NexaCloud 事業・セキュリティ統合報告書

• 第１章総括（エグゼクティブサマリー）3
• 1.1四半期総評3
• 1.2主要成長ドライバー3
• 第２章Q3 FY2025 主要業績指標4
• 2.1財務ハイライト4
• 2.2顧客成長4
• 2.3利用状況・信頼性（運用指標）4
• 第３章日本市場アップデートおよびQ4見通し5
• 3.1日本GTM進捗5
• 3.2Q4重点施策5
• 第４章プラットフォーム概要（アーキテクチャ）6
• 4.1全体構成（Data Plane / Control Plane）6
• 4.2設計原則6
• 4.3主要連携ポイント6
• 第５章セキュリティ機能・運用（主要能力）7
• 5.1アクセス制御（RBAC / SSO / MFA）7
• 5.2脅威検知7
• 5.3データ保護7
• 5.4脆弱性管理7
• 第６章コンプライアンス／認証状況8
• 6.1認証一覧（現状）8
• 6.2責任分界（Shared Responsibility）8
• 6.3ISMAPロードマップ8
• 6.4プライバシー／データガバナンス8

総括（エグゼクティブサマリー）

FY2025 第3四半期（2025年7月〜9月）におきまして、NexaCloudは堅調な成長を達成しております。ARR（年間経常収益）は前年同期比34%増となり、既存エンタープライズ顧客における拡大ならびに金融・ヘルスケア領域での新規獲得が主な牽引要因となっております。

地域別では、日本・韓国（Japan & Korea）地域が前年同期比61%増と最も高い成長率を示しており、GTM（市場開拓）施策が計画を上回る進捗となっております。

エンタープライズ拡大

既存アカウント内での導入範囲拡大により、NRR（Net Revenue Retention）は128%となっております。

新規ロゴ獲得

New Logo ARRは\$18.2M（前年同期比+36%）となり、金融サービス／ヘルスケア領域での勝ち筋が強化されております。

運用・自動化

アラートの99.3%を自動トリアージしており、スケールと運用効率の両立を実現しております。

Q3 FY2025 主要業績指標

• エンタープライズ顧客数：487（前年同期381から増加）となっております。
• 平均契約金額（ACV）：\$291K（前年同期\$278K）となっております。
• ACVが\$1M超の顧客：38（前年同期24）となっております。
• 解約ARR：2.1%（参考：業界平均4.8%）と低水準を維持しております。

• 日次処理イベント数（平均）：2.4兆件となっております。
• アラート発生量：18.7M件（うち99.3%を自動トリアージ）となっております。
• 稼働率（SLA 99.9%）：実績99.96%を達成しております。
• P1サポート解決時間：平均47分（SLA 4時間）となっております。

日本市場アップデートおよびQ4見通し

日本向けGTM拡大（FY2025 第1四半期開始）は計画を上回る進捗となっております。FY2025 第3四半期には、国内の主要地域銀行、製薬企業、通信キャリアの3社と新規契約を締結しております。

• データレジデンシ（ap-northeast-1）：2025年8月に提供開始しております。
• 国内サポート体制：人員を4名から11名へ拡充しております。
• パートナー：NTTデータ様とのリセラー配信に関する提携契約を締結しております。

ガイダンス（ARR目標）

Q4 FY2025のARR目標は\$158M〜\$162Mとしております（パイプラインカバレッジ比率：3.2×）。

重点領域

（1）日本エンタープライズ拡大、（2）FedRAMP High認可の取得推進、（3）NexaCloud AI Copilot機能のローンチを主要テーマとしております。

プラットフォーム概要（アーキテクチャ）

NexaCloudは、マルチクラウド環境（AWS、Azure）における統合可視化、脅威検知、アクセスガバナンスを提供するエンタープライズ向けクラウドセキュリティ基盤でございます。主要構成は、Data PlaneおよびControl Planeの2層で整理しております。

• Zero Trust by Default：すべてのリクエストをAPI Gateway層で認証・認可したうえで内部サービスへ到達させております。
• テナント分離：データベース層における行レベルセキュリティにより、クロステナントアクセスを防止しております。
• 暗号化の徹底：通信（TLS 1.3）および保存（AES-256）を標準としております。エンタープライズ契約ではBYOKもご利用いただけます。
• 監査ログの不変性：管理者／ユーザ操作を追記専用で記録し、署名により改ざん・削除を防止しております。

• SIEM連携：syslog／CEF転送（Splunk、Microsoft Sentinel、IBM QRadar）に対応しております。
• IdP連携：SAML 2.0およびOIDC（Okta、Azure AD、Ping Identity）に対応しております。
• チケッティング連携：Jira、ServiceNow、PagerDuty等へのWebhook連携が可能です。
• 自動化：REST APIによりカスタムワークフローを構築いただけます。

セキュリティ機能・運用（主要能力）

NexaCloudは、すべてのプラットフォーム資源に対してRBAC（Role-Based Access Control）を適用しております。管理者は組織／プロジェクト／リソース単位でカスタムロールを定義いただけます。

なお、EnterpriseティアではSSOが必須となっております。MFAの強制はロールおよびIPレンジ単位で設定可能です。

Signature-based rules

脅威リサーチチームにより週次更新され、権限昇格、ラテラルムーブメント、データ持ち出し等の既知パターンをカバーしております。

Behavioral baselines

ユーザおよびワークロード単位で30日ローリングのベースラインを構築し、しきい値超過時にアノマリーアラートを発報いたします。

Third-party threat intelligence

CrowdStrike Falcon Intelligence、Recorded Future等の商用フィードを取り込み、IP／ドメイン／ハッシュに対する評価情報を付与いたします。

アラート重要度はCritical / High / Medium / Low / Informationalとしております。社内ベンチマークでは、Critical事象に対するMTTDは4分未満となっております。

• 保存先：AWS us-east-1（プライマリ）およびeu-west-1（EU顧客）を基本とし、日本顧客向けにap-northeast-1のデータレジデンシを提供しております。
• バックアップ：設定データは継続的、テレメトリは毎時スナップショットとしております。
• 保持：ホット90日／コールド13か月（設定可能）となっております。
• 削除：契約終了後30日以内に検証済み削除を実施し、要請に応じて破棄証明書を発行いたします。

• 年次ペネトレーションテスト：第三者（認定ファーム）により実施しております（直近：2025年10月）。
• SAST / DAST：CI/CDへ統合し、mainへのマージごとに自動実行しております。
• 依存関係スキャン：日次でCVEを検知し、Criticalは72時間以内のパッチ適用を目標としております。
• バグバウンティ：HackerOneにて2023年より運用しております。

コンプライアンス／認証状況

NexaCloudのコンプライアンスポスチャは、レイヤードな責任分界モデルに基づいております。以下に、NexaCloud側および顧客側の責任範囲を整理いたします。

• 2025年4月：ISMAP管理策カタログに対するギャップ分析を完了しております。
• 2025年7月：特定された14件のギャップ是正を完了しております。
• 2025年9月：登録監査機関による第三者監査を開始しております。
• FY2026 Q1（目標）：ISMAP登録見込みであり、中央省庁および地方自治体案件への入札可能性が拡大いたします。

• GDPR：DPAの提供およびDPOの任命を実施しております。
• APPI（日本）：2022年改正後の個人情報保護法に準拠しており、日本語プライバシーポリシーをnexacloud.jp/privacyにて公開しております。
• 越境移転：EU–US移転はSCCを適用しております。日本向けデータレジデンシ有効時は、個人データがap-northeast-1外へ移転しない運用としております。