필사 모드: CSPM クラウドセキュリティポスチャマネジメント 2026 — Wiz(Google $32B 買収)/ Lacework / Orca / Aqua / Sysdig / Prisma Cloud / DSPM 徹底ガイド

> 「エージェントレススキャンはもはやオプションではない。2024年以降、CSPMは『CNAPP』に統合され、Googleが$32BでWizを買収した理由はただ一つ — マルチクラウドの全データを一つのグラフに収める会社が次の10年のセキュリティを定義するからである。」 — Gartner Hype Cycle for Cloud Security, 2025

2026年5月時点、クラウドセキュリティポスチャマネジメント(Cloud Security Posture Management, CSPM)市場は、一つの出来事によって完全に再編されました。2024年3月、Wizが$23Bの買収提案を一度拒否し、その1年後の2025年3月、Googleが$32Bで再びWizを買収した出来事です。クラウドセキュリティ単一カテゴリ史上最大の買収額であり、Alphabet史上最大の買収(これまでの最大は2012年のMotorola Mobility約$12.5B)でもあります。

同じ時期、Lacework はFortinetに(報道ベースで)約$200M〜$300Mという破格で買収されました(2024年5月、ピーク時$8.3B 評価)。Orca SecurityはIPOを先送りして独立路線を維持しています。Aqua Security と Sysdig はコンテナ・ランタイムセキュリティに深く根を張り、Prisma Cloud は Palo Alto のキャッシュカウ、Snyk は開発者フレンドリーの代表、Tenable は脆弱性スキャナを CSPM に拡張しました。そして、データそのものをスキャンする新カテゴリ DSPM(Data Security Posture Management) — Cyera、Varonis、BigID — が急成長中です。

この記事は、2026年の CSPM/CNAPP/CWPP/CIEM/DSPM 全体マップを一枚に描き、各ベンダーの本当の強みと罠、韓国・日本のケースまでまとめます。

1. 2026年の CSPM マップ — CNAPP / CWPP / CIEM / DSPM 4分類

Gartner が作った略語が人を混乱させますが、実際は明確な4つの箱に分けられます。

| カテゴリ | 正式名 | 見るもの | 代表製品 |

|---|---|---|---|

| CSPM | Cloud Security Posture Management | クラウド設定・IAM・ネットワーク misconfig | Wiz, Prisma Cloud, Defender for Cloud |

| CWPP | Cloud Workload Protection Platform | VM/コンテナ/Kubernetes ワークロードのランタイム | Sysdig, Aqua, CrowdStrike Falcon Cloud |

| CIEM | Cloud Infrastructure Entitlement Management | IAM 権限・最小権限・過剰権限の検出 | Sonrai, Permiso, Wiz CIEM |

| DSPM | Data Security Posture Management | クラウドデータ(S3, BigQuery 等)の所在と機密度 | Cyera, Varonis, BigID, Wiz DSPM |

| CNAPP | Cloud Native Application Protection Platform | 上の4カテゴリを一つのプラットフォームに統合 | Wiz, Prisma Cloud, Sysdig, Orca |

2022年までこの4カテゴリは別個の製品群でしたが、2023〜2024年にすべて CNAPP という一語に統合され始めました。理由は単純です。セキュリティチームは「VM 脆弱性は製品 X、IAM 権限は製品 Y、S3 データ漏洩は製品 Z」のようなサイロをこれ以上運営できません。攻撃者はサイロを横断して — S3 バケット → 中の RDS credentials → IAM 権限昇格 → EC2 → 隣のワークロード — 一気に侵入します。したがってツールも一つのグラフで見る必要があります。

このグラフモデルを最初に定着させた会社が Wiz であり、その結果が $32B 買収です。

2. Wiz — Google $32B 買収(2025年3月)の意味

Wiz は 2020年に Assaf Rappaport、Ami Luttwak、Yinon Costica、Roy Reznik の4人が創業しました。4人全員がイスラエルのサイバー情報部隊 8200 出身で、Microsoft が買収したクラウドセキュリティ企業 Adallom のコアエンジニアでした。創業18か月で $1B ARR を突破し、SaaS 史上最速成長企業との異名を得ました。

