ソフトウェア・アズ・ア・サービス(SaaS)は、ほぼあらゆる評価において業界を牽引する存在として台頭しています。SaaSはベンチャー企業の減速傾向に逆行する一方で、ガートナーのデータによると、昨年のクラウドエンドユーザー支出(3,320億ドル)のうち、SaaSが最大(1,230億ドル)を占めました。
しかし、SaaSの普及と、クラウドムーブメントの進展によってもたらされたアクセスの容易さは、「SaaSスプロール」と呼ばれる深刻な問題を生み出しました。一部の企業はブラウザ経由で200ものアプリケーションにアクセスしています。このような統計は、新興のSaaSスタートアップにとっては良い兆候ですが、SaaSを利用する企業にとっては、セキュリティに関する重要な疑問がいくつか生じます。どのようにして状況を把握し、従業員が強固なセキュリティ対策を講じていることを確認するのでしょうか?
これは、ロンドンに拠点を置く Push Security が解決しようとしている問題であり、基本的なセキュリティ原則を損なうことなく、従業員が業務に必要な SaaS アプリを自由に使用できるようにするプラットフォームを提供します。
「好むと好まざるとにかかわらず、SaaSアプリは今や企業のインフラの一部を形成しているが、何が存在し、何が存在しないかさえ知らない人も多く、その数は増え続けている」とPush Securityの共同創業者兼CEOのアダム・ベイトマン氏はTechCrunchに語った。
同社は本日、デシベルが主導し、デュオ・セキュリティの共同設立者であるジョン・オーバーハイド氏を含む著名なエンジェル投資家らが参加した400万ドルのシード資金により、正式にステルス状態から脱した。
仕組み
初期設定では、Push Security を Office 365 または Google Workspace に接続し、会社の従業員のプロファイルをインポートしてセキュリティ ステータスを確認します。
「これが私たちの出発点です。プラットフォームは誰と会話を始める必要があるかを知ることができるからです」とベイトマン氏は語った。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
次に、Push は従業員にブラウザ拡張機能をインストールするよう促します。これは、企業の SaaS の拡散の範囲と、そこに含まれるセキュリティ上の問題を特定するのに役立ちます。
マネージャーやIT担当者は、ダッシュボードで社内のすべてのSaaSとユーザー数を確認できます。このデータは個々の従業員のダッシュボードにも表示され、誰がどのSaaSを使用しているか、どのブラウザでアクセスしているかが正確にわかるほか、複数のサービスで同じパスワードを使用しているケースも強調表示されます。
Push は、すべての SaaS アプリと、脆弱なユーザー名とパスワードのログインや重複したユーザー名とパスワードのログインなどの関連するセキュリティ問題、および従業員がそれらのアプリケーションで有効にしたサードパーティの統合、拡張機能、ボットを識別できます。
Push は、Slack などのコミュニケーション ツールに統合できるチャットボット スタイルのプロンプトを使用して、2 要素認証 (2FA) の設定などの重要なセキュリティ手順をユーザーに案内したり、パスワードの改善やアプリ内で特定のセキュリティ設定の有効化を促したりすることができます。
シャドーIT
Push が解決しようとしている根本的な問題は、いわゆる「シャドー IT」です。これは、従業員が IT 部門からの明確な承認を得ずにソフトウェアやシステムを使用することですが、SaaS の世界ではそれがずっと容易になっています。
実際、従業員が業務に利用したいあらゆるアプリケーションをITチームやセキュリティチームが精査することは、非常に困難になっています。なぜなら、従業員はほぼあらゆるソフトウェアにサインアップできるからです。そして、通常は善意からそうしたアプリケーションを試すこともあります。例えば、従業員はSaaSアプリケーションを、投資する価値があることを経営陣に納得させるための前段階として試用したいだけかもしれません。しかし、従業員が自発的にそうした場合、パスワードが脆弱になり、2FAなどのセキュリティ対策が有効化されないことがよくあります。
