zero/one:保険のSOMPOが手掛けるサイバーセキュリティの誕生とこれから PartⅡ
Part0として私自身の簡単な自己紹介を、続くPartⅠでは『胎動:新規事業の立ち上げ』と題して、事業参入の経緯をお届けしたこの連載コラムですが、今回は『逆境:向かい風を追い風に』と題し、事業参入後の状況について書いていきます。
逆境:向かい風を追い風に
2017年12月に事業本部を新設し、いよいよ新規事業がスタートしました。
SOMPOリスクマネジメントが提供してきたコンサルティング・メニューの拡充としてのサイバーセキュリティ事業ではなく、サイバーセキュリティに特化した専門性の高いサービスプロバイダーとして将来的には独立した事業体として飛躍していきたいとの想いから、この事業ドメインを「SOMPO CYBER SECURITY」と名付けて取組を開始しました。
Terrible Twos
読者の皆さんは、英語の表現でTerrible Twos(テリブルトゥー)という表現を聞いたことがありますか?日本語でいう所の「イヤイヤ期」に相当する表現かと思います。
親として、子供が生まれる前は不安と期待でいっぱいで、あれこれ調べものをしてみたり、既に子供を持つ友達と話してみたりして出産に備えます。いくら準備をしていたとしても、実際に生まれてからは、あれが足りない、これも足りない、こんな時はどうしたらよいのか、と模索が続きます。苦労しながらも、親であるという自覚とイモムシさながらにゴロンとして、ミルクを飲んでは寝て、泣いてはミルクを飲んでを繰り返す我が子を慈しむ気持ちに満たされます。ところが、そんな我が子もよちよち歩きを始め、2歳にさしかかろうかという時期、簡単な意思の疎通もはかれるようになったと思ったら、「イヤだ、イヤだ」と次から次へと親を困らせるようになるのです。初めての子供であれば、尚更、この時期は手探り状態が続き、出口を求めての模索が続きます。
そこを抜け出してしまえば、懐かしく、笑って話せる時が来るのですが、これは、私たちのサイバーセキュリティ事業の立ち上げにも重なる成長過程です。
やはりゼロからの事業の立ち上げは苦悩や困難の連続。
向かい風に吹かれ、思ったように進めないどころか、息も上手く吸えない「こんなはずじゃなかったのになぁ・・・」というフェーズから、向かい風を知り、楽しむ、もしくはかわす術を徐々に身につけ、更には向かい風を追い風に変えられそうな予感がするに至るまでのお話を中心に、当時を振り返ってお話したいと思います。
すべてのものを一から作成
何をどう提供していくのか、というコンテンツの部分から「SOMPO CYBER SECURITY」の新たなサービスサイトの作成や顧客管理に必要なCRMの構築といった箱の部分まで、すべてを並行して進めていく必要がありました。更には、提供するサービス内容が、従来のコンサルティングに加え、脆弱性診断やペネトレーションテスト、監視・検知ソリューションなど技術的なサービスまでと、幅広いサービスとなると、それぞれについてサービス利用規約や仕様書、業務フローの他、申込書・受発注書などのドキュメント類も一から作らなければなりません。
それまで、大きな会社の中で、完全に整備された業務基盤の上で不自由なく仕事をしてきた私にとっては、「一つのサービスを提供するだけでも、こんなに多くのタスクが必要になるなんて・・・」と想定以上の準備作業の多さに愕然としました。
通常のスタートアップであれば、「走りながら、徐々に整えていけばいいよねー」となるのかもしれませんが、私たちは金融機関グループとして事業に取り組む以上、スタート時点から一定の業務品質を確保しなければなりません。いざ、新規事業へのチャレンジ!!と意気込んでいましたが、実際にはシステム開発やドキュメントの作成、法務チェックに忙殺されるという、なんともストレスのかかる日々が続きました。