Wiz が市場を揺るがした核となる技術は二つです。

第一に、**エージェントレス スナップショット スキャン** です。従来の CWPP がすべての EC2/VM にエージェントを入れる必要があったのに対し、Wiz はクラウド API でディスクスナップショットを取り、サイドカー環境でスキャンします。本番環境に何もインストールせずに、全 VM の脆弱性・シークレット・IAM キー漏洩を検出できるという点は、エンタープライズのセキュリティチームに衝撃を与える価値提案でした。

第二に、**Security Graph(セキュリティグラフ)** です。すべてのクラウドリソース(VM、コンテナ、S3、IAM ロール、シークレット、KMS 鍵、データ)をノードとして、その間の関係(攻撃経路、信頼関係、データフロー)をエッジとしてモデル化します。セキュリティチームは「インターネットに公開され、脆弱性があり、その上に管理者 IAM ロールを持つワークロードは?」を1行のクエリで答えられます。このグラフモデルが、そのまま CNAPP の標準モデルになりました。

2024年3月、Wiz が Google からの $23B 買収提案を断った理由は (a) IPO を目指していた、(b) 反トラスト審査の通過が不確実だった、(c) 値段をさらに引き上げられると見ていた、の3つです。結果として正解でした。1年後の 2025年3月、Google は $32B(現金)を提示し、当初提案から 39% 引き上げられた価格になりました。

$32B は Wiz の 2024年 ARR(約 $700M)の約 46倍 — 通常の SaaS 買収マルチプルの2倍以上で、「AGI 時代のセキュリティグラフを買う価格」という評が多数派です。買収後、Wiz は Google Cloud 外のマルチクラウド(AWS、Azure)サポートを維持すると約束しており、Google は明確に AWS の 30% シェアを侵食する意図を持っています。

3. Lacework — Fortinet 買収(2024年5月)

Lacework は Wiz と真逆の運命を辿った会社です。2015年創業、2021年11月の Series D で $1.3B を調達し $8.3B の評価を得ました。当時 CSPM カテゴリで最も熱い会社でしたが、2022年のマクロ環境悪化、急速な成長鈍化、2回の大規模レイオフ(2022年5月、2023年8月にそれぞれ約20%)を経て、2024年5月に Fortinet に買収されました。報道された買収額は約 $200M〜$300M — 最終評価の約 95% 下落の捨て値です。

Lacework の技術的強みは **Polygraph** という行動ベース検知でした。クラウド API 呼び出し、コンテナ実行、ネットワークフローを機械学習でベースライン化し、異常行動を検知します。しかし (a) エージェント依存度が高く、(b) ルールベース CSPM 機能が弱く、(c) 一画面で全クラウドリソースをグラフで見せる UX が Wiz に劣りました。

Lacework の転落はセキュリティ市場全体に二つの教訓を残しました。第一に、**評価額は売上成長率に従う**。ARR を $50M から $300M へ6倍成長させた Wiz と、$100M で停滞した Lacework の差が、そのまま買収額に反映されました。第二に、**CNAPP 時代に単一カテゴリ製品は生き残りが難しい**。Lacework は CWPP/CDR(Cloud Detection and Response)に強かったが CSPM/DSPM/CIEM の統合が遅れ、その間に Wiz が全カテゴリを一つのプラットフォームに吸収しました。

Fortinet は Lacework を自社の FortiCNAPP の中核として統合中で、2025年末までに FortiGate(NGFW)と Lacework Polygraph を接続した「オンプレ + クラウド」統合セキュリティを約束しています。しかし市場シェアは Wiz/Palo Alto に大きく遅れ、Lacework 単独の製品ラインは段階的に FortiCNAPP に吸収される見通しです。

4. Orca Security — イスラエル発ユニコーン、IPO 路線

Orca Security も Wiz と同じイスラエル発(2019年創業、テルアビブ)の CNAPP 企業で、**SideScanning** 特許で有名です。Wiz とほぼ同じエージェントレス スナップショット モデルですが、Orca が先に特許を出願し、Wiz を相手に特許訴訟を起こしましたが、2023年に和解で決着しました。

