【サンフランシスコに行ってきました】RSAC2024 備忘録

◎Preface

連休明けの5月上旬、はじめてRSACに参加いたしました。
セキュリティベンダーとお付き合いをはじめてから毎年5月になると日本からRSACに赴かれる方々が羨ましくて、もはや嫉妬の域に達していたのですが、今回やっと私にチャンスが巡ってまいりました。

外資系セキュリティベンダーの日本法人で活躍される方々や、外資系セキュリティベンダーとチャネルパートナー関係にあたる方々もそれぞれ関連記事・ルポを執筆されているようなので、ぜひそちらもお目通しくださいませ。
遅ればせながら本稿ではこれらの先行記事との重複言及をなるべく避けることを意識しつつ、いちセキュリティベンダーファンであるリクルーターの視点で、RSAC 2024の感想や得た学びを書き記します。

(たくさん書いてしまったので、役立つかはさておき、皆様の情報収集の目的に応じてスキミングしていただけるよう、目次を細かく分けました。お時間ある方は通読いただくとよりよい読書体験になるはずです。
カンマネキャリアにご関心をお持ちの方は「カントリーマネージャー」でページ検索をかけていただければ多少のインサイトがあるかもしれません。カンマネキャリアに関しては余裕が生まれ次第、別途包括的な記事を執筆します。)

毎度のことですが、「どの層に向けた発信やねん」という好き勝手でとりとめのない長文乱文が、どなた様かの情報収集のお役に立てば本望です。なお当方はExpoパスで参加したため、本稿ではアクセス不可であったInnovation Sandboxについては触れません。

(カンマネ陣、ベンダー・コンサルファームでご活躍される方からも「記事読んだよ！」という声が寄せられ、とても励みになっておりますが、競合のリクルーターも目を通しているようなので、少々抽象度を高めざるを得ない旨をご了承くださいませ。気になる点があれば直接LinkedInにてお問い合わせをお待ちしております。LInkedIn経由以外でのご連絡は返しません。)

先行記事

・ルポ

RSA Conference 2024、行ってきました！

SIEM戦線異常あり！ - 次世代SOCへの進化

RSAカンファレンス2024：現地レポート | Proofpoint JP

RSA Conference2024 現地速報レポート！｜技術ブログ｜C&S ENGINEER VOICE

・出展ベンダーのテクノロジー分類

Wataru Takeishi on LinkedIn: I will be attending the RSA Conference this year. Please look forward to…

・ 新製品発表などについて

サイバーセキュリティ専門家の最新情報発信！RSA Conference 2024 レポート #セキュリティ - JTP Technology Port

◎出発前・前哨戦

ここでは出発前、当方がどのようなリサーチをしたかについて言及します。適宜現地ブースで得た学びも記します。

■伊藤の参加目的

ご存知の通り、RSACには多種多様な属性の方々が、各々目的を持って参加します。当方の場合はリクルーターとして、「優秀な求職者が次にチャレンジする場として面白みを感じてくださる会社探し」が目的です。
具体的にブレイクダウンいたしますと、主に下記2つのアジェンダがありました;

①日本に来そうなベンダーを見つけること
弊社ソフトソースの生業はリクルートメント、強みは日本法人スタートアップITベンダーの採用のお手伝いです。テックベンダーに投資をするVCから直接「ポートフォリオカンパニーの日本進出に伴う採用を手伝ってほしい」というご依頼を受けたり、シリコンバレーのコネクションからのご紹介でサーチを請け負うことが多い一方、こちらからもアプローチします。なおお察しの通り、リクルーターがブース訪問した会社が「お、ええとこに来たな！ちょうど日本で法人設立しよおもてたんやわ！」となる可能性は限りなく低いです。

少し話は脱線しますが、求職者のキャリアという観点では、外資系ITベンダーでキャリアを歩むならデカい会社でマネジメントポジションに就くよりもスタートアップで活躍する方が、タレントとして市場価値が高く見出されるケースが多いです。
背景としては、求職者の最新職歴に日本マーケットスタートアップの職歴があると、リクルーターや採用側に対し「英語面接突破力がある」「日本法人立ち上げに意欲的」「撤退リスクを厭わない」「カッティングエッジなテクノロジーに貪欲」などといった点をアピールできるからです。

②セキュリティツールにおけるグローバルトレンドを学び取ること
テックに限らない傾向ですが、一般に日本のトレンドはグローバルトレンドの3-5年周回遅れとされております。それゆえグローバルトレンドをチェックしつつ、日本でもそのトレンドカテゴリがハマる余地があるのかを、中長期視点で考えることが大切です。その過程を通して、イケてるかつ日本でスケールしそうな、「求職者のみなさまが魅力を感じられるようなベンダー」を特定していきます。当然私はエンドユーザーと相対しているわけではないので、情報を持ち帰り、ユーザーのセンティメントを深く理解されている百戦錬磨のセールスの方々と議論を重ねながら理解を深めます。

①、②はいずれもセキュリティ製品ベンダーへの知見ありきのアジェンダなので、どんなベンダーがいるのかを先んじてざっくり理解する必要がありました。

■Due Diligence / ベンダー下調べ

世界最大規模のセキュリティ展示会であるRSACに参加するベンダーは多数いらっしゃいます。ありていに申してナメてました。

ベンダーブース会場について少し触れますと、出展ベンダーはNorth Expo / South Expo / Early Stage Expoの3つのゾーンに分かれております。NorthとSouthはつながっているので1つの「主たるブース会場」として認識できます。Interopみたいなでかいブースがあります。Early Stageはよりスタートアップ色が強いベンダーが一堂に会するエリアです。Security Daysみたいなサイズ感のブースです。

RSAC参加者のマイページにあるRSACマーケットプレイスに掲載があるベンダーだけで521社あります。ここにはNorth Expo + South Expoの「主たるブース会場」に出展するベンダーが載っておりますが、国パビリオン(後述)の各ベンダーや、Early Stageのブース出展の記載がありません。そもそもブースを出していないベンダー(後述)を事前に全て把握することは至難の業です。(各チャネルパートナーの現地ルポウェビナーで「出展ベンダーは600+」という概数の言及にとどまっているのはこういう背景があるのかもしれません。)

