00:07
始めるを応援するポッドキャスト、START FM、おはようございます。
起業家でラジオパーソナリティの関口舞です。
テイラー株式会社の柴田陽さんと、起業や独立を考えている方に役に立つ情報を楽しく語っていきます。
陽さん、おはようございます。
おはようございます。何か告知があるとかないとか。
そうなんですよ。このポッドキャストをお聞きの皆さん。
唐突に。
皆さんにお願いというか、宣伝したいことがあるんですけど。
珍しい。ほとんど宣伝ないですもんね。
そうなんですよ。実は私、書いたのはもう2、3年前なんですけど、小説を書きまして。
出た。
それがですね、出版に。
すごい。
ただですね、私だけの単行本じゃなくて、何人かが作品を寄稿している文芸誌っていうやつなんですけど。
結構ね、すごい編集者さんが作ってくれて、出版になりまして。
こちら、ストアーズとかで売っておりますので。
全く初耳なんですけど、どうやったら買えるんですか。
私のツイッターとフェイスブックで宣伝しているリンクからぜひご注文いただけると幸いなんですけど。
なるほど。
鍵のかかった文芸誌という非常に斬新な。
鍵のかかった文芸誌。
物理的に、本に穴が開いてそこに鍵がかかっているというすごいデザインでして。
これのせいで値段がちょっと高いんですけど。
想定にこだわりすぎた。
そうなんですよ。
ただね、私はともかく結構参画している作家陣が結構面白かったりするので。
よかったら皆さん、これをめっちゃ聞いてくれてる方はすごい理解者の方々と思ってますんで。
すごい。
めちゃめちゃ大変。
今見てます。
ありがとうございます。
初見で。
そうなんですよ。
見てください。
かっこいい、確かに。
なんかね、白い想定の本棚にめちゃくちゃ並べにくそうな鍵の入り口が、表紙の真ん中に鍵がぶっ刺さってるみたいな。
本棚にはちょっと、なんでしょうね。
おしゃれ。
これよくあれですね、コーヒーテーブル、コーヒーテーブルブック。
コーヒーテーブルブック。
コーヒーテーブルブックっていう英単語があるんですよ。
どういう意味なんですか。
たぶん、リビングのテーブル、ローテーブルに置いといたらかっこいいみたいなことじゃないですか。
なるほど。確かにね、特に海外のインテリアとかで、本をインテリアにしてるってよくありますよね。
ありますよね。
もはやね、読んでるかどうかも怪しいみたいな。
たまにうさんくさいコンサルタントの人とかのズームだと、後ろが本棚になってて、これ見逃しに。
03:05
うさんくさい本がくそ並んでるっていう。
めっちゃ、なんかイメージがつく。
そういうタイプの本ではないですね、これは文芸の。
そうですね。どちらかというと、ちょっとクリエイティブ寄りというか。
なので、皆さん、よかったらぜひ。
すごいポチります。
本当ですか。
海外に発送するのかな。
送ります。送ります。
マジですか。嬉しいです。本当にありがとうございます。
やったー。
行ってくださいよ。リツイートしておこう。
いかにツイッターを見てないかっていうのもね。
そうですよね。洋さん、ツイッター見てないですよね。
ありがとうございます。皆さん、ぜひ。
これさ、今日のエピソード、この辺の話にしたほうがいいんじゃないですか。
いやいや、別にこれで1本撮れるほどの話は特にないんで。
でもさ、小説家具ってすごいですよね。まず大前提として。
僕が今まで関羽ちゃんの書き物を読んだことあるのって、
日経なんちゃらに載ってたスタートアップの女性起業家のセクハラみたいな小説。
いや、それは第1話だけですよ。しかもあれ。
明らかにBダッシュ福岡が舞台になっている。
しかもあれなんですよ。よく読むと別にセクハラってわけでもないんですよ。
そうなんですか。でもなんかすごい別ベクトルの期待を感じる私はみたいな。
まあそういうことってありますよねみたいな。
あの時ちょっと病んでた。
すごいエロいイメージしかない。そういうやつなんですか。
いや全然違います。今回は全然違くて、
ちょっと日経のやつは私ぶっちゃけセンセーショナルに書きたい気持ちが。
なるほどね。このバズリ芸人としてのね。
あとは普通に業界を知らない人に対してちょっと誇張したスタートアップの
ちょっと変な面白おかしく表現しようと思ったんですけど、
今回の。文章オンライン的なね。
今回の文芸史はいわゆる結構真っ当な純文学というか。
超楽しみ。
ありがとうございます。超嬉しいです本当に。
オフィスに送ろう。
やった。はいぜひオフィスに送っていただいて置いといてください。
ありがとうございます。
ちょっとじゃあまた読んだら感想。
ありがとうございます。
届くまでに。あでもこれ予約販売なのか。だからいずれにせよ時差があるね。
