COLUMN

Angel Bridge USベンチャー研究#13(Snyk)

開発者向け脆弱性管理ツールを提供する「Snyk」の事例

2025.04.04

前回の「Angel Bridge USベンチャー記事#12」は、核融合発電の実用化を目指すアメリカのユニコーン企業Commonwealth Fusion Systemsについて紹介しました。
Angel Bridge USベンチャー研究#12

今回紹介するSnykはソフトウェアの脆弱性管理をサポートし、エンジニアの負担を軽減するツールを提供しています。

ソフトウェア開発の世界ではセキュリティの重要性が日々高まっています。「脆弱性」とは、システムやソフトウェアにおいて、セキュリティを脅かす可能性のある欠陥や弱点のことを指し、プログラムの誤りにより生じる不具合である「バグ」がその代表例とされます。「脆弱性管理」は、企業や政府といった組織において、そのような脆弱性情報を調査・分析し、脆弱性を解消するという一連の流れを指します。

本記事では、脆弱性管理ツールの市場環境、Snykの特徴をはじめ、下記のような内容について詳しく見ていきます。

市場環境

Webアプリの利用増加に伴い、ソフトウェアの脆弱性をついた攻撃が増加しています。こうしたサイバー攻撃は、機密情報や個人情報の漏洩、企業活動の停止などを招きます。例えば、2024年5月、積水ハウスは会員サイト「積水ハウス Net オーナーズクラブ」に登録されていた会員・従業員約83万人分の個人情報が漏洩した可能性があると発表しました。同じく2024年5月、サーバー攻撃に起因するシステム障害によりJR東日本が運用するモバイルSuicaアプリへのログインや、オンライン切符購入サイトえきねっとへの接続が一時的に難しくなる事態が発生しました。

近年、企業のDX推進やリモートワークの普及によりビジネスアプリケーションの導入・整備が進み、多くの企業が、システムの脆弱性を利用したサイバー攻撃やシステム障害のリスクにさらされており、セキュリティすなわち「脆弱性管理」の需要は特に増大しています。

脆弱性管理の世界市場*1は2024年の145億USDから2029年には217億USDに成長し、CAGRは7.5%とされています。日本市場*2では、2022年から2027年のCAGRは15.0%とされるなど、世界的に高い成長を遂げている領域で、世界市場を上回る速度での市場成長が見込まれています。

日本市場の成長を後押しする大きな要因は、地域性と国家戦略です。

まず、地域性についてです。大量の個人情報を扱う金融サービス業界はサイバー攻撃時の被害額が大きくなりやすいことから、ターゲットになりやすく、セキュリティ対策が叫ばれている業界です。その対策が進んでいる欧州や米国と異なり、日本を含むアジア太平洋地域の金融サービス業界はデジタルテクノロジーを急速に導入していますが、セキュリティ対策には後れを取っており、早急な対応が求められています。

そして、国家戦略についてです。日本では2021年9月にデジタル庁が設置され、「Cybersecurity for all」というスローガンのもと、官民が一体となってサイバーセキュリティ戦略を推進しています。こうした社会潮流から、日本でのサイバーセキュリティ需要は世界的に見ても大きく成長すると考えられます。

 

*1Morder Intelligence Industry Reports「セキュリティと脆弱性管理市場の規模とシェア分析・成長動向と予測(2024年~2029年)
*2ITR「ITR Market View:サイバー・セキュリティ対策市場2024

 

会社について

図1: Snykについて

Snykはイスラエル国防軍で信号情報収集や暗号解読を行う精鋭部隊「8200部隊」に所属し、複数のソフトウェア会社でのCEO経験を有するGuy Podjarny氏によって、2015年に設立されました。共同創業者のAssaf Hefetz氏はソフトウェア会社での豊富な開発経験を持ち、同じく共同創業者のDanny Grander氏も「8200部隊」の出身で、政府向けセキュリティツールを提供するGita社のCTO経験を有するなど、創業時から開発力が強みでした。

その創業経緯はソフトウェア開発の体制変化と密接に関係しています。

計画、設計、実装、テスト、リリースといった各フェーズを分業体制で行う「ウォーターフォール型」、開発チームと運用チームに分かれて開発サイクルを少人数かつ短期間で回す「アジャイル型」、開発チームと運用チームを1つにしてインテグレーションを自動化する「DevOps型」と移り変わり、開発サイクルは年々高速化を遂げてきました。

こうした開発サイクルの短期化が進み、従来のように社内のセキュリティチームが外部ベンダーに依頼をする形では、工数がかかりリリースまでのスケジュールに間に合わせることが難しくなっていました。

そこで、創業者であるPodjarny氏は、社内の開発者向けのセキュリティツールを提供できれば、開発段階で脆弱性をチェックし、業務の効率化が図れるのではないかと考え、Snykを創業しました。

こうした発想は「DevSecOps」と呼ばれ、開発や運用と並行しながらセキュリティ対策を行うことが可能であり、Snykはその先駆的企業となっています。

設立から現在に至るまで、累計調達額は11億USDにのぼり、最新ラウンドであるCorporate Roundでは、調達後評価額は74億USDとなっています。

サービスの特徴

Snykは、コード、オープンソースライブラリ、コンテナ、インフラストラクチャーなど、クラウドネイティブアプリケーション開発の重要コンポーネントすべてをカバーする包括的なサービスを提供しています。具体的には、下記の4つのプロダクトをまとめてセキュリティプラットフォームとして提供しています。

