オペレーター

皆様、お待ちいただきありがとうございます。Qualysの2026年度第1四半期投資家向け電話会議にようこそ。現時点では、すべての参加者は聞き取り専用モードとなっております。スピーカーによるプレゼンテーションの後、質疑応答セッションを行います。

セッション中に質問をされる場合は、お電話の「＊11」を押してください。手が挙がったことをお知らせする自動メッセージが流れます。質問を取り消す場合は、再度「＊11」を押してください。本日の会議は録音されておりますので、あらかじめご了承ください。

それでは、IR担当副社長のBlair Kingに進行を代わります。お願いします。

ブレア・キング

Michelle、ありがとうございます。皆様、こんにちは。Qualysの2026年度第1四半期決算電話会議へようこそ。本日の決算についてお話しするため、社長兼CEOのSumedh Thakarと、CFOのJoo Mi Kimが同席しております。

開始前に、本日の発言には、製品の機能、将来の事象、または将来の財務状況や営業成績全般に関連する「将来予想に関する記述」が含まれていることをご留意ください。実際の結果は、これらの記述と実質的に異なる場合があります。結果が実質的に異なる原因となる要因については、本日のプレスリリース、および最新のForm 10-Qや10-Kを含むSEC（証券取引委員会）への提出書類に記載されています。本電話会議で行う将来予想に関する記述はすべて、本日時点の想定に基づいており、新しい情報や将来の事象の結果として、これらの記述を更新する義務を当社は負いません。

ブレア・キング

本電話会議では、GAAP（一般に認められた会計原則）および非GAAPの財務指標の両方を提示いたします。GAAPから非GAAP指標への調整表は、本日の決算プレスリリースに含まれています。念のため申し上げますと、プレスリリース、準備された発言、および投資家向けプレゼンテーションはすべて、当社ウェブサイトの投資家情報（Investor Relations）セクションからご覧いただけます。それでは、Sumedhに代わります。

スメド・タカール

Blair、ありがとう。そして、第1四半期決算電話会議へようこそ。当四半期も力強い増収と収益性を実現したことをご報告でき、嬉しく思います。脆弱性を発見し、エクスプロイト（攻撃コード）を自律的に作成する最先端のフロンティアモデルの進展が加速していることで、検知数は大幅に増加し、一方でエクスプロイト・ウィンドウ（脆弱性が発見されてから攻撃されるまでの期間）は劇的に短縮していくでしょう。

組織が真のリスクを把握し、最もリスクの高い脆弱性を1日以内に効果的に優先順位付けして自動修復する必要性は、かつてないほど高まっています。だからこそ、当社はETM（Enterprise TruRisk Management）プラットフォームにおいてイノベーションを起こしました。これは、AIネイティブなリスク・オペレーション・センター（ROC）を実装したものであり、お客様が、露出を増大させるだけのサイロ化した製品による「ダッシュボード・ツーリズム（ダッシュボードを眺めるだけで実効性のある対策がなされない状態）」に頼ることなく、リスクを修復できるようにするものです。

スメド・タカール

GigaOmのパッチ管理レーダーにおいてナンバーワンの評価を得ていること、そして昨年は1億5,000万件以上のパッチを適用し、そのうち4,000万件以上をシックス・シグマの精度で自律的に配信したことを踏まえ、組織はQualysを、現在の壊れた手動の修復プロセスから、パッチ管理を超えた、大規模でインパクトが高く低リスクな自律型修復ワークロードへと移行するための信頼できるソリューションとして活用しています。これこそが、まさに当社の注力している分野です。エクスプロイト可能な脆弱性の量が6.5倍に急増し、攻撃者がパッチが存在する前に脆弱性を武器化することで、攻撃までの平均時間が1日未満にまで崩壊している中、理論的な露出に焦点を当てているセキュリティチームは、処理しきれなくなっています。単に脆弱性をより多く見つけることは、リスクとイコールではありません。

真のリスクは、攻撃者が組織の稼働環境においてエクスプロイトの経路を正常に実行できるかどうかによって決定されます。

スメド・タカール

そのため、当社のAgentic AIマーケットプレイスへの最新の追加要素である「Agent Val」が、現在一般提供（GA）を開始したことをご報告でき、嬉しく思います。当社のEnterprise TruRisk Managementソリューション内のTruConfirmを搭載したAgent Valは、クローズドループのエクスプロイト検証と自律型修復をROCに直接提供します。大規模な自律型エクスプロイト検証を使用することで、ネットワーク経由で安全なエクスプロイトを実行して攻撃者が侵害の試みに成功するかどうかを確認し、お客様の推測の余地を排除します。同時に、セキュリティおよびITチームが、本番環境で実際にエクスプロイト可能な、1%未満の脅威に集中できるようにします。

スメド・タカール

これにより、当社は理論的なエクスポージャーと実際のエクスポージャーの間のギャップを埋め、業界における新たな採用基準を確立したと信じています。従来の継続的な脅威エクスポージャー管理（CTEM）ソリューションは、スキャンツールからスキャン・テレメトリを抽出するのに数日を要し、緩和策となるセキュリティ・コントロールを無視して理論的なリスクスコアに依存していますが、ETMとそのAgentic AIワークフォースは根本的に異なるアプローチをとります。

スメド・タカール

継続的に機能するループの中で、脆弱性を検出し、エクスプロイトを検証し、実質的なリスクを定量化し、修復を自動化し、そしてエクスプロイトを再検証します。主要な大規模言語モデル（LLM）および小規模言語モデル（SLM）と最適化・統合されたこのエンドツーエンドのアプローチにより、組織は次の論理的なステップである、Agent SarahとTruRisk Eliminateを活用した自律型修復に向けて、エクスプロイト可能な脅威のみを優先することにレーザーのように集中できるようになります。当社のTruRisk Eliminateソリューションを支えているのは、新しいAIを活用したパッチ信頼性スコアです。これは、導入済みの数億件のパッチに関する当社独自のデータセットで学習されたモデルであり、パッチ導入によるシステム停止を発生前に予測します。

これにより、予測的かつ運用を意識したパッチ管理の新しい基準を打ち立てながら、お客様が確信を持って展開するか、あるいは目的を持って一時停止するかという判断を下せるよう、自信を提供します。

スメド・タカール

パッチ適用やその他の補完的コントロールを含む、ロールバック率が0.1%未満の修復ソリューションという傘の下で、AIネイティブなROCは、セキュリティの成果を加速、効率化、そして民主化すると同時に、「〜と思われる」から「〜であると判明した」、そして「修復済みである」へと、マシンスピードで変革させます。最新のフロンティアAIモデルが、攻撃者にゼロデイ脆弱性の発見と漏洩、ほぼリアルタイムでのエクスプロイト生成、そして業界がこれまでに見たことのないような自律型攻撃エージェントの開発能力を間もなく与えるという文脈において、先日のロンドンでのリスク・オペレーションズ・カンファレンスEMEAイベントで私が会った多くの最高情報セキュリティ責任者（CISO）からの、当社の「数時間以内に修復する（get-it-fixed-in-hours）」アプローチに対するフィードバックは、非常に肯定的なものでした。

スメド・タカール

彼らは、当社が提供している新たな機能の急速なペース、彼らの導入計画、そして、単に可視化ダッシュボードを作成するだけではますます受け入れがたくなっている時代において、マルチベンダー環境における実際のリスクを自律的に監視、測定、そして確信を持って修復できる能力について、その興奮を共有してくれました。当社の業界をリードする能力は、顧客、パートナー、および第三者のアナリストの間でより広く認識されています。具体的には、当社のTotalCloudソリューションは、Q1 2026 Forrester Waveレポートにおいてクラウドネイティブ・アプリケーション保護プラットフォーム（CNAPP）のリーダーとして認められ、その後、2026年SCアワードの「ベスト・クラウド・セキュリティ・マネジメント・ソリューション」を受賞しました。これらはいずれも、ハイブリッド環境全体における、実行時（runtime）のリアルタイムな検知と対応を伴う統合された可視性を提供する当社の能力を強調するものです。

