1999 年に Battery Ventures のアソシエイトとして働いていたとき、私は毎晩 Red Herring、InfoWorld、The Industry Standard といった雑誌、それに私のお気に入りの StorageWorld と Mass High Tech (他の VC アソシエイトがこれらの雑誌にほとんど目を通さなかったため) に目を通していました。
23歳の頃、IBM、EMC、アルカテル、ノーテルといった企業で働いていた、ずっと年上のCEOの名前を丸で囲み、彼らが何をしているのかをもっと深く理解しようとしていました。これらの企業は、メインフレームからサーバーへのレプリケーション技術、IPスイッチ、そしてその上に当時まだ発展途上のWeb/セキュリティサービスを構築していました。
22年が過ぎましたが、ある意味では何も変わっていません。コマンドラインからGUI、そして今やAPIというインターフェースの革新へと進化しました。しかし、人間は依然としてインターフェースを必要としています。より多様な人々、より多様なデバイスで動作するインターフェースです。もはやOSIスタックではなく、分散型ブロックチェーンスタックについて語ります。メインフレーム上のコンピューティング、データストレージ、分析ではなく、クラウド上でのコンピューティング、データストレージ、分析について語るのです。
課題と機会はほぼ同じままですが、市場と機会ははるかに大きくなっています。AWSとAzureのクラウド事業だけでも、昨年のランレート収益はそれぞれ32%と50%増加し、230億ドル増加しました。これは、既に巨大な基盤の上にさらに高い成長を遂げたと言えるでしょう。
特にサイバーセキュリティ市場の規模は、ソフトウェアが世界を席巻し、地球上のどこからでも(そして近いうちに宇宙からも)より多くの人々がテーブルに座って食事を楽しむことができるようになるにつれて、無限に大きくなっています。
過去数か月にわたって、同僚のスペンサー・カルバートと私は、この市場機会がなぜこれほど急速に拡大しているのかについて、一連の記事を発表しました。その内容は、マルチクラウド環境の台頭、誰も追いつけないほどの速さでデータが生成され保存されていること、SaaS アプリケーションが組織全体のほぼすべての機能を強化していること、そして CISO の政治力と戦略的責任が増大していることなどです。
これらをすべて合わせると、2025年までに市場価値は1,000億ドル(控えめに見積もっても)増加し、市場全体の規模は2,800億ドル近くに達すると予想されます。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
言い換えれば、サイバーセキュリティ分野には莫大なビジネス価値を創造する絶好の機会が熟しているということです。私たちは、これらの分野から多くのユニコーン企業が誕生すると考えています。まだ初期段階ではありますが、私たちが投資を検討している具体的な分野がいくつかあります(そして、大局的に見て、まだ発展途上の分野が1つあります)。具体的には、Upfrontは以下の分野で事業を展開する企業を積極的に探しています。
- データ セキュリティとデータ抽象化。
- ゼロトラスト、広範囲に適用。
- サプライチェーン。
データセキュリティと抽象化
データというテーマは新しいものではありませんが、サイバーセキュリティという観点からデータスタックの変化を考察することに大きな期待を寄せています。セキュリティをスタックの最上部や脇にあるアプリケーションとしてではなく、スタックの最下部、つまり基盤として捉えることで、どのような可能性が生まれるのでしょうか。
例えば、データはセキュリティ対策が追いつかないほど急速に拡大しています。まず、(構造化データと非構造化データの)保存場所と保存されているデータの種類を把握し、適切なセキュリティ体制を確保し、最も重要な問題を適切なスピードで優先的に解決する必要があります。
これを大規模に実行するには、スマートなパッシブマッピングに加え、ますますデータリッチ(ノイズ)化する世界において、ノイズからシグナルを抽出するためのヒューリスティックスとルールが必要です。Upfrontのポートフォリオ企業であるOpen Ravenは、クラウド環境全体にわたって構造化データと非構造化データを大規模に検出・保護するソリューションを構築しています。制御ポイントがネットワーク層からデータ層に移行するにつれて、データセキュリティ分野には新たな大規模プラットフォーム企業が誕生するでしょう。
Open Ravenはこの分野のリーダーとなる準備が整っており、まだ資金提供を受けていない新世代の「アウトプット」企業やアプリケーション企業にも大きな力を与えると確信しています。これらの企業はSalesforceやWorkdayと同規模の企業となり、当初からデータの抽象化と管理方法が異なる企業として設立される可能性があります。
CISO を経営幹部に迎え入れ、サイバーセキュリティを企業文化に組み込む
セキュリティ データが作成または発見された時点で検討すると、Open Raven のような新しいプラットフォームによって、まったく新しいアプリ エコシステムの出現がもたらされる可能性があります。その範囲は、コンプライアンス ワークフローなど Open Raven が社内で構築する可能性が最も高いものから、人材管理システム、CRM、製品分析、マーケティング アトリビューション ツールなど、太古の昔から使用されてきたアプリを再構築するまったく新しい企業まで多岐にわたります。
