AIセキュリティーのM&Aが拡大基調、3つの市場トレンド
知っておくべきこと:
・AIアプリケーションの増加と脅威の高まりに伴い、AIを活用したセキュリティー対策の重要性も増している。生成AIが成熟すれば、この市場は拡大し、投資額も増えるだろう。
・コーポレート・ベンチャー・キャピタル(CVC)によるAIセキュリティー分野のスタートアップへの積極的な投資は、大企業がAIの開発と展開に伴うリスクに対処するため、AIセキュリティーを重視していることを示している。
・AIセキュリティー企業のエグジット(投資回収)はまだ限定的だが、最近の買収や企業による関心の高まりから、M&Aは今後増えそうだ。米ラケラ(Lakera)や米ハーモニック・セキュリティー(Harmonic Security)などが魅力的な買収対象になるだろう。
サイバーセキュリティーで最も注目の分野の1つは、AIセキュリティーだ。
この分野のスタートアップによる2024年(10月7日時点)の資金調達件数は21件、調達額は3億5000万ドル超に上る。調達額はここ数年に比べて大幅に増えており、アーリーステージ(初期)企業による調達がそのほとんどを占めている。
AIセキュリティーは企業が注目すべき重要な分野だ。カスタマーサービス向けチャットボットから不正検知アルゴリズム(計算手法)に至るまでAIアプリケーションは広がり、新たな攻撃も増えている。生成AIの成熟に伴い、新たなAIセキュリティー企業の設立やこの分野への投資も増えるだろう。
今回のリポートではCBインサイツのデータを活用し、買収対象になりそうなスタートアップやこの分野に力を入れているCVCなど、この分野の勢いについて分析する。
以下は注目すべき3つのトレンドだ。
1.新たなカテゴリー、AIの脅威に対処
AIセキュリティー企業は、生成AIの基盤技術である大規模言語モデル(LLM)を含む機械学習モデルやアルゴリズムを様々な攻撃から守るシステムを開発している。
各社は3つの分野の対策に取り組んでいる。
・敵対的攻撃:AIシステムを操作して不正確な出力を生成させたり、機密情報を抽出したりする攻撃。モデルインバージョン(モデルのパラメーターを盗んで学習データを再構成する)、データポイズニング(学習データセットを破損する)、LLMのプロンプト(指示)インジェクション(巧妙なプロンプトでモデルを騙し、意図しない、または有害な出力を引き起こす)などがある。
・サイバー攻撃:基盤モデルの開発&展開プラットフォームからアクセス管理まで、AIインフラを標的にした攻撃を広く指す。機械学習システムを破損するマルウエア(悪意あるプログラム)、ソフトウエアサプライチェーン攻撃(正規ソフトにマルウエアを仕込む)、API(異なるソフトウエア同士をつなぐ仕組み)の脆弱性悪用などがある。
・AI特有のリスクの軽減:AIシステムには機能に起因する脆弱性がある。出力を通じた機微データの漏洩、事実とは異なる情報の生成(ハルシネーション)、不適切または偏ったコンテンツの生成などがある。
企業はこうした脅威を軽減するため、LLMの学習に使う機微データを保護する策や、従業員が使っている外部の生成AIツールを識別し、フラグを付ける策など様々なシステムに目を向けている。
注目すべき新たなカテゴリーは、AIを中核にしたセキュリティーシステム「AIネーティブ・ディフェンス」や、LLMを活用してタスクを自律的にこなす「AIエージェント」を攻撃などから守る「AIエージェント・セキュリティー」などだ。
例えば、米スペースXの元セキュリティー技術者らが23年に創業した米レイスウォッチ(Wraithwatch)は、AIを活用してサイバー攻撃をシミュレーションし、実際に攻撃を受けた場合の防衛態勢を整えておくことで、AIで高まる脅威に先手を打つ。
一方、米グーグルのCVC、グラディエント・ベンチャーズなどから24年7月に600万ドルを調達した米Vijilは、AIエージェントの行動と信頼性を評価し、悪意あるユーザーのプロンプトから守るセキュリティーシステムを開発している。
もっと包括的なAIセキュリティーツールへの需要も高まっている。ラケラのセキュリティーツールを導入した「フォーチュン500社」の幹部は、最近のインタビューでこう述べた。
「LLMセキュリティーは未熟な分野だ。あらゆる面のセキュリティーを提供する企業はごくわずかで、LLM分野の信頼できる専門家に自分で問い合わせ、脅威のあらゆるベクトルを理解し、解決しなくてはならない。LLMのセキュリティーとコンプライアンス(法令順守)、ガバナンスのごく一部ではなく、あらゆる面を手掛けるスタートアップが必要だ」:フォーチュン500社、技術部門シニアディレクター
2. CVC、AIセキュリティーに群がる
AIセキュリティーは様々な部門の企業から注目されている。CVC(特に巨大テックと防衛企業)は23年以降、AIセキュリティー企業の資金調達ラウンド12件に参加している。
これは、こうした企業がAIセキュリティーを重要な優先事項とみなし、特にAIの導入に関連するセキュリティーやコンプライアンスの懸念に先手を打とうとしていることを示している。AIセキュリティーを自社開発する取り組みを示唆している可能性もある。
3.買収活動が活発化
AIセキュリティー企業のエグジットは今のところ限定的だ。だがサイバーセキュリティー分野全体のM&Aが増えるなか、24年に3社が買収され、CVC投資も増えていることから、買収がさらに続く可能性がある。
米シスコは24年8月、AIセキュリティースタートアップの米ロバスト・インテリジェンス(Robust Intelligence、調達総額4400万ドル)を買収した。
韓国・サムスン電子や米セールスフォース・ベンチャーズなどから出資を受けている米プロテクトAI(Protect AI)は24年、アーリーステージのスタートアップ2社、ドイツのLaiyerとインドのSydeLabsを買収した。包括的なAIセキュリティーシステムの構築が狙いだ。
この分野でM&Aの確率(今後2年でM&Aによりエグジットに至る可能性)が平均よりも高いのは、ラケラやハーモニックなどだ。
グラフの「関心ゾーン」内の企業は、買収対象として注目だ。
関連リンク