AWS Startup ブログ

上場を目指すスタートアップ必見!『上場準備で技術部門が取り組むべきセキュリティ対策と内部統制(IT 統制)』- AWS Startup.fm

テック系スタートアップ企業の多くは、IPO(新規上場)をイグジットの有力な選択肢として日々の業務に邁進します。ですが、大半のスタートアップ企業は社内に IPO 経験者がいない状況下で上場準備を進めるため、知識やノウハウの不足が原因で、課題や困難さに直面することも多い傾向にあります。

2022 年 8 月 4 日開催の「AWS Startup.fm」では、そうした IPO に関する悩みを抱える方々に向けて「上場を目指すスタートアップ必見!『上場準備で技術部門が取り組むべきセキュリティ対策と内部統制(IT 統制)』」と題したイベントを実施しました。

上場準備支援を行うブリッジコンサルティンググループ株式会社や上場を経験された株式会社Finatextホールディングスの方々をお呼びし、計画的に上場準備を進めるための方法について、セキュリティ対策と内部統制(IT 統制)を軸に解説していただきました。

本セッションの一部をYoutubeにて公開しております。

<スピーカー>

本田 琢磨 氏:ブリッジコンサルティンググループ株式会社 執行役員 バックオフィスソリューション 事業部長

田島 悟史 氏:株式会社Finatextホールディングス 取締役 CTO/CISO

尾原 颯:アマゾン ウェブ サービス ジャパン合同会社 ソリューションアーキテクト スタートアップ事業本部

IPO 準備と IT セキュリティ

ブリッジコンサルティンググループ株式会社は、経営管理支援を行うプロフェッショナルファームです。同社の持つ「IPO 準備と IT セキュリティ」に関する知見を、執行役員 バックオフィスソリューション事業部長の本田 氏が解説しました。

IPO とは、企業の発行する株式を証券取引所に上場し、不特定多数の投資家が投資対象として売買できるようにすることを意味します。IPO に伴い、企業は会社情報を外部に対して適切に開示する必要があります。また、社内体制も整備しなければなりませんし、各種のリスク管理を行うことも重要です。

セッション内で本田 氏は、IT リスクと他のビジネスリスクとの関係性について述べました。IPO を目指す企業が IT リスクを管理するには、監査基準委員会報告書 315「重要な虚偽表示リスクの識別と評価」をまず理解することが重要だと語ります。

監査基準委員会報告書とは、公認会計士・監査法人が用いる財務諸表監査の実務指針のことです。そして、監査基準委員会報告書 315 の記載内容のなかには、IT 全般統制についての指針が示されています。本田 氏は同報告書の内容の要点を解説しました。

セッション終盤では、ブリッジコンサルティンググループ社が作成したチェックシートが紹介されました。AWS は、クラウド上でワークロードを設計および実行するための主要な概念や設計原則、アーキテクチャのベストプラクティスについて説明した AWS Well-Architected Framework を提供しています。このフレームワークは非常に有益ですが、文章量が膨大であるためすべての内容を確認するのに時間がかかるという難点があります。ブリッジコンサルティンググループ社製のチェックシートは、AWS Well-Architected Framework に記載された内容のうち、IPO 準備の監査対応などで必要になるエッセンスを抽出し、リストアップしたものです。「ぜひこのチェックシートを活用し、皆さんの上場準備にお役立てください」と述べ、本田 氏はセッションを終えました。

上場準備で技術部門が取り組むべきセキュリティ対策と内部統制(IT 統制)

尾原 颯:アマゾン ウェブ サービス ジャパン合同会社 ソリューションアーキテクト スタートアップ事業本部

次に登壇したのは AWS の尾原です。「上場準備で技術部門が取り組むべきセキュリティ対策と内部統制(IT 統制)」と題して発表しました。まず、セッションのリスナーの方々に向けて「監査基準委員会報告書 315 に基づいた IT 全般統制の対応を、適切なタイミングで計画的に行えるようになっていただきたい」と述べました。

IT 全般統制の対応が計画的に行えない場合にはリスクが生じます。上場における監査では、IT 全般統制に関する指摘が入る時期は終盤になる傾向にあります。そのため、上場目前になんらかの指摘が入り、それらの対応が間に合わず上場のスケジュールが遅れてしまうことがあります。また、このような IT 全般統制の対応に追われると、どうしても事業の主体となる新機能開発の優先度が下がってしまいます。

これらのリスクを軽減するためには、上場に必要なタスクやセキュリティ要件についてエンジニアが把握・実装していることや、エンジニアと CFO、監査担当者が同じ目線で意思疎通をすることが重要になります。そのためのサポートツールとして、先ほど本田 氏が提示したチェックシートや、AWS Well-Architected Framework が役に立ちます。

