Scribble at 2025-03-13 07:28:03 Last modified: unmodified
tptacek --- This is basically the opposite of the advice I would give a startup. SOC2 attestations in particular are easy to get, and are a waste of money to obtain preemptively before there are purchase orders on the line for them.
スタートアップが、日本で言うなら ISMS やプライバシーマークを取得するならどういうタイミングが望ましいかという話なのだけど、このスレッドで話題になっている CTO ハンドブックの著者は早いうちから認証を得ておいたほうがいいと言っている。これについて、上記で引用したコメントの投稿者(tptacek)は、これは金儲けが始まってからでいいのであって、注文を受けたり契約を交わしてもいない時点で認証を受けるのは金の無駄だという。
いちおう中小企業で CPO を拝命している立場で言わせてもらえば、これはどちらについても「イエス」と言える余地があるのだけれど、やはりそれには条件がある。一般論として、つまり企業経営の立場で言うなら、これは前者(早い段階で認証を受ける)のが有利だ。そもそも受注したりビジネスを始めるにあたって、大抵の既存の会社には与信審査というものがあるのだから、認証をそもそも受けていない会社は与信で落とされる可能性がある。契約を交わしてから認証を受けるというのは、標準的なバック・オフィスの実務から言えば本末転倒な考え方であろう。
もちろん、アメリカのようにセーフ・ハーバー式に実質が伴っていればそれでよいという商習慣の国であれば、最初に相手を説き伏せてから契約を交わし、そして形式的に必要とされる認証を取ればいいという考え方もあるだろう。したがって、認証のマークは単なる飾りにすぎないという合意があれば、もちろん金と時間の無駄だと考える人がいてもおかしくない。もちろん、アメリカのスタートアップに実質的な情報セキュリティの施策がちゃんと実行できればの話だがね。