【コラム】サイバーセキュリティ分野における次の11兆円市場とは

編集部注:本稿の著者Kara Nortman(カラ・ノートマン)氏はUpfront Venturesのパートナー。

ーーー

筆者は1999年、Battery Ventures(バッテリーベンチャーズ)のアソシエイツとして、Red Herring、InfoWorld、The Industry Standard、および筆者のお気に入りのStorageWorld、Mass High Techなど(他のVCアソシエイツでこの2誌を読んでいる人はほとんどいなかった)の紙媒体雑誌に毎晩目を通してマーカーを付けていた。

23才のとき、自分よりはるかに年配のIBM、EMC、Alcatel(アルカテル)、Nortel(ノーテル)といった企業のCEOたちの名前を丸で囲んで、彼らが何をしているのかを詳しく学んだ。これらの企業は、メインフレームからサーバーへの複製テクノロジー、IPスイッチ、そして最上層に当時まだ登場したばかりのウェブ / セキュリティサービスを構築していた。

あれから22年が経過したが、ある意味、何も変わっていない。インターフェイスは、コマンドラインからGUI、そしてAPIへと革新的変化を遂げてきた。しかし、私達のインターフェイスに対する要求は終わることなく、今まで以上にさまざまなタイプの人たちの、さまざまなタイプのデバイスで動作するインターフェイスが求められている。OSIスタックの話をしているのではない。今は分散ブロックチェーンスタックの時代だ。昔はメインフレーム上で実行されていた計算、データ・ストレージ、分析も、今はクラウド上ですべてが実行される。

課題と機会は昔も今もほとんど変わらないが、市場と機会の規模ははるかに大きくなった。AWSとAzureのクラウドビジネスだけで2020年のランレート収益は230億ドル(約2兆5530億円)増となっており(AWSが32%増、Azureが50%増)、すでに巨大規模となっている市場で高い成長率を達成している。

ソフトウェアが世界を席巻し、より多くの人たちが地球上のどこにいても(さらに近い将来には、宇宙からでも)イスに座ってコンピューターを操作できるようになっているため、サイバーセキュリティの市場規模は飛躍的に拡大している。

この数カ月間、筆者と同僚のSpencer Calvert(スペンサー・カルバート)は、この市場の機会がこのように急速に拡大している理由について、マルチクラウド環境の台頭誰も追いつけない速さで生成され格納されるデータ組織の事実上すべての機能に利用されているSaaSアプリケーション政治力と戦略的責任におけるCISO(最高情報セキュリティ責任者)の台頭など、何本か記事を書いた。

これらの要因をすべて考慮すると、控えめに見積もっても、2025年までに新しく生まれる市場価値だけで1000億ドル(約11兆500億円)に達し、市場全体の規模は2800億ドル(約30兆9500億円)に達する。

言い換えると、サイバーセキュリティ分野では莫大なビジネス価値が創造される機が熟している。この分野で多くのユニコーン企業が誕生すると思われ、市場はまだ初期の段階だが、当社が投資先として考えている分野がいくつか(および開発中の大局的な分野が1つ)ある。アップフロントでは以下の分野で基盤を構築している企業を積極的に探している。

  • データセキュリティとデータ抽象化
  • ゼロトラストの広範な適用
  • サプライチェーン

データセキュリティとデータ抽象化

データは新しいテーマではないが、筆者は初期のサイバーセキュリティという視点から見たデータスタックの変化を目の当たりにしてワクワクしている。セキュリティをスタックの上層部または側面部のアプリケーションとしてではなく、基盤部分にあるものとして見るとどのような機会が生まれるだろうか。

画像クレジット:Upfront Ventures

例えばデータは拡大速度が速過ぎて保護が追いつかない。我々は今、データ(構造化および非構造化)の存在場所、データの格納場所をまず認識し、セキュリティに関する方針を確認し、最も重要な問題を適切な速度で修正することを優先する必要がある。