技術的には Orca と Wiz はほぼ同じカテゴリ(CNAPP)の中で競合します。差を見ると以下のとおりです。

- Orca は **単価がやや安い**。AWS/Azure/GCP のワークロード単価が Wiz より約 15〜20% 安いとの評が多数。

- Orca は **単一のサイドスキャナー** で全クラウドをスキャンします。Wiz はクラウド別スキャン基盤がより精巧ですが、その分セットアップが複雑です。

- Wiz は **Security Graph UX が大きく先行**。Orca はアラームカタログ中心、Wiz はグラフクエリ中心でワークフローが異なります。

- エンタープライズ営業力は **Wiz が圧倒的**。Orca は中堅企業とクラウドネイティブのスタートアップに強いです。

Orca は 2024年 Series E で $550M を調達し $1.8B の評価を得て、2025年末の IPO を目指していると報じられています。Wiz が Google に買収された後、市場で「独立 CNAPP 1位」のポジションを取れるようになったことは Orca にとって大きな機会です — Wiz を買えなかった Google の競合(AWS、Microsoft、Oracle、Cloudflare)が Orca を買収候補として見ているという噂は絶えません。

5. Aqua Security — コンテナセキュリティの元祖

Aqua Security は 2015年創業のイスラエル企業で、**コンテナ・Kubernetes ランタイムセキュリティの元祖** です。Docker イメージスキャン、Kubernetes admission controller、ランタイム行動保護、シークレット監査を最初から統合製品として束ねました。Trivy(イメージ脆弱性スキャンの OSS、GitHub スター 20k+)の開発元でもあります。

Aqua の強みは **Kubernetes の深さ** です。eBPF ベースのランタイム行動保護、Kubernetes RBAC 分析、OpenShift/Anthos/EKS/AKS 全プラットフォーム対応で最も成熟しています。KSPM(Kubernetes Security Posture Management)というサブカテゴリでは、Aqua、Sysdig、Red Hat ACS(StackRox)の3社が事実上市場を分け合っています。

弱点は **クラウド全体を見る視野** です。Aqua はコンテナ/K8s 出発のため、S3 バケット misconfig や RDS public 露出といった PaaS レイヤ CSPM は相対的に弱いです。2024年、Aqua は CSPM を強化するために Argon Security(supply chain security)を買収し、AWS CloudTrail / Azure Activity Log の統合を強化しましたが、Wiz/Prisma のレベルには及ばないという評が多数です。

代表顧客は PayPal、Samsung、Capital One、Choice Hotels など。Trivy の OSS コミュニティのおかげで Bottom-up 導入経路が強く、「Trivy で始めて Aqua Enterprise にアップグレード」というパターンが頻繁です。

6. Sysdig — Falco の創始者、CSPM + CWPP

Sysdig は 2013年に Loris Degioanni が創業し、彼が以前作ったシステムトレーシングツールがそのまま Sysdig OSS であり Falco の基盤です。**Falco は 2018年に CNCF に寄贈されたクラウドネイティブ ランタイム セキュリティの標準** であり、Sysdig Secure は Falco のエンタープライズ版です。

Sysdig の差別化点は **システムコールレベルの可視性** です。eBPF で全コンテナのシステムコールをキャプチャし、Falco ルールセットで疑わしい行動(シェル実行、権限昇格、インターネット接続)をリアルタイム検知します。CSPM 機能(misconfig スキャン)と CWPP 機能(ランタイム保護)を一つのプラットフォームで扱う数少ない会社です。

Sysdig は 2022年に売上約 $150M に成長し、2023年に Sysdig Secure for Cloud を発表しマルチクラウド CSPM 市場に本格参入しました。2024年には「CDR(Cloud Detection and Response)」という新カテゴリを自称し、「5/5/5 ルール」(5分で検知、5分で調査、5分で対応)というマーケティングを展開しました。

弱点は **エージェント依存度** です。Wiz/Orca のエージェントレスモデルと比べて、Sysdig はすべてのノードにエージェント(Sysdig Agent)を入れる必要があり、運用負荷になります。2024年末、Sysdig もエージェントレスオプションを追加しましたが、コアな価値提案は依然としてエージェントベースの深い可視性です。

