企業が認証資格情報や同様の機密データを複数の場所に保存する秘密の拡散は、セキュリティ侵害を回避したい企業にとって現実的かつ増大する問題です。
企業は、APIキー、パスワード、データベースアクセストークンなど、数百もの秘密情報をインフラ全体に分散させている場合があり、何がどこに保存されているか、誰がアクセスできるか、そしてこれらのデータが意図せず公開されていないかを把握することが困難です。例えば、2017年にUberは約5,700万人の顧客の個人データが漏洩した大規模な情報漏洩を発表しました。多くのセキュリティ上の欠陥があったものの、根本的な原因は、Uber開発者のGitHubリポジトリでハッカーがAWSアクセスキーを発見したことに起因していました。
こうした背景から、企業の機密情報の拡散管理を支援するスタートアップ企業や大手IT企業のツールが次々と市場に投入されています。その最新事例として、サンフランシスコに拠点を置くInfisical社が挙げられます。同社は本日、Google傘下のGradient Venturesが主導するシードラウンドで280万ドルを調達し、あらゆる規模の企業の機密情報管理の一元化を支援したと発表しました。
極秘
Infisicalは、企業が必要とするすべてのコンポーネントを組み合わせた総合的な秘密管理プラットフォームとして自らを売り込んでいる。Infisicalの共同設立者であるVlad Matsiiako氏によると、秘密を除けば、Ripplingが人材管理の分野で行ってきたことと少し似ているという。
「企業がデジタル化を進め、他のソフトウェアとの統合が進むにつれて、アプリケーションや開発者の機密情報をすべて管理することが難しくなっています。複数のツールを購入し、それらすべてに機密情報へのアクセス権を与える必要があり、それ自体がセキュリティ上の懸念事項となっています」とMatsiiako氏はTechCrunchに説明した。「Infisicalは、企業向けの関連製品をすべて統合したオールインワンの機密情報管理スタックと考えることができます。」
これには、さまざまなプロジェクトや環境にわたるシークレットを管理するためのダッシュボード、クライアント SDK、コマンドライン インターフェイス (CLI)、GitHub、Netlify、Vercel などとのネイティブ統合、シークレットのバージョン管理と「ポイントインタイム リカバリ」、監査ログ、シークレットのスキャンが含まれます。
ビジネス モデルに関しては、Infisical は、SaaS として販売するホスト型クラウドの形態と、エンタープライズ グレードの機能を販売するセルフホスト型の形態を通じて収益を上げています。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
オープンソース要素
Infisicalは「オープンソース」のSecretOpsプラットフォームを標榜していますが、GitHub上のライセンスをざっと見てみると、純粋なオープンソースというよりは、オープンコアやソースコード公開の領域に近いように思われます。つまり、シークレットスキャンやインフラ統合など、プラットフォームのコア機能の多くは、寛容なMITライセンスの下で利用可能である一方で、監査ログ、シングルサインオン、リカバリ、アクセス制御といった多くの機能は、独立したエンタープライズエディション(EE)のプロプライエタリライセンスの下でも維持されているということです。
「当社のコードベース全体はGitHubで誰でも閲覧可能であり、すべてのコアとなるシークレット管理機能はMITライセンスの下で利用可能です」とMatsiiako氏は述べています。「個人開発者や趣味の開発者は、Infisical CloudまたはInfisicalセルフホストを使用して、ほとんどの機能を無料で試用できるべきだと強く信じています。」
ここでの考え方は、ユーザーがInfisicalを重要な商用ユースケースへの導入という観点から検討し始めると、高度なセキュリティやコンプライアンスといったより多くの機能が必要になるというものです。そのため、企業がInfisicalを自社ホスティングすることを選択した場合でも、コアとなる独自の機能を活用するには、エンタープライズライセンスを購入する必要があります。
「目標は本当に、大企業だけに課税することだ」とマツィアコ氏は付け加えた。
市場には既に類似のツールが多数存在し、その中には数十億ドル規模のクラウドインフラ大手HashiCorpによるオープンソースのVaultプロジェクトも含まれています。Vaultは、秘密管理分野の標準をほぼ確立しています。しかし、Matsiiako氏は、Infisicalはプラットフォームエンジニアリングチームよりも一般開発者を対象としているため、導入が容易で、学習曲線も緩やかなのが利点だと主張しています。
「Vaultは、セキュリティやインフラの知識を持たない開発者にとって導入が難しいため、セキュリティチームやプラットフォームエンジニアリングチームの間で人気が高いことが分かっています」と彼は述べた。「そのため、企業の開発サイクルは遅くなり、Vaultの上に、あるいはVaultの代わりに、開発者向けの完全カスタムソリューションを開発せざるを得ない企業さえあります。」
その他の注目すべき代替製品としては、実質的に独自の SaaS 製品である Doppler や Akeyless、さらには Infisical がプラットフォームの一部としてすでにサポートしている機能である GitGuardian などの秘密スキャン ツールなどの関連製品があります。
「Infisical のバンドル製品に秘密スキャンを統合することで、秘密管理と秘密スキャンの相乗効果を引き出すことができ、関連する秘密管理ソリューションを探している企業は、複数のベンダーではなく 1 つのベンダーだけを利用すればよくなります」と Matsiiako 氏は述べています。
これまでの話
同社の創業者3人、マツィアコ氏、マイドゥル・イスラム氏、トゥアン・ダン氏はコーネル大学で出会い、コンピューターサイエンスとデータサイエンスの様々な分野を学び、その後AWS、Figma、Bungといった様々な企業で勤務しました。そして昨年8月、サンフランシスコを拠点に新たなベンチャー企業を立ち上げるために再会しました。
「これまでの経験や業界の仲間との対話を通して、アプリケーションシークレットの管理は煩雑であり、シークレット管理業界の課題は解決に程遠いことを認識しました」とマツィアコ氏は述べています。「シークレット管理に簡単に使えるオープンソースソリューションを構築する必要があることが明らかになりました。オープンソースであることで、開発者はInfisical Cloudを利用するか、大企業のように自社インフラ上でセルフホスティングするかを柔軟に選択できます。」
Infisicalは、Y Combinator (YC)の2023年冬季プログラムへの参加を通じて50万ドルを調達し、最近ではエンタープライズソフトウェア大手のRed Hatからエンジニアを初めて採用した。
同社のシードラウンドには、リードスポンサーのGradient Venturesのほか、YC、22 Ventures、そしてElad Gil氏やYCのDiana Hu氏などのエンジェル投資家からの投資も含まれている。