これを規模を拡大して実施するには、賢明な受動的マッピングと、ますますデータが豊富になる(ノイズが増える)世界でノイズから信号を抽出するためのヒューリスティックとルールが必要になる。当社のポートフォリオ企業であるOpen Raven(オープンレイブン)は、構造化、非構造化を問わずデータをクラウド環境全体で大規模に検出および保護するためのソリューションを構築している。データセキュリティの分野では、制御ポイントがネットワーク層からデータ層に移行するにつれて、新しい大規模プラットフォーム企業が登場するだろう。

当社はオープンレイブンがこの分野でリーダー的存在になり、新しい世代の「アウトプット」、つまりこれから投資対象となるアプリケーション企業に推進力を与えることになると確信している。こうした企業はSalesforce(セールスフォース)やWorkday(ワークデイ)と同じ規模で、最初から異なる方法で抽象化および管理されたデータで構築される可能性がある。

作成または検出された時点のセキュリティデータを目を向けると、オープンレイブンのような新しいプラットフォームは、まったく新しいアプリエコシステムの登場につながる可能性がある。このエコシステムの範囲は、オープンレイブンによって構築される可能性が最も高いコンプライアンスワークフローなどの社内製アプリから、昔から我々が使用してきたアプリ(人材管理システム、CRM、製品分析、マーケティング属性ツールなど)を再構築するまったく新しい企業まで、幅広い。

セキュリティ最優先の基本方針を持って業界をリードするプラットフォームは、顧客エンゲージメント層つまり「アウトプット」層という一点に集中し、データカタログ作成、オピニオン編入データモデル、データアプリケーションなどを、データマッピング、セキュリティ、コンプライアンスを処理するサードパーティーに一任することで、新世代のアプリケーション企業に推進力を与える潜在性を備えている。

画像クレジット:Upfront Ventures

簡単に言えば、フルスタックのアプリケーション地球を構成する層に見立てると、UXは地殻に相当する。下層の基盤水平企業が個人識別情報やGDPR(GDPR対応は、現在至る所にデータを保持している企業に押し付けられている)などのすべての要件に対応するようになると、その地殻部分が拡充され、分厚くなる。これにより、新興アプリケーション企業は、自社の創造的な人材を、人間対ソフトウェアエンゲージメント層に重点的に配置する時間的な余裕が生まれ、既存のあらゆるカテゴリで人間の能力を超えるアプリを構築できるようになる。

ゼロトラスト

ゼロトラストは2010年に最初に登場した造語だが、アプリケーションは未だに、この考え方で検出されており、大企業はこの考え方を基盤に構築されている。ご存じない方に説明しておくと、ゼロトラストとは、自身のシステム、デバイスなどにアクセスしてくる者はすべて信頼しないという前提を指す。

いささか被害妄想気味に思えるかもしれないが、前回みなさんが大手テック企業を訪ねたときのことを思い出して欲しい。受付とセキュリティを来客用の入場許可証や名札なしで通過できただろうか。絶対にできないはずだ。仮想スペースや仮想アクセスでも同じことだ。筆者がゼロトラストセキュリティに深い関心を持つようになったのはFleetsmith(フリートスミス)に関わるようになったのが最初だった。筆者は2017年にフリートスミスに投資した。当時のフリートスミスはアップル製デバイスをビジネスに活用していた組織向けにアプリ、設定、セキュリティ設定を管理するためのソフトウェアを開発していた若いチームだった。フリートスミスにとってのゼロトラストとはデバイスの設定とアクセス許可についてのことだった。フリートスミスは2020年半ばにアップルに買収された。

ちょうどフリートスミスが買収された頃、筆者はArt Poghosyan(アート・ポグホスヤン)とそのチームにBritive(ブリティブ)で会った。このチームはクラウドで動的なアクセス許可を実現するためにゼロトラストを導入していた。ブリティブは、ゼロトラストのジャスト・イン・タイム(JIT)アクセスを前提として構築されている、この方法では、ユーザーは、従来の「チェックアウト」および「チェックイン」資格情報の代わりに一時的なアクセス許可を動的に付与される。

