Rubrikが第4四半期に記録的業績、勝率は90%超 「Agent Cloud」の収益化は数年先へ
2026年度第4四半期および通期決算説明会 — 2026年3月12日
Rubrikは2026年度を過去最高の四半期で締めくくった。純新規サブスクリプションARR(年間経常収益)は1億1,500万ドルを記録し、通期のフリーキャッシュフローは前年度の10倍以上となる2億3,800万ドルに達した。経営陣は、この明白な結果に強い自信を見せた。しかし、好調な数字の裏側では、2つの構造的な問いが議論の焦点となった。一つは、中核事業であるサイバーレジリエンス(回復力)の成長エンジンが、規模拡大に伴いどこまで持続可能かという点。もう一つは、同社が最も注力する新製品「Rubrik Agent Cloud」が、有望なコンセプトから、短期間で測定可能な収益源へと進化できるかという点である。
サブスクリプションARRの成長が加速、勝率は節目に到達
サブスクリプションARRは前年同期比34%増の14億6,000万ドルに達した。そのうちクラウドARRは12億9,000万ドルで、サブスクリプションベース全体の88%を占めており、クラウドへの移行がほぼ完了したことを示している。四半期のサブスクリプション収益は50%増の3億6,500万ドル、総収益は46%増の3億7,800万ドルとなった。サブスクリプションのネットリテンションレート(NRR)は120%超を維持しており、追加のセキュリティ製品の採用がNRR拡大の45%以上を占めるなど、前年の34%から向上した。サブスクリプションARRで100万ドル以上を支出する顧客数は50%以上増加し、第4四半期だけで過去最多の32社が加わった。
今回の決算で最も運用上重要なデータポイントは、競合に対する勝率である。CEOのBipul Sinha氏は、データ保護ベンダーとの競争におけるRubrikの勝率が第4四半期に90%を超えたと述べ、「我々が負けている唯一の案件は、そもそも参戦していない案件だけだ」と断言した。同社は現在、すでに優位にある競争環境の改善よりも、市場開拓ルートの拡大と地理的なリーチの拡大に注力している。
「Identity」は販売開始から約3四半期で顧客数900社を突破、同社史上最速
アイデンティティセキュリティ事業は急速な拡大を続けている。第4四半期のIdentity顧客数は第3四半期の400社から900社へと増加した。これは同社史上最も成長の速い製品であり、社内の予想をすでに上回っている。製品ラインは「Active Directory」や「Entra ID」の復旧にとどまらず、今四半期に発表された「Okta Identity」の保護まで拡大しており、Rubrikは主要な3つのアイデンティティプロバイダーすべてをカバーする唯一のプラットフォームとなった。経営陣は、第4四半期の「M365」予約の50%以上がアイデンティティソリューションとセットであったと指摘し、クロスセルの勢いを示した。
引用された顧客事例は、取引を促進するビジネスインパクトを如実に示している。ある米国の主要ヘルスケアプロバイダーは、アイデンティティレジリエンスと10ペタバイトを超える非構造化データをカバーするためにRubrikの導入を拡大した。その戦略的根拠は、Active DirectoryとEntra IDのサイバー復旧時間を30日以上から4時間未満に短縮することにあり、ダウンタイムによる損失は1日あたり数千万ドルに上ると試算されていた。こうしたROI(投資利益率)に関する議論こそが、CISO(最高情報セキュリティ責任者)レベルでの予算確保を正当化するものであり、Rubrikは従来のCIO(最高情報責任者)やCTO(最高技術責任者)との関係に加え、CISOという購買層を意図的に開拓してきた。
Rubrik Agent Cloudが一般提供開始、ただし財務貢献は数年単位の物語
最も注目を集める新製品「Rubrik Agent Cloud」は、決算発表前の数週間でベータ版から一般提供(GA)へと移行した。現在、AIの早期導入企業やフォーチュン500企業で、複数の概念実証(PoC)が進められている。本製品は、企業が環境内で稼働するすべてのAIエージェント(認可済みおよびシャドーITの両方)を可視化し、エージェントの相互作用を制御するリアルタイムのガードレールを提供し、将来的には破壊的なエージェントの操作を取り消す「巻き戻し(rewind)」機能を提供することを目指している。
Sinha氏は、顧客の優先順位付けについて次のように説明した。「顧客はまず、システム内にいくつのエージェントが存在するか(認可済みかシャドーITか)を把握しようとしている。次に、それらのエージェントが実際に何をしているのかを理解したいと考えている。そして、そうした監視や可観測性が確保できた段階で、次のステップとして制御方法を検討する」。同氏は、巻き戻し機能については、ほとんどの企業にとって「2日目(導入後)の課題」であると付け加えた。
