DNX Ventures（以下、DNX）は、SecureNavi株式会社（以下、SecureNavi）の総額約4.6億円のシリーズAラウンドで、新規投資させていただきました。SecureNaviは、「悲報をなくす」というビジョンの達成を目指し、情報セキュリティ認証や規制、ガイドラインへの準拠、社内の情報セキュリティ規程の整備・運用、監査や審査への対応などといった、いわゆる「文系のセキュリティ」分野でサービス提供を行っています。

本稿では、DNX VenturesがSecureNaviに投資した背景をご紹介したいと思います。

情報セキュリティマネジメントシステムとは？

これまでに発生した企業の情報漏えいやサイバー攻撃の記事やニュースを挙げれば、枚挙に暇がありません。このような情報セキュリティリスクに対する企業の技術的な防御として、ウイルス対策、ファイヤーウォール、暗号化、アクセス権限管理などが想像されますが、これらを『理系のセキュリティ』と呼ぶことにします。

他方、企業は情報資産を組織的に適切に保護する必要があり、組織として情報セキュリティを確保、維持するための体系的なアプローチを、情報セキュリティマネジメントシステム（ISMS, Information Security Management System）と言います。身近な例では、コロナ禍において、皆さんの会社でリモートワークを前提とした新たなデバイス管理規程やルールが定められたとしたら、当該規程を作成、運用、評価の上でさらに良くしていくプロセス自体が、ISMSの一部と言えるでしょう。

また、企業各社が独自のユニークな考え方でISMSを構築しても、その企業と付き合うステークホルダーにとって安心材料になるとは限りません。そこで、ISO/IEC 27001等の国際標準規格はISMSの要件を定義しています。企業は、規格に基づいて自社のISMSを設計、運用し、その様子を第三者の認定機関から評価、認証されることで、企業の情報セキュリティが国際的なベストプラクティス相応の取り組みである事を示し、顧客をはじめとしたステークホルダーの信頼を向上させることになります。これらISMSに関する一連の業務領域を『文系のセキュリティ』と呼ぶことにします。

『文系のセキュリティ』の難しさ

企業が遵守すべき規制や法律や、取得すべき認証の数は増える程、『文系のセキュリティ』の業務は複雑性を増していきます。国内事業者でしたら日本の個人情報保護法やマイナンバー法（※１）、グローバル企業はGDPR（※２）やCCPA（※３）等の各国・地域の個人情報保護規制、業種によってはFISC（※４）等の業界特有のガイドラインへの遵守の必要もあるでしょう。これらの要請を満たすために、企業は専門家の力も借りながら、大量かつ複雑な情報セキュリティ関連規程を整備し、法令改正等に従って規程と運用の変更をするなどのメンテナンスをします。その結果、多くの企業の情報セキュリティの事務局で大量のWordやExcelが溢れる事になり、規制と社内規程やオペレーションの関係と全体像を知る一部のベテラン社員に業務の運営が属人化される等の課題に悩まされています。さらに近年は、副業やフリーランス等の働き方の多様化、リモートワーク等の働く場所の多様化、クラウドサービスのモバイルデバイスの普及による管理対象の多様化により、業務の複雑性は増す一方で、これらの整合性を事務局の担当者の脳内でパズルのように組み立てる事になります。事務局がドキュメント作成や管理に追われては、本来やるべきリスク対策がおろそかになり、セキュリティの実効性を毀損する事にも繋がりかねません。

「SecureNavi」が解決すること

「SecureNavi」は、ISMS構築から、ISMS認証やPマークの審査、認証取得後のオペレーションを、全てクラウド上で一元管理できるソリューションです。ISMS認証取得を目指す企業にとっては、必要な書類を効率的に準備できるため、ISMS認証の取得にかかるリソースやリードタイムを減らす事ができます。もちろん、認証取得のための書類を作成して終わりではなく、煩雑な書類はクラウド上で書類検索、更新履歴の確認やバージョン管理をする事で事ができ、本来取り組むべき情報資産の整理もクラウド上で効率的に取り組めることで、運用体制もより強固で実効性のある姿を作ることができます。