また、クラウドのアイデンティティおよび権限管理に関する2026年GigaOm Radarレポートにおいても、リーダーとして位置付けられました。

スメド・タカール

昨年末の2つのPwnieアワード受賞に続き、当社のスレット・リサーチ・ユニット（TRU）は、CrackArmorの発見によって再びその影響力を実証しました。これは、世界中の数百万のLinuxシステムにわたってルートレベルの侵害やコンテナ脱出につながる可能性のある、重大なAppArmorの脆弱性を明らかにするものです。これは、最近発表した「修復における物理的欠陥（broken physics of remediation）」に関する研究と相まって、セキュリティ運用を強化し、攻撃者に対するハードルを引き上げるというQualysのコミットメントをさらに示すものです。

スメド・タカール

その最終的な結果として、当社はCTEM、エクスプロイト検証、サイバーリスクの定量化、および修復を、ハイブリッド環境全体で継続的に検知、警告、推論、および行動する、単一のAI駆動型リスク・ファブリックへと明確に統合しました。これらの能力と、まもなくITサービスマネジメント（ITSM）のワークフローを自律的にトリガーすることになる成長著しいROCの勢いを武器に、当社は、当社の脆弱性管理、検知、および対応（VDR）の顧客基盤全体におけるETM採用の加速に鋭く集中し続け、時間の経過とともに、より大きなアップセルの機会に向けてQualysを位置付けていきます。

スメド・タカール

事業状況に移りますと、当社は運用の課題を強力な競争優位性に転換してきた長い歴史を持っており、それは50万ドル以上を支出する顧客が、前年比9%増の2021年から2,221へと成長していることによって示されています。だからこそ、第1四半期における私のお気に入りの勝利の一つは、既存のグローバルな1,500（規模）の顧客との案件でした。強力な基礎的な可視性はあったものの、彼らのチームは、拡大するオンプレミスとマルチクラウド環境の混在、サイロ化したツール、断片化したテレメトリ、増加するLLM、およびビジネスコンテキストが限定的な数百万の脆弱性に対し、リスク削減を運用（オペレーショナル化）することに苦心していました。この顧客は、従来の深刻度ベースの優先順位付け手法ではもはや不十分であると認識し、環境全体のリスク信号を統合し、ROCを運用するための戦略的イニシアチブを開始しました。

スメド・タカール

セキュリティのためのAI、およびAIのためのセキュリティを活用することで、彼らは年間で6桁の中盤規模のアップセルとしてETMとTotalAIを採用し、Qualysの導入範囲を拡大しました。異種混合の信号をQualysプラットフォームに集約することで、この顧客は現在、アタックサーフェス全体にわたるエンドツーエンドの可視性を提供する統合されたオーケストレーション層を保有しています。これには、バイナリ、オープンソースライブラリ、および依存関係にわたるアセットのディープスキャン、中央集権的なリスク定量化、優先順位付けされた修復ワークフロー、およびビジネス上のリスク許容度に基づいた測定可能な成果が含まれます。この勝利は、より多くの顧客が、AIネイティブなROCオートメーションの効率性とスケールの恩恵を受けながら、エビデンスに基づいたエクスプロイト検証と修復のためにQualysを利用するようになっている、より広範なETMの勢いを反映しています。

パートナーは、当社の成長アジェンダの主要な柱であり続けています。

スメド・タカール

新しいサービスを積極的に開始し始めている約2ダースの認定mROCパートナーのリストが増加していることに加え、AIネイティブなROCに強く焦点を当てた、あらゆる地理的領域において勢いが高まっているのを目の当たりにしています。例えば、当社の最大のマネージド・リスク・オペレーション・センター・パートナーの一つは、現在、当社のETMおよび自動修復ソリューションを活用した、マネージド・セキュリティ・オペレーション・センターに対応可能なAIネイティブROCを市場に投入するプロセスにあります。戦略的アライアンス・イニシアチブを通じて、当社は継続的に深い技術統合、共同販売（コ・セリング）の機会、およびデマンドジェネレーション（需要創出）プログラムを推進しています。最新のフロンティアモデルを通じたセキュリティ研究のイノベーションを推進するため、当社はOpenAIの「Trusted Access for Cyber」プログラム、およびAnthropicの「Cyber Verification」プログラムと提携し、当社の脆弱性および脅威インテリジェンスを前進させ、顧客がこれらの知見をさらなる検知と修復のためにETMに取り込めるようにしています。

スメド・タカール

サイバー保険の側面では、Converge Insuranceとの新しい戦略的パートナーシップを発表できることを嬉しく思います。これはQualysのETMソリューションを活用して、同社の顧客が強力なセキュリティ・ハイジーン（セキュリティの衛生状態）を実証し、有意義な保険料の減額の条件を満たせるよう支援するものであり、CISOのためにサイバーセキュリティをビジネス成果に結びつけるという当社のビジョンを推進するものです。第1四半期の成長軌道をさらに支えるものとして、当社は、顧客がQualysおよびETMプラットフォームの採用を加速および拡大するのを支援するために設計されたQFlexのベータテストを引き続き拡大しました。強力な初期の関与と肯定的なフィードバックに基づき、当社は、特定の顧客やパートナーにQFlexを拡張する機会を積極的に特定し、今年後半に予定されている稼働日に向けて、この勢いを維持していく計画です。

スメド・タカール

最後に、連邦政府がさらなる効率化を図り、過去数年間の時代遅れでコストのかかるオンプレミス展開を、現代的なクラウドネイティブのリスク管理ソリューションに置き換えようとしている中、私たちは今月末にワシントンD.C.で開催される第3回年次連邦政府カンファレンスを主催できることを特に嬉しく思っています。私たちは連邦政府関連のビジネスを成長させ、大規模な連邦機関におけるFedRAMP Highのステータスを進展させる上で着実な進歩を遂げており、この市場が長期的には当社の新たな成長の局面を加速させると引き続き信じています。要約すると、私たちは、自律的なエクスプロイト検証、リスクの定量化、およびゼロデイの修復を、単一のAI駆動型リスク・ファブリック（risk fabric）内に統合することで、企業がサイバーリスクをいかに運用するかを再定義する、侵害前（pre-breach）リスク管理における新しいカテゴリーを切り拓いています。

スメド・タカール

フロンティアモデルが発見した脆弱性を補完するものとして、当社のプラットフォームは、独自のドメインデータ、リアルタイムのテレメトリ、およびファイアウォールの背後にあるセンサーとエージェントを用いた深い運用コンテキストを活用することで、パブリックドメインでは利用不可能な、資産の継続的な発見、エクスポージャーの検証、リスクの定量化、脅威の修復、および企業固有のポリシーの適用を行います。これは、ペタバイト規模の構造化されたテレメトリを20年以上にわたって処理してきた実績と、業界をリードする脅威インテリジェンスを組み合わせたクローズドループ（閉ループ）システムによって推進されており、それが毎日、数千もの顧客環境を通じて蓄積・強化されています。フロンティアモデルは強力であり、攻撃パスの分析とトリアージを加速させます。しかし、稼働中のハイブリッド環境全体で、正確なポリシーとコンプライアンスの結果を一貫して適用するためには、高度に信頼性の高いコントロールプレーンと組み合わせる必要があります。

これこそがQualysの顧客に対する独自の価値提案（value proposition）が存するところであり、エラーに対して事実上ゼロ・トレランス（許容しないこと）を求められる、決定論的（deterministic）で、監査可能、再現可能、かつ信頼性の高い実行を必要とします。