この分野における同社の差別化された技術的地位は、2024年の「Predibase」買収に基づいている。これはLLMの微調整および推論サービングプラットフォームであり、Sinha氏は、従来のサイバーセキュリティベンダーや可観測性スタートアップにはないモデルエンジニアリング能力を同社が提供していると主張する。「銃撃戦にナイフを持っていくことはできない」と語り、AIエージェントを統制するためのAIネイティブな制御の必要性を強調した。
しかし、BMOのKeith Bachman氏からAgent Cloudがいつ業績数値に表れるかという質問を受けた際、経営陣は具体的な時期の明示を避けた。CFOのKiran Choudary氏は、2027年度のガイダンスにはAgent Cloudからの貢献はほとんど含まれていないことを認め、「AIについては非常に期待しているものの、2027年度の業績予想には大きな期待を織り込んでいない」と明言した。投資家は、これが短期間の収益ドライバーではなく、長期的な投資テーマであると認識しておくべきだろう。
2027年度ガイダンス:堅調な成長と慎重な投資、ARR成長率は鈍化へ
2027年度のガイダンスとして、サブスクリプションARRは18億2,900万ドル〜18億3,900万ドル(前年比25〜26%増)を見込んでいる。これは2026年度の34%増から鈍化する数字だ。総収益のガイダンスは15億9,700万ドル〜16億700万ドルであり、クラウド移行の終息に伴い約1,000万ドルの貢献にとどまる「重要な権利(material rights)」を調整すると、実質的な成長率は約27〜28%となる。非GAAPベースのサブスクリプションARR貢献利益率は通期で約13%(過去12カ月の12%から上昇)を見込み、フリーキャッシュフローは2億6,500万ドル〜2億7,500万ドルの範囲と予想している。
第1四半期のガイダンスは収益3億6,500万ドル〜3億6,700万ドルで、四半期ベースではほぼ横ばいとなる。これに対し、第4四半期の駆け込み需要があったのではないかとの質問が飛んだ。Choudary氏はその見方を否定し、前年度の第1四半期が異例に好調だったため比較対象のハードルが高いこと、また、通期の純新規ARRの出発点は2026年度当初よりも成長の観点で強固であることを強調した。
また、Choudary氏はCRO(最高収益責任者)の交代についても言及した。長年営業を率いたBrian氏が退任し、Jesse Green氏が後任となる。Green氏は、MongoDBから入社後、約3年間アメリカ大陸部門を統括しており、後任を見据えて採用された人物である。経営陣はこの移行を円滑なものと位置づけ、チームの安定性は維持されており、今回のガイダンスにはこのリーダーシップ交代がすでに織り込まれていると説明した。
Sovereign Cloudが新たな機会として浮上、TAMは未定義
CitiのFatima Boolani氏の質問に対し、Sinha氏は「Sovereign Cloud(ソブリンクラウド)」の機会について詳しく解説した。急速に台頭しているものの、まだ定量化は困難だという。同氏は2つの異なる需要パターンを挙げた。一つは、国境内でオンプレミスに留まる必要がある完全に隔離された政府インフラ、もう一つは国境を越えるデータフローを制御する追加機能を備えたパブリッククラウドの導入である。さらに、国家が構築したソブリンAIインフラを「デジタル大使館」を通じて他国に貸し出すという第3のダイナミクスも指摘された。Sinha氏は、TAM(獲得可能な最大市場規模)はまだ発展途上であり、既存のIT予算の構成変更なのか、それとも純粋な新規支出なのかは不明であると率直に語った。
AIによる中核事業への脅威を経営陣が否定
MizuhoのGregg Moskowitz氏は、多くの機関投資家が抱いているであろう懸念を提起した。それは、AI自体が将来的にデータ復旧やレジリエンスという中核的な価値提案を自動化してしまうのではないか、という点である。Sinha氏はこれを否定するのではなく、実質的な反論を展開した。同氏は、Rubrikのプラットフォームは約10年にわたるエンタープライズ規模のシステム・オブ・レコード構築の蓄積であり、数千の顧客ユースケースとSOC(セキュリティ運用センター)の経験が組み込まれているため、生成AIのコーディングツールで複製することは不可能だと主張した。より構造的には、Rubrikは人員数ではなくデータ量に基づいて価格設定を行っているため、AI主導のデータ増大は脅威ではなく、同社の対象市場を直接的に拡大させるものだと指摘した。「AIの進化と企業のAI変革が進むほど、Rubrikの重要性は高まる」と同氏は述べた。
