Palo Alto Networks、CyberArkを250億ドルで買収へ――アイデンティティセキュリティが主役に

Palo Alto Networksは、イスラエルのアイデンティティセキュリティ企業CyberArkを約250億ドルで買収することで合意し、同社にとって過去最大規模の賭けに出ています。両社は水曜日に合意に達したと発表しました。

この取引は、急速に統合が進む業界にとって大きな転換点となります。セキュリティ責任者にとってさらに重要なのは、今後は何十もの異なるセキュリティツールを管理する時代が終わりつつあることを示唆している点です。

Palo Altoが自らのルールを破る理由

この取引が興味深い理由はここにあります。Palo Alto Networksは長年、意図的にアイデンティティ管理ビジネスを避けてきました。その理由は明白です――顧客にアイデンティティシステムを入れ替えさせるのは、デジタル神経系全体を配線し直すようなものだからです。

「Palo Altoは、アイデンティティ管理が深い統合を求められるため、長年この分野を避けてきました」とHFSリサーチのアソシエイト・プラクティス・リーダー、アクシャット・ティヤギ氏は語ります。「ファイアウォールやエンドポイントツールと異なり、アイデンティティシステムは人事データベース、クラウドプラットフォーム、レガシーインフラ、アプリケーションアクセス層などに連携するため、導入が複雑で、大規模に収益化するのも難しいのです。」

しかし、CEOのニケシュ・アローラ氏は、この大規模な買収でまさにその課題に挑もうとしています。水曜日に株主宛の書簡で説明した通りです。理屈は簡単です――複雑さに勝てないなら、それをすでに解決した会社を買えばいい。

CyberArkは、単なるアイデンティティ企業ではありません。「アイデンティティのスプロール」（保護すべきデジタルIDの爆発的増加）に悩む組織の定番の選択肢となっています。CrowdStrikeの調査によれば、機械IDは人間のIDの45倍に達し、CyberArk自身の2025年調査では、79%の組織が機械IDが最大150%増加すると予想しています。

この取引を駆動するアイデンティティ危機

最近、どのCISO（最高情報セキュリティ責任者）のオフィスに行っても、同じ話を聞くでしょう。ハッカーはもはや正面玄関を壊す必要はありません。正規の認証情報を盗んで、堂々と中に入ってくるのです。

「今日、ほとんどの侵害はマルウェアや設定ミスのポートからではなく、盗まれたり悪用された認証情報が原因です」とティヤギ氏は指摘します。「攻撃者はユーザーになりすまし、権限を昇格させ、クラウドやオンプレミス環境を本物そっくりのIDで横断して侵入します。」

CyberArkはこの課題の中心に位置し、2024年には10億ドル超の売上を記録（前年比33%増）しています。これは、従来の特権アクセス管理を超え、Venafi（機械ID管理、15億4,000万ドル）、Zilla（IDガバナンス、1億6,500万ドル）などの戦略的買収によるものです。

統合はうまくいくのか？

「もし統合が効果的に行われ、セキュリティ体制の向上、インターフェースの統合、運用最適化、インテリジェンスイベントの共有、脅威の積極的な特定に焦点が当てられれば、素晴らしいストーリーになるでしょう」とBeagle Securityのアドバイザー、スニル・ヴァーキー氏は語ります。

これは楽観的な見方です。しかし、サイバーセキュリティ分野の買収は、必ずしも成功してきたとは言えません。アローラ氏のリーダーシップの下、Palo Altoは「サイバーセキュリティのスーパーマーケット」を目指して次々と企業を買収してきました。

しかし今回のCyberArkの買収は異なります。250億ドルという金額は、Palo Altoの通常の買収の約25倍に相当します。そしてアイデンティティ管理は、単なるセキュリティツールではありません。組織の隅々まで関わる基盤インフラなのです。

「しかし、もしこれが単に市場シェアや収益シェアの獲得、顧客の囲い込みだけが目的なら、悪い結果になるでしょう」とヴァーキー氏は警告します。「異なる企業文化、利害関係者、サブドメインが絡むため、そう簡単にはいかないかもしれません。」

統合の波

「セキュリティの購買担当者は、クラウド、アイデンティティ、エンドポイント全体で統合、可視性、迅速な対応を提供するエンドツーエンドのプラットフォームをますます求めています」とティヤギ氏は述べています。「新たな“サイバーセキュリティ超大手”は、自らの能力を拡張し、企業インフラの中核レイヤーとしての地位を確立しつつあります。」

この取引は、Googleによる320億ドルのWiz買収に次ぐ、今年2番目に大きなサイバーセキュリティ取引です。これらの巨大買収は、業界が特化型のポイントソリューションから包括的なプラットフォームプロバイダーへと移行していることを示唆しています。

「中堅のサイバーセキュリティベンダーは、顧客の予算が統合契約や、統一管理と運用負荷軽減を約束する大規模プラットフォームへとシフトする中、存在感を維持するのが難しくなるでしょう」とティヤギ氏は警告します。

もしあなたが中堅企業のセキュリティ責任者なら、この動きは見逃せません。サイバーセキュリティ業界は急速に、Palo Altoのような巨大プラットフォームプロバイダーと、隙間市場で戦う専門特化型プレイヤーの2極化が進んでいます。

ただし、統合の流れにはリスクも伴います。「購買担当者は、自社のセキュリティアーキテクチャがどう進化するか、より注意深く見極める必要があります」とティヤギ氏は注意を促します。「モジュール設計による柔軟性の維持、明確な契約解除条件の設定、単一エコシステムへの完全依存の回避が、長期的な機動性とコントロールを守る鍵となります。」

より大きな視点

財務的な詳細を抜きにすれば、この取引の本質はただ一つ――アイデンティティセキュリティはもはや「あれば良いもの」ではなく、本気で自社を守りたい組織にとって必須条件だという認識です。

ネットワークの周りに壁を築いて安泰を願う旧来のモデルは終わりました。新しいモデルでは、常に「誰が」「何が」自社システム内にいるのかを正確に把握し、異常があれば即座に対応できるツールが求められます。

Palo AltoがCyberArkの機能をうまく統合できるかは、まだ分かりません。しかし一つはっきりしているのは、同社が「個別ツールの寄せ集め」ではなく「包括的なセキュリティプラットフォーム」を顧客が求めているという考えに、未来を賭けているということです。