スメド・タカール

攻撃がマシンスピードで進行し、リアルタイムに学習・対応する防御をますます必要としている中で、ポリシーによって管理され、柔軟なモデル選択によって活用される、クローズドループなエージェント間オーケストレーションは、フォース・マルチプライヤー（戦力倍増要因）として機能し、より精密なリスクの定量化、安全な修復、そしてさらに迅速で決定論的な結果を大規模に実現することを可能にします。Qualysにとって、これは、当社の膨大なデータコンテキスト、LLM（大規模言語モデル）およびSLM（小規模言語モデル）の統合、そして信頼性の高い実行が、侵害前のサイバーリスク管理におけるシステム・オブ・レコード（記録の基盤）として機能し、AIを、顧客に測定可能なリスク低減、ゼロデイの修復、管理された結果、および即時のROI（投資利益率）をもたらすパッチ自動化プラットフォームへと変換することを意味します。それでは、第1四半期の業績および第2四半期と2026年通期の見通しについて詳しく説明するために、Joo Miにマイクを渡します。

ジュ・ミ・キム

Sumedh、ありがとうございます。こんにちは。始める前に、売上高を除き、すべての財務数値はNon-GAAPであり、成長率は特に明記されていない限り前年同期との比較に基づいていることをお断りしておきます。第1四半期の業績に話を移しますと、売上高は10%増の1億7,560万ドルとなりました。

チャネルの貢献度は増加し続け、前年同期の49%に対し、総売上高の52%を占めました。チャネルパートナーからの売上は17%増加し、3%の増加にとどまった直接販売を上回りました。パートナーエコシステムを活用して成長を牽引するという当社の戦略的重点の結果として、この傾向は継続すると予想しています。地域別では、米国以外の売上高が15%増となり、6%増の国内ビジネスを上回りました。

米国と海外の売上構成比は、それぞれ55%と45%でした。

ジュ・ミ・キム

第1四半期は予想通り、ネット・ダラー・エクスパンション・レート（純売上高拡大率）に大きな動きはなく、前四半期の103%からわずかに上昇して104%で四半期を終えました。より重要なこととして、今後四半期ごとに開示する予定の新しい指標についてお話ししたいと思います。それは、「前年にETMまたはCyberSecurity Asset Management（CSAM）サブスクリプションを購入した顧客のネット・ダラー・エクスパンション・レート」です。当社はこの指標が、現在の当社のETM戦略的イニシアチブの成功を示す最良の指標であると考えています。

ETMのイノベーションは強い顧客需要から生まれており、ETMの採用がより高いネット・ダラー・エクスパンション・レートを牽引すると予想しています。ただし、ETMの採用はまだ初期段階にあるため、この指標に重みを持たせるために、このコホートにCSAMの顧客を含めることにいたしました。

ジュ・ミ・キム

加えて、念のために申し上げますと、ETMは本質的にCSAMからのアップグレードであるため、これを今後の追跡および測定のための適切なベースラインであると考えています。第1四半期におけるETM/CSAMコホートのネット・ダラー・エクスパンション・レートは107%でした。より多くの顧客がこのコホートに移行することで、当社の全体的なネット・ダラー・エクスパンション・レートに一貫した意味のある改善が見られ、それによって収益成長が加速することを期待しています。製品ミックスに移りますと、差別化された新製品が引き続き成長を牽引しています。

第一に、LTM（直近12ヶ月）ベースでの第1四半期の総ブッキング（受注額）に占めるETM/CSAMの合計は11%、新規ブッキングに占める割合は14%となり、昨年のそれぞれ8%および9%から上昇しました。次に、パッチマネジメントは、LTMベースでの第1四半期の総ブッキングの8%、新規ブッキングの15%を占めました。

ジュ・ミ・キム

これに対し、昨年の第1四半期はそれぞれ7%と16%でした。最後に、TotalCloudは第1四半期のLTM総ブッキングの5%を占め、前年と同水準でした。市場シェアを拡大し、シェア・オブ・ウォレット（顧客内シェア）を最大化する機会があることから、これらの差別化された製品が組み合わさることで、2026年のブッキングへの貢献度は高まると考えています。拡張可能で持続可能なビジネスモデルを反映して、2026年度第1四半期の調整後EBITDAは8,330万ドルで、マージンは昨年と同じ47%でした。

第1四半期の営業費用は、17%増加した販売およびマーケティングへの投資に牽引され、8%増の6,750万ドルとなりました。

ジュ・ミ・キム

この好調な業績により、2026年度第1四半期のEPS（1株当たり利益）は希薄化後1株当たり1.95ドルであり、フリーキャッシュフローは9,360万ドルで、前年の67%に対し53%のマージンとなりました。第1四半期において、当社は事業から創出したキャッシュを、設備投資への170万ドルおよび発行済株式50万5,000株の買い戻しへの5,390万ドルを含め、引き続きQualysに再投資しました。2018年2月に自社株買いプログラムを開始して以来、当社は1,120万株を買い戻し、株主に13億ドルのキャッシュを還元してきました。当四半期末時点で、自社株買いプログラムの残額は3億660万ドルでした。

それでは、ガイダンスに移ります。まずは売上高から始めます。

ジュ・ミ・キム

2026年度通期について、売上高は7億2,100万ドルから7億2,700万ドルの範囲になると予想しており、これは8%から9%の成長率に相当します。これは、事前のガイダンスである7億1,700万ドルから7億2,500万ドルと比較したものです。2026年度第2四半期については、売上高は1億7,750万ドルから1億7,950万ドルの範囲、成長率は8%から9%になると予想しています。当社のブリーチ（侵害）前のサイバーリスク管理へのアプローチは、進行中のマクロ経済の変動性の中でも一定の緩衝材を提供すると考えておりますが、このガイダンスは、2026年における新規ビジネスからの緩やかな成長寄与を想定しつつ、ネット・ダラー・エクスパンション・レート（売上高純増率）に実質的な変化がないことを引き続き前提としています。

次に、収益性ガイダンスに移ります。

ジュ・ミ・キム

2026年度通期において、EBITDAマージンは40%台半ばになると予想しており、これは営業費用の10%台半ばの増加、および40%台前半のフリーキャッシュフロー・マージンを意味します。通期のEPS（1株当たり利益）は、事前の範囲である7.17ドル～7.45ドルから上昇し、7.44ドル～7.65ドルの範囲になると予想しています。2026年度第2四半期のEPSは、1.73ドル～1.80ドルの範囲になると予想しています。2026年度の計画的な設備投資は800万ドルから1,200万ドルの範囲、2026年度第2四半期は120万ドルから320万ドルの範囲となる見込みです。

ジュ・ミ・キム

マクロ経済の影響は依然として展開中であるため、当社はビジネス環境を注意深く監視し、それに応じて優先順位を調整しています。とはいえ、目の前にある長期的な成長機会と、さらなる投資の余地を示唆する業界をリードする利益率を考慮し、パイプラインの創出、パートナープログラムの加速、および連邦政府部門（フェデラル・バーティカル）の拡大を目的とした、影響力の高い取り組みに焦点を当てるべく、製品およびマーケティングへの投資を責任を持って継続的に整合させていく意向です。売上高に占める割合としては、エンジニアリングおよび一般管理費（G&A）の増加を緩やかなものに留める一方で、販売およびマーケティングへの投資の増加を優先させる予定です。以上を踏まえまして、Sumedhと私は皆様のご質問にお答えいたします。

オペレーター

ご案内いたします。ご質問がある場合は、電話機の「星（）11」を押し、お名前が呼ばれるまでお待ちください。質問を取り消す場合は、再度「星（）11」を押してください。最初の質問は、スコシアバンクのPatrick Colville氏からです。

回線を開放します。

パトリック・コルビル

ご質問の機会をいただき、ありがとうございます。Sumedh、そしてJoo Mi、準備された発言の中で、リスクの定量化、つまり資産がランタイムコンテキストにおいて悪用可能かどうかをテストすること、そしてパッチ適用と再検証を行う能力、これらすべてが、企業におけるQualysのAIによる破壊的影響のリスクを低くしているのだと、非常によく伝わる内容であったと思います。私が伺いたいのは、Anthropic、Claude、Mythos、OpenAI、GPT-5、Cyberなど、多くのハイプ（過熱した期待）がありますが、これらはインバウンド（引き合い）の増加につながっていますか？もしそうであれば、それらのインバウンドや関心の急増は、2026年の財務モデルにどのように反映されるのでしょうか？