代表顧客は Goldman Sachs、Beat、BigCommerce、SAP Concur。金融業界で強い理由は「エージェントが入っていなければ本物の可視性ではない」という見方が強い場所だからです。

7. Prisma Cloud(Palo Alto Networks)— エンタープライズ統合

Prisma Cloud は Palo Alto Networks が 2018〜2020年の間に RedLock(CSPM)、Twistlock(CWPP)、PureSec(serverless security)、Bridgecrew(IaC scanning)の4社を買収して統合した CNAPP 製品です。**CNAPP という言葉が作られた時点で全モジュールを揃えていた唯一の製品** でした。

強みは **エンタープライズ統合とネットワークセキュリティとのシナジー** です。Palo Alto の NGFW(Next-Gen Firewall)Strata と SASE Prisma Access を併用する会社は、自然と Prisma Cloud を導入します。CSPM、CWPP、CIEM、IaC スキャン、API セキュリティ、データセキュリティまで7モジュールを一つのコンソールで見られる幅は業界最大です。

弱点は **コンソール UX の統合度** です。4社買収の痕跡が画面のあちこちに残り、「一画面で全セキュリティ事件をグラフで見る」Wiz スタイルのワークフローは弱いです。2024年、Prisma Cloud 4.0(コード名「Darwin」)が出て統合コンソールとグラフビューが大きく改善されましたが、Wiz の Security Graph レベルには及ばないとの評が多いです。

価格は **エンタープライズ ライセンス バンドル時が最安** です。NGFW と一緒に束ねると単一モジュール価格が 50% 以下に落ちることが多く、これが Prisma Cloud の最大の営業武器です。単独購入時には Wiz/Orca より価格競争力が劣ります。

代表顧客は NTT Data、Accenture、Equinix、Wells Fargo。グローバル エンタープライズと政府部門で強いです。

8. Snyk Cloud — 開発者フレンドリーな CNAPP

Snyk は 2015年にロンドンで創業した会社で、**開発者ファースト セキュリティ(Developer-First Security)** カテゴリの代表格です。npm/Maven/PyPI の依存脆弱性スキャン(Snyk Open Source)で始め、2020年に IaC スキャン(Snyk Infrastructure as Code)、2022年にコンテナセキュリティ(Snyk Container)、2023年に Snyk Cloud(CSPM)へ拡張しました。

Snyk の最大の強みは **開発者ワークフロー統合** です。GitHub PR、GitLab MR、Bitbucket PR の中に直接セキュリティ アラートと自動修正提案が表示されます。IDE プラグイン(VS Code、JetBrains)も最も成熟しています。セキュリティチームが作ったルールを開発チームが自然に吸収するワークフローに最適化されています。

弱点は **ランタイム セキュリティの深さ** です。Snyk Cloud はクラウド misconfig スキャンと IaC スキャンに強いですが、eBPF ランタイム行動検知やクラウドグラフ モデリングは Wiz/Sysdig レベルに及びません。2024年、Snyk は Helios(クラウド行動分析)と Probely(API スキャン)を買収して差を縮めています。

価格は **開発者シート ベース** なので、クラウドリソース単位の価格制(Wiz、Orca、Prisma)と比較しづらいです。小さな開発チームには安いですが、大きなエンジニアリング組織ではシート数に応じて急速に高くなります。

代表顧客は Google、Salesforce、ASML、Atlassian、Microsoft。開発者中心の文化を持つ会社で強いです。

9. Tenable Cloud Security

Tenable は 1998年創業の **Nessus 脆弱性スキャナの元祖** です。25年以上オンプレ脆弱性管理(VM)市場をリードしてきた会社で、Tenable.io でクラウド/SaaS へ拡張し、2022年に Ermetic を $265M で買収して CIEM 機能を追加、Tenable Cloud Security という CNAPP ブランドにまとめました。

強みは **脆弱性データの深さ** です。Nessus 時代から蓄積してきた CVE/CVSS データ、韓国 KISA・日本 JPCERT のような地域脆弱性 DB まで最も総合的です。特に OT/IoT セキュリティ(Tenable.ot)を併用する製造業・エネルギー・政府顧客には、単一ベンダー統合が大きな魅力です。