全てカバーするとなるとキャパオーバー (&どないして見つけたらええかわからん) です。したがって今回の事前ベンダーリサーチは、すでにリスト化されており、アクセスが容易なRSACマーケットプレイスの521社を対象とします。

下調べでは、参加目的の達成に近づくためにベンダーのa. 設立年 b. ファンディングフェーズ をチェックしました。

　a. 設立年

「求職者が魅力を感じるベンダーか否か」の指標の1つとして設立年に着目します。(当然例外はあります)
主な理由としては、一般に設立年が若ければ若いほど扱うテクノロジーが新しいと言えるからです。

求職者視点で申しますと、新しいテクノロジーを扱うベンダーでキャリアを歩むとなると、そのテクノロジーカテゴリで日本のマーケットメイクに関わることができます。

521社のうち、
2014年以降に設立された、日本で人材雇用をしていない欧米HQのベンダーは177社ありました。
2010年以降に設立された、日本で人材雇用をしていない欧米HQのベンダーは231社ありました。

参考までに、
2020年以降に設立された、日本で人材雇用をしていない欧米HQのベンダーは49社ありました。(ここにEarly Stage会場出展ベンダーを含んでいないことは特筆すべきでしょう。)

新しいベンダーがたくさんあるので当方のプロスペクトリストとしては機能しませんが、当日ブースを歩き回る際の参照リストとして使えそうです。

　b. ファンディングフェーズ

「日本に進出できる資金体力があるか」という指標としてファンディングフェーズに着目します。(あくまで目安であり、当然例外はあります)

一般に外資系ITベンダーの場合は「Series C, Dぐらいが日本進出の熟れ時」と認識されております。521社のうち、Series C, Dの、日本で人材雇用をしていない欧米HQのベンダーは39社ありました。
そのうちSeries Cが29社Series Dが10社ありました。(c.f. Pitchbook, Crunchbaseの公開情報に基づく)

「おお、だいぶプロスペクト絞れたな」と感じたものの、会期1日目にお話した現地在住の投資家の方より「近年はSeries C, Dでの日本進出は遅い、Series A, Bにも着目すべし」というインサイトをいただき、このリストの頼り甲斐が一気になくなりました。たしかに身に覚えがあります。Series A調達したての外資系セキュリティベンダーの採用を複数お手伝いしております/ しました。
投資が加熱していた2021, 2022年にSeries A, Bの調達額がSeries C, Dのそれの規模であったことが要因のひとつであるようです。

この時点で「リストを基にブースを回る」ことを諦め、セレンディピティを重んじる作戦に切り替えました。つまりは計画倒れです。(涙)

　c. その他気づき

このベンダー下調べ段階でいろんな気づきがありましたので、役立つインサイトではない旨を承知でご共有いたします:

・最近できたところのベンダーはユニークな名称が多い
若者ことばに基づいた形容詞・副詞を会社名に用いた企業が目に留まりました。例えばSweet Security, Legit Securityなどが挙げられます。会場ではNagomi SecurityやAikidoといった日本語を用いる企業と出会いました。
「おう、キラキラネームか？」と感じる一方、オリジナリティを示す意図や、検索エンジンで引っかかりやすくする意図があるようです。
CyberXXX / CloudXXX / SecureXXX / NetXXX といったよくお見かけするベンダー名称が「一昔前」感を漂わせ始めるのは時間の問題かもしれません。

・ロゴのキャラクターは鳥が多い
$CRWDやCybereasonが鳥を起用していることは皆様もご存知の通りですが、他にもDarkOwlやSkyhawkなどロゴ・会社名が鳥オリジンの会社がありました。当方がナイーブなだけの可能性が高いですが、鳥とセキュリティの関連性をもっと理解したいなと感じました。鳥以外にはオオカミの起用が散見されました (e.g. WolfSSL, Arctic Wolf)

・AIとセキュリティの関連性に関わるセミナーが多い
Expoパスは全てのセミナーに参加できるわけではないものの、全セミナーの題目検索が可能です。かなり雑な検索ですが、会期中529あるセミナーのうち135が「AI」というワードで引っかかりました。

セミナーに限らず、AIとセキュリティの関わりは昨年のInterop備忘録で考察した通り、RSACでも下記3つの文脈で語られていました:

1.従業員の生成AI利用に対するセキュリティ
2.セキュリティ運用におけるAI利用
3.生成AIがもたらす脅威

サイバーセキュリティは新興テクノロジーと表裏一体で進歩していくテクノロジーカテゴリです。テクノロジー全般に大きな変容があると、それに追随する形でセキュリティが発展していきます。例えばEarly Stage Expoで出会った「AIソフトウェア開発時にセキュリティを担保するAIセキュリティソリューション」を提供するベンダーは、アカデミアから6ヶ月前にスピンアウトしたばかりだとおっしゃっておりました。

チャネルパートナー様のRSACのルポウェビナーで、AIについて「今やマーケティング用語」と形容される方もいらっしゃいましたが、セキュリティに限らず、今や「AI」はかなり広い定義で都合よく起用されているワードです。テクノロジーの最先端であると認識している方が多いですが、それが故に適切な用途が不明瞭で、未分化細胞的な・暴れ馬的な側面があることを念頭に入れておくべきだなーと日々感じております。(皮肉なことに私自身が日常生活で新興テクノロジー慎重派だからかもしれません。当方の見解については他日を期します。)

・日本進出している外資系セキュリティベンダーはほんの一握りである
正確な勘定はしてませんが、RSACマーケットプレイス掲載の521社のうち、300社強は日本で人材を雇用していません。ベンダー名を眺めていても全然知らない企業がたくさんあったことから、自分の知見のちっぽけさに屈しておりました。

なお「人材を雇用していない」という表現を用いているのは、定義の揺らぎを避けるためです。「日本進出」の定義に以下のパターンも含まれうるからです:

1-a.チャネルパートナーの取り扱いがあり、日本で人材雇用すべきかを見極めるフェーズにあるベンダー
1-b.チャネルパートナーの取り扱いがあるが、日本で人材雇用・法人設立を考えていないベンダー
2-a.人材雇用しており、日本法人設立のプロセス途中にあるベンダー
2-b.人材雇用しているが、日本法人設立が眼中にないベンダー
3.人材雇用しており、日本法人を設立しているベンダー

会場を回る中で、このうち1.のパターンは設立年・ファンディングフェーズ問わず、日本に商機を見出して進出をしている様子を感じとりました。

◎VCパネルトーク・VCによるトレンド先読み

ここでは1つのセミナーについてDeep Diveをし、そこで得たインサイトの一部をご共有いたします。適宜ブースで得たインサイトも記載します。
グローバルトレンドを知りたい当方にとって、トレンドの最前線を目撃している、セキュリティベンダーに強みを持つVenture Capitalのパネルトークは一番関心が強かったセミナーですが、飛行機の都合で現地参加が難しく、ブース会場回る前にオンデマンド視聴をしました。お気に入りの講演で、5回は観ました。オンデマンド万歳です。

求職者視点からみると本国VCはかなり遠い存在のように思えるかもしれませんが、彼らは各ベンダーの資金を製品R&Dや日本法人設立資金を投資してくれる投資機関の一種です。語弊を恐れずに言い換えると、ベンダーで働く皆様の取り扱う製品やお給料の一部を払ってくれている存在です。

主にアーリーステージを専門にするセキュリティベンダー特化型のVCで活躍するパネリストが、主に2023年の振り返りと2024年以降のトレンドの予測をしておりました。これだけで1本記事が書けてしまうので、適当にピックアップします:

■2023年の振り返り

2021 / 2022年対比で様々な指標を振り返っておりました。
一文でまとめるならば「投資が加熱し、様々な指標がall time highを迎えていた2021 / 2022年と比べると2023年にディール数や投資額が減少するのは致し方のないことだが、加熱が落ち着き投資家が『着実性』を重んじるようになったので正しいところに資金が投下されるようになった、2023年は必要な過渡期であった、落ち着いたのはええことや」という趣旨のインサイトが得られました。

おもしろいことに、日本のITベンダーの採用マーケットも同様の傾向にありました。日本拠点成長に応じて大規模採用が要され、英会話力のない未経験者にも門戸が開かれていた2021/2022年から一転、2023年は採用基準が引き締まり、人材市場の需給が是正される調整の年になりました。

■VCの投資選定の基準

パネリストの方々が「ポートフォリオに加えるか見極める際大切にしている指標」として挙げていた事項が、上記求職者のキャリア形成マインドセットに通ずるところがあるなと感じたので取り上げます:

・Team / Tech / Total Addressable Market
「投資するベンダーを決める時、必ずこの3つのTを精査する」とおっしゃっているパネリストがいました。Teamはそのベンダーのチームメンバーの気質、Techは取り扱うテクノロジー、TAMは売れるポテンシャルのベンチマークです。
求職者にキャリアを決定するオファーフェーズに突入したタイミングで吟味いただきたい点とオーバーラップがあるなーと感じました。

・ファウンダーとの相性
「各ファウンダーはF1みたいに、20人のドライバーが同等の教育・投資を受けてきて、誰が1番になるか」という世界なので、ファウンダーとの相性をみる必要があるとのことでした。
パネリストの1人は「ファウンダーが平時に凡ミスを起こさないように備える意識がある、メンバーや投資家のオープンに話を聞く方かを見極める」とおっしゃっておりました。
優れたスキルを持っているリーダーこそが優秀な人材をアトラクトするのと同様に、資金を集めることに改めて気づきました。

■2024年以降のトレンド予測

特に興味深かったのは、各パネリストが考える「今後大きく変容する既存カテゴリ / ディスラプラターが現れる既存カテゴリ」のトピックでした。そのうち当方が気になったものを取り上げます:

　・Security Optimization (セキュリティスタックの最適化)

「一見セキュリティベンダーに分類されない企業が、ユーザー企業のセキュリティ予算を削減するソリューションを提供し始めるのではないか」という予測が立てられておりました。

実際Early Stage Expoブースを巡っていると「今すでに導入されているセキュリティスタックを最大限活用するためのソリューション」や、「セキュリティチーム/情シスサイドと、いわゆるLoBサイドの思惑をすり合わせするソリューション」を打ち出しているベンダーがいました。

どの国も同じようにセキュリティ投資にROIを求められ、ベンダー側も導入を担当するIT部門も課題感を覚えていることなんだなと感じました。その中でもこの課題を解決するためにいろんな方がアプローチを考え、起業しアクションを起こしていることに感動を覚えました。このようなスタートアップベンダーに、早く何らかの形で日本進出してほしいと願う次第です。

　・SOC自動化

「AIの台頭に伴いSOCの自動化が促進され、SOCチームの編成や、2. ミッションが変容するのではないか」と言われておりました。
つまり、今は運用チーム・IRチームなど役割ごとに分かれているSOCチームが、SOCにAIが導入されることでチームが縮小する、あるいは役割ごとのチームが不要になり、結果SOCの役割は「AIのチューニングをすること」になるかもね、というニュアンスの予想でした。

BlackpandaのSaaS型DFIR製品の登場といい、「従来SOCチームが人の手でやらなくてはならなかったタスク」をIT製品に担わせる流れは、日本にもしっかり流入している印象があります。
SOCの自動化を促す製品の筆頭にSOARが挙げられます。日本に参入しているSOARの専業ベンダーにはSwimlaneがいらっしゃいますが、グローバルではTinesやTorqといったSOARベンダーが出てきております。