収益性は改善傾向、ただしバランスシートのレバレッジは注視が必要
第4四半期の売上総利益率は84%(前年同期は80%)に達し、収益の好調さとホスティングコストの効率化が寄与した。サブスクリプションARR貢献利益率は前年同期比で約950ベーシスポイント改善し12%となった(前年のIPO関連の給与税負担2,300万ドルを調整すると約730ベーシスポイントの改善)。四半期のフリーキャッシュフローは7,000万ドルで、2025年度第4四半期の7,500万ドルをわずかに下回ったものの、通期では10倍以上の改善となった。バランスシートには17億ドルの現金および現金同等物があり、11億ドルの転換社債を抱えている。同社がアイデンティティおよびAI分野で研究開発(R&D)と市場開拓(GTM)への投資を拡大する中で、投資家はこのレバレッジ状況を注視すべきである。
経営陣は、6月10日にラスベガスで開催される「Forward User Conference」に合わせて、初のインベスター・デイ(投資家向け説明会)を開催する予定である。Agent Cloudの商業化、ソブリンクラウドのTAM規模、長期的な利益プロファイルなど、未回答の問いが多く残されていることから、このイベントは単四半期の決算発表よりも機関投資家のセンチメントを左右する重要な触媒となるだろう。
Rubrik, Inc. 徹底分析
バックアップからサイバーレジリエンスへ:ビジネスモデルの変遷
Rubrikは、データ保護、サイバーレジリエンス、そしてAIガバナンスが交差する極めて重要な領域で事業を展開している。従来の災害復旧(DR)の常識を覆すという理念のもと設立された同社は、オンプレミス型のバックアップアプライアンス販売から、クラウドネイティブなSaaS(Software-as-a-Service)プラットフォーム「Rubrik Security Cloud」へとビジネスモデルを転換することに成功した。かつてのデータバックアップ業界は、自然災害やハードウェア障害のリスク軽減を目的として設計されており、データセキュリティよりも可用性を優先する傾向が強かった。Rubrikはこのパラダイムを逆転させ、「ゼロトラスト・データセキュリティ」の原則に基づくプラットフォームを構築した。ネットワーク境界の突破は不可避であるという前提に立ち、データそのものを保存先で保護することに注力している。同社はこのアーキテクチャを収益性の高いサブスクリプションモデルでマネタイズしている。2026年度末時点で、Rubrikのサブスクリプション年間経常収益(ARR)は14億6,000万ドルに達し、前年比34%の成長を記録した。この経常収益モデルは極めて優れたユニットエコノミクスを特徴としており、非GAAPベースの売上総利益率は83.7%、サブスクリプション貢献利益率も直近で11.6%のプラスへと転じている。ハイブリッドおよびマルチクラウド環境全体で保護されるデータの容量と複雑さに応じて企業に課金することで、データ量の増大に伴い同社のシェアも必然的に拡大する構造となっている。
競争環境と市場シェアの力学
エンタープライズデータ保護市場は、それぞれ異なる戦略的ベクトルを持つ4つの主要プレイヤーが支配する、高度に統合された寡占市場である。Rubrikはサイバー復旧に特化したカテゴリーで推定14%の市場シェアを握っているが、より広範なデータ管理市場では激しい競争が繰り広げられている。同社は6,100社以上のエンタープライズ顧客を抱え、そのうち2,805社が年間経常収益10万ドル以上を創出している。主な競合にはVeeam、Cohesity、Commvaultが名を連ねる。Veeamはデータポータビリティとインフラの非依存性を軸に、世界的に圧倒的なボリュームと市場シェアを維持している。レガシーベンダーであるCommvaultは、クラウドベースの配信モデルへの数年がかりの転換を成功させ、2026年度のARRは11億2,000万ドルを報告した。しかし、競争環境において最も大きな地殻変動は、CohesityとVeritasのデータ保護事業の統合である。この合併により、推定16億ドルのプロフォーマ収益を誇り、Fortune 500企業に深く浸透した巨大企業が誕生した。結果として、Rubrikは断片化されたレガシーベンダーではなく、潤沢な資金力を背景にしたプラットフォームとの消耗戦を強いられている。これらのシステムの主要な購買層は、大企業や医療ネットワーク、公共機関のCISO(最高情報セキュリティ責任者)やCIO(最高情報責任者)であり、Microsoft Azureをはじめとするクラウドインフラプロバイダーは、基盤サプライヤーであると同時に戦略的な市場開拓パートナーでもある。