弱点は **クラウドネイティブの深さ** です。コンテナ・Kubernetes・サーバーレスのセキュリティは Aqua/Sysdig のレベルに及ばず、グラフモデルは Wiz と差が大きいです。Tenable が CNAPP 全体で1ティアと評価されない理由です。

価格は **オンプレ + クラウド バンドル** 時が最も魅力的です。すでに Nessus/Tenable.io を使う会社が Cloud Security を追加すると割引幅が大きく、単一セキュリティチームがオンプレとクラウドを一つのコンソールで見る価値があります。

代表顧客は Boeing、NASA、米国国防総省、日本 NTT、韓国 LG CNS。伝統的なエンタープライズと政府部門で強いです。

10. Datadog CSM / Defender for Cloud / Security Command Center / AWS Security Hub

この4製品はすべて「すでにうちのプラットフォーム使ってるんだから、セキュリティもうちで」というカテゴリです。

**Datadog Cloud Security Management(CSM)** は 2022年にリリースされた Datadog のセキュリティモジュールです。Datadog Agent 一つでメトリクス・ログ・トレース・APM・RUM・セキュリティまで全部処理するという価値提案がコアです。CSPM(misconfig)、CWPP(ランタイム)、Application Security(IAST/RASP)まで段階的に拡張中です。強みは **運用データとセキュリティ データの統合** です。APM トレースからセキュリティ イベントへ直接ジャンプでき、セキュリティ チームと SRE チームが一つのツールを使います。弱点は Wiz レベルのグラフ モデルがないこと、そしてセキュリティ単体だと価格が高いことです。

**Microsoft Defender for Cloud** は Azure に標準内蔵される無料ティア + 有料ティアモデルです。Azure ワークロードはほぼ全データを無料で見れて、AWS/GCP は Microsoft Sentinel と連携して有料で見ます。強みは **Azure ユーザーには最安** であることと、Microsoft 365 / Entra ID(旧 Azure AD)との自然な統合です。弱点はマルチクラウド(AWS/GCP)の深さが Wiz より弱く、UX が Azure Portal に閉じ込められて専任セキュリティチームには窮屈です。

**Google Security Command Center(SCC)** は GCP のネイティブ セキュリティ コンソールです。2025年3月の Wiz 買収後、SCC と Wiz の統合ロードマップが発表されましたが、2026年現在も別個の製品として運営されています。Wiz が GCP ネイティブになるまでさらに2〜3年かかるというのが業界コンセンサスです。

**AWS Security Hub** は無料のメタ セキュリティ コンソールで、GuardDuty、Inspector、Macie、Config、IAM Access Analyzer のような AWS ネイティブ サービスの結果を一つの画面で見ます。強みは無料/安いことですが、グラフモデルがなく、マルチクラウド対応もしていません。多くの会社は Security Hub を1次集計ツールとして使い、深い分析は Wiz/Prisma のようなサード パーティ CNAPP に流します。

11. CNAPP — Gartner の分類と市場の現実

Gartner は 2021年に初めて **CNAPP(Cloud Native Application Protection Platform)** という用語を作りました。定義は「CSPM + CWPP + CIEM + その他のクラウドネイティブ セキュリティ機能を一つの統合プラットフォームとして提供するカテゴリ」です。

2026年5月時点、Gartner Magic Quadrant for CNAPP のリーダー四象限は以下のように整理されます(2025年4月発表ベース)。

- **Leaders**: Wiz、Palo Alto Prisma Cloud、Microsoft(Defender for Cloud)、Orca Security

- **Challengers**: CrowdStrike Falcon Cloud Security、Trend Micro(Trend Vision One Cloud)

- **Visionaries**: Sysdig、Aqua Security、Lacework(Fortinet)

- **Niche Players**: Tenable、Check Point CloudGuard、SentinelOne(PingSafe 買収)

この分類の罠は「Leader = 無条件に良い」ではない点です。Wiz はグラフ モデルとエージェントレス スキャンで圧倒的ですが、コンテナ ランタイムの深さは Sysdig/Aqua に劣ります。Prisma Cloud はモジュール幅が広いですが統合度が低いです。Microsoft は Azure で無敵ですが AWS/GCP では平凡です。