サイバー空間というのは日々刻々と状況が変わるものであり、それに伴い製品やサービスの進化が求められる世界です。スピードを要する業界における業務の在り方は、今まで私が慣れ親しんできた慎重に慎重を重ねる金融業界において成熟度の高い損保ジャパンのそれとはまるで異なるものでもありました。
中小企業へのアプローチ
事業参入にあたっては、日本国内の中小企業はセキュリティ対策が進んでおらず、後発の私たちでも展開していけるブルーオーシャン(競争相手のいない未開拓の市場)であると見ていました。
当然ながら、個々の企業にアプローチすることは容易ではなく、故に既存のベンダーもリーチできていないのですが、私たちのグループには3メガ損保の一角を占める損害保険ジャパンを中心に数十万社の中小企業のお客さまがいらっしゃいます。従前より、経営を取り巻く様々なリスクに対するサポートを行ってきた実績があり、当社であればセキュリティに関わる各種サービスを効果的・効率的に提供することができるはずです。
前出の子育てに例えるならば、経験豊富な頼れるおじいちゃんおばあちゃんがいるではないか!と思ったわけです。
いよいよ、2018年10月、当社サービスサイトをオープンし、本格的なサービス提供を開始しました。同時に、ホームページなどWebサイトの脆弱性を無料でチェックする中小企業向けの簡易ツールをサービスサイト上に公開しました。それまで、セキュリティに関心のないお客さまでも、実際に自社のサイトにリスクがあることを具体的に見せれば、サイバー攻撃への脅威を認識し、「対策しなければ」と興味・関心を喚起することができると考えたのです。
我ながら、なかなか良くできた発想です。
しかし実際には、そう簡単には進みませんでした。簡易ツールを試したお客さまのうち一定数は「もっと詳細に診断してほしい」、「セキュリティ強化策を導入したい」と感じてもらえると期待していましたが、ほとんどのお客様が無反応でした。サイバー攻撃のリスクについては理解を示すものの、「これまで被害にあったこともないし、周りでそういった話も聞かない」、「サイバー攻撃でニュースになるのは大きな企業、有名な企業だけ」といった反応で、なかなか「自分事」にならないのです。
時代は変わり、子育ても様変わりしていて、おじいちゃんおばあちゃんにサポートしてもらってもなかなか効果を発揮せず、といった感じでしょうか。
セキュリティに対する予算もかなり厳しい状況が浮き彫りになりました。事前の調査では、中小企業におけるセキュリティの年間予算は平均数十万円で、半数以上の企業が「今のままでは不十分」と考えているとの結果が出ていましたが、それじゃ追加で予算を取ってくれるかと言うと、実際には月数万円の追加出費も相当ハードルが高いというのが実情です。
ITは事業経営には必要との認識は多くの方が持っており、業務の効率化や新しいビジネスチャンスなど、IT=投資として捉えることに異論を唱える経営者は多くありません。
一方セキュリティはどうでしょうか?
残念ながら、セキュリティを投資と捉えている中小企業はまだまだ少ないのが実情です。IT予算にも限りがある中で、さらにセキュリティとなると、「セキュリティを強化して売上が伸びるの?」、「分かってはいるけど・・・」となってしまいます。セキュリティは投資ではなくコストだという考えを覆すのは、なかなか容易なことではありません。
当初、中小企業マーケットを私たちの事業の柱の一つにするという考えでいたものの、そこに至るまでには時間と努力がまだまだ必要だということを痛感し、角度を変えて、IPAが実施する「サイバーセキュリティお助け隊事業」に参加して、中小企業のセキュリティ態勢の底上げへの取り組みなど、知見を広げる活動もしてきました。
「サイバーセキュリティお助け隊事業」の報告書 厚みに注目!
