イスラエル発の未上場企業「Wiz」が120億ドルのデカコーンに成長した理由、革新的クラウドセキュリティとそのリスクを分析

Wizのアーキテクチャー

コア・アドバンテージ：包括的なスキャンとコンテクスト化

※コンテクスト：セキュリティに関連する状況や環境の情報

Wizの主な強みは、広範なクラウド資産をスキャンし、結果を相関させる能力にある。これにより、ユーザーは明確なリスク優先順位を得ることができ、Wizは一般的なクラウドセキュリティポスチャー管理（CSPM）プロバイダーと一線を画している。

例えば、CSPMプロバイダーは、Kubernetes（コンテナの運用管理と自動化を行うために設計されたオープンソースソフトウェア）クラスタが公開エンドポイントを持っていることを警告し、これがセキュリティリスクと見なされる。この警告により、アクセスを制限するための即時対応が促され、アプリケーションに問題を引き起こす可能性がある。Wizの包括的なスキャンと相関能力は、より詳細なリスク評価を提供する。例えば：

・クラスターは厳格なポリシーを持つRBAC（ロールベースアクセス制御）を使用している。

・全てのユーザーに対して多要素認証が強制されている。

・クラスターは本番環境で稼働しているが、非機密性のアプリケーションのみをホストしている。

・全ての受信トラフィックはWAF（Web Application Firewall）を通過してフィルタリングされる。

・クラスターは最新のセキュリティパッチで更新されている。

Wizはこの情報を企業のセキュリティポリシーおよび業界のベストプラクティスと照らし合わせる。この分析に基づき、Wizは公開エンドポイントのKubernetesクラスタに低リスク評価を割り当てる。この詳細なリスク評価により、スタッフが不足しているセキュリティチームは時間を節約し、重要な脆弱性に集中することができる。

Wizの技術的基盤

WizはCSPMプレイヤーとしてスタートしたが、より広範なスキャン能力をエージェントレスで実現している。これにより、顧客はマシンにエージェントを展開することなく、この情報を迅速かつ環境を乱さずに得ることができる。

なぜWizは他のエージェントレスクラウドセキュリティや次世代CSPMプレイヤーより優れているのだろうか？全てのクラウドセキュリティベンダーは環境をスキャンし、設定ミスを発見するために必要なCSP（クラウド・サービス・プロバイダー）のAPIへの同じアクセス権を持っている。Wizの創業者たちがアダロム（Adallom）時代やマイクロソフト（MSFT）での経験を通じて得たクラウド環境の深い理解が、CSPの可能性を最大限に活用する上でのアドバンテージを与えている。

また、Wizのアーキテクチャアプローチも大きなアドバンテージとなっている。Wizはクリーンスレートアーキテクチャを使用してプラットフォームを構築し、シームレスな統合のために単一の統一言語を使用している。Wizのアーキテクチャの中心には、強力なクラウドネイティブのグラフデータベースであるAmazon Neptune（AMZN）がある。この選択により、Wizはクラウド資産、設定、および脆弱性間の複雑な関係を効率的に保存し、分析し、詳細なコンテクスト化を提供することができる。

今日までのM&Aの影響を受けない単一のアーキテクチャにより、Wizはより広範なデータポイントを接続し、統合し、多くの機能を標準で提供することができる。これに対し、広範なM&Aによる断片的なアーキテクチャを持つPrisma Cloudは、標準で提供できる機能が少ない。複雑な要件を持つエンタープライズ顧客は、Prisma Cloudではカスタマイズを必要とするが、Wizでは既に必要な機能が揃っている可能性が高い。そして、Wizは全ての機能をスキャンエンジンに組み込んでいるため、価値を提供するまでの時間が短い。

Prisma Cloudのスキャン能力の弱さは、脆弱性管理にQualys（QLYS）を利用していることに起因し、これが断片的なアーキテクチャをさらに悪化させている可能性がある。Wizの社内での脆弱性スキャンが、両者の違いを説明する要因であろう。

Wizのセキュリティグラフ

Wizの技術的基盤は、業界標準を新たに設定する直感的な可視化ツールであるWizセキュリティグラフに現れている。競合他社が部分的な実装を提供するのに対し、Wizのセキュリティグラフは複数のクラウド環境にわたる深い統合を提供し、データをほぼリアルタイムで相関させる。これにより、セキュリティおよびDevOpsチームは全体像を把握し、効率的な調査、迅速な対応、より効果的な修復を実現することが出来る。

モジュール統合によるコンテクスト化されたリスク優先順位付け

Wizの独自のセールスポイントは、そのコンテクスト化のレベルにある。Wizは、CSPM、脆弱性管理、シークレットスキャニング、DSPM、KSPM、CIEM、CWPP、およびCI/CD統合など、標準パッケージに含まれる広範なコアモジュールを提供していると推測される。

※DSPM：データセキュリティポスチャ管理

※KSPM：Kubernetesクラスタのセキュリティ状況を管理・監視すること

※CIEM：クラウド・インフラストラクチャー・エンタイトルメント管理

※CWPP：クラウドワークロード保護プラットフォーム

※CI：継続的インテグレーション

※CD：継続的デリバリー

Wizがコンテクスト化されたアラートとリスクランキングで評価を築くためには、これらのモジュールがデフォルトで含まれている必要がある。さもなければ、Wizは全てのアドオンを購入したごく一部の顧客に対してのみこのレベルのコンテクスト化を提供することとなり、口コミ効果が減少する。WizはAWSマーケットプレイスで一つのSKUのみを提供しており、他のベンダーは異なるティアに結びついた複数のSKUを提供している。

クラウドからコードへの修正

Wizは、より大きなコンテクストを得るために全てを接続することを強調している。パロアルトネットワークス（PANW）はPrisma CloudをSDLC（ソフトウェア開発ライフサイクル）から本番クラウド環境までを保護するエンドツーエンドのコードからクラウドへのプラットフォームとしてマーケティングしている。一方でWizは、改良されたセキュリティグラフをクラウドからコードへのツールとして宣伝し、セキュリティチームが本番環境から初期のコード開発段階までの問題をトラブルシュートし修正するのを支援している。

改良されたWizのセキュリティグラフは、データ侵害の根本原因をナビゲートする際に、セキュリティ担当者を支援できる。例えば、SBOM（ソフトウェア部品表）で見られるオープンソースソフトウェアのアーティファクト等が挙げられる。そして、このレベルの相関は、クラウドセキュリティ分野で他のベンダーによって模倣されていないというのが現状である。

Wizの顧客中心のアプローチと価格戦略

Wizは、全ての顧客に最良のコンテクスト化されたリスク優先順位付けを提供するために、多くのモジュールをコアプラットフォームに含めている可能性が高い。Wizの価格構造はワークロード単位での課金であり、他社に比べてシンプルでわかりやすい。この顧客中心のアプローチは包括的なプロテクションを提供し、迅速に堅実な評判を築く上で重要な要素となるであろう。

Wizのアーキテクチャのサマリー

以上より、Wizは、高度にモジュール化されたアドオンモジュールアプローチを避け、包括的なスキャンとコンテクスト化されたリスクランキングを提供することに重点を置いている。この単一のアーキテクチャにより、標準で提供される機能が増え、カスタマイズの必要性が減少し、顧客にとっての価値提供までの時間が短縮されている。

※続きは「Part 1 - 注目のクラウドセキュリティ銘柄Wizとパロ・アルト・ネットワークス（PANW）の比較：テクノロジーと価格モデルを徹底分析」をご覧ください。

その他のテクノロジー銘柄関連レポート