個性あふれるホワイトハッカーチームをまとめる名監督シスコシステムズ

　日本市場においてシスコがセキュリティベンダとして正しく評価されていないように見えるのは、日本市場とユーザー企業がまだそこまで成熟していないからだと思う。

　あまり一般的な言葉ではないかもしれないが「ネタ芸人」という言葉があって、漫才やギャグなどの「ネタを見せて笑いを取る芸人」を指す。ネタで笑いをとる仕事「しか」できない芸人というニュアンスを言外に持つ。

　芸人にネタで笑いを取る以外の仕事などあるのかと思うが、それがたくさんあって、たとえばゲストとしてひな壇等に座って、番組の趣旨を理解しその進行に寄与するコメント（面白いものでなければならない）をしたり、映画等の宣伝で来ている不慣れな女優の前に、すぐにゴールを決められる優しいボールのようなコメント（当然面白くなければならない）を放ってあげるなど、頭の回転と他者への配慮、そして瞬発的計算に優れる芸人ならではの、番組を成功させるさまざまなアシスト業務がその仕事のひとつに挙げられる。

　あるいは、芸人自らが司会者として冠番組を持ち、気難しい大スポンサーの意向を十二分に理解したうえで、コンプライアンスにも抵触せず、炎上などさまざまな風評リスクをも回避しながら、対象視聴者層に刺さり、最終的には視聴率とスポンサー維持という重責を負う、座長としての役割まで期待されることもある。

　実はセキュリティ業界でもここ数年これと似た期待の変化が起こっている。

　考え抜かれたネタで確実に爆笑をとる職人のように、特定のセキュリティ脅威やサイバー攻撃に確実に対処してくれるセキュリティベンダの必要性と重要性がこれまで以上に増す一方で、顧客企業のシステムだけでなくビジネスの特徴や事業の強味までをも理解したうえで、セキュリティ製品導入や運用をアシストし、有事の際はインシデントレスポンスの支援を行ったり、ビジネスの成長と事業継続のパートナーとして共に併走することができる、そんな、冠番組を持つ熟練司会者のような総合力を備えたセキュリティベンダが切望されるようになったのだ。

　この変化の根本的理由は、ビッグデータや個人情報が巨大な富を生み出す、監視資本主義時代の到来と、それに伴うDX（デジタルトランスフォーメーション）への事業シフトである。

　これまでのように、1時間かかっていたことをソフトウェアを用いて1分で終わらせるような、単なる業務の効率化だけを目的としたデジタル技術活用ではなく、新しいビジネスや付加価値を生み出すためにデジタル活用（DX）を行う場合、そこで富を生み出すのは、ビッグデータや購買履歴など、ひとたび漏えいすれば大事故となるデータばかりだ。

　大事なデータの安全な管理を恒常的に確保するセキュリティは、これまでのような特定の脅威をピンポイントで解決するアドオン的な活動ではなく、インフラでありエッセンシャルワークとなった。

　そうなると当然、特定のセキュリティ課題の解決は、セキュリティベンダに求められる要素のひとつに過ぎなくなる。新たにそこに加わる要素は、顧客のビジネスの理解や運用の経験値、そしてとりわけ大切なことが、長くパートナーとしての関係を成立させる大前提「財務基盤の盤石さ」である。

　あなたも何社か思い出さないだろうか。セキュリティ業界ですでに「巨人」とみなされてきたプレーヤーが、ここ1～2年続々と、さらに巨大な資本のバックアップを得る資本政策の大転換を矢継ぎ早に行ったことを。今年の春にも大きな案件がニュースになった。それらはこうした事情とは無縁でない。

　このように、会場を爆笑させる以上の責任がセキュリティ企業に期待され求められるようになった現在、経験豊かでハートが強い司会者のように、安定してセキュリティを切り盛りできる企業はどこだろうかと考えたとき、そこで頭に浮かぶ決して多くない会社のリストの中に、シスコシステムズが入らないということはまず起こらないだろう。