セキュリティを最優先し、基礎的な視点でリードするプラットフォームは、顧客エンゲージメント層または「出力」層に重点を置き、データのカタログ化、独自のデータ モデル、およびデータ アプリケーションを、データ マッピング、セキュリティ、コンプライアンスを処理するサードパーティに任せることで、新世代のアプリケーション企業を強化する可能性を秘めています。
簡単に言えば、フルスタックアプリケーションを地球の層に例え、UXを地殻とすれば、その地殻は、現在あらゆる場所にデータを保有する企業に押し付けられている個人情報やGDPRに関するすべての要件を満たす基盤となる水平展開企業によって、より良く、より深く構築されていくことができます。これにより、新しいアプリケーション企業は、人間とソフトウェアのエンゲージメント層に創造力をさらに深く集中させ、あらゆる既存カテゴリー向けに超人的なアプリを構築するための時間を確保できるようになります。
ゼロトラスト
ゼロトラストという言葉は2010年に初めて使われましたが、現在も応用例が発見され、このアイデアを基盤とした大企業の構築が進んでいます。ゼロトラストとは、システムやデバイスなどにアクセスする者はすべて悪意のある人物であると想定する考え方です。
少し偏執的に聞こえるかもしれませんが、大手テック企業のキャンパスを最後に訪れた時のことを思い出してみてください。ゲストパスやネームバッジなしで受付やセキュリティチェックを通過できますか?絶対に無理です。バーチャル空間やアクセスでも同じです。私が初めてゼロトラストセキュリティについて深く学んだのは、Fleetsmithでした。2017年にFleetsmithに投資したFleetsmithは、Appleデバイスを利用する組織向けのアプリ、設定、セキュリティ設定を管理するための、まだ若いチームビルディングソフトウェアです。Fleetsmithにおけるゼロトラストとは、デバイスのセットアップと権限に関するものでした。Fleetsmithは2020年半ばにAppleに買収されました。
Fleetsmithの買収とほぼ同時期に、私はArt Poghosyan氏とBritiveのチームに出会いました。このチームも、クラウドにおける動的な権限付与のためにゼロトラストを導入しています。Britiveは、ゼロトラスト・ジャストインタイム(JIT)アクセスを前提として構築されており、従来の認証情報の「チェックアウト」と「チェックイン」というプロセスではなく、ユーザーに一時的なアクセスを動的に付与します。
常時接続の認証情報ではなく一時的な特権アクセスを付与することで、Britive は過剰な権限を与えられたアカウントに関連するサイバーリスク、特権アクセスの管理にかかる時間、マルチクラウド環境全体で特権アクセス管理を合理化するワークフローを大幅に削減できます。
ゼロベーストラスト(ZBT)の今後はどうなるのでしょうか?従業員が仕事のためにデバイスや場所を柔軟に使い分けるようになるにつれ、デバイスとアクセスが新たな境界となると私たちは考えており、Fleetsmith、そしてBritiveと共にこの取り組みに投資してきました。しかし、ZBTをより日常的なプロセスに浸透させるには、まだ多くの課題があると考えています。パスワードは、理論上はゼロトラスト(常に本人確認が必要なシステム)と言えるものの一例として挙げられますが、現状では到底不十分です。
パスワードを盗むフィッシング攻撃は、データ侵害への最も一般的な経路です。しかし、ユーザーにパスワードマネージャー、パスワードローテーション、二要素認証、さらにはパスワードレスソリューションを導入してもらうにはどうすればよいでしょうか?私たちは、ZBTの要素を一般的なワークフローに組み込むための、シンプルで洗練されたソリューションを支援したいと考えています。
サプライチェーン
現代のソフトウェアは、サードパーティ製およびオープンソースのコンポーネントを使用して組み立てられています。この公開コードパッケージとサードパーティAPIの組み立てラインは、サプライチェーンと呼ばれています。この組み立てラインを標的とした攻撃は、サプライチェーン攻撃と呼ばれます。
一部のサプライ チェーン攻撃は、Snyk などの既存のアプリケーション セキュリティ ツールや、セキュリティ エンジニアリングを自動化して誤った構成を修正する Bridgecrew や、セキュリティ スキャンを行う Veracode などのオープン ソース依存関係用のその他の SCA ツールによって軽減できます。
しかし、他の脆弱性は検出が非常に困難な場合があります。例えば、2020年に注目を集めたサプライチェーン攻撃、SolarWindsへのハッキング事件を例に挙げましょう。このハッキングでは、SolarWindsのアップデートで小さなコードスニペットが改ざんされ、18,000社もの企業に拡散しました。これらの企業はすべて、ネットワーク監視などのサービスにSolarWindsのソフトウェアを利用していました。
セキュリティオンボーディングをすべて通過した信頼できるベンダーのバージョンアップデートに潜む悪意のあるコードから、どのように身を守ればよいでしょうか?サプライチェーン全体の可視性をどのように維持すればいいのでしょうか?答えよりも疑問の方が多いですが、サプライチェーンのセキュリティ確保は今後も探求していくべき分野であり、大企業はサードパーティベンダー、モジュール、API、その他の依存関係を安全に審査、オンボーディング、監視、オフボーディングできるよう構築していくと予想しています。
上記のいずれかの分野、または隣接する分野で構築を行っている方は、ぜひご連絡ください。サイバーセキュリティの状況は急速に変化していることを私たちは認識しており、上記の議論に賛同される方もそうでない方も、ぜひご意見をお聞かせください。
データは世界で最も価値のある(そして脆弱な)リソースである
