高度化するサイバー攻撃に対して、企業は常に新たな対策に向けた次の一手を打っていくことが必要です。そんなサイバーセキュリティ対策の最前線を、ヒト（アントレプレナー）やモノ（テクノロジー）、カネ（VC）に関する情報に着目しながら、世界中のセキュリティスタートアップを調査し、実際に取り扱ってきたマクニカ独自の視点を交えて考えていきます。

今回は、全国にある2万4000もの郵便局が光ファイバーで接続された、巨大なLANを運用している日本郵政株式会社　常務執行役 グループCISO　正村 勉氏およびリードインベスターとして米国優良企業に経営参画しながら投資を行うベンチャーキャピタルのIcon Ventures　Head of Asia Business Development　小野 直之氏に登壇いただきました。さらにマクニカの王原も交えた3名によるディスカッションから、将来を見据えたサイバーセキュリティで注目すべき勘所について見ていきます。

なお、本記事の内容はマクニカが2023年5月に開催したオンラインカンファレンス「Macnica Security Forum 2023」当時のものです。

■登壇者
日本郵政株式会社
常務執行役　グループCISO
正村 勉 氏

Icon Ventures
Head of Asia Business Development
小野 直之 氏

株式会社マクニカ　マクニカネットワークス カンパニー
主幹
王原 聖雄

■ファシリテーター
株式会社マクニカ　マクニカネットワークス カンパニー
バイスプレジデント
吉井 奉之

目次

• 大きな投資分野のセキュリティ、注目されるエンタープライズブラウザやSPM
• ユーザ企業から見たエンタープライズブラウザやSPMの行方
• ヒトが集まるところにモノやカネが集まる、シリコンバレー人脈の現実
• ヒト、モノ、カネの集まっている今後を占う領域は？
• まとめ

大きな投資分野のセキュリティ、注目されるエンタープライズブラウザやSPM

最初のテーマは、先端テクノロジー（モノ）の観点から見たサイバーセキュリティです。近年のサイバーセキュリティ市場には多くの投資が集まっており、2022年には1200億ドルのM＆Aのお金と190億ドルのスタートアップへの投資が行われていました。しかし2023年には経済状況の悪化に伴い、2022年の同時期と比べて、M＆Aもスタートアップ投資も50％ほど落ち込んでいます。

「シリコンバレーでは、不景気とは言わないものの、お金の流れが難しい状況です。現地では伸びている会社であってもレイオフが行われるなど、VCからベンチャー企業へのお金の流れもスローダウンしている状況です」と小野氏は説明します。

それでもセキュリティ領域の市場は数年前よりも大きくなっており、無数のセキュリティベンチャー企業が存在しています。ベンチャー投資全体を見ても、セキュリティは非常に大きな投資分野のひとつであることは間違いありません。小野氏はこの点について、次のように語りました。

「ただし、昔のようにセキュリティ企業がどこも成功するという状況ではないことから、どういう製品、どういう人たちに投資をしていくのかは、以前よりもより厳しい目線で見ていかなければなりません」

こうした状況のなか、投資が集まっている領域のひとつとして挙げられるのが、仕事をしている間に使う割合が大幅に増えており、次のOSともいわれているブラウザの分野です。日本や米国でも数年前にエンドポイントセキュリティが大きく着目され、多くの企業が導入を進めてきましたが、最近ではその次の要素として、エンタープライズブラウザの領域で興味深いものが登場してきています。

「多くのSaaSはもちろん、社内のエンタープライズアプリケーションでもWebブラウザにてアクセスするため、そこのセキュリティを高めていくための領域が注目されています。また、設定ミスやパッチの未適用などが原因でインシデントが発生することが昔から多く、改めてコンプライアンスに近いところでしっかり管理していくためのセキュリティポスチャ―マネジメント（以下、SPM）なども注目される領域の1つです」と小野氏。

テクノロジーの観点からも、エンタープライズブラウザやSPMに共通するキーワードとして"Smarter Security"が挙げられます。これまでセキュリティは生産性と天秤にかけられ、情報を守るためには使い勝手が少し悪くなることも当たり前でした。現在はビジネスの変化が激しく、その中心にテクノロジーがあります。そのためセキュリティを強化した結果、何かが使えなくなる、あるいは使えても生産性が落ちたりすれば、それは競争力の低下に直結します。

一方で、多くの顧客から選ばれるセキュリティには、やはりユーザの利便性に焦点を当てて開発が行われているものが多く見られます。たとえばGUIはセキュリティのプロでなくとも簡単に扱えることや、経営層に情報を与えやすいかといった点がフォーカスされています。このあたりのトレンドは、カテゴリ関係なく共通しているところです。

モノとしてのテクノロジーに関連して、エンタープライズブラウザやSPM同様、日本での展開に期待しているのが、シフトレフトに関連したDevSecOpsです。たとえば米国ではソフトウェア開発の高速化が企業の競争力になっていますが、それはDX推進の必要性が叫ばれる日本も同じ状況だと言えます。セキュリティが原因で開発が後戻りすることや、競争力を発揮できないリスクを回避するためにも、開発を止めずにセキュアにするという領域に投資が集まり、M＆Aも進んできているのです。

