
- 脆弱性診断は前年度500%成長、新サービスも3000万円規模の売上に
- 2億円調達で「開発とセキュリティの分断」の解消へ
「サイバーセキュリティ」はスタートアップにとって大きなビジネスチャンスが眠る市場の1つだ。米国調査会社のCB Insightsが9月に発表したレポートによると現在グローバルで800社超存在するユニコーン企業のうち、サイバーセキュリティ領域に属する企業は30社以上にのぼる。
時価総額が日本円で1兆円前後の規模になっている米Tanium(90億ドル超え)や英Snyk(約86億ドル)を筆頭に、近年急速な成長を遂げて新たにユニコーン企業の仲間入りをする企業も目立つ。
日本でこの領域に取り組むスタートアップの1社、Flatt Securityは、中でも“開発者に寄り添ったセキュリティ”に可能性を見出し、事業を加速させようとしている。
脆弱性診断は前年度500%成長、新サービスも3000万円規模の売上に
Flatt Securityは2017年5月の設立。エンジニアとしてFiNCやメルカリに在籍していた代表取締役の井手康貴氏をはじめ、当時現役の東大生だったメンバーが中心となって立ち上げたチームだ。
創業時はライブコマース領域からスタートし、2019年よりサイバーセキュリティ領域へと方向転換。ウェブサービスやスマホアプリのセキュリティ診断を軸に事業を拡大し、そこで得られたノウハウや顧客の声を基に自社プロダクトの開発にも取り組んできた。
現在同社の主力となっているプロフェッショナルサービスは、主にセキュリティ診断とエンジニア向けのセキュリティ学習プラットフォーム「KENRO(ケンロー)」から構成される。

セキュリティ診断サービス自体は日本でも複数の企業が展開しているが、Flatt Securityではその中でもFirebaseやGraphQL、JWT、AWS、GCPなどのモダンな技術スタックへの対応力が強みだ。
こうした技術を取り入れたプロダクトを開発するSaaS企業などからのニーズが特に増えており、各企業に対して脆弱性診断をオーダーメイド型で提供することで事業を拡大。セキュリティ診断やコンサルティングによる売上は2019年度から2020年度にかけて500%以上の成長を達成しており、2021年度は1.5億円の売上を目標に掲げる。
またセキュリティ診断事業を展開する中で、顧客から「そもそも脆弱性を作らないための知識を得たい」「脆弱性を発見した後に修正するスキルが欲しい」といった要望も届くようになった。2021年4月にローンチしたKENROは、もともとFlatt Securityが社内の教育用コンテンツとして使っていたものを、“エンジニア向けの学習サービス”というかたちで製品化したものだ。
同サービスは座学を中心とした研修ではなく、攻撃者が用いる手法を体験する「ハッキング演習」や脆弱なソースコードを修正する「堅牢化演習」など、実践的なトレーニングを提供している点が特徴。ユーザーが修正したコードに対して自動でテストを実行し、脆弱性が修正されたのかを採点する独自のシステムも用意した。
サイバーエージェントが2021年度入社のエンジニアの技術研修の一環として80名規模で活用するなど、大手企業からメガベンチャー、スタートアップまで数十社が活用。まだまだこれからのサービスではあるものの、9月末時点で3000万円以上の売上規模になっているという。
「当初は脆弱性診断とKENROが別々のものとして存在していました。ただこの半年ほどで、自分たちが1番価値を提供できるのは製品を内製で開発しているような企業であり、そこで活躍するデベロッパーを支援していくべきだと整理ができてきた。社内では『D企業(デベロッパー企業)』と呼んだりもしているのですが、対象をD企業に絞り込めたことで2つのサービス間でのクロスセルも増えてきています」(Flatt Security執行役員Cheif Creative Officerの豊田恵二郎氏)
2億円調達で「開発とセキュリティの分断」の解消へ
現在Flatt Securityがコンセプトに掲げているのが「B2D(Business to Developer)セキュリティ」だ。
B2Dという言葉自体は、開発者を中心に据えて価値創造・価値提供を行う“ビジネスモデル”を指すもの。Flatt Securityとしてはエンジニアが価値を感じるような「開発者に寄り添ったセキュリティ」を提供することを念頭に置き、B2Dセキュリティという表現を用いているという。
背景にあるのが、事業を展開する中でわかってきた「開発とセキュリティの分断」の存在だ。ITの事業会社と脆弱性診断を提供するベンダーとの間、そして同じ会社内の開発部門とセキュリティ部門の間にもそれぞれ分断が存在すると豊田氏は話す。
前者については、Flatt Securityではモダンな開発体制に沿った診断サービスやプロダクトを提供することでアプローチをしてきた。一方で組織内のセキュリティチームと開発チームの間に発生している摩擦を減らすための取り組みについては、これまで着手できていなかった。
そのため、10月にローンチした新サービスの「Shisho」は同社にとってその一歩目の取り組みとなる。Flatt Security によるとShishoは「インフラストラクチャのセキュリティを、ボタンをクリックしていくだけで改善できるようなサービス」だ。

これまでも“インフラがセキュアかどうか”を自動で検査して教えてくれるツールはあったが、「見つかった改善点をどのように修正するべきまでは教えてくれない」「教えてくれたとしても手動で設定を変更しなければならない」という課題があった。だからこそ、モチベーションはあっても十分に使いこなせていない人が多いことがヒアリングを通じてわかってきたという。
その点、Shishoでは自動でセキュリティ面の修正例の提案を受けられるだけでなく、ボタンクリックだけで修正のためのアクションを実行できるのが特徴だ。
まさに冒頭で触れたSnykを筆頭に、海外ではデベロッパー向けのセキュリティプロダクトを手掛けるスタートアップの勢いが増してきている。Flatt SecurityとしてもShishoに関しては最初からグローバル展開を意識し、海外で大きな成長を見込む。
そのための資金として、10月にはB Dash Ventures、フィンテック グローバル、事業会社1社を引受先とした第三者割当増資と金融機関からの借り入れによって2億円の資金調達も実施している。