Palo Alto Networks、アイデンティティセキュリティが主役となる中、200億ドル規模のCyberArk買収を検討

ウォール・ストリート・ジャーナルの報道によると、Palo Alto Networksはイスラエルのアイデンティティセキュリティ企業CyberArkの200億ドル超の買収に迫っており、これは同社史上最大の賭けとなる可能性がある。このニュースはサイバーセキュリティ業界に衝撃を与えた。

もしこの取引が成立すれば—報道によれば早ければ今週にも実現する可能性があるという—、急速に統合が進む業界にとって大きな転換点となるだろう。セキュリティ責任者にとってより重要なのは、数十もの異なるセキュリティツールを管理する時代が終わりつつあるというサインである。

Palo Altoが自らのルールを破る理由

この取引が興味深い理由はここにある。Palo Alto Networksは長年、意図的にアイデンティティ管理ビジネスを避けてきた。そしてその理由は明白だ—顧客にアイデンティティシステムを入れ替えさせることは、彼らのデジタル神経系全体を配線し直すようなものだからだ。

「Palo Altoは長年、アイデンティティ管理を避けてきました。その理由は、深い統合が求められるからです」とHFS Researchのアソシエイト・プラクティスリーダー、Akshat Tyagi氏は語る。「ファイアウォールやエンドポイントツールとは異なり、アイデンティティシステムは人事データベース、クラウドプラットフォーム、レガシーインフラ、アプリケーションアクセス層などと連携する必要があり、導入が複雑で大規模な収益化が難しいのです。」

しかし、まさにその複雑さに、CEOのNikesh Arora氏は今回の巨額買収で挑もうとしている。計算は単純だ。複雑さに勝てないなら、すでにそれを解決した会社を買えばいい。

CyberArkはただのアイデンティティ企業ではない。「アイデンティティの拡散」—保護すべきデジタルアイデンティティの爆発的増加—に悩む組織の定番となっている。CrowdStrikeの調査によれば、機械のアイデンティティは人間のアイデンティティの45倍に達しており、CyberArk自身の2025年調査では、79%の組織が機械アイデンティティが最大150%増加すると予想している。

この取引を推進するアイデンティティ危機

今どきどのCISO（最高情報セキュリティ責任者）のオフィスに行っても、同じ話を聞くだろう。ハッカーはもはや正面ドアを壊す必要はない。正規の認証情報を盗んで、堂々と侵入するのだ。

「現在、ほとんどの侵害はマルウェアや設定ミスによるポートからではなく、盗まれたり悪用された認証情報が原因です」とTyagi氏は指摘する。「攻撃者はユーザーになりすまし、権限を昇格させ、クラウドやオンプレミス環境を本物そっくりのアイデンティティで横断します。」

CyberArkはこの課題の中心に位置し、2024年には10億ドル超の売上（前年比33%増）を記録。従来の特権アクセス管理を超え、戦略的な買収（Venafi：15.4億ドル、Zilla：1億6500万ドル）によって機械アイデンティティ管理やアイデンティティガバナンスにも進出している。

統合はうまくいくのか？

「もし統合が効果的に行われ、セキュリティ体制の強化、インターフェースの統合、運用最適化、インテリジェンスイベントの共有、脅威の積極的な特定に焦点が当てられれば、素晴らしいストーリーになるでしょう」とBeagle Securityのアドバイザー、Sunil Varkey氏は語る。

これは楽観的な見方だ。しかし、サイバーセキュリティ分野の買収は、これまで必ずしも成功してきたわけではない。Arora氏のリーダーシップのもと、Palo Altoは「サイバーセキュリティのスーパーマーケット」を目指して次々と企業を買収してきた。

しかし今回のCyberArk買収は異なる。200億ドルという規模は、Palo Altoの通常の買収の約20倍だ。そしてアイデンティティ管理は単なるセキュリティツールではない。組織のあらゆる部分に関わる基盤インフラなのだ。

「もしこれが単に市場シェアや収益シェアの拡大、顧客の囲い込みだけが目的なら、悪い章になるでしょう」とVarkey氏は警告する。「異なる企業文化、ステークホルダー、サブドメインがあることを考えると、そう簡単にはいかないかもしれません。」

統合の波

「セキュリティ購買者は、クラウド、アイデンティティ、エンドポイント全体で統合・可視化・迅速な対応を提供するエンドツーエンドのプラットフォームをますます求めています」とTyagi氏。「新たな“サイバーセキュリティの超大手”は機能を拡張し、企業インフラの中核層としての地位を確立しつつあります。」

この取引は、Googleによる320億ドルのWiz買収に次ぐ、今年2番目の大型サイバーセキュリティ取引となる。これらのメガディールは、業界が特化型のポイントソリューションから包括的なプラットフォームプロバイダーへと移行していることを示している。

「中堅のサイバーセキュリティベンダーは、顧客の予算が統合契約や大規模プラットフォームに移行し、統一管理や運用負担の軽減を約束する中で、存在感の維持に苦労するでしょう」とTyagi氏は警告する。

もしあなたが中堅企業のセキュリティ責任者なら、この動きには注目すべきだ。サイバーセキュリティ業界は急速に、Palo Altoのような巨大プラットフォームプロバイダーと、ニッチな専門プレイヤーに二極化しつつある。

ただし、統合の流れにはリスクも伴う。「購買者は、自社のセキュリティアーキテクチャがどのように進化するかに、より注意を払う必要があります」とTyagi氏は警告する。「モジュール設計による柔軟性の維持、明確な契約解除条件の設定、単一エコシステムへの全面依存の回避が、長期的な機動力とコントロールを守る上で重要です。」

より大きな視点

財務的な詳細を脇に置けば、この取引が本当に意味するのは一つ—アイデンティティセキュリティはもはや「あれば良い」ものではなく、本気で自社を守りたい組織にとって必須条件になったという認識だ。

ネットワークの周りに壁を築いて安心するという古いモデルは終わった。新しいモデルでは、常に自社システムの中に「誰が」「何が」いるのかを正確に把握し、異常があれば即座に対応できるツールが必要だ。

Palo AltoがCyberArkの機能をうまく統合できるかはまだ分からない。しかし一つだけはっきりしているのは、同社が「個別ツールの寄せ集め」ではなく「包括的なセキュリティプラットフォーム」を顧客が求めているという考えに未来を賭けている、ということだ。

Palo Alto Networksは本件に関するコメント要請に即時回答しなかった。CyberArkは「噂や憶測にはコメントしません」と述べ、コメントを控えた。