海外ベンダーとのパートナーシップ
事前の調査では大企業から中小企業まで約300社からヒアリングを行いましたが、既存ベンダーに対する課題のトップは「価格が高い」ということでした。日本では、セキュリティ対策についてベンダーへお任せしている部分が多く、サービスに対する価格の妥当性や費用対効果について十分に納得していないということの表れです。
当然、セキュリティはコストをかければかけるほど堅牢な対策を実現することができますが、「本当に必要な対策かどうか?」という視点を持たないままでは不要なコストをかけることになりかねません。私たちは、セキュリティ対策の優先付け行い、お客さまにとって過不足のないセキュリティ体制を構築すること=コストも含めた最適化を支援することを強みとしていこうと考えています。
そのためにも、当社は国内外のベンダーと積極的にパートナーシップを締結し、様々なサービスを適切かつリーズナブルな価格で提供できるエコシステムを形成してきました。特に、イスラエルとのパートナーシップは現在の私たちのサービスを特徴づける要素の一つとなっています。
事業本部新設と同時に、国内におけるニーズや成長性等を踏まえて、イスラエルのSOMPO Digital Labを通じて、セキュリティソリューションのスカウティングを開始、いくつかの概念実証を経てソリューションを選定し、リリースまで漕ぎつけました。
お客さまに提案するノウハウやスキルの蓄積も必要でしたし、仕様書やマニュアルなどのドキュメント類の整備も必要でした。
しかし、一番頭を痛めたのは、海外のパートナーとの文化や考え方の違いです。もちろん、言語の違いはありますが、それよりも、日本企業のニーズや志向が海外とは大きく異なっており、日本では当たり前のことが海外のパートナーにはなかなか理解してもらえないといった問題が常に発生し、それが彼らとのコミュニケーションにおいて大きな障壁となるのです。
中小企業への展開が当初想定していたようには展開していかないと理解し、私たちのアプローチは中堅・大企業にもフォーカスしていくことになりましたが、その層のお客さまは、セキュリティサービスに対して機能・性能だけでなく、その仕組みについての理解できる説明を求めます。
例えば、「リスクを検知したからOK」「リスクをスコアリングしてくれたからハッピー」という結果だけではなく、「どういうロジックで検知し、スコアリングしているのか」という技術面や結果に至る工程から把握し「これは検知できるが、これは検知できない」「自分たちが求める基準を満たしているのか」「満たしていない場合、どうそれを補完できるのか」というところまでロジカルに納得して、初めてサービスの導入を検討して頂けるのです。
また、機能・仕様と合わせて、安定的な品質を求めます。「当たり前だ!」と思う方が読者の皆さんの九割五分以上と想像しますが、この「安定的な品質」という言葉の定義も文化が違うと異なるのです。日本人はサイバーセキュリティに関わらず、「尖ったサービス」よりも「実績のあるサービス」を好む傾向にあります。性能が良くても名も知れぬメーカーが製造した車より、多少高くても実績があり、サポートもしっかりしている製造元の車を買う、比較サイトで価格や仕様を細かく調べる、思い当たることもあるのではないでしょうか。何かバグが生じた場合、それを修正しただけではダメで、その真因と再発防止の改善策までが求められます。
こうした日本人や日本企業の考え方をまず、海外のパートナー、特にスタートアップの人たちに理解して、協力してもらう必要があります。日本以外からはそうしたことは要求されないので、「なぜそこまで必要なのか分からない」となる場面も少なくなく、何度も会話を重ね、少しずつ前に進んでいく感じです。
こうした細かいコミュニケーションの積み重ねは、もちろん簡単ではないのですが、一つひとつを“自分たちで作っている”という実感と、それが少しずつ形になっていく楽しさは、それらを上回る喜びとなります。
山登りでは、雲の合間に時折見え隠れする眼下の景色を眺めたときの感慨はひとしおです。
今に至るまでの道のりも紆余曲折、山あり谷ありで、そこを抜けた先には、誰も見たことがない美しい景色が待っていると確信し、一歩一歩前に進んできました。舗装されていなかったでこぼこ道は少しずつではありますが、誰もが歩ける舗装された道へと姿を変えつつあります。時折、道を見失いかけるときもありますが、そこはみんなの意見に耳を傾け、進むべき道を決めるのも私の役目でもあります。
サプライチェーンリスク評価サービス『Panorays』の仲間たち
イスラエルの人たちも考え方の違いはありますが、皆さん本当にポジティブで一所懸命にサポートしてくれます。SOMPO×セキュリティの新たな事業に大きなポテンシャルを感じてくれており、日本のお客さまからの様々なリクエストに耳を傾けてくれます。彼らからすれば私たちは数ある取引先の一つですが、「一緒に日本のマーケットで大きく成長していきたい」という共通の目標を持った本当の意味でのパートナーとして見てくれています。これは、欧米の成熟期に入っている大手ベンダーとは築くことのできない強い関係性だと私は感じています。
ニワトリが先か、卵が先か?
