#FlattSecurityMagazine

セキュリティとプロダクト開発の今を伝えるメディア

累計調達額は約2兆円。2022年の海外セキュリティスタートアップの3つの新トレンドと2023年の予想

はじめに

こんにちは、Flatt Securityで事業開発をしている小島(@ryoidong)です。

前回の開発者向けセキュリティSaaS市場に関する記事では、多くの反響をいただきましてありがとうございました。

flatt.tech

今回は2022年の海外セキュリティスタートアップの注目トレンドのまとめと、2023年これからの個人的な予想について書いていきたいと思います。

セキュリティに馴染みのない方にとっては少し専門的に感じられるようなテーマにも触れますが、セキュリティスタートアップ市場の大きさやトレンド変化の面白さを感じていただけたら嬉しいです。

2022年の海外セキュリティスタートアップの市場環境

2022年のセキュリティスタートアップの資金調達の総額は、約2.1兆円 (≒16億ドル)*1です。この数字は、セキュリティ領域以外も含む2022年の国内スタートアップ全体の資金調達額のおよそ2.5倍の数字*2であることからも、その投資規模の大きさが分かります。

一方で、投資件数は2021年末から2022年頭にかけてピークを迎えていましたが、2022 Q3の時点では2020年以前の水準に戻っており、市場の冷え込みを感じさせます。

全世界のセキュリティスタートアップへの投資件数の四半期ごとの推移 https://www.crunchbase.com/hub/security-companies より引用 (2022/12/21)*3

その中でも、2022年の代表的な資金調達として、開発者向けのセキュリティサービスであるSonarSourceやパスワード管理ツールの1Passwordなどが挙げられます。どちらも日本円で500億円を超える巨額の調達となり、業界に大きなインパクトを与えました。

この後のセクションでは、このようなセキュリティスタートアップの市場環境の中で生まれた新しいトレンドについて、トレンドを代表するSaaSの説明を交えながらご紹介します。

2022年の海外セキュリティスタートアップの3つの注目トレンド

トレンド1: ソフトウェアサプライチェーンを対象にした開発者向けセキュリティSaaSの増加

2022年最も目立ったトレンドは、ソフトウェアサプライチェーンを対象にしたSaaSスタートアップの資金調達の増加です。ソフトウェアサプライチェーンとは、ソフトウェアを開発してからユーザーに提供するまでの一連のプロセスを指します。

現代のソフトウェアサプライチェーンは、開発プロセスを自動化・効率化するために、ツール群やプロセスが年々複雑になってきています。一方で、そのツール群やプロセス全てにセキュリティ対策を施すことは難しく、これらを対象としたセキュリティリスクが顕在化するようになってきました。下の図は、ソフトウェアサプライチェーンにおけるプロセスとそのセキュリティ対策の一例です。



実際にこれらのセキュリティリスクは、2020年末のSolarWinds社が提供しているSaaSでのインシデント*4や2021年末に話題になったLog4jの問題*5などが明るみに出たことにより、2022年に入ってから特に注目されることが多くなってきました

具体的には、今年1月には米国ホワイトハウス主催のオープンソースセキュリティーサミットが開かれ、その第2回が開催された今年5月には今後2年でオープンソースソフトウェア(以下、OSS)のセキュリティ対策に約200億円(≒1.5億ドル)を投資する計画が立てられる*6など、その流れは加速。年間を通してソフトウェアサプライチェーンを対象にしたセキュリティSaaSの公開や資金調達が続き、今までで最もソフトウェアサプライチェーンのセキュリティに関する動きが盛り上がったと言える年になりました。

この後のセクションでは、そんなソフトウェアサプライチェーンを対象にしたセキュリティスタートアップの今年のトレンドと合わせて、注目のSaaSを紹介します。

プラットフォーム化を狙うプレイヤーの巨額調達

Apiiro

(公式サイト: https://apiiro.com/より)
2022年11月にSeries BラウンドでGeneral Catalystなどから1億ドルの資金調達をしています。

Apiiroは、アプリケーションからクラウドまで、開発に関わるプラットフォームに対して一気通貫したセキュリティリスクの検知ができるSaaSです。

一気通貫してソフトウェアサプライチェーン上のコンポーネントを管理することで、脆弱性によるセキュリティリスクを検知した際に「公開されるアプリケーションなのでリスクがより高い」「攻撃者が悪用できない脆弱性はリスクが低い」といったソフトウェア開発の文脈を把握したリスクの優先度付けができることが特徴です*7

apiiro.com

Chainguard

(公式サイト: https://www.chainguard.dev/より)

