2019年創業のLevettyもCSPM領域において事業を手がける1社。数少ない日本発のプレーヤーだ。同社のセキュリティサービス「Cloudbase」は3月にベータ版をローンチしたばかりではあるものの、スズキやアイフルを始め複数社が有償で導入。Levettyでは8月24日に正式版の公開と同時に1.3億円の資金調達を発表しており、今後の事業拡大を見据えている。
数百項目のセキュリティリスクを自動で診断、設定ミスを検出
CloudbaseはAWSやGCP、Azureなどのパブリッククラウドにおける設定ミスを自動で診断するセキュリティサービスだ。企業のクラウド構成をスキャンした上で数百項目のセキュリティリスクを自動で診断し、設定ミスを危険度ごとに表示する。
定期的にスキャンをすることで、クラウド構成が変わった場合でも新たな設定ミスに素早く気付ける。スキャンにかかる時間は5分程度。企業の視点では、膨大な工数をかけることなく「今まで曖昧だった自社のクラウドの健康状態をチェックできるようになる」(Levetty代表取締役の岩佐晃也氏)のが特徴だ。
岩佐氏によると、従来の設定ミスの対策としては年に数回の脆弱性診断やペネトレーションテストの実施、社内のエンジニアによる手作業でのクラウドの設定などの手段が用いられることが多かった。
ただ数回の診断では回数が少なく頻度の面でリスクがあり、エンジニアが手作業で進めるには膨大な工数がネックになる上に網羅性にも欠ける。クラウドサービスにデフォルトで備わっているセキュリティ機能もUI/UXの複雑さや言語面のハードルがあり、しっかりと運用できている企業は少ないという。
クラウドサービスの拡大とともにセキュリティ面の課題が大きくなる一方で、有効な対策はこれといって存在しない。グローバルでCSPM領域のスタートアップが台頭してきている背景にはそのような事情もあるようだ。
海外では複数のユニコーン、注目市場の「CSPM」
CSPMに関しては日本発の事業者は限られるものの、米国やイスラエルを始め海外ではすでに複数のプレーヤーが事業を展開している。冒頭で触れたWizやOrca Securityといったユニコーン企業に加え、Palo Alto Networksのような上場企業もサービスを手がける。同社の「Prisma Cloud」は日本の大企業でも導入が進んでおり、Cloudbaseにとってはライバルになりうる存在だ。
検出できるリスクなどは似通ってくる部分もあるが、ユーザー体験やサポートなどの運用面を磨くことで事業を拡大できるチャンスはあると岩佐氏は話す。
