T 最新テックトレンド
Cybersecurity_Product_Strategy:_Inside_1Password’s_Growth

Cybersecurity_Product_Strategy:_Inside_1Password’s_Growth

🎙
Product_School

この記事は、以下の YouTube 動画の内容をまとめたものです。

https://www.youtube.com/watch?v=wGYn7esqvhk

1Passwordが牽引するサイバーセキュリティの未来:パスワードレス時代と「人」中心のプロダクト戦略

デジタル化が加速する現代において、サイバーセキュリティはもはや一部の技術専門家だけの課題ではありません。個人から大企業に至るまで、誰もが直面する喫緊のテーマとなっています。しかし、「サイバーセキュリティ」という言葉からは、とかく専門的でとっつきにくいイメージや、華やかさに欠ける守りの技術という印象を持たれがちです。

今回、私たちはこの分野の最前線で活躍する1Passwordの最高製品責任者(Chief Product Officer)、Steve氏にお話を伺いました。彼はサイバーセキュリティのプロダクトリーダーとして、この分野のユニークな特性、未来を形作る技術革新、そして「人」を中心に据えた製品戦略について、その深い洞察を共有してくれました。本記事では、その対談内容を深く掘り下げ、読者の皆様がサイバーセキュリティの現在地と未来を多角的に理解できるよう、詳細なレポートをお届けします。

サイバーセキュリティの核心:プロダクトマネージャーに求められるもの

Steve氏によると、サイバーセキュリティの分野は、過去25年ほどの比較的新しい市場であり、その黎明期はWindowsのバグやトロイの木馬といった問題への対処から始まりました。アンチウイルス、VPN、ネットワークセキュリティといった防御技術が次々と生まれ、今やテクノロジー業界全体で最も急速に成長しているセグメントの一つとなっています。

しかし、この市場が他のテクノロジー分野と一線を画す最大の特長は、**「買い手がユーザーである」**という点にあります。一般的なエンタープライズソフトウェアでは、購入決定者と実際の利用者が異なるケースが多々ありますが、サイバーセキュリティ製品においては、製品を導入する担当者自身がその製品を日常的に利用することがほとんどです。このため、プロダクトマネージャーには独特のスキルセットが求められます。

Steve氏自身、ジャーナリズムを専攻しており、必ずしも技術的なバックグラウンドが豊富であったわけではありません。しかし、彼がサイバーセキュリティのプロダクトリーダーとして成功を収めた秘訣は、顧客がセキュリティについて何を考え、何を優先しているのかを深く理解し、彼らの言語で話す能力を培ったことにあります。

彼は、カスタマーサクセス、セールス、サポートといった顧客と直接対話するチームでキャリアをスタートさせました。これらの経験は、顧客の生の声を聞き、彼らが直面する課題やニーズを肌で感じる絶好の機会となりました。サイバーセキュリティのプロダクトマネージャーを目指す上で、技術的な専門知識はもちろん重要ですが、それ以上に顧客の視点に立ち、彼らのセキュリティ意識や運用の実態を深く掘り下げることが成功の鍵となるのです。

個人と企業の「最小限の防御」から「最先端の安全」まで

では、私たち個人や企業は、デジタル世界における脅威から身を守るために、どのような対策を講じるべきなのでしょうか。Steve氏は、まず個人が実践すべき最低限の防御策として、以下の3点を挙げました。

