「CloudFastener」は単なるマネージドセキュリティサービスじゃない

脱WAF屋を実現したサイバーセキュリティクラウド　プラットフォーマーの肩に乗る強み

2024年05月27日 09時00分更新

文● 大谷イビサ　編集●ASCII

　10年に渡ってクラウド型WAFを手がけてきたサイバーセキュリティクラウド（CSC）は、「WAF屋」からの脱却を目指している。AWS WAFのマネージドサービスからスタートし、現在はAWSのセキュリティサービスを統合的に運用する「CloudFastener」に注力する。同社代表取締役社長兼 CEOの小池敏弘氏に話を聞いた。

サイバーセキュリティクラウド代表取締役社長兼 CEOの小池敏弘氏

効果の得られない品質の悪いWAFが増えてしまった

　Webサービスと拡大と多様化を受けて、サイバー攻撃もますます激化している。こうした中、Webサービスの防御で用いられるのがWAF（Web Application Firewall）になる。セキュリティ製品としては歴史のあるジャンルだが、現在はオンプレミスのアプライアンスからクラウドサービスに完全にシフトしている。

　サイバーセキュリティクラウドは、2013年から国産のクラウド型WAF「攻撃遮断くん」を展開しており、10年かけて国内シェアNo.1までたどり着いた（出典：デロイトトーマツミック経済研究所）。しかし、今後はいわゆる「WAF屋」から脱却し、より幅広いクラウドセキュリティの領域に進出していくという。

　この背景はWAF市場の飽和とコモディティ化だ。WAFのニーズが高まった結果、安価なWAF製品が増え、クラウドWAFのオプションサービスも増えた。小池氏は、「われわれは今もテナント占有型でWAFを提供しているが、他社は共同利用型のWAFをばらまいている。結果として、効果の得られない品質の悪いWAFが増えてしまった」と指摘する。

　WAF屋からの脱却を目指す戦略の1つが、パブリッククラウドへの対応だ。同社が2017年から提供している「WafCharm」は、WAF自体ではなく、AWS WAF、Azure WAF、Google Cloud ArmorなどのパブリッククラウドのWAFサービスの自動運用を提供するサービス。アクセスログを元に発見した攻撃や脆弱性に対応するルールをWafCharmが自動更新するので、専任エンジニアがいなくとも運用を自動化できる。

パブリッククラウドのWAFサービスを自動運用するWafCharm

　このWAFのルールだけを提供する「CSC Managed Rules For AWS WAF」もある。こちらはAWS Marketplaceを介して世界90もの国・地域でサービスを展開しており、日本以外の利用も増えている。「マーケットプレイスがあれば世界中に展開できる。なぜかブラジルですごく売れているんです（笑）」（小池氏）とのことだ。昨年はラスベガスのAWS re:Inventにも出展しており、日本発のグローバルプレイヤーという点でも注目したい。

AWSサービスの専門性をサービス化したCloudFastener

　WAFメーカーがWAFの運用サービスに回るという大きな戦略シフトを行なった同社。小池氏は、「当初はAWSがすべてを飲み込んでしまうという危機感があったのですが、われわれはAWSのプラットフォームにあえて乗ることにしました。結果、AWSの専門性も高まり、パートナーだからこそアクセスできる情報も活用できるようになりました」と語る。

　こうしてAWSへの専門性を高めた同社は、現在AWSのセキュリティサービス全体の運用管理を提供する「CloudFastener」に注力している（関連記事：サイバーセキュリティクラウド、WAF領域からマネージドセキュリティサービスに本格進出）。こちらはAWS WAFのみならず、AWS Security Hub、Amazon GuardDuty、AWS Config、Amazon Inspector、AWS CloudTrailなどの各種セキュリティサービスを統合したフルマネージドサービス。進化の著しいAWSサービスへの追従、最新のルールやアップデートにも対応し、AIをフル活用することでユーザー企業の管理負荷を大幅に軽減する。

AWS環境向けのMSSであるCloudFastener

　CloudFastenerは、既存のMSS（マネージドセキュリティサービス）に加え、アラートやログを分析するSIEM（Security Information and Event Management）の機能も統合している。こうしたMSS＋SIEMをオンプレミス環境でアウトソーシングするとかなり高価なサービスになるが、CloudFastenerであれば圧倒的なコストパフォーマンスを実現できる。また、ログやアラートなどのデータ自体はあくまでユーザー企業が所有しているので、ロックインにもならないという。

　サービスの開発には2年をかけ、昨年10月に発表したばかり。「CloudFastenerはユーザー側の目線で作られているサービス。CSC自体が知見を持っているので、ユーザーは安心して任せられるし、コストも抑えられる」と小池氏はアピールする。

　そして、先日発表したのはWAFにAPI保護、Botマネジメント、DDoS攻撃対策などの機能まで統合したクラウド型WAAP（Web Application and API Protection）だ。こちらは市場に増える「品質の悪いWAF」に対するアンチテーゼとも言える。マネージドサービスだけではなく、WAFメーカーとしての同社の強みが垣間見える。複雑化する攻撃からWebサービスを守る新しい提案として注目したいところだ。

■関連サイト