元Google社員 5人によって創業されたスタートアップで、2022年6月にSeries AラウンドでSequoia Capitalなどから5000万ドルを調達しています。

Chainguardのメンバーは、ソフトウェアサプライチェーンのセキュリティ担保のためのフレームワークであるSLSA(サルサ)など、ソフトウェアサプライチェーンのセキュリティに携わる人にとって有名なプロジェクトを複数手掛けています。

主要サービスであるChainguard Enforceは、そのSLSAやNIST(米国国立標準技術研究所)のフレームワークに従って自社のポリシーを構築・管理できるプラットフォームです。例えばソースコードの変更を信頼できる署名のあるものだけに強制するなど、ソフトウェアサプライチェーンに悪意のある変更が加えられないようにすることが可能になるSaaSです。

www.chainguard.dev

特定の領域に強みを持つプレイヤーの誕生

Socket

(公式サイト: https://socket.dev/より)
2022年5月にSeedラウンドで元GitHub CEOのNat Friedman氏や複数のVCから460万ドルを調達。

悪意のあるOSSが混入することを防ぐためのSaaSで、従来のツールではあまり対応されていない種類のリスク検知ができることが特徴です。例えば、OSSの品質やメンテナンス頻度が低いものを見つけることができたり、似た名前の悪意のあるパッケージを利用していないか検知したりすることができます。

socket.dev

Arnica

(公式サイト: https://www.arnica.io/より)

2022年10月にSeedラウンドでJoule Venturesなどから700万ドルを調達。

ソースコード管理システムを対象にしたセキュリティSaaSです。GitHubやAzure DevOpsなどのソースコード管理システムと連携することで、アクセス管理や不正検知、機微情報の混入などを検知することができます。

www.arnica.io

新規プレイヤーの大型シード調達とステルス解除

Ox Security

(公式サイト: https://www.ox.security/より)
2022年10月にSeedラウンドで、Evolution Equity Partners、Team8などから3400万ドルの資金を調達しました。この資金調達の発表とともに、ステルスを解除しました。

OSSの検知ツールや他のセキュリティSaaSを連携することで、ソースコードからクラウドまでソフトウェア開発プロセスのセキュリティの問題を一元管理することができます。

www.ox.security

Endor

(公式サイト: https://www.endorlabs.com/より)

2022年10月にSeedラウンドでSilicon Valley CISO InvestmentsやLightspeedなどから2500万ドルの資金調達を公表し、ステルス状態を解除しました。

Endorは、アプリケーションに依存しているOSSのセキュリティ上の問題を検知することができるSaaSです。競合SaaSと比べるとソフトウェアサプライチェーン上の問題検出カバレッジは少ないものの、資金調達時のインタビューでは、OSSの品質やセキュリティ、メンテナンス活動などを元にした独自のセキュリティリスクと運用リスクの測定が強みと語られています*8

www.endorlabs.com

トレンド2: コンプライアンスチェックの自動化SaaSの競争激化

次に注目する新トレンドは、コンプライアンスチェックの自動化SaaSの競争激化です。

コンプライアンスチェックの自動化SaaSとは、企業がSOC 2や ISO 27001、GDPRといったコンプライアンスの国際基準に準拠することを目的としたSaaSです。人事管理SaaSだけでなくAWSやGCPなどのクラウドプロバイダ、GitHubなどのソースコード管理システムを連携させることで、それらのSaaSのデータを連携し、自動的かつ継続的にデータの監査できることが大きな特徴です。

まだあまり日本では馴染みがないかもしれませんが、人事情報や顧客情報などの機微情報を扱うSaaSの増加やコンプライアンス基準の厳格化により、成長を見せているSaaS領域です。

(公式サイト: https://secureframe.com/ より)
これらのSaaS企業は2022年に入ってから特に資金調達が加速しており、複数のユニコーン企業が生まれる領域として急成長しています。

具体的には、以下のようなスタートアップが2022年に入ってから巨額の調達をしています。

  • Drata

    • 2020年創業、累計調達額は約3億2800万ドル
    • 2022年12月のSeries Cでは、ICONIQ GrowthやGGV Capitalがラウンドに参加している。
    • https://drata.com/

  • Vanta

    • 2017年創業、累計調達額は約2億300万ドル
    • Y CombinatorのW18バッチに参加していた企業。2022年7月のSeries B では、Sequoia CapitalやCraft Venturesが参加している。 www.vanta.com

  • Laika

    • 2019年創業、累計調達額は約9800万ドル
    • 2022年11月のSeries Cでは、Fin Capitalがリードしている。 heylaika.com