①Snyk Open Source
SDLC(ソフトウェア開発ライフサイクル)の初期段階または全体にわたり、オープンソースに依存する脆弱性を検知し優先順位をつけて修正
②Snyk Container
コンテナやその運用管理ツールの脆弱性を検出し、修正に関する具体的なアドバイスを提供
③Snyk IaC
開発者やチームがデプロイする前にコード内の脆弱性を特定し、開発者に特化したアドバイスを提供
④Snyk Code
開発中のアプリケーションコードに存在する脆弱性をリアルタイムで発見、修正。AIを駆使して、数百万行のコードでも数分でスキャン可能

図2: セキュリティプラットフォームのイメージ(出所:Snyk社HP)

Snykの特徴は、膨大な情報を処理しながらセキュリティを高める必要がある開発者にとって、わかりやすく使いやすいUIを有していることです。コードの脆弱性を可視化するのみならず、セキュリティの改善についても、どのようにコードを修正し、どのようにセキュリティが改善されたのかを数値化して出力することで、業務効率化と品質の向上を同時に達成できるようになっています。

SnykはDevSecOpsの先駆的企業として、脆弱性管理ツールが開発者の間ではまだなじみのなかったころ、販売戦略においても工夫をしていました。ただ企業に売り込みに行くのではなく、無償で公開され、利用や改良が誰に対しても許可されるソフトウェアであるオープンソースライブラリにSnykを活用してもらうことで、開発に携わる人であれば誰でもSnykを目にすることができる状況を作り、セキュリティに関心を持つ開発者たちの注目を浴びました。

開発体制の変革に合わせた斬新なプロダクトや工夫された販売戦略をもとに、Snykは目覚ましい成長を遂げてきました。

トラクション

Snykのセキュリティプラットフォームは、GoogleやSalesforceといった世界有数のエンタープライズをはじめ、全世界で2,500社以上で導入が進んでいます。

また、2024年10月の公式発表によると、Snyk全体のARRの約3分の1を占める「Snyk Code」は、2024年にARR1億ドルを達成しました。Snyk全体においても、ARRが前年比で40%増加するなど、順調に事業規模を拡大しています。

競合

 

図3: 脆弱性管理ツール市場のプレイヤー

マイクロソフト傘下のGitHub社やFortune100企業の40%を含む1,800社にサービスを提供するCheckmarx社など、脆弱性管理ツール市場で包括的なプラットフォームを提供する競合企業は数多く存在します。

そうした中、Snykの強みは大きく2つあります。

一つ目は設計思想です。カスタムコード、オープンソースライブラリ、コンテナ、IaCというアプリケーションを構成するすべてのレイヤーで脆弱性管理を行うことができます、Snykは5つのコア製品から構成されており、顧客企業は必要な製品のみを選択して利用できるので、過不足なくサービスを活用することができます。

二つ目は品質の高い脆弱性データベースです。他と比べて3倍以上のデータ量、脆弱性登録のスピード、低い誤検知率を誇り、ソフトウェアの開発期間の短期化に大きく寄与しています。

これらは「デベロッパーファースト」を掲げて技術力を武器に、サービスの使いやすさを追求してきたSnykならではの強みと言えます。

日本市場

2025年3月に経済産業省が「クレジットカード・セキュリティガイドライン」を改訂し、EC加盟店のシステムおよびWebサイトの脆弱性対策実施を求めるなど、日本でも年々脆弱性管理の必要性は高まっています。

Snykは2022年から日本での提供を本格的に開始し、IT系グロースベンチャーであるGunosyやZ会グループ、三菱電機などの大企業などで導入が進みつつあります。大量のデータを扱うIT企業や、より厳重なセキュリティ対策が求められる大企業では、今後ますますSnykのような脆弱性管理ツールの導入が進んでいくでしょう。

SnykやGitHubなどの米国系企業をはじめ、様々な企業がひしめく脆弱性管理市場ですが、国産ツールが日本市場で勝ち抜くには、そのような競合優位性が必要なのでしょうか。

国産の脆弱性管理ツールには、Visionalグループの一角である株式会社アシュアードが提供する「yamory」や、株式会社スリーシェイクが提供する「Securify」などがあります。

考えられる差別化として、海外の脆弱性管理ツールは、グローバルで収集したサイバー攻撃やセキュリティホールのデータに基づいたサービスが提供されていますが、国産であれば、厳格な予算管理や稟議制度を有する日本の大企業特有の意思決定スタイルにそった機能設計や、日本語でローカライズした丁寧なカスタマーサポートなどが考えられます。

おわりに

Snykは、開発者中心のアプローチと包括的なセキュリティプラットフォームを提供し、急成長する脆弱性管理ツール市場を牽引しています。

開発体制の変革に合わせた斬新な事業の切り口や工夫された販売戦略など、プロダクト開発力だけに依存しない多角的な強みの創出が、こうした急激な成長を支えているのだとわかりました。
また、国産の脆弱性管理ツールが国内市場においてどのように競争優位性を構築していくのか、注目していきたいと思います。

最後になりましたが、Angel Bridgeは様々な業態の業務効率化を支えるSaaS企業に積極的に投資しています。事業の壁打ちや資金調達のご相談など、お気軽にご連絡ください!

MORE RELATED INTERVIEWS | COLUMNS