#FlattSecurityMagazine

セキュリティとプロダクト開発の今を伝えるメディア

【生成AIとASPMの加速】2023年の海外セキュリティSaaS。2つの新トレンドと今後の予測

はじめに

こんにちは、Flatt Securityで事業開発を担当している小島(@ryoidong)です。

今年の1月には、2022年の海外セキュリティスタートアップのトレンドをまとめた記事を公開しました。

flatt.tech

今回は、2023年版として、今年1年間の海外セキュリティスタートアップの資金調達状況や、盛り上がったビジネストレンドを振り返りたいと思います。

この内容は専門領域の深掘りではなく、市場トレンドに焦点を当てたものです。セキュリティ分野で働く方だけでなく、ベンチャーキャピタルや事業開発などで事業テーマを考えている方々にも参考になる内容となれば幸いです。

調達トレンドのマクロ状況変化

まず全体的な傾向を把握するために、資金調達のトレンドの変化に注目します。これまでのセキュリティスタートアップの資金調達状況は、2021年末をピークに大きな下降トレンドに入っていました。では、2023年はこの下降トレンドからどのように変化したのでしょうか。

Crunchbaseのデータによると、セキュリティスタートアップの2023年初めから現在(2023年12月18日)までのエクイティによる資金調達件数は583件です。これは、最盛期を含む前年の2022年の第1四半期から第3四半期までの850件と比較すると、約68%の件数に相当します*1

全世界のセキュリティスタートアップへの投資件数の四半期ごとの推移 https://www.crunchbase.com/hub/security-companies より引用 (2023/12/21時点)

そして現在までの今年のセキュリティスタートアップによる資金調達の総額は67億ドル(約9635億円)で、前年同日までの156億ドル(約2.2兆円)と比較して約43%に減少しています

セキュリティ業界に限らず、全スタートアップの資金調達額の減少率を同様に計算すると、約40%前後となります。そのため、セキュリティスタートアップの市場はスタートアップ調達市場全体とほぼ同等の影響を受けていると言えそうです

今年は、1億ドルを超える大規模な資金調達が約20件と少なく、以下のような一部の新興企業による大型調達を除くと、主にプライベートエクイティによるレイターステージへの投資が中心であるという傾向が見られました。

  • Wiz(2020年創業)
    • 言わずと知れた、クラウドセキュリティ領域のスタートアップ
    • 2021年の資金調達ラウンドに続き、2023年2月にはシリーズDで1億ドルを調達
    • 累計調達額は9億ドル(約1300億円)、評価額は約970億ドル(約1.4兆円)
  • Cyera(2020年創業)
    • データセキュリティ領域のスタートアップ
    • 2023年6月にシリーズBで1億ドルを調達し、Accelがリード。Sequoia Capital、Redpoint、Cyberstartsといった著名なベンチャーキャピタルがこのラウンドに参加しています。

次のセクションでは、今年成長したセキュリティSaaSのカテゴリのトレンドや、昨年度から引き続き注目を集める生成AI活用のトレンドの変化について解説します。

2023年の海外セキュリティSaaSの注目トレンド

トレンド1: Application Security Posture Managementとしての製品戦略の加速

Application Security Posture Managementとは

Application Security Posture Management (以下、ASPM) とは一言で言うとアプリケーション全体のリスク管理・修正を可能にするセキュリティ製品のカテゴリです

具体的には、複数のセキュリティツールのアプリケーションに対する診断結果をデータソースにすることで

  • アプリケーションを構成するリソース(ソースコードやクラウドなど)の一覧化
  • アプリケーションに関連するリスクの一元管理
  • リソースの関連性の分析に基づく、セキュリティリスクのトリアージや修正の効率化

をすることができる機能を一般に有しています。

去年、アプリケーションセキュリティ領域の大きなトレンドの一つは「ソフトウェアサプライチェーンセキュリティ」でしたが、今年はそれを含む既存の様々なアプリケーションセキュリティ関連のSaaSがASPMのSaaSとして打ち出されることが増えています

この流れを示すように、2022年のGartner社のハイプ・サイクル*2ではこのカテゴリは挙げられていませんでしたが、2023年には「過度な期待のピーク期」として位置付けられるほどの盛り上がりを見せています*3