CNAPP 導入の最大の罠は **「これ一つで全部できる」というマーケティングを丸ごと信じること** です。実際には (a) CSPM + CIEM は Wiz/Prisma、(b) コンテナ ランタイムは Sysdig/Aqua、(c) DSPM は別製品、というように2〜3個のツールを組み合わせるのが普通です。

12. CIEM — エンタイトルメント管理

CIEM(Cloud Infrastructure Entitlement Management)はクラウド IAM 権限の **最小権限(Least Privilege)** を分析・強制するカテゴリです。AWS だけでも IAM ポリシーのアクションが 13,000 を超え、一社が数千の IAM ロールを運営すると、誰が何にアクセスできるのか人間には把握できません。

CIEM のコア機能は以下のとおりです。

- **Effective Permissions 計算**: SCP、Identity-based、Resource-based、Permissions Boundary、Session Policy をすべて評価して「実際に可能なアクション」を計算

- **Unused Permissions 検出**: 過去 90日/180日に使われたことのない権限を自動的にフラグ

- **Right-sizing 提案**: 過剰権限を持つロールに対して最小権限ポリシーを自動生成

- **Privilege Escalation Path**: ロール A → B → C と権限が昇格しうる経路をグラフ化

代表製品は以下のとおりです。

- **Wiz CIEM**: 2022年 Raftt 買収で追加、Security Graph に統合

- **Sonrai Security**: CIEM 専門の会社、2017年創業、AWS/Azure/GCP のバランスが良い

- **Permiso Security**: インサイダー脅威検知(IDR)に強み

- **CrowdStrike Falcon Identity Protection**: Identity Protection を CIEM に拡張

- **Permit.io**: CIEM というよりアプリケーション権限(OPA/Cedar/Casbin 統合)ですが隣接カテゴリ

CIEM の最大の適用領域は **AWS Organizations マルチアカウント環境** です。一社が 50〜500 の AWS アカウントを運営すると、IAM ポリシー変更1行がどこまで影響するか人間が追跡できず、CIEM ツールのグラフ シミュレーションがほぼ必須になります。

13. DSPM — Cyera / Varonis / BigID

DSPM(Data Security Posture Management)は 2023年に Gartner が初めて定義した新カテゴリで、**「クラウドのどこかにある機密データを自動的に見つけ、分類し、リスク評価すること」** です。CSPM がインフラ(VM、IAM、S3 バケット設定)を見るものなら、DSPM はその中にあるデータ(個人情報、クレジットカード、医療記録、営業秘密)を見ます。

代表製品は以下のとおりです。

**Cyera**(2021年創業、イスラエル) — 2025年 Series D で $300M を調達し $3B の評価を得た DSPM 1ティア。クラウド データ ストア(S3、BigQuery、Snowflake、Redshift、RDS、Cosmos DB、DynamoDB)をエージェントレスでスキャンし、機密度(PII、PCI、PHI)を ML で分類します。Wiz の DSPM モジュールがリリースされる前までは圧倒的1位で、その後も Wiz の外に残りたいマルチクラウド企業に好まれます。

**Varonis**(2005年創業、2014年 IPO) — もとはオンプレ ファイル サーバ(Active Directory、NetApp、EMC)データ ガバナンスの会社として始まり、SaaS/クラウドへ拡張した DSPM の元祖格。Microsoft 365、Salesforce、Box、Google Workspace のような SaaS データ分析で最も深いです。弱点はクラウドネイティブ データ ストア(BigQuery、Snowflake)の深さが Cyera に及ばない点。

**BigID**(2016年創業) — Privacy compliance(GDPR、CCPA、HIPAA、PIPEDA、韓国 PIPA、日本 APPI)に最も強い DSPM。データ マッピングと権利請求(DSR)処理、個人情報影響評価(PIA)の自動化に特化。技術の深さよりコンプライアンス ワークフローに強みがあります。

