CSPM クラウドセキュリティポスチャマネジメント 2026 — Wiz(Google $32B 買収)/ Lacework / Orca / Aqua / Sysdig / Prisma Cloud / DSPM 徹底ガイド

「エージェントレススキャンはもはやオプションではない。2024年以降、CSPMは『CNAPP』に統合され、Googleが$32BでWizを買収した理由はただ一つ — マルチクラウドの全データを一つのグラフに収める会社が次の10年のセキュリティを定義するからである。」 — Gartner Hype Cycle for Cloud Security, 2025

2026年5月時点、クラウドセキュリティポスチャマネジメント(Cloud Security Posture Management, CSPM)市場は、一つの出来事によって完全に再編されました。2024年3月、Wizが $23Bの買収提案を一度拒否し、その1年後の2025年3月、Googleが$ 32Bで再びWizを買収した出来事です。クラウドセキュリティ単一カテゴリ史上最大の買収額であり、Alphabet史上最大の買収(これまでの最大は2012年のMotorola Mobility約$12.5B)でもあります。

同じ時期、Lacework はFortinetに(報道ベースで)約 $200M〜$ 300Mという破格で買収されました(2024年5月、ピーク時$8.3B 評価)。Orca SecurityはIPOを先送りして独立路線を維持しています。Aqua Security と Sysdig はコンテナ・ランタイムセキュリティに深く根を張り、Prisma Cloud は Palo Alto のキャッシュカウ、Snyk は開発者フレンドリーの代表、Tenable は脆弱性スキャナを CSPM に拡張しました。そして、データそのものをスキャンする新カテゴリ DSPM(Data Security Posture Management) — Cyera、Varonis、BigID — が急成長中です。

この記事は、2026年の CSPM/CNAPP/CWPP/CIEM/DSPM 全体マップを一枚に描き、各ベンダーの本当の強みと罠、韓国・日本のケースまでまとめます。

1. 2026年の CSPM マップ — CNAPP / CWPP / CIEM / DSPM 4分類

Gartner が作った略語が人を混乱させますが、実際は明確な4つの箱に分けられます。

カテゴリ	正式名	見るもの	代表製品
CSPM	Cloud Security Posture Management	クラウド設定・IAM・ネットワーク misconfig	Wiz, Prisma Cloud, Defender for Cloud
CWPP	Cloud Workload Protection Platform	VM/コンテナ/Kubernetes ワークロードのランタイム	Sysdig, Aqua, CrowdStrike Falcon Cloud
CIEM	Cloud Infrastructure Entitlement Management	IAM 権限・最小権限・過剰権限の検出	Sonrai, Permiso, Wiz CIEM
DSPM	Data Security Posture Management	クラウドデータ(S3, BigQuery 等)の所在と機密度	Cyera, Varonis, BigID, Wiz DSPM
CNAPP	Cloud Native Application Protection Platform	上の4カテゴリを一つのプラットフォームに統合	Wiz, Prisma Cloud, Sysdig, Orca

2022年までこの4カテゴリは別個の製品群でしたが、2023〜2024年にすべて CNAPP という一語に統合され始めました。理由は単純です。セキュリティチームは「VM 脆弱性は製品 X、IAM 権限は製品 Y、S3 データ漏洩は製品 Z」のようなサイロをこれ以上運営できません。攻撃者はサイロを横断して — S3 バケット → 中の RDS credentials → IAM 権限昇格 → EC2 → 隣のワークロード — 一気に侵入します。したがってツールも一つのグラフで見る必要があります。

このグラフモデルを最初に定着させた会社が Wiz であり、その結果が $32B 買収です。

2. Wiz — Google $32B 買収(2025年3月)の意味

Wiz は 2020年に Assaf Rappaport、Ami Luttwak、Yinon Costica、Roy Reznik の4人が創業しました。4人全員がイスラエルのサイバー情報部隊 8200 出身で、Microsoft が買収したクラウドセキュリティ企業 Adallom のコアエンジニアでした。創業18か月で $1B ARR を突破し、SaaS 史上最速成長企業との異名を得ました。

