注目のクラウドセキュリティ企業の比較：クラウドストライク・センチネルワン・パロアルトネットワーク・Wiz等の競争力分析

※「クラウドセキュリティは今後どうなる？コンプライアンス重視からリアルタイム保護へ（Part 1：CWP）」の続き

前章では、CNAPP（クラウドネイティブ・アプリケーション保護プラットフォーム）を中心としたクラウドセキュリティの進化と市場再編の構造変化について詳しく解説しております。

本稿の内容への理解をより深めるために、是非、インベストリンゴのプラットフォーム上にて、前章も併せてご覧ください。

Cloud Workload Protection（CWP） ：エージェントベースのCWPソリューション（CRWD、S、PANW、Aqua、Sysdig、およびLacework［FTNT］）

クラウドストライク（CRWD）とセンチネルワン（S）について

エンドポイントセキュリティのリーダーであるクラウドストライク（CRWD）とセンチネルワン（S）は、それぞれ2018～2019年と2021年に、自社のEDR（Endpoint Detection and Response）エージェントをクラウドセキュリティ領域に転用することでCWP分野へ参入しました。その後、両社とも仮想マシン（VM）の保護から、コンテナ、Kubernetesノード、サーバーレスといったより抽象化されたコンピュートレイヤーへと徐々に対応範囲を拡大しています。また、当初はエージェントベースのアプローチを採っていたものの、現在ではCSPM（Cloud Security Posture Management）を皮切りにエージェントレス型のソリューションにも進出しています。クラウドストライクはCSPMを社内で開発し、SはPingSafeを買収することでCSPM機能を獲得しました。

両社にとってクラウドセキュリティは非常に重要な分野です。というのも、コア事業であるEDRの成長率は市場の成熟とともに鈍化しており、旧来のアンチウイルス（SymantecやMcAfeeなど）をすでに大きく置き換えたことも背景にあります。一方でクラウドセキュリティ市場は、既存のEDRエージェントをそのままクラウドに応用できるうえ、クラウド上のテレメトリデータを自社開発の次世代SIEM（Security Information and Event Management）に活用できる点で、非常に魅力的な成長分野となっています。CDR（Cloud Detection and Response）との相性も良好です。実際、両社とも堅調な成長を見せており、新規ARR（年間経常収益）はクラウドストライクが約70％、センチネルワンが約50％を占め、EDRの成長鈍化を補いながらトップラインの伸長を支えています。

センチネルワンは最初にeBPF（拡張BPF）を用いた純粋なエージェントへと移行し、Linuxに強みを持つ自社のバックグラウンドを活かしてカーネルモジュールなしにシステムコールを監視できるようにしました。eBPFはクラウド環境に非常に適しており、軽量なセンサーが新たなワークロードとともに立ち上がり、カスタムドライバ不要でカーネルレベルの活動を可視化できるという特長があります。パッチやアップデート時にカーネルを壊してしまうリスクも回避できます。仮にエージェントがクラッシュしても、eBPFならサーバー全体を停止させることはありません。

一方、クラウドストライクはレガシーなカーネルモードドライバに依存していたことが仇となり、昨年夏にドライバ関連の問題によって大規模な障害を引き起こしました。同社は急ぎ「ユーザーモード」のeBPFコレクターをリリースしましたが、それは機能が最小限で、準ベータ版に近いものであり、新しいLinuxインストールのデフォルトパスにもなっていませんでした。この出来事は、クラウドストライクの規模が大きいとはいえ、新しい技術への対応スピードが遅いことを浮き彫りにしました。それでも、Falconの巨大なインストールベースと、既存のEDR顧客に対してCWPをほぼ追加コストなしで提供する積極的なバンドル戦略によって、センチネルワンのeBPF分野における先行優位性をある程度打ち消すことに成功しています。

両社のエージェントはリアルタイムで脅威をブロックしながら、豊富なテレメトリデータをストリーミングで収集します。これらのデータは、それぞれのログ分析基盤に送られ、クラウドストライクではLogScale（旧Humio）、SではDataSet（旧Scalyr）を用いて、クラウド・エンドポイント・IDログを横断的に素早く追跡・相関分析できるようになっています。2024年には、クラウドストライクがFalcon Cloud SecurityとLogScaleを連携させて、より深いキルチェーン（攻撃連鎖）の文脈を提供できるようにしました。また、センチネルワンはAI-SPMのポスチャーデータをeBPFのテレメトリに統合することで検知精度を向上させました。