**Wiz DSPM** — 2023年にリリースされた Wiz 内蔵 DSPM モジュール。インフラ(CSPM)+ 権限(CIEM)+ データ(DSPM)を一つのグラフで見る価値提案が決定的です。「私の RDS に PII があり、その RDS にインターネットからアクセスできる IAM ロールがある」を1行のクエリで答えます。

**Microsoft Purview** — 無料/安価な DSPM オプション。Microsoft 365 データに特化。マルチクラウドの深さは Cyera/Wiz に及びませんが、Microsoft エコシステムでは無敵です。

DSPM の最大の罠は **分類精度** です。ML ベースの PII 検出は偽陽性(False Positive)が頻繁で、結果としてセキュリティチームがアラーム洪水に苦しむことがよくあります。ツール選択時は「自分が持つデータ種別(顧客 DB、医療、金融、営業)に対する分類精度」を PoC で必ず検証する必要があります。

14. 韓国 / 日本 — トス、カカオ KSec、メルカリ、NTT セキュリティ

韓国のトス(ビバ リパブリカ)は 2024年のセキュリティ エンジニアリング ブログで、自社製 CSPM ツール「TASS(Toss Account Security Scanner)」を公開しました。AWS Config + Custom Rules + 独自グラフ モデルをベースに約 300 の AWS アカウントを毎日スキャンし、Slack ボットで違反を担当チームへ自動通知します。Wiz/Prisma のような商用ツールを導入しなかった理由として (a) コスト、(b) 自社ビルドの柔軟性を挙げています。

カカオは 2023年に KSec(Kakao Security)という社内セキュリティ組織を強化し、韓国データ主権要件に合わせて自社の CSPM/CWPP スタックを運営しています。カカオのデータセンター火災(2022年10月)後、セキュリティと回復力への投資が大幅に増え、韓国 KISA の ISMS-P 認証要件に合わせた自社自動化が強みです。

日本のメルカリは 2024年のセキュリティ エンジニアリング ブログで、GCP + Wiz の組み合わせを公式に採用したと発表しました。GCP がメルカリ主力クラウドのため SCC を1次で使い、Wiz をマルチクラウド(GCP + AWS)統合ビューとして使うパターンです。Wiz の日本市場参入における重要なリファレンスとなりました。

NTT は日本最大の通信・SI グループで、NTT Data セキュリティ事業部は Palo Alto Prisma Cloud の日本最大リセラーです。NTT Communications の「Cloud Service Hub」は日本企業がマルチクラウドを安全に導入するための SI パッケージで、その中で Prisma Cloud がデフォルト CSPM、Cyera がオプション DSPM として提供されます。日本エンタープライズの保守的な導入パターンに合わせた構成です。

韓国の LG CNS、Samsung SDS、SK C&C も似た SI モデルで CSPM を束ねて売っています。SK C&C は 2024年に Wiz と韓国公式パートナーシップを結び、SK グループ内部導入を開始し、Samsung SDS は Prisma Cloud + Lacework(以前)、Sysdig の3つを顧客別に提案するマルチベンダー戦略です。

15. 誰が何を選ぶべきか — スタートアップ / エンタープライズ / マルチクラウド

**シード〜シリーズ B スタートアップ(AWS 単一、小チーム)**

- AWS Security Hub + GuardDuty + Inspector + Config(すべて AWS ネイティブ)

- IaC スキャンは Snyk Free または OSS Checkov

- コンテナ スキャンは Trivy OSS

- 月 $500〜$2,000 のコストで脅威の 80% をカバー可能

- セキュリティ専任がいないならこれが限界、それ以上は時間の無駄

**シリーズ C〜D(マルチクラウド開始、セキュリティ 1〜5人)**

- Wiz(CSPM + CIEM + DSPM 統合グラフ、最速の価値創出)

- コンテナの深さが足りなければ Sysdig を追加

- 開発者ワークフロー統合が重要なら Snyk を併用

- 月 $20k〜$80k(ワークロード 100〜500 ベース)

**エンタープライズ(数千ワークロード、セキュリティ 10〜100人)**

- Wiz(グラフ + マルチクラウド)または Prisma Cloud(モジュール幅 + NGFW バンドル割引)

- DSPM は別: Cyera または Varonis(SaaS データ中心なら Varonis)