Wiz が市場を揺るがした核となる技術は二つです。

第一に、エージェントレススナップショットスキャン です。従来の CWPP がすべての EC2/VM にエージェントを入れる必要があったのに対し、Wiz はクラウド API でディスクスナップショットを取り、サイドカー環境でスキャンします。本番環境に何もインストールせずに、全 VM の脆弱性・シークレット・IAM キー漏洩を検出できるという点は、エンタープライズのセキュリティチームに衝撃を与える価値提案でした。

第二に、Security Graph(セキュリティグラフ) です。すべてのクラウドリソース(VM、コンテナ、S3、IAM ロール、シークレット、KMS 鍵、データ)をノードとして、その間の関係(攻撃経路、信頼関係、データフロー)をエッジとしてモデル化します。セキュリティチームは「インターネットに公開され、脆弱性があり、その上に管理者 IAM ロールを持つワークロードは?」を1行のクエリで答えられます。このグラフモデルが、そのまま CNAPP の標準モデルになりました。

2024年3月、Wiz が Google からの $23B 買収提案を断った理由は (a) IPO を目指していた、(b) 反トラスト審査の通過が不確実だった、(c) 値段をさらに引き上げられると見ていた、の3つです。結果として正解でした。1年後の 2025年3月、Google は$ 32B(現金)を提示し、当初提案から 39% 引き上げられた価格になりました。

$32B は Wiz の 2024年 ARR(約$ 700M)の約 46倍 — 通常の SaaS 買収マルチプルの2倍以上で、「AGI 時代のセキュリティグラフを買う価格」という評が多数派です。買収後、Wiz は Google Cloud 外のマルチクラウド(AWS、Azure)サポートを維持すると約束しており、Google は明確に AWS の 30% シェアを侵食する意図を持っています。

3. Lacework — Fortinet 買収(2024年5月)

Lacework は Wiz と真逆の運命を辿った会社です。2015年創業、2021年11月の Series D で $1.3B を調達し$ 8.3B の評価を得ました。当時 CSPM カテゴリで最も熱い会社でしたが、2022年のマクロ環境悪化、急速な成長鈍化、2回の大規模レイオフ(2022年5月、2023年8月にそれぞれ約20%)を経て、2024年5月に Fortinet に買収されました。報道された買収額は約 $200M〜$ 300M — 最終評価の約 95% 下落の捨て値です。

Lacework の技術的強みは Polygraph という行動ベース検知でした。クラウド API 呼び出し、コンテナ実行、ネットワークフローを機械学習でベースライン化し、異常行動を検知します。しかし (a) エージェント依存度が高く、(b) ルールベース CSPM 機能が弱く、(c) 一画面で全クラウドリソースをグラフで見せる UX が Wiz に劣りました。

Lacework の転落はセキュリティ市場全体に二つの教訓を残しました。第一に、評価額は売上成長率に従う。ARR を $50M から$ 300M へ6倍成長させた Wiz と、$100M で停滞した Lacework の差が、そのまま買収額に反映されました。第二に、CNAPP 時代に単一カテゴリ製品は生き残りが難しい。Lacework は CWPP/CDR(Cloud Detection and Response)に強かったが CSPM/DSPM/CIEM の統合が遅れ、その間に Wiz が全カテゴリを一つのプラットフォームに吸収しました。

Fortinet は Lacework を自社の FortiCNAPP の中核として統合中で、2025年末までに FortiGate(NGFW)と Lacework Polygraph を接続した「オンプレ + クラウド」統合セキュリティを約束しています。しかし市場シェアは Wiz/Palo Alto に大きく遅れ、Lacework 単独の製品ラインは段階的に FortiCNAPP に吸収される見通しです。

4. Orca Security — イスラエル発ユニコーン、IPO 路線

Orca Security も Wiz と同じイスラエル発(2019年創業、テルアビブ)の CNAPP 企業で、SideScanning 特許で有名です。Wiz とほぼ同じエージェントレススナップショットモデルですが、Orca が先に特許を出願し、Wiz を相手に特許訴訟を起こしましたが、2023年に和解で決着しました。

