見出し画像

累計23億円調達、スタートアップSaaSの挑戦〜セキュリティツール「Securify」が描く未来〜

株式会社スリーシェイク

この度、スリーシェイクではシリーズB 追加ラウンドとしてNTT データ、SCSK から10 億円の資金調達及び資本業務提携を締結いたしました。

これまでのSecurifyの歩みと今後の展望について、Incubation事業部にてSecurify(セキュリファイ)Reckoner(レコナー)の事業統括を務めております私、手塚がこの場で綴らせていただきます。


Securifyの2年間について

まず、ざっくりとしたSecurifyの沿革は以下です。

  • 2020年5月 Sreake Securityとして脆弱性診断事業を開始

  • 2021年9月 バグバウンティ運用代行サービス Bugtyをリリース

  • 2021年12月 Securify Beta版をリリース

  • 2022年7月 Securify/Reckoner 2つのSaaS事業を統括する事業部としてIncubation事業部を立ち上げ

  • 2022年9月Securify Scanとして正式リリース

  • 2023年10月 無償プランとしてSaaS診断機能/WordPress診断機能をリリース

  • 2024年10月 ASM機能をリリース

弊社のセキュリティ事業は、お客様から寄せられる様々な要望に応える形で、手動による脆弱性診断事業からスタートしました。

そこで一定の実績を積む中で、セキュリティの継続性に課題があることを実感し、これを解決するためにSecurifyの開発に着手しました。
さらに、SaaS事業を統括する事業部としてIncubation事業部を立ち上げ、事業推進の体制を強化しました。

※ その時の話はぜひこちらを参照下さい。

リリース当初、脆弱性診断という専門性の高い領域で、私たちの製品が市場からどれだけ受け入れていただけるか、大きな不安を抱えていました。
Securifyは「継続的なセキュリティ対策」の重要性を訴求してきましたが、実際には「一時的な対応で十分」という認識が強く、その意識のギャップは予想以上に大きいものでした。

※ リリース当初から「継続的セキュリティ」というのを謳っていました。

とくにリリース初期の段階では、年間契約ではなくスポットでの契約を望まれたお客様の方が圧倒的に多い状況でした。

しかしながら、この状況に対して、私たちの考えは明確で曲げることは一切ありませんでした。
なぜなら、セキュリティ対策、とくに脆弱性診断においては実施時点でのリスク可視化しかできないからです。

0-day脆弱性のように日々新たな脅威が発見され、攻撃手法が進化し続けるサイバーセキュリティの世界では、今日の安全が明日も保証されることはありません。
そのため、一時的な対応だけでセキュリティ対策を終えてしまうことは、企業防衛の観点から大きなリスクを抱えることになります。

私たちが継続的なモニタリングとセキュリティ対策の重要性を強調するのは、この現実に基づいているからです。
また、この「継続性」の考え方は、SaaS製品の特性と極めて高い親和性を持っています。クラウドで提供するサービスだからこそ、最新の脅威に対して適合した機能を迅速かつタイムリーに提供することができます。

それを信じて地道に地道に営業活動などに取り組んできました。

紆余曲折ありましたが、結果的にはサービス開始から2年で、無償ユーザーは500社、有償の継続利用企業も100社を超えるまでに成長できました。
具体的な売上数値は非公表ではありますが、プロダクトマーケットフィット(PMF)の観点から見ても、一定の基準を満たす成果を収めることができました。

様々なインシデント等を受けてセキュリティ対策における「継続性」という私たちの提案が、徐々に多くの企業様のニーズに合致してきている結果だと捉えています。

ASMという新しい領域へチャレンジ

直近の2024年10月には、新たな機能としてASM(Attack Surface Management)をリリースしました。
この機能により、企業が保有するインターネット公開資産の可視化から脆弱性診断まで、一気通貫での管理が可能となりました。

とくに注目すべきは、近年深刻な脅威となっているランサムウェア攻撃との関連性です。サイバーセキュリティ専門機関の調査によると、ランサムウェアの侵入経路の8割以上がインターネット経由であることが判明しています。

(出典:トレンドマイクロ株式会社)

このような状況を踏まえると、継続的なインターネット公開資産の管理と脆弱性診断は、投資対効果の観点から見ても極めて重要な施策といえます。
その一方で、私たちはこの一般的なASM製品の手法に疑問を感じていました。

ASM製品の多くは、ドメイン名や会社名をベースとした検索エンジン型のアプローチを採用しています。
検索エンジン型のアプローチの利点としては予期せぬIT資産を発見できるという点にあります。

ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~ (出典:経済産業省)