こうした動きは、Wizが提唱する「ポスチャー＋実行時シグナルの融合」という包括的なアプローチを反映しています。全体として見ると、eBPFの成熟度ではセンチネルワンが依然としてリードしており、プラットフォームの展開力ではクラウドストライクが先行していると言えます。今後の戦いの焦点は、両社がどれだけ巧みにポスチャーインテリジェンスと実行時防御を統合し、誤検知をほぼゼロに近づけながら、アラートと対応行動の精度を高められるかにかかっています。

パロアルトネットワークス（PANW）

パロアルトネットワークス（PANW）のCWP（Cloud Workload Protection）分野への進出は、他のエンドポイント起点の企業と同様の道をたどっています。同社は2014年にCyvera（Traps）を買収してエージェント技術を磨き、2018年にはSecdoの買収により高度なEDR分析機能を取り入れました。その後、これらの実績あるエンドポイント技術をクラウドVMにも拡張しました。

Prisma Cloudは2018年にリリースされ、これはCSPM（クラウドセキュリティポスチャー管理）機能を持つEvidentとRedLockの買収によって実現されました。さらに2019年5月には、Twistlock（コンテナ対応）とPureSec（サーバーレス対応）を買収し、クラウドワークロード全体をカバーする体制が整いました。これらの要素は、2019年11月に登場したPrisma Cloud 1.0に統合され、PANWはホスト上のDefender（エンドポイント型のエージェント）からコンテナ、サーバーレスといった高次抽象レイヤーまで対応可能なCWPスタックを手に入れました。一方で、CSPMはポスチャー管理レイヤーとして併設されています。

これら全体を統合しているのがXSIAMです。XSIAMは、パロアルトネットワークスのクラウドネイティブなSIEM（セキュリティ情報イベント管理）＋XDR（拡張検知と対応）＋SOAR（セキュリティ自動化）の統合基盤であり、DefenderおよびPrisma Cloudからのテレメトリを収集し、脅威インテリジェンスで強化し、自動で対応まで実施します。これは、クラウドストライクにおけるLogScale、SにおけるDataSetと同様に、「シフトライト脳」とも呼べる役割を果たしています。

CWP導入企業にとって、XSIAMの存在は、Prismaからのアラートを外部のSIEM/SOARスタックに頼らず、統合された分析・自動化の仕組みに直接流し込むことを意味しており、PANWのセキュリティ製品全体において「検知から対応まで」のプロセスをより密接につなぎます。多様なデータソースを文脈化・相関させることで、保護レベルの向上、誤検知の削減、そしてSOCアナリストの生産性向上が大きく期待できます。この点において、パロアルトネットワークスはセンチネルワンに対して優位に立ち、さらにセンチネルワンはクラウドストライクに対して優位に立っていると評価されています。

Aqua Security

Aquaは、もともとコンテナスキャンを主軸としてスタートしたCWPベンダーです。2年前の段階では、Aquaの「Enforcer」は主に可視化の役割に留まり、不審なプロセスを検出しても実際の遮断は人手に頼っていました。しかし現在では、カーネルモジュール版、eBPFベースの「Lightning Enforcer」、AWS Lambda向けの「NanoEnforcer」といった形でエージェントが刷新され、コンテナ、VM、サーバーレス環境において、悪意ある実行ファイルや権限昇格の試み、不正なネットワーク通信をリアルタイムで自動的にブロックできるようになっています。この「監視のみ」から「積極的防御」への転換により、Aquaは実行時セキュリティにおいてパロアルトネットワークス、センチネルワン、クラウドストライクにかなり近づいたと言えます。

また、Aquaは開発段階でのセキュリティ（シフトレフト）領域にも強みを持ち、自社のコンテナスキャンのノウハウを活かして隣接分野にも進出しています。たとえば、オープンソースのTrivy（脆弱性検知／SBOM）やtfsec（IaCスキャン）は、Aquaのシフトレフト機能を支える中核的存在です。さらに、商用アドオンとしては、「ドリフト防止」（ワークロードが意図しない方向に逸脱しないよう監視）、「メモリシールド」（メモリ空間での悪用パターンを検知する実行時保護）、「サプライチェーン分析」などの機能も加わっています。