ほかに注目を集めているテクノロジーとして、クラウドセキュリティ領域も挙げられます。以前からIaaSやPaaSを守る領域のソリューションは日本でも展開が進んでいますが、ただ可視化できる、ただ使えるというだけでなく、使いやすさの観点からクラウドネイティブなソリューションに投資が集まっています。SaaS領域では、SPMはもちろん、SaaSの連携先やSaaSのサプライチェーンを含めた形で、可視化・防御ができ、さらに使いやすくできているかどうかが、これから日本でも注目されることでしょう。

ユーザ企業から見たエンタープライズブラウザやSPMの行方

SaaSの普及により、ブラウザで利用するユーザ企業のシステムは年々増加しており、この流れが今後も加速することが予測されます。この点について、正村氏は次のように言及します。

「従来のセキュアブラウザと比べると、今はブラウザのエンジンがChromiumに統一され、ほぼ普通のブラウザと同じような機能が提供されているはずです。セキュリティという意味では、エンタープライズブラウザは今後の流行に期待できる領域なのかなと考えています。ただし、エンタープライズブラウザを前提としたアプリケーション開発をベンダーに依頼すると、まだ詳しくないケースが圧倒的です。現時点で自分たちが作るのであれば、エンタープライズブラウザの上でアプリケーションを作りたいと今考えていますが、外部にお願いするのはハードルがまだ高いかなという印象です」

またSPMは間違いなく必要ながら、日本ではまだ進んでいないという認識をもっている正村氏。

「Salesforceで設定状態がデフォルトに戻ってしまったなんてことが以前ありましたが、自分たちの設定が維持できているのか、変な設定になっていないかなどは常に監視していかないといけない部分。ただ、自分たちにそのスキルがないので、使いやすいかどうかは大きなキーワードだと考えています。セキュリティはプロのためのツールであるという意識がなくなってきているのであれば、まさに期待したいところです」と力説します。

DevSecOpsについては、早くリリースしたいとアクセルを踏んでいる人と、重要なセキュリティの検証含めて慎重になるべきだとブレーキをかけるところのせめぎ合いになっているのがユーザ企業の実態です。

「そんなせめぎ合いが日本の競争力を落としている部分かもしれませんが、戦略があって同時にセキュリティも担保していきながら作っていくようなアプローチを、これから日本の企業もしっかり取り組んでいかなければなりません」と正村氏は続けました。

特に米国ではSaaSの利用が日本よりも進んでおり、全てIT部門が管理していない部分もあるため、複数のSaaSをいかに管理するかが大きなテーマになっています。またAPIで連携していく段階に入ると、今度はAPIのセキュリティをどうするのかという議論も出てきます。

「APIが次々と開発・リリースされていき、それらが連携されていくなかで、どうやって管理するのかについては、大きな流れとして米国でも考えられ始めています。この領域については、できる限り早く開発しながらセキュリティを担保するようなDevSecOpsが求められてきます。また、バグ発見に対して報奨金を支払うようなバグバウンティのような仕組みも、合わせて検討すべきだと思っています」と小野氏は提案します。

ヒトが集まるところにモノやカネが集まる、シリコンバレー人脈の現実

シリコンバレーでは、これから注目されるところに多くの優秀な人材が集まる傾向にあるため、今後のトレンドを探るうえでは、その動きに注目することが重要です。その意味では、長年セキュリティ分野でマクニカが培ってきた人脈は、スタートアップの発掘や信頼関係を築くうえで偉大な資産になっています。

たとえば当時のFireEyeのCEOはサイバーセキュリティに特化したVCを始めており、現在でも密に情報交換する機会に恵まれています。また、FireEyeにいたメンバーが次のスタートアップに移っており、Menlo Securityなども当時のFireEyeの人脈を活かし、マクニカとは早期からやり取りをしています。さらに、ハードウェアの中に潜む脆弱性を見つけ出すソリューションなど、市場が未熟ななかでも信頼関係があるからこそ、日本に広めたい領域としてマクニカとの関係性が築けているのです。

ほかにも、Imperva系列で投資の世界における伝説的な人物とつながりがあり、いまやマクニカの新しい事業の柱に育ちつつあるExabeamとCato Networksも、その人物が投資したベンチャーでした。投資が集まるところを追うことはもちろんですが、次の商材を早めに発掘するためにも、ヒトの動きを追うことは非常に重要です。

しかし、ヒトの動きはお金の流れほど公になっていない部分も多いため、人脈の太さはマクニカならではの強みとなっています。もともとMcAfeeのCTOでその後‎SymantecのPresident＆COOになった方が新たに始めたスタートアップがあり、その企業が米国でシリーズAの段階から話ができて契約が可能になったのは、やはり信頼関係があったからこそでした。

VCで活躍する小野氏は、ヒトという視点からマクニカの強みについて言及します。「シリコンバレーにいれば分かりますが、本当に会社ではなく人と人との関係でビジネスができています。マクニカは長年現地で人的なネットワークを築かれており、かつ日本でビジネスを成功させるからこそ信頼関係が醸成されており、そうなれば正しい情報がより早く入ってくる。とてもいい循環ができあがっていますが、これは投資も同じです」

