「CloudFastener」は単なるマネージドセキュリティサービスじゃない
脱WAF屋を実現したサイバーセキュリティクラウド プラットフォーマーの肩に乗る強み
2024年05月27日 09時00分更新
10年に渡ってクラウド型WAFを手がけてきたサイバーセキュリティクラウド(CSC)は、「WAF屋」からの脱却を目指している。AWS WAFのマネージドサービスからスタートし、現在はAWSのセキュリティサービスを統合的に運用する「CloudFastener」に注力する。同社 代表取締役社長 兼 CEOの小池 敏弘氏に話を聞いた。
サイバーセキュリティクラウド 代表取締役社長 兼 CEOの小池 敏弘氏
効果の得られない品質の悪いWAFが増えてしまった
Webサービスと拡大と多様化を受けて、サイバー攻撃もますます激化している。こうした中、Webサービスの防御で用いられるのがWAF(Web Application Firewall)になる。セキュリティ製品としては歴史のあるジャンルだが、現在はオンプレミスのアプライアンスからクラウドサービスに完全にシフトしている。
サイバーセキュリティクラウドは、2013年から国産のクラウド型WAF「攻撃遮断くん」を展開しており、10年かけて国内シェアNo.1までたどり着いた(出典:デロイト トーマツ ミック経済研究所)。しかし、今後はいわゆる「WAF屋」から脱却し、より幅広いクラウドセキュリティの領域に進出していくという。
この背景はWAF市場の飽和とコモディティ化だ。WAFのニーズが高まった結果、安価なWAF製品が増え、クラウドWAFのオプションサービスも増えた。小池氏は、「われわれは今もテナント占有型でWAFを提供しているが、他社は共同利用型のWAFをばらまいている。結果として、効果の得られない品質の悪いWAFが増えてしまった」と指摘する。
WAF屋からの脱却を目指す戦略の1つが、パブリッククラウドへの対応だ。同社が2017年から提供している「WafCharm」は、WAF自体ではなく、AWS WAF、Azure WAF、Google Cloud ArmorなどのパブリッククラウドのWAFサービスの自動運用を提供するサービス。アクセスログを元に発見した攻撃や脆弱性に対応するルールをWafCharmが自動更新するので、専任エンジニアがいなくとも運用を自動化できる。
パブリッククラウドのWAFサービスを自動運用するWafCharm
このWAFのルールだけを提供する「CSC Managed Rules For AWS WAF」もある。こちらはAWS Marketplaceを介して世界90もの国・地域でサービスを展開しており、日本以外の利用も増えている。「マーケットプレイスがあれば世界中に展開できる。なぜかブラジルですごく売れているんです(笑)」(小池氏)とのことだ。昨年はラスベガスのAWS re:Inventにも出展しており、日本発のグローバルプレイヤーという点でも注目したい。
AWSサービスの専門性をサービス化したCloudFastener
WAFメーカーがWAFの運用サービスに回るという大きな戦略シフトを行なった同社。小池氏は、「当初はAWSがすべてを飲み込んでしまうという危機感があったのですが、われわれはAWSのプラットフォームにあえて乗ることにしました。結果、AWSの専門性も高まり、パートナーだからこそアクセスできる情報も活用できるようになりました」と語る。
こうしてAWSへの専門性を高めた同社は、現在AWSのセキュリティサービス全体の運用管理を提供する「CloudFastener」に注力している(関連記事:サイバーセキュリティクラウド、WAF領域からマネージドセキュリティサービスに本格進出)。こちらはAWS WAFのみならず、AWS Security Hub、Amazon GuardDuty、AWS Config、Amazon Inspector、AWS CloudTrailなどの各種セキュリティサービスを統合したフルマネージドサービス。進化の著しいAWSサービスへの追従、最新のルールやアップデートにも対応し、AIをフル活用することでユーザー企業の管理負荷を大幅に軽減する。
AWS環境向けのMSSであるCloudFastener
CloudFastenerは、既存のMSS(マネージドセキュリティサービス)に加え、アラートやログを分析するSIEM(Security Information and Event Management)の機能も統合している。こうしたMSS+SIEMをオンプレミス環境でアウトソーシングするとかなり高価なサービスになるが、CloudFastenerであれば圧倒的なコストパフォーマンスを実現できる。また、ログやアラートなどのデータ自体はあくまでユーザー企業が所有しているので、ロックインにもならないという。
サービスの開発には2年をかけ、昨年10月に発表したばかり。「CloudFastenerはユーザー側の目線で作られているサービス。CSC自体が知見を持っているので、ユーザーは安心して任せられるし、コストも抑えられる」と小池氏はアピールする。
そして、先日発表したのはWAFにAPI保護、Botマネジメント、DDoS攻撃対策などの機能まで統合したクラウド型WAAP(Web Application and API Protection)だ。こちらは市場に増える「品質の悪いWAF」に対するアンチテーゼとも言える。マネージドサービスだけではなく、WAFメーカーとしての同社の強みが垣間見える。複雑化する攻撃からWebサービスを守る新しい提案として注目したいところだ。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
