「CloudFastener」は単なるマネージドセキュリティサービスじゃない
脱WAF屋を実現したサイバーセキュリティクラウド プラットフォーマーの肩に乗る強み
2024年05月27日 09時00分更新
10年に渡ってクラウド型WAFを手がけてきたサイバーセキュリティクラウド(CSC)は、「WAF屋」からの脱却を目指している。AWS WAFのマネージドサービスからスタートし、現在はAWSのセキュリティサービスを統合的に運用する「CloudFastener」に注力する。同社 代表取締役社長 兼 CEOの小池 敏弘氏に話を聞いた。
サイバーセキュリティクラウド 代表取締役社長 兼 CEOの小池 敏弘氏
効果の得られない品質の悪いWAFが増えてしまった
Webサービスと拡大と多様化を受けて、サイバー攻撃もますます激化している。こうした中、Webサービスの防御で用いられるのがWAF(Web Application Firewall)になる。セキュリティ製品としては歴史のあるジャンルだが、現在はオンプレミスのアプライアンスからクラウドサービスに完全にシフトしている。
サイバーセキュリティクラウドは、2013年から国産のクラウド型WAF「攻撃遮断くん」を展開しており、10年かけて国内シェアNo.1までたどり着いた(出典:デロイト トーマツ ミック経済研究所)。しかし、今後はいわゆる「WAF屋」から脱却し、より幅広いクラウドセキュリティの領域に進出していくという。
この背景はWAF市場の飽和とコモディティ化だ。WAFのニーズが高まった結果、安価なWAF製品が増え、クラウドWAFのオプションサービスも増えた。小池氏は、「われわれは今もテナント占有型でWAFを提供しているが、他社は共同利用型のWAFをばらまいている。結果として、効果の得られない品質の悪いWAFが増えてしまった」と指摘する。
WAF屋からの脱却を目指す戦略の1つが、パブリッククラウドへの対応だ。同社が2017年から提供している「WafCharm」は、WAF自体ではなく、AWS WAF、Azure WAF、Google Cloud ArmorなどのパブリッククラウドのWAFサービスの自動運用を提供するサービス。アクセスログを元に発見した攻撃や脆弱性に対応するルールをWafCharmが自動更新するので、専任エンジニアがいなくとも運用を自動化できる。
パブリッククラウドのWAFサービスを自動運用するWafCharm
このWAFのルールだけを提供する「CSC Managed Rules For AWS WAF」もある。こちらはAWS Marketplaceを介して世界90もの国・地域でサービスを展開しており、日本以外の利用も増えている。「マーケットプレイスがあれば世界中に展開できる。なぜかブラジルですごく売れているんです(笑)」(小池氏)とのことだ。昨年はラスベガスのAWS re:Inventにも出展しており、日本発のグローバルプレイヤーという点でも注目したい。
AWSサービスの専門性をサービス化したCloudFastener
WAFメーカーがWAFの運用サービスに回るという大きな戦略シフトを行なった同社。小池氏は、「当初はAWSがすべてを飲み込んでしまうという危機感があったのですが、われわれはAWSのプラットフォームにあえて乗ることにしました。結果、AWSの専門性も高まり、パートナーだからこそアクセスできる情報も活用できるようになりました」と語る。
こうしてAWSへの専門性を高めた同社は、現在AWSのセキュリティサービス全体の運用管理を提供する「CloudFastener」に注力している(関連記事:サイバーセキュリティクラウド、WAF領域からマネージドセキュリティサービスに本格進出)。こちらはAWS WAFのみならず、AWS Security Hub、Amazon GuardDuty、AWS Config、Amazon Inspector、AWS CloudTrailなどの各種セキュリティサービスを統合したフルマネージドサービス。進化の著しいAWSサービスへの追従、最新のルールやアップデートにも対応し、AIをフル活用することでユーザー企業の管理負荷を大幅に軽減する。
AWS環境向けのMSSであるCloudFastener
CloudFastenerは、既存のMSS(マネージドセキュリティサービス)に加え、アラートやログを分析するSIEM(Security Information and Event Management)の機能も統合している。こうしたMSS+SIEMをオンプレミス環境でアウトソーシングするとかなり高価なサービスになるが、CloudFastenerであれば圧倒的なコストパフォーマンスを実現できる。また、ログやアラートなどのデータ自体はあくまでユーザー企業が所有しているので、ロックインにもならないという。
サービスの開発には2年をかけ、昨年10月に発表したばかり。「CloudFastenerはユーザー側の目線で作られているサービス。CSC自体が知見を持っているので、ユーザーは安心して任せられるし、コストも抑えられる」と小池氏はアピールする。
そして、先日発表したのはWAFにAPI保護、Botマネジメント、DDoS攻撃対策などの機能まで統合したクラウド型WAAP(Web Application and API Protection)だ。こちらは市場に増える「品質の悪いWAF」に対するアンチテーゼとも言える。マネージドサービスだけではなく、WAFメーカーとしての同社の強みが垣間見える。複雑化する攻撃からWebサービスを守る新しい提案として注目したいところだ。