Icon Venturesが投資に成功した、Palo Alto NetworkやFireEye。前者は次世代のファイアウォールの標榜から始まり、後者はそれまでにはなかったサンドボックスを使って既存のセキュリティに一石を投じるなど、それぞれ全く毛色の異なるベンチャーでした。しかし、Icon Venturesの創業者やメンバーとのつながりが強かったことから、成功するかわからない新たな分野でありながら、技術者同士の強い信頼関係で投資が決まった経緯などを小野氏は披露しました。

さらに小野氏はExabeamなど、人的な縁の関係から投資を行ってきた内幕を語り、「信頼と実績のある人たちとのつながりは投資に結びつきますし、マクニカさんはビジネス観点でつながっている。人とのつながりが非常に重要なのです」と続けました。テクノロジーを介した人の信頼関係は、必要な技術を必要な製品に盛り込み、必要な人に届けられるというストーリーを描けているからこそ構築されます。その結果として投資が集まり、起業への後押しも行われているのが現実です。

「Menlo SecurityやRiskIQといった新しいテクノロジーを、日本でいち早く導入してきていますが、サイバーセキュリティは攻撃者のレベルが高く、古い防御策だと正直駄目な面もあります。新しい脅威にきちんと対応していくためにも、新しい技術を理解している人の話を聞き、導入していくべきです。マクニカが持っている人のつながりについて、やっぱりいいものだと改めて実感しました」と正村氏は語ります。

ヒト、モノ、カネの集まっている今後を占う領域は？

テクノロジーが、今後も要注目の領域であることは変わりません。しかしそれ以前に、将来的にビジネスとして成り立つのか、人を集められるだけの信頼を醸成できているかという点は、とても重要です。また、ホットなサイバーセキュリティ領域に非常に多くのスタートアップが次々と出てくるなかで、高い品質が求められる日本で成功するのか、海外企業に買収されずに長くお客さまに使っていただけるか、という視点で見ていくことも大切です。その意味では品質の良さはもちろん、経営者が初めてのスタートアップではなく、2周目・3周目を経験しているかという点にも注目したいところです。

「今回話題になっているエンタープライズブラウザの領域では、McAfee時代から一緒に仕事をしてきたマイク・フェイCEOが率いるIslandは、これから注目すべき企業の1社だと考えています」と王原は語ります。

昨今はSaaSの普及に伴い、ブラウザがOSのような役割を果たす時代です。セキュリティと利便性を両立させつつ、長年エンタープライズのセキュリティを経験しているがゆえに企業が求めるセキュリティレベルを熟知してビジョンを掲げている同社は、まさにヒト・モノ・カネが集まった注目の企業だと言えます。

エンタープライズブラウザの領域においては、2023年4月に開催されたRSAカンファレンスでも多くの企業が登場しており、2022年も多くのエンタープライズブラウザを提供する企業が出てきていました。それだけ規模が大きく、期待が寄せられており、投資も集まっています。

「流行りの領域でいえば、AIのセキュリティをどうするのかなどの課題もあります。マシンラーニングのモデルを作るとき、もっともらしい自然な文章を作るChatGPTも正しい情報がどうかは分からず、誤った情報を学習させることで間違った情報を伝達することにもなってしまいます。どういうふうに制御、管理していくのかは、ベンチャー企業業界ではすでにレッドオーシャンで、我々は投資をしていませんが、次のテーマとしては面白い領域かなと思っています」と小野氏。

特に日本郵政グループのように歴史を持つ企業の場合、新しいものにチャレンジしづらい体質であるケースが少なくありません。

「エンタープライズブラウザやChatGPTなども含め、いかにクラウドをセキュアに使っていくのかという意味で、スピード感に負けないためのセキュリティを、いかに使い勝手を損なわずに導入していかないと競争に勝つことはできません。そのためにも、新しい技術や商品について、自ら情報収集していかないといけないと強く感じました」と正村氏は語ります。

米国のベンチャー業界は、常に新しい技術が登場する世界でもっとも大きな市場であり、有益な情報が集まっていることは間違いありません。それらを日本に対し、正しい形で正しい情報を伝えていくことが、小野氏は自らの役割だと考えているようです。

「引き続き、最新の情報を日本の皆さまにお伝えしていくことで、有効活用していただきたいと考えています。また、多くの情報を持ちテクノロジーに長けたマクニカのリソースをうまくご活用いただき、企業として次に何をしなければいけないのか、必要な対話を継続的に行っていただきたい」と小野氏はアドバイスします。

まとめ

元来は守りや保険の意味合いが強いセキュリティですが、今ではセキュリティがビジネスを継続的に動かすためのドライバーとなっているのが現実です。今後は日本企業も、新しい技術やソリューションを採り入れ、競争力を強化していくことが重要になるでしょう。

マクニカはお客様に適切なセキュリティ製品をお届けし、それがビジネスの拡大に結びつくよう、日々最先端のテクノロジーに触れつつ、情報・ヒト・モノを追いかけながら、ご支援を継続してまいります。



■マクニカ　セキュリティ事業TOPページへ