや経営層の支援を確保するのはしばしば困難でした」と彼は言います。「自分の会社を始めたとき、セキュリティが後回しにされることが決してないようにしたかったのです。」
Hadjyは最初からHorangiの文化の中核にセキュリティを据えました。全員が責任を分担し、誰もが潜在的な標的として扱われました。彼が強調したのは、セキュリティは単なる防御ではなく、顧客の信頼構築でもあるということです。「多くの企業では、セキュリティは依然として営業の推進力とは見なされていませんでした。それが私の絶え間ない不満でした」とHadjyは言います。Horangiではその考え方を逆転させ、可視的で堅牢なセキュリティ実践が収益を生み出す信頼につながるという信念に基づいてビジネスを展開しました。「強力なセキュリティ実践を示すことで信頼が生まれることを、特にエンタープライズ顧客に対して早い段階で認識しました。会社と顧客のデータを守ることで自信が生まれ、最終的には競争優位性となります。」
CISOがクラウドセキュリティビジネスを築いて学んだ教訓
CISOから創業者への転身には新たなマインドセットが必要でした。最も難しかったのは技術や市場ではなく、徹底した優先順位付けでした。限られたリソースの中で常にトレードオフを迫られ、Horangiはしばしば独自の方法でそれを乗り越えなければなりませんでした。2016年当時、SaaSはまだ発展途上で、同社は自社プラットフォームやカスタムプロセスに頼り、エンジニアリングやサービスチームが自ら環境のセキュリティを構築しました。「この経験は、ゼロから構築する際の適応力とイノベーションの重要性を再認識させてくれました。」
起業家として、状況が厳しく見える瞬間もあったとHadjyは認めます。Horangiは何度も資金が底をつきかけ、残り数カ月の運転資金しかないこともありました。そうした経験は、痛みを伴うコスト削減や、プレッシャーの中での資金調達を余儀なくされました。「レジリエンスと、学びを通じて痛みに耐える力を養うことが、最終的に前進させてくれました」と彼は言います。「そうした瞬間は私たちを試しましたが、同時にプレッシャー下で規律と集中力を保つ方法も教えてくれました。」
2023年にBitdefenderがHorangiを買収したことで、その信念が証明されました。HadjyはBitdefenderに「セキュリティ第一」の文化を見出し、セキュリティによって築かれる信頼がビジネスの差別化要因になり得るという自身の考えが裏付けられたと感じました。
振り返ると、スタートアップ立ち上げ初期の混沌はストレスが大きく孤独でもありましたが、同時に非常にやりがいがあったとHadjyは認めます。それでも時には、CISOでいる方が創業者よりもさらに困難に感じたこともあったと言います。「誰もが意見を持っています…プロジェクトレベルでは正しいかもしれませんが、会社全体の視点を持っているわけではないのが難しいところです」と彼は言います。創業者としての道のりは、相反する意見を調整し、難しい決断を下し、大局に集中する力を教えてくれました。「この道のりは困難に満ちていましたが、かけがえのない教訓と素晴らしい人々と働く機会を与えてくれました」とHadjyは言います。「決して楽ではありませんでしたが、この経験は自分を大きく変えてくれましたし、私にとって創業者としての混沌は間違いなく価値がありました。」
Joe Silva
Joe Silva:グラウンドホッグデーのサイクルを断ち切る
Joe Silvaがサイバー防御から企業創業へ転身する決断をしたのは、特定の出来事がきっかけではありませんでした。むしろ、さまざまな組織でCISOとして働く中で、同じ問題や課題に何度も直面し続けた経験からでした。組織ごとに、経営陣が望む脆弱性対策と、それを実現するために支払う意思のあるコストとの間に常にギャップがありました。
「特定の事件があったわけではありません」とSilvaは脆弱性管理企業Spektionを立ち上げた決断について振り返ります。「ただ、“グラウンドホッグデー”のような感覚がきっかけでした。」リスク対策とコストのバランスを延々と取り続けるという既視感が、新たな道を模索するきっかけになったと、かつてJLLやTransunionのCISOを務めたSilvaは語ります。