ただし、シフトライト領域では一部ギャップが残っています。Aquaのプラットフォームは、実行時アラートを生成して外部のSIEM/SOARに転送することは可能ですが、Wiz Defend、Prisma CloudのCDR、クラウドストライクやセンチネルワンが提供するXDR/SIEMバックエンドに相当するような、ネイティブの「シフトライト」コンソールは提供していません。そのため、可視化やブロック機能は存在しているものの、SOCアナリストは深い分析や追跡、対応ワークフローにおいてはサードパーティ製のシステムに依存せざるを得ません。

※補足：Aquaの投資家層はサイバーセキュリティに特化しておらず、同社は近年、他のCNAPPリーダー企業に対してやや後れを取っているように見受けられます。これにより、買収対象として見られる可能性もあります。

Sysdig

Sysdigは、CNAPPにおけるCWP（Cloud Workload Protection）領域で優れた実力を持つ有力なスタートアップ企業です。私たちは「クラウドセキュリティ・シリーズ」の調査対象として同社を取り上げましたが、メモは公開していません。同社の創業者であるLoris Degioanni氏は、ネットワーク上のすべてのバイトを可視化できるパケットキャプチャツール「Wireshark」を開発した人物です。

しかし、ワークロードがコンテナやクラウドVMへと移行し、IT環境が分散化するにつれ、ネットワークゲートウェイでのパケット監視だけではアプリケーションの挙動を完全に把握することが難しくなりました。そこでDegioanni氏は、「すべてを可視化する」という発想をホストのカーネルレベルにまで拡張することを試みました。こうして誕生したのがSysdigです。Sysdigはオープンソースの収集ツールで、軽量なeBPFを利用して、ファイルのオープン、プロセスの起動、ネットワーク接続などあらゆるシステムコールを、パフォーマンスにほとんど影響を与えることなくリアルタイムでストリーミング収集します。

このような未加工のイベントデータを実用的なセキュリティ機能へと昇華させるために、Degioanni氏は「Falco」というオープンソースのルールエンジンも開発しました。Sysdigがデータを収集し、Falcoが判断を下す仕組みです（例：「nginx内でシェルが起動されたらアラート」「DBプロセスが /etc/passwd にアクセスしたらブロック」など）。商用製品であるSysdig Secureは、eBPF収集エージェント、マネージド型Falcoルールセット、自動対応機能を一体化したものであり、SysdigのCWPレイヤーとして位置づけられています。

最近のリリースでは、クラウド監査ログを活用するエージェントレスモードが追加され、導入初期にはこのモードで迅速に稼働を開始し、ミリ秒単位の可視性が必要な場所だけにeBPFサイドカーを追加する運用が可能になっています。Sysdigは、開発初期段階（シフトレフト）やインシデント対応段階（シフトライト）の機能、例えばSAST（静的アプリケーションセキュリティテスト）やSOAR（セキュリティ自動化と対応）といった領域ではまだ機能が不十分ですが、Kubernetes中心の環境においては、ノイズの少ない高精度なCWPとして高く評価されています。これはWiresharkからeBPFへと続く技術系譜の成果でもあります。

総じて、Sysdigは実行時レベルでのインサイト取得においては導入が比較的容易な製品ですが、他社、特にすでに成長の鈍化が指摘されているAquaと比較しても、イノベーションや市場適応のスピードでは後れを取っている印象があります。このため、今後市場が統合へと向かう中で、Sysdigも買収候補のひとつとなる可能性があると考えています。

Lacework（現在はフォーティネット傘下）

Laceworkは2021年11月に最盛期を迎え、最終調達ラウンドで13億ドルを調達し、企業評価額は83億ドルに達しました。当時は、「機械学習（ML）を中心としたクラウドセキュリティプラットフォーム」として大きな期待を集めていました。