  1. 多要素認証(MFA)の利用:銀行やソーシャルログインなど、多くのオンラインサービスで提供されているMFAは、本人確認の信頼性を格段に高めます。パスワードが漏洩しても、追加の認証要素がなければ不正アクセスは困難になります。
  2. パスワードマネージャーの利用:パスワードの使い回しは、サイバー攻撃の最も一般的な原因の一つです。パスワードマネージャーは、強力でユニークなパスワードを自動生成し、安全に保存・管理することで、このリスクを大幅に軽減します。最近AT&Tが1年分を超える通話記録とテキスト記録の漏洩を発表しましたが、約80%のセキュリティ侵害は「人間的要因」に起因すると言われています。複雑で覚えにくいパスワードを使い回すのではなく、パスワードマネージャーに任せることで、人間的エラーによるリスクを減らすことができます。
  3. デバイスの最新状態維持:オペレーティングシステム(Windows、macOS、iOSなど)やWebブラウザ(Chromeなど)は、常に最新バージョンにアップデートしておくことが不可欠です。最新のアップデートには、新たな脆弱性へのパッチが含まれており、これらを怠ると攻撃者につけ入る隙を与えることになります。セキュリティは「後付け」ではなく、製品やシステムに「組み込まれた」状態であることが現代のトレンドであり、デバイスのアップデートはその基礎をなします。

1Passwordは、これらの基本的な防御策を個人ユーザーに提供するだけでなく、15万社を超える企業顧客に対しても幅広いサイバーセキュリティソリューションを提供しています。個人向けの使いやすさと企業向けの堅牢な管理機能を両立させている点は、業界でも珍しい存在です。

パスワードレス時代の夜明け:パスキーが変える認証体験

デジタルライフにおけるパスワードの煩わしさは、誰もが感じるところでしょう。複雑なパスワードをいくつも記憶し、定期的に変更し、それでもなお漏洩のリスクに晒されるという現状は、パスワードレスへの移行を求める大きな原動力となっています。

Steve氏は、このパスワードレスの未来を実現する鍵として**パスキー(Passkey)**を挙げ、彼自身が10年以上にわたりFIDO Alliance(オンライン認証の標準化団体)に関わってきた経験から、その可能性に大きな期待を寄せています。パスキーは、ユーザーのデバイスにローカルに保存される秘密鍵と、サービスプロバイダーのクラウドに保存される公開鍵の組み合わせによって機能します。彼はこの仕組みを、ハリー・ポッターの「分霊箱」になぞらえ、秘密鍵が複数の場所に分散して存在することで、単一の漏洩から身を守る安全性を説明しました。

パスキーの最大の利点は、その**「使いやすさ」と、それに伴うセキュリティの強化**です。従来の多要素認証が追加の手順を必要としたのに対し、パスキーは生体認証(指紋や顔認証)と連携することで、よりシームレスなログイン体験を提供します。これにより、フィッシング攻撃に対する耐性も高まります。

この革新的な技術は、Apple、Google、Microsoftといった主要なテクノロジー企業によって積極的に推進されています。Gmail、Amazon、PayPalなど、私たちの日常生活に深く根ざした多くのサービスでパスキーの利用が可能になりつつあります。1Passwordは、passkeys.directoryというパスキー対応サービスをまとめたデータベースを提供しており、1年半前にはわずか13だった対応サービスが、現在では150以上に急増しているとのこと。これは、パスキーが単なる技術トレンドではなく、現実世界で急速に普及しつつあることを示しています。消費者が使いやすいと感じる技術が、最終的にB2B市場にも浸透していくという流れは、サイバーセキュリティ業界に大きな変化をもたらすでしょう。

1Passwordのユニークなプロダクト戦略:B2CからB2Bへの自然な成長

1Passwordの製品戦略は、個人ユーザーから大企業まで幅広い顧客層をカバーしているという点でユニークです。通常、企業はB2BかB2Cのどちらかに特化することが多いですが、1Passwordは両方を大規模にサポートしています。

その背景には、1Passwordの創業者がリモートワークを強く志向していたという創業時のエピソードがあります。18年前、まだリモートワークが一般的でなかった時代に、彼らは自分たちの働き方を実現するために会社を立ち上げました。その際の哲学は「優れた製品を作り、顧客を徹底的にサポートする」というシンプルなものでした。創業当初は、エンジニアとサポート担当者のみで構成されており、プロダクトマーケティングやセールス部門は後から拡充されました。