技術的には Orca と Wiz はほぼ同じカテゴリ(CNAPP)の中で競合します。差を見ると以下のとおりです。

Orca は 単価がやや安い。AWS/Azure/GCP のワークロード単価が Wiz より約 15〜20% 安いとの評が多数。
Orca は 単一のサイドスキャナー で全クラウドをスキャンします。Wiz はクラウド別スキャン基盤がより精巧ですが、その分セットアップが複雑です。
Wiz は Security Graph UX が大きく先行。Orca はアラームカタログ中心、Wiz はグラフクエリ中心でワークフローが異なります。
エンタープライズ営業力は Wiz が圧倒的。Orca は中堅企業とクラウドネイティブのスタートアップに強いです。

Orca は 2024年 Series E で $550M を調達し$ 1.8B の評価を得て、2025年末の IPO を目指していると報じられています。Wiz が Google に買収された後、市場で「独立 CNAPP 1位」のポジションを取れるようになったことは Orca にとって大きな機会です — Wiz を買えなかった Google の競合(AWS、Microsoft、Oracle、Cloudflare)が Orca を買収候補として見ているという噂は絶えません。

5. Aqua Security — コンテナセキュリティの元祖

Aqua Security は 2015年創業のイスラエル企業で、コンテナ・Kubernetes ランタイムセキュリティの元祖 です。Docker イメージスキャン、Kubernetes admission controller、ランタイム行動保護、シークレット監査を最初から統合製品として束ねました。Trivy(イメージ脆弱性スキャンの OSS、GitHub スター 20k+)の開発元でもあります。

Aqua の強みは Kubernetes の深さ です。eBPF ベースのランタイム行動保護、Kubernetes RBAC 分析、OpenShift/Anthos/EKS/AKS 全プラットフォーム対応で最も成熟しています。KSPM(Kubernetes Security Posture Management)というサブカテゴリでは、Aqua、Sysdig、Red Hat ACS(StackRox)の3社が事実上市場を分け合っています。

弱点は クラウド全体を見る視野 です。Aqua はコンテナ/K8s 出発のため、S3 バケット misconfig や RDS public 露出といった PaaS レイヤ CSPM は相対的に弱いです。2024年、Aqua は CSPM を強化するために Argon Security(supply chain security)を買収し、AWS CloudTrail / Azure Activity Log の統合を強化しましたが、Wiz/Prisma のレベルには及ばないという評が多数です。

代表顧客は PayPal、Samsung、Capital One、Choice Hotels など。Trivy の OSS コミュニティのおかげで Bottom-up 導入経路が強く、「Trivy で始めて Aqua Enterprise にアップグレード」というパターンが頻繁です。

6. Sysdig — Falco の創始者、CSPM + CWPP

Sysdig は 2013年に Loris Degioanni が創業し、彼が以前作ったシステムトレーシングツールがそのまま Sysdig OSS であり Falco の基盤です。Falco は 2018年に CNCF に寄贈されたクラウドネイティブランタイムセキュリティの標準 であり、Sysdig Secure は Falco のエンタープライズ版です。

Sysdig の差別化点は システムコールレベルの可視性 です。eBPF で全コンテナのシステムコールをキャプチャし、Falco ルールセットで疑わしい行動(シェル実行、権限昇格、インターネット接続)をリアルタイム検知します。CSPM 機能(misconfig スキャン)と CWPP 機能(ランタイム保護)を一つのプラットフォームで扱う数少ない会社です。

Sysdig は 2022年に売上約 $150M に成長し、2023年に Sysdig Secure for Cloud を発表しマルチクラウド CSPM 市場に本格参入しました。2024年には「CDR(Cloud Detection and Response)」という新カテゴリを自称し、「5/5/5 ルール」(5分で検知、5分で調査、5分で対応)というマーケティングを展開しました。

弱点は エージェント依存度 です。Wiz/Orca のエージェントレスモデルと比べて、Sysdig はすべてのノードにエージェント(Sysdig Agent)を入れる必要があり、運用負荷になります。2024年末、Sysdig もエージェントレスオプションを追加しましたが、コアな価値提案は依然としてエージェントベースの深い可視性です。