　自由主義経済圏唯一無二の「ネットワークの雄」として君臨するシスコシステムズだが、セキュリティベンダとしてのシスコの存在感と歴史も唯一無二だ。シスコは30を超えるセキュリティ製品群を持ち、セキュリティのほぼ全領域をカバーしている。戦略的撤退を行い、いま現在は保有していないDDoS対策製品なども含めて考えれば「ほぼ全領域」ではなくまるまる「全領域」となる。「MCU」という言葉があるが、さしずめ「シスコ・セキュリティ・ユニバース」だ。

　そして、シスコがとりわけ興味深いのは、それらの30を超える製品の大半を、M&A（Mergers ＆ Acquisitions：合併と買収）によって獲得してきたことだ。

　M&Aと聞くと、無慈悲な投資ファンドなどによって会社が乗っ取られ、築き上げた良き伝統が踏みにじられるようなステレオタイプのイメージがあるが、実はそういう例は多くない。事実日本に限っていえば、そんなステレオタイプに該当する「敵対的買収」は、M&A取引全体の1％未満だという。要は「ハゲタカ」などと恐いあだ名をつけられた投資ファンドや、メディアを手玉にとる声の大きいお騒がせ投資家のような、個性もアクもめっぽう強いプレーヤーの一挙手一投足を、メディアが喜んで取り上げたために世間に定着した、偏ったイメージに過ぎない。

　実際には、研究開発体制を強化したり、販売網を拡充するシナジーを得たり、あるいは事業継承を行ったりと、M&Aには肯定的側面の方が多く本稿のテーマはこっちだ。このたび ScanNetSecurity 編集部は、ネットワークの雄でありつつ、同時に驚くほどたくさんのセキュリティ企業の買収と合併を成功させてきた奇跡的企業シスコシステムズに、セキュリティ製品を中心にその歴史について話を聞く機会を得た。

　M&Aの歴史は、関係者も多く守秘義務契約も存在するやっかいな領域だ。おそらく取材は簡単にはできないだろうと思っていたが、意外にもあっさりと許可が出たのは拍子抜けする思いだった。その理由は、話を聞いているうちにだんだんわかってきた。先に答を言ってしまうが「隠したいものが何もない」のだ。

　今回取材に応えてくれたのは、シスコシステムズ合同会社グローバルセキュリティセールスオペレーション部門木村滋（きむらしげる）氏である。「ふと気づいたらシスコに来て20年経っていた」そう笑いながら語った木村氏は、いくつかの領域を横断しながらも、シスコのさまざまなセキュリティ製品の獲得とその後の開発や販売過程を、自身の目でつぶさに目撃してきた。近年は部門のエヴァンジェリスト活動の一環としてセキュリティ製品の啓発も行う。

　シスコシステムズが、個性あふれるセキュリティ企業と共に走ってきた、四半世紀という決して短くない歴史を、木村氏のインタビューをもとに駆け足でふり返る。

--
　シスコによるセキュリティ企業のM&A最初期の事例は、いまから26年前、1995年のNetwork Translation Incにさかのぼる。まだプライベートアドレスの定義がない、RFC 1918の前の時代に、NAT専用機としてインターネットのIPアドレスをどう保護していくべきか提案した製品だ。「インターネット時代の電話交換機（PBX：Private Branch eXchange）の役割を」という思想のもと「PIX（Private Internet Exchange）」と名付けられ、Data Communications Magazine 誌の「Hot Product of the Year」賞を受賞するなど、「Cisco PIX Firewall」はエンタープライズ向けファイアウォールの主要製品のひとつとして愛された。現在もCisco ASAとして継続し提供されている。

　本誌読者といえども、2010年代のSourcefire社買収よりはるか前に、IDS製品を持つWheelGroup社をシスコが買収していたことを知る人は多くないだろう。「Cisco NetRanger」としてバージョン5まで提供されたが、次世代型ファイウォールがマーケットの主流となったことなどの理由で、後進の製品に道を譲った。

　2000年前後は、VPNがセキュリティのカテゴリーのひとつとなった時期である。シスコは2000年、リモートアクセス専用機を持つALTIGA Networks社を買収し、「Cisco VPN 3000」というエンタープライズ向けVPN製品を発売、これもロングセラーとなる。

