05/30/2024

① Part 2:クラウドフレア / NET:SASEにおける同社の強み&競合分析・比較(PANW、FTNT、ZS)(前編)

person holding black iphone 5コンヴェクィティ  コンヴェクィティ
  • Part 2では、クラウドフレア(NET)のエンタープライズ・ネットワーキングとネットワークセキュリティへの参入に関する第2幕について説明し、さらに、SASE(Secure Access Service Edge)における同社の強みと弱みを説明する。
  • Part 3では、第3幕、同社のエッジ・コンピュート・サービスを取り上げ、競合分析にフォーカスを当てている。
  • Part 4では、最新の同社の四半期決算に焦点を当て、バリュエーション分析を行っている。
  • クラウドフレアは、従業員向けにセキュアなアクセスを提供するため、「Cloudflare Access」と「Cloudflare Gateway」を導入し、ゼロ・トラスト・ネットワークとSWG(Secure Web Gateway)の市場に参入。
  • 同社は、SASE(Secure Access Service Edge)の主要な要素であるZTNA(Zero Trust Network Access)とSWGを提供し、企業のネットワークとセキュリティの需要に応えている。
  • また、同社はアウトオブバンドCASB(Cloud Access Security Broker)に対する需要に対応するため、2022年にVectrixを買収し、CASB機能を強化している。

※専門用語の解説に関しては、「① Part 1:クラウドフレア / NET:サイバーセキュリティ銘柄のテクノロジー上の競争優位性(強み)分析と今後の将来性(前編)」をご覧ください。

クラウドフレア(NET)にとっての3つのS字カーブ:Act 1, Act 2 & Act 3(第1幕・第2幕・第3幕)

Act 2 / 第2幕

第2幕(第2のS字カーブ)は、クラウドフレア(NET)のSASE(Secure Access Service Edge)と、より広範な企業ネットワークおよびネットワークセキュリティに関してであり、今後、近い将来に最も成長が期待される分野である。

第2幕は2018年1月、同社が従業員に社内アプリケーションへのセキュアなアクセスを提供するゼロ・トラスト・ソリューション「Cloudflare Access」を開始したことから始まった。

もともとCloudflare Accessの動機は、同社の社員が、時間がかかり煩雑な従来のVPNソリューションに頼ることなく、社内アプリケーションにアクセスするための安全で効率的な方法を構築することだった。

ソリューションを改良し、その利点を直接体験した後、同社は2018年にAccessの商用化を決定し、他の組織も同じ安全で効率的なアクセス管理システムの恩恵を受けられるようにした。

そして2020年1月、同社は従業員にインターネットへの安全なアクセスを提供するSWG(Secure Web Gateway:セキュア・ウェブ・ゲートウェイ)、Cloudflare Gatewayをリリースした。

これはゼットスケーラーZS)の主力製品であるZIA(Zscaler Internet Access)の直接のライバルであり、パンデミックが始まる直前という偶然のタイミングでリリースされた。

そして、パンデミックの状況は、クラウドベースのSWGに対する大きな需要を生み出した。

なぜなら、クラウドベースのSWGは、リモートワーカーに安全なインターネットへの直接アクセスを提供するため、企業のデータセンターを経由して従業員をインターネットに接続するよりもはるかに優れた選択肢だったからである。

クラウドフレアはAccessとGatewayをCloudflare for Teamsにパッケージ化し、WFH(Work From Home:在宅勤務)の制限の中で従業員が業務を遂行するための理想的な方法として宣伝した。

この時点で、同社の目的が、2019年にガートナー社が作った造語である将来のSASEベンダーとしての地位を確立することであることは明らかだった。

そして、同社は、SASEのセキュリティ面を構成する3つのソリューションのうち、ZTNA(Zero Trust Network Access)(=Access製品)とSWG(=Gateway製品)の2つを保有していた。

また、同社がまだ開発していなかったのはCASB(Cloud Access Security Broker:クラウド・アクセス・セキュリティ・ブローカー)で、COVID-19でSaaSアプリの企業利用が爆発的に増加したため、大きな需要が発生したソリューションだった。

CASBは、SaaSアプリとそれらが保持するデータへのアクセスを管理するための帯域外のソリューションとして、2011年~12年に初めて登場した。

CASBは、クラウド上のSaaSアプリと並行して動作し、CSP(Contents Security Policyコンテンツ・セキュリティー・ポリシー)のAPIを活用することで、静止状態のデータを保護し、従業員がデータに対してできること(アクセスの制限、変更の制限など)を制御する。

しかし、ガートナー社によるSASEの一部としてのCASBの定義は、従業員とSaaSアプリの間に位置するプロキシとして動作するインラインCASBであり、基本的に様々なインラインソリューションの統合であるSASEフレームワーク全体と整合している。