皆さんもぜひあの感想とかを送っていただけたりすると大変嬉しいです。
06:01
すごい500冊限定。
はいそんなこんなです。さて。
さて本題に。
はい。
まあなんかあのすごいエモーショナルかつ拡張の高い告知の後にすごい
あの起業職満載の告知で申し訳ないんですけど。
いやいやいや素晴らしいことです。
あのテイラー社でそのSOCK2というこれまあそのセキュリティーのちゃんとしてますよっていう認証企画をなんか撮ったんですね最近。
おお。
でえっとそれの話が結構そのそれの経験が結構面白かったので。
うんうん。
一応ノートにも書いて出すつもりなんですけれども。
お楽しみ。
もうちょっとコンテキストみたいなも含めてこのポッドキャストでお話ししたら役に立つ人が10人ぐらいいるんじゃないかなと思って。
おお10人いっぱいいる。ありがとうございます。
そんな感じの話をしたいと思います。
はいえっとそもそもSOCK2とはっていうところなんですけどえっとちょっと調べたんですけどSOCKはシステム&オーガニゼーションコントロールズの略でSOCK2レポートとは特定の業務を受託し提供する会社の内部統制について一定の基準に基づいて監査法人が独立した第三者の立場から評価したことについての報告書。
そうですね。
つづりとしてはグーグル検索するための人にSOCって数字の2って書いてSOCK2SOCK2ってみんな呼んでおりますというところですね。
ポイントは監査法人。
具体的にアメリカの全米会計師協会の所属している監査人が今まいさんが呼んでくれた定義だと特定の業務を受託して提供する会社の内部統制って書いてあるんですけど要するにクラウドサービスを提供している会社。
要するにSaaSだったりPaaSだったりあるいはIaaSだったりっていうところですね。
クラウドサービスを提供しているお客さんのために。
自社サービスは含まれないです。
B2Bでやっている会社のお客さんのデータを預かるじゃないですか。
お客さんのデータだったりお客さんの業務の一端を預かるのでそこをちゃんと内部統制されて、つまり定められたプロトコルに基づいて実施しているということを法的な資格を持った。
この場合だと公認会計士、米国の公認会計士さんが監査をするよという立て付けの証明になっておりますというところですね。
つまりはこれを持っているとそのお客さんとか他の企業さんなどからしてこの会社はちゃんとしていると思われる。
09:10
日本でも個人情報だったらPマークだし、似たようなクラウドセキュリティであるとISO27017というISMSクラウドセキュリティ認証と呼ばれている制度があって
日本の比較的大企業向けにサービス提供している会社さんだとこのISMSクラウドセキュリティ認証を取っている会社さんが多いんですけれども、
それの米国版というか、かつもうちょっと基準が一般的には厳しいとされているので、
これは一対一比較できるものではないんですけれども、詳細は検索していただければなんですけれども、
そのISO27017を実際に満たすためにはこんなことをしなきゃいけないよと米国の会計指標会が定めた基準みたいなのがあって、それを満たすと即通が取れると。
なので一応即通イコールISO27017以上のことがされているという一般的な認識になっています。
これアメリカのエンタープライズ向けサービスだと、これなくてももちろん門前払いされるわけではないんですけれども、
ただ結局最終的に契約するぞとなった時に当然セキュリティ監査みたいなちゃんとした企業だとあるんですけれども、
その際に即通がないと、なんでないんだとか、ないんだったら代わりにどういうふうなことをやっているか、例えば社内規定を出してくれとか、インシデント報告書を出してくれとかということになるんですね。
結構かなり一般的というか。
そうですね。日本で例えば個人情報を扱う事業者さんがいたときにPマークを取っていない会社さん、例えばコールセンターみたいなものってPマークを取っていないのって結構珍しいと思うんですけどむしろ。
そんなノリになりつつあるので、ということは1年前くらいにアメリカのマーケットを勉強したときにこれが出てきてですね。
そうなんですね。
一般的に大変なイメージがあるじゃないですか、こういうものって。
もう超めんどくさそうです。
めんどくさそうじゃないですか。
Pマークとかもなんとか台帳みたいなのをたくさん作ったりですね。
机の上を、袖机の鍵をかけた後、さらにキーボックスに入れて、キーボックスの鍵はフロア全体で誰々さんと誰々さんが管理していて、最後退勤するときは施錠して帰るみたいな。
12:01
普通に大きい会社で勤めている方って、ISMSとか取っていらっしゃる方はそうだと思うんですけど、楽天もそうだったんで。