では、なぜこのSaaSカテゴリが今年これほどまでに注目されたのか。その背景には、以下の2つの要因があると私は考えています。

Application Security Posture Managementの2つの成長背景

一つ目の理由は、直近数年でセキュリティツールが急増し、複数のツールを効率的に管理することが難しくなってきたことです

通常、単一のセキュリティツールでアプリケーションの全セキュリティを担保することは現実的ではありません。そのため、ソースコードの静的解析ツール(SAST)や利用しているオープンソースソフトウェアの脆弱性検査ツール(SCA)など、様々なツールを組み合わせてリスクを管理するのが一般的です。

しかし、セキュリティツールが分散していると、アプリケーション全体のリスクに対応する際に以下のような課題が生じます:

  • リスクを一元管理することが難しく、全体のリスクの優先度が可視化されない
    • 具体例:ソースコードの監査結果とクラウド設定の監査結果が別々のツールで管理されると、全体の優先度をツール外で判断する必要が生じる。
  • 利用文脈を無視したアラートが多く、実際に対応すべきリスクの識別が困難
    • 具体例:「開発環境では本番環境に比べて多くのアラートが発生するが、リスクが低い」といった文脈がツール間で共有されない。

昨年、特に注目を集めたのはソフトウェアサプライチェーンへの攻撃の増加や、クラウド設定の脆弱性に対する攻撃など、注意すべき攻撃対象の増加でした。これに伴い、使用するセキュリティツール群も年々増加し、このような新たな課題が顕在化したと言えます。プロダクト開発プロセスに関連するセキュリティツールのカテゴリは、以下の図のように多岐にわたります。

https://tldrsec.com/p/software-supply-chain-vendor-landscape より引用)

実際にCyCodeのレポートによると、調査対象の95%のチームでは、開発チームとセキュリティチーム全体で20以上使用しているというデータもあります*4

(The state of ASPM 2024 https://cycode.com/state-of-aspm/ より)

そして、複数のセキュリティツール群を効率的に運用するためには、リスク管理から修復までのプロセスをセキュリティチームと開発チームが連携して取り組む必要があります。両チーム間のコミュニケーションを支援するダッシュボードとしてのASPMの価値は、組織規模が大きくなるにつれて顕著になるでしょう。

2つ目はメタ的ですが、多くの既存セキュリティSaaSにとって、ASPMを機能として統合しやすく、またASPM製品として市場に打ち出しやすいことが、もう一つの理由です

なぜなら複数のセキュリティ検査対象のカバレッジがあるセキュリティSaaSは多く、それらは管理機能を拡張することで、検査対象のカバレッジに関してはASPMと同様の便益を提供することが可能だからです。

特に、昨年多く登場したソフトウェアサプライチェーン全体の保護を目的としたSaaSにこのようなASPMの機能の拡充傾向が見られます。なぜなら、「機微情報の検知」や「ソフトウェアの依存関係の管理」といった複数のセキュリティ検査機能と一元管理機能を元から有しているプロダクトがほとんどだからです。

このように、現状ASPM市場に位置するプロダクトは以下の2つのパターンに分けることができます。

  • 純粋なASPM
    • セキュリティ診断機能を単体で有することを主な目的としない。
    • 複数の外部のセキュリティツールの結果を統合することを目的としている。
  • ASPM機能を有した特定領域のセキュリティSaaS
    • 複数のセキュリティ診断機能を有しており、その拡大を意図としている。
    • 既存のリスク管理機能を拡張し、ASPM機能としている。

この2つは、ユースケース次第でどちらもメリットがあります。

前者は多くのセキュリティプロダクトと連携することが前提であるため、自社で多くのセキュリティSaaSを導入している場合は、新しい他のSaaSへ移行することなく運用を始められます。また、ASPMで管理しているセキュリティ検査のカバレッジが足りない場合でも、新規製品の導入と連携により要件を満たすことができるでしょう。

逆に後者は、他のセキュリティSaaSと連携することを目的としていないため、プロダクトに元からある検査カバレッジ以外から広げることが難しいという課題があります。一方で、自社で保護したい領域が元のプロダクトの要件とマッチしている場合、ASPMと同様の便益を得ることができます。また、ASPM機能が内蔵されているセキュリティSaaSはセキュリティ診断機能とASPM機能が単一のベンダーで完結することができます。そのため、新しくASPMのSaaSを導入するよりも低コストで導入が可能です