- CIEM: Wiz CIEM 内蔵、または Sonrai(専用)

- ランタイムの深さ: Sysdig または Aqua(Kubernetes 中心なら Aqua)

- 月 $200k〜$2M(ワークロード 5k〜50k ベース)

**規制業種(金融、医療、政府)**

- Tenable(脆弱性 + コンプライアンス マッピング)+ Prisma Cloud(CNAPP)

- 韓国: KISA ISMS-P マッピング自動化ツールが必要

- 日本: 経済産業省(METI)ガイドライン マッピング

- 米国: FedRAMP/HIPAA/PCI-DSS マッピング

**クラウドネイティブ / Kubernetes 中心**

- Wiz(グラフ)+ Sysdig(ランタイムの深さ)+ Falco OSS(コミュニティ ルール)

- Aqua は OpenShift/Anthos が多い時に追加検討

- Snyk Container を CI 段階に追加

**Microsoft 365 / Azure 中心**

- Defender for Cloud(Azure ワークロード無料)

- Microsoft Purview(DSPM、無料/安価)

- マルチクラウドなら Wiz を追加、単一クラウドなら Defender だけで十分

最も重要な原則は **「グラフを統一できるか」** です。CNAPP ツールを2〜3個導入してアラームがそれぞれ別のコンソールに出るなら、セキュリティ チームの認知負荷が爆発します。可能であれば一つのツールのグラフ モデルに統一し、残りはそのグラフへデータを流し込む補助ツールとして運営するのが 2026年の定石です。

16. 参考 / References

- Google to acquire Wiz for $32 billion, Mar 2025 — https://blog.google/inside-google/message-ceo/google-wiz/

- Google Wiz acquisition closed analysis — https://www.theverge.com/2025/3/18/24385516/google-wiz-acquisition-32-billion

- Wiz rejects Google $23B offer, Mar 2024 — https://www.wsj.com/tech/wiz-google-deal-rejected-2024

- Fortinet acquires Lacework, May 2024 — https://www.fortinet.com/corporate/about-us/newsroom/press-releases/2024/fortinet-completes-acquisition-of-lacework

- Gartner Magic Quadrant for CNAPP 2025 — https://www.gartner.com/en/documents/cnapp-mq-2025

- Wiz Security Graph technical overview — https://www.wiz.io/academy/security-graph

- Orca Security SideScanning patent — https://orca.security/platform/sidescanning/

- Aqua Trivy GitHub — https://github.com/aquasecurity/trivy

- Falco CNCF graduation — https://www.cncf.io/projects/falco/

- Sysdig CDR 5/5/5 benchmark — https://sysdig.com/blog/5-5-5-benchmark-cloud-detection/

- Prisma Cloud 4.0 Darwin release — https://www.paloaltonetworks.com/blog/prisma-cloud/prisma-cloud-darwin-release/

- Snyk Cloud product page — https://snyk.io/product/cloud-security/

- Tenable Cloud Security (Ermetic) — https://www.tenable.com/products/tenable-cloud-security

- Datadog Cloud Security Management — https://www.datadoghq.com/product/cloud-security-management/

- Microsoft Defender for Cloud docs — https://learn.microsoft.com/azure/defender-for-cloud/

- Google Security Command Center — https://cloud.google.com/security-command-center

- AWS Security Hub — https://aws.amazon.com/security-hub/

- Cyera DSPM platform — https://www.cyera.io/

- Varonis Data Security Platform — https://www.varonis.com/products/data-security-platform

- BigID Data Discovery — https://bigid.com/

- Sonrai Security CIEM — https://sonraisecurity.com/

- Permit.io — https://www.permit.io/

- トス セキュリティ エンジニアリング ブログ — https://toss.tech/article/security-engineering

- カカオ KSec セキュリティ — https://tech.kakao.com/security/

- メルカリ Engineering Cloud Security — https://engineering.mercari.com/blog/entry/security/

- NTT Communications Cloud Service Hub — https://www.ntt.com/business/services/cloud-service-hub.html

- Standard Webhooks と隣接するクラウド セキュリティ標準 — https://www.standardwebhooks.com/