大阪の奇跡「純国産SOCサービス」セキュアヴェイル、垂直統合までの20年 | ScanNetSecurity
2021.07.26(月)

大阪の奇跡「純国産SOCサービス」セキュアヴェイル、垂直統合までの20年

「国産」「自社開発」「セキュリティ運用特化」「垂直統合」これら 4 つの高いハードルに挑戦し、長い助走の果てにようやく飛び越えた企業が大阪に存在する。リスペクトをこめて本誌はこの企業を「大阪の奇跡」と呼ぶことにする。

製品・サービス・業界動向 業界動向
 その特性を持つプレイヤーが市場にほとんどいないことで、その真価がまるで理解されていない企業がセキュリティ業界には存在する。

 まず「国産セキュリティ企業」が筆頭に挙がる。FFRI や デジタルアーツ、セキュアブレインなど数えるほどしか国産セキュリティ企業が存在しないため、いざ国産と言われてもピンとこない。「セキュリティって言ったら海外製ですよね」などという、安全保証や地政学的潜在脅威などどこ吹く風、極めてのんきな発言が飛び出す。

 「国産」と関連するが「自社開発」もそのひとつ。日本においてセキュリティ事業とは、海外製品のリセラーになって製品やサービスを販売することとニアリーイコールであり、製品を自社開発する企業など滅多にない。たとえば SOC サービスなら、分析基盤には Splunk などの海外製品を使うのがデファクトだと真剣に信じている人すらいかねない状況だ。

 セキュリティにおける「運用」サービスも同様。「セキュリティ対策」と聞けば、ほとんどのユーザ企業にとって、セキュリティ機器やサービスを購入して、導入し、設置して終わり以上のイメージがない。通常の IT 投資なら確かに、選定や構築、そして導入がクライマックスであり、ユーザー訓練が終わった後は、たまさか発生する障害やライセンス更新に対応するだけだ。しかし、セキュリティ製品は導入がむしろ始まりに過ぎず、アラート発報やインシデントへの対応など、日々の運用という終わらないクライマックスが果てしなく続く。本来運用こそがセキュリティそのものなのだが、FortiGate や Palo Alto 等ハイブランド機器を導入し、取締役会で自慢することを仕事と思っているような情シス担当の馬鹿役員にそんな正論通じるはずもない。

 「事業の垂直統合」などとなれば、もはや想像の範囲外。製品・技術・サービス・人材等をひとつのグループ内で、あるいは一社内で完結させることに成功すれば、高いサービス水準を維持しつつ、安価に提供しながらも、規模の経済を追求できるという、強力な優位性を発揮できるのだが、ほとんどのプレイヤーにとって「 TOYOTA や Apple でもあるまいし、そんなことできるはずない」と一蹴する。

 いまここで列挙した「国産」「自社開発」「セキュリティ運用特化」「垂直統合」これら 4 つの高いハードルに挑戦し、長い助走の果てにようやく飛び越えた企業が大阪に存在する。リスペクトをこめて本誌はこの企業を「大阪の奇跡」と呼ぶことにする。

 株式会社セキュアヴェイルは 2001 年、マネージドセキュリティサービス、現在でいうところの SOC サービスを提供することを目的に大阪市北区で設立された。2001 年といえば、インターネットセキュリティシステムズ社がようやく SOC サービスを稼働開始した年だ。前の年には NRIセキュアテクノロジーズ社が創業している。いずれにせよ SOC という概念が理解されていたとは言い難い時代だ。

 「セキュアヴェイル」とは「セキュリティ」+「アベイラビリティ(可用性)」に由来する。充分な可用性のある運用を行うという決意でもある。いま以上にモノやサービスを売ることがメインだった時代、運用サービスに特化した事業を興す者は極めて稀だった。

 当時、サーバ管理などのマネージドサービスが市場を急拡大していた。サーバのマネージドサービスにこれほど需要があるなら、それよりはるかに複雑なファイアウォールの設定や管理の巨大市場が将来形成されるに違いない。その市場の制空権を掌握する。これが創業者 米今 政臣(よねいま まさおみ)の、目標でも希望でも決意でもない確信だった。

 創業してすぐに米今が開発に着手したのが、現在の同社のシステム管理・ログ管理基盤「 LogStare 」の前身となるプラットフォームの開発だった。ArcSight のようなログ管理の海外製品は数千万円する。起業したばかりでは高額製品を到底買うことができないから「米今らは自社開発を行い活路を開いた」などという頭の悪い根性論では、全然ない。

 「最初からサービスは標準化する考えだった。たとえ資金がどれだけ潤沢にあっても自社開発した(米今)」

 たとえば日立製品で構成された環境下で、JP1 を使ってきちんとした監視体制を構築しようとするなら、JP1 を扱える技術者を訓練し、最低でも 4 名程度の 24 時間体制のチームを作る羽目になる。しかし、別の B 社では JP1 ではなく OpenView が必要になるかもしれない。今度は OV を扱う技術者を訓練し、4 名程度の 24 時間体制チームを作る羽目に陥るのだ。