スメド・タカール

素晴らしい質問です。日々この分野に携わっている当社の顧客は、これが、彼らが使用する複数のベンダーからのパッチや脆弱性の開示を増やすことにつながると十分に理解しています。課題となるのは、ポジティブな側面として、これらのモデルが、攻撃者が脆弱性を見つけるのを待つのではなく、企業自身が脆弱性を見つける能力を高める助けになっているということだと思います。同時に、それは顧客が展開しなければならないパッチが、すべての複数のベンダーからより多く発表されることも意味します。

課題となるのは、パッチがリリースされた後、AIを活用する攻撃者がそれらのパッチをリバースエンジニアリングして、エクスプロイト（脆弱性を突く攻撃コード）を見つけ出すことになると考えています。

スメド・タカール

つまり、ベンダーが提供するパッチを、現在のように数日や数週間待つのではなく、数時間の単位でいかに迅速に適用できるかというゲームになります。そこが、当社が顧客と行ってきた会話の多くにおいて、多くのCISO（最高情報セキュリティ責任者）といった顧客が、当社のパッチ管理能力、修復能力、およびエクスプロイト検証能力が、彼らにどのように役立つのかを理解するために連絡してきている点です。なぜなら、彼らは皆、モデルの進化に伴って発生するAI誘発型攻撃に対してどのように立ち向かうのかについて、取締役会にアップデートを提供する必要があるからです。「手動での修復を増やします」という回答はできません。

スメド・タカール

彼らは、自律的なAI攻撃に対して、自律的な修復をもって対抗するという考えに基づいた回答を持つ必要があります。彼らは当社を、すでに1億5,000万件のパッチを展開し、そのうち4,000万件をすでに完全に自律的に展開している、信頼できるベンダーと見なしています。現在、そうした会話の多くはポジティブなものです。もちろん、まだ初期段階であり、彼らがそれらの会話をどのように進め、どのように取締役会やITチームに戻り、ITチームと連携していくのかを見極める必要があります。

活動自体については手応えを感じていますが、それがパイプラインや見通しにどのような影響を与えるかについて話すには、現時点では少し早すぎます。

スメド・タカール

Joo Miが述べたように、ガイダンスに関しては、現在の状況から変更を検討していません。これにどのように対応するのが最善かを理解しようとしているお客様からの、インバウンド（問い合わせ）によるエンゲージメントを目の当たりにし、嬉しく思っています。

パトリック・コルビル

非常によく分かりました。その点について少し触れさせてください。Joo Mi、あなたは前四半期に、2026年の現行ビリング（current billings）の成長率について、7%〜8%という緩やかなガイダンスを提示してくださいました。事前説明（prepared remarks）で仰ったことは、その状況が継続しているということでしょうか？ その水準に変更はないということですか？ 第1四半期の好調な業績や、先ほどSumedhが話していたようなポジティブな雰囲気があるにもかかわらず、ということでしょうか？

ジュ・ミ・キム

はい、その通りです。第1四半期の業績をご覧いただければ分かりますが、今年は堅調なスタートを切ることができました。第1四半期の見通し、および年内の残りの期間に予想されることについても非常に満足しています。しかしながら、現時点では通期の業績に実質的、あるいは意味のある変化は見込んでいません。

それを踏まえ、通期の現行ビリングのベースラインは、引き続き7%〜8%となります。

パトリック・コルビル

承知いたしました。どうもありがとうございました。

オペレーター

ありがとうございます。次のご質問は、UBSのRoger Boyd様です。回線は開いています。

ロジャー・ボイド

ありがとうございます。私の質問を受けていただき感謝します。Sumedh、新規顧客獲得の観点からは、特に第1四半期は、季節的に少し低くなる傾向があるとはいえ、それほど強い四半期ではありませんでした。新規ロゴ（new logo）獲得の観点から、現在何がうまく機能しているのかについてお話しいただけますか？ また、先ほどパッチ管理による修復（Patch Management remediation）の観点から仰っていたことについて、それが新規顧客との商談にどの程度影響を与えているのでしょうか？ パッチ管理、あるいはTruRisk Eliminateのアタッチレート（付随率）に関する指標があれば教えていただけると助かります。

よろしくお願いします。

スメド・タカール

はい、素晴らしい質問です。パッチ管理については、直近12ヶ月（LTM）の総受注額の約8%、新規受注額の15%を占めているといった状況について、今お話ししたかと思います。チームによる確実な実行がなされていると考えています。そこに求められるのは、集中した実行力です。

昨年に入った際、RSA（セキュリティ会議）やそれ以前にお話しした、エージェンティックAI（Agentic AI）エージェントへの注力を覚えていらっしゃるかと思います。今日、誰もが議論しているのは、「いかに迅速かつ自律的に物事を修復できるか」ということです。私たちが今ここにいるのは、決して偶然ではありません。私たちはパッチ適用に関する機能を提供してきました。

単なるパッチ適用にとどまらず、エクスプロイト検証（exploit validation）まで踏み込んでいます。こうしたメッセージが、お客様の共感を得ています。

スメド・タカール

これは、お客様とのより良い対話につながっていると考えています。ETMに関する対話には手応えを感じています。結局のところ、リスクの測定とリスク管理は極めて重要になります。なぜなら、展開しなければならないパッチの数が爆発的に増えた場合、企業としてすべてのパッチをただ展開するということはできないからです。

リスクに立ち返ることが非常に重要です。適切なリスクを、最小限の範囲で排除することが重要です。すべてのものをパッチ適用して修正しようとして、停止（outage）によるさらなるリスクを生み出すのではなく、そこに到達できることが重要であり、そのためにはETMが非常に重要になります。ETMは高度な優先順位付け（hyper prioritization）を行うものだからです。

ETMを成功させるためには、高品質な検知能力が必要となります。

スメド・タカール

これらのモデルが登場した後、お客様が提起してきた懸念事項の一つは、偽陰性（見逃し）の問題ではないかと考えています。Tier 2のスキャナーを使用している場合、シグネチャを公開し、検知結果を見つけるまでに要する時間は、私たちが一日に何度もシグネチャを公開しているQualysのようなスキャナーと比較すると（時間がかかります）。偽陰性を減らすために検知機能を強化していくことが、非常に重要になっています。こうした対話が、ETMにとってポジティブな対話へと結実しつつあると考えていますが、まだ初期段階です。

通常、ETMとEliminateに関する対話は、多くの場合、密接に関連しています。ETMについてはまだ初期段階ではありますが、現時点で進めている対話には勇気づけられています。

スメド・タカール

重ねて申し上げますが、私たちは実行を継続するために努力しなければなりません。第1四半期の成果には満足していますが、目の前にある機会に対して、引き続き実行に取り組んでいくつもりです。申し上げました通り、パートナー企業は私たちと密接に協力しており、パートナーが新たな新規顧客（new logos）をもたらしてくれること、そして、既存のお客様が当社のパートナーを通じてMROCサービスを利用することで、既存のお客様がより多くの価値を得られ、その結果として当社のアップセルも継続的に増加していくことを期待しています。

ロジャー・ボイド

非常に助かります。では、Joo Miに手短に一つ伺わせてください。Q-Flexについて、この調達モデルを拡張するために、パイプラインを構築し、顧客パイプラインを特定しているとお話しされました。Q-Flexに適していると考えられる顧客とはどのようなものか、また、今年中にそのような推進を開始できる時期について何かお考えがあれば教えていただけますか。

ありがとうございます。

ジュ・ミ・キム

はい。主に、Q-Flexは、通年で予測している範囲をカバーできるような柔軟性を必要とするエンタープライズのお客様を対象としています。例を挙げますと、お客様が求めているのは、当社が年間を通じて継続的に製品を強化し、新しい製品を投入していくことを踏まえ、必ずしも年間で絶対的に必要だと考える金額を、事前に購入したり、より多額の金額を事前にコミットしたりすることへの安心感です。予算があり、Qualysに対してより多くのクレジットを事前にコミットする意向があり、年間を通じて異なる製品やサービスを入れ替えたり、新しいソリューションを試したりできる、選定された顧客グループと対話を重ねてきました。