こうして、大企業と中小企業、海外と日本といった違いに四苦八苦しながらも、2018年から2020年にかけて着実に事業規模は拡大していきました。
しかし、夏の夜中の枕元での蚊の羽音よろしく、繰り返し私たちを悩ませる問題もあります。
事業拡大と態勢整備。
本来であれば、態勢を整備してから拡大を目指すべきなのでしょうが、先に事業としての成長性を周りに見せないと、リソース(ヒト・モノ・カネ)を確保することが難しくなります。私たちの事業本部はスタートアップのようなものなので、ニワトリも卵も同時に追いかけることが必要なのです。
サイバーセキュリティには事業としての大きなポテンシャル、そして社会的な意義があることも分かっているのですが、事業拡大と体制整備を同時に進めていくことは本当に大変なことです。当然、一緒に働くメンバーの中でも、役割によって考え方も違ってきます。思ったとおりに事が進まないので、時には不満やストレスも出てきます。私自身、セキュリティでのキャリアはない中、色々なことを判断して決めていかなければなりません。とにかくセキュリティ畑出身のメンバーの話を聞き、分からなければ社内外にアドバイスを求め、自分なりに「今やるべきことは何か」「最優先すべきは何か」を常に考えてきました。
Part0の自己紹介でも少し触れましたが、私はメンバーの合意を重視するタイプです。もちろん、関与するメンバー全員を100%納得させることは不可能に近いことは分かっていますが、議論を尽くし、一旦進む方向を決めたら目標に向かって一緒に汗をかくことには合意してもらい、みんなと共に走ってきました。
初めての子育て同様、暗中模索の新規事業です。ましてや、日進月歩、その姿を変えるIT業界で、取り巻く脅威も日々変化するサイバー空間の話です。さすがに、「一か八か」とまでは言いませんが、変動要素が多いだけに、その時の動向・状況を踏まえて臨機応変に対応していかないと、新規事業を回していくことはできません。「決めの問題」という場面も多々あります。誰かが責任をもって、進むべき道筋を決定しなければならないのです。立場上、そうした場面に多く遭遇してきました。
「失敗を恐れるな」と言う人に限って、意外とミスやエラーに対して厳しかったりするのも、大企業における新規事業の「あるある」かもしれません。そもそも、大企業ではゼロからの新規事業に取り組んだ経験者はあまりいないものです。トライアンドエラーを繰り返す中で、事業計画も毎年のように修正を繰り返してきました。時にはSOMPOグループの新規事業としての期待に応えられないことがあっても、その批判は真摯に受け止めつつ、少しずつ光を見出していく。そうした地道な苦労は、なかなか外側からは見えにくいものです。
私たちのサイバーセキュリティ事業は、ありがたいことにSOMPOグループから大きな支援を受け続けてきました。SOMPOグループは私たちの力強い事業基盤です。大企業でのゼロイチでの新規事業、特に異業種への進出は成功した事例が少ないと思いますが、私たちの場合は、成果が十分に上がらない間も辛抱強く、事業運営に一定の裁量を持たせてくれました。戦略・施策に自由度をもって取り組むことで、時には拙速な判断により失敗したり、回り道をしたりすることもありましたが、短期間で色々なことにチャレンジし、多くのナレッジを蓄積することができました。これこそが今後の成長に向けた大きな糧となります。
事業開始から3年を経て、ようやく2021年度あたりから「やりたいこと」から「やるべきこと」へと見える世界が変わってきました。生みの苦しみはあるものの、自分たちの狙いが間違っていなかったことを実感し、それが自信へとつながり始めたのは、この1年だったと感じています。
風向きが少し変わったのか、向かい風を交わす術を学んだのか、いずれにせよ、少し歩みが軽くなってきたと感じるようになったのは事実です。
もしかしたら、我が子はTerrible Twosの時期を抜け出そうとしているのかもしれません。
そうした中でも、「私たちの存在価値」や「SOMPOとしてサイバーセキュリティ事業に取り組む意味」という視点は常に持つようにしています。現時点では、特筆すべき独自性や優位性を確立すべく、都度、私たちだからこそできることとは、を念頭にメンバーやベンダーと協議を重ね、正しい決断を下していきたい、と考えています。
次回は、この連載コラムの最終回になりますが「SOMPO CYBER SECURITYのこれから」と題して、手ごたえを感じ始めた現在の事業状況、そして今後私たちが向かっていくべき未来についてお話しする予定です。