この「顧客中心」のアプローチが、1PasswordのB2Bビジネスを自然な形で成長させました。個人ユーザーが1Passwordの利便性と安全性を実感し、それを自分の職場のパスワード管理にも応用し始めたのです。従業員が自主的に製品を職場に持ち込み、部署内で共有し、その価値が組織全体に波及していく。まさに**「プロダクト・レッド・グロース(PLG)」**の理想的な形が、この会社には創業当初から存在していました。Steve氏自身も、PLGは単なるマーケティング用語ではなく、「顧客が製品を理解し、製品が顧客を理解するフィードバックループ」こそがその本質であると語っています。現在では、1Passwordのビジネスの約2/3がB2B顧客からの収益で占められており、その成長は目覚ましいものがあります。

変化に対応する製品開発と組織の構築

1Passwordのプロダクトチームは現在約100人の規模で、プロダクトマネージメント、プロダクトマーケティング、デザイン、テクニカルアライアンス、プロダクトオペレーションといった多岐にわたる機能を擁しています。このような組織で、既存の主力製品(パスワードマネージャー)を改善しつつ、新たにExtended Access Managementのような新規製品を開発していくことは、絶妙なバランス感覚が求められます。

Steve氏は、このバランスを「イテレーションモード」と「ゼロ・トゥ・ワンモード」という二つのフェーズで説明します。

  • イテレーションモード(既存製品): 15万社を超える既存顧客を抱える主力製品においては、提供する機能一つ一つに細心の注意を払う必要があります。PM、デザイナー、エンジニアは、NPS(顧客推奨度)や成長率を目標に掲げ、ユーザーエクスペリエンスの継続的な改善に注力します。ここでは、安定性と信頼性が最優先されます。
  • ゼロ・トゥ・ワンモード(新規製品): Extended Access Managementのような新しい製品の開発においては、より迅速な学習とイテレーションが求められます。顧客との対話を通じてフィードバックを迅速に収集し、素早く製品に反映させることで、市場のニーズに合致した製品を早期に確立することを目指します。

これらの異なるフェーズで成功を収めるためには、組織内の人材戦略も重要です。Steve氏は、変化に強く、意思決定の変更にオープンな人材を見つけることの重要性を強調しました。特に、新規製品開発のチームでは、頻繁な方向転換や新たな学びへの適応力が不可欠です。

また、既存製品の改善に携わるチームの士気を維持することも重要な課題です。新規製品はとかく注目を集めがちですが、Steve氏は、既存製品が15万社以上の顧客に与える計り知れない影響を常にチームに認識させることで、彼らの仕事の価値と貢献を称賛しています。

1Passwordのセキュリティ原則:データ保護への揺るぎないコミットメント

サイバーセキュリティ製品である以上、その製品自体の安全性は最も重要な要素です。1Passwordは、そのセキュリティモデルを「ローカルファーストSaaSサービス」と表現しています。これは、ユーザーの各デバイスに、暗号化されたユニークな秘密鍵が保存され、それがマスターパスワードまたは生体認証と組み合わされて利用されるという仕組みです。

1Passwordのシステムに同期されるすべてのデータは完全に暗号化されており、同社はユーザーの秘密鍵の一部しか持っていません。つまり、1Password側はユーザーのパスワードデータを見ることは文字通り不可能なのです。この「ゼロ知識暗号化」の原則により、仮に1Passwordのシステムが何らかの攻撃を受けたとしても、ユーザーの機密データが漏洩するリスクは極めて低いと言えます。

Steve氏は、この仕組みによって「夜ぐっすり眠れる」と語ります。パスワードが流出する可能性は常に存在するという前提のもと、たとえサービスプロバイダー側が侵害されても、肝心のデータは安全に保たれるよう設計されているのです。1Passwordは、単にパスワードを管理するツールではなく、ユーザーのデジタルアイデンティティを保護し、安心してデジタル世界を航海するための「インターネットへの玄関」としての役割を担っています。