つまり、純粋なASPMでなくても既存のセキュリティSaaSにASPM機能を取り込むメリットが大きく、ASPMとして訴求するセキュリティSaaSが増えているという背景が、このASPMの市場が拡大している大きな要因の1つにあると考察します。

このように、「実務で顕在化したニーズ」と「プロダクト戦略としての取り込みやすさ」の2つの背景から、今年は「ASPM」というキーワードが流行したと考えています。

既存のスタートアップの巨額買収やピボットによるASPMの加速

こうしたASPMのトレンドの中で、セキュリティSaaSを展開する各社はどのような動きを見せたのでしょうか。このセクションでは、スタートアップ企業の市場戦略の変化をいくつか紹介していきたいと思います。

まず1つは大型セキュリティSaaSによるASPMの買収です。特に大きかったのは、以下のCrowdStrikeによるBionicの買収とSnykによるEnsoの買収です。

  • CrowdStrike × Bionic
    • クラウドセキュリティ領域のSaaSであるCrowdStrikeは、本番環境で動作しているアプリケーションのセキュリティに特化したASPMであるBionicを約500億円(約3.5億ドル)で買収*5
    • CrowdStrikeとして初めてのアプリケーションセキュリティ領域のSaaS買収により、プラットフォームで保護できるカバレッジを大幅に広げた。

www.crowdstrike.jp

  • Snyk × Enso
    • 開発者向けセキュリティSaaSのSnykが、オープンソースや商用の様々なセキュリティツールを統合できるASPMのEnsoを買収
    • SnykはEnsoの買収により既存の分析機能を強化し、Snyk AppRiskとして先日の12/12にリリース。Ensoは外部のセキュリティSaaSと連携できることが強みだったが、買収によりその機能は削除されている。

snyk.io

このように、前者はASPMを取り込むことでアプリケーションセキュリティ領域参入への大きな足がかりにしており、後者は高度なASPM機能を取り込むことで他のアプリケーションセキュリティSaaSとの差別化を図っています。

もう1つは、「ソフトウェアサプライチェーン領域のSaaS」のASPM化です

前のセクションでソフトウェアサプライチェーン領域のSaaSは、ASPMとしての機能を取り入れやすいという話に触れました。実際に、去年の記事でも紹介した「Arnica」や「Cycode」はソフトウェアサプライチェーンの保護のユースケースよりも、この1年で明確にASPMとしてのユースケースやそのセキュリティ診断の対象の広さを強調するようになっています。

Arnicaは保護可能な領域の広さを強調している (https://www.arnica.io/ より)

これは、これまでに訴求していたソフトウェアサプライチェーン保護の機能単体はポイントソリューションのため強い需要を喚起しきれず、導入されるためには包括的なアプリケーションセキュリティのソリューションとしての他の検査カバレッジが必要だったのではないかと考察しています。

具体的には、Arnicaは静的コード解析(SAST)やオープンソースソフトウェアの脆弱性検査機能(SCA)、CyCodeは同じくSASTやコンテナセキュリティに関する機能を追加した上で、アプリケーションセキュリティのリスクを包括的に管理するASPMとしてのポジショニングを強めています。

トレンド2: セキュリティSaaS × 生成AI のトレンド

ビッグテックによる、生成AIを活用したセキュリティ機能の登場

今年のテクノロジー業界の一大トレンドといえば、生成AIの活用といっても過言ではありません。このトレンドはもちろんセキュリティSaaSにも影響を及ぼしています。

特にMicrosoftとGoogleは今年春にこの機能に特化したサービスをリリースしており、大きな話題になりました。

Security AI Workbenchの全体像 (Google Cloud Japanブログより引用)

  • Microsoft Security Copilot
    • セキュリティに関するさまざまな相談や、調査を一元化するための対話型AI
    • Microsoft DefenderなどMicrosoftのセキュリティサービスと連携することで、自社のデータに基づいた解答を得ることができる。
  • Google Cloud Security AI Workbench
    • 生成AIを活用したセキュリティプラットフォーム
    • GoogleやMandiantが保持する脅威情報をもとに、悪意のあるアクティビティの検知・抑制を行う機能だけでなく、セキュリティオペレーションに特化した対話型AIの提供など様々な活用予定が公開されている。