SilvaがCISOとして感じた不満は、単なる哲学的なものではなく構造的なものでした。多くの場合、CISOは脆弱性管理を技術部門の同僚に押し付けざるを得ませんでした。なぜなら、リスクを直接管理するためのツールが手元になかったからです。
2024年に立ち上げたSpektionは、特にサードパーティやソフトウェアサプライチェーンのコンポーネントにおけるソフトウェアリスクの発見と優先順位付けを支援する、クラウドベースのランタイム脆弱性管理プラットフォームを提供しています。「Spektionが脆弱性リスクをより積極的に管理する方法に注力したのは、私自身の経験、特にサードパーティソフトウェア関連の侵害や、セキュリティリーダーにより多くの裁量を与える必要性から影響を受けています」とSilvaは語ります。「脆弱性リスク管理を政治的な課題ではなく、エンジニアリングの課題に変えるチャンスだと考えました。」
Silvaは、この市場セグメントが「レガシー」や「地味」と見なされることもあると認めています。スタートアップは派手で未来志向の課題を追いがちで、セキュリティリーダーやチームが日々格闘しているソフトウェア脆弱性管理のような現実的な課題は無視されがちだと彼は言います。
Silvaは、Spektionの文化と運営の中核にアカウンタビリティ(説明責任)があることを最初から徹底しました。初期の従業員の多くはエンタープライズセキュリティのバックグラウンドを持ち、明確な責任がないことが組織のサイバーセキュリティ目標達成を妨げることを身をもって知っていました。「リーダーとして、あなたの行動一つ一つが文化を形作ります。それを意識しながらも、わざとらしく振る舞わないことが大切です。」
アカウンタビリティと並んで、SilvaはCISO時代から守ってきたもう一つの原則をSpektionに根付かせました。「少しずつ良くなっているだけなら、負けているのです。サイバー脅威に対して追いつくことすらできませんし、ましてやリードすることはできません」と彼は言います。「毎日少しずつ進歩していることに満足してしまうと、全体としては遅れを取ってしまうのです。」
起業の自由
組織を守る側から、組織を作る側へ移るには、全く異なるマインドセットが求められました。「既存の会社に入れば、そこには既に文化があります」と彼は説明します。「でも会社を始めるときは、既存の文化に飛び込むわけではなく、ゼロから文化を生み出さなければなりません。」すべての決断、採用、行動が文化を形作るのです。
会社を創業することで、思いがけない自由も得られました。中でも大きかったのは、自己検閲や「壊してしまうかも」という心配をせずに物事を進められることだと彼は指摘します。「新たに会社を始めるときは、ただやればいいんだと常に自分に言い聞かせる必要があります…それは本当に解放感があります。」
Silvaは、いつかまたCISOに戻る可能性を完全には否定していません。しかし今は新しい役割を存分に楽しんでいます。「創業者兼CEOでいることは決して簡単ではありませんが、これまでで最高の仕事です」とSilvaは言います。「毎日攻めの姿勢で計画し、構築し、ソリューションを提供しています。今はもう守りに戻ることは想像できません。」
Chris Pierson
Chris Pierson:ファイアウォールを越えてデジタルライフを守る
Chris Piersonが2018年にBlackCloakを立ち上げた目的は、企業が投資する保護と、経営幹部の私生活にほとんどセキュリティがないというギャップを埋めることでした。攻撃者はもはや企業のファイアウォールで止まらず、価値の高い経営幹部や取締役、ベンチャーキャピタリストの私生活を狙うようになっていました。動機は金銭窃盗、風評被害、知的財産の窃取、しばしば家庭のデバイスやネットワークを踏み台にして企業環境に侵入することなど様々でした。
「BlackCloakを始める10年以上前から、サイバー犯罪者や国家が価値の高いターゲットの私生活を攻撃するのを見てきました」と、元Royal Bank of Scotlandのチーフプライバシーオフィサーで2度のフィンテックCISO経験者であるPiersonは言います。敵対者は、厳重に守られた企業ネットワークへの侵入よりも、保護が手薄な経営幹部の家庭環境を狙う方がはるかに容易だと認識していました。しかし脅威は明白であっても、それに対処するツールは断片的でした。VPNやID盗難監視サービスなどが点在するだけで、「これらの脅威アクターと正面から戦うためのものは何もなかった」とPiersonは振り返ります。