ブースで話を聞くと、グローバルでもやはりSOARはPalo Alto Networks (以下PANW)とSplunkがシェアの大半を占めており、プラットフォーマーに対し、専業ベンダーが一丸となってその牙城を崩していくフェーズにあるような印象を受けました。TorqがSOAR IS DEADという専業ベンダー仲間(？)をあえて敵に回すような尖ったメッセージ発信をしている一方で、実際専業ベンダーでの覇権争いはまだまだ先の話になりそうだなーと感じました。

SOARカテゴリでは ローコードSOAR vs ノーコードSOAR も選定の際の議題のようです。
「お、ノーコードやったらわたしみたいなコーディングできない人でも使える！？」と思ったのですが、どうやらノーコードで扱いが簡単であるからといって、全ユーザーにとってベストチョイスであるわけではないようです。例えば現行セキュリティスタックが複雑に入り組んでいる場合、連携させる際にノーコードSOARだとうまくインテグレーションができないこともあるようです。また、現段階ではノーコードSOARでできることが限定的であるという文献も目にしました。

日本ではローコードSOARとノーコードSOARのどちらの方がマーケットフィットがあるのでしょうか。
また今度、Swimlaneの伊東様、菅原様にご意見を伺いたいと感じた次第です。

Low-Code vs. No-Code Security Automation: What’s the Difference?

　・SIEMというカテゴリの大変容

昨年執筆したSwimlaneの記事でも触れた通り、従来SIEMとSOARは密接な関係があります。しかしここではSIEMとSOARの別離が起きるのではないかという予想がされておりました。

実際会期中、SIEMが話題に上るたびに「SIEMって高いよねー」という、ユーザー共通の悩みが取り上げられておりました。
SIEMはデータを通した分だけ課金する従量課金スキームをとります。喩えるならば、私世代で申すと「パケホーダイではないガラケーでimode/EZwebにアクセスしている状態」と同等です。つまりSIEMユーザーはいま、データ流量の定額プランがない状況下で、指数関数的に伸びるコストを払わなくてはならないというとんでもない課題に直面しております。

会期中、このSIEMのコスト課題を解決する手段として2つのソリューションが提案されていたのを見ました;
1. 「次世代SIEM」
2.「データ/SIEMエージェントとSIEMの間に入り、取り込むデータを仕分ける」製品カテゴリ

1.「次世代SIEM」
Crowdstrike CEOのGeorge Kurtzがキーノート講演でこのSIEMの課題に対して触れておりました。曰く「ユーザーはSIEMを使いたいが、コストがかさむので全部のデータをSIEMに通すわけにはいかない。セキュリティ予算節約のためにSIEMに取り込むデータを選定しなくてはならないのが現状」とのことでした。

講演自体はこれまでのSIEM史 vs 次世代SIEMの比較が趣旨でしたが、コスト面に関しては下記のグラフを用いて説明しておりました。

出典(左): https://youtu.be/jp3rzRhDyM4?si=4jql8Jn6MHFU9K3q&t=673
出典(右): https://youtu.be/jp3rzRhDyM4?si=koxK-TNCSfa5UqVB&t=692

次世代SIEMの料金体系は、まさにスマホの定額プランのようなものを提案されておりました。(実際George Kurtzも「電話プランみたいに定額になるべきもの」とおっしゃってました。)
紙幅の都合上次世代SIEMのそのほかの説明を割愛いたしますが、この講演ではSIEMというポイントソリューションは、「これからSOCのためのワンストッププラットフォームとして進化を遂げていきます」という宣言をしているように聞こえました。

2.「データ/SIEMエージェントとSIEMの間に入り、取り込むデータを仕分ける」製品カテゴリ
こちらは「SIEMに取り込むデータを必要最小限にとどめてコスト削減をしよう」という考えの下、SIEMに取り込むデータを選定する製品カテゴリです。
FWやDNSのログといったSIEMに取り込む必要のない種類のログをアーカイブし、イベント・インシデントになりうるログをSIEMにインジェストすることで、節約しながらセキュリティを担保するという画期的ソリューションです。SIEMシーンに改革を起こしそうな製品ですが、同時にセキュリティ予算を導入即節約できる製品でもあるようです。
ブースで話を伺っていると、このような類の製品もSIEM同様従量課金である様子なのですが、それでもSIEMのみを導入している環境より相当安上がりらしいです。SIEMどんだけ高いねん、という感想しか出ませんでした。

◎各ベンダーの日本でのプレゼンス vs RSACでのプレゼンス

ここから数項目にわたって、実際にブース会場を回る中で感じたことを日本との比較という形で記します。やっと本論です。

セキュリティ市場はテクノロジー的要因・地政学的要因でアメリカの様子に大きな影響を受けるとはいえ、RSACのブースの様相は必ずしもベンダーのグローバル勢力図に符合するわけではありません。
とはいえ、ここでは一定の相関性があると考え、日本 vs RSACの比較を進めてまいります。

ブースの様子について、製品キーワードで分類する先行ルポウェビナーが複数ありました。しかしここではセキュリティベンダーの日本拠点の規模感(主観)とRSACのブースのプレゼンスという、少々いびつな比較を進めてまいります。
まずは下記表にその特徴をまとめてみました。少しヘビーですが、9つの分類を順にみていきましょう:

■RSACの大規模ブース出展ベンダー

　①日本で大きい × RSACで大規模

大規模ブースは、North / South両会場の中心エリアや人通りの多い箇所にあり、ロゴのバナーを吊るしております。特に入り口付近にはマーケティング資金が潤沢にあるベンダーが集まっておりました。
ここにはTrellixやFortinet、Crowdstrike、Zscalerといったおなじみセキュリティ専業ベンダーのほか、MicrosoftやGoogleといったテックジャイアントがいました。(特に用件はないので、あまり近づきませんでした。 )

　②日本で中小規模 × RSACで大規模

上述の目立つブースがありながらも、「日本では聞いたことない方も多いかもなー」というタイプのベンダーは、下記2種類に分けられます;

a. グローバルで売れていて、満を持して日本に進出したてである

日本であまり聞かない製品カテゴリ(後述)であるCNAPPや、着実な成長を進めるNetskopeのようなベンダーあります。SASE/SSEのカテゴリはグローバルではFWぐらいカテゴリとして成熟しているイメージです。

