OSSのサプライチェーンを守る — Chainguard $3.5Bの理由

World Startup Report

ソフトウェアサプライチェーンの危機

2020年12月、世界中のIT部門に衝撃が走った。SolarWindsという企業のソフトウェアアップデートにマルウェアが仕込まれ、米国政府機関を含む18,000以上の組織が影響を受けたのだ。攻撃者はSolarWindsのビルドシステムに侵入し、正規のアップデートに見せかけてバックドアを配布した。

公開情報によると、

2021年末にはLog4Shell脆弱性が発見された。Javaの広く使われているログライブラリLog4jに致命的なセキュリティホールが見つかり、世界中のサーバーの推定40%以上が影響を受けた。この脆弱性の修正には、多くの企業が数か月を要した。

これらの事件が明らかにしたのは、現代のソフトウェアが依存する「サプライチェーン」の脆弱さだった。現代のアプリケーションは、その90%以上がオープンソースソフトウェア（OSS）のコンポーネントで構成されている。つまり、自社が書いたコードではなく、世界中の開発者が公開したコードの上に成り立っている。このサプライチェーンのどこか一箇所に脆弱性があれば、すべてが崩れる。

元Googleエンジニア4人の挑戦

Chainguardは2022年、4人の元Googleエンジニアによって創業された。CEO のDan Lorenc、CTO のMatt Moore、VP of Engineering のScott Nichols、Head of Open Source のVille Aikas。全員がGoogleでKubernetesやコンテナセキュリティに関わっていたエンジニアだ。

Dan LorencはGoogleでソフトウェアサプライチェーンセキュリティのチームを立ち上げた人物だ。SigstoreやSLSAといったオープンソースのセキュリティフレームワークの生みの親でもある。Googleという世界最大級のソフトウェア企業で、コンテナイメージのセキュリティに取り組んできた経験が、Chainguardの原点となった。

4人

Google出身の創業メンバー

$892M

累計調達額

$3.5B

最新評価額（Series D）

彼らがGoogleで学んだのは、セキュリティは後付けでは機能しないということだった。従来のセキュリティツールは、脆弱性が発見された後にスキャンして警告を出す「事後対応型」だった。しかし、Googleが内部で実践していたのは、そもそも脆弱性が入り込まない環境を作る「予防型」のアプローチだった。

Chainguardが守るもの

Chainguardのコアプロダクトは「Chainguard Images」だ。これは、セキュリティを最優先に設計されたコンテナイメージのライブラリである。

コンテナイメージとは何か。現代のソフトウェア開発では、アプリケーションを「コンテナ」と呼ばれる独立した実行環境にパッケージングして動かすのが主流だ。DockerやKubernetesといった技術が広く普及し、ほぼすべてのクラウドアプリケーションがコンテナ上で動いている。

従来のコンテナイメージ vs Chainguard Images

従来

脆弱性だらけ

一般的なコンテナイメージには数百の既知の脆弱性（CVE）が含まれる。不要なパッケージが大量に同梱

Chainguard

ゼロCVE

最小限のパッケージのみ。毎日自動リビルド。既知の脆弱性ゼロを維持。署名・SBOM付き

問題は、Docker Hubなどで公開されている一般的なコンテナイメージの多くが、数百もの既知の脆弱性（CVE）を含んでいることだ。例えば、広く使われているNode.jsの公式イメージには、ある時点で700以上のCVEが報告されていた。開発者はそのことすら知らずに、脆弱なイメージの上にアプリケーションを構築してしまう。

Chainguard Imagesは、この問題に対して根本的なアプローチを取る。まず、イメージに含めるパッケージを最小限に絞る。不要なシェル、パッケージマネージャ、ライブラリを排除し、アプリケーションの実行に必要なものだけを残す。次に、すべてのイメージを毎日自動的にリビルドし、最新のセキュリティパッチを即座に反映する。そして、各イメージにSBOM（ソフトウェア部品表）とデジタル署名を付与し、サプライチェーン全体の透明性を確保する。