代表顧客は Goldman Sachs、Beat、BigCommerce、SAP Concur。金融業界で強い理由は「エージェントが入っていなければ本物の可視性ではない」という見方が強い場所だからです。

7. Prisma Cloud(Palo Alto Networks)— エンタープライズ統合

Prisma Cloud は Palo Alto Networks が 2018〜2020年の間に RedLock(CSPM)、Twistlock(CWPP)、PureSec(serverless security)、Bridgecrew(IaC scanning)の4社を買収して統合した CNAPP 製品です。CNAPP という言葉が作られた時点で全モジュールを揃えていた唯一の製品 でした。

強みは エンタープライズ統合とネットワークセキュリティとのシナジー です。Palo Alto の NGFW(Next-Gen Firewall)Strata と SASE Prisma Access を併用する会社は、自然と Prisma Cloud を導入します。CSPM、CWPP、CIEM、IaC スキャン、API セキュリティ、データセキュリティまで7モジュールを一つのコンソールで見られる幅は業界最大です。

弱点は コンソール UX の統合度 です。4社買収の痕跡が画面のあちこちに残り、「一画面で全セキュリティ事件をグラフで見る」Wiz スタイルのワークフローは弱いです。2024年、Prisma Cloud 4.0(コード名「Darwin」)が出て統合コンソールとグラフビューが大きく改善されましたが、Wiz の Security Graph レベルには及ばないとの評が多いです。

価格は エンタープライズライセンスバンドル時が最安 です。NGFW と一緒に束ねると単一モジュール価格が 50% 以下に落ちることが多く、これが Prisma Cloud の最大の営業武器です。単独購入時には Wiz/Orca より価格競争力が劣ります。

代表顧客は NTT Data、Accenture、Equinix、Wells Fargo。グローバルエンタープライズと政府部門で強いです。

8. Snyk Cloud — 開発者フレンドリーな CNAPP

Snyk は 2015年にロンドンで創業した会社で、開発者ファーストセキュリティ(Developer-First Security) カテゴリの代表格です。npm/Maven/PyPI の依存脆弱性スキャン(Snyk Open Source)で始め、2020年に IaC スキャン(Snyk Infrastructure as Code)、2022年にコンテナセキュリティ(Snyk Container)、2023年に Snyk Cloud(CSPM)へ拡張しました。

Snyk の最大の強みは 開発者ワークフロー統合 です。GitHub PR、GitLab MR、Bitbucket PR の中に直接セキュリティアラートと自動修正提案が表示されます。IDE プラグイン(VS Code、JetBrains)も最も成熟しています。セキュリティチームが作ったルールを開発チームが自然に吸収するワークフローに最適化されています。

弱点は ランタイムセキュリティの深さ です。Snyk Cloud はクラウド misconfig スキャンと IaC スキャンに強いですが、eBPF ランタイム行動検知やクラウドグラフモデリングは Wiz/Sysdig レベルに及びません。2024年、Snyk は Helios(クラウド行動分析)と Probely(API スキャン)を買収して差を縮めています。

価格は 開発者シートベース なので、クラウドリソース単位の価格制(Wiz、Orca、Prisma)と比較しづらいです。小さな開発チームには安いですが、大きなエンジニアリング組織ではシート数に応じて急速に高くなります。

代表顧客は Google、Salesforce、ASML、Atlassian、Microsoft。開発者中心の文化を持つ会社で強いです。

9. Tenable Cloud Security

Tenable は 1998年創業の Nessus 脆弱性スキャナの元祖 です。25年以上オンプレ脆弱性管理(VM)市場をリードしてきた会社で、Tenable.io でクラウド/SaaS へ拡張し、2022年に Ermetic を $265M で買収して CIEM 機能を追加、Tenable Cloud Security という CNAPP ブランドにまとめました。