また、日本とRSACの規模感の違いに最も驚いたのは、マイクロセグメンテーション市場を盛り上げるポイントソリューションベンダーであるIllumioです。

右図はChief of Productsブース講演開始前

このように自社ブースに巨大スクリーンを設置し、ブース内でもプレゼンをしておりました。イニシャルチームが整った日本法人が、これから展開していく様子を見守っていきたい次第です。

b. グローバルでは比較的老舗だが、日本ではあまり売れていないために成長しない

明言を避けますが、要は「海外では売れるが、日本では売れない製品を扱う or 日本のGTM戦略がうまくいかなかったベンダー」です。日本で歴が長いが一向に人数が増えないことが目印です。

ICの求職者の皆様にはa.のベンダーを目指してほしい一方、カントリーマネージャーの方はb.で日本法人の立て直し・ターンアラウンドをミッションに担うことが腕試しになり、成功すると職歴に箔がつきます。

　③日本でプレゼンスなし × RSACで大規模

このタイプは3種類に分けられます;

a. 日本法人を出していたが、戦略的に撤退した

日本進出をしていたが、期待していたほど売り上げが立たず、結果的に撤退を余儀なくされたベンダーがここに分類されます。
こちらも「海外では売れるが、日本では売れない製品を扱う or 日本のGTM戦略がうまくいかなかったベンダー」といえます。

いわゆる「日本撤退」をしてから再エントリーする企業もあります。日本の外資系ITベンダー市場と向き合って20年以上の弊社オーナーは、よくこういった再エントリー企業を「浮気した恋人とよりを戻すみたいな感覚で日本に再挑戦するようなもの」と申しております。もちろん例外もあるようですが、日本市場再エントリーがうまく行く確率も同等かもしれません。

転職をご検討される際はくれぐれも日本で小規模ベンダー≠日本法人スタートアップベンダーであることをご留意ください。

b. 日本市場が眼中にないのでGTM戦略に入っていない

EDRやSIEMといった比較的熟している製品カテゴリのうち、大きなブースを構えているが日本では全然聞かないベンダーがあります。
一般に日本法人をGTM戦略に入れない理由としては、ローカライゼーションコスト・リードタイムの長さの観点から日本進出に合理性を見出さないことが多い印象を受けます。
一緒にビジネスをする機会はないかもしれませんが、日本に生息しない動物と出会うこと・新ポケモン発見・セパ交流戦で普段見かけないパリーグの選手を見るような感覚を覚え、ワクワクしました。

c. 日本進出のタイミングが来ていない

グローバルで売上が好調でも、日本本格参入のタイミングを慎重に見計らっているベンダーがいます。顕著な例として挙げられるのはCNAPPカテゴリを牽引するWizです。

Wizは2020年に創業し、わずか3年で$100m ARRを達成 / $10bのバリュエーションを受けた「史上最も急速に成長したソフトウェアベンダー」とされております。
会期中にSeries Eで$1b調達を公表し、それに伴いバリュエーションは$12bに跳ね上がりました。にも関わらず日本でのプレゼンスは昨年10月のTEDとのパートナーシップ締結に留まっております。
2021年・2022年の市況から「急速な成長」が必ずしも是とは限らないと学んだものの、今後日本でどういう展開がなされるか要チェックです。

Wiz raises $1B at a $12B valuation to expand its cloud security platform through acquisitions | TechCrunch

■RSACの中小規模ブース出展ベンダー

　④日本で大きい × RSACで中小規模

RSACでのプレゼンスよりも、日本でのベンダーの規模感・存在感が大きいベンダーは当方の管見の限りありませんでした。
日本が売上を先導している(とされている)外資系ベンダーどうか？と思ったのですが、当方が知る限りのそのようなベンダーも(日本の売上のおかげか)RSACでは大きなプレゼンスを誇っております。
やはり日本にだけマーケットフィットし、存続できる外資系製品はない様子です。もし気づきがある方がいらっしゃればぜひインサイトをください。

　⑤日本で中小規模 × RSACで中小規模

属性としては日本で中小規模かつRSACで大規模ブースを抱えるベンダーと類似しています。
その中でも企業の歴史の早いうちに日本のマーケット進出をしたベンダーは往々にしてRSACでも中小規模のブースで出店している印象を受けました。
早めに日本進出に踏み切るベンダーは、最新鋭で尖った技術をいち早く広めてくれる点でありがたい存在なのだろうなーと感じております。

　⑥日本でプレゼンスなし × RSACで中小規模

グローバルシーンでのスタートアップ界隈はここに分類されます。数としてはこの分類下にあるベンダーが一番多い印象を抱きました。
米国発祥の、軌道に乗りつつある中堅スタートアップがボリューム層を占めますが、ブースでは「北米進出したところで、まずは北米を制覇したい！」「北米で1人目のAEとして採用されたばかりで、これからマーケット開拓できるのが楽しみだ」というイキイキとしたイスラエル企業・欧州企業の声を聞きました。
VC曰く、近年はセキュリティベンダー界隈のファンディングはレイトステージよりアーリーステージの方が多いらしいので、ここから生き残ったベンダーたちがn年後、日本に拠点を出し進出してくれることを楽しみに待ちたいです。

■RSACでプレゼンスのないベンダー

　⑦日本で大きい× RSACにいない

今年はPANWが不在であったことが話題の俎上にありました。(この分類をしようと思い立ったきっかけでもあります)
日本では展示会によっては、有名かつ売れてるベンダーがブース出展しない決断をすることはよくあることです。むしろ王者の証的な・one of the cool kids的なスタンスでかっこいいなと思っていましたが、さすがにPANWがRSACという世界規模のセキュリティフェスティバルに参加しないのは異常事態であるようです。

　⑧日本で中小規模 × RSACにいない

ここには日本発祥のポイントソリューションベンダーが分類されます。
なおRSACにおいて日系製品のプレゼンスはゼロではなく、たとえばIIJが自社製品Safousを担いで中小規模ブースに出展されておりました。
当方の大学(院)の後輩が設立した国内発のCNAPPベンダー Cloudbase は世界を牽引することを目標に掲げているので、ぜひ近い将来に出展してほしいなと願う次第です。