  • Secureframe

    • 2020年創業、累計調達額は約7800万ドル
    • 2022年2月のSeries Bでは、AccompliceやGradient Venturesが参加している。 secureframe.com

また、このように創業が2020年前後の新しい企業が目立っていることからも、ここ数年でBtoBの取引においてコンプライアンスの基準の遵守が急速に求められているという市場の変化を感じます。

実際に、米セキュリティ企業のTelosが2020年に行った調査*9では、企業は平均13種類のITセキュリティとプライバシーに関する規制に準拠する必要があり、コンプライアンス遵守の活動に年間350万ドルを費やし、時間にすると毎クォーターごとに約58日が費やされていると報告されています。このような市場環境からも、コンプライアンスチェックの自動化SaaSは、導入価値が非常に高い状況にあることも頷けます。

トレンド3: プライベートエクイティファンドによるセキュリティスタートアップの巨額買収

ここまでも紹介してきたように、多くの巨額調達が目立った一方で、M&Aによる巨額なExitも多く見られた1年でした。

(Cybersecurity Market Review | Q3 2022 | Momentum Cyber より引用)

上の図はセキュリティ企業のM&Aのディール件数と金額を表したグラフで、2021年よりその規模と件数は拡大していることが分かります*10。その中でも2022年はプライベートエクイティファンド (以下、PEファンド)による巨額な買収が目立っていました。代表的な例として、

  • KnowBe4

    • 2022年10月にVista Equity Partnersが約46億ドルで買収
  • Ping Identity

    • 2022年8月にThoma Bravoが約28億ドルで買収
  • Veracode

    • 2022年3月にTA Associatesが約25億ドルで買収

が挙げられます。このようにPEによる巨額買収が行われている理由として、以下の背景があると考えています。

  • 市場が成熟することでSaaSのユニットエコノミクス*11が予測可能になり、成長パターンを確立できるようになってきている。そのため、社内オペレーションの改善により営業効率の改善を見込みやすく、買収の投資対効果を合理的に考えやすい。

  • 市況の悪化により過度に高まったマルチプルが圧縮され、PEファンドが買収可能な範囲になってきている。

このようにセキュリティスタートアップのPEファンドへの売却は、「株式市場への上場」や「大手セキュリティ企業への売却」とは別の有力なExitの選択肢となりつつあるといえるでしょう。

2023年のセキュリティスタートアップのトレンド予想

ソフトウェアサプライチェーン関連のセキュリティSaaSが成長期へ

2023年はソフトウェアサプライチェーンのセキュリティを超える巨大なトレンドは生まれないものの、ソフトウェアサプライチェーン関連のエコシステムは引き続き加速すると予想しています。

特に既に成熟した市場のプレイヤーがソフトウェアサプライチェーンセキュリティ関係の会社を買収するトレンドが加速するのではないしょうか。

例えば、クラウドセキュリティ領域のSaaSであるWiz、LaceWorkなど、2021年以降に評価額が10億ドルを超えるユニコーン企業が増えてきました。一方で、このようなプレイヤーにとって、ソフトウェアサプライチェーンのセキュリティ領域はプラットフォームとして拡充するには少し遠い「飛び地」のような領域です。そのため、新しい領域の顧客獲得や製品カバレッジの拡大を実現するために、関連スタートアップを買収するという動きが2023年は数件見られるのではないかと予想します。

これまでも2021年のAqua SecurityによるArgon Securityの買収や、2022年11月にはPalo Alto NetworksによるCider Securityの最大3億ドル規模の買収もありました。2023年はこのような動きがより活発化するのではないかと思います。

また、ソフトウェアサプライチェーンセキュリティのプレイヤーもそれらの巨大プレイヤーに対抗するために、機能カバレッジの拡充を目的とした買収や、急速な機能拡充によるプラットフォーム化がこの1年で並行して加速すると考えています。

例えば、ApiiroやChainguard、CyCodeなどは2022年時点で調達額が頭1つ抜けているといえるため、それらのプレイヤーがより特定領域に特化したスタートアップを買収したり、更に巨額の資金調達することで急速に製品開発が加速されそうです。

Policy as Codeの潮流の加速

従来のトレンドから引き続き、2023年年もセキュリティリスクの検知や修復業務の効率を上げるSaaSが成長していくと思います。その流れを受けて、最もその業務効率の改善幅が大きくなる可能性を秘めているPolicy as Codeを活用したセキュリティ業務の効率化の流れが加速すると予想します

Policy as Codeとは、セキュリティやコンプライアンスのようなポリシーをバージョン管理システム内のコードとして表現する方法です。ポリシーをバージョン管理、レビュー、テストできるようになるため、効率的なポリシーの管理や自動的なポリシーの適用に活用することができます

