クラウドセキュリティ企業の比較（パート2）：Wiz 対 PANW、二強対決の行方

※「注目のクラウドセキュリティ企業の比較：クラウドストライク・センチネルワン・パロアルトネットワーク・Wiz等の競争力分析」の続き

※Wiz社は上場していません。

クラウドセキュリティは、複雑さと緊急性が増す新たな時代に突入しています。パート1のTAM（Total Addressable Market：獲得可能な最大市場規模）に関するセクションで議論したように、AIへの需要の高まりは、クラウドインフラの採用を直接的に加速させ、より多くのソフトウェア開発を可能にしています。その結果、管理・保護すべきアセット（資産）が増加しているのです。

オンプレミスからクラウドへ、オフィス勤務からリモートワークへ、そしてエッジコンピューティングへ、そして今やクラウドでホストされるAIワークロードやAIによるソフトウェア開発へと、攻撃対象領域は拡大の一途をたどってきました。AIは、このトレンドにおける最新の触媒です。AIが他と一線を画すのは、クラウドサービスをより多く消費するだけでなく、物理的な世界をより多くオンラインに引き込むという二重の役割を担っている点です。

AIはデータ、特に現実世界のリアルタイムデータを糧とします。企業は今、そのニーズを満たすためにデジタル化を加速させています。これは、これまで管理や分析の複雑さから分離されていたり、接続されていなかったりした**OT（Operational Technology：産業制御システム）やIoT（Internet of Things：モノのインターネット）**デバイスを、より多くオンラインに接続することを意味します。AIによってデータ分析がより大規模かつ実用的になったことで、企業は工場のセンサーから小売店のカメラまで、あらゆるものを接続する強い動機を見出しています。伝統的な産業分野でさえ、AI開発競争に乗り遅れるリスクを冒したくないと考えているのです。

その結果、企業の相互接続はかつてないほど進んでいます。従業員一人当たりの平均アセット数は前年比で133%も急増し、ユーザー一人当たり2,000アセット以上に達しています。このデジタルエンドポイントの爆発的な増加は、脆弱性の増加という直接的かつ予測可能な結果をもたらします。米国のNIST（National Institute of Standards and Technology：国立標準技術研究所）が公開するCVEデータは、この状況を明確に示しています。

• 2020年～2022年: 年間約20,000件のCVEが公開され、着実に増加。

• 2023年: 28,000件のCVEが公開され、急増を記録。

• 2024年: 40,009件のCVEが公開され、前年比42%増という過去最高の数値に。

• 2025年（予測）: 48,675件から58,956件のCVEが予測される。

年間CVE公開件数の累計（NVDデータ）

（出所：NIST - NVD data）

事実上、新たに公開される年間のCVE数は、ChatGPTのリリースによって生成AIブームが本格化する直前の2022年と比較して、2025年末までに3倍になるペースで進んでいます。この傾向は、AIの採用がいかに革新的であると同時に、企業の抱えるリスクを劇的に増大させているかを浮き彫りにしています。

終わらない脆弱性対応：パッチ適用の遅れという現実

こうした状況の中、特にクラウド環境における脆弱性管理に再び注目が集まっています。2022年のEdgescanの調査など、数多くのCVE研究で指摘されているように、生成AI時代の幕開け以前から、CVEの管理は極めて困難でした。2021年の時点でも、企業が脆弱性（緊急度や深刻度が高いものを含む）にパッチを適用するのに、通常50日から70日かかっていました。この遅いパッチ対応と、新しいCVEが急速に出現するスピードを考え合わせれば、平均して企業内（従業員1,000人以上の企業、Edgescan調査に基づく）のCVEの41%が未修正のままである理由も明らかでしょう。そして繰り返しますが、これらの統計は2022年に実施された調査のものです。

（出所：Edgescan）

Edgescanがより最近実施した別の脆弱性調査では、MTTR（Mean Time To Remediate：平均修復時間）、つまりパッチを適用するまでの時間が、全体的に長くなっていることが示されています。この傾向は特に製造業、金融サービス、ヘルスケアで顕著です。一方で、行政・政府機関ではMTTRが短縮されていますが、これは米国政府でPalantir（PLTR）の導入が進んでいる結果である可能性が高いと考えられます。

（出所：Edgescan）

興味深いことに、今日のCVEのうち緊急または高深刻度に分類されるものの割合は、2022年よりも数パーセント低くなっています。つまり、新たなCVEの急増は、主に中〜低深刻度の範囲で起きているのです。