　VPN 3000はその後PIXと統合され、ファイアウォールとしてもリモートVPNアクセスとしても使える機器として、現在のCisco ASAにつながっていく。ちなみにこのファイアウォールとVPNに、IPSモジュールを後から追加すれば、そのままUTMとして使用することができる。ここからは「あとあとこのように使えそうだ」という、シスコ製品全体をプラットフォームとして意識した判断が、買収当初からなされていることを伺うことができる。

　2002年にはIDSのアラートの精度を高めるPsionic Technologies社を買収。つづく2003年にはEDRの元祖ともいえる、振る舞い検知型のエンドポイント製品を開発するOkena社を買収している。

　年度別の詳細なM&Aの歴史を文末に付録として掲載するので、そちらも是非ご覧いただきたいが、木村氏の話を聞くうちに、シスコのM&Aに存在する一定のルールがおぼろげながら見えてきたように思う。

　それは、小規模だがクールで尖った技術を持つベンチャーに対して、まず最初はファンディングなどから協力を開始し、将来性や価値観が合うかどうかを判断して、ここぞというタイミングで買収しシスコチームに迎え入れる、というプロセスだ。

　たとえるなら、これはと思う草野球の少年にノックを行って基礎力を確認し、そして素質を伸ばし、その過程で信頼関係を構築、ここぞと思うタイミングで入団させ、世界で活躍する選手に育てあげる。シスコはそんな自然なプロセスを大事にする。今回の取材、及びさまざまな公開情報から見えてきたことだ。

　一方ですでに功成り名を遂げて「大選手」になっているようなプレーヤーを、巨額の移籍金で引き抜くような派手なM&Aは、2007年のIronPort社などを除くとあまり存在しない。もはや書く必要もないが、株価対策を意図とするような志の低いM&Aはシスコとは無縁だ。

　空き地やストリートでプレイしていた「原石」を見つけてスカウトしてチーム入りさせ、やがてその若者を「シスコクオリティ」まで育て上げ、彼一人では決して行けなかっただろう大舞台（技術水準を高め、製品を洗練させ、グローバルでビジネス的に成功すること）を踏ませるのがシスコのM&Aの真骨頂といえるかもしれない。

　忘れずにここで書いておくべきことがある。「シスコ・セキュリティ・ユニバース」の歴史をふり返る途中、木村氏の声のトーンが少し落ちるところがいくつかあったことだ。それは製造停止やサービス終了となった製品について語るときだった。恥ずべき失敗というよりは、優れた技術を活かせなかったことを悔やむ語調に聞こえた。M&Aの一般的な成功率は2割程度だという。そう考えれば驚異的成功率を誇って良いのだが、そのシスコをもってしても、全部が全部うまくいくわけではない。

　惜しまれつつ撤退やサービス終了した代表的製品のひとつに挙げられるのが、2004年に買収した Riverhead Networks社のDDoS対策製品だ。3 wayハンドシェイクで、TCP SYNパケットに対してリセットパケットを投げて3秒以内にリコネクトしてくるかどうかでボットかどうかを判別するなど、キャリアやISP、官公庁、金融などの「玄人ユーザー」好みの機能を満載し、熱い支持を得たものの、市場の絶対規模と将来性には限界があると判断が下った。木村氏にとって辛い経験だったという。

　2004年に買収したSSL-VPN接続にセキュリティ機能を提供するTwingo社の製品は、接続時に仮想的にWindowsデスクトップを展開、ログアウト時にその仮想空間を削除することでセキュリティを確保する機能を提供し、アドオンとして人気があった。仮想化という言葉すらほとんど聞くことがなかった時代、これからはシンクライアントだなどと無邪気に騒いでいた2004年頃に、こういう製品を提供していた先見性にはただ驚くばかりだが、当然のことながらTwingo製品はVDIの普及とともに役割を終え販売終了となった。

「いまになってふりかえってはじめて真意が理解できる」そういうタイプの買収案件がシスコには少なくない。今で言うSIEM を提供するProtego Networks 社を買収したのはなんと2004年。2005年と2007年には、それぞれ個性的な機能を持つWAF製品を開発する、FineGround Networks社（WAF + HTTP 最適化）とReactivity社（WAF + XML Firewall）を買収している。