Cloudbase｜note

　⑨日本でプレゼンスなし × RSACにいない

Security Yearbook 2023の集計によると、2022年時点でセキュリティベンダーは世界中で3269社あるとされておりました。なので当然出展していないベンダーの方が多いです。

ただ、RSACの文脈で指摘できることとしては、RSACにブース出展をしておらずとも、会場付近に赴き、カフェで商談をするセールス活動や、ラッピングを施したトラックを走らせるマーケティング活動に注力するベンダーがいらっしゃいました。グローバルで売上が芳しくないと噂を聞いているベンダーも、出展こそはないものの、会場への道中で見かけるひっそりした広告を出しているのを見かけました。

ブースの有無に関わらず、各ベンダーがそれぞれのスタイルで盛り上げていく様子はとても素敵だなーと、セキュリティのいちファンとして感じました。

◎日本ではあまり聞かないカテゴリ vs RSACでは頻出カテゴリ

ここでは、日本にいるとあんまり聞かないが、RSAC会場を巡っているとよく見かけたカテゴリについて、簡潔に触れていきます。
それぞれ日本での動向に注目していく所存です。機会があれば別途詳細を取り上げてまいります:

■Enterprise Browser

その名の通り、従業員が仕事で使うブラウザです。対義語はコンシューマーブラウザ (e.g. Safari, Chrome etc.)です。エンタープライズブラウザはコンシューマブラウザと比較して、あらゆる方面でセキュリティが強化されている製品です。
RSACではエンタープライズブラウザの新興ベンダーが大きなブースを出していたので、製品ジャンルとして盛り上がりを見せつつある様子を感じました。
日本法人があるエンタープライズブラウザベンダーにはMenlo Securityなどがあります。

■◯SPM

日本ではCSPM、SSPMなどは聞くようになったものの、たくさん亜種があります。
DLPやバックアップ系製品の系譜にあるDSPM (Data Security Posture Management)やDevSecOpsの進化系であるASPM(Application Security Posture Management)などは複数のブースでお見かけしました。
帰ってから調べると、◯SPMはもっと色々ありました。リブランディングも含め、この◯SPMのカテゴリ分類は流行っていくのかもしれないなーと感じました。

The 6 Categories of Cybersecurity Posture Explained

■CTEM

CTEM(シーテム / Continuous Threat Exposure Management)は製品カテゴリではなくGartnerが提唱するフレームワークです。
Continuous Threat Exposure Managementとある通り「社内が脅威にさらされていないか・脆弱性がないかを断続的にチェックしていきましょうね」という提唱です。
この「断続的なチェック態勢」を実現するための製品には例えばASM (Attack Surface Managment)、脆弱性診断、Penetration Testサービスなどがあります。このCTEMというフレームワークは、従来バラバラに提供されていた製品に文脈を与える感じがしました。

会場ではXM Cyberという、CTEMをバラバラにではなく限りなくワンプラットフォームで提供するベンダーのブースで、日本カントリーマネージャーに就任されたばかりの平岡様のお時間を頂戴いたしました。
平岡様はCTEMを一言で「社内ネットワークの健康診断・人間ドックのようなもの」と形容しておりました。わかりやすい喩えで、CTEMというコンセプトを一発で理解できました。
InteropでもXM Cyberの基調講演があるようなので、要チェックです。(回し者ではありませんが宣伝です)

https://forest.f2ff.jp/introduction/8919?project_id=20240601
(URLが埋め込みを拒否するのでこのまま掲載いたします)

■TPRM (3rd Party Risk Management)

ご存知のようにサードパーティリスクとは、いち企業がビジネスを営むにあたってパートナーシップを組む外注先やサプライヤーのセキュリティリスクを指します。
(例えば、いち企業が利活用するBoxなどのSaaS製品もサードパーティリスクを孕むものです。より身近な例で申しますと、外資系ITベンダーの日本法人が採用するインサイドセールス外注組織や、ローカライゼーションベンダーなどもサードパーティの一種です。)

サプライチェーン攻撃はこういった外注先の脆弱性を狙われるので、サプライヤー選定時にリスクアセスメントを要します。(SaaS製品の利活用も広義の「外注」と言えるでしょう)

TPRMのソリューションとしてはサプライヤー選定時のアンケートや人の手による調査などがありますが、正確さ・迅速さの観点であまり効果的でない場合が多いようです。
そこでITソリューションが役立ちます。日本にはレーティング形式のソリューションとしてSecurityScorecardなどが出てきております。

VCの方で2024年はAIの登場によってTPRMのカテゴリが大きく変容すると予測する方がいました。実際ブースでも、AIを用いたTPRMの製品を掲げるベンダーがおりました。
当方感覚では、まだまだ日本のTPRMのITソリューションマーケットは成熟しているとは言えないようは肌感を覚えます。今後の展開を見守っていきたい次第です。

■CNAPP

CNAPP(シーナップ / Cloud Native Application Protection Platform)は、クラウド上にあるアセットを守る製品群の総称です。いわゆるクラウドセキュリティです。ここにはCSPM, CWPP, CASBなどが含まれます。
CNAPPの成し遂げる目的としては、まずは①ユーザーのクラウド上に一体どういうものが上がっているかを可視化・クラウドの設定はどうなっているのかを把握した上で、②アノマリを炙り出していくものであると理解をしております。

日本進出しているCNAPPベンダーのひとつであるOrca Securityのブースを訪れた際、ジャパンビジネスを率いる露木様に直々にデモをお見せいただきました。さながらVIP待遇です。
そこで気づきとして得たのは、CNAPPも「CASBだけ」「CSPMだけ」とポイントでの導入ではクラウド上の安全を担保できないということです。
導入者視点で申しますと、SASEやCTEM同様、プラットフォームで提供できるベンダーに頼るのが良さそうだなと素人は感じました。(OrcaはCNAPPをワンプラットフォームで提供されているとのことです)