この気付きが、経営幹部とその家族向けにデジタルエグゼクティブプロテクションサービスを提供するBlackCloakの原動力となりました。同社のサービスには、オンラインプライバシー保護、個人デバイスのセキュリティ、家庭内ネットワークのセキュリティ、サイバー攻撃やID盗難、金融詐欺などの脅威に迅速に対応するインシデントレスポンスが含まれます。
PiersonがBlackCloakを築く上で活かしたのは、決して一直線ではないキャリアでした。「これまでプログラマーからサイバーセキュリティ・プライバシー法の専門家、チーフプライバシーオフィサー、法務責任者、CISOなど様々な役割を経験してきました」と彼は言います。「その過程で、“善人が悪人や国家、サイバー犯罪者に勝つ手助けをする”というテーマを持つようになりました。」データ侵害対応やプライバシー管理フレームワーク、マネーロンダリング対策、ID盗難レッドフラグルール、サイバーセキュリティプログラムの実施など、すべてに共通していたのは「被害防止」というテーマでした。これら多様な経験の組み合わせを、BlackCloakのチーム作りやリーダーシップに活かしました。
PiersonがBlackCloakの文化に根付かせている原則の一つは、ビジネスに合ったプログラム設計です。もう一つは、プライバシーとセキュリティは切り離せないという認識です。BlackCloakではプライバシーが非常に重要視されており、9人の経営陣のうち3人がIAPP認定を持ち、そのうち何人かは20年近く認定を維持しています。「プライバシーは私たちの中核です」とPiersonは言います。「プライバシーを大切にしている、あるいは中核的価値観だと言うのと、常にそれを北極星としてきたことを示すのは全く別物です。」
彼が学び、楽しんだこと
CISOからCEOへの転身には調整が必要でした。セキュリティやプライバシーのリーダーとして、Piersonは日々のコラボレーションや課題解決を楽しんでいました。「製品やエンジニアリングなどの意見を取り入れて正しいコントロールを構築することに没頭できるのは非常にやりがいがありました」と彼は言います。「私たちが何をしているのか、なぜやるのかを過剰なくらい伝え、事前にコミュニケーションラインを整備できるのが本当に好きでした。」自分が主導したプロジェクトが保証やデューデリジェンス審査を難なく通過するのを見るのは、努力が報われた証で特に嬉しかったと言います。
今はそのような機会は減りました。かつて同僚と参加していた小規模で招待制のイベントには出られなくなり、プログラム構築も以前ほど手を動かすことはありません。「サイバーセキュリティ企業のCEOとして、時にはそうした大規模プロジェクトやプログラム作りが恋しくなることもあります」と彼は言います。今の彼の焦点は「自分とチームがやっていることにCISOの声を反映し続けること」です。
Michael Coates
Michael Coates:Twitter CISOからベンチャーキャピタリストへ
2014年から2018年までTwitterのチーフインフォメーションセキュリティオフィサーを務めた4年間、Michael Coatesはサンフランシスコのスタートアップエコシステムに深く関わりました。その役割は、急速に進化するセキュリティの現場を最前線で体験し、現代テクノロジーの可能性と脆弱性の両方を目の当たりにするものでした。この視点が、最終的に自分自身で何かを築きたいという思いを呼び起こしました。
Coatesが注目したテクノロジー分野は、差し迫ったギャップに対応するものでした。当時、企業はGoogle DriveやBoxなどのクラウドコラボレーションプラットフォームを急速に導入していましたが、意図しないデータ漏洩のリスクを考慮していませんでした。企業は従業員が何を誰と共有しているのか、機密文書が誤って権限のないユーザーに公開されていないか、ほとんど把握できていませんでした。Twitterでの立場から、Coatesは企業がファイル共有の活動を監視し、適切なアクセス制御を実施し、機密データが誤って公開されたときに検知する有効な手段を持っていないことに気付きました。企業に必要だったのは、ドキュメント共有、セキュリティ権限、機密データの露出をリアルタイムで可視化するプラットフォームだったのです。