構造的な優位性と「ゼロトラスト」の堀
Rubrikの競争優位性の源泉は、独自の基盤アーキテクチャであるファイルシステム「Atlas」にある。SMB(Server Message Block)やNFS(Network File System)といった書き込み可能なプロトコルをネットワークに露出させる従来のNAS(ネットワーク接続ストレージ)アーキテクチャとは異なり、Atlasは追記専用に設計されたシステムである。これにより論理的なエアギャップが形成され、データは書き込まれた時点でネイティブな不変性を獲得し、内部の不正な操作や外部のランサムウェアによって暗号化、改ざん、削除されることが不可能となる。この構造的な優位性により、Rubrikは大規模環境において決定論的な復旧を提供できる。深刻なランサムウェア攻撃が発生した場合、従来のシステムでは感染したバックアップデータの断片化(エントロピーの高さ)に苦しみ、手作業による反復的な復旧が必要となるため、壊滅的なダウンタイムを招くことが多い。Rubrikはオーケストレーションエンジンを活用し、最後に正常であったデータコピーを自動的に特定して優先順位付けされた迅速な復旧を実行する。経営陣によると、ランサムウェアを想定したシミュレーション環境での復旧速度を主要な選定基準とした場合、競合とのPoC(概念実証)における勝率は90%に達するという。さらに、Rubrikは高いスイッチングコストを享受している。企業がRubrik Security Cloudをオンプレミスサーバー、Microsoft 365環境、パブリッククラウドインフラ全体に統合すれば、そこからプラットフォームを切り替えることは運用上極めて困難かつリスクの高い試みとなる。
業界のベクトル:機会と存続に関わる脅威
サイバーセキュリティ業界の構造的な力学は、Rubrikにとって強烈な追い風となっている。AIが生成する多形性マルウェアの急増とランサムウェアカルテルの組織化により、取締役会は「境界防御はいずれ突破される」という現実を受け入れざるを得なくなっている。同時に、EUのデジタルオペレーショナルレジリエンス法(DORA)やSEC(米証券取引委員会)のサイバー開示義務などの規制枠組みにより、企業は境界防御の遵守を示すだけでなく、継続的な事業継続能力の証明を求められている。これらの要因により、データレジリエンスはIT運用コストから取締役会レベルのリスク管理の必須事項へと昇格した。一方で、業界の力学は恐るべき脅威も提示している。CohesityとVeritasの統合は、Veritasの膨大なレガシー顧客基盤に対してCohesityが最新のクラウドネイティブ機能をクロスセルする前例のない機会を生み出しており、Rubrikが企業の重要な更新サイクルから締め出される可能性がある。さらに、世界的なデータプライバシー法の分断化(バルカナイゼーション)が進み、ローカライズされた主権クラウドデータセンターの需要が高まっている。Rubrikのようなクラウドネイティブなプラットフォームにとって、二次的な国際市場で現地のデータレジデンス義務に準拠するために物理インフラを拡張することは、利益率を圧迫する設備投資を伴う。これは、数十年にわたりローカルのデータセンターを構築してきたレガシー競合他社の方が吸収しやすいコストである。
次世代の推進力:DSPMとエージェント型AIガバナンス
成長軌道を維持し、コモディティ化したバックアッププロバイダーと差別化を図るため、Rubrikはデータセキュリティ態勢管理(DSPM)とAIガバナンスの領域に積極的に拡大している。Laminarの買収後、RubrikはDSPMをプラットフォームにネイティブ統合した。従来のバックアップシステムは本質的に「盲目」であり、内容を理解せずにデータを複製するだけだった。態勢管理を統合することで、Rubrikはバックアップデータ内の機密性の高い知的財産や個人情報を自動的にスキャン・分類できる。侵害が発生した場合、企業はどの機密資産が流出したかを正確に把握でき、規制当局への報告や損害抑制を劇的に迅速化できる。さらに重要なのは、Rubrikが「AI企業の司令塔」としての地位を確立しようとしている点だ。同社は最近、Microsoft Azure OpenAIを基盤とした生成AIコンパニオン「Ruby」を立ち上げ、複雑な脅威ハンティングの自動化とサイバーセキュリティのスキルギャップの解消を目指している。これに加え、セマンティックAIガバナンスエンジン「Sage」を導入した。企業がワークフローを実行可能な自律型AIエージェントを急速に導入する中、エージェントがハルシネーション(幻覚)を起こしたり、乗っ取られてミッションクリティカルなデータを削除したりするリスクが指数関数的に増大している。Sageはリアルタイムのランタイムガードレールとして機能し、エージェントの行動を監査してコンプライアンスを強制し、破壊的なAIのミスを即座に元に戻す機能を提供する。このプロアクティブなガバナンス層は、RubrikのTAM(獲得可能な最大市場規模)を大幅に拡大し、受動的なデータ復旧から能動的なAIセキュリティ運用へと事業領域を広げるものだ。
