速報!Googleがセキュリティ企業Wizを3.2兆円で買収!?業界騒然、その理由とは
引用元:https://news.ycombinator.com/item?id=43398518
>Wizはベンチャーキャピタルとか個人投資家から総額19億ドルも資金調達してるんだって。
>Wizは2023年12月に、クラウドベースの開発者コラボプラットフォームのRafttを5000万ドルで買収することに合意したらしいよ。さらに2024年4月には、クラウドの検出と対応のスタートアップ、Gem Securityを約3億5000万ドルで買収したんだって。
>Wizは2020年1月に、Assaf Rappaport、Yinon Costica、Roy Reznik、Ami Luttwakによって設立されたんだ。彼らはみんな以前にAdallomを設立してるんだって。
>Adallomは2012年にAssaf Rappaport、Ami Luttwak、Roy Reznikによって設立されたんだけど、彼らは元イスラエル諜報部隊のUnit 8200のメンバーで、Talpiotプログラムの卒業生なんだって。
>Adallomは2015年7月にMicrosoftに3億2000万ドルで買収されたって報道されてる。
>2025年3月18日、GoogleはWizを320億ドルで全額現金で買収すると発表した。
Wizのことは、DeepSeekのデータベースが公開されてるってブログ記事を見るまで知らなかったな。https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepse…
俺も320億ドルで買収されるまでWizなんて聞いたことなかったわ。
それこそがみんながエンタープライズセキュリティで作りたい会社だよな。まるで隠れたユニコーン🦄。セキュリティ業界にはこういう会社がたくさんあるんだよ。Rubrikとかもそう。大手のセキュリティ企業って、水面下で成功してるんだよね。
ここにいる人のほとんどもセキュリティ関係者なのに、まだ聞いたことないって言うんだからな。
目に見えないユニコーンって言うより、裏でのキックバックとか(またはモサド)とかの方が可能性ありそう。
セキュリティは広い分野だからね。俺はCSPMの分野にいるんだけど、Wizは主要プレイヤーだよ。初めて彼らのプラットフォームのデモを見たとき、自分たちが作ってるものについてちょっとした存在意義クライシスを感じたんだよね。
Palo Altoみたいな競合他社のほとんどは、いくつかの買収を寄せ集めてすごく複雑な製品になってるけど、Wizはまとまりがあって、APIも使いやすいし、UXも最高なんだよね。セキュリティ業界ではUXって過小評価されてると思う。
GoogleがWizのツールをマルチクラウドでサポートし続けたり、Wizの製品デザインのクオリティを維持したりするとは全く思えない。俺の仕事の安定には繋がるけど、業界全体としては損失だと思うな。
>Wizはまとまりがあって、APIも使いやすいし、UXも最高
UXはそんなに良いと思わないけどな。
マネージャーでセキュリティ体制の概要を知りたいだけなら最高だよ。ダッシュボードがいっぱいあるからね。
でも、AppSec EngineerがどのEC2インスタンスにどのCVEがあるかを知りたいだけなら、めんどくさいし、クリック数多すぎ。
>ここにいる人のほとんどもセキュリティ関係者
そんなことないって。
俺はサイバーセキュリティのSWE、PM、VCを10年やってるけど、HNでセキュリティとかエンタープライズSaaS関連のコンテンツを見つけることはほとんどないよ。
一瞬だけ(2018-2019年頃)eBPFとかio_uringとかクラウドポスチャ管理について盛り上がってたけど、もうここでは見ないね。
MLOpsとかML Infraも同じ。InfinibandとかRDMAとかBLASを理解してる人はほとんどいない。
テック業界はマジでデカいから、みんな自分のニッチな分野にしか詳しくないんだよ。HN的には、FAANG、Nvidia、Tesla、TSMC、BYDしか存在しないみたいだけど。
あなたが言ってる盛り上がってた一瞬をなんとなく覚えてるよ。今はどこでそういう会話がされてるの?