現在のモメンタム（勢い）には満足しており、今年後半にはQ-Flexの一般提供（GA）を開始する予定です。

スメド・タカール

それに手短に付け加えさせてください。

ロジャー・ボイド

非常に助かります。

スメド・タカール

現在起きていることは、Q-Flexモデルがなぜお客様にとって役立つのかを示す良い例です。というのも、昨年以前にはエクスプロイト検証（exploit validation）機能がありませんでした。現在、その機能があり、パッチ適用により一層重点を置く手法があるため、Q-Flexの利用者は、特定の事象が発生した際に、そのクレジットを使用して突然パッチ適用へと重点を移すといった柔軟な対応が可能になり、調達の観点から（契約などの）手続きを何度もやり直す必要がなくなります。Joo Miが言ったように、これら大口顧客との初期段階の対話は刺激的なものであり、今年中にこれらのお客様と共に進めていき、年末までにGA（一般提供）へと向かっていきたいと考えています。

ロジャー・ボイド

非常によく分かりました。お二人ともありがとうございました。

オペレーター

ありがとうございます。次の質問は、Canaccord GenuityのKingsley Crane様からです。回線は開いています。

キングスレー・クレイン

こんにちは、ご質問の機会をいただきありがとうございます。Sumedhさん、まずは、御社のビジネスにおいてMythos Previewのようなものへのアクセスが、全体としてどの程度重要なのか、気になっています。一般的な話として、成長するエージェンティックAIソリューションの市場についてですが、最近ではOpus 4.7のようなモデルだけでも、かなり大きな飛躍が見られます。プラットフォームにおけるそのようなエージェントとの統合の将来像はどうなるのか、また、3年先を見据えた場合、Qualysにとって「推論（inference）」は勘定科目としてどの程度重要になるのでしょうか？ありがとうございます。

スメド・タカール

素晴らしい質問です。特定のモデルというよりも、これらのモデルが向かっている方向性が重要だと考えています。我々の場合は、他のオープンソースモデルも活用してきましたし、現在はOpenAIの「Trusted Access for Cyber」プログラムに参加できることを嬉しく思っています。これにより、例えばClaude Mythosと大部分において同等のモデルであるGPT-5.5-Cyberへのアクセスが可能になり、また「Cyber Verification Program」の一部でもあります。

スメド・タカール

我々は自社で多くのエクスプロイトおよび脆弱性調査を行ってきているため、これら2つのフロンティアモデルであれ、使用してきた他のオープンソースモデルであれ、こうした種類のモデルは、顧客の環境に対して安全に作成できるエクスプロイトを特定する作業をより良く行う助けになると考えています。それによって、顧客はQualysプラットフォームを通じて、これらを大規模にテストできるようになります。また、適切なパッチや適切な緩和策を特定する際にも非常に役立ちます。Qualysが取り組んできた重要なことの一つは、パッチを必要としない緩和策を生み出すことに、多大な研究エネルギーを投入してきたことです。

スメド・タカール

人々はパッチを懸念しますが、我々はパッチをリバースエンジニアリングして、活用できる他の緩和策がないかを探ります。これにより、即座にパッチを適用することなく、マシン上に補完的コントロール（compensating control）を導入できるよう顧客を支援することを目指しています。極めて悪用されやすい脆弱性の緩和について、決定を下すまでに数時間しかないような状況において、これは顧客にとって非常に価値のあることです。そうした研究こそが、まさに我々がこれまで行ってきたことです。

モデルが進歩するにつれ、これらのパートナーシップは、我々が加速し、より多くの範囲をカバーし、顧客がそれに対処するためのより多くの選択肢を得るための助けとなります。

スメド・タカール

研究を通じた活用、あるいはモデルを統合してモデルからの知見を引き出す活用、そのどちらにおいても、顧客は得られた主要な知見を、すでにインストールされている数百万のQualysエージェントに実行させ、実際の発生箇所を特定できるようになると考えています。チャットであれ、アクションを実行するAIエージェントであれ、異なる小規模言語モデル（SLM）や大規模言語モデル（LLM）を使用して結果を最適化する、我々自身のエージェンティックAIソリューション全体についても同様です。オープンソースであれ、これらのフロンティアモデルであれ、パートナーシップを継続していくことを楽しみにしています。

スメド・タカール

いかなるソリューションにおいても、何らかの形でAI機能を活用することが重要になると考えています。ただ、我々は独自にエクスプロイトの検証とパッチ適用を行っているため、これらのモデルの活用において非常に興味深いユースケースを持っています。

キングスレー・クレイン

非常に助かりました。Joo Miさんに向けて、ビジネスにおける継続的な効率性の高さが見られるのは素晴らしいことです。今年は、研究開発費（R&D）の伸びが販売・マーケティング費よりもやや緩やかであるとお話しされました。前年比2%の成長とのことですが、これは今年残りの期間についても同様に予想されるものなのでしょうか？より広い視点で考えると、サイバーセキュリティ市場がこれほどダイナミックな時期において、研究開発費という項目に対して、さらなる投資を行う要因となるものは何でしょうか。

もちろん、御社がすでに運用面で非常に効率的であることは理解しておりますので、その点は承知しております。ありがとうございます。

ジュ・ミ・キム

はい。現在、我々は営業費用（OpEx）の成長率を10%台半ばと予測しています。販売およびマーケティング費用は、引き続き15%を大きく上回るペースで成長しています。前四半期は前年同期比で18%成長しました。

今四半期は前年同期比で17%です。下半期に販売およびマーケティング費用が拡大する可能性があることを踏まえると、割り当てた残りの大部分は研究開発（R&D）のためのものです。我々は、特にビジネスにおいて継続的に行っているAIへの投資に関して、リターンの観点から正当化できると考える多額の投資を予定しています。それを踏まえ、OpExの10%台半ばの成長から導き出される、40%台半ばのEBITDAマージンをガイダンスとして示しています。

キングスレー・クレイン

わかりました。ありがとうございます。

オペレーター

ありがとうございます。次のご質問は、William BlairのJonathan Ho様からです。お話しください。

ジョナサン・ホー

こんにちは。こんにちは。侵害（ブリーチ）前のリスク管理の機会について、また、それが従来のアプローチからどのように変わるのか、そしてQualysが他の競合他社よりもこのソリューションを提供する上で、どのように優れたポジションにあるのかについて、より詳しく理解したいと考えています。

スメド・タカール

はい、Jonathan、素晴らしい質問です。Qualysの観点からは、従来のアプローチから変わるというわけではありません。我々は過去2年間にわたり、EPMプラットフォームとリスク・オペレーション・センターという概念を中心に構築と革新を進めてきました。これは、今後、膨大な数の脆弱性が押し寄せてくる事態に備えてのものです。

しかし、すべてを修正することはできませんし、一つの脆弱性から次の脆弱性へと飛び回るような「モグラ叩き」式の対応をすることは不可能です。リスク・オペレーション・センターを構築し、それをEPMと共に実施する目的は、数時間以内に顧客のために問題が修正されるという「成果（アウトカム）」を生み出すことを確実にすることにあります。

スメド・タカール

これは、CTEM（継続的脅威露出管理）ソリューションとは異なるアプローチだと考えています。CTEMは、さまざまなスキャナーからデータを収集し、何らかの推論を行うのを待つものですが、実際にはパッチ適用（パッチ当て）までは行いません。パッチ適用を他の誰かに任せてしまうため、例えば、そこでまた時間をロスしてしまうことになります。我々が提供しているのは、ある種のエンドツーエンドの体制を構築したことによる機会だと考えています。

興味深い例として、RSAで行ったAgent Valに関するデモをご紹介します。Agent Valは、脆弱性の発見、エクスプロイト（脆弱性攻撃）の検証、緩和策の適用、そして修正されたことのエクスプロイト再検証までを、15分未満で行いました。何かが修正されたという「成果」を得られるようなCTEMソリューションを、私は他に知りません。

