次世代セキュリティで急成長！他社との連携によるプラットフォーム化を図る「パロアルトネットワークス」

2017年、マルウェアの一種ランサムウェア「WannaCry」が世界中の企業で大規模な被害をもたらした。

サイバー攻撃の高度化・複雑化に対応するために様々なセキュリティ製品・セキュリティ会社が存在するが、その中でも成長著しいパロアルトネットワークスを今回取り上げる。

2005年に創業されたパロアルトネットワークスは、世界初のアプリケーションを制御する機能を搭載した次世代ファイアウォール（PAシリーズ）から始まった。

後発のファイアウォール製品だったが、アプリケーション識別を実施する前提で新規開発された画期的なファイアウォールエンジンで、ユーザ毎にアプリケーションの利用を制御でき、必要なアプリケーションのみを特定のユーザーに許可、禁止したいアプリケーションを遮断できることから利用が拡大した。

外部からの脅威にのみ対応した従来型ファイアウォールでは認識できないアプリケーションも可視化し、Twitter、Dropbox、Office 365等どのアプリケーションで誰が何時、何処へアクセスしているかを可視化できる。

特にクラウド化が進む時代においてアプリ制御可能な次世代ファイアウォールの需要は高まった。

今では他社も次世代ファイアウォールを当たり前のように提供しているが、セキュリティ業界において先手をうっていくパロアルトが面白いのはプラットフォームへの転換の過程だ。

1. 従来まで個別で提供していたセキュリティ機能をクラウドに集約しセキュリティサービスとして提供開始し、サブスクリプション比率を高めている。

2. 従来のネットワークセキュリティに加え、次世代エンドポイント(接続された端末、PCやスマホ等)セキュリティからクラウドセキュリティまで含めて一貫したセキュリティプラットフォームを構築し包括的な脅威対策を実現。

(異なるセキュリティベンダーの孤立した従来のシングルポイント製品をつぎはぎしたセキュリティシステムの運用は複雑かつ高額だった。)

3. セキュリティサービス他社とのエコシステムを形成するApplication Framework構想の発表。⇐今ココ

パロアルトのセキュリティプラットフォームの中でパロアルトのセキュリティサービスと他社(サードパーティ製)のセキュリティサービス、そして顧客自身が拡張するサービスを展開できるイメージだ。

Palo Alto Networks Day 2017にてパロアルトのマーク・マクローリンCEOが「高度化するサイバー攻撃にはセキュリティベンダー1社では対抗できない」と他社とエコシステムを形成し連携するセキュリティプラットフォームを構築する方向性を明確にしている。

ベンダーロックイン(他社のセキュリティサービスを組み合わせたいのに1社のサービスに依存してしまう)を避けたい顧客企業にとっては、ベストなセキュリティソリューションを組み合わせて、なおかつ複雑化せず運用したいという需要がある中で、合理的なソリューションになりそうだ。

ということで一見赤字だが急拡大する売上高とともに営業キャッシュフローやフリーキャッシュフローが伸びているパロアルトネットワークスについて具体的に掘り下げていこう。

売上高は18億ドル規模にまで拡大し、高い成長率を維持している。

サブスクリプション比率が高まり経営が安定化しているパロアルト

サブスクリプションやRecurring Revenue比率の高い企業は投資対象として魅力的だと考えているアメリカ部としては、パロアルトネットワークスも同様に良い方向に経営の舵取りができている企業ではないかと考えている。

次世代ファイアウォールという製品の売り切りだけだったら企業の設備投資サイクルの波にさらされてしまうが、サブスクリプションベースであれば顧客との関係がより強固に持続したまま、来年の売上高も予想の範囲が絞られ、見通しのよい経営がしやすくなる。

セキュリティサービスということもあってパロアルトネットワークスのサブスクリプション契約期間は3年など長期契約比率が高い。

2012会計年度では売上高構成比率において32％にすぎなかったサブスクリプション＋サポート売上高比率が60％に上昇。売上の予測可能性が高まってきている。

いわゆる純粋なSaaS企業ではないが、パロアルトはハイブリッドSaaSモデルとしている。

というのも、このProduct（次世代ファイアウォール）もサブスクリプションと密接な関係があるのだ。

パロアルトの主要セキュリティサブスクリプションサービスのThreat Prevention(脅威防御)、URLフィルタリング、WildFire(クラウド脅威分析)は次世代ファイアウォールにバンドルで付属させたり密接に結びついている。