2022年にBattery Venturesが公開した記事では、セキュリティリスクの修復業務のアプローチとして以下の3つがあるとしており、その中でもポリシーを用いたアプローチが最もリアルタイム性が高く業務の自動化に近いとしています。

(From Code to Cloud: Security Themes for 2022 and Beyond - Battery Ventures より引用)

  • Policies: ポリシーにより検知や修正を自動的に行う
  • Workflows: 自動で問題を検知し、定義したワークフローを実行する
  • Triaging: 自動で問題を検知し、問題をトリアージする

また、このPolicy as Codeの手法は、既存のプラットフォームに問題修復の手段の1つとして組み込まれるか、新たなプラットフォームとして体験が設計されるかは分かれていくのではないかと思います。

たとえば、Snykに買収されたクラウドセキュリティSaaSのFugueはクラウドの設定ミスに対する問題修復の手段としてPolicy as Codeを活用しており、買収後もSnyk上では機能の1つとして存在しています。一方で、SecberusMondooなどはポリシーを管理/適用するプラットフォームとしての成長を目指しており、Policy as Codeを活用するアプローチの違いが両者で見られます。

まだPolicy as Codeのプラクティスが活用されたSaaSが登場してから日も浅いため、まだこの2つのアプローチの勝者は2023年には決まらないと思います。しかし、どちらにしてもセキュリティリスクの修正業務を効率化するためのPolicy as Codeの流れは確実に加速するのではないかと思います。

ユースケースの変化に伴う、急成長プロダクトの誕生

(Series A 調達時点でのWizのLPより引用)
既存のセキュリティSaaS領域に対し、従来と異なるユースケースに最適化したUXを提供することで急成長するプロダクトが2023年以降にも登場すると思います。

この代表例は、昨年ARR1億ドルを最速で達成したことが話題になった*12、Wizです。Wizは、これまで開発者向けであったクラウドセキュリティ領域のSaaSを、開発業務に触れることがないエンタープライズのIT管理者向けのユースケースに最適化したことで、急成長したSaaSです。

例えば、従来と異なるユースケースに最適化したUXの考え方の一例として

  • GitHubのような開発者向けSaaSの管理を、開発者だけでなくIT管理者がしやすくする
  • Policy as Codeを活用することで、社内のSaaSのコンプライアンス管理を監査担当だけでなく開発者が効率化できるようにする

などの新しいユースケースを捉えたSaaSが生まれる可能性もあります。今後も更にセキュリティ対策に関わるステークホルダや対象領域が増えていくことが予想できるため、まだまだ手つかずの領域も増えてくるのではないかと思います。先程のWizのように、成熟したクラウドセキュリティ領域のSaaS市場でも更にARR1億ドルを超えるプロダクトが生まれるといった事例もあるので、このトレンドは2023年も見逃せません。

おわりに: 事業をつくりたい方を積極採用中です!

Flatt Securityでは、このような海外スタートアップのトレンドが生まれる中、成長事業を自分の手でつくってみたいという方を募集しています。現在はエンジニアだけでなく、セールスや事業開発のポジションも募集をしています。特に、元々エンジニアでこの領域に課題を感じておりビジネスサイドにもチャレンジしたいという方や、セキュリティ市場に可能性を感じているビジネスサイドの方と一緒に事業をつくっていけると嬉しいです。募集中の職種や詳しい条件等は採用ページをご覧ください。

カジュアル面談も受け付けておりますので、TwitterのDMやお問い合わせフォームなどからもぜひお声がけください。

最後までお読みいただき、ありがとうございました!

*1: 資金調達の情報のデータベースサイトであるCrunchbase上でCyberSecurityまたはCloud Secrurityのタグが付与された企業の今年の調達ラウンドを合算して集計しています。

*2:2022年国内スタートアップ資金調達額は8,774億円 (INITIALより)

prtimes.jp

*3:Crunchbase上で”Security”タグがつけられた、Crunchbase内のスコア上位1万社を元にした投資件数のグラフです

*4:www.solarwinds.com

*5:www.jpcert.or.jp

*6:prtimes.jp

*7:techcrunch.com

*8:techcrunch.com

*9:www.helpnetsecurity.com

*10:グラフのQ2’22の突出した数値は、BroadcomによるVMWareの買収(6100億ドル)がほとんどを占めています。しかし、それを除いても2021年以降M&Aの件数と規模はともに増加傾向にあるといえるでしょう。

*11:事業の健全性を示す指標で、顧客獲得に対する投資対効果を意味している

*12:www.wiz.io