この事実が、私たちがこのクラウドセキュリティレポートでCVEの爆発的増加を強調している理由につながります。人手不足のIT、SOC（Security Operation Center）、DevOpsチームが、これらすべての脆弱性を修正することが明らかに不可能であるため、リスクの優先順位付けが絶対的に不可欠になってきています。効果的な文脈化（コンテキスト化）とその後の優先順位付けができない不十分なVM（Vulnerability Management：脆弱性管理）ソフトウェアが、企業の状況をさらに悪化させている可能性があります。不適切なリスク分類は、ITチームが重要度の低いCVEの修正に時間と労力を浪費し、結果としてより深刻なCVEが放置され、最終的に悪意のある攻撃者に悪用されることを意味します。

Wizの強さの秘密：卓越したスキャン能力と文脈化

この不安定な状況こそ、Wizが設定ミス（ミスコンフィグ）から脆弱性へと焦点と事業を拡大・移行させた理由です。興味深いことに、18ヶ月前にはWizのウェブサイトにVMという明確な製品カテゴリもソリューションもなく、VMに関する資料も一切ありませんでした。しかし12ヶ月前、この状況は一変し、彼らはCWP（Cloud Workload Protection：クラウド上のワークロードを保護するセキュリティ）にVMを後付けしたように見えます。

WizがVM分野への拡大に踏み切ったのは、その優れたリスクスキャンと優先順位付けエンジンのおかげです。Wizは2020年に**CSPM（Cloud Security Posture Management：クラウド設定ミス監視）**ベンダーとしてスタートしましたが、実際には当初からIaaS（Infrastructure as a Service）の設定ミスだけでなく、はるかに多くのものをスキャンし、警告を発していました。Wizはすぐにスキャン範囲をシフトレフト領域（コードリポジトリ、CI/CDパイプライン、コンテナなど）や、Kubernetesのようなクラウドネイティブの本番環境にまで拡大しました。

過去12〜18ヶ月で、彼らはソフトウェアの脆弱性スキャンへとさらに進出し、自社の強みであるリスクの文脈化と優先順位付け能力を活用しています。Wizの創業者たちは、Microsoftでの深い知識（2015年にAdallomをMSFTに売却後、創業者たちはAzure部門で約4年間勤務）を活かし、Windowsスタックから発生する何千ものCVEを特定、文脈化し、優先順位を付けています。数年前のコロナ禍では、PANWは脆弱性管理にQualys製品を利用していました。このことから、Wizがこの点をPrisma Cloudに対する主要な差別化要因と見なしたと推察できます。

要するに、Wizは今やクラウド環境内のほぼすべてをスキャンしています。しかし、スキャン、つまりエージェントレスのセキュリティだけでは、環境を完全に保護するには不十分です。スキャンは適切なセキュリティ体制（CSPM、CIEM、DSPMなど）を確保し、設定ミスやCVEを最小化することで攻撃対象領域を減らすのに優れていますが、巧妙な攻撃者は脆弱性がなくても侵入できます。彼らは警告を発しない一見正当な手段で侵入し、マシン上で悪意のあるコードを実行したり、権限を昇格させて価値のあるデータやシステムにアクセスしたりすることが可能です。

これが、Wizが約2年前に方針を転換し、CWP分野への参入を決断した理由です（当初はSentinelOneとの提携を通じて、後に独自のeBPF（extended Berkeley Packet Filter：Linuxカーネル内で安全にプログラムを実行する技術）センサーを開発）。

そして偶然にも、ベンダーとしてCVEを深く理解していることが、非常に効果的なCWPソリューションを提供する能力を大いに高めることになりました。脆弱性を詳細に理解することで、WizはそのCVEデータをeBPFセンサー内の正確な許可リストやブロックルールに変換できます。この脆弱性インテリジェンスと強制ルールの緊密な統合こそが、彼らのCWP能力を強化しているのです。エージェントレスとエージェントベースのアプローチを組み合わせることで、CVEの脅威を確実に封じ込めます。Wizによれば、エージェントレスの脆弱性スキャンはクラウド環境内の完全なCVEカバレッジを保証し、センサーはメモリ上でアクティブになっている脆弱性を特定します。

Wizが独自のCWPを開発したスピードは速く、彼らのeBPFセンサーがK8s（Kubernetes）ホストの強化をサポートしている点も印象的です。これは、エンドポイントセキュリティ企業であるCrowdStrike（CRWD）でさえ、あまりうまくできていない領域です。

PANWの逆襲：「Darwin」リリースと「Cortex Cloud」構想

Wizのプラットフォームは、ほとんどのコンポーネントを内製し、単一のセキュリティグラフ上に統合しているため、豊かな文脈化を実現しています。各ソリューションが深く連携し、コンテキストと真のリスクを理解する上で大きな相乗効果を生み出す「1+1=3」の効果があり、これはスタンドアロンのモジュールよりもはるかに高い価値を提供します。この文脈化こそが、より効果的なリスクスキャンを可能にし、CVEの優先順位付けにおいてWizに優位性をもたらしているのです。

