%20(1).png)
まずは、あるチャート図をご紹介しましょう。エストニア共和国の「e-Governance Academy(電子政府、eデモクラシーや国家レベルでのサイバーセキュリティ、オープンな情報社会の発展を目的として設立された非営利団体)」による『The National Cyber Security Index (NCSI) 』の公表データです。示されているのは、日本を含むGDPトップ10カ国の「サイバーセキュリティレベル」と「デジタル化(ICTやネットワーク化の進展)レベル」です。
この2つのレベルの差分を見ることで「デジタル化に対して、サイバーセキュリティがどこまで追いついているか」を確認できます。差分が大きいほど、サイバー攻撃のリスクが高いといえます。
結果は、サイバーセキュリティが盛んであるアメリカの差分が最も大きく、その次に続くのが日本でした。つまり、世界ワースト2位である日本の現状を逆手に取れば、「日本発のサイバーセキュリティSaaSスタートアップ」を創ることには、一つのビジネスチャンスを見ることもできます。
本記事では、国内外を含めたサイバーセキュリティの現状やSaaS企業の事例を紐解きながら、日本市場で求められるプロダクトやソリューションを考えるきっかけを提示したいと考えています。そして、日本発のサイバーセキュリティSaaSスタートアップとして、勝ち続けていくためのポイントについても考察していきます。
1. 日本のサイバーセキュリティを取り巻く現状
最近では国内外を問わず、サイバーインシデントに関するニュースをよく目にするようになりました。「ロシアによるウクライナ侵攻」や「米中の大国間競争」による地政学リスクの問題はもちろん、「トヨタ自動車の国内全工場停止」や「徳島県の半田病院に対するランサムウェア攻撃」といった事件も起きています。
世界最大級の統計データプラットフォームを持つStatistaによる2022年末の調査では、サイバー被害による世界的な損失コストは、2022年の$8.44T(約1,100兆円)から2027年には3倍の$23.84T(約3,300兆円)まで増加し、それ以降もとどまることなく増えていくと論じています。
この脅威に対応するべく、内部と外部を区分けせずにセキュリティ対策をする「ゼロ・トラスト」といった考え方や、欧米をはじめとするサイバーセキュリティベンダーのソリューションが日本でも普及してきました。企業の信頼を守る施策は「当たり前」であり、多くの方に根付くようになったかと思います。
さて、冒頭で紹介したデータにもあったように、GDPトップ10カ国のうち、日本のサイバーセキュリティレベルはワースト2位でした。デジタルレベルが同水準のドイツやイギリスと比較してみると、この差はどこからくるのでしょうか。要因としては「整備された規制と体制」が挙げられます。
ドイツやイギリスでは、無力化ないしは破壊されると大きな影響が出る「Essential Industry(重点産業)」を定義しつつ、各国のサイバーセキュリティ機関が、それぞれの業界事業者を監督する権限を持っています。ドイツの機関はFederal Office for Information Security、イギリスはNational Cyber Security Centreですが、彼らの監督下でサイバーセキュリティ要件が硬く遵守されています。特にドイツの各事業者は、サイバーセキュリティコンプライアンスの基準を満たしていることを、2年に一度、報告することが求められています。
日本では、内閣サイバーセキュリティセンターが『重要インフラのサイバーセキュリティに係る行動計画』を策定しましたが、基本的な対策は事業者の自主性と積極性に基づいています。政府が指定した基準によって管理するといった強制力は働いていないといえる、と考えます。
COVID-19によって日本でも一気に普及した電子署名を例にとっても、規制の厳しさは異なります。EUの場合は、改竄防止などを目的として、電子署名に法的拘束力を持たせるための「e-IDAS(e-Identification and Authentication and Trust Services規則)」に従わなくてはなりません。
日本の場合、電子認証をはじめとした「認定認証が必要である」とは電子署名法に明記されていません。当該法律における「本人性」と「非改竄性」という要件を満たせば、電子署名による契約の真正は担保されるとしています。これは日本に根強くある経験則によるものでしょう。契約書に契約者本人の印影があれば本人の意思によるもの(=本人性)だと推定され、契約に用いる印鑑は第三者が無断で使用することはない同一のもの(=非改竄性)、という前提の考え方があります。
以上を踏まえると、日本は規制が強く働いていないがゆえに、事業者がどこまで危機感を持ってサイバーセキュリティの強化に臨めるかが論点になるでしょう。一方、その強化を進める上では、日本が持つ以下のユニークなポイントを考慮する必要もあります。