スメド・タカール

ETMでは、サイバーリスクの定量化（Cyber Risk Quantification）の側面にも注力しています。脆弱性やパッチの数が大幅に増加したとしても、顧客は依然として、ビジネスの観点や割り当てられた予算の観点からこれらを考える必要があります。つまり、優先順位付けについてより適切な意思決定ができるよう、それらの脆弱性がビジネスにどの程度のリスクをもたらすかを考える必要があるのです。これは、我々のETMソリューションが現在サイバー保険会社と統合されているという、もう一つの側面でもあります。

脆弱性の修正を適切なペースで行っていることを示す良好なスコアを持っていれば、サイバー保険の保険料の減額を受けることができ、これはビジネスにとってプラスとなります。

スメド・タカール

ETMの本質は、ビジネスの定量化、つまり従来のCTEMの構成要素を取り入れつつ、それをエクスプロイトの検証および修復（レメディエーション）と組み合わせることで、エンドツーエンドの成果を提供することにあります。現在、これに関心を持っていたお客様が、今後押し寄せてくる脆弱性の数から、今こそこれをより深く検討する必要があると感じ始めています。

スメド・タカール

それらはリスク・オペレーション・センターやETM（Exposure Threat Management）を見ているような感覚です。また、自律的な修復やパッチ管理に対して人々が過去に抱いていた抵抗感についても、ここ数週間の初期の対話において、脅威の状況（スレッド・ランドスケープ）が変化したことにより、人々の考え方に少し変化が見られます。その意味で、誰かがスキャンし、誰かがデータを抽出し、また別の誰かがパッチを当てるという他のソリューションではなく、検知、検証、修正、そして再検証を15分以内に行える能力は、非常に望ましいことであり、我々にとってポジティブな結果です。そして、それをシックスシグマの精度で実行できることは、お客様にとって非常に望ましいことです。

スメド・タカール

私たちのプラットフォームは、まさにこのために革新され、設計されたのだと考えています。そして現在、これらフロンティアモデルがより多くの脆弱性を検知するという動きを受けて、これに強い関心を示すお客様との初期の対話が進んでいることを、嬉しく思っています。

ジョナサン・ホー

素晴らしい。一つ手短なフォローアップをさせてください。Mythosは、カバーするアセットの数や種類を拡大する可能性があるでしょうか？また、増大する複雑性に対処するために、プラットフォーム上でのより多くの製品の採用を加速させる可能性があるでしょうか？ありがとうございます。

スメド・タカール

はい。これらのモデルは、あらゆるコードベースにおいて脆弱性を見つけることができると考えています。そこでQualysセンサーの包括的な性質が重要になります。ラップトップやその他のサーバーにあるエージェントを備えた従来の資産における脆弱性の検知から、ネットワーク資産、あるいはファイアウォールやVPNデバイス、ネットワーク上のカメラ、IoTデバイスのようなネットワークベースのアセットへと拡大していきます。

我々はすでにそれらをカバーしています。もちろん、クラウドやコンテナセキュリティなどもカバーしています。

スメド・タカール

現在私たちが目にしているのは、より多くのことをネイティブに行うことで、スキャン結果を抽出するために何時間も待つことなく、迅速なスキャン結果を得たいという、できる限りネイティブにカバーしたいというお客様の関心です。サーバーがオンプレミスやデータセンターで稼働しているか、クラウドでコンテナとして稼働しているかにかかわらず、迅速な脆弱性への攻撃（エクスプロイト）から受ける脅威は同様であると考えています。会話の流れもその方向に向かっています。ある意味で、ETMの設計は、クラウドやコンテナ、あるいはその他のあらゆる種類の異なる機能からデータを抽出するように設計されているのです。

スメド・タカール

お客様は、現在は「ダッシュボード・ツーリズム（複数のダッシュボードを渡り歩くこと）」を行っていると言える状況にあり、より改善したいという意向を持っています。コードスキャン用の別々のダッシュボード、クラウド用の別々のダッシュボード、オンプレミス用の別々のダッシュボード、エンドポイント用の別々のダッシュボードを持っている状態です。もし、これらすべての異なる種類のアセットを、エージェンティックAIがそれを見て、以前のエンタープライズ・コンテキストを確認した上で自律的な決定を下し、最小限の修復を実行するという、より統一されたワークフローへと運用化・統合できる方法があれば、それこそが本当にお客様の焦点となっている部分です。

スメド・タカール

重ねてになりますが、これらの対話がどのように進展していくかは興味深いものになるでしょう。しかし、それはお客様に「以前の侵害管理（breach management）に関して、個別の異なるリスク管理ダッシュボードを一つずつ見て回る時間は必ずしも持てない」と言わせる状況を生んでいます。もし、さまざまな要素を抽出し、それらすべてを正規化し、最も重要なものに迅速に焦点を当て、実際にエクスプロイトを用いて検証し、それらを修復できる方法があれば、それが理想的なソリューションとなります。

ジョナサン・ホー

ありがとうございます。

オペレーター

ありがとうございます。次のご質問は、D.A. DavidsonのRudy Kessinger様からいただきます。回線は開通しています。

ルディ・ケッシンガー

皆様、こんにちは。ありがとうございます。私の質問にお答えいただき感謝します。これまでのETMの売上について伺いたいのですが、これまでの初期の売上において、想定されている1ドル分のアップリフトがフルに得られているのでしょうか？ また、それらの顧客における107%という純拡大率（ネット・エクスパンション・レート）についてですが、少し不明瞭に感じています。

過去にCPMを購入した顧客が含まれているとのことですが、その拡大率は、彼らがEPMを購入することによるアップセルも含んでいるのでしょうか？ もし可能であれば、その数字の内訳をもう少し詳しく教えていただけますでしょうか。

ジュ・ミ・キム

はい。アップリフトが実際にどの程度であるかについてコメントするには、まだ少し時期尚早です。例示的なドルベースのアップリフトは、主にリストプライス（定価）に基づいています。現在、EPMのサブスクリプションを利用している顧客コホートは非常に小規模です。

そのため、開示した数字である107%には、実際にCSAMまたはEPMを購入した顧客が含まれるようにすることにしました。この数字の計算方法は、本日の一年前、つまり2025年度第1四半期時点でEPMまたはCSAMのサブスクリプションを保有していた顧客を特定するというものです。それらの顧客を抽出し、彼らが2025年度第1四半期に生み出した収益を分母としました。そして、2026年度第1四半期における同じ顧客コホートを取り上げ、そのグループからの収益貢献度を確認しました。

ジュ・ミ・キム

そのパーセンテージを算出しました。これにはEPMやCSAMのサブスクリプションだけでなく、それらの顧客による総支出額が含まれています。私たちの考え、つまり仮説としては、これらの顧客は、理論上、CSAMを保有していて後にEPMへとアップグレードするか（EPMは本質的にCSAMからのアップグレードであるため）、あるいはEPMの購入を開始するかに関わらず、その価値を認識することで、最終的には総純ドル拡大率の向上に寄与するはずです。彼らは当社への定着性が高まり、より高いアップセルをもたらすでしょう。

これこそが、私たちが社内でこの指標を追跡している理由の一部です。つまり、第一にCSAMの顧客をEPMの顧客へと正常にアップグレードできているか、第二に、私たちが求めているタイプのアップセルを実際に生み出せているかを確認するためです。

ルディ・ケッシンガー

承知しました。非常に助かりました。先ほど聞き間違えていたようです。第二に、営業生産性はどのような状況でしょうか？ 過去数四半期でどのように推移していますか？ 販売・マーケティング費用の増加が収益の伸びを上回っていることを踏まえると、より多くのマーケティング費用が投入されているのでしょうか？ あるいは、販売・マーケティングにおける投資はどこに向かっているのでしょうか？

ジュ・ミ・キム

はい。販売・マーケティング費用の増加の大部分は、依然として人員数に起因しています。当社の人員増加率を見ていただくと、昨年は販売・マーケティング、つまりGTM（市場展開）部門において10%を超えていました。その理由の一部は、ビジネスに大きな成長の余地があると考えていること、そしてビジネスを直販から間接販売へと移行させることに注力しているためです。