その中核アイデアは非常に洗練されたものでした。ホストエージェントを展開し、プロセス、ファイルシステム、ネットワークの豊富なテレメトリを収集し、それにクラウドネイティブのログやコンテナレジストリのスキャン結果を組み合わせて、監視されない機械学習によって行動のベースラインを自動で構築するというものでした。これにより、SOC（セキュリティ運用センター）のアナリストが手作業でルールを作成する必要を減らすことが期待されていました。

しかしながら、問題はコストと複雑さでした。全テレメトリはスノーフレーク（SNOW）にストリーミングされていましたが、スノーフレーク自体がAWS、Azure、GCPのいずれか上で動作していたため、追加の1ギガバイトごとに「二重のクラウド課税」が発生していました。また、エージェントは必須であるにもかかわらず、あくまでセンサーでしかなく、パロアルトネットワークス、クラウドストライク、センチネルワンなどのように不正プロセスをリアルタイムで遮断する機能はありませんでした。

2021〜2022年にかけて、CISOたちが「完全エージェントレス型」プラットフォームに傾倒する中で、Laceworkは重いインストール負荷、リアルタイム遮断の欠如、自社でデータレイヤーを保有していないがゆえの高コスト構造という課題に直面しました。成長は停滞し、2024年半ばには同社は約2億ドルで買収されました。

Laceworkは、2021年に調達した13億ドルの大部分をGTM（市場展開）を加速させるために投入しましたが、結果的には多くの資金を消費しながらも十分なリターンを得ることはできませんでした。ARR（年間経常収益）はついに1億ドルを超えることがなく、ようやくその時点で、プロダクトと市場の間に真の適合性が欠けていたことを経営陣が認識しました。プラットフォームには、RBAC（ロールベースアクセス制御）などのエンタープライズ向け機能が欠如しており、CSPMやCWPPといった重要なモジュールは急ごしらえで追加されることになりました。つまり、製品が真にエンタープライズ向けに成熟する前に、過剰な市場投入を行ってしまったのです。

フォーティネット（FTNT）にとっては、この買収は非常に魅力的でした。Laceworkには、数百社に及ぶクラウド顧客、評価の高い異常検知エンジン、そして熟練のクラウドセキュリティエンジニアが揃っていたからです。CWPに関する今後の焦点は、フォーティネットがLaceworkをSnowflake上から移行させて、より競争力のあるコスト構造を構築するかどうか、そしてそうする場合に、どれだけ早くフォーティネットの垂直統合型のデータ基盤へと再構築できるかにあります。この統合基盤では、処理コストが低く、ファイアウォール、OT、エンドポイントなどのテレメトリと組み合わせることで、MLモデルの精度がさらに強化される可能性があります。現在のところ、この件に関する公式な発表はなく、買収から約10か月が経過していますが、Fortinetが持つ垂直統合の哲学を考えれば、これが実現しない方がむしろ驚きです。

さらにフォーティネットがエージェントを「受動的センサー」から「自律型ディフェンダー」へと進化させれば、再構築された「FortiCNAPP」は、クラウドセキュリティの三重苦をすべて解決できる可能性があります。すなわち、低負荷な導入（任意のエージェントレススキャンによる）、高い網羅性（大量トラフィックを対象としたPolygraph型MLによる）、真のリアルタイム性（オンボックスでの遮断機能）の3要素です。

このような刷新が完了するまでは、LaceworkのCWPに関する当初のストーリーは、「優れた分析力があっても、アーキテクチャが高コストで、エージェントがリアルタイムに動作できなければ十分ではない」という教訓として残り続けます。

エージェントレス型のCWPアプローチ（WizおよびOrca） WizとOrca

2022年から2023年にかけての「クラウドセキュリティ・シリーズ」では、WizとOrcaが「エージェント不要」のワークロード保護を最も強く主張する企業であると紹介しました。両社はクラウドAPIを利用して、すべての仮想マシン（VM）やコンテナのディスクスナップショットを取得し、それらのイメージを自社サーバーに転送して分析していました。

この手法の魅力は明らかでした。クラウドAPIの権限さえあれば、ホスト側に侵入的なインストールを行うことなく、読み取り専用で即時のオンボーディングが可能となり、セキュリティチームは実稼働中のワークロードに触れることなく、数時間以内にクラウド全体をスキャン・監視できました。これはクラウドセキュリティにおける三重苦（トリレンマ）のうち、「導入の容易さ」に完全に応えるアプローチでした。

