事業のネタ帳 #16 保険の進化史から考えるセキュリティマネジメントの次
こんにちは、相良です。日本と東南アジアでシードスタートアップへの創業投資を行なっています。
市場のリスク/事業のリスクを一方的に起業家へ押し付けるのではなく、自ら起業家と同じ目線/姿勢で事業アイディアを考案、発信することで産業創造/産業変革の当事者足ろうと昨年スタートした事業のネタ帳シリーズですが、16本目となる今回は国産セキュリティスタートアップの事業機会について考えてみたいと思います。
目次
- なぜ今、セキュリティか
- グローバルか、ローカルか
- 保険とセキュリティ
- 保険の進化史
- “Embedded Security”の地合い
なぜ今、セキュリティか
なぜ今セキュリティに注目するかといえば、一口にインターネットの接続点(ヒト・モノ)がここ10年で大幅に増加したことがあります。
それに加えて、昨今のパンデミックが促進した働き方/働く場所の多様化が輪をかけるようにセキュリティリスクを増幅していることも挙げられます。
※本稿で記載する「セキュリティ」は全て情報セキュリティのことを指しています。
2010年代前半にはクラウドorオンプレミスの議論が盛んにされていたのが懐かしく思い起こされますが、2022年現在ではクラウドの導入が(国防関連など一部のケースを除いて)所与の要件になっています。
また、Connected Deviceと呼ばれる、インターネットへの接続を前提とした物理端末も急速に増えています。生産設備、自動車、家電、時計など、インターネットに繋がるデバイスの増加は、悪意ある第三者の視点では侵入可能な接続点(IT用語でいうところのendpoint)の増加を意味します。
これらが外堀を埋める要素だとすると、パンデミックによって市民権を得たオフィス&リモートのハイブリッドワークスタイルの浸透が今まさに内堀を埋め、裸一貫の本丸に手を掛けようとしている状況です。
グローバルか、ローカルか
ちなみに情報セキュリティの関連製品はその性質上いわゆる”Tech-oriented”なサービスが多く、言語や商習慣といったローカルバリアを比較的突破し易い特徴を持ちます。
いきおい、このカテゴリでパッと想起されるサービスはMcAfee、Zscaler、CrowdStrikeなど海外製のものが多い印象です。
ただし国産企業に活路はないのかといえば、必ずしもそうではないと考えます。
ネットワーク効果が効きにくく、切り口が複数(認証/認可、エンドポイント、ネットワーク、ログ監視等)あることからOne takes allにはならない市場特性があるのが一つ、それから米中の睨み合いや露宇間の紛争で深刻化した地政学リスクがセキュリティマネジメントの舵取りを特定の企業/国へ集約することを困難にしたのが二つめの理由です。
良くも悪くも地政学的な見地における存在感が小さく、世界で最も(他国への)入国制限が緩い国のうちの一つが日本です。
ローカル、グローバル問わず国産のセキュリティスタートアップが当該市場において十分なパイを切り取り得る余地があると考えるのは上記のような理由に拠ります。
保険とセキュリティ
翻って、セキュリティスタートアップの勝ち筋を考える上で、保険事業が辿ってきた足跡は参考になる点が多いように思います。
両者のわかりやすい共通点として、保険もセキュリティも「リスクマネジメント」をその本質とする事業領域です。そしてこのリスクマネジメントは、顧客の潜在需要が喚起されて初めて金額がつくという性質を持ちます。
全てのリスクをコントロール可能と考えているPerfect Humanには不要な商材であり、一般の人にとっても顕在化するまでは痛みがわからない類のニーズでもあるため、必然的に顧客の財布の紐は固くなりがちです。
そのため、保険各社は感情に訴えかけるキャッチコピーを用いた販促活動に多額の費用を投じることで、ターゲット顧客の潜在需要を顕在化させる努力を重ねてきました。
これは情報セキュリティ市場においても、(B2Bが大半を占めるため保険会社ほど華やかな販促はないものの)同じ構造が認められます。
相違点として、リスクが顕在化した際の損害金額の試算難易度はあるかもしれません。物損時の弁償代や疾患時の医療費など、保険のリスク試算は比較的算盤が弾きやすい一方、セキュリティリスクについては情報漏洩時の補償や賠償など、影響範囲が変数となるものも多く明確な試算が難しい性質を持つためです。
保険の進化史
これまでの保険は、アクチュアリーと呼ばれるリスク分析の専門家によって、確率統計学の手法を基に被保険者のリスク試算が行われてきました。年齢や既往歴など極めて静的なデータに基づいて一律に料率を決定する、という時代です。
それが21世紀に入り、人々の日常的な言動がインターネット空間上に集められ始めると、保険料率に影響を与えるデータを事業者が収集、分析して動的なリスク試算を行う(そしてその結果に応じて保険料率が変動する)データ駆動型保険とも言うべき新たな保険商品が続々と開発されるようになりました。
損保ジャパンのテレマティクス保険、住友生命の健康増進型保険などがその一例です。保険会社のKey Success Factorがデータ活用になる時代が到来したとも言えます。
厳密に言えば今も昔もデータに向き合う商売をしてきていますが、対象データが基本属性やイベントデータのみだったこれまでと比べ、時系列のログを含むヒストリカルデータに範囲が拡張したことに伴って収集〜活用までデータのバリューチェーンを一社で包括的にカバーすることが難しくなってきたという現実もありそうです。
価値あるデータを必要十分な粒度で集めることの難しさと面白さは過去のブログ↓でも触れているので、合わせてご参照ください。
データは21世紀の石油ではなく、再生可能なユーザー体験の副産物である|note
上記のような流れを汲んだ動きとして、保険の提供主も、これまで主流であった保険会社(単独)から、データホルダー/サービサー+保険会社(連合)へと徐々に姿を変えつつあります。
“Embedded Security”の地合い
保険の進化史から類推できるセキュリティマネジメントの「次」があるとすれば、他のサービスに組み込まれた付帯機能として提供されるモデルだろうと思います。
リスク試算に活用できるデータを多く持っていればいるほどセキュリティインシデントの発生確度の推測が有利になるという構図があり、潜在需要という性質上ユーザー企業の財布の紐が固く結ばれがちである実態を踏まえると、初手では「セキュリティマネジメントベンダー」とは異なる顔をしてエントリーし、メインのサービスを提供する過程でリスク試算に必要なデータ(と顧客の信頼残高)が蓄積できた段階でヌルりとセキュリティ強化の進言を行うという戦略です。
直近のServiceNowの動き(ワークフロー管理SaaS→Hardware Asset Management+α)は、このモデルを例証している事象の一つだと思いますし、より身近なところで言えばラクスルのジョーシスにも似た匂いを感じます。
“Embedded Security”への参入の切り口はIT Asset Management以外にも複数存在すると思いますし、先述の理由で国産スタートアップにも登山口は大きく開かれています。
周辺領域での起業を検討している方、(既に起業済みでも)山の登り方を思案中の方がいましたら、資金調達ニーズの有無に関わらずぜひカジュアルにお話させてください!