強みは 脆弱性データの深さ です。Nessus 時代から蓄積してきた CVE/CVSS データ、韓国 KISA・日本 JPCERT のような地域脆弱性 DB まで最も総合的です。特に OT/IoT セキュリティ(Tenable.ot)を併用する製造業・エネルギー・政府顧客には、単一ベンダー統合が大きな魅力です。

弱点は クラウドネイティブの深さ です。コンテナ・Kubernetes・サーバーレスのセキュリティは Aqua/Sysdig のレベルに及ばず、グラフモデルは Wiz と差が大きいです。Tenable が CNAPP 全体で1ティアと評価されない理由です。

価格は オンプレ + クラウドバンドル 時が最も魅力的です。すでに Nessus/Tenable.io を使う会社が Cloud Security を追加すると割引幅が大きく、単一セキュリティチームがオンプレとクラウドを一つのコンソールで見る価値があります。

代表顧客は Boeing、NASA、米国国防総省、日本 NTT、韓国 LG CNS。伝統的なエンタープライズと政府部門で強いです。

10. Datadog CSM / Defender for Cloud / Security Command Center / AWS Security Hub

この4製品はすべて「すでにうちのプラットフォーム使ってるんだから、セキュリティもうちで」というカテゴリです。

Datadog Cloud Security Management(CSM) は 2022年にリリースされた Datadog のセキュリティモジュールです。Datadog Agent 一つでメトリクス・ログ・トレース・APM・RUM・セキュリティまで全部処理するという価値提案がコアです。CSPM(misconfig)、CWPP(ランタイム)、Application Security(IAST/RASP)まで段階的に拡張中です。強みは 運用データとセキュリティデータの統合 です。APM トレースからセキュリティイベントへ直接ジャンプでき、セキュリティチームと SRE チームが一つのツールを使います。弱点は Wiz レベルのグラフモデルがないこと、そしてセキュリティ単体だと価格が高いことです。

Microsoft Defender for Cloud は Azure に標準内蔵される無料ティア + 有料ティアモデルです。Azure ワークロードはほぼ全データを無料で見れて、AWS/GCP は Microsoft Sentinel と連携して有料で見ます。強みは Azure ユーザーには最安 であることと、Microsoft 365 / Entra ID(旧 Azure AD)との自然な統合です。弱点はマルチクラウド(AWS/GCP)の深さが Wiz より弱く、UX が Azure Portal に閉じ込められて専任セキュリティチームには窮屈です。

Google Security Command Center(SCC) は GCP のネイティブセキュリティコンソールです。2025年3月の Wiz 買収後、SCC と Wiz の統合ロードマップが発表されましたが、2026年現在も別個の製品として運営されています。Wiz が GCP ネイティブになるまでさらに2〜3年かかるというのが業界コンセンサスです。

AWS Security Hub は無料のメタセキュリティコンソールで、GuardDuty、Inspector、Macie、Config、IAM Access Analyzer のような AWS ネイティブサービスの結果を一つの画面で見ます。強みは無料/安いことですが、グラフモデルがなく、マルチクラウド対応もしていません。多くの会社は Security Hub を1次集計ツールとして使い、深い分析は Wiz/Prisma のようなサードパーティ CNAPP に流します。

11. CNAPP — Gartner の分類と市場の現実

Gartner は 2021年に初めて CNAPP(Cloud Native Application Protection Platform) という用語を作りました。定義は「CSPM + CWPP + CIEM + その他のクラウドネイティブセキュリティ機能を一つの統合プラットフォームとして提供するカテゴリ」です。

2026年5月時点、Gartner Magic Quadrant for CNAPP のリーダー四象限は以下のように整理されます(2025年4月発表ベース)。

Leaders: Wiz、Palo Alto Prisma Cloud、Microsoft(Defender for Cloud)、Orca Security
Challengers: CrowdStrike Falcon Cloud Security、Trend Micro(Trend Vision One Cloud)
Visionaries: Sysdig、Aqua Security、Lacework(Fortinet)
Niche Players: Tenable、Check Point CloudGuard、SentinelOne(PingSafe 買収)