アウトオブバンドCASBに対するインラインCASBの主な利点は、インラインCASBはよりきめ細かくリアルタイムのSaaSとデータアクセス制御を実施し、SaaSアプリからの不正なデータ流出を防止できることである。

インラインCASBがSASEに必要なCASBであるにもかかわらず、アウトオブバンドCASBのコンピテンシーもSASEの顧客やガートナー社によって評価されており、その理由としては、分散ITが進化する中で、この技術が企業のセキュリティ確保に重要な役割を果たしているからである。

そして、CASB市場の発展に伴い、インラインとアウトオブバンドの両方の長所を融合したハイブリッドCASBが発展してきた。

このようなハイブリッドソリューションは、継続的な監視とポリシー実施に加えてリアルタイムの保護を提供し、クラウドサービスを効果的に管理・保護する組織の能力を強化している。

2020年から21年にかけて、クラウドフレアはインラインCASBの別のSKU(Stock Keeping Unit在庫保管単位)をリリースしなかったが、Gatewayの機能を拡張し、インターネットとSaaSの両方への従業員の安全なアクセスを提供できるようにした。

しかし、当時を思い起こすと、クラウドフレアからも他のベンダーからも、このCASB機能に関する議論はあまりなかった。

これは、同社のインラインCASBがNetskopeのような他社に比べて非常に限定的であったためと思われる。

昨年のレポートにおいて、我々はインラインCASBのプレーヤーとして誰が強くなりそうかを考えてみた。

ネットワーク・セキュリティ(インライン)のバックグラウンドを持つプレイヤーと、アウトオブバンドCASBのバックグラウンドを持つプレイヤーに関してである。

インラインCASBにとって、転送中のデータを管理し、リアルタイムのアクセス制御とセキュリティを実施することが最も重要な特性であり、したがって、クラウドフレアのようなネットワーク・セキュリティ・ベンダーがインラインCASB市場で優位に立つと考えるのは自然なことだろう。

結局のところ、トランジット中のデータを検査することは非常に困難であり、アウトオブバンドCASBベンダーがインラインCASBに容易に参入できるとは考えにくい。

しかし、トランジット中のデータを管理することは非常に重要だが、何千ものSaaSアプリを理解し、それらがどのように機能し、APIを使ってどのように管理するかを学ぶことは非常に難しいことは明らかである。

したがって、アウトオブバンドCASBプレーヤーが最も付加価値の高いノウハウを持っているように見える。

この考え方は、アウトオブバンドCASBに参入したクラウドフレアと、インラインCASBに参入したNetskopeを比較すれば明らかである。

前述したように、クラウドフレアはGatewayの機能を拡張し、インラインCASBの機能を取り込んだが、それは同社がSaaSアプリの管理経験が浅いため、かなり限定的なものであった。

同社はまた、アウトオブバンドCASBを2年間ほどベータ版として提供していたが、一般に提供するために必要な標準まで開発することができなかった。

そのため、同社は2022年2月にアウトオブバンドCASBの新興企業であるVectrixを買収し、必要なSaaSのノウハウを提供し、より完全なCASBを開発した。

つまり、インライン・ネットワーク・セキュリティ・プレーヤーであるクラウドフレアが、アウトオブバンド・セキュリティに拡大するのに苦労したことは明らかである。

対照的に、2010年代初頭にアウトオブバンドCASBのパイオニアであったNetskopeは、インラインCASBへの移行がはるかに容易であった。

そして、これは、 繰り返しとなるが、サードパーティのSaaSをコントロールする知識の方が難しいからである。

その後、クラウドフレアはアウトオブバンドCASBの新興企業を買収したが、彼らがNetskopeのCASB能力に匹敵するとは思えない。

また、ランサムウェアの脅威が高まる中、データ中心のセキュリティが台頭し、SASEスタックにおけるCASBの重要性が高まっている。

これは、ガートナー社が2023年のSSEのマジック・クアドラントでNetskopeをゼットスケーラーZS)より抜擢した理由の一つである。

クラウドフレアがCASBの新興企業Vectrixを買収したタイミングは、2022年2月に発表されたガートナー社のSSE(Secure Service Edge:セキュリティ・サービス・エッジ)向けマジック・クアドラントに同社を含めるには遅すぎた。

なお、ガートナー社は市場の混乱のため、2022年にSASEをSSEとSD-WAN(Software Defined-Wide Area Network)に分割することを決定した。

その理由の詳細な説明は、最近のフォーティネットFTNTに関するレポートで触れている。

※続きは「② Part 2:クラウドフレア / NET:SASEにおける同社の強み&競合分析・比較(PANW、FTNT、ZS)(後編)」をご覧ください。