AWS Well-Architected Framework は、10 年以上にわたり AWS がお客様のアーキテクチャ設計および検証など、お手伝いしてきたノウハウをもとに作成したクラウドアーキテクチャ設計・運用のベストプラクティスです。

セキュリティの観点以外に、持続性や運用上の優秀性といった観点からもノウハウがまとめられています。尾原は AWS Well-Architected Framework のホワイトペーパーで述べられているベストプラクティスのうちのいくつかをピックアップし、監査基準委員会報告書 315 やチェックシートの内容と関連付けながら解説を行いました。

それに加えて、アーキテクチャレビューのために活用できるサービスの AWS Well-Architected Tool の詳細や、セキュリティを向上させるための AWS のサービスである Amazon GuardDutyAWS Security Hub の活用方法を紹介し、セッションを終えました。

金融スタートアップの上場準備で大事にしたマインドセット

田島 悟史 氏:株式会社Finatextホールディングス 取締役 CTO/CISO

次に登壇したのは株式会社Finatextホールディングスの田島 氏です。同社は 2013 年 12 月に設立され、2021 年 12 月に上場した企業です。田島 氏は「金融スタートアップの上場準備で大事にしたマインドセット」と題し、自社の経験をふまえた発表を行いました。

上場審査の基準を満たすためには、主幹事証券会社による審査と証券取引所による審査の 2 つを通過することが重要になります。これらの審査の一要素として内部統制報告制度があり、そのなかで IT 全般統制の整備をすることが技術担当者にとって重要なミッションとなっています。

こうした前提情報を述べた後、田島 氏は上場準備において大事なマインドセットについて語ります。まず「上場準備そのものを目的にしないこと」です。上場するかどうかに関わらず、常日頃からガバナンスを構築して会社や事業が健全に成長できるようにしていくことが必要です。

続いて「信頼残高を意識することが大事」とも語ります。普段から、周囲のメンバーから信頼を得られるような仕事を積み重ねることと、必要があればここぞという場面で信頼残高を消費し上場準備のための施策を実施することが重要です。さらに「推進スタンスにアクセントをつけるべき」とも田島 氏は述べました。実施しようとしている施策のガバナンス上の重要性や、生産性に与えるインパクトを意識するべきです。

さらに「規定と細則を使い分けることを意識すべき」とも語りました。規定と細則は、改定の手間やコストが大きく異なります。規定に具体的なルールを書き過ぎてしまうと、改定に膨大なコストがかかります。頻繁に修正する可能性があるようなルールや運用は、規定ではなく細則やマニュアルなどに記載する方がおすすめです。

セッション終盤では他にも「形式だけではなく実効性を重視する」「伝聞ではなく(実施している施策の)実態を押さえる」「ガバナンスと生産性を両立する」「積極的に自動化することも意識する」「継続した(IT 全般統制の)準拠を担保する」など、田島 氏のエンジニアとしてのマインドや過去の経験からの学びが大いに伝わる知見も述べられました。

最後に田島 氏は「施策の実施順序にも気を遣うといい」と解説しました。各種の施策のなかには、後回しにすればするほど対応が大変になってしまうものがあります。そうした事態を防ぐためにも、施策の優先順位づけを行い適切な順序で実施することが重要になります。Finatextホールディングス社の上場経験をふまえた、数多くの知見が紹介されるセッションとなりました。

Q&A セッション(登壇者座談会)

各者による発表が終わった後は、登壇者の方々がリスナーからの質問に答える Q&A セッションを実施しました。

「上場準備のときにチェックシートがあったら IT 全般統制の対応は楽になったと思いますか?」「AWS アカウントを複数利用しているのですが、AWS Security Hub をアカウント横断で利用することは可能でしょうか?」「マルチアカウント環境下で Amazon GuardDuty と AWS Security Hub を有効化する場合、どのアカウントで有効化したらよいですか?」など、リスナーの方々のリアルな悩みが反映された相談が多数寄せられました。登壇者たちはそれぞれの質問に対して、丁寧に回答を行っていました。

「AWS Startup.fm」では今後も、スタートアップ企業で働く方々にとって有益なセッションを実施してまいります。ぜひこの記事を読まれたあなたも、次回のイベントにご参加いただければ幸いです。


導入支援・お見積り・資料請求等に関するご質問、ご相談に日本担当チームがお答えします。平日 10:00〜17:00 はチャットでもお問い合わせいただけます。お問い合わせはこちら