0 CVE

既知の脆弱性数（目標値）

毎日

イメージの自動リビルド

1,000+

提供イメージ数

ARR $40Mから$100Mへの1年

Chainguardの成長速度は、エンタープライズSaaSとしては異例の速さだ。

1
2022年 — 創業・Series A（$50M）4人のGoogleエンジニアが設立。Sequoia Capital主導。オープンソースのSigstoreプロジェクトをベースに事業化。
2
2023年 — Series B（$61M）Chainguard Imagesの正式リリース。エンタープライズ企業からの導入が始まる。
3
2024年前半 — ARR $40M突破急速な顧客獲得。金融、ヘルスケア、政府機関など規制産業からの需要が急増。
4
2024年後半 — Series C（$140M）評価額が急上昇。プロダクトラインを拡充し、エンタープライズ向け機能を強化。
5
2025年 — Series D（$356M）・ARR $100M評価額$3.5B。1年でARRが2.5倍に。累計調達額$892M。サプライチェーンセキュリティの代名詞的存在に。

ARR（年間経常収益）が1年で$40Mから$100Mへ — これは驚異的な成長率だ。エンタープライズSaaSの世界では、「T2D3」（前年比3倍成長を2年、2倍成長を3年）が理想的な成長曲線とされるが、Chainguardはそれを上回るペースで成長している。

この急成長の背景には、規制環境の変化がある。2021年のバイデン大統領による「サイバーセキュリティ強化に関する大統領令」をはじめ、各国政府がソフトウェアサプライチェーンのセキュリティを義務化する動きが加速している。SBOMの提出義務化やゼロトラストアーキテクチャの推奨など、Chainguardのプロダクトがまさに市場の追い風を受けているのだ。

日本企業への示唆

日本においても、ソフトウェアサプライチェーンセキュリティは急速に重要性を増している。経済産業省は2023年に「ソフトウェア管理に向けたSBOMの導入に関する手引き」を公開し、SBOMの活用を推進している。

日本企業の多くは、コンテナ化とクラウドネイティブへの移行が欧米に比べて遅れている。しかし、それは逆に言えば、移行時に最初からセキュアな基盤を選択できるチャンスでもある。レガシーシステムの刷新期に、Chainguardのようなセキュアなコンテナイメージを標準採用することで、技術的負債を抱えずに済む。

特に金融機関、医療機関、製造業など、規制の厳しい業界では、ソフトウェアサプライチェーンの可視化と管理が今後必須となる。日本市場には、Chainguardの思想を日本の規制環境に適応させるスタートアップの機会がある。

日本のスタートアップが学べること

Chainguardの物語は、テクノロジーの深い専門性とタイミングの重要性を教えてくれる。

1
「規制の波」をビジネスチャンスに変えるサプライチェーンセキュリティの義務化という規制の波が、Chainguardに巨大な市場を開いた。日本でも、個人情報保護法の改正、マイナンバー制度、デジタルガバナンス・コードなど、規制がテクノロジー導入を後押しする場面は多い。規制をコストではなく機会と捉える視点が重要だ。
2
オープンソースからビジネスを作るChainguardはSigstoreというOSSプロジェクトをベースに事業化した。オープンソースでコミュニティの信頼を築き、その上にエンタープライズ向けの商用プロダクトを構築する。このモデルはRed Hat、Elastic、HashiCorpなど多くの成功事例がある。
3
「見えない問題」を可視化するビジネスソフトウェアサプライチェーンの脆弱性は、事故が起きるまで見えない。Chainguardはこの「見えない問題」を可視化し、解決策を提供した。日本でも、ITインフラの老朽化、セキュリティの盲点、技術的負債など、「見えないリスク」を可視化するビジネスには大きな機会がある。

ARRが1年で$40Mから$100Mに成長した。累計調達額は$892M。評価額は$3.5B。これらの数字の裏にあるのは、4人のエンジニアが「ソフトウェアの安全な基盤を作りたい」という純粋な技術的使命感から始まったプロジェクトだ。

セキュリティは「コスト」ではなく「競争優位」になる時代が来ている。Chainguardが証明したのは、「当たり前のことを当たり前にできる」基盤を提供することの巨大な価値だ。OSSのサプライチェーンを守る — その地味だが不可欠な仕事が、$3.5Bの企業を生んだ。

信頼できるソフトウェアを、
当たり前に。
それがChainguardの使命だ。

現代のソフトウェアは90%以上がOSSで構成される。その基盤を「デフォルトでセキュア」にする。4人のGoogleエンジニアが始めた仕事は、インターネットの信頼性そのものを守っている。

OSSのサプライチェーンを守る。Chainguard $3.5Bの理由