そうみたいな、めんどくさいそうじゃないですか。
でも一方で、YCの友達の会社で、ちょうど1年前の21年サマーの会社で、5人くらいしかいないのに靴を取っている会社があって。
そうなんですか、そういうこともあるんですね。
これどうやってやったんですかって聞いたら、いろいろこう、Tipsもそうだし、やっぱりアメリカならでは進んでいるところがあってですね。
基本的にはそれと同じようにやったら、我々も基本的には先任者なしで、僕とCTを中心に、ある種の片手間でやって取れたと。
どんなことをしなきゃいけないんですか、取るために。
まずですね、ざっくり言うと規定がなきゃいけないんですね。社内規定がなきゃいけないんですよ。
例えばですけど、わかりやすいように言うと、パスワードっていうのはこういうふうに運用しましょうねとか。
入社したら、あるいは退社したら、こういうふうなプロセスを経て、ちゃんとアカウントが消されているかみたいなのを担保しましょうねとか。
あとは当たり前ですけど、権限持ってない人に権限を与えないようにに、ちゃんと運用しましょうねとか。
そういう15個ぐらいかな、いわゆる規定類を作んなきゃいけないんですよ。
先にからくりを説明すると、このSOCK2を取るためのウェブサービスがあってですね。
そうなんですね。さすが。
一応2つ事業者があって、有名なところで言うと、VANTAっていうサービスとVANTAですね。
あとDRATAっていうサービスがDARTAかなっていう2つの有名なサービスがあります。
そのうちの、我々VANTAを使ってやったんですけど、まずVANTAがその規定のテンプレートを用意してくれているので、
ちょこちょこっと変えれば、まず規定はできますと。
とりあえず全部読まなきゃいけないんで、でもみんなで読み合わせして、ミーティング2回ぐらいで終わったかな、結局。
プラスちょっと作業みたいな。2時間ぐらいで終わりましたと。
で、それを今度は運用しなきゃいけないので、このVANTAのすごいところ、例えばGoogleワークスペースと紐付けられるんですね。
インテグレーションできて。当然だけど、アカウント発行するとGoogleワークスペースにユーザーできるじゃないですか。
15:00
そうすると、この人って例えばセキュリティトレーニング受けたんですかとか、反射チェックしましたかとか、
彼らは、その社員さんとかベンダーさんは規約、社内規定に同意しましたかとか。
っていうのが自動的にトゥドゥリストみたいなのが出て。
かつ、規定上に、例えば入社で7日以内にセキュリティトレーニングを完了することっていうのが規定になってるわけですね。
社内規定に、セキュリティ規定みたいなやつに。
ちゃんと7日までカウントダウンしてくれて。
そうなんですね。あと何日以内に。
そうそう。
すごい。
例えばそういうやつだし、これ今人の話ですけど、システム。
例えば、最近の会社だと基本的にはクラウドのGCPやAWSに使ってると思うんですけれども、
そういったインフラもインテグレーションされていて、
一つインスタンス、要するにサーバーが立つと、自動的にそのサーバーがバンダ上で検出されて、
それのリスクのラベリングとかをするんですね。
これはお客さんの情報が入ってれば、例えば機密度こうみたいなやつとか、プロダクションなのか開発なのかでも当然違いますし、
あとは誰がこれのオーナーなのかとか、っていうみたいなのも自動的に一定のルールを作っておくと、
勝手にあなた今100個のサーバーが立ち上がってますよみたいな。
100個のうち20個は大事な、むちゃくちゃ大事なやつですみたいな。
それに対するアクセス権とかも管理されてるので、誰と誰と誰と誰がアクセス権を持ってますよ、
これは既定に沿ってますか沿ってませんかみたいな。
チェックリスト的なものが勝手に検出されて勝手に生成される。
めちゃめちゃ便利ですね。
そうすると本来はこれ大腸作んなきゃいけないんですね。
よくある個人情報のPマークとかだと、例えば情報資産大腸みたいなの作って、
まだフィジカルなものがある時代はこれで全然よかったんですけど、
うちは全部クラウドで毎回デプロイするたびにサーバーが立ち上がってますみたいな世界観になると、
大腸を運用すること自体がまず無理じゃないですか。
だってデプロイするたびに発生して終わると消えるみたいな感じのライフサイズ。
また入社とかベンダーさんもデイリー、スタートアップだと特に激しいので結構それトラックするって難しくて、
例えば社員の社員大腸ですら結構トラックするのって難しいんですよ実際は。
っていうのが自動化されている。