技術的な話ならLobste.rs。でも、セキュリティSMEによるセキュリティ関連の会話は、もうオンラインではあまり行われてないよ。今は特定のユーザーカンファレンスとか地域ユーザーグループがあるんだ。
セキュリティ関係者でWizを少なくとも聞いたことがないなら、何やってるのか疑うレベル。CSPMのエキスパートである必要はないけど、最大のCSPMであるWizのことを全く知らないのはちょっと問題。
Wizのことは聞いたことあるけど、CSPMツール使ってないから機能とかメリットを具体的に言えって言われると困るなー。なんか「お前ら実際何やってんの?」みたいな言い方、逆効果かもよ。
CNAPPとかCSPMってサイバーセキュリティじゃめっちゃ一般的なツールじゃん。それが心配。サイバー業界にいて、それ知らんのはニッチすぎるか、研究職か、マジで知識不足かのどれかだろ。セキュリティ担当者は新しいツールとか技術を常にアップデートする責任があるんだよ。CNAPPとCSPMは去年できたものじゃないし、もう10年くらい前からあるから。
>セキュリティ業界にいてWizを知らないなら、何やってるのか疑うわ。
ITセキュリティは広い分野だもんね。例えば、ITセキュリティの仕事の多くはコンプライアンス(大量のドキュメント作成とか)だったり、会社全体のアプリのパッチ適用を徹底することだったりするし。
キックバックとか、そういうのがあるのかもね。製品は見たことあるけど、そんなにMossadっぽくはないよ。クラウド、VM、kubernetesのスキャンは割とシンプル。
ある程度は保護してくれるけど、最高かっていうと違う。CISOsはCSPMをチェックリスト項目の一つとして捉えてるんじゃないかな。どんなセキュリティの仕事してるかにもよるけど、CSPM、CNAPP界隈の人ならWizの名前は聞いたことあるはず。クラウドセキュリティとかDevSecOps向けの製品だよね。
>Mossadっぽくないって言うけど。
俺ら一般人が諜報機関っぽいソフトがどんなのか知ってるわけないじゃん。そういう組織は目立たないように、そして予想外の場所にいるように訓練されてるんじゃないの?
Mossadはイスラエルでサイバー作戦やってる連中じゃないよ。彼らはスアベ・アルシム(じゃないとベイルートとかテヘランでどうやって溶け込むんだ)。あと、イスラエル政府のサイバーセキュリティチームと仕事したことあればわかると思うけど、NSAとかGCHQ、オランダの連中と大差ないよ。
>They’re suave arsim (how else can you blend in Beirut or Tehran).
suave arsimの意味を調べてみた。
1. suave:魅力的な、自信のある(普通の英単語)
2. ”arsim” [1]:元々はミズラヒ系ユダヤ人に対する民族的な中傷だったらしいけど、今は粗野で騒がしいという意味で使われてる(イギリスのスラングの’chav’みたいな感じかな)。
[1] https://en.wikipedia.org/wiki/Ars_(slang)
[2] https://en.wikipedia.org/wiki/Mizrahi_Jews
Unit 8200がサイバー作戦やってて、この会社の主要メンバーはみんなその部隊出身だよ。
https://undercodenews.com/from-idf-intelligence-to-a-2b-goog…
https://en.wikipedia.org/wiki/Unit_8200
セキュリティ会社がGoogleをゆすれるとしたら、どんな感じになるんだろ?
360億ドルの価値があるものって何? 俺らがまだ知らないこと?