この分類の罠は「Leader = 無条件に良い」ではない点です。Wiz はグラフモデルとエージェントレススキャンで圧倒的ですが、コンテナランタイムの深さは Sysdig/Aqua に劣ります。Prisma Cloud はモジュール幅が広いですが統合度が低いです。Microsoft は Azure で無敵ですが AWS/GCP では平凡です。

CNAPP 導入の最大の罠は 「これ一つで全部できる」というマーケティングを丸ごと信じること です。実際には (a) CSPM + CIEM は Wiz/Prisma、(b) コンテナランタイムは Sysdig/Aqua、(c) DSPM は別製品、というように2〜3個のツールを組み合わせるのが普通です。

12. CIEM — エンタイトルメント管理

CIEM(Cloud Infrastructure Entitlement Management)はクラウド IAM 権限の 最小権限(Least Privilege) を分析・強制するカテゴリです。AWS だけでも IAM ポリシーのアクションが 13,000 を超え、一社が数千の IAM ロールを運営すると、誰が何にアクセスできるのか人間には把握できません。

CIEM のコア機能は以下のとおりです。

Effective Permissions 計算: SCP、Identity-based、Resource-based、Permissions Boundary、Session Policy をすべて評価して「実際に可能なアクション」を計算
Unused Permissions 検出: 過去 90日/180日に使われたことのない権限を自動的にフラグ
Right-sizing 提案: 過剰権限を持つロールに対して最小権限ポリシーを自動生成
Privilege Escalation Path: ロール A → B → C と権限が昇格しうる経路をグラフ化

代表製品は以下のとおりです。

Wiz CIEM: 2022年 Raftt 買収で追加、Security Graph に統合
Sonrai Security: CIEM 専門の会社、2017年創業、AWS/Azure/GCP のバランスが良い
Permiso Security: インサイダー脅威検知(IDR)に強み
CrowdStrike Falcon Identity Protection: Identity Protection を CIEM に拡張
Permit.io: CIEM というよりアプリケーション権限(OPA/Cedar/Casbin 統合)ですが隣接カテゴリ

CIEM の最大の適用領域は AWS Organizations マルチアカウント環境 です。一社が 50〜500 の AWS アカウントを運営すると、IAM ポリシー変更1行がどこまで影響するか人間が追跡できず、CIEM ツールのグラフシミュレーションがほぼ必須になります。

13. DSPM — Cyera / Varonis / BigID

DSPM(Data Security Posture Management)は 2023年に Gartner が初めて定義した新カテゴリで、「クラウドのどこかにある機密データを自動的に見つけ、分類し、リスク評価すること」 です。CSPM がインフラ(VM、IAM、S3 バケット設定)を見るものなら、DSPM はその中にあるデータ(個人情報、クレジットカード、医療記録、営業秘密)を見ます。

代表製品は以下のとおりです。

Cyera(2021年創業、イスラエル) — 2025年 Series D で $300M を調達し$ 3B の評価を得た DSPM 1ティア。クラウドデータストア(S3、BigQuery、Snowflake、Redshift、RDS、Cosmos DB、DynamoDB)をエージェントレスでスキャンし、機密度(PII、PCI、PHI)を ML で分類します。Wiz の DSPM モジュールがリリースされる前までは圧倒的1位で、その後も Wiz の外に残りたいマルチクラウド企業に好まれます。

Varonis(2005年創業、2014年 IPO) — もとはオンプレファイルサーバ(Active Directory、NetApp、EMC)データガバナンスの会社として始まり、SaaS/クラウドへ拡張した DSPM の元祖格。Microsoft 365、Salesforce、Box、Google Workspace のような SaaS データ分析で最も深いです。弱点はクラウドネイティブデータストア(BigQuery、Snowflake)の深さが Cyera に及ばない点。

BigID(2016年創業) — Privacy compliance(GDPR、CCPA、HIPAA、PIPEDA、韓国 PIPA、日本 APPI)に最も強い DSPM。データマッピングと権利請求(DSR)処理、個人情報影響評価(PIA)の自動化に特化。技術の深さよりコンプライアンスワークフローに強みがあります。

