注目ベンチャー紹介：BlueFlag Security

Written by Yusaku Masunaga

‍

今回の注目ベンチャーの紹介はBlueFlag Securityです。
BlueFlag Security は、ソフトウェア開発ライフサイクル（SDLC: Software Development Life Cycle）におけるIDや脆弱性などを統合的に管理し、セキュリティガバナンスを強化するプラットフォームを提供しています。

BleuFlag Security

https://www.blueflagsecurity.com/

‍

サービス／プロダクト概要

SDLCにおける「開発者（人的／機械的）アイデンティティ」「ツールの構成・状態」「オープンソース／コードの脆弱性」などを統合的に管理・可視化し、セキュリティガバナンスを強化します。

• 開発者・サービスアカウントなどの過剰な権限の検出と削減。 
• 開発ツールやCI/CDパイプラインにおける構成ミスや設定の不備をモニタリングし、ベストプラクティスに沿った状態の維持。 
• 秘密情報（シークレット／トークン等）の漏洩検出。  
• オープンソース依存性のリスク管理（脆弱性・ライセンスの健全性・パッケージ品質等）。
• 行動・挙動の異常検知、IDガバナンス、継続的コンプライアンス保証。
• プラットフォームは多数の既存ツール／サービスと統合可能で、GitHub/GitLabなどのリポジトリ、IAMシステム（Okta, Microsoft Entraなど）、CI/CDツール、OSSレポジトリ、SAST／DAST／SCAツールなど多様なデータソースをカバー。

‍

‍

特徴・提供価値

• アイデンティティ優先アプローチ：人も機械も含むアイデンティティを、SDLCセキュリティの中心要素と位置付け、過剰な権限や誤ったアクセスが攻撃経路になる前に対策。
• マルチレイヤー防御：コード、ツール、アイデンティティなど複数の攻撃ベクトルを同時に守る設計。
• プロアクティブなリスク管理と可視化：開発パイプライン・ツール構成の不備・権限の異常などを早期に検出し、優先順位をつけて是正できる。
• 開発者との協調：セキュリティが開発者の障害にならないよう、ツールへの統合を重視しつつ、開発効率を損なわない工夫。
• コンプライアンスおよびガバナンスの強化：継続的な監査・ポリシー遵守を支援し、企業レベルで求められるセキュリティ基準を満たすための機能。

‍

ビジネスモデル

• SaaS型サブスクリプション。開発者アイデンティティ数、ツール数、統合先／データソース数等に応じて価格が変動。

‍

なぜ今この会社なのか

• ソフトウェアサプライチェーン攻撃の頻度が増加しており、従来のコードスキャンやOSS脆弱性だけでは対処が不十分という認識が強まっている。
• 開発者／機械のアイデンティティの管理（認証・権限管理・アクセスの見える化など）が、SDLC中での盲点となることが多く、そこを補完するソリューションへの需要が高い。
• 多くの企業が DevOps／DevSecOps を導入しており、セキュリティの早期統合やガバナンス・ポリシーの自動化が求められている。
  

‍

顧客・競合・パートナー

• 競合は以下のような会社が含まれる。
  
  • 従来のアイデンティティ管理／アクセス管理ツール（IAM／CIEMなど）を提供するOkta、Ping Identity 等。これらはアイデンティティ管理に注力してきたが、SDLC の開発ツール・コード・OSS依存性など開発ライフサイクル全体を統合的に見る機能にも侵食。
  • ソフトウェアサプライチェーン／OSSセキュリティの会社（Snyk、GitHubのDependabot機能、WhiteSourceなど）は、OSS脆弱性や依存性問題に焦点を当てている部分で競合。
  • 開発ツール／CI/CDプラットフォームと連携してセキュリティを提供するスタートアップ。開発パイプラインのポスチャー管理やツール構成チェックを提供するプレイヤー
• 一方で、多数の既存開発／セキュリティツールとの統合機能を持っており、リポジトリやIAMなどはパートナー関係でもある。
  ‍

‍

‍

こちらの記事に対するお問い合わせやMTGの依頼などはこちらのアドレスからお気軽にご連絡ください。

info@tgvp.vc

TGVPは米国を中心としたスタートアップ企業とTOPPANグループの連携を推進しております。

‍