見出し画像

サイバーセキュリティでDX推進の礎を築く

Geodesic Japan

さまざまな技術が進歩する中、あらゆる業界の企業がデジタルトランスフォーメーション(DX)を推進するようになりました。そのDXを支えるには、安全なインフラが必要です。信頼できるインフラを実現するサイバーセキュリティは、企業の競争力を高める上でも極めて重要な存在となっているのです。

作成者
ジョン・レズニック:Geodesic Capital パートナー兼COO(投資チームリード)
大塚 孝之:Geodesic Japan ビジネスデベロップメントディレクター

サイバーセキュリティの重要性

サイバー空間での安全性を確保するには、幅広い分野で対策が必要です。例えば、エンドポイントセキュリティ、認証・不正検出、企業の機密情報管理、クラウドセキュリティ、アプリケーション開発時のデベロッパーセキュリティなどです。

こうした分野のセキュリティ技術は常に進化していますが、同時にハッカー集団の技術も進化していることから、サイバー犯罪との戦いが終わることはありません。ITを活用し、DXを推進するにあたっては、ハッカー集団との戦いも続けなくてはならないのです。

サイバーセキュリティを確立するには、投資を継続することはもちろん、ビジネスとの適合性を常に確認すること、一貫性を持たせること、そして日頃のトレーニングが重要で、これらに対する戦略が必要となってきます。

デジタル化によって増加するサイバー攻撃

私たちの仕事や生活はデジタル化が進んでいます。2025年までにはデータの半分がクラウドに格納されるとの予測もあり、クラウドコンピューティングは今後もさらに普及するでしょう。それがリモートワークの増加を後押しし、サイバー攻撃の機会を増やすことにもつながっています。

2017年にサイバー犯罪の影響を受けた人数は10億人にのぼり、2021年に世界で発生したサイバー犯罪による損失額は815兆円とされています。また別の調査によると、半数以上の企業が2020〜2021年にサイバーセキュリティ攻撃を経験しており、特にソフトウェアアップデート時のマルウェア侵入や、ソフトウェアサプライチェーン攻撃を経験したと回答する企業の割合が高くなっています。

新しく開発されたマルウェアアプリケーションの検出数も年々増加傾向にあり、日々56万種類の新型マルウェアが発見されています。2020年に検出されたマルウェアの数は6億6000万件にのぼり、その金額は1兆5000億円規模とされています。ソフトウェアの脆弱性に対する修正プログラムが提供される前にその脆弱性を狙うゼロデイ攻撃も増加の一途を辿っており、2020年から2021年で2.7倍にもなりました。

国家レベルで対策を

このような攻撃から企業を守ることが重要なのはもちろんですが、サイバー空間では国家の安全性も確保しなくてはなりません。ここで、米国と日本における政府のサイバーセキュリティ対策を見てみましょう。

米国では、2002年に連邦情報セキュリティマネジメント法(FISMA:Federal Information Security Management Act)が施行され、米国経済および国家安全保障上の利益に対する情報セキュリティの重要性が認識されるようになりました。また、2011年に設立された米国連邦リスク承認管理プログラム(FedRAMP:The Federal Risk and Authorization Management Program)では、連邦政府によるクラウド製品とサービスのセキュリティ評価、認証、継続的な監視に対する評価基準が示されています。

一方の日本では、2016年にサイバーセキュリティ戦略本部が政府機関などの情報セキュリティ対策に統一基準を設け、2020年には政府情報システムのためのセキュリティ評価制度であるISMAP(Information system Security Management and Assessment Program)が発表されました。

米国では、FedRAMPによって政府のクラウド活用が進み、サイバーセキュリティのスタートアップが活気づきましたが、日本でもISMAPによって米国同様の動きが進む可能性があり、政府だけでなく一般企業にもクラウド活用が拡大していくことになるでしょう。