パートナーと密接に連携する中で、直販に特化した営業チーム、ETMの売上に特化した営業チーム、あるいはチャネル管理や関係構築に特化した営業チームなど、さまざまな営業チームを置いています。これらのチームにおいて、継続的な成長と継続的な投資を見込んでいます。その結果、生産性は必ずしも伝統的なSaaS（Software as a Service）的な視点でのものにはなっていません。

ジュ・ミ・キム

将来的にあるべき姿とは、必ずしも一致していません。現在、それに取り組んでいるところです。効率性を向上させる余地はあります。ご指摘の通り、まだそこには至っていません。

特に、私たちは現在を、現在の生産性指標に基づいて規模を縮小させる時期ではなく、より投資を行うべき時期であると考えているためです。

オペレーター

ありがとうございます。次のご質問は、JefferiesのJoseph Gallo様からいただきます。回線は開通しています。

ジョセフ・ガロ

皆さん、こんにちは。ご質問ありがとうございます。本日のガイダンスでは、ネット・レベニュー・リテンション（NRR）はほぼ横ばいになると示されていますが、一方でETMのNRRは107%であり、成長が見込まれているとのことでした。つまり、全体のNRRが加速する潜在的なタイムラインについては、どのように考えるべきでしょうか？また、今後2四半期にわたってその数値が横ばいとなる可能性のある、考慮すべき圧力や相殺要因はありますか？

ジュ・ミ・キム

はい。当社のNRRは、ここ数四半期、103%から104%程度の範囲で推移しています。ベースラインとして引き続きそのように想定している理由は、ETMがまだ初期段階にあるためです。ETMの導入に関して、今年度の全社のNRR率を実質的に押し上げるような大幅な立ち上がりは想定していません。

今年度については、現在の地政学的状況などのマクロ要因を考慮すると、いくつかの潜在的な逆風が見込まれます。しかし、Sumedhが先ほど述べたように、お客様が当社への支出を増やす意欲があることによる需要の増加や、当社が確実に改善を支援できるサイバーセキュリティリスクの増大といった追い風によって、それらは完全に相殺される可能性があります。

ジュ・ミ・キム

そうは言っても、全体として当社のガイダンスは、現在のビリング（受注額）の観点からは、ほぼ同水準の成長というベースライン・ケースを想定しています。売上については、第1四半期に予想を上回る結果（ビート）があったため、わずかに引き上げています。全体として、2月に提示したケースから変更はありません。

ジョセフ・ガロ

なるほど、大変助かります。ありがとうございます。追質問ですが、地政学的な緊張について言及されましたね。冒頭のコメントの中で、ビジネス環境を密に監視し、それに応じて優先順位を調整することについてお話しされていたかと思います。

おっしゃっていることを定量化する方法はありますか？それは主に戦争に関連したものなのでしょうか？あるいは、顧客の予算に関して、現在はサイバーではなくAIへの支出を優先しているといったことはありますか？マクロに関するコメントの背後にある具体的な計算根拠や、過去90日間で何か変化があったのかについて伺いたいです。

ジュ・ミ・キム

はい、状況のモニタリング方法は、基本的には既存のお客様および新規の見込み客との対話に基づいています。新規顧客としてQualysへ移行することや、四半期内・四半期外を問わず当社への支出を増やすことについて議論している際、その議論の過程で混乱が生じる可能性があります。例えば、OpenAIやAnthropicからの発表などが、議論を進める上での要因となり、混乱を招く可能性があります。それは当社への売上増につながることもあれば、販売サイクルを長期化させることもあります。

そのため、私たちはそのシナリオを検討しています。プラス要因とマイナス要因（puts and takes）があり、いくらかの利益が得られる一方で、相殺要因も存在するでしょう。

ジュ・ミ・キム

だからこそ、モデル化してみると、現在の当社の見解としてのベースラインは、年初に算出した範囲とおよそ一致すると考えています。

スメド・タカール

予算に関しては、これまでのところ、お客様からサイバーに関して実質的な変化や直接的な会話は得られていません。ほぼ同様に推移していると考えています。Joo Miが述べたように、将来的に検討すべき潜在的な要素に対して、慎重を期しているだけです。

ジョセフ・ガロ

安心しました。それを聞いて良かったです。ありがとうございます。

オペレーター

ありがとうございます。次の質問は、BairdのShrenik Kothari様からです。回線は開いています。

シュレニック・コタリ

はい、質問を受け付けていただきありがとうございます。Sumedhさん、フロンティアAIのエージェンティック（agentic）な爆発的普及、そしてAgent Valによる、より広範な修復（remediation）という状況に鑑みて伺います。また、以前から専門としてお話しされていた「パッチレス・パッチング（Patchless Patching）」についても強調されていました。初期の顧客との対話についても触れられていたかと思います。

単に顧客が概念として製品を好むというレベルを超えて、それがどのようにして顧客にとって実際の予算化された運営上の優先事項になりつつあるのか、あるいはなり得るのかについて、いくつかの逸話（エピソード）や実証ポイントを挙げていただければ非常にありがたいです。具体的に何が変化しているのか、何か指摘できる点があれば教えてください。続けて質問させてください。

スメド・タカール

はい。申し上げた通り、ここ数日間、かなり多くの顧客との対話を行ってきました。その例を挙げたかと思います。

スメド・タカール

例えば、カナダの非常に大きな銀行のCISO（最高情報セキュリティ責任者）と通話した際のことです。彼は基本的に、「現状の課題は、いかにして重要事項をスキャンすることか、そしてパッチ適用については誰とパートナーシップを結ぶべきかということだ」とおっしゃっていました。そこで私が「我々はすでに『排除（eliminate）』の部分を行っている」と説明したところ、彼はすぐに興味を示されました。つまり、ITチームのパッチ適用ソリューションがパッチを当てるのに数日から数週間かかるのを待つのではなく、必要に応じて迅速に問題を修正し、パッチを適用できる能力を持つためのソリューションと提携しているのだ、と取締役に報告できるからです。

スメド・タカール

それによって、例えば、すぐにPoC（概念実証）を開始するという具体的な話に発展しました。まだ初期段階ではありますが、これは一つの逸話的な例です。初期の対話で見られた、統合型パッチングや自律型パッチングに対する反発や抵抗は、今では「おい、君たちにパッチ適用機能はあるのか？」と尋ねられるような形に変わってきていると感じています。

スメド・タカール

なぜなら、顧客が説明する必要があるのは、「より多くを発見し、より多くをスキャンしている」とか「スキャンした結果を、さらに時間がかかる他のパッチ適用ソリューションに渡している」ということではなく、パッチ適用機能そのものだからです。これは私たちが交わした良い対話の一例です。顧客は、単に多くの問題を発見するだけでなく、迅速に発見し、修復し、迅速にエクスプロイト（脆弱性の悪用）を確認し、検証し、数時間以内にパッチを適用して完了させる能力を持つことに非常に期待されていました。そうすることで、単に多くの問題を発見するだけでなく、そのレベルの成功を示すことができるからです。

これは、わずか2日前に起きた出来事の一例です。

シュレニック・コタリ

素晴らしい。Sumedhさん、大変助かりました。Joo Miさん、手短なフォローアップをさせてください。NRR（売上継続率）に関するJosephの質問に続くものですが、次の成長段階において、どのような要素が大きな変化（数値を動かすこと）をもたらすと考えているか、お考えをお聞かせください。

つまり、現在のガイダンスは、NRRの大きな変動を想定していないベースケースに基づいているように見受けられます。もちろん、Agent ValはGA（一般提供開始）しており、ETMの構成比も改善していますし、チャネルや海外市場も引き続き好調です。あなたが言及されたように、主にセールスサイクルに関する慎重な姿勢によるものなのか、あるいは、マネタイズに関してまださらなる実証ポイントを必要としている状況なのか、理解を助けていただけますでしょうか。

