元NetApp幹部が率いるクラウドセキュリティのスタートアップが、より広範なリスクに対応できるCNAPPプラットフォームを構築するために2億5,000万ドルを調達した。
Bessemer Venture Partners主導のシリーズB資金調達により、サンフランシスコ拠点のUpwindは、ランタイムベースのソリューション構築から、脆弱性管理、CSPM、CDRにまたがる統合スタックの提供へと移行できるようになると、共同創業者兼CEOのアミラム・シャハル氏は述べた。この投資により、設定ミス、データ露出、ID管理不備などを含む複雑なセキュリティ課題に取り組めるようになるという(参照: Upwindが評価額15億ドルで2億5,000万ドルの資金調達を狙う理由)。
「私たちは、はるかに大きなものを作っていると気づきました」とシャハル氏はInformation Security Media Groupに語った。「脆弱性管理にも、CSPMにも、IDにも役立つものになります。『今こそ、可能な限り速く、可能な限り大きく成長する時だ』と言いました。そして、市場で最高のCNAPPを構築する企業は1,000億ドル企業になると感じています。」
2022年に設立されたUpwindは従業員337人を擁し、外部資金として累計4億3,000万ドルを調達している。これには、2024年12月にCraft Ventures主導で実施した1億ドルのシリーズAラウンドも含まれる。同社は創業以来シャハル氏が率いており、同氏は以前、クラウドインフラ最適化企業Spot.ioを2020年7月にNetAppへ4億5,000万ドルで売却している。UpwindはシリーズBラウンドに伴い評価額15億ドルを得た(参照: Upwind、クラウドセキュリティの脆弱性を阻止するために1億ドルを調達)。
UpwindのCDR、CSPMへのアプローチは競合とどう異なるのか
Waste Management、Carvana、Nubankなどの大企業での勝利により、Upwindは中核領域で優位に立っており、迅速にスケールする準備ができているという確信を得たと、シャハル氏は述べた。ラウンドは1億5,000万ドルを目標に開始したが、投資家の強い関心により同社は上限を引き上げ、最終的に2億5,000万ドルに落ち着いたという。
「資金調達は、常に低めの数字から始めます」とシャハル氏は述べた。「実際、私たちは1億5,000万ドルから始めましたが、ラウンドへの参加意欲の高まりは本当に驚くほどでした。そこで1億7,500万ドル、次に2億ドル、2億1,000万ドル、そして2億5,000万ドルへと拡張していきました。計画していたわけではありません。」
多くの企業がCNAPPをサイロ化された機能の寄せ集めとして扱う一方で、UpwindはCNAPPを、ランタイム、設定、脆弱性、ID、アプリケーション層のデータを結び付ける統合的なファブリックとして捉えていると、シャハル氏は述べた。APIセキュリティ、人工知能ワークロード保護、データセキュリティ、アプリケーションセキュリティといった新領域を追加し、CNAPPが単なるリアクティブではなく、予測的かつ包括的になるようにしている。
「『脆弱性を知っているだけでなく、データ分類も、IDも、APIも知っている』という共有コンテキストがあれば、はるかに精度が高く高品質なセキュリティアラートを作れます」と同氏は述べた。「あらゆる選択肢があります。提携も行い、企業買収もしましたが、多くの場合は自社で構築することになるでしょう。」
Upwindのソリューションは、eBPFベースのセンサーとサーバーレストレーサーを活用し、クラウドアクティビティログを重ね合わせることで、多段階の侵入経路を特定し、侵害に関する包括的なストーリーを構築すると、シャハル氏は述べた。Upwindは攻撃対象領域管理の機能を統合してCSPMを強化し、外部攻撃者の視点をシミュレートし、露出したリソースを内部の設定リスクと突き合わせられるようにした。
「Upwind以前は、脆弱性管理にランタイムデータを使うことなど誰も考えていませんでした。そもそも議題にすらなかったのです」とシャハル氏は述べた。「私たちはその連鎖を断ち切りました。そして、次世代の脆弱性管理は本当に自動修復だと思います。コードを書く段階からどう自動修復できるのか、あるいはすでにデプロイされた後にどう自動修復するのか、ということです。」
UpwindがCNAPPにはクラウドセキュリティ以上のものが必要だと考える理由
Upwindは、CNAPPのコンテキストモデルの自然な拡張として、AIセキュリティ、API保護、アプリケーションセキュリティ、データセキュリティへと進出したいと、シャハル氏は述べた。同社は独自のAPIおよびデータセキュリティモジュールを構築し、ChainguardやCyeraなどのベンダーと提携して機能を迅速に強化し、さらにNyxを買収してアプリケーションセキュリティとシフトレフトのコードスキャンへ拡張したという。
「APIセキュリティがCNAPPに入ってくるのは、そうしたものの始まりにすぎません」とシャハル氏は述べた。「AIのバイブコーディングから、こうしたカーソルやClaudeまで、ソフトウェアの作り方には新しいアプローチが必要です。だからこそ、より速く動き、前もってより多くの資本を投入して、より大きな投資ができるようにする瞬間なのです。」
Upwindは、資金力があり確立されたプレイヤーであるCrowdStrike、Palo Alto Networks、Wizと、参入するほぼすべてのRFPで一貫して競合していると、シャハル氏は述べた。現代のクラウドセキュリティにおける問題の多くは、インフラおよび開発パイプラインの課題であり、それを解決するにはソフトウェアライフサイクル、ランタイム挙動、開発者ワークフローに関する深い知識が必要だという。
「私たちが見ている三角形はCrowdStrike、Palo、そしてWizです」とシャハル氏は述べた。「大規模なRFPでは、99%の確率でそれが見えます。私たちのアプローチの独自性は、考えてみると、クラウドセキュリティで解決しようとしている問題はすべて新しい問題だという点です。私たちが解いている実際の問題は、多くの場合、セキュリティ問題ですらありません。クラウドの問題なのです。」
Upwindは、北米、欧州、中南米、アジア太平洋にわたる営業・サポートチームへの投資により、グローバルに拡大している。シャハル氏は、大規模でエンタープライズグレードの顧客を獲得することが重要な検証ポイントであり収益の牽引役だと述べた。優秀なエンジニアリング人材とフィールド人材を迅速に採用できることが、製品の勢いと市場カバレッジを維持するうえで不可欠だという。
「CNAPPは、世界中のあらゆる企業が必ず持たなければならない予算項目です。あれば便利というものではありません」とシャハル氏は述べた。「今日、人々がUpwindから購入しない最大の理由は、私たちのことを知らないからです。」
翻訳元: https://www.databreachtoday.com/upwind-secures-250m-to-extend-cnapp-to-ai-data-security-a-30599