競争環境と未来への視点

サイバーセキュリティ業界は常に進化しており、競争も激しいものです。Apple、Google、Microsoftといった巨大なIT企業が、自社製品にパスワード管理機能やパスキーを統合している状況について、Steve氏はこれを脅威とは捉えていません。むしろ、これらの大手企業が「はるかに大きな拡声器」を持ってパスワード管理やパスキーの重要性を訴えることで、市場全体の認知度が高まり、1Passwordのようなプレミアムなソリューションへの需要も喚起されると考えています。

近年、パンデミックをきっかけにリモートワークが普及したことで、企業におけるIT環境は大きく変化しました。Gartnerの推定によると、現在、仕事で使われるアプリの数は2019年と比較して2倍になっており、そのうち30〜40%はIT部門に認知されていない**「シャドウIT」**であると言われています。これらの無許可のアプリは、企業のセキュリティリスクを増大させる要因となっています。

1Passwordの新規製品であるExtended Access Managementは、このようなシャドウITがもたらす課題に対応するために開発されました。この製品は、企業が外部から流入するすべてのSaaSアプリケーションを可視化し、それらを管理するか、あるいは利用を制限するかを決定できるようにします。ITセキュリティの役割は、もはや「内部からすべてをコントロールする」という閉鎖的なものではなく、「外部からのインフローを管理し、信頼できるものは取り込み、そうでないものは適切に制御する」という、よりコラボレーション的なアプローチへとシフトしているのです。

Steve氏は、サイバーセキュリティを「予防的なプライマリケア」に例えます。悪いことが起こるリスクを軽減するために、日頃から適切な対策を講じることが重要であるという考え方です。企業は、事業運営上許容できるリスクと許容できないリスクを明確に区別し、後者を積極的に排除していく必要があります。データ侵害が企業に与える風評被害や財務的損害は計り知れないため、プロアクティブなセキュリティ対策が不可欠です。

未来の認証技術についても、生体認証がさらに普及していくと予測されます。Face IDやAmazon Goのパームスキャン認証のように、生体情報を活用した認証は私たちの生活に浸透し始めています。しかし、ここにも課題が存在します。指紋や顔のパターンはパスワードのように簡単に変更できるものではないため、生体情報が漏洩した場合のリスクは甚大です。また、AIによる音声クローン(ディープフェイク)のように、高度な技術を使った偽装も現実のものとなりつつあります。

このような脅威が増す中で、**「行動の背後にある『人間』の意図」を証明する「本人確認」**の重要性はますます高まるでしょう。1Passwordは、常に「人」のデジタルアイデンティティに紐付いているという点で、この分野で非常にユニークな立ち位置を占めています。異なる生体認証システムが相互運用できないという課題に対し、1Passwordは、信頼できる方法でデジタルと物理的アイデンティティを結びつけ、安全な「分散型アイデンティティ」のワークフローを実現することを目指しています。

まとめ

サイバーセキュリティは、技術の進化とともに常に変化し、新たな課題を生み出し続ける分野です。しかし、1PasswordのChief Product OfficerであるSteve氏の言葉からは、その複雑さの中にも、明確なビジョンと揺るぎない原則が存在することが伝わってきました。

サイバーセキュリティは、単なる防御策ではなく、デジタル世界における「信頼」の基盤を築くためのものです。技術革新を追求しつつも、常に「人」を中心に据え、ユーザーが意識することなく安全かつ生産的に活動できる環境を提供すること。そして、企業が変化する脅威の状況において適切なリスク管理を行えるよう支援すること。

1Passwordは、製品主導の成長、顧客中心の哲学、そしてセキュリティに対する深いコミットメントを通じて、この目標の実現に向けて邁進しています。パスワードレス時代へと移行する中で、同社がどのように私たちのデジタルライフをより安全で、よりシンプルに、そしてより信頼できるものへと導いていくのか、今後の動向に注目していきましょう。

← 一覧に戻る