2018年、CoatesはTwitterを離れ、Altitude Networksを立ち上げました。同社はクラウドコラボレーションツールのAPIに直接接続し、すべてのドキュメント、共有権限、セキュリティコントロールをリアルタイムでスキャン・分析するプラットフォームを構築しました。この技術は、機密データが不適切に共有されたときに即座に警告し、重大なセキュリティ問題が侵害に発展する前に表面化させることができました。これは後にクラウドセキュリティポスチャーマネジメント(CSPM)市場の始まりとなりました。「市場にギャップがあり、今こそ解決すべき問題だと確信していました」とCoatesはクラウドセキュリティに注力した決断について語ります。
その直感は正しかったことが証明されました。初期から急速に顧客を獲得し、民主党全国委員会(DNC)が顧客となり、続いて大手映画スタジオ、暗号資産企業、医療機関も導入しました。これらの初期の成功は、Altitudeの技術がCISOにとって重要な課題を解決していることを裏付けました。「私たちが作ったものは“あれば良い”機能ではありませんでした」とCoatesは述べます。「CISOが注目すべき重大リスクと後回しにできるものを区別する手助けとなりました。」
CISOからCEO、そして新規事業への転身の課題
CISOからスタートアップCEOへの転身は新たな課題をもたらしました。「CISOの焦点は包括的なカバレッジです。しかし創業者になると、常にトレードオフに直面します――一つの分野を深掘りするか、より広くカバーするか?」とCoatesは語ります。たとえば初期には、どのクラウドコラボレーションプラットフォームを最初にサポートするかという根本的な決断にチームで悩みました。最も馴染みのあるプラットフォームから始めるべきか、それとも最大のユーザーベースを持つものから始めるべきか。より早い導入は魅力的でしたが、本当の優先事項は、長期的に成長できるスケーラブルで堅牢なソリューションを構築することでした。
CoatesのCISOとしてのバックグラウンドは、セキュリティへのアプローチだけでなく、Altitudeで築いた文化にも影響を与えました。「CISOであることで、私たちは大げさにならず、誇張しがちでもありませんでした」と彼は振り返ります。「私たちの文化は誇張ではなく、真実に根ざしていました。」同社は創業当初からSOC 2準拠で、開発者はすぐにセキュアコーディング研修を受け、アーキテクチャも最初からユーザーを念頭に設計されていました。
2022年、AltitudeはCoinListに買収されました。Coatesは移行期間中も在籍し、その後SevenHill Venturesというベンチャーファンドを立ち上げました。これは創業者とCISOの両方の経験から得た知見を基にしたファンドです。このファンドは、起業家がベンチャー支援企業を築く際の課題を乗り越える手助けをし、実践的なガイダンスや運用サポートを提供しています。最初のファンドは、投資家に対して投資額の2.5倍を返しました。
起業家としての感情的な現実を振り返り、Coatesは率直に語ります。「ある日はすべてが素晴らしく、世界の頂点にいる気分です。翌日にはそうではなくなり、実際には何も変わっていないのに。」創業者の現実は、午前4時に目覚めて給与や法的問題、あらゆる問題解決を自分が担うことに悩むことだと、彼は苦笑いしながら言います。CISOで起業を考えている人は、今の立場を活かして準備し、同業者との関係を再構築し、潜在的な顧客や投資家と早めに話をしておくと良いでしょう。
「自分のバックグラウンドは強みになりますが、スタートアップの世界は全く別物です。知っていることを活かしつつ、新たな関係を素早く築かなければなりません」とCoatesは言います。しかし最終的には、その努力は報われます。「イノベーションは混沌として不完全ですが、不可能を可能にするのは大胆に飛躍する人々の心なのです。」