新たな脅威:境界線の変化
エンタープライズデータ保護市場への参入障壁は、データ重力とペタバイト規模のワークロード管理の必要性によって強固に守られているが、市場の周辺部では専門的かつ機敏なスタートアップが流入している。DSPMやクラウドネイティブなアプリケーション保護プラットフォームに特化した新興勢力が、サイバーセキュリティスタックのアンバンドル(切り出し)を試みている。これらの参入企業は、軽量なエージェントレスアーキテクチャを活用し、フルスタックのバックアップソリューションを導入する運用負荷なしに、クラウドの脆弱性を迅速に可視化する。これらのスタートアップは大規模なデータオーケストレーションや復旧を実行するインフラは持たないものの、CISOの予算の断片を奪い取る脅威となり得る。しかし、2026年のエンタープライズソフトウェア調達における支配的なトレンドは、極端なベンダー統合である。CIOはポイントソリューションを体系的に排除し、統合プラットフォームへの集約を進めている。したがって、これらの破壊的参入者が技術革新を推進したとしても、最終的には独立した市場支配力を得るよりも、既存の寡占プレイヤーによる買収という結末を迎える可能性が高い。Rubrikにとっての真の存続を脅かすリスクは、小規模なスタートアップからではなく、主要なパブリッククラウドプロバイダーが、高度なゼロトラスト・データ復旧機能を自社の主要なコンピューティングおよびストレージ製品にネイティブバンドルすることを決定することにある。
経営陣の実行力と資本配分
Rubrikの運用実行力は、CEOであるBipul Sinhaが牽引する、執拗かつ極めてアグレッシブな企業文化によって定義されている。ベンチャーキャピタリストとしての経歴を持ち、Nutanixのようなインフラ破壊者への初期投資家でもあったSinhaは、成熟したソフトウェア企業にありがちな安定化戦略を否定し、同社を「永続的な創造モード」へと明確に舵を切らせた。過去10年間、経営陣はハードウェア販売から完全なクラウドサブスクリプションモデルへの危険な転換を、トップラインの勢いを落とすことなく成し遂げた。2024年のIPO(新規株式公開)を巡る実行力は臨床的に精密であり、Laminarの買収資金を確保し、グローバルなエンタープライズ販売能力をアグレッシブに拡大する基盤となった。財務面では、経営陣はトップラインの拡大と、キャッシュ創出への規律ある転換とのバランスを維持している。2027年度に向けて、同社は売上高16億ドルへの接近と、2億6,500万ドルから2億7,500万ドルのフリーキャッシュフロー創出をガイダンスとして示している。これは、中核となるビジネスモデルが十分な規模に達し、大きな営業レバレッジを生み出せるようになったことを示唆している。IPO後の典型的なインサイダーによる株式売却は見られるものの、経営陣の実績は、市場のコンセンサスが形成される数年も前にサイバーセキュリティとデータ保護の融合を正確に予測したリーダーシップチームであることを物語っている。
総評
Rubrikは、サイバーセキュリティインフラ市場において最も説得力のあるエンタープライズソフトウェアプラットフォームの一つを構築することに成功した。追記専用の不変ストレージが持つ決定論的な信頼性と、高度な脅威分析およびAIガバナンスを組み合わせることで、脅威アクターとレガシー競合の両方に対して強固な技術的堀を築いている。財務プロファイルはこの競争力を反映しており、可視性の高い経常収益ストリーム、拡大する貢献利益率、堅調なフリーキャッシュフロー創出がその証左だ。エージェント型AI導入に伴うシステムリスクを管理するという戦略的転換は、今後10年のエンタープライズアーキテクチャにおける同社の重要性をさらに確固たるものにするだろう。
しかし、マクロ経済および競争環境は、実行上のミスを一切許容しない。CohesityとVeritasの統合により、巨大な販売力を持つ競合が誕生し、Commvaultのようなレガシーピアもクラウドへの移行において驚くべき回復力を見せている。Rubrikは、潤沢な資金を持つライバルを技術で凌駕し続けると同時に、グローバルな主権クラウド義務に伴う複雑な利益率への影響を管理しなければならない。投資の最終的な論点は、同社が「最も成長の速いバックアップベンダー」という物語から、「AI時代の決定的な、代替不可能なセキュリティ・コントロールプレーン」へと脱皮できるかどうかにかかっている。