なので本来これ監査法人さんにお願いすると一発3000万みたいな感じの予算規模感なんですけど。
18:04
即屈を取るためにですか。
はい、と聞いていますね。いわゆる四大監査法人みたいなところにお願いすると。
当たり前ですよね。
彼らが作動するっていうのがミニマムのフィーカー。
で、万単に100万円というか10万ドル。
で、監査法人に10万ドルで取れたと。
めちゃくちゃ節約。
そうですよ、280万円、140円だとして。
どれくらいの時間かかりましたか、全部でその期間というか。
期間は3ヶ月間運用してその運用できたよっていうのを見せなきゃいけないんで。
3ヶ月間は運用しているだけの期間があるんですね。
具体的に言うと我々だと4、5、6月がそれに該当していたんですよ。
準備は3ヶ月くらいでした。
1月、2月、3月で。
週に1回定例のミーティングをして社内で。
SRE系のエンジニアとCTOと私と。
場合によってコーポレートの人だったりPDMだったりっていうのにちょっと手伝ってもらいつつ。
規定作りの、最初は色々セットアップしなきゃいけないんで。
そのセットアップを繋げていったり、ルール作ったりみたいな。
でもこれをやることによって非常にオフボーディング忘れとかがなくなるので。
実際問題もセキュリティレベル上がると思います。
当然即通取れる取れないっていうことももちろんそうですけれども。
本質的には会社のセキュリティレベルを上げられるかっていうところになるので。
結果的にもちろん会社の信用も上がるし、実際に良くなったし、めっちゃ取って良かったって感じですね。
そうですね。これでお客さんも取れる。
これによってお客さんも取れるとなおさらいいんですけども。
日本のお客さんでも結構何か持ってるんですか?
セキュリティ企画みたいなのっていうのはエンタープライザーと必ず聞かれるので。
即通の知名度自体日本でそこまでまだ高くないんですけど、
ただこれからどんどん高くなっていくと思いますし。
普通に検索したらそれが歴史とした企画であるってことはわかるので。
日本でも使えるかなと思ってて。
必ずしもアメリカで事業展開してる会社さんじゃなくても
比較的Googleワークスペース使ってるとかGCP使ってるとか
スラックとかジラ使ってるみたいなモダンなソフトウェアスタックで
オペレーションされてる会社さんはこのバンタとかドラタ使うと
そんなに大変じゃなく取れるので、ぜひB2Bのサービスやってたら。
人数少ないうちに取っちゃった方がこういう体制作りって簡単なので。
激しくお勧めですよっていうことと。
もう一つ思ったのはこういう情報って地味なんで
21:02
あんまり日本に伝わってないなと。
僕も全然YC行くまで全然知らなかったんで。
でもあるんですよ。
どっかの会社の希望感が一定達すると
SNS取った方がいいんじゃないのとかっていう議論って必ず起こるんですよね。
でも面倒くさいよね。
大腸の話みたいなのが頭にあるんで。
面倒くさいしあんまり意味ないよねっていうか
形外化するよねすぐにみたいな感じになって
非常に後回しになりやすいタスクだし
その方法でやってるとものすごいコストかかるっていうのが
やっぱり実はもっと進んでる世界が隣にあって
5人のスタートアップでも
靴取れちゃってるみたいな世界観が展開されているのが
あまり知られてないのはすごいもったいないなと思って。
確かに全く知らなかったです。
こういうのって他にも多分あるんだろうなとは思ってて。
確かに。
こういう特にバックオフィス系のことって地味だから
派手なウェブサービスはもちろんアメリカで流行ってる情報が
ほぼリアルタイムで日本に伝わってきますけど
っていうのは思いました。
ちょっとぜひBtoBやってる方で
特にアメリカでやりたければもうめっちゃ大事だし
アメリカじゃなくて日本だとしても
SOC2を取っておくと良さそうというかすごい有効
絶対おすすめだと思いますよ。
正直よくわかんない。
SNS、日本のSNSコンサルみたいなのに200万払うぐらいだったら
SOC2監査方針に200万払ったほうが絶対に良いと思います。
ぜひ皆さんもバンタを使ってみてください。
別にバンタの回し者ってわけじゃないんですけど。
バンタかドラータ。
そうですね、バンタかドラータ。
バンタかドラータを見てみていただければと思います。
ありがとうございます。
スタートEFMではあなたからの質問やメッセージを募集しています。
ポッドキャストの概要欄から送ってください。
そして最後まで聞いてくださったそこのあなた
チャンネル登録高評価よろしくお願いします。
今回も聞いてくださりありがとうございました。
ありがとうございました。
それでは素敵な一日をお過ごしください。