　取材のために木村氏が準備してくれたセキュリティ製品M&Aの歴史のスライドには、克明に販売終了やエンドオブサービスの過程や理由が、「本文情報」として記載されていた。「脚注情報」ではないという点が重要である。華やかな成功事例を大きいフォントで書いて、EOSやディスコン製品は、小さいフォントで申し訳程度に記載することもできた（そもそも存在しないことにして記載しないこともできた）はずだが、そうはしなかった。これは、EOSやディスコンに至る際に合理的な判断と努力が社内で行われ、それがコンセンサスとして共有されていることを意味する。いわば、彼の選手生命が終わる最後の瞬間まで見届けたともいえる。何を悔やむことがあろうか。

　もうひとつ触れておかなければならないのは、M&Aを事業の軸として持ちながらも、ひとたび自社開発することが最も合理的と判断すれば、自ら製品開発を行うことに何のためらいもないことだ。2020年、シスコはXDRプラットフォーム「Cisco SecureX」の提供を開始したが、SecureXの開発は内製で行われた。良いものを出すためにM&Aが良いならM&A、自社開発が合理的なら自社開発。もしやろうと思うなら、M&Aした30の製品を全て自分で作れるレベルの、強力なR＆D体制などとっくの昔から持っている。

　技術者が立ち上げたベンチャー企業が、大資本に買収されるメリットは、財務面や経営面のバックアップが得られることがとにかく大きいだろう。そしてシスコに買収された場合そこに、シスコが持つ研究開発体制へのアクセスという強烈なアドバンテージが加わる。通常M&Aが行われると、取締役をはじめ主要メンバーは会社を去ることも少なくないが、シスコのM&Aはその限りではないという話も今回取材で聞いたことだ。

　シスコシステムズのM&A方針は、企業買収の巧者にして多数の成功事例を持つ日本企業、日本電産と似たところがある。日本電産はシナジーを発揮できる領域で敬意を持って合併や買収を行い、長所を伸ばす経営支援あるいは再建を行って、買収後何年か経って、めでたくその会社が過去最高益を更新すると、それを記念して社名の頭にはじめて「日本電産」の文字を付け加え「日本電産〇〇」と社名を変更する。たとえばWi-FiのスタートアップだったMerakiはシスコに買収され、シスコクオリティまで製品の力を高めることで、世界という大舞台で成功をおさめた。「Meraki」は「Cisco Meraki」になったのである。

　M&Aで受け入れた製品を、シスコファミリーの一員として扱い、リスペクトをもって遇することを示す、こんな出来事が2020年に起こっている。当時シスコは知的財産権に関わる案件の当事者としてオンラインで裁判に出席することになった。このこと自体は大きな会社なら特に珍しいことではない。

　裁判所は、とあるオンラインカンファレンスツールの使用をシスコに指定してきた。本取材の性質上、原稿に具体的製品名は書けないが、要はアルファベットの順番でいえばかなり後の方の文字でその名がはじまる製品である。これに対してシスコは、2007年に買収したCisco Webexをツールとして使用することを要求。指定された他社の製品には脆弱性が指摘されているというド正論を、裁判所相手に堂々と主張した。

　これを、たとえばゴリゴリの営業担当役員が、自社製品の使用を他社に向けて主張するといった、よくある話の延長などと決してとらえないで欲しい。相手は企業や一般の組織ではなく法執行機関なのである。裁判所もあっけにとられたのではないだろうか。「いや、そういう話をしようとしているんじゃないし」と。何かしら人を破顔させる力がこのエピソードにはある。もちろん残念ながらシスコの主張は却下された。

　検索大手や、ビジネスソフトウェア開発大手など、オンラインカンファレンスツールを提供する会社は数あれど、こんなことを言い出す会社、シスコ以外にあるだろうか。

勝てる見込が少ない戦いを、いつ、誰を相手に、何を守るためにするのか。そこに人物や組織の、品格と尊厳が顕れる。そう言ったのはアーネスト・ヘミングウェイだったか、あるいは北方謙三だったか。