たとえばこのように。

PAシリーズとは別に、クラウドセキュリティ向けに対応した仮想化次世代ファイアウォールであるVM-Seriesも主力プロダクトだ。

それでは、パロアルトネットワークスの各サブスクリプションサービスについてざっくり紹介していこう。

Threat Prevention(脅威防御)

侵入防御、ネットワークにおけるマルウェア対策、データ漏洩阻止などネットワーク経由の脅威に対する統合保護機能を提供。

WildFire

クラウドベースによる脅威分析サービス。機械学習による静的解析、ゼロデイ攻撃を検知する動的解析、ベアメタル解析など複数手法の脅威分析を使用し、未知の脅威に備える。

URLフィルタリング

WildFireなどによってほぼリアルタイムに更新されるPAN-DB URLフィルタリング データベース

GlobalProtect

次世代ファイアウォールなどのセキュリティ機能をクラウドベースで提供。ファイアウォールの保護機能を企業ネットワーク内外のエンドポイントにまで拡張し、ユーザー、デバイス、使用場所に関係なくモバイルワーカーのセキュリティを保護。

パロアルトがセキュリティシステム基盤の保有と保守を担い、ユーザーは拠点ごとに製品の設置や運用を自前で行うよりも作業負担が軽減される。

帯域とトラフィック量に応じた従量課金とユーザー数のサブスクリプションで次の柱になりそう。

AutoFocus

特異的な脅威(悪意のあるネットワーク上のイベントが発生した時、標的型攻撃)など、最も重大な脅威と日常的な些末な攻撃を区別し、攻撃を識別すると優先順位の高いイベントについてアラートを発行し、セキュリティチームの分析・捕捉に要する時間を大幅に短縮。

Traps

WildFireの連携で未知の脅威に強い負荷が少ないエンドポイントセキュリティ。

クラウド脅威解析によるリアルタイム解析。オフライン時も機械学習によるローカル分析で脅威を検知。

Magnifier(マグニファイア)

侵入後にステルス化された攻撃を検出するために、自動収集したログデータから攻撃ライフサイクルの全ての挙動をプロファイルし機械学習を適用することで挙動の変化を見つけ出し解析することで、侵入後の攻撃に対応する挙動分析クラウドアプリケーション。

＜Magnifierとあわせて提供・連携＞

Logging Service: ログ収集・保存のクラウドストレージ

Pathfinder: エンドポイント解析。エンドポイントのログデータを収集し動作をプロファイル

検出後には、クラウド脅威解析「WildFire」で挙動を分析し、次世代ファイアウォールが阻止。

Magnifierは前述のパロアルトのセキュリティプラットフォーム「Application Framework」から提供され、専門家の解析に頼らない自動化された検出と迅速な処置を目指す意欲的なサブスクリプションサービスになりそうだ。

また、クラウド向けに設計された新たな防御手法、特にパブリッククラウド基盤向けのAPIベースのセキュリティを強化するために、パブリッククラウド向けのセキュリティとコンプライアンス自動化のリーディングカンパニーであるEvident.ioを2018年3月14日に3億ドルで買収している

バンドルされているような主要サービスである3本セットに対し、それ以外の導入はまだまだといったところだ。

TOP25の顧客企業の定着も安定。

セキュリティ競合他社に対してパロアルトネットワークスの製品展開力の高さ。クロスセル・アップセルが今後も期待できる。

競合として気になるのはチェックポイントくらいだろうか。

チェックポイントは「次世代ファイアウォールはもう古い」などとパロアルトネットワークスやフォーティネットを名指しで挑発していたくらいだった。

だが、サードパーティとのエコシステム形成にパロアルトネットワークスは力をいれている。

パロアルトネットワークスは保有するネットワーク、エンドポイント、クラウドのセキュリティログデータを囲い込むのではなく、次世代セキュリティプラットフォーム「アプリケーションフレームワーク」としてサードパーティがAPI経由でパロアルトの脅威インテリジェンス・外部脅威フィードなどのビッグデータを活用し4万社のパロアルト顧客にリーチできるようにする。