しかし、より本質的な課題は、既知の資産でさえも100%把握できていない企業が大多数という現状にあります。
どのデータセンターを使って、どのクラウドを使ってシステムを動かしているかぐらいは当然管理はされていると思います。

一方、利用しているクラウド上やオンプレミスのサーバーの中でインターネットから直でアクセスできる資産があるのかを継続して管理し続けられている企業はそこまで多くないでしょう。
そのような状況下では、まず管理可能な対象について精度の高い資産管理を徹底することが重要であると考えています。

そこでSecurify ASMでは、クラウド連携を核としたアプローチを採用しました。パブリッククラウド上のIT資産については、APIを活用してデータ取得を行えば100%の精度での検出が可能です。
その上で、従来型の探索機能も補完的に提供することで、包括的な資産管理を実現しています。

この着想の背景には、私自身のSREとしての経験が大きく影響しています。多くの現場で、「tmp-xxx」といった一時的なテスト用サーバーが放置されているケースを数多く目撃してきました。
これらのサーバーの多くはDNSにも紐付いておらず、セキュリティリスクとなるだけでなく、不要なクラウドコストの発生源となっています。

私自身も過去にこのような経験があり、その教訓が今回の製品設計に活かされています。
既存のSecurifyの機能を根本から見直し、新たな価値を提供するASM機能の開発には1年の期間を要しました。

リリース直後には多くのお客様から前向きな反応をいただき、既存のお客様からも高い評価を得ています。とはいえ、これは私たちが描く理想的なIT資産管理の第一歩に過ぎません。

今後も以下のような機能強化を予定しています:

  • クラウドネイティブ環境における資産管理の更なる自動化

  • リスクベースでの優先順位付け機能の強化

  • セキュリティ運用プロセスとの統合性向上

お客様のニーズと期待に応えるべく、継続的な機能改善と革新的な機能の開発に取り組んでまいります。

Securifyの今後の展望について

SecurifyはASM機能を皮切りに、攻撃者視点/情報漏洩の視点に立って、セキュリティ対策に重要なデータを主軸とした対策機能をコンパウンド戦略で展開していきます。

コンパウンド戦略についてはLayerXの福島様がまとめて頂いている内容がわかりやすいです。

コンパウンド戦略でいくというのを決めたのは1年前で、この戦略を実現するために既に複数のプロダクトを同時並行で開発しています。
これらの製品は全て、システム運用者である私自身が「使いたい」と直感的に感じる製品となるよう設計しています。

その根底にある私たちの2つの重要な開発理念は:

  1. システム運用者の負担を最小限に抑え、効率的な運用を達成すること

  2. 結果として、セキュリティ対策の「継続性」を自然な形で実現すること

です。

現実を直視すれば、システム運用者やサービス事業者にとって、セキュリティ対策は本来業務の傍らで対応する「付随的な業務」となっており、運用者目線に立つと積極的に時間を割けるわけではありません。

※ こちらの内容は「いやいやセキュリティ」として語っていますので、ぜひそちらの記事もお読みください。

(出典:ScanNetSecurity)

その結果、セキュリティ製品の導入は多くの場合「仕方なく」「義務的に」行われています。なぜなら、セキュリティ対策は常にビジネスの「副産物」として存在するからです。
この「付随的な要素」としてのセキュリティ対策に、専任の担当者を配置できる企業は極めて限られているのが現実です。
ここを解決するために私たちは、セキュリティの専門家向けではなく、「システム運用者が自然な形で運用できる、必要最低限の機能」を提供することに注力しています。

一般的に製品開発において「自分が欲しいものを作ってはいけない」と言われています。
しかしながら、このプロダクトの方向性は、システム運用の喜びも苦労も熟知し、お客様と共に多くの経験を積み重ねてきた私たちスリーシェイクだからこそ提供できる独自の価値があると確信しています。

今後、AIやテクノロジーの進化と共にセキュリティニーズは変化し、求められる機能も進化し続けるでしょう。
しかし、「システム運用者の視点に立った、継続可能なセキュリティ対策の実現」という私たちの核心的な価値提供は、決して変わることは無いと考えています。

実現する仲間を募集

Securifyの展望についてここまで記しましたが、実現したいことは思いつく限りでも山程あります(笑)
とにかく弊事業部では「コミット」する事にこだわっています。

プロダクトの0→1、1-10など様々なフェーズがありますが、どの過程も決して楽なものではありません。
ですが、そこに狂い、そこを徹底的に楽しめる。その楽しさを共有できる仲間が増えると良いなと思っています。

ご興味ある方からのご応募をお待ちしております。