Wiz DSPM — 2023年にリリースされた Wiz 内蔵 DSPM モジュール。インフラ(CSPM)+ 権限(CIEM)+ データ(DSPM)を一つのグラフで見る価値提案が決定的です。「私の RDS に PII があり、その RDS にインターネットからアクセスできる IAM ロールがある」を1行のクエリで答えます。

Microsoft Purview — 無料/安価な DSPM オプション。Microsoft 365 データに特化。マルチクラウドの深さは Cyera/Wiz に及びませんが、Microsoft エコシステムでは無敵です。

DSPM の最大の罠は 分類精度 です。ML ベースの PII 検出は偽陽性(False Positive)が頻繁で、結果としてセキュリティチームがアラーム洪水に苦しむことがよくあります。ツール選択時は「自分が持つデータ種別(顧客 DB、医療、金融、営業)に対する分類精度」を PoC で必ず検証する必要があります。

14. 韓国 / 日本 — トス、カカオ KSec、メルカリ、NTT セキュリティ

韓国のトス(ビバリパブリカ)は 2024年のセキュリティエンジニアリングブログで、自社製 CSPM ツール「TASS(Toss Account Security Scanner)」を公開しました。AWS Config + Custom Rules + 独自グラフモデルをベースに約 300 の AWS アカウントを毎日スキャンし、Slack ボットで違反を担当チームへ自動通知します。Wiz/Prisma のような商用ツールを導入しなかった理由として (a) コスト、(b) 自社ビルドの柔軟性を挙げています。

カカオは 2023年に KSec(Kakao Security)という社内セキュリティ組織を強化し、韓国データ主権要件に合わせて自社の CSPM/CWPP スタックを運営しています。カカオのデータセンター火災(2022年10月)後、セキュリティと回復力への投資が大幅に増え、韓国 KISA の ISMS-P 認証要件に合わせた自社自動化が強みです。

日本のメルカリは 2024年のセキュリティエンジニアリングブログで、GCP + Wiz の組み合わせを公式に採用したと発表しました。GCP がメルカリ主力クラウドのため SCC を1次で使い、Wiz をマルチクラウド(GCP + AWS)統合ビューとして使うパターンです。Wiz の日本市場参入における重要なリファレンスとなりました。

NTT は日本最大の通信・SI グループで、NTT Data セキュリティ事業部は Palo Alto Prisma Cloud の日本最大リセラーです。NTT Communications の「Cloud Service Hub」は日本企業がマルチクラウドを安全に導入するための SI パッケージで、その中で Prisma Cloud がデフォルト CSPM、Cyera がオプション DSPM として提供されます。日本エンタープライズの保守的な導入パターンに合わせた構成です。

韓国の LG CNS、Samsung SDS、SK C&C も似た SI モデルで CSPM を束ねて売っています。SK C&C は 2024年に Wiz と韓国公式パートナーシップを結び、SK グループ内部導入を開始し、Samsung SDS は Prisma Cloud + Lacework(以前)、Sysdig の3つを顧客別に提案するマルチベンダー戦略です。

15. 誰が何を選ぶべきか — スタートアップ / エンタープライズ / マルチクラウド

シード〜シリーズ B スタートアップ(AWS 単一、小チーム)

AWS Security Hub + GuardDuty + Inspector + Config(すべて AWS ネイティブ)
IaC スキャンは Snyk Free または OSS Checkov
コンテナスキャンは Trivy OSS
月 $500〜$ 2,000 のコストで脅威の 80% をカバー可能
セキュリティ専任がいないならこれが限界、それ以上は時間の無駄

シリーズ C〜D(マルチクラウド開始、セキュリティ 1〜5人)

Wiz(CSPM + CIEM + DSPM 統合グラフ、最速の価値創出)
コンテナの深さが足りなければ Sysdig を追加
開発者ワークフロー統合が重要なら Snyk を併用
月 $20k〜$ 80k(ワークロード 100〜500 ベース)

エンタープライズ(数千ワークロード、セキュリティ 10〜100人)