実際には、これは、サードパーティのソーシャルメディア管理ツールを試用しているマーケティングチームが、意図せずして会社の Twitter や Facebook アカウントを危険にさらしてしまう可能性がある、あるいは、管理者がモバイル デバイス管理 (MDM) ソフトウェアに手を出すことで、ハッカーが従業員全体のモバイル デバイスにマルウェアを展開するための容易な侵入口を作ってしまう可能性があることを意味します。
企業が厳格な IT ポリシーと監視を実施することで、ある程度これを防止できることは事実ですが、 それは決して完全な防御策ではなく、常に完全に生産的であるわけでもありません。
「好みのツールや機能を使いたい従業員にとって、これはフラストレーションの元です」とベイトマン氏は述べた。「さらに、競合他社がより多くのSaaSを社内に導入している場合、彼らの従業員はあなたよりも早く仕事を進め、製品や機能を迅速にリリースできます。つまり、従業員が最大限の生産性を発揮することを阻害しているのです。」
市場には他にもシャドーIT検出ツールは存在しますが、それらは主にITチームやセキュリティチームにSaaSの利用を制限するためのデータを提供することに特化しています。PushはSaaSの利用をサポートし、より安全に利用するために設計されています。
「私たちにとって重要なのは、従業員と直接連携することで、時間をかけて相互信頼を築き、セキュリティチームから警告を受けることなく、従業員が望むツールを自由に使い続けられるようにすることです」とベイトマン氏は述べた。「セキュリティチームは、従業員が安全にログインし、SaaSを責任を持って利用していることを把握できるため、もはや妨害者や強制執行者になる必要がなくなります。まさにWin-Winの関係です。」
これまでの話
共同創業者3人は全員、MWR Infosecurityという別のセキュリティ企業出身です。同社は4年前にF-Secureによって1億600万ドルで買収されました。それから約18ヶ月後、3人は明確な構想を持たずにPush Securityを設立しました。当初の計画は、市場調査を行った上で、どのような問題に取り組むべきかを洗い出すことだけでした。そして昨年3月、彼らはMVP(最優秀製品)をソフトローンチし、早期アクセスプレビューへの参加を呼びかけました。
「これは単に、より有意義な会話をし、解決しようとしている問題に焦点を絞り、市場へのメッセージをテストして、何が人々の心に響き、アプリに引き込むのかを理解するためでした」とベイトマン氏は語った。
昨年8月、同社は資金調達に着手し、400万ドルのシードラウンドの資金調達を完了したが、プラットフォームの完全ローンチに合わせて本日初めてそのことを発表することを選択した。
企業のインフラセキュリティ確保に従業員の協力を得るという根底にある理念は、他の企業にも共有されています。例えばKolideは最近1,700万ドルを調達し、よりユーザー重視のデバイスセキュリティアプローチを導入しました。例えば、ノートパソコンのディスク容量が不足している場合や、顧客データのエクスポートファイルがダウンロードフォルダ内に放置されている場合にユーザーに通知するといった取り組みです。Pushの基本的な考え方も同様で、セキュリティは従業員の独断ではなく、協力によって実現されます。
「セキュリティチームが従業員に『強制執行とブロック』を行うのはもはや過去のことだと、私たちは強く主張しています」とベイトマン氏は述べた。「今日、セキュリティとは、企業とその従業員が迅速かつ安全かつ確実に活動できるようにすることです。」
創業者たちは、以前の役職で世界最大級の企業にセキュリティサポートとサービスを提供することに長けていましたが、Pushでは、大企業が既に社内で導入しているようなユーザー中心のセキュリティを、中小企業にも提供することを目指しています。初期の顧客名は明らかにされていませんが、フィンテック、セキュリティ、保険、製薬、小売など、幅広い分野の企業と提携していることは明らかです。
「私たちはこれまで大企業のセキュリティ確保に人生を費やしてきたので、残りの99%にもセキュリティを提供することに注力したいと考えました」とベイトマン氏は述べた。「中小企業や従業員2,000人未満の企業でも利用できるように構築しました。しかし、大企業からも関心を寄せられています。私たちにとって素晴らしいのは、従業員16,000人規模の企業から10~12人規模の企業まで、幅広い企業に対応していることです。つまり、これらの問題を解決しようとしているすべての企業に私たちのソリューションを提供できるということです。」