「日本でもシーナップはよく聞くようになったぞ、この伊藤のピックアップの切り口はいかがなものかと思う」という気持ちの方も多くいらっしゃるかと存じます。当方も日本でもカテゴリの概念としては浸透しつつあるような印象を抱きます。
しかしここでご指摘したいのは、日本とRSACにおけるCNAPPのプレゼンスの違いです。RSAC会場を巡っていると、CNAPPは日本でいうところのSASE市場ぐらい当然視されているカテゴリである印象を受けました。出展ブースも大規模なものばかりです。

私見ですが、この日本とRSACでのCNAPPのプレゼンスの差異は、クラウド環境の違いがあるのではないかと考えます。海外では日本と比べてクラウドシフトがかなり進んでいることは言うに及びませんが、パブリッククラウドの移行が盛んで、マルチクラウド環境もよくあると聞きます。すなわちクラウド環境の変化に富んでいるため、そのセキュリティを担保するためにCNAPPの導入が盛んですが、日本ではまだまだオンプレが覇権を握っており、ハイブリッド環境はあってもピュアクラウド環境は少数派であることから、グローバルと同じ傾きの成長グラフを描いていないのかもしれないと感じました。

引き続き日本におけるCNAPPの展開の様相を見守って行きたい次第です。Orcaも、先に述べた国産のCloudbaseも、しっかり応援してまいります。

◎日本でのセキュリティ意識 vs RSACでみたセキュリティ意識

『創造の共同体』が必読だったタイプの人文系出身者、かつセキュリティ素人の感想として聞き流していただきたいところですが、ブースで会場や事例講演などを通して一点、国家への帰属意識の点でRSACと日本で大きな違いを感じました。

日本では「今後起きうるかもしれない『事故』に対する対策」としてセキュリティ製品の提案がなされているイメージが強い一方、RSACではあらゆる面で国家への意識が底流にあり、セキュリティ製品の導入などといったセキュリティ対策を『国防』の一種と捉えている様子を感じました。

どんな事業会社も自社のバリューをお持ちです。そのバリューは、企業の持つ機密情報に凝縮されております。(e.g. コカコーラという事業会社のバリューは自社炭酸飲料であり、そのレシピは機密情報である、と言えるでしょう)それらを脅威に狙われることをビジネスに対する脅威であるだけでなく、国益をもたらす事業会社がゆえに、国家への脅威と考えているような帰属意識を強く感じました。

ブースではFBIやCISA, NSAといった国家機関の出展がありました。NSAの方の話を聞くと、「ブランドアウェアネスとその場でウォークインの採用面接をするために出展をしている」とのことでした。実際、別の時間に通りかかると採用セミナーを行なっておりました。スキルと国籍さえあればFBIにジョインしてみたい人生でした。ミーハーなので、とりあえず全パンフレットを持ち帰りました。

(左から) FBI, CISA, NSAのブース

そのほか、スペイン、ベルギー、韓国、サウジアラビアが国パビリオンという形式で、各国のセキュリティベンダーが共同出展をしておりました。この出展から、デジタル国防力を誇示する意図を看取しました。

スペイン・ベルギーの国パビリオン

加えて、あらゆる講演で2024年は多くの民主主義国で国家元首選出の選挙を控える年であることも強調されておりました。このようにセキュリティは他のテクノロジーと異なり、地政学的リスクと大きな影響を及ぼす点に特徴を持ちます。あくまで私の主観ですが、それゆえがゆえにセキュリティはテクノロジーカテゴリとしての複雑さ・厚み・面白みが増すなーと感じます。

Elections Around the World in 2024

日本ではセキュリティ製品を「自動車事故の保険みたいなもの」と捉え売るセールス・買うユーザーも一部いるようですが、先進国として、どんなユーザー企業も自社の貴重な情報をstate-backed threatから守るマインドを持つべきなのかもしれないと感じました。RSACではグローバルの風を受け、自分が少々平和ボケをしている感覚を覚えました。

◎日本での展示会 vs RSACの様子

そのほか当方が感じた展示会の様子の違いを記します。

■プレイフルマインドセット

日本とRSACでのB2Bマーケティング感覚の差異を感じました。
エンタープライズ向けITという一見コーポレートでつまらなさそうなものを、せめて(？)展示会ではより楽しいものにしようという意識や、ある種コンシューマーマーケティングにも近しいものを感じました。

例えば開場すぐの朝はドーナツとコーヒーをブースで配布し、夕方にはお酒がブースで提供されておりました。そのほか、ブースの規模を問わずゲームやガチャガチャのような催し物がたくさんありました。まさにお祭りムードです。(自慢ですが、開場15分後にミーハー心で参加したゲームでBoseのスピーカー当てちゃいました)

Swimlaneブースで午前中、コーヒーとドーナツを配布している様子

先に触れたWizのブースなどはスーパーマーケットをテーマにして、クラウドセキュリティ関連のパロディが施されたアイテムを陳列しておりました。たくさん写真を撮ってviral marketingを狙う魂胆なのかなと勝手に推察しました。実際当方はWizのブースで50枚ぐらい写真撮りました。ファンの心を掴むのが上手いなーと感じました。日本でもこういったマーケティングを見てみたい気持ちになりました。

50枚撮影したうちの3枚です。私のお気に入りは右の<Doritos>を模した<DDoS>です

実際このような楽しい催事はセキュリティファンとしてはとても楽しいものの、クライアントの求めているものや来場目的に沿うものであるのかは未知数です。

■CXO・えらい人のフランクさ

これは日系非テック企業 vs テックカンパニーの比較に近しいかもしれませんが、えらい人がかなりハンズオンです。

もちろん企業規模によるとはいえ、大規模ブースであっても、ブースを訪れて適当に話しかけた方がCEOやHead of Salesであったり、CTOがカフェ商談に参加されていたり、投資家がブースに遊びにきていたりします。日本でもカントリーマネージャーの方がブースにいらっしゃるのはよくあることかと存じますが、HQでもそのような感じだったとは思いもよりませんでした。