Wiz(グラフ + マルチクラウド)または Prisma Cloud(モジュール幅 + NGFW バンドル割引)
DSPM は別: Cyera または Varonis(SaaS データ中心なら Varonis)
CIEM: Wiz CIEM 内蔵、または Sonrai(専用)
ランタイムの深さ: Sysdig または Aqua(Kubernetes 中心なら Aqua)
月 $200k〜$ 2M(ワークロード 5k〜50k ベース)

規制業種(金融、医療、政府)

Tenable(脆弱性 + コンプライアンスマッピング)+ Prisma Cloud(CNAPP)
韓国: KISA ISMS-P マッピング自動化ツールが必要
日本: 経済産業省(METI)ガイドラインマッピング
米国: FedRAMP/HIPAA/PCI-DSS マッピング

クラウドネイティブ / Kubernetes 中心

Wiz(グラフ)+ Sysdig(ランタイムの深さ)+ Falco OSS(コミュニティルール)
Aqua は OpenShift/Anthos が多い時に追加検討
Snyk Container を CI 段階に追加

Microsoft 365 / Azure 中心

Defender for Cloud(Azure ワークロード無料)
Microsoft Purview(DSPM、無料/安価)
マルチクラウドなら Wiz を追加、単一クラウドなら Defender だけで十分

最も重要な原則は 「グラフを統一できるか」 です。CNAPP ツールを2〜3個導入してアラームがそれぞれ別のコンソールに出るなら、セキュリティチームの認知負荷が爆発します。可能であれば一つのツールのグラフモデルに統一し、残りはそのグラフへデータを流し込む補助ツールとして運営するのが 2026年の定石です。

16. 参考 / References

Google to acquire Wiz for $32 billion, Mar 2025 — https://blog.google/inside-google/message-ceo/google-wiz/
Google Wiz acquisition closed analysis — https://www.theverge.com/2025/3/18/24385516/google-wiz-acquisition-32-billion
Wiz rejects Google $23B offer, Mar 2024 — https://www.wsj.com/tech/wiz-google-deal-rejected-2024
Fortinet acquires Lacework, May 2024 — https://www.fortinet.com/corporate/about-us/newsroom/press-releases/2024/fortinet-completes-acquisition-of-lacework
Gartner Magic Quadrant for CNAPP 2025 — https://www.gartner.com/en/documents/cnapp-mq-2025
Wiz Security Graph technical overview — https://www.wiz.io/academy/security-graph
Orca Security SideScanning patent — https://orca.security/platform/sidescanning/
Aqua Trivy GitHub — https://github.com/aquasecurity/trivy
Falco CNCF graduation — https://www.cncf.io/projects/falco/
Sysdig CDR 5/5/5 benchmark — https://sysdig.com/blog/5-5-5-benchmark-cloud-detection/
Prisma Cloud 4.0 Darwin release — https://www.paloaltonetworks.com/blog/prisma-cloud/prisma-cloud-darwin-release/
Snyk Cloud product page — https://snyk.io/product/cloud-security/
Tenable Cloud Security (Ermetic) — https://www.tenable.com/products/tenable-cloud-security
Datadog Cloud Security Management — https://www.datadoghq.com/product/cloud-security-management/
Microsoft Defender for Cloud docs — https://learn.microsoft.com/azure/defender-for-cloud/
Google Security Command Center — https://cloud.google.com/security-command-center
AWS Security Hub — https://aws.amazon.com/security-hub/
Cyera DSPM platform — https://www.cyera.io/
Varonis Data Security Platform — https://www.varonis.com/products/data-security-platform
BigID Data Discovery — https://bigid.com/
Sonrai Security CIEM — https://sonraisecurity.com/
Permit.io — https://www.permit.io/
トスセキュリティエンジニアリングブログ — https://toss.tech/article/security-engineering
カカオ KSec セキュリティ — https://tech.kakao.com/security/
メルカリ Engineering Cloud Security — https://engineering.mercari.com/blog/entry/security/
NTT Communications Cloud Service Hub — https://www.ntt.com/business/services/cloud-service-hub.html
Standard Webhooks と隣接するクラウドセキュリティ標準 — https://www.standardwebhooks.com/