マジかー、Googleは何でも持ってんな。パスワード管理もWalletも生体認証もGoogleだし、スマホもGoogle、2段階認証もGoogle Authenticatorだし。Google VoiceにMaps、Photos、YouTube、検索、Docs、Gmail、GeminiまでAIも使ってるし。 それ、マジでバレないと思う? マジかよ。セキュリティ業界にいる身としては、Wizはマジで大物だと思ってたわ。 わかるー、業界によるんだろうけど。ホームページ見たけど、何やってるかマジでわからん。CI/CDとかコードとかはもう持ってるし、セキュアにするならAWS Secret Store使うし。 すごい製品だから大物だと思う?それともマーケティングとかPRとか営業がすごいだけ?Googleが自分で作り直せないってことは、マジで良い製品なんだろうな。 意味わからん。2024年のWizの市場シェアは10.7%。売上は15億~17億ドルだけど、2023年は赤字。2024年に黒字ってことはコストがめっちゃ高いってことじゃん。 セキュリティ市場で10%のシェアはマジでデカい。製品セグメントが細分化されてるし。 健全な競争がある業界で10%のシェアはデカいよ。テック業界じゃないって思ってる人がいるってことは、業界全体が不健康ってことじゃね? 説明不足だったかもだけど、エンタープライズテック市場の中でもセキュリティは特に細分化されてるんだよね。MicrosoftとかCiscoみたいに、OSとかネットワーク市場を支配してる会社はないんだよね。 Microsoftはエンタープライズセキュリティ市場のMicrosoftみたいなもんじゃん。メールは完全に支配してるし、IDもほぼ支配してるし、エンドポイントも過半数を持ってる。でも、ネットワークには参入してない。 Microsoftって、エンタープライズセキュリティ市場のMicrosoftみたいなもんじゃん?メールは完全に支配してて、IDもほぼ支配、エンドポイントも過半数持ってんじゃない?でもネットワークには手を出してないんだよね。 Wizのウェブサイト見たけど、裏で何か秘密の料理でも作ってんじゃない?じゃないと、この評価額は意味不明だもん。 Wizなんて初めて聞いた。GoogleがWix(ウェブサイトビルダー)を買収するのかと思って、なんで!?って思っちゃった。 WixとWizの共通点は何だと思う…? Wiy? 何だこの奇妙な略語は。 8200はイスラエルの諜報機関で、卒業生はセキュリティ企業によくいるんだよね。CIAの卒業生がアメリカのニュースルームによくいるのと同じくらい。 >Adallomは2012年に、イスラエル諜報部隊のUnit 8200の元メンバーでTalpiotプログラムの卒業生であるAssaf Rappaport、Ami Luttwak、Roy Reznikによって設立されたんだって。 こういう会社って、合法的なマフィアみたいなもんだよね。企業を”安全”にするためにお金を巻き上げてるんだもん。つまり、本来政府がやるべき仕事を、信頼できるかどうかも分からない人たちが民営化してるってこと。 なるほどねー、元xooglerでGoogle Cloudのエコシステムに数年いるんだけど、Google Cloudの重点分野はAI(これはデータ、分析からの進化)、分散クラウド(Anthos++)、セキュリティ(Mandiant買収後)だと思うよ。インフラでは後発組だし、市場でのプレゼンスも弱いから、AWSとかAzureには勝てないってわかってるんだよね。だから、自分たちがコントロールできるものに注力してるんだと思う。その一つが、Google Cloudが一番安全だってアピールすること。 >and security (post the Mandiant acquisition) > Look at the number of times other tech companies get hacked compared to Google. GCPのセキュリティはGoogleのセキュリティにかかってるんだよね。Googleがハッキングされたら、GCPの顧客も安全じゃない。 AWSを使ったことがあるんだけど、GCPのIAMの方がずっと使いやすいと思うな。柔軟性はAWSほどないけど、複雑なIAMポリシーは理解するのが大変なんだよね。 AWSのIAMポリシーの一番良い使い方は、使わないことだよ。AWSは複数のアカウントを簡単に使えるし、アカウントはデフォルトで完全に分離されてるんだよね。AWSのサービス内部でもそうやってて、一つのサービスが数百ものAWSアカウントを持ってることも珍しくないんだよ(リージョン数×環境数)。GCPではそれは難しいんだよね。 