Cylake $45M調達が突きつける「データ主権×AI-native」セキュリティの必然性 ── パブリッククラウド不要アーキテクチャとPalo Alto創業者の挑戦が示す政府・重要インフラ防御の経済モデル

2026年3月5日、Palo Alto Networks創業者のNir Zuk氏らが立ち上げたCylakeは、AI-nativeセキュリティの新しい前提を明確にした。焦点はモデル性能そのものではなく、どこでデータを処理し、誰が運用主権を持つかである。同社は同日、Greylock主導で4,500万ドルのシード調達を公表し、製品提供時期を2027年初頭としている。公開情報から読み取れるのは、「データ主権要件を持つ組織が、最上位のセキュリティ選択肢から構造的に排除される」市場歪みを埋めることが、同社の中核仮説であるという点である。

Cylakeが定義した新カテゴリ: 「クラウド非依存」のAI-nativeセキュリティ

Cylakeの2026年3月5日発表では、同社プラットフォームは「パブリッククラウド不要」で、オンプレミスまたはプライベートクラウド内で完結する設計とされる。これは単なるデプロイ先の選択肢ではない。AI-native防御の前提となるテレメトリ統合、文脈付与、エージェント実行を、顧客の主権境界内に閉じ込めるアーキテクチャ思想である。

同発表では、対象顧客を「世界最大級かつ最も規制の厳しい組織」と定義している。政府機関、重要インフラ、金融・医療などでは、機密データや運用メタデータを外部クラウドへ常時送信する前提が、法令・契約・国家安全保障要件と衝突しやすい。Cylakeはこの制約を“例外”ではなく“市場の中心要件”として扱い、AI-native機能を主権境界内で成立させることを差別化軸に置いている。

なぜ2026年に需要が顕在化したのか: 規制適用日が揃った市場環境

需要側の圧力は、2024年から2025年にかけて制度的に強まった。EUのNIS2指令（Directive (EU) 2022/2555）は、加盟国に対し2024年10月17日までの国内法化を要求し、2024年10月18日以降の適用フェーズへ移行した。加えて、金融分野ではDORA（Regulation (EU) 2022/2554）が2025年1月17日から適用され、ICT第三者リスクと運用レジリエンスに対する実装責任が明示化された。

ここで重要なのは、規制が特定クラウド事業者の利用可否を直接決めるというより、責任の所在と統制可能性を厳格に問う点である。つまり、AI機能が高度であっても、監査証跡・データ所在・運用権限が説明不能なら採用しづらい。Cylakeが掲げる「データ主権と運用主権の両立」は、この規制環境下で調達要件に直結しやすい設計思想だと解釈できる。

経済モデルの要点: CapEx回帰ではなく「統制コスト最適化」

「パブリッククラウド不要」を、単純なオンプレ回帰として理解すると本質を外す。実際の論点は、(1) データ移送と境界横断に伴うコンプライアンス摩擦コスト、(2) 監査・責任分界の調整コスト、(3) 重大インシデント時の説明責任コスト、をどこで最小化できるかである。

AI-native防御は、より多くのテレメトリを集約するほど性能が上がる一方、境界外転送が増えるほど法務・監査・ガバナンス負荷が増える。Cylakeのような主権内完結型は、モデル運用の俊敏性で一部トレードオフを抱える可能性があるが、規制産業では「導入可能性の確実性」が総所有コスト（TCO）を左右する。したがって同社の経済仮説は、最安実行コストの追求ではなく、高規制環境で採用停止リスクを下げることで期待ROIを改善する点にある。

競争地図への示唆: 「性能競争」から「主権適合競争」へ

Greylockの公開コメントは、Cylakeを「AI-native、agentic、holistic data and context」による次世代防御と位置づけた。注目すべきは、これを汎用エンタープライズ向けではなく、主権要件が強いセグメントの未充足需要として明示した点である。これはカテゴリ設計として合理的である。なぜなら、同一のAI性能でも、主権適合性が欠ければ入札や本番導入で落選しうるからである。

2027年初頭の提供開始が計画通り進むかは今後の検証課題だが、2026年時点で既に明確なのは、データ主権を「制約」ではなく「競争要件」として設計できる企業が、政府・重要インフラ市場で優位に立つという構造変化である。Cylakeの挑戦は、AI-nativeセキュリティ市場が今後、性能ベンチマークだけでなく、主権境界内での運用完全性と監査可能性を中心に再編される可能性を示している。

FAQ

Cylakeの「パブリッククラウド不要」は何を意味するのか？

2026年3月5日の公式発表では、同社はオンプレミスまたはプライベートクラウドで運用できる主権完結型アーキテクチャを掲げている。データと運用制御を顧客境界内に保持する設計を意味する。

なぜデータ主権が2026年に再注目されているのか？

NIS2の適用フェーズ移行（2024年10月18日）やDORA適用開始（2025年1月17日）で、重要業界における責任分界・監査可能性・第三者リスク管理が厳格化したためである。AI機能の高度化と規制実装が同時進行したことが背景にある。

Cylakeの経済モデルは既存クラウド型セキュリティと何が違うのか？

主眼はランニングコスト最小化ではなく、導入停止・監査不適合・責任分界不明確による事業リスクを下げる点にある。高規制業界では、このリスク低減が実質的なROI改善に直結しやすい。

製品提供時期はいつか？

Cylakeの2026年3月5日発表では、製品提供は2027年初頭を予定としている。現時点では設計パートナーと開発を進める段階である。

参考文献

• Cylake Launches to Bring Complete, AI-Native, Data-Driven Cybersecurity... — GlobeNewswire (Cylake), 2026-03-05
• Introducing Cylake: AI-Native Cybersecurity with Total Data Sovereignty — Greylock, 2026-03-05
• Cylake Official Site — Cylake, accessed 2026-04-16
• Directive (EU) 2022/2555 (NIS2) — EUR-Lex, 2022-12-27 (transposition deadline: 2024-10-17)
• Regulation (EU) 2022/2554 (DORA) — EUR-Lex, 2022-12-27 (application date: 2025-01-17)