 同じ SOC サービスを提供するにしても、クライアント別にログ管理基盤が異なれば、ノウハウも溜まらず、個々の案件が相互に足かせとすらなって、スケールすることなどままならなくなる。顧客から見た使い勝手はいいかもしれないが、要は顧客が増えれば増えるほど苦しくなる、みんなで我慢のゆでガエル、悲壮感漂わせた真面目な人士が大好きな労働集約産業だ。そんなの御免蒙る。大阪人の合理性である。

 セキュリティ業界における標準化は、ここ 4~5 年ほどは業界の重要な通奏低音となっているが、2001 年創業時点から米今の頭には標準化があった。

 あたりまえの話だが、セキュアヴェイルのサービスは設立当初理解されはしなかった。セキュリティの構築や導入には投資をしても、こと「運用」にお金を払う企業など、関西製造業の雄などごく一部の例外を除いてほとんど存在しなかった。長期間セキュアヴェイルは、導入構築などのセキュリティ製品の販売事業の売上が約半分を占め続けた。2006 年の株式上場時には「卸売業」とカテゴライズされたほどだ。しかし、セキュリティ機器を売れば売るほどいずれは運用の需要が市場に芽吹くだろう。そんな思いでひたすら「種」を蒔き続けた。

 株式公開で集めた 3 億円あまりの資金はすべて投資に回した。ログ管理基盤 LogStare の新バージョンの開発と、運用管理システムの新たな開発、そして自前のデータセンターの構築だった。

 データセンターに 1 年、ソフト開発には 1 年半の時間とコストをかけて完成させたが、大きな投資を行っても、SOC サービスはストックビジネス、だから急に売上は増えない。月 10 万円のサービスなら 100 社顧客を獲得しても月の売上はわずか 1,000 万円に過ぎない。

 見かねた監査法人は米今に、データセンターとソフトウェア資産の「除却」を通告したという。除却とは価値がなくなった資産を帳簿から除外すること。わかりやすくいえば「おまえが作ったソフトウェアもデータセンターもゴミだ」と言われたことに等しい。当然のことながら米今は激怒した。そしてそこを襲ったのが 2008 年のリーマンショックによる大不況だった。

 ここで米今は、大きく舵を切る判断を行う。モノ売りを辞めることである。

 セキュリティ機器を一台売れば、たとえば 1,000 万円の売上になったとしても、その利益は、マスターディストリビューターでもない限り大したものではない。一方で、垂直統合した SOC サービスは、ひとつひとつの売上額は豆粒のようなサイズでも、著しく利益率が高く、増えれば増えるほどノウハウも蓄積され、財務体質も良くなり、事業と顧客にとって「正のサイクル」が回る。要は顧客が増えれば増えるほど楽になる。ゆでガエルの正反対だ。

 決して心中に葛藤がなかった訳ではない。何割も売上の嵩が減ってしまうという深い谷を飛び越えることになる。しかし今が決断の時と考えた。

「物販だけはやめてくれ」

「構築だけという仕事も、もうやめよう」

「メーカーとして、サービス提供者のプライドを持って仕事をしよう」

 社内にそう言い続けた。

 結果的にこの舵取りが、SOC サービスのストックビジネスを増やし、国産セキュリティ企業としての地歩を固める結果を生んだ。ちなみに除却をアドバイスした監査法人との契約は解除した。

 2020 年、セキュアヴェイルグループは、プラットフォームを開発する株式会社LogStare、SOC サービスを提供する株式会社セキュアヴェイル、自社ツールと自社サービスに特化した人材育成と派遣を行う株式会社キャリアヴェイルの 3 社体制を確立した。20年 近くの歳月を経たが創業時の青写真が現実になったに過ぎない。

 自社開発製品によるサービス提供と人材育成を、ひとつの企業グループで統合し提供するという真似できない仕事を、コモディティ化しやすい SOC サービスの分野で成し遂げた。しかも大阪で、である。

 関西は一般に、東京の港区や中央区などの企業を相手に提供されるセキュリティサービスの、半額前後の価格レンジといわれる。都内のセキュリティ大手が西に進出しない/できない理由のひとつだ。つまり「リーズナブルな料金」という条件がさらに成し遂げた仕事の一覧に加わる。大阪の奇跡どころか日本のセキュリティ業界にとってもミラクルだ。

 近年「セキュリティ自給率」という言葉が政府文書などに用いられる。食糧同様、セキュリティは自国の技術でまかない、そのノウハウを自国に蓄積していくことが国家の礎となるという考え方である。もちろんさまざまなセンサー機器は海外製品を使うことがやむなしだとしても、要となるログの収集と管理を行う機器やソフトウェアは国産技術で、という選択肢には一考の価値がある。

 SOC などどれも似たようなサービス、価格が一番安いところか、または何かあったときにアリバイとして機能しておのれの責任回避に寄与する名の通ったブランドと契約するよ、そんな清廉な紳士淑女に伝えるメッセージなど本誌はひとつたりとも持たないが、もしそうではないなら、この企業グループには注目していい。
《高橋 潤哉( Junya Takahashi )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×