職業柄外資系テックベンダーで働く方の「マネジメントになりたい」「カントリーマネージャーになりたい」と野心を耳にする機会が多いです。その多くはIC業を卒業し、ハンズオフマネジメントを想定している印象を受けます。

一方、弊社が担うジャパンカントリーマネージャーサーチのほとんどはサーチキックオフ時に「ハンズオンで、お客さんと話すことが好きなプレイイングマネージャーがほしい」と言われます。ゼネラルマネジメントスキルを求められるカンマネサーチでも、いざとなれば現場に赴ける方のバリューが高く、オファーを獲得されるイメージがあります。本国CXOがこれほどハンズオンな業界なので、当然かもしれません。

「マネジメントを目指したい」と考える方は、今一度ご自身の中でのマネジメントの定義や目指したい方向性にズレがないかを検討・是正する必要があるかもしれません。

■ノベルティ / swag論考

いちセキュリティファンとして、日本では入手困難な販促グッズを手にいれることをとても楽しみにしておりました。結果的に主にTシャツ、靴下、シールを大量にゲットしました(都合により写真は割愛します。)

日本の展示会よりもマーケティング予算が投資されているのか、日本よりも気軽にTシャツを配布しているイメージがあります。7枚ぐらいもらいました。

ノベルティに力を入れていないブースでも、多くはシールと靴下を用意していたイメージです。靴下は日本の展示会でいうところのペンぐらいのカジュアルさで配布されておりました。5足近くいただきました。
シールも欲深くたくさん持って帰りましたが、もったいなくてどこにも貼れていません。

当ててしまったBoseのスピーカー・家族へのお土産と合わせて、スーツケースの余裕がなくて日本に持ち帰るには少々テクニックが要されました。RSACにはでかめのスーツケースで行かれることをおすすめいたします。

◎’Cyber Security is a Data Problem’

(どこに分類したらいいか見失ったので、独立した項目をつくりました。)

続々といろんなスピーカーが登場するキーノート講演では、(先に少し触れましたが) Crowdstrike CEOのGeorge Kurtzのあと、Splunk CEO (President, GTM@Cisco)のGary Steeleが連続で登壇されておりました。

自慢ですが、映画館3つ繋げたみたいな巨大な箱で、最前列席を確保しました

キーノートはこの2名の講演しか参加できませんでしたが、Cyber Security is a Data Problemというのは、2人ともわざわざスライドを用意しておっしゃっておりました。なんだか重要そうですね。

これまでもこの「データに着目する」というアプローチは何度か耳にしたことがありますが、どうやらこの「データ」意味するところは2つありそうだと察しました。

1つ目は守るべき資産としてのデータです。これはバックアップやCASB, DLPといった製品で対策していきましょう、という展開の議論でよく耳にしていたのでなんとなく理解が及んでおりました。
2つ目はセキュリティログというデータです。ユーザーが導入した各セキュリティ製品が出力する膨大な量のログをどう捌くかという文脈での「データ」です。カバーするべきはGeorge Kurtz, Gary Steeleが言及していたのはこちらです。この観点から、やはりXDR、特にSIEMやSOARの今後の変容には注目していきたい気持ちが強まりました。

◎Epilogue

はじめてのRSAC参加ゆえ、エキサイトメントのあまり鼻息荒く準備を進めておりましたが、実際モスコーニセンターに着くと展示会の規模の大きさに圧倒されてしまい、想定していた1/10も行動ができませんでした。すなわち当方の備忘録ではRSACで起きていることのほんの一部しか取り上げられていないということです。

肝心のビジネスに直結したかはさておき、日本にいては見えない世界に触れられたとても刺激的な経験でした。(それゆえ目新しいものごとが多く、備忘録も2万字に膨れ上がってしまいました。ですます調とはいえ卒論かよ。)

本稿ではパスの種類・レジストレーションなどのロジスティクス関連の事項にあまり触れられませんでしたが、ここで1点挙げるならば、今後RSACに初参加される予定がある方は、よほどの理由がない限りはご自身の足とメンタルを守るためにもスニーカーorご自身の最も履き慣れている靴での参加を強くお勧めいたします。(George Kurtzもスニーカーでした)

余談ですが、行きの飛行機ではBlackberryの端末ビジネスの盛衰を描いた映画を観ました。Glen Howertonという当方の大好きなシットコムIASIPで名を馳せた俳優が主演を務め、かつ端末屋さんからセキュリティベンダーにピボットを遂げた企業なのでRSACに向かう飛行機でみる映画としては相応しいなと感じたので選びました。この映画では唯一無二のテクノロジーで以て開発したBlackberry端末がマーケットに旋風を巻き起こし、テックジャイアントAppleがiPhoneを発表してからの衰退する様子が描かれておりました。

会期中、カンマネ陣と一緒にブースを巡る場面もあったのですが、百戦錬磨の方が「このたくさんあるベンダーの中から生き残れるのはほんのわずかだよ」とおっしゃっていました。どんなに画期的な技術やアイディアを打ち出しても、Blackberryの端末ビジネスのようにテックジャイアントの方針によってセキュリティのカテゴリがまるまる1つ潰されてしまうことさえありえます。テック界隈の刹那さを改めて感じました。

加えてポイントソリューションベンダーの場合、主力製品がすぐにobsolete technologyになってしまうことだってあるでしょう。新しいテクノロジー動向、特に何が日本で売れそうかという情報収集を怠ればすぐに置いていかれるのが現状です。さらには売れる売れないに関わらず、外資系ベンダーの場合は日本撤退リスクや解任リスクが必ずついてまわります。

我々のようなリクルーターが市場動向をウォッチし、最前線でイケてるテクノロジーを広める皆様に適切なインサイトを提供することによって、(自社経由でなくとも)キャリアのサポートをしていくことの意義を少し感じました。引き続き皆様のお力を拝借しつつ、自分の足で情報を稼ぐ次第です。