マジかよ。AWSの方がポリシーは複雑だけど、GCPはセキュリティ体制を簡単に構築することすら難しい場合があるんだよね。 それは言い過ぎじゃない?例えば?GCPは最初から緩い設定になってて、Compute Engineのサービスアカウントがデフォルトで基本的なEditorロールを持ってたりするのは危険だけど、簡単にオフにできるよね。 それは同意せざるを得ないな。リソースベースの条件が特定のGCP製品ではうまく機能しないことが多くて、必要以上に広いアクセス権を与えざるを得ないんだよね。中途半端で、PoLP(最小権限の原則)を実装できないんだよ。AWSは学習コストが高いけど、SNSトピックへのアクセスを制限できなかったことはないな。 AWSは逆だと思うな。細かく設定しようとすると、面倒なことが多いよね。 それな。AWSはマジで細かすぎ。 補足すると、deps.dev、osv.dev、SLSA(全部無料か完全にオープンソース)とかもあるよ。GoogleはAppSecとSoftware Supply Chainコミュニティにめっちゃ貢献してる。Googleの墓場行きにならないように祈るしかない。 >あれが初めて大手企業が政府にハッキングされたって認めた時だったと思う。<br>あれは大きな転換点だったよね。それ以来、”二度とごめんだ”ってなってる。 ChromeがAlphabetに残ってるのは社会にとって良いことだと思う。Googleは得意なことと苦手なことがあるけど、みんなが無料で安全なブラウザを使えるってのは過小評価しちゃいけない。 GCPユーザーとしては、GoogleはGooglyなものを作って、みんなに使ってほしいと思ってるだけに見える。でも、Google製だからって誰も使わなかったら、すぐキャンセルするんだよね。 Android(特にPixel)とChromiumのセキュリティ体制は、人類への傑出した貢献だと思う(両プラットフォームの普及度を考えると)。 あなたのリンクはこれだと思った。 これって全部Googleの話じゃん。GCPの顧客として、俺はどんなメリットがあるの? >GoogleがFortune 100の半分の足がかりを確保する方法< GCPに年間100万ドルくらいの契約を結んでるんだけど、担当者がついてて、いつでも連絡できるんだよね。実は、規模が今の半分くらいのときから同じような関係だったんだ。 で、何かをエスカレーションする必要があったことある?: Googleって、顧客の体験を全然気にしてないよね。問題があっても、それが頻繁に発生して、リリースの健全性を評価するシステムに引っかからない限り、諦めるしかないよ。 前にGCPを使ってたスタートアップで働いてたんだけど、年間7桁ドルも使ってなかったけど、Googleの人と話すのに全然困らなかったよ。 他の人とは違う経験だね: これってGoogleの過小評価されてる弱点だよね。AWS ProServeにいたとき、GCPを競合として真剣に考えたことなかったもん。カスタマーサービスとか、アカウント管理とか、エンタープライズセールスチームが酷すぎて笑えた。Azureみたいに、AWSがGCPより優れてる理由を説明するような資料すらなかったし。 マジでムカつくのは、過小評価されてすらいないってこと!みんな知ってるし、15年くらいずっと文句言ってるじゃん! Googleは根っこの部分では広告会社であって、テクノロジー会社を装ってるだけ。必要なときには、間違いなくリソースを本業に回して、趣味プロジェクト(GCPのこと)から遠ざけるだろうね。 Googleの中ではかなり大きいと思うよ。KurianはCloudが2023年のQ2に黒字化を達成したとき、かなり評価を上げたし。大規模な採用活動を続けられた最後の組織だったし、人員削減も少なかった。 うん。クラウドプロバイダーを選ぶとき、それが一番重要だよね。 なんで最大手企業がGCP使ってると思う?マジでカスタマーサポートがひどいなら、どう説明する? 惰性じゃない? これ、GCPに組み込まれて、AzureとかAWSのサポートがすぐなくなって、そのまま終わる気がするんだよね。ビジネスを潰すために大金使うなんてありえない。 GCPは最近マルチクラウドに力入れてるよね。AnthosとかBigQuery Omniとか。 今回の買収はちょっと謎だけど、反論することで少し理解できたかも。Googleがセキュリティで「最高」を目指してて、一部の顧客がWizを「最高のセキュリティ」として使ってるなら、これは顧客をGoogleに引き込む手段になる。 それだと会社の価値が半分になって、Googleは大損するよね。例えば、Fortune 100の半分がWiz使ってるけど、ほとんどGCPだけじゃないでしょ。 Googleは前にも同じことしてるじゃん。FitbitとかNestとか。今回は桁違いにお金が無駄になるけど。今回はマシな戦略を立てるかもね。 それらはエンタープライズ製品じゃないじゃん。Lookerの方が比較対象として適切だけど、AWSとAzureでまだ使えるよ。 Fortune 100のほとんどはマルチクラウドで、少なくとも一部のワークロードでGCP使ってると思うけど。 Fortune 100の半分がWiz使ってるってマジ?ソースちょうだい。Wiz自身の発表しか見つからない。 これマジ意味不明。もっとコメントを表示(1)
