この1年間、サイバーセキュリティ業界では、バリュエーションとエグジットの常識を書き換えるかのような大型M&A案件が相次いだ。これには、サイバーセキュリティ史上最大規模の取引トップ10のうち3件(GOOGL/Wiz、PANW/CYBR、NOW/Armis)が含まれ、また非公開サイバー企業の買収としては史上最大規模の2件(WizとArmis)が実現した。これらの案件と年間取引全体を詳しく見ると、サイバーセキュリティの成長、範囲、バリュエーションに関する構造的な必然性が確認される。
達成可能な価値のサイクル
約20年間サイバーセキュリティ事業者として、そして約10年間主にサイバーセキュリティに注力するベンチャーキャピタリストとして、私は長年にわたって真実であり続けてきたいくつかの常識に依拠することを学んできた。
- ほとんどのサイバー企業はポイントソリューションを提供し、中間レンジの結果で統合される(現在これは1億〜6億ドルのバリュエーションを意味し、以前のサイクルではより低かった)。この過去の例としては、DLP分野があり、この分野は株式公開を達成した企業がないまま大部分が統合された。
- 中間レンジの結果帯を超えるには、企業はサイバーセキュリティ内の広範なカテゴリーにおけるカテゴリーリーダーにならなければならない。私はこれらをエステート(領域)と呼んでいる。これらのカテゴリーリーダーの運命は株式公開であり、中堅サイバーセキュリティの課題に直面することだ。その課題とは、公開市場の至上命題が成長であり、単一カテゴリーのサイバー企業は複数のサイバーカテゴリーに進出しない限り、ある程度以上大きくなれないということだ。
これにより統合のダイナミクスが生まれ、新たな成長機会を求める公開サイバー企業が、より小規模な、通常は非公開の企業を買収する(これがポイント1を説明する)。前サイクルの例としては、McAfeeとSymantecの買収合戦がある。この傾向の現在の流行語は「プラットフォーム化」であり、現在の統合合戦は2大公開サイバーセキュリティ企業、Palo Alto NetworksとCrowdstrikeが先頭に立っている。 - セキュリティのプラットフォーム化を達成した企業でさえ、非セキュリティ領域に進出しない限り、セキュリティ企業がどれだけ大きくなれるかには上限がある。これは2つのかなり異なる形をとることができる。
1つ目は、同じM&A統合のダイナミクスを通じて純粋なセキュリティ専業から脱却しようとすることだ。前サイクルでSymantecがVeritasを買収したことが例として挙げられる。
2つ目は、より大きな非純粋セキュリティ専業企業に買収されることだ。これはしばしば、特定企業のサイクルの終わりを意味する。例としては、前サイクルでSymantec Enterprise SecurityがBroadcomに買収されたことが最終段階となったケースや、現在のサイクルでSplunkがCiscoに買収されたケースがある。
これらすべては、約20年続く重複するサイクルで進行する。
2025年のセキュリティM&Aの位置づけ
サイクルのすべての段階が、2025年のM&A活動によって検証された。
見出しを飾った取引は両方ともサイクルのステージ3に該当するが、必ずしも明確ではない。
Wizは、クラウドネイティブインフラストラクチャセキュリティの明確なリーダーであり、すでに多数の小規模サイバー企業の買収により市場統合者の役割を果たしていた。同社は株式公開せずに公開企業レベルのバリュエーションを達成し、そのステップをスキップすることができた。
OTセキュリティの明確なリーダーと言えるArmisは、すでにセキュリティの境界を越えた統合者となっており(Silk Securityを買収)、同様に株式公開のステップをスキップした。同社は、開発初期段階でプライベートエクイティ取引を通じた非公開化の道を歩んだ(ただし、技術的にはその取引時点ですでに非公開だった)。ArmisはServiceNowに買収された。ServiceNowは非純粋セキュリティ専業の買収企業だ。ServiceNowはまた、2025年にVezaを買収する計画も発表した。
これら2つの結果が達成可能なバリュエーション環境の変化を示すとすれば、それは株式公開市場が変化し、主にインフレしたということだ。2025年には注目すべきセキュリティ株式公開が2件しかなかった。Sailpointが約125億ドルのバリュエーション、Netskopeが約75億ドルだ。どちらも以前のサイクルでは目を見張るような初期バリュエーションだっただろう。さらに、市場の一部の予想に反して、株式公開を申請した企業が多数ある(Arctic Wolf、Cato Network、Claroty、Snyk、Vantaなど)。これは、株式公開のスケールバー(私と同僚が2025年1月に分析した)が現実であることを示している(気まずいことに、私の会社はこれらの企業のうち2社、CatoとVantaに投資している)。
見出しを飾った案件以外にも、サイクルの他の2つの部分が2025年に繰り返された。
ステージ1を検証するものとして、新興のAI向けセキュリティカテゴリーは今年、主に中間レンジの買収を通じて大部分が統合された。AIM Security、CalypsoAI、Lakera、Protect AI、Prompt Securityはすべて2025年に買収され、公表された最高評価額は7億ドルだった(再び気まずいことに、私の会社はこれらの取引のうち2件、Protect AIとAIM Securityを買収したCato Networksに関連する企業に投資していた)。
サイクルのステージ2は、先述の大手セキュリティ買収企業によるAIセキュリティセグメントの統合に加え、他の多数のセキュリティプラットフォーム統合取引によって検証された。これには、PANW/CYBR(他の年であれば、GOOGL/Wizに次ぐサイバーセキュリティ史上2番目に大規模なM&A取引として主役となっていただろう)、PFPT/Hornet Security、ZS/Red Canary、CRWD/Pangaeaなどが含まれるが、これらに限定されない。
この業界にとって何を意味するのか
セキュリティ業界は依然として非常に健全だ。見出しバリュエーションの上限は、インフレ率よりもはるかに速く成長している。最大手サイバーセキュリティベンダーのバリュエーションは、前サイクルと比較して約1桁高くなっている。CrowdstrikeとPalo Alto Networksは9桁のバリュエーションに達しているが、前回はSymantecとMcAfeeが8桁のバリュエーションで頭打ちとなった。
市場構造も、より高い数値ではあるが繰り返されている。過去のパターンが完全に繰り返されるなら、大手サイバーセキュリティ企業がより大きな非セキュリティ事業に統合される転換点に達する可能性が高く、新世代のサイバーセキュリティ変革者に道を譲ることになる。
もちろん、これがシナリオが覆され、セキュリティ企業のクロスオーバーを目にするサイクルになる可能性もある。サイバースタートアップに投資するベンチャーキャピタリストとして、私は少なくとも感情的には新しい企業に賭けているが、いずれにせよ優れた企業を興味深く見守っていくつもりだ。
