この取引により、顧客はAIエージェントとそれらがアクセスするデータを統合的に管理できるようになる。
ServiceNowは、アイデンティティセキュリティのスタートアップ企業Vezaを10億ドル超で買収するための最終交渉を行っていると報じられている。
組織全体でAIエージェントを展開しているServiceNowの顧客にとって、この買収は重要な課題、すなわちそれらのエージェントが何にアクセスし、何ができるかを制御するという点に対応するものとなる。Vezaの技術は、企業システム全体の権限をマッピングし、どのユーザー、アプリケーション、AIエージェントがどのデータにアクセスできるかを正確に可視化する。
この取引は来週にも発表される可能性があると、The Informationが 報じている。
この取引は、ServiceNowが3月に発表した 28億5000万ドルでのMoveworks買収に続くものとなる。その買収により、AIアシスタントやエンタープライズ検索機能がServiceNowのプラットフォームに加わった。Vezaを追加することで、クラウドサービス、SaaSアプリケーション、社内システム全体でAIシステムがデータにアクセスする際に必要なアイデンティティセキュリティ層が提供される。
ServiceNowとVezaは、コメントの要請にすぐには応じなかった。
マシンアイデンティティの管理
ServiceNowは3月、IT、人事、カスタマーサービス、セキュリティ運用などの分野で顧客向けに数千のAIエージェントを展開したと発表した。これらのエージェントがより自律的なタスクを担うようになる中、企業はそれらが何にアクセスできるのか、その権限がセキュリティポリシーに合致しているかを把握する必要性が高まっている。
「ServiceNowは、AIエージェントが単にチャットするだけでなく、実際にビジネス内で意味のあるアクションを実行できるエンタープライズプラットフォームを構築しようとしています」と、HFSリサーチのアソシエイト・プラクティスリーダーであるAkshat Tyagi氏は述べている。「Moveworksは強力な自動化レイヤーを提供しましたが、信頼とガバナンスが欠けていました。アイデンティティ、権限、アクセスルールが盤石でない限り、リアルタイムの権限をエージェントに委ねるのは、どの企業も避けたいリスクです。」
Vezaは、セキュリティ専門家が「非人間アイデンティティ問題」と呼ぶ課題に対応している。同社によれば、すべてのAIエージェント、API連携、自動化ワークフローは管理が必要なサービスアカウントやトークンを生み出す。多くの企業では、こうしたマシンアイデンティティが人間ユーザーの数をはるかに上回っている。
VezaのAuthorization Graph技術は、システム全体の権限をマッピングし、誰がアクセスできるかだけでなく、そのアクセスで実際に何ができるのかまで可視化する。同社のウェブサイトによれば、Blackstone、Expedia、Workdayなどを含む顧客向けに200億以上の権限を管理している。Vezaは2020年の創業以来2億3500万ドルを調達し、2025年4月時点で190人以上を雇用している。
Tyagi氏は、既存のアイデンティティおよびアクセス管理ツールは人間アカウント向けに設計されているため、マシンアイデンティティやAPIキー、自律エージェントによるリアルタイムの意思決定には対応しきれていないと指摘する。「これにより、特権の拡散やシステム横断的なアクセス経路に関する死角が生まれます」と述べている。
両社はすでに協業している。ServiceNow Venturesは、Capital One Venturesとともに2023年8月にVezaへ 出資した。両社の共同顧客は250社を超えると報じられている。
顧客統合に関する疑問
これらの共同顧客にとって、買収は両システムの連携方法に大きな変化をもたらすことになる。現在、ServiceNowとVezaの両方を利用している企業は、それぞれを独立したシステムとして運用している。統合が進めば、顧客がカスタム連携を構築することなく、ServiceNowのAIエージェントがVezaの権限インテリジェンスに基づいてアクセス制御ポリシーをネイティブに照会・適用できるようになる。
この統合には時間がかかるだろうとTyagi氏は述べている。「ServiceNowはすでに大規模かつ複雑なシステムであり、完全なアイデンティティセキュリティエンジンを追加するのは即時のプラグアンドプレイとはいきません」と語る。顧客は、ライセンス体系の変更や新モジュールの導入など、両プラットフォーム統合に伴う変化を予想すべきだ。
ServiceNowを利用せずVezaのみを使っている組織は、製品が単独で提供され続けるかどうかの明確な説明を求めるだろう。他のアイデンティティベンダーとServiceNowを併用している企業は、既存ツールのサポート継続や、ServiceNowが自社統合スタックへの移行を促すのかどうかを知る必要がある。
ServiceNowは5月に開催した Knowledge 2025カンファレンス で、セキュリティおよびリスク管理向けAIエージェントを発表し、自律型エンタープライズ防御のためのツールとして位置付けた。Vezaは、これらのセキュリティエージェントがシステム横断的に脅威を安全に調査・対処するために必要な認可制御を提供する。
Vezaはアクセスを関係性の問題として捉え、アイデンティティ、権限、データを結びつけて、理論上の権限ではなく実効的なアクセスを可視化する、とTyagi氏は述べている。
市場への影響
この買収により、ServiceNowはAI搭載のエンタープライズプラットフォームを構築する競合他社に対し、より包括的な提供が可能となる。Salesforce、Microsoft、OracleもAIエージェントを提供しているが、Tyagi氏によれば、MoveworksとVezaを組み合わせる形でフロントエンドの自動化とアイデンティティセキュリティを統合した例はなかった。
「この取引は、深い認可インテリジェンスを独立した専門領域としてではなく、主要なエンタープライズプラットフォームに組み込むことで、アイデンティティセキュリティ分野に大きな変化をもたらす可能性があります」とTyagi氏は述べている。CyberArk、SailPoint、Oktaなどの独立系アイデンティティベンダーは、自社のプラットフォーム提携や買収ターゲットの模索を迫られるかもしれないと指摘した。
