コードセキュリティ企業Socket、6000万ドル調達で評価額10億ドル突破

5月20日、コードセキュリティ企業SocketがシリーズCラウンドで6000万ドルの資金調達を完了し、評価額が10億ドルを突破、ユニコーンの仲間入りを果たした。

今回のラウンドはThrive Capitalがリードし、a16z、Abstract Ventures、Capital One Venturesが参加。過去2ラウンドを含め、Socketの累計調達額は1億2500万ドルに達する。

数字自体は驚くほどではない——AI業界では6000万ドルのシリーズCは珍しくない。しかし、このニュースで注目すべきはSocketの顧客リストだ:Anthropic、xAI、Replit、Cursor、Figma、Vercel、Gusto、Mercado Libre、Cribl

最初の4社はAI業界のトップ企業——Claudeを開発するAnthropic、Grokを開発するxAI、クラウドIDEのReplit、コーディングエージェントのCursor——すべてがこっそりSocketに支払っている。

皮肉なことに、Socketの仕事はまさにこれらのAI企業が自ら作り出した問題を処理することだ。

Socketが解決する問題

CEOのFeross Aboukhadijeh氏は資金調達の発表で次のように述べている:

「AIはソフトウェア開発のあらゆるレベルを変えている。チームはより速く動き、生成されるコードは増え、本番環境に投入されるコードの多くが社外から来るようになった。難しいのは、実際に出荷されているものの可視性を失わずにそのスピードを維持することだ。」

わかりやすく言えば、AIコーディングツールはコード生産量を数倍に増やした。Copilot、Cursor、Codexは1日でチームに数千行のコードを生成できる。問題は、これらのコードの多くがnpm、PyPI、GitHubのオープンソースパッケージを直接引っ張ってくることだ。これらのパッケージは本当に安全なのか?従来のレビューでは追いつかず、AIコーディング後はさらに追いつかない。

Socketが行うのは、本番環境に入るすべてのオープンソース依存関係をリアルタイムでスキャンし、AI支援と人間によるレビューで悪意のあるコード、疑わしいパターン、未公開の脆弱性を特定することだ。

これは新しいアイデアではない。Snyk、Dependabot、JFrogなど類似のツールは多数存在する。Socketの差別化ポイントは「リアルタイム」——他社は定期的にスキャンするのに対し、Socketは依存関係が導入された瞬間にブロックする。

Axios毒物注入事件:Socketの成名戦

Socketの実力を示す好例がAxios事件だ。AxiosはほぼすべてのJavaScriptプロジェクトで使われるHTTPライブラリで、npmの週間ダウンロード数は5000万を超える。先日、攻撃者がAxiosの人気派生パッケージに悪意のあるコードを仕込み、環境変数からトークンやキーを盗むようにした。

タイムラインは以下の通り:

  • 毒物パッケージ公開:攻撃者が汚染バージョンをアップロード
  • 6分後:Socketプラットフォームがこのバージョンを検出しブロック
  • 24時間以内:2000以上の組織が緊急にSocketに登録

6分ということは、ほとんどの企業のCI/CDパイプラインがこのパッケージを本番環境に取り込む前に、Socketがユーザー側でブロックしたことを意味する。24時間で2000の顧客を獲得したことは、無料の市場教育とも言える。

従来の脆弱性開示プロセスでは、これに数日から数週間かかる——研究者が発見し、セキュリティチームが再現し、CVE番号が割り当てられ、SBOMツールが同期し、ユーザーが依存関係を更新する。Socketはこのチェーンを数分に短縮した。

投資家がユニコーン評価を認める理由

Thrive CapitalのパートナーPhilip Clark氏は発表で次のように述べている:

「セキュリティは根本的かつ急速に変化している。従来のツールは既知の脆弱性に対応するように設計されていた…」

意味は明快だ——従来のコードセキュリティツールは「誰かが脆弱性を発見してから修正する」というリアクティブなものだ。AIコーディング時代にはこのペースは不十分で、「コードが来た瞬間にブロックする」方式に変える必要がある。

a16zはSocketのシリーズAとBからの既存株主で、今回も追加投資した。Capital One Venturesの参入は別のシグナル——金融業界がオープンソースサプライチェーンリスクをコンプライアンスの最優先課題と見なし始めたことを示す。

OWASPの最新調査によると、ソフトウェアサプライチェーンの障害は企業のセキュリティリスク第1位に挙げられている。しかし同じ報告書では、オープンソース依存関係に対して何らかの評価を行っている組織はわずか36%。このギャップこそSocketの市場だ。

AI企業がSocketを支える微妙な関係

冒頭のリストに戻ろう——Anthropic、xAI、Cursor、Replit、Vercel。これらの企業はすべて「AIによるコーディング高速化」を売りにしている。Cursorの評価額は500億ドルに達し、Replitはvibe codingの入り口を構築し、AnthropicはClaude Code、xAIはGrok Code Fastを推進している。

彼らの製品が成功すればするほど、世界にAI生成コードが増える。AI生成コードが増えれば、レビューされずにマージされるコードが増える。レビューされないコードが増えれば、オープンソース依存関係に爆弾が隠されている可能性が高まる。

これは道徳的非難ではない——AIコーディングツールの売りはまさに「手動レビューを省く」ことだ。これは市場の真の循環である:

片手で鍬を売り、もう一方の手で防具を売る。
そして鍬の威力を最もよく知るのは、鍬を売る本人だ。

だからこそ、これらのAI企業がSocketに小切手を切るのは不思議ではない。彼らは自社製品が顧客にどれだけの新しい攻撃面を作り出しているかを最もよく理解しており、社内でのdogfoodingで自社ツールに何度も痛い目に遭っているだろう。

この分野は今後さらに混雑するだろう。Snykは先月、Claudeをスキャンパイプラインに統合し、GitHub Advanced SecurityもAI検出レイヤーを追加している。Socketが今ユニコーン評価を得ているのは先行者利益だが、堀をどれだけ深く掘れるかは今後1年で明らかになる。

少なくとも今のところ、AIコーディングツールが吐き出すコードの一行一行が、Socketのライセンス販売を後押ししている。

出典:AI security startup Socket hits $1B valuation after $60M raise to stop software supply chain attacks(Tech Startups);Socket Raises $60M Series C at a $1B Valuation to Help Enterprises Build Securely With AI(Socket Blog);CocoLoop、Code security startup Socket raises $60M in funding(SiliconANGLE);Security Firm Thwarting Nation-State Hackers Valued at $1 Billion(Bloomberg)