1. 地政学リスク
- 日本はアメリカと中国の間に国土があるがゆえに、近年トレンドにある米中2国間のデカップリングに起因するリスクに晒されることが想定されます。COVID-19の流行後、「脱中国」を掲げてベトナムといった近隣国に生産拠点などを移す日本企業もいましたが、引き続き高い市場成長率を誇る中国から脱することは難しい状況です。
- アメリカ、中国それぞれが独自の経済圏(IPEF / 一帯一路)を構築しようとしている中で、どちらにも関わりを持つ日本は、それぞれが相手を牽制するためのサイバー攻撃を受ける可能性も想定されます。日本が誇る製造業を含む生産活動に対するリスクが今後も残ることを考慮し、対策を講じることが求められます。
2.「お人好し」社会
- 日本が誇る「おもてなし文化」は、「お人好し」の性格から為すことができるものだと考えます。「お人好し」は原則として「人を疑わない」ことが根底にあり、この心構えが日本人に強く定着していることが、フィッシングなどの従業員起点によるサイバーインシデントの増大に繋がっている恐れがあります。
「サイバー攻撃は受ける」という前提に立てず、不審なものを遠ざけることができない以上は、今後もサイバー被害を受けるであろうことが課題です。
3. 人材不足
- 情報セキュリティ専門会社「NRIセキュアテクノロジーズ」の調査によると、日本はアメリカやオーストラリアと比較し、「サイバーセキュリティ人材が不足している」という課題感を他の2カ国よりも強く持っています。そもそもCISOという専任者の設置すらできておらず、依然としてCTOや情報システム部門が兼務で担当している企業も見られます。
- 日本企業全体としてセキュリティ投資への方針が根付いていない中で、対策を検討し、講じる人材も不足することが想定されます。専門性を持ってセキュリティ戦略を企画できず、リスクを評価・監査することもできないことが課題です。一方で、それらの人材不足をカバーするサイバーセキュリティプロダクトやサービスの開発・活用が期待されます。
日本はいつでもサイバー攻撃を受ける環境にあること、一方で強化する難しさも見えてきました。
2. 注目トレンド
マッキンゼーアンドカンパニーの調査によると、グローバルにおけるサイバーセキュリティの被害額は2021年で$1.5T(約200兆円)と予測されています。また、Cybersecurity Venturesの調べでは、2025年ではその7倍の$10.5T(約1,400兆円)まで拡大することが見込まれています。
この巨大なTAMの中で、実際にサイバーセキュリティ対策にかけられている金額(≒ サイバーセキュリティソリューションが販売されているマーケットの大きさ)は$200B(約26兆円、2023年時点)となっており、依然として10倍以上のマーケットポテンシャルがあることがわかります。
欧米を中心に、サイバーセキュリティスタートアップはこの市場規模に着目し、様々なプロダクトとサービスを提供してきました。サイバー空間の登場とテクノロジーの発展によりサイバー攻撃は多様化し、今後も防御策を講じるためのソリューションの開発が期待されます。
ここからは、ALL STAR SAAS FUNDが注目する「サイバーセキュリティの3大カテゴリ」と、2つの潮流について紹介します。
サイバーセキュリティの3大カテゴリ
1. クラウド化時代のアセット / インフラセキュリティ
クラウド、アプリケーション、データ、ID、IoTなど、企業はデジタル化やDXに伴うデジタルアセットやインフラを抱えるようになりました。
「アセット / インフラ」は全体で見ると大きな区分になってしまうため、ここでは日本企業のデジタル化の歴史を「クラウド化“前”」と「クラウド化」に分け、それぞれのフェーズにおける課題と利用されていたSaaSについて解説します。
「クラウド化“前”」の時代では「万全なセキュリティ=限りなく完璧に攻撃をシャットダウンする」という発想と、自社でサーバーを運用するオンプレミスを採用する企業も多くあったことから、企業はエンドポイントセキュリティやDDoS攻撃への対策、外部からの不正アクセスを遮断するファイヤーウォールを積極的に採用していました。これらの領域の代表的な企業例として、Cisco、Trend Micro、McAFeeなどが挙げられます。
一方で「クラウド化」が進むと、横断的にクラウド利用時の脆弱性といった問題を検知・診断したり、機密情報を管理したりすることが求められるようになりました。クラウドセキュリティにもあらゆる分野が挙げられますが、代表例が18ヶ月でARR$1Mから$100Mを達成したWiz、「人」にフォーカスした製品で防御力を高めるProofpoint、日本発のスタートアップであるCloudbaseなどです。