もし認証の裏口見つけて、誰のアカウントでもなりすませる方法見つけたらヤバくね?50億人分のデータ吸い上げて、Googleに「Torに晒さない代わりに一人6.4ドル払え」って言ったら、320億ドルなんてマジで破格の値段じゃん。
つまり、ホームページは何も語ってない。こういう会社って、役立つ製品作るより、人脈を駆使して口コミで広めて売りまくるイメージ。俺は人脈なかったわ。ごめん、愚痴っぽくて。
Googleはクラウドの成長に必死で、何かする必要があるんだな。
WizにGoogle Cloudの2023年の売上全部と同じくらいのお金払ってるじゃん。売上倍率は40倍。成長企業でもありえない高さ。明らかに払いすぎ。
Wizは9回も資金調達してるから、VCは回収する必要があるんだな…
アナリストはエンタープライズネットワーク市場を”Ciscoと7人の小人”って呼ぶけど、SymantecとかPalo Alto Networksについてそう言う人はいないじゃん。
新しいセキュリティ製品カテゴリって、製品が違いすぎて同じカテゴリに入れられないことが多いんだよね。例えば、次世代AVの2015-2016年頃とか。AVは昔からある製品で、全部同じようなことしてたじゃん。でも、新しい製品が次々に出てきて、全部”次世代AV”を名乗ってたんだよね。
・Bit9はプロセスのホワイトリスト化、後にCarbon Blackを追加してエンドポイントフォレンジック
・FireEyeはプロトEDRソリューション
・CylanceはMLベースのマルウェア検出
・Palo Alto Networksはエクスプロイト対策エージェントにMLベースのマルウェア検出を追加
業界はEDRに集約されていった。
数年後、クラウドセキュリティも同じような状態だった。CSPMとかDLPソリューションとかコンテナセキュリティソリューションとか。
>業界はEDRに集約されていった
これはCrowdStrikeがアナリストと協力して2017-2018年にやったこと。
EDRの機能自体は、Guidance Softwareみたいなフォレンジック企業から生まれたんだよね。HBGaryとかMandiantが初期のプレイヤー。FireEyeがMandiantのEDRを潰したけど、HBGaryはGoSecureで生き残ってる。
最近見た数字だと、Microsoftはエンドポイント市場の約25%を占めてて、市場が細分化されてるから一位なんだって[0]。Proofpointはメールセキュリティ市場の約24%を主張してる[1]。
>CrowdStrikeがアナリストと協力して2017-2018年に頑張った結果だってさ。
それも一つの解釈だよね。でも、俺が言ったこととは全然関係ないじゃん。
0 - https://www.microsoft.com/en-us/security/blog/2024/08/21/mic…
1 - https://www.proofpoint.com/us/blog/email-and-cloud-threats/p…
他のクラウドセキュリティ系の会社と似たり寄ったりに見えるんだけどなー。
俺が見落としてる何かがあるか、Wizの製品が他の製品よりめっちゃくちゃ優れてるかだね。
こういう製品カタログにはうんざりしてるから、俺はターゲットじゃないんだと思う。
セキュリティの問題は、ダッシュボードをポチポチすれば解決するって思ってるCIOもいるんだろうね。
諜報機関で働いてた人がビジネスで成功するのって面白いよね。何か理由があるんだろうな。
Wizの買収は、Fortune 100の半分の会社に足がかりを築くことにもなるんだよね。敵陣に乗り込むみたいなもんよ。値段は高いけど、他に選択肢がないし、WizはGoogle Cloudネイティブだし、Marketplaceとの連携も済んでるのが強みだよね。https://cloud.google.com/customers/wizもっとコメントを表示(2)
