株式会社SIGQ(以下、SIGQ)は、AIを活用したインシデント管理プラットフォームを開発する、日本のアーリーステージスタートアップです。7名のチームで、日本の大手企業および金融機関を顧客としており、これら顧客や投資家は、強固なセキュリティ体制と、SOC 2やISMSといった認知度の高いフレームワークへの準拠を期待しています。
CEOの金築 敬晃氏は、創業当初からセキュリティをSIGQの基盤の一部として位置づけることを重視してきました。前職でSOC 2対応を3度にわたって主導した経験から、SIGQでは製品の本格リリース前というごく早期の段階でSOC 2への取り組みを開始することを決定しました。これにより、セキュリティ担当者や購買部門と対話する最初の段階から、確かな根拠を持って自社の体制を説明できるようにすることを狙いとしました。
SIGQの顧客には、上場企業や銀行系ベンチャーキャピタルが含まれます。これらのステークホルダーは情報セキュリティに関して詳細な質問をしますが、創業間もないスタートアップが構造化された監査対応可能なエビデンスを提示することは多くの場合、容易ではありません。
日本におけるSOC 2監査は高額になりがちで、メールを中心とした従来型のプロセスで進められることが一般的です。7名のチームにとって、この運用モデルへの対応は困難でした。SIGQに必要だったのは、スタートアップのスピード感で動き、エンジニアに過度な負荷をかけずに既存ツールの中で円滑に業務を進められる独立した監査機関でした。
SIGQがInsight Assurance(インサイト・アシュアランス)と初めて接点を持ったのは、日本で開催されたVantaのコミュニティイベントでした。この対面での出会いを経て、SIGQはコスト、Slackベースのコミュニケーションモデル、そしてスタートアップの実情に合った監査スケジュールという3つの要素から、Insight Assuranceを選定しました。
SIGQはコンプライアンスプラットフォームとしてVantaを使用しながら、Insight AssuranceとともにSOC 2監査に必要な文書およびエビデンスを準備しました。金築氏によると、チームはロードマップに沿って大きな支障なく作業を進めることができ、監査そのものにおいても大きな問題は発生しませんでした。
コミュニケーションの大部分はSlack上で行われ、オンライン会議は最小限に抑えられました。これはSIGQのエンジニアの従来の働き方と合致しており、情報を1か所に集約することにもつながりました。金築氏は、
Insight Assuranceの応答速度の速さを高く評価しています。多くの場合1時間以内に返答があり、機能開発と監査対応を並行して進める中で、監査上の質問に円滑に対処できたと述べています。
SIGQは、社内のコンプライアンス関連ツールの1つとしてVantaを利用していました。Insight Assuranceは、監査の全過程を通じてプラットフォームに中立な姿勢を維持しながら、SIGQの既存環境の中で業務を行いました。この監査業務にあたり、SIGQが新たなツールを導入したり、基幹システムを変更したりする必要はありませんでした。これにより、監査は同社の既存の業務運営体制の中で完結しました。
SIGQは、創業初期の段階でSOC 2監査を完了しました。これにより、要求水準の高いエンタープライズ顧客やセキュリティを重視する投資家に対して、自社のセキュリティ態勢を具体的に示せるようになりました。監査以前のSIGQには自社のセキュリティ水準を示す正式な方法が存在しませんでしたが、SOC 2レポートを取得したことで、第三者による検証済みのエビデンスを明確な形で示せるようになりました。
この取り組みは、社内の実務面の強化にもつながりました。SIGQは、デバイス保護、デプロイフロー、日々のエンジニアリング慣行をSOC 2の要件に沿って運用しており、会社の成長に伴って従業員がセキュリティ要件を自然に身につけていく土壌を築いています。
社外に対する影響もすでに見え始めています。SIGQの顧客の多くは上場企業とその子会社ですが、その中には自社のSOC 2レポートをまだ保有していない企業もあります。SIGQが自社のレポートを提示すると、創業間もないスタートアップがそのレベルのアシュアランスに到達していることに顧客から驚かれることが多く、セキュリティレビューもより円滑に進みます。
この経験は、SIGQのロードマップにも影響を与えています。同社は現在、SOC 2 Type IIの取得準備を進めるとともに、ISO/IEC 27001、ISO/IEC 27017、およびAI領域に特化したISO/IEC 42001への取り組みにも着手しています。金築氏は、AIプラットフォームを構築する他のスタートアップにInsight Assuranceを紹介したいと考えており、SIGQの成長に伴い、Insight Assuranceへの監査業務の依頼を継続していく考えです。
Whether you’re a two-person team or a global enterprise, our team of former Big 4 auditors brings the same level of quality and care to every engagement.
Let’s simplify compliance — together.
Share This Post
Share a few details and our team will be in touch shortly to schedule a friendly, no-pressure conversation—no obligations, just answers.