Wizの方式では、数時間おきにスナップショットを取得し、グラフエンジンにデータを流し込み、リスクの優先順位付けを行っていました。しかしその一方で、悪意あるコードの実行と次回スキャンの間には数時間のギャップがあり、熟練した攻撃者にとっては十分に悪用可能な時間となっていました。

Orcaの「SideScanning」はこの考え方をさらに一歩進め、スナップショットを取得後、自社クラウド上で複製インスタンスを立ち上げ、顧客環境を再現するという手法を採っています。これにより、マシン間のラテラルムーブメント（水平移動）まで追跡できる高精度な視認性を実現していますが、この方法は計算負荷が高いため、Orcaはこれまでスキャン頻度を1日1回にとどめてきました（現在も「1日1回」のスキャンを標準として宣伝しています）。

先述の通り、2022年後半に私たちは「CSPMが成熟すれば、企業はリアルタイム保護へと方向転換し、エージェントレスにこだわる姿勢には圧力がかかるだろう」と予測しました。そして実際、その通りの展開となりました。

Wizは方向転換を図り、まずセンチネルワンと提携してeBPFベースの実行時エージェントをプラットフォームに統合し、その後、自社開発による軽量な「Wiz Sensor」を発表しました。マーケティング上では“センサー”と呼んでいますが、これは長年にわたる「反エージェント」戦略との整合性を保つための言い回しであり、実態としてはeBPFコレクターであり、秒単位での検知やプロセスの強制終了機能を備えたエージェントです。

一方、Orcaはエージェントレス戦略をさらに強化しています。現在もSideScanningはエージェントより安全で簡便であると位置づけられ、実行時センサーはリリースされていません。この戦略は成長の鈍化を招いている可能性があり、第三者の調査によれば、Orcaの売上は2023年の約4,200万ドルから2024年には約6,400万ドルへと増加しているものの、以前のような年率100％超の成長からは明らかに減速しています。

現在、Wizはエージェントレスとエージェント併用のハイブリッド型を提供しており、Orcaは引き続き完全エージェントレス型を貫いています。顧客にとっての選択肢は以下のように明確です：

• エージェントレスのみ：迅速なリスクマッピングに優れる（非稼働資産も含む）が、検知は数時間遅れる可能性があります。

• ハイブリッド型：広範な可視性に加えて、リアルタイムでのキルチェーン遮断が可能です。

市場の関心が再び「実行時のスピード」に戻る中で、Wizの方向転換は先見の明があったと言えます。OrcaのSideScanning技術は依然として高機能ではありますが、スキャン頻度が改善されるか、もしくは任意のセンサーが追加されない限り、エージェントを受け入れた競合他社に対して成長が遅れ続ける可能性があります。

次章では、急速に進化するCWP（クラウドワークロード保護）の現在の位置づけと今後の展望について、コンテナやサーバーレス、LLM運用、AIコパイロット、AIエージェントの観点から詳しく解説していきます。

※続きは「CWP最新動向と有力ベンダー比較：クラウドストライク・センチネルワン・パロアルトの強みとは？」をご覧ください。

---

🚀お気に入りのアナリストをフォローして最新レポートをリアルタイムでGET🚀

コンヴェクィティ社はテクノロジー銘柄に関するレポートを執筆しており、プロフィール上にてフォローをしていただくと、最新のレポートがリリースされる度にリアルタイムでメール経由でお知らせを受け取ることができます。

さらに、その他のアナリストも詳細な分析レポートを日々執筆しており、インベストリンゴのプラットフォーム上では「毎月約100件、年間で1000件以上」のレポートを提供しております。

そのため、コンヴェクィティ社のテクノロジー銘柄に関する最新レポートに関心がございましたら、是非、フォローしていただければと思います！

---

アナリスト紹介：コンヴェクィティ

📍テクノロジー担当

コンヴェクィティのその他のテクノロジー銘柄のレポートに関心がございましたら、こちらのリンクより、コンヴェクィティのプロフィールページにてご覧いただければと思います。

---