ブリティブでは「常時オン」の資格情報の代わりに一時的な特権アクセスを付与することで、過剰特権アカウントにともなうサイバーリスク、特権アクセスとワークフローの管理に要する時間を大幅に軽減することができるため、マルチクラウド環境における特権アクセス管理を簡素化できる。

ゼロベーストラスト(ZBT)の次には何が登場するのだろうか。社員は作業によってデバイスと位置を変えるため、当社はデバイスとアクセス権が新しい境界になると考え、最初はフリートマン、今はブリティブに投資している。しかし、ZBTが日常的なプロセスに浸透するにはまだまだやらなければならないことがたくさんあると考えている。パスワードは、(自分が誰であるかを毎回証明する必要があるため)理論上はゼロトラストであるが、パスワ                      ードだけでは十分というにはほど遠い。

画像クレジット:David Ulevitch on Twitter

パスワードを盗むフィッシング詐欺は、データ漏洩の最も一般的な原因だ。しかし、ユーザーに、パスワードマネージャーを使用させたり、パスワードを定期的変更させたち、2要素認証、さらにはパスワードなしのソリューションを採用させるにはどうすればよいだろうか。当社は、ZBT要素を一般的なワークフローに組み込むというシンプルでエレガントなソリューションを支持する考えだ。

サプライチェーン

最近のソフトウェアはサードパーティーやオープンソースのコンポーネントを使用して組み立てられている。この公開コードパッケージとサードパーティー製APIによる組立ラインはサプライチェーンとして知られている。この組立ラインをターゲットとした攻撃はサプライチェーン攻撃と呼ばれる。

一部のサプライチェーン攻撃は、Snykなどの既存のアプリケーションセキュリティツールやオープンソース依存性をチェックするその他のSCAツールで低減できる。具体的には、セキュリティエンジニアリングを自動化し設定ミスを修正するBridgecrew(ブリッジクルー)やセキュリティスキャンを実施するVeracode(ベラコード)などがある。

しかし、その以外の脆弱性を検出するのは極めて困難になることが多い。サプライチェーン攻撃が注目を集めた2020年のSolarWindsハックでは、SolarWindsアップデートの小さなコード片が変更され、1万8000社に拡散してしまった。これらの企業はすべて、ネットワークの監視やその他のサービスにSolarWinds製のソフトウェアを導入していた。

画像クレジット:Upfront Ventures

自社のセキュリティオンボーディングにすべて合格した信頼できるベンダーのバージョンアップデートに悪意のあるコードが隠されているとしたら、一体どのようにして自社を保護すればよいだろうか。サプライチェーン全体の可視性を維持するにはどうすればよいだろうか。このように今は答えよりも疑問のほうが多い状態だが、当社は、サードパーティー製ベンダー、モジュール、API、その他の依存性を入念に検査し、導入、監視、削除を実行する大企業が出現すると予測している。

上記のいずれかの領域やその関連領域で起業を考えている読者は、当社までご連絡いただきたい。当社は、サイバーセキュリティの分野が急速に変化していることは十分に認識している。本記事の内容について、ご意見、反論などあれば、ご連絡いただきたい。

関連記事
【コラム】サイバーテロを終わらせるために政府は民間セクターとの協力を強化すべきだ
【コラム】上司は「オフィスのほうがセキュリティ的に安全」と言うがそれは従業員を職場に戻す理由にならない
【コラム】パブリッククラウドにおけるセキュリティ課題の解決に向けて

カテゴリー:セキュリティ
タグ:コラムOpen Ravenゼロトラスト

画像クレジット:guirong hao / Getty Images

原文へ

(文:Kara Nortman、翻訳:Dragonfly)