また、クラウド化は企業にとっては外部サービスを利用することになるため、サイバーセキュリティにおける社内・社外の境目がなくなってきたことで、「ゼロ・トラスト」を前提として対策が求められるようになりました。クラウドサービスを利用する際の方針やルールをとりまとめ、管理することが求められます。ガバナンスを強化するためのサービスとしてはCavirin、Axonius、Stacklet、日本ではISMS取得を支援するSecureNaviが代表例といえます。
2. 従業員教育
セキュリティ事業を世界で展開するフランスの「Thales」によるレポートでは「データ侵害を受けた組織の最も大きな原因は構成ミスまたは人的ミスであった」とあるように、サイバー被害の対策として従業員のリテラシー向上は重要です。
プレーヤーとしてはそこまで多くはないものの、アメリカではKnowbe4がVista Equity Partnersに$4.6Bで買収されたことが昨年話題になりました。日本ではALL STAR SAAS FUNDの支援先でもあるAironWorksが、セキュリティアウェアネスを高める教育サービスやフィッシングなどのサイバー攻撃シミュレーションを提供しています。サイバー攻撃を当然のものとして受け止め、従業員一人ひとりが適切に対策できる環境づくりが求められています。
3. DevSecOps
クラウドサービスのスタートアップや企業数が多い欧米では「DevSecOps」を支援するプロダクトがあります。DevSecOpsとは、開発(Development)と運用(Operations)が連携して短期間でリリースする「DevOps」という開発スタイルに、セキュリティ(Security)も融合させる考え方です。セキュリティを確保しつつ、開発スピードを損なわないスタイルといえます。
日本企業でも徐々にアプリケーションやシステム開発の内製化が進みつつあることを考慮すると、チェックしておくべきトレンドと考えます。最近ではダイキン工業がSnykの導入を決めるなど、実際にツール活用が進んでいます。
ソフトウェア開発ライフサイクル(SDLC)の中では、重大なセキュリティリスクを早期に把握することでデプロイのスピードを落とさないことがキーになります。例えば、コーディングを通してプロダクトを開発している最中では、セキュリティの脆弱性やコーディングエラーをいち早く見つけることがリスク回避に繋がります。また、進化し続けるプロダクトに対して「継続的インテグレーション / 継続的デリバリー&デプロイ (CI/CD)」 をサポートするSaaSも登場しています。代表例では、Chainguard、Cider、Cycodeが挙げられます。
サイバーセキュリティ2つの潮流
1. Embedded Cybersecurityの発達
ここ5年で、コラボレーションSaaSやクラウドコンピューティングの世界において、急激にサイバーセキュリティ領域で台頭している企業があります。Microsoftです。Microsoftはサイバーセキュリティ関連のビジネスだけでも年間売上高が$20B(約2.5兆円)規模になっており、実はどのサイバーセキュリティ企業よりも高い売上高を叩き出しています。
他にも、Amazon Web ServicesやGoogle Cloud PlatformなどのPaaS、ServiceNow、Box、SnowflakeなどのSaaSがセキュリティサービスを展開しています。
純粋にサイバーセキュリティ領域で戦うプレーヤーが数多くいることを考えれば(Microsoftのような特例を除き)、スタートアップによる勝算はあまりないように感じます。一方で、ソフトウェアを導入検討する担当者(CISOやCIOなど)の立場で考えてみると、サイバーセキュリティは広範囲かつ多岐にわたっており、セキュリティ人材が不足している中では、管理するサイバーセキュリティプロダクトの数も、なるべく1社にまとめて最小化していきたいというニーズはありそうです。
MicrosoftはID / アクセス管理やエンドポイント、データなど複数領域のサービスを持っていますが、これはOktaやCrowdStrike、SentinelOne、BigIDなど様々な企業を相手にするチャレンジをしていることにもなります。上述した理由を考慮すれば、それぞれの分野で個別のプロダクトを導入しなくても、「Microsoft 1社で済む」という発想に至ることを考えた戦略を採用することで実績が挙げられていると考えても、おかしくなさそうです。
2. AI技術の浸透
サイバーセキュリティ領域にもAI技術の応用は期待されており、2023年に入ってからもCoroやPeris.ai、Safe Security、Riot、DataDomeなどがAI技術を活用したサイバーセキュリティスタートアップとして資金調達をしています。