さらに「SecureNavi Pro」は、あらゆるセキュリティ規制に対応し、既存の社内規程をアップロードする事で、規制の要求に対してどの程度充足しているのかを可視化し、不足箇所は規程改訂文案の自動提案を受けることで効率的な対応を支援します。こちらも、単に認証を取得して終わりではなく、各部門から規程遵守のTo Doのアサインや、遵守状況のエビデンス収集もクラウド上で完結することで、本来の情報セキュリティの実効性の向上に寄与します。

今回の投資によせて

DNXが今回のラウンドでSecureNaviへの投資を決定した背景は、主に以下の３点です。

1. チームの視座と専門性の高さ

SecureNaviの経営陣が実現したいことは、情報セキュリティ規制やガイドラインに沿った社内規程策定と各種認証取得および維持にかかる業務の効率化に留まりません。「SecureNavi」「SecureNavi Pro」によって、①情報セキュリティ規制・ガイドライン、②社内規程、③社内の実際のセキュリティ対策オペレーションの３つのレイヤーの間に齟齬がない状態を築き、情報セキュリティに関するインシデントの発生を最小限に抑制することを目指しています。企業と社会がこのようなコストを無くすことを目指し、「悲報をなくす」ことをビジョンに掲げています。

また、井崎社長は新卒入社したセキュリティコンサルティング会社でのクライアント企業のISMS認証取得支援の経験を通じて、情報セキュリティマネジメントの深い知見を培い、その専門性は現在「SecureNavi」の顧客課題の解決力と、チームに対する顧客からの高い信頼に反映されています。

2．情報セキュリティマネジメント市場における競争優位性

セキュリティ認証を取得、維持しようとする企業には書類準備および管理の業務負荷に加えて、セキュリティ認証コンサルティング会社に業務を委託した場合、自社の情報セキュリティへの取り組み状況について詳細に説明するコミュニケーション負荷が発生します。コンサルタントがヒアリングをした後も情報、理解の格差が残るケースもあります。

また、各コンサルティング会社が保有する規程文書の雛形と各社のオペレーションの「相性」次第では、オペレーションに合わせて雛形をカスタマイズ、あるいは作り直す費用が発生することもあります。

クラウドソフトウェアによって認証取得と維持を支援する「SecureNavi」「SecureNavi Pro」では、これまで企業がコンサルティング会社に委託していた場合と比較してコミュニケーション負荷を抑え、 各社のオペーションに合わせた規程文書もより効率的に早く作成できます。認証取得と維持にかかる負荷、費用、リードタイムを削減できる点に顧客のメリットがあります。

3. 成長期待

「SecureNavi」は上記の競争優位性と顧客からの信頼によって既にPMFを達成し、高いMRR成長率と優れた成長効率を示しています。

現在、SecureNaviは「SecureNavi Pro」の開発を進めていますが、これまでの実績に見られるプロダクト構築力と顧客開拓力を鑑みて、「SecureNavi Pro」を通じて多くのエンタープライズ企業の情報セキュリティ課題の解決にも貢献するスタートアップに成長できるとDNXは期待しています。

代表取締役CEO 井崎友博様のコメント

最後に

SecureNaviが取り組む「Security Compliance Software」の領域は、米国ではVanta やDrataなど時価総額が10億ドルを超える先行事例となる大型スタートアップが存在する市場です。日本でも、企業における情報セキュリティマネジメントに対するステークホルダーからの要請の拡大と「文系のセキュリティ」の複雑性増加により、同様に大きな市場に成長する可能性があります。その中で、SecureNaviは高い専門性に基づいて顧客企業の課題を解決するプロダクトを築くことのできるスタートアップであり、その大きな成長をDNXでは応援しています。

（文：中野智裕・新井豪一郎）