シュレニック・コタリ

また、高付加価値な製品のアタッチ（併売）を加速させている一方で、レガシー製品の構成比による押し下げ効果も影響しているのでしょうか？はい。

ジュ・ミ・キム

はい。それは、私たちがこれまで見てきた過去の実績に基づいています。今日、投資家の皆様と共有できる最適な指標であると考えた理由の一つは、CSAMかその他の製品かにかかわらず、弊社の過去の製品を振り返ると、新製品がお客様に浸透するまでには多少の時間がかかるためです。一例を挙げますと、CSAMは実際には2021年にリリースされました。

ブッキング（受注）への貢献率を見ていただくと、LTM（直近12ヶ月）ベースで、ETMとCSAMが現在ブッキングの11%を占めています。

ジュ・ミ・キム

ETMはリリースされたばかりであり、GA（一般提供）開始から1年強であることから、CSAMからETMへの転換やアップグレードにはおそらく時間がかかることをご理解いただけるかと思います。それを踏まえ、より多くのお客様がETMを採用するまでには時間がかかると想定していますが、それが総売上の成長にとって十分に意味のある支出の増加につながると考えています。

シュレニック・コタリ

了解しました。Joo Mi、ありがとうございます。

オペレーター

ありがとうございます。次のご質問は、JPモルガンのBrian Essex様からです。回線は開いています。

ブライアン・エセックス

こんにちは、こんにちは。ご質問の機会をいただきありがとうございます。Sumedhさん、あなたへの質問かもしれません。セキュリティ分野における基盤モデルの機能向上を踏まえ、オペレーティングシステム、インフラストラクチャ（パッケージ型およびカスタムアプリケーションの両方）、そして運用技術（OT）環境に至るまでのあらゆる範囲において、脆弱性がどこで見られるかを考えています。

これらの異なる領域における「修復可能性（fixability）」の範囲は、実質的に異なる場合があります。特に、ハードウェアについては、一部はパッチを適用できず、交換が必要になる場合もあります。カスタムアプリケーションはリファクタリングが必要になるかもしれません。あなたの経験や、基盤モデル企業から見えている状況から、脆弱性の発見および潜在的な悪用において、彼らの専門知識はどこに最も適しているとお考えでしょうか？

ブライアン・エセックス

それは、お客様のリスクプロファイルをどのように変化させ、お客様がそれらのリスクを軽減するために貴社のプラットフォームをどのように活用する可能性があるでしょうか？

スメド・タカール

はい、素晴らしい質問です。ソフトウェア開発者がコード内のより多くの脆弱性を発見するのを支援することは、間違いなくこれらのモデルがもたらす主要な要素の一つであり、それがより多くの（脆弱性の）開示につながることは間違いありません。理論上は、「もしすべてのソフトウェア開発者がモデルを使用してこれらの脆弱性を発見できれば、攻撃者が発見する前に開発者自身がコード内でそれらを見つけ出し、パッチを作成できるため、必ずしもゼロデイ問題は発生しない」と言うこともできるでしょう。そうなれば、お客様は単にそれらのパッチを適用することに集中すればよくなります。

フロンティアモデルが優れているもう一つの能力は、CVSSスコアが低いために、お客様が過去に修正していなかったかもしれない、低レベルの脆弱性の悪用を連鎖（チェイン）させる能力だと思います。

スメド・タカール

スコアが低いために、それらをいくつか連鎖させてエクスプロイトを作成できることです。ここにTruRiskプラットフォームの強みが非常に強固に存在します。弊社のTruRiskスコアリングは、すでに何度も実証していますが、例えば、CISAの「既知の悪用された脆弱性（Known Exploited Vulnerabilities）」リストに追加される約40日前に、低レベルの共通脆弱性評価システム（CVSS）の脆弱性を非常に高いスコアとして評価しています。お客様に対して、私たちが提供するインテリジェンスを環境に導入し、「これは低レベルの脆弱性ですが、攻撃に使用される可能性があります」と伝えること、そしてそれが確実に軽減されるようにすることが重要になります。

ご質問いただいた3点目については、「リスクが低いので、これにはパッチを当てない」と言うことは、全く問題ない（成立しうる）ことだと考えています。

スメド・タカール

それは非常に個別の組織レベルでの対話が必要な事項であり、繰り返しになりますが、ETMおよびTruRiskプラットフォームを通じて、お客様が自身の環境におけるコンテキストを理解し、悪用可能性（エクスプロイタビリティ）を理解し、「緩和策が講じられているため、これにパッチを当てる必要はない」という判断を下せるよう支援しています。数年前に私たちが「パッチレス・パッチング（Patchless Patching）」という概念を導入した際、私たちはすでにその先を行っていました。それは、通常の操作のようにOT資産を即座にパッチ適用できない環境、あるいはOSやパッケージを持つ通常の資産であっても、これらの環境に対して緩和策をデプロイできる能力のことです。例えば、「この古いDLLを削除すればよい」といった方法を提示できます。

これは当社のエージェントが行うことができます。

スメド・タカール

DLLの削除やレジストリキーの変更、あるいはそれと同じくらい単純なことで、その特定の環境におけるエクスプロイトの実行を実際に防ぐことができます。これが3つ目の要素であり、ETMを用いれば「お客様の環境において、実際に悪用可能な脆弱性は1%未満である」と述べることは完全に妥当です。これらは悪用不可能であることを検証済みであるため、修正する必要がないものなのです。また、「パッチを適用することなく、代替コントロールによってこれを緩和する方法が実際にある」と言えることも、非常に興味深い点です。

実際、お客様の間で人気のある機能の一つに、脆弱性を持つパッケージが過去18ヶ月間、その資産で使用されていないことを確認できる機能があります。

スメド・タカール

アンインストールは、パッチを当てようとするよりも実際には優れた選択肢です。だからこそ、私はこれを「エリミネート・ビュッフェ（eliminate buffet）」と呼んでいます。お客様に複数の異なる選択肢を提供するためです。なぜなら、目標はパッチを当てることではなく、リスクを修復し排除することだからです。

だからこそ、優先順位付けと検証を伴う「TruRisk Eliminate」が非常に重要になるのです。

ブライアン・エセックス

素晴らしい。非常に助かります。Joo Miに対して、Q-Flexについて一つ質問を挟ませてください。プログラムは、すでにプラットフォームに多額の支出を行っている大手企業顧客をターゲットにしているように聞こえます。

既存の顧客の中で、ETMへの移行の時期を迎えているような場合に、Q-Flexも提供することで、その移行を加速させる可能性はあるでしょうか？

ジュ・ミ・キム

はい、あります。現在、お客様と取り組んでいます。現在、選定された一部のお客様と協力して、今日からQ-Flexを採用できる選択肢を提供しています。停止しているわけではありません。

年末までに広く一般提供（GA）を開始することを計画しているだけです。それが成長を促進する助けになる可能性は間違いなくあると考えています。

スメド・タカール

ETMの導入を検討しているお客様とは、そのような対話を常に行っています。私たちはまずQ-Flexの話から始めますが、これは非常に好意的に受け止められています。特に、多くの新しい機能が登場し、状況が急速に変化しており、柔軟性が必要とされている現在の環境においてはなおさらです。たとえ最大規模の企業でなくても、物事をかなり迅速に動かせる柔軟性は必要です。

実際、サイバー予算が小国の国内総生産（GDP）ほどの規模ではない企業であっても、このような自動化を行い、「フロンティア・モデルが何と言おうと、自身の環境では関連性がないことを検証済みなので、これらすべてを修正する必要はない」と言えることから、多くの場合、最も大きな価値を得られるのです。

ブライアン・エセックス

なるほど。非常によく分かります。ありがとうございます。詳細なご説明をありがとうございました。

オペレーター

ありがとうございます。質問の時間は以上となります。ご参加いただきありがとうございました。以上をもちまして、本日の電話会議を終了いたします。

それでは、良い晩をお過ごしください。

ジュ・ミ・キム

失礼いたします。