生成AIの技術革新に伴い、ハッカーがテキストや音声によるサイバー攻撃の質も量も、格段に上げられることが懸念されています。RiotやDataDome、そして従来のCrowdStrikeやCybereasonなどは、AIが持つ学習能力を活用しながらサイバー攻撃の傾向を把握し、防御策を導くことを支援しています。
これまで「人 vs 人」であったサイバー領域の攻防戦が、今後は「AI vs AI」の世界になってくることも、そう遠くはないでしょう。
3. 日本発SaaSスタートアップとして戦うには
第2章では注目トレンドや潮流について触れましたが、ここからは日本発のサイバーセキュリティSaaSスタートアップを創ることについて考察していきます。
まず、現時点で日本のサイバーセキュリティ銘柄(上場銘柄35社をピックアップ。ソフトウェア、クラウドサービス提供企業以外のSIer企業などを含む)のうち、2010年以降に創業して上場まで至った銘柄はわずか3社。市場が大きくなり、重要性が認知され、全体のレベルを上げるためにも、Made in Japanな新しいサイバーセキュリティ企業の台頭が望まれます。
サイバーセキュリティ大国であるアメリカの上場銘柄を同じく35社、時価総額上位から選定して見てみると、CrowdStrike、Cloudflare、ZscalerなどSaaS業界の代表格である企業が名を連ねており、2010年代創業の企業も8社存在しています。
もっとも、アメリカのプレーヤーが日本でもサービスを展開しているため、日本のサイバーセキュリティレベルを上げていくためには、それらを使うことで事が足りるという考えもありえます。
第1章でお伝えした人手不足に関しては、人材採用の難しさや人手によってサイバーセキュリティを強化する限界を打開するべく、ソフトウェアプロダクトの導入が大きく貢献しうるため、外資系のサービスを活用することは一理あります。
一方で、そもそも日本にはサイバー攻撃に対応するために組織の体質(「お人好し」体質)自体の改革が求められていることも指摘しました。つまり、企業側の組織体制やカルチャー、対策、仕組みなどを根本的に変えていくためのカスタマーサクセスもセットにすることに価値があるのです。よりプロダクトやカスタマーサクセスが日本の企業に近い場所で、総合的なサイバーセキュリティ対策に立ち向かっていく。そこにこそ、日本でサイバーセキュリティスタートアップを立ち上げる意味があると考えます。
では、スタートアップを立ち上げる場合、どのような機会があり、何に気をつけていくべきでしょうか。ここからはALL STAR SAAS FUNDが考える「市場の機会」と「チャレンジ」について整理していきます。
日本でサイバーセキュリティSaaSを立ち上げる「市場の機会」と「チャレンジ」
市場の機会
1. 高いACVが狙える
日本の大企業がIT投資にかける年間予算は、売上に対しておおよそ1%と言われています。NRIセキュアテクノロジーズの調査を参考に、IT関連予算に占めるセキュリティ関連予算の割合がおよそ10%であると仮定すると、売上高1,000億円規模の企業をターゲットにする場合は1億円ほどの予算があると計算できます。
HENNGE OneのIR資料では、2022年では1ユーザーあたりの単価が2,000円以上、顧客の中にも1社あたり5,000名超がユーザーとして利用しているケースもあるとのことで、単純計算でACV1,000万円のチャンスがある領域だと窺えます。
2. 未開拓市場の余地
日本でもPalo Alto NetworksやFortinet、CrowdStrike、Oktaなどサイバーセキュリティの代表的な企業は日本法人を設立し、日本市場で事業を展開しています。ProofpointやNetskopeは、日本の代理店と提携して、日本企業への導入を加速させています。
日本企業のデジタル化の進展に伴って海外プレーヤーの市場参入も進んでいることから、日本で何かしらのプロダクトを利用する場合は、すでに外資系のものへのアクセスが十分に整っているところへ立ち向かわなければいけないように感じます。しかし、第2章で参照したマッキンゼーが調査したTAMの可能性を鑑みれば、まだまだ日本でカバーされていない領域があるとも考えられます。
例えば、クラウドセキュリティの分野では、Wizを筆頭として海外ではプレーヤーが急速な成長を遂げていますが、日本ではCloudbaseがスズキやアイフルなど大手企業の導入事例を積み上げつつあります。
チャレンジ
1. 日本市場はサイバーセキュリティの体制から整える必要がある
第1章で言及した「お人好し」文化のように、日本ではそもそもサイバーセキュリティに対する向き合い方からアップデートすることが求められます。市場のマチュリティレベルを的確に捉えて課題を特定し、それに見合うプロダクトを提供するだけでは不十分です。体制やカルチャーのあり方を一緒に定義していきながら、サクセスまで実現するハイタッチな向き合い方も求められると考えます。