業界リーダーに注目

こうした動きの中で、Geodesicでは設立当初からサイバーセキュリティの重要性を認識し、発展中の業界リーダーに積極的に投資してきました。

Geodesicのサイバーセキュリティへの投資実績
Tanium(2015年)エンドポイントセキュリティ
Pindrop(2016年)電話の不正検出とコールセンターの認識技術開発
Netskope(2017年)クラウドセキュリティプラットフォーム
Duo Security(2017年)モバイルセキュリティソリューション。2018年にCiscoが買収
CyCognito(2021年)攻撃側の立場で疑似的な諜報活動を行うことで企業の脆弱性に対応
Snyk(2021年)開発者向けのセキュリティプラットフォーム
Transmit Security(2021年)リスク管理とパスワードレス認証ソリューション

市場全体を見ても、過去5年間でサイバーセキュリティ企業に対する投資額は増加しています。特にコロナ禍においては、2020年の124億ドルから2021年には293億ドルと、2.3倍にも拡大しています。サイバーセキュリティの市場規模はデータ市場とほぼ同じ規模になっており、サイバーセキュリティのユニコーン企業の数は50社以上と言われています。Geodesicの投資先であるTanium、Snyk、Netskope、Transmit Securityといった企業も、すでにユニコーンスケールとなっています。

M&A活動が活発に

IoT、ブロックチェーン、デベロッパーオペレーションなど、テクノロジーの活用方法が広がるとともに、新たなセキュリティのニーズが生まれます。それぞれのニーズに対応するには、包括的なサイバーセキュリティ戦略が必要となることから、既存のセキュリティプラットフォームを持つ企業が競争力を高めようと、新たな脅威に対応できるソリューションを求めてM&A活動が活発になっています。2020年から2021年にかけては、M&A案件が件数で1.6倍、金額では4倍の規模にまで拡大しています。詳しく各社の動きを見てみましょう。

Netskope
2021年に1,300億円を超える資金を活用し、以下の企業の買収によって、顧客の使い勝手を広げるためにプラットフォームの拡大をしてきています。
Sift Security(2017年7月)クラウドインフラセキュリティ
NewEdge(2019年1月)クラウドファーストVPN
Trace Data(2021年4月)データの可観測性
WootCloud(2022年6月)IoTゼロトラストソリューション

Synk
同じようにSnykも短期間で数多くの企業買収を手掛けています。
DevSecCon(2019年7月)DevSecOpsカンファレンス
DeepCode(2020年10月)セマンティックコード分析
Manifold(2021年1月)デベロッパーサービスマーケットプレイス
FossID(2021年5月)ソフトウェアコンポジション解析(SCA)
driftctl(2021年10月)ドリフト検知
Fugue(2022年2月)クラウドセキュリティ状態管理
TopCoat(2022年3月)データ分析

Tanium
2200人の従業員と、1200億円を超える資金調達を活用し、社内でモジュールを次々と開発することでプラットフォームを拡張しています。同社が開発したモジュールは、非管理のIPデバイスを発見するモジュールや、エンドポイント防御機能を管理するモジュール、セキュリティ監査と脆弱性診断を実行するモジュール、アプリケーションとエンドポイントの関係性を可視化するモジュールなど多岐にわたります。

このように、今後もプラットフォームの統合と拡張は継続していくと思われます。

今後の注目分野

今後もテクノロジー活用の広がりとともに、新たなタイプの攻撃が登場し、サイバーセキュリティの世界に新たなニーズが生まれてくるでしょう。それはセキュリティー企業にとって、新たな技術革新と販売機会にもつながります。また、リーダー企業が自社プラットフォーム上であらゆる機能を提供しようと、M&Aによる業界編成もさらに活発化することが見込まれます。

データと自動化が「DXの要」であるならば、サイバーセキュリティは「DXの礎」であるといえます。DXの要としてデータと自動化を活用するには、DXの礎となるサイバーセキュリティ基盤を固める必要があります。この2つの領域を組み合わせることは、確実にDXを推進していく中心的な原動力となるのです。