ログ解析やマルウェア検知において必要なデータ量(ログ・脅威データ)を自社で確保するのが難しい(コストのかかる)セキュリティベンチャーにとってはパロアルトのデータを活用することで自社の強みに集中できる。

このアプリケーションフレームワークには標的型サイバー攻撃対策に強いCrowdStrike(クラウドストライク)、フィッシング対策に強いPhishMe(フィッシュミー)、マシンデータ分析に強いSplunk(スプランク)、エンドポイントセキュリティ対策で強いTanium(タニウム)、脆弱性管理に強いTenable(テナブル)、IBM、HPE Aruba(HPEアルバ)など強力なサードパーティがAPI経由で自社アプリを開発予定。

このプラットフォームではパロアルトのセキュリティサービスもサードパーティ製品と共に顧客の選択肢として並ぶため、例えるならAmazonサイト上で消費者はAmazonからも買えるし他社からも買えるような、マーケットプレイス戦略に似ている。

SaaSではセールスフォースが同様のマーケットプレイスを展開しており、最近WorkdayもHR分野に特化した同様のプラットフォーム戦略を採用している。

赤字だが、キャッシュフローはしっかり伸びている。

フリーキャッシュフローマージンが高く優良企業と言えるだろう。

非常に高いフリーキャッシュフローマージン。

セキュリティマーケットも成長中で、脅威が高度化する中で、1社だけではなくエコシステムを形成して組み合わせるプラットフォーム戦略を採用したパロアルトネットワークスは注目企業だろう。

パロアルトの主力サービスのクラウドベースによる脅威分析サービス「WildFire」では既知・未知のマルウェアの情報を、世界中のユーザーで共有しているのだが、この利用者数がサンドボックス(保護された領域で動作)市場で最も多く、そのためマルウェア等の検体も一番多いのが強みだ。

まさにネットワーク効果が発揮されるサービスを主力としており、その上でサードパーティをまきこんだプラットフォームを展開するのだからなかなかのMoat(濠)になるのではないだろうか。

2015年の高値を奪還できるかという株価の動きも興味深い水準だ。

パロアルトネットワークスだけでなくセキュリティ競合のフォーティネットもチェックポイントも業績が伸びてるのが良い。

景気が悪くなったからセキュリティ対策やめますなんてことにはならないので、比較的安定したセクターではないだろうか。

実際フォーティネットもチェックポイントもリーマン・ショック時の業績はビクともしていない。

それでも成長率でいえばパロアルトが群を抜くパフォーマンスだ。

＊チェックポイントの2017年度はTTM、若干のズレはあるがだいたいの感じをつかめればヨシということでパロアルトネットワークスの台頭の勢いが伝わるだろうか。

ということでセキュリティ企業の中でも非常に成長しているパロアルトネットワークスの紹介でした。

＜記事のスタンスに影響する情報開示: 筆者は 2018/3/30 時点でPalo Alto Networks(NYSE:PANW)を69株保有しており、次回決算まで売却の予定はない。本記事はビジネスモデルや業績の定点観測を目的としたものであり、読者に投資を推奨するものではない。＞

＊アメリカ部通信＊

Stockclipが日経新聞で取り上げられていましたね。おめでとうございます！

Stockclipユーザーとして野添氏の記事を楽しみにしている筆者としてはStockclipがますますメジャーになるといいなぁと思っております。

とりあえずパロアルトネットワークスの合理的な成長プロセスと巧みな経営力に関心したと同時に、やはり時代はまだプラットフォーム＋エコシステムなのだなと。最近Facebookのスキャンダルの影響もありプラットフォームに逆風ふいてますがあくまでまだコンシューマー向けですね。アイデンティティ管理だとBlockstackみたいなアンチSNSプラットフォーム的な動きもある。個人情報やレピュテーション・アテンションを特定のSNSにロックインされないという動き。

ただ、B2Bだと営業力が必要なので（アトラシアンはともかく、BoxとDropboxの違いにあらわれている）プラットフォームモデルがディスラプトされる状況が見えてきてから投資方針を考え直せば間に合うかなと考えています。要は顧客企業の視点に立てばいいわけで。