課題のレベルに見合わず、技術的にリッチなプロダクトを提供することになってしまうとセールスサイクルが長くなるリスクも孕みます。より効率的にキャッシュを活用していくためにも、SaaSプロダクトを日本市場で作っていく場合は「現在の日本企業がプロダクトを受け入れられる状態か」「緊急度も重要度も高い課題に合致したプロダクトを提供できているか」という問いと向き合い続けることが欠かせません。
2. スタートアップ側のチームレベルの高さが求められる
先述したハイタッチな支援のためには、少なくともサイバーセキュリティ領域に長けていることが望まれますが、そもそも日本にはそのような人材が不足しています。また、大手企業に対してプロダクトを提供していく場合は、大企業の構造や力学などを理解できるケイパビリティも必要になってきますが、両輪で揃えている人材は日本では希少性が高いといえます。つまるところ、組織づくりにおいても採用力の高さが鍵になります。
CrowdStrikeは成長を続けるために、人材が熱く求められる領域で一流社員を採用することにも余念がありませんでした。サイバーセキュリティ領域に長けた人材は世界的に少ない中でも、セールスやエンジニア職の候補者はケーススタディを含む面接を5回以上行う(エンジニアに関しては候補者と10名面談を実施する)こともあり、会社へのフィット度合いを綿密に確かめていました。スタートアップ全般にも通じることですが、優秀な人材を採用するために時間と労力を惜しみなく投下して、素晴らしいチームを作り上げることがより求められると考えます。
3. ROIを丁寧に示す必要がある
サイバーセキュリティを徹底していくと、これまで企業が規制なく行っていた事業活動のスピードが下がる可能性があるため、企業からすれば「ブレーキ」と捉えられてしまう恐れがあります。そのため、導入にあたっては企業の経営戦略において「なぜ、今、必要なのか」を明確にすることと、事業部との丁寧なコミュニケーションが求められます。
また、そもそも「サイバーセキュリティで何をやっていくべきかわからない」という企業であれば、その必要性を感じることが難しく、政府がルールやガイドラインを制定してやっと腰を上げるというケースも考えられます。この課題は、システム関連を外注先のSIerが大きく支えている日本独自の構造からも生まれています。それらの状況を考慮し、お客さまと一緒に目標や戦略をデザインしていくコンサルテーションの動きを取りつつ、サイバーセキュリティを高め、ROI達成に向けて伴走していくことが必要でしょう。
最後に、執筆にあたり、クラウドセキュリティサービスを提供するCloudbase株式会社のCEO岩佐晃也さん、COO小川竜馬さんにご協力いただき、本記事のレビューをしていただきました。心より感謝いたします。
日々サイバーセキュリティ業界と密に向き合っていらっしゃる中から得られたご知見は、大変勉強になることが多くございました。改めて御礼を申し上げます。ありがとうございました。
(参照記事・ソース)
- NSCI
- Cybercrime Expected To Skyrocket in Coming Years
- EUや全世界で法的拘束力を持つ電子署名を作成する方法
- 内閣サイバーセキュリティセンター
- 電子署名法第2条・第3条の解釈は何が正解?わかりやすく解説!
- ジオテクノロジーとサイバーセキュリティ
- NRIセキュア、日・米・豪の3か国で「企業における情報セキュリティ実態調査2022」を実施
- New survey reveals $2 trillion market opportunity for cybersecurity technology and service providers
- 2022 Cybersecurity Almanac: 100 Facts, Figures, Predictions And Statistics
- Comprehensive Analysis of Cybersecurity Market
- 結局クラウドデータ侵害は人的ミスが原因なことが多い Thalesがセキュリティ調査レポートを公開
- Vista Equity Partners to acquire cybersecurity company KnowBe4 for $4.6B
- セキュリティ用語解説
- From Code to Cloud: Security Themes for 2022 and Beyond
- Microsoft: A Deep Dive Into Its Mammoth Cybersecurity Business
- 【サイバーセキュリティ】関連が株式テーマの銘柄一覧
- 日本企業、IT投資出遅れ