PANWが2023年後半にリリースしたPrisma Cloudの「Darwin」は、Wizの文脈化における優位性との差を埋めるための戦略でした。Darwinリリースは、コード、インフラ、ランタイムにわたるアクティビティを連携させ、異常を検知し、リスクをその発生源まで追跡します。本質的に、Darwinは開発ライフサイクルの初期段階から本番環境でのリアルタイム脅威対応（CDR：Cloud Detection & Response）まで、Wizのエンドツーエンドのコンテキストに匹敵すると主張しています。

一方で、ゼロデイ脆弱性（ソフトウェアベンダーに知られていない未知の脆弱性）は、WizとPANWを比較する上で重要な考慮事項です。定義上、ゼロデイはスキャンすることができません。Wizは既知のCVEの優先順位付けに優位性があるかもしれませんが、この利点はゼロデイ脅威には直接及びません。ゼロデイの発見と防御は、スキャンよりも脅威インテリジェンスとリアルタイムの異常検知に依存します。「知らないものはスキャンできないが、奇妙な振る舞いはブロックできるかもしれない」のです。この点においては、PANWが優位に立っている可能性があります。XDR、XSIAM、そして長年の経験に裏打ちされた成熟したランタイム保護能力は、ゼロデイ攻撃から生じる悪意のある活動を阻止するのにより適しています。

今後、CNAPP市場の勝者となるのは、ITおよびSecOpsチームが適切な場所に集中できるよう、CVEだけでなく、IaaS、PaaS、SaaS、内部アプリケーションにわたる設定ミスを優先順位付けし、大幅に削減できるベンダーでしょう。

（出所：Wiz）

しかし、私たちが予測してきたように、リアルタイム保護もまた重要な要件として浮上しています。Wizは、リアルタイム保護（CWP）の需要が高まる約18〜24ヶ月前からセンサー/エージェントの開発に着手しており、市場の力学に完璧に対応してきました。

2025年2月、PANWはPrisma Cloudの次世代版である「Cortex Cloud」を発表しました。これは、Prisma Cloudが段階的に廃止されることを示唆する、かなり大胆なリブランディングです。

これまでPrisma Cloudの顧客がCDRを必要とする場合、XSIAM、XSOAR、XDRから成る別のCortexパッケージを追加で購入し、PANWと協力してPrisma Cloudに統合する必要がありました。これは明らかに多くの手間を生じさせます。対照的に、WizのCDRはWiz Defendの一部として、CNAPPプラットフォームにネイティブに組み込まれています。

統合で追うPANW、先行するWiz：勝敗を分ける鍵は何か

PANWは、Cortex CloudによってPrisma CloudをCortexスイートに組み込もうとしています。言い換えれば、PANWはPrisma CloudをSIEM（Security Information and Event Management：セキュリティログ監視システム）の次世代版であるXSIAM上に構築し、XSOARとXDRの自律的な検知・対応能力をすべて適用して、企業のクラウド環境全体でより鋭いリアルタイム保護を実現しようとしているのです。

私たちが2024年7月にWizとPANWの直接比較記事を公開した際、Darwinリリースが膨大な量のデータをXSIAMに供給し、それがさらにPrisma Cloudを強化するという好循環を生み出す可能性を指摘しました。しかし当時、Prisma CloudとXSIAMの統合はまだ不完全でした。PANWがCNAPPをXSIAMにネイティブに統合したバージョン、すなわちCortex Cloudを開発した今、PANWはWizとの差をさらに縮めるはずです。

対照的に、Wizは主にMicrosoft SentinelやGoogle Security OperationsをSIEMとして利用しており、これらはXSIAMの洗練されたサイバーセキュリティ能力には及びません。

私たちの現在の見方では、PANWはDarwinリリースでリスクスキャン（データ取り込み）のギャップを埋め、XSIAMによって検知・対応能力でWizをリードしました。しかし、その統合が弱点でした。Cortex Cloudは、この問題に直接対処するものです。

XSIAMをCNAPPに完全に統合することが、Wizに対する明確な競争優位につながるかどうかは、まだ未知数です。Cortex Cloudの将来性にもかかわらず、PANWは依然としてM&Aに起因する多くの技術的負債と格闘する必要があり、これがシームレスなエンドユーザー体験、そして決定的に重要なDevOpsとSecOps間の連携体験を提供する上で、避けられない影響を与えるでしょう。