このように両者ともに自社のセキュリティ製品との連携や機能拡張が中心の発表になっていました。生成AIに力を入れているビッグテックは、市場のインパクトの大きいセキュリティへの応用を継続的に検討しているはずなので、今後も注目のポイントです。

生成AIを活用したセキュリティSaaSスタートアップの登場

スタートアップでも生成AIを強みにしたSaaSが多く誕生し続けた1年でした。セキュリティ領域でも、生成AIを埋め込んだ機能をキラーコンテンツとしたSaaSが複数リリース・資金調達されていたことも新しいトレンドになりました。具体的には、

  • Conveyor
    • 生成AIを利用したセキュリティチェックシートの自動化SaaS
    • 日本国内でも同様のSaaSはあるものの、このSaaSはTrust Center(コンプライアンス情報のポータルページ)も作成が可能
    • VendictScrutなど複数の競合も同様の機能をリリースしており、これらの機能は同市場ではコモディティ化しているのかもしれません。

techcrunch.com

  • Nexusflow
    • 生成AIを活用し複数のセキュリティツールの連携/操作を自然言語で行えるSaaS
    • 具体的な内容は公開されていないものの、ツールや情報の多さが目立つセキュリティ領域においては相性の良さそうなコンセプトになりそうです。

techcrunch.com

ここではSaaSとして生成AIを強く推しているものを紹介しましたが、コンテンツ生成やオペレーションの自動化など、生成AIが機能として埋め込まれているSaaSはこの他にも多くあります。今年はまだリリースに留まっているSaaSが多かったので、実際に活用事例がこれから増えることに注目です。

2024年以降のトレンド予想

予想1: クラウドセキュリティ領域とアプリケーションセキュリティ領域のベンダー統合の加速

2024年以降、クラウドセキュリティ領域とアプリケーションセキュリティ領域のスタートアップが相互に買収を行い、統合される動きが加速すると予想しています。

その理由としては、

  • ① アプリケーションセキュリティ領域のSaaSは、クラウドセキュリティを含めたセキュリティリスク管理がより求められるようになる
  • ② 景気減速の流れが引き続き、顧客がベンダー統合によるコスト削減をより求めるようになる

という2つの流れが今年よりも更に加速すると考えているからです。

現代のアプリケーションの開発からデプロイまでの過程では、クラウドの存在が切り離せません。そのため、プロダクト開発のセキュリティ全体を管理するために、アプリケーションとクラウドのセキュリティの両者を統合して管理するニーズが強まるのではないかと考えています。そのニーズを元に企業の買収や機能統合が進んでくるという流れが①です。

具体的には、CrowdStirkeのBionic買収のようにクラウドセキュリティ領域のプレイヤーがアプリケーション領域のスタートアップを買収するといったストーリーが想像できます。実際に、この他にも同様の動きはここ1年で散見されています。

たとえば、昨年10月にはクラウドセキュリティ領域の巨大なSaaSであるPrisma Cloudを持つPaloAlto NetworksはASPMのApiiroを買収交渉していたという報道もありました*6。また、Wizは今年11月にソースコードの検査も含めた開発者向けの機能カバレッジの拡大を発表し*7、翌12月にはWizとして初めての買収としてKubernetesのクラウド開発環境SaaSを提供するRaftttを買収する*8という動きを見せています。

このように、クラウドセキュリティのプレイヤーがアプリケーション領域に参入するような兆候は既に多くあります。

②の流れは、現状のセキュリティSaaSに支払うコストの最適化を求められているトレンドの強さからの想像です。

ASPMのセクションで触れたようにアプリケーションセキュリティのツールは1社で複数使っていることが一般的です。そのため、可能であればSaaSベンダーを統合することでコストを削減したいと考えるのは自然な流れです。

実際にBattery Venturesのレポート(2023 Q1)では、CxOがテクノロジー関連予算削減で優先度が高い3つの項目の解答として、「ベンダー統合」は最も多く93%を占めています。その他、YL Venturesのレポート(2023/08)によると、CISOの予算戦略として「ベンダーの統合によるコスト削減」を考えていると8割が回答しています*9

このように、ベンダー統合によるコスト削減のニーズは、SaaS一般だけでなくセキュリティSaaSにおいても強くあることがわかります。

予算削減を計画するCXOの最優先課題 (https://www.battery.com/blog/bv-march-2023-state-of-cloud-software/ より引用)