　シスコが買収する尖ったシリコンバレーのベンチャーはいわばハッカー、正しく言うならホワイトハッカーの集まりである。個性豊かな面子ばかりのチームをまとめる名監督として、シスコにはたとえ誰が相手だろうと譲れない一線があったのだろう。

　殴り返されることなど承知の上でこのパンチをシスコは繰り出した。そこまでして守りたいものがあったし、これまでもそうして守ってきた。この話を聞いた全世界はこう思ったことだろう。「さすがシスコだ。奴らはガッツが違う」と。そしてここまでされたWebexの嬉しさはいかほどだっただろうか。M&Aはときに結婚にもたとえられる。「ここに嫁いでよかった」そう思わなかったはずはない。

　今回の取材の個人的な結論は、もし自分が技術系の先端企業に勤めていて、なんらかの理由で大手資本に買収されるとしたなら、どんな巨大プラットフォーマーよりも、断然シスコに買収されたいということだ。そして一般的な結論は、過去4年間にセキュリティ領域に約9,000億円（80億USD）を投資し、ネットワークセキュリティ領域でのグローバル市場シェアは堂々の第1位（28％）、この総合力に富む成熟した大人のセキュリティベンダ、クセの強いホワイトハッカーチームを率いる名将シスコシステムズ合同会社の価値を、もっと日本のユーザー企業は知るべきであるということだ。

　シスコを正しく評価することは事業の未来につながる。

●シスコシステムズセキュリティ製品M&A四半世紀年表
　1995年 Network Translation (Cisco PIX Firewall, Cisco Local Director, FWSM : NAT/Firewall)
　1998年 WheelGroup (Cisco Netranger IDS/IPS/IDSM-1/IDSM-2, Cisco Security Scanner)
　2000年 Altiga Networks (Cisco VPN 3000 : リモートアクセスVPN)
　2000年 Compatible Systems (Cisco VPN 5000 : キャリア向けVPN)
　2002年 Psionic Software (Cisco Threat Response : IDS / 脆弱性スキャナソフトウェア)
　2003年 OKENA (Cisco Security Agent / CSA : HIPS/振る舞いベースエンドポイント)
　2004年 Riverhead Networks (Cisco Guard/Detector : Anti-DDoS)
　2004年 Twingo Systems (Cisco Secure Desktop : SSL-VPN 仮想デスクトップ)
　2004年 Perfigo (Cisco NAC : ネットワーク検疫)
　2004年 Protego Networks (Cisco Secure MARS : SIEM)
　2005年 FineGround Networks (Cisco AVS : Web Application Firewall + HTTP 最適化)
　2007年 Reactivity (Cisco ACE WAF/XML Firewall : WAF + XML Firewall)
　2007年 IronPort Systems (Cisco Secure Email, Cisco Secure Web Appliance)
　2009年 ScanSafe (Cisco Cloud Web Security)
　2011年 Pari Networks (Cisco Network Configuration Manager)
　2012年 Meraki (Cisco Meraki : クラウドUTM)
　2013年 Sourcefire (Cisco Secure Firewall (Firepower) : NGFW, Cisco Endpoint Security (AMP) )
　2013年 Cognitive Security
　2014年 ThreatGRID (Cisco ThreatGrid : クラウドサンドボックス)
　2015年 Lancope (Cisco Network Analytics : NDR / NTA)
　2015年 OpenDNS (Cisco Umbrella : SASE / CASB / DNS Security)
　2016年 CloudLock (Cisco Cloudlock : API CASB)
　2017年 Observable Networks (Cisco Cloud Analytics : NDR / NTA / CSPM)
　2018年 Duo Security (Cisco Secure Access by Duo : MFA / UEBA / ZTNA)
　2019年 Sentryo (Cisco Cybervision : IoT Security, Asset Management)
　2020年 PortShift
　2021年 Kenna Security

●参考文献
　塙宣之著「言い訳関東芸人はなぜM-1で勝てないのか」集英社
　ショシャナ・ズボフ著「監視資本主義」東洋経済新報社
　淵邊義彦著「企業買収の裏側 M&A入門」新潮社