GCPのセキュリティ担当だけど、Mandiant買収前からセキュリティはGCPの差別化要因だったんだよね。GoogleはBeyondCorp(ゼロトラストの主要な推進力)を発明したし、セキュリティキー(U2F、FIDO、Webauthn)の開発にも貢献してるし、従業員と消費者の両方に採用した最初の主要企業だと思うよ。バグ報奨金制度も2010年からやってるし、他社のソフトウェアの脆弱性を探すProject Zeroも前例がないくらいすごいと思う。他のハイテク企業がハッキングされる回数とGoogleを比べてみてよ。Googleは2009年に中国にハッキングされたけど(政府によるハッキングを認めた最初の主要企業だったと思う)、あれが大きな転換点になって、それ以来、二度と繰り返さないって感じなんだよね。
これは個人的な意見だよ。
>あなたの投稿はクラウドのセキュリティとクラウド内のセキュリティを混同してるよね。それにGCPとGoogleを混同してるけど、それこそがGCPの市場シェアが低い理由だよ。
それに、GoogleはBeyondCorp製品をGCP製品として提供してるよね。IAPがその代表例。AWSとかAzureにもIAPみたいなのがあるのかな?もしそうなら、IAPに対抗して作られたんだと思うな。
他のGCPのセキュリティ製品としては、Chrome Enterprise Premiumとか、VPC Service Controlsがあるよ。セキュリティキーはGCPの顧客も使ってるし、GCPは今年からMFAを必須にするらしいよ。バグ報奨金制度とかProject ZeroもGCPの顧客を守るためにやってるんだよね。
Microsoftが2023年に中国にハッキングされた時は、署名キーが盗まれて、Azure ADユーザーになりすますために使われたんだよね。これもクラウドのセキュリティに関係ある話だよ。
GCP製品はセキュリティの面でも評価されてるんだよね。
これは個人的な意見だよ。
実はGoogleが主要政府にハッキングされたのはあれだけじゃなくて、その時も大規模な内部セキュリティ体制の変更があったんだ!
https://en.wikipedia.org/wiki/Snowden_effect#Tech_industry
>2009年にGoogleは中国にハッキングされた(確かあれが初めて大手企業が政府にハッキングされたって認めた時だったと思う)。<br>(欧米の)政府に”合法的に”ハッキングされるのは気にしないのかな?セキュリティがどんなに優れてても、LEAs(法執行機関)から逃れられないのは残念。
https://www.bbc.com/news/world-us-canada-24751821
>Snowdenのリーク: GoogleはNSAのハッキング疑惑に”激怒”<
もしそれが目的だとしたら、また失敗すると思う。なぜならここは優れたアカウント管理が重要な場所だから。必要なら電話で誰かと話せること。AWSはそれが得意で、Microsoftも少しはできるけど、Googleには人間がいるらしいけど、ほとんど見かけないって噂だよ。もっとコメントを表示(3)
https://www.reddit.com/r/googlecloud/comments/1ey0rx8/gcp_su…
https://www.reddit.com/r/googlecloud/comments/1ey0rx8/gcp_su…
GCPのデカい顧客が2社、GCPから離れたの知ってるよ。理由はコレだよ。GCPの上層部にフィードバックしても何も変わらない。Diane GreeneとかThomas KurianがCEOになった時、改善すると思ったけど、ちょっとはマシになったけど、期待外れだった。
セキュリティを重視する組織にとってWizは投資家へのアピールになる。AWS/Azure/Oracle/Salesforce上でのWizの価値を下げることで、競合他社の顧客のセキュリティに関するアピールポイントを奪い、GCPへの移行を促す。Wiz側のキャンセルで失う収益を、大規模なクラウド案件で補うことを期待してるんだと思うけど、320億ドルに見合うかは疑問。
何か公になっていない政府の義務があるのかも?
もし1000社の顧客がいて、それぞれ年間200万ドルのARRを生み出す契約を結んでるとするじゃん?それだと20億ドルになるよね。で、めっちゃ甘く見てARRの6倍で評価したとしても、120億ドルだよ。
この200億ドルのプレミアムってどこから湧いてきたの?取締役会はどうしてこれを承認したんだ?株主にとってフェアじゃないでしょ。
マジで、GOOGの株主として、こんなの全然納得いかないんだけど。
たまに思うんだよねー。こういうテック企業の買収って、なんか裏にコネとか、もっと深い動機があるんじゃないかって。