このように、SaaS側の市場戦略だけでなくユーザーの需要双方でベンダー統合のニーズが強まるため、今後もこういった流れが加速するのではないかと考えています。

予想2: 生成AIをコア機能に組み込んだセキュリティSaaSの成長

2024年以降、生成AIをコア機能として組み込んだセキュリティSaaSの成長を予想しています。

攻撃ベクターが急速に増加する中、セキュリティ対策の需要は高まる一方です。しかしながら、広がる攻撃対象に対応できるエンジニアの数は大幅に増えることはなく、生産性の向上が急務となっています。

この背景のもと、セキュリティ業務の生産性を向上させるための最も有効な手段が生成AIであると考えています。

https://www.battery.com/blog/opencloud-2023/ より引用)

これまでのルールエンジンでは条件をベースに決まったワークフローを実行するのが前提でしたが、生成AIを組み込んだSaaSではLLMがユーザーの自然言語を解釈し、これまでよりも幅広い行動の計画や実行を行うことができます

上記のBattery Ventureの図では法務やセールスなどで生成AIを組み込んだSaaSが多数生まれていることに言及されていますが、セキュリティ領域も同様の構図が成立するはずです。特にセキュリティ領域は、複数のツールをまたいだ複雑なオペレーションやリスク情報の解釈が難しいといった課題があります。これらの効率化や意思決定の支援という点で、生成AIが重要な役割を果たす可能性が高いです。

よって、2024年以降はセキュリティ領域にこそ生成AIネイティブなSaaSが生まれるポテンシャルが大きいのではないでしょうか

最後に

ここまで、2023年の海外セキュリティSaaSスタートアップのトレンドについて振り返り、今後の予想までを行ってきました。

「ではFlatt Securityのプロダクトはどうなの?」という声もありそうですが、もちろんShisho Cloudでは、これらのビジョンを踏まえた進化を進めています。また、プロフェッショナルサービスでも技術力の追求にとどまらず、これらのトレンドを踏まえた非連続的なサービスのあり方について常に考えています。

気になる方は、ぜひカジュアル面談も受け付けておりますので、X(旧Twitter)のDMやお問い合わせフォームなどからもぜひお声がけください。

Flatt Securityでは、このような成長事業を自分の手でつくってみたいという方を募集しています。現在はセキュリティエンジニアだけでなく、セールスなどビジネス職のポジションも募集をしています。特に、元々エンジニアでこの領域に課題を感じておりビジネスサイドにもチャレンジしたいという方や、セキュリティ市場に可能性を感じているビジネスサイドの方ともぜひ一緒に事業をつくりたいです。

最後までお読みいただき、ありがとうございました!

*1:資金調達情報のデータベースサイトCrunchbase上で、CyberSecurityまたはCloud Securityのタグが付与された企業のうち、エクイティのみの調達ラウンドを合算して集計しています。

*2:Gartner社が毎年公開している、「テクノロジとアプリケーションの成熟度と採用状況、およびテクノロジとアプリケーションが実際のビジネス課題の解決や新たな機会の開拓にどの程度関連する可能性があるかを図示した」もの

*3:正確にはApplication Security Orchestration and Correlation (ASOC)というカテゴリが過去には有り、それも同様に「過度な期待のピーク期」として位置づけられていました。ASPMは、従来のASOCと異なるイメージ・機能を打ち出すために、新しいカテゴリとして整理されているのが実態だと思います。

*4:米国のCISO、AppSec、DevSecOpsのディレクター500人に対して2023年9月〜10月に実施した調査。ASPMを提供している企業の調査であることを踏まえると、一定のバイアスはあるかと思います。レポートの詳細は以下
https://cycode.com/state-of-aspm/

*5:買収に関する報道は以下
https://techcrunch.com/2023/09/19/crowdstrike-bionic-ai-acquisition/

*6: 報道は以下
https://www.calcalistech.com/ctechnews/article/r1ny5tc7i

*7:詳細は以下
https://www.wiz.io/blog/enable-secure-cloud-development-with-agility

*8:詳細は以下
https://www.wiz.io/blog/wiz-acquires-raftt

*9:https://www.ylventures.com/magazine/ciso-circuit/the-ciso-circuit-report-the-down-markets-downturn-effects-on-cisos-edition-9/