データの量、多様性、速度は爆発的に増加し続けており、あらゆる規模の組織のセキュリティチームは、それに追いつかなければならないという課題に直面しています。企業は、様々なSaaS環境、生成人工知能(AI)ツールの出現、貴重なソースコードの暴露や盗難によってもたらされるエスカレートするリスクに直面し、CISOやデータ担当者は夜も眠れない状態が続いています。
過去数年にわたり、Cloudflareは、2022年秋のデータ損失防止(DLP)およびクラウドアクセスセキュリティブローカー(CASB)サービスの開始を含め、企業がこうしたリスクを回避し、データの可視化と制御を実現できるよう支援する機能を提供してきました。
Cloudflare Oneのデータ保護スイートを発表
本日、私たちはその勢いをさらに高め、Web、Saas、プライベートアプリ全体であらゆる場所のデータを保護する統合スイートであるCloudflare One for Data Protectionを発表します。Cloudflare Oneのデータ保護スイートは、当社のグローバルネットワーク全体に基づいて構築され、提供されており、最新のコーディングとAIの使用の増加のリスクに対応するように設計されています。
具体的には、このスイートは、CloudflareのDLP、CASB、Zero Trustネットワークアクセス(ZTNA)、セキュアWebゲートウェイ(SWG)、リモートブラウザ分離(RBI)、およびクラウドメールセキュリティサービスにわたる機能を、管理を簡素化するために単一のプラットフォームに統合します。これらのサービスはすべて、セキュリティとネットワーク接続サービスを統合したSASEプラットフォームである Cloudflare Oneの一部として利用可能であり、パッケージ化されています。
本日発表された別のブログ記事では、過去1年間に提供した技術や機能を振り返り、お客様が期待する新機能をプレビューしています。
このブログでは、これらの技術や機能が、現代のデータリスクに対処する上で、お客様にどのような影響を与えるのか、実際の使用例を交えて、より焦点を当てています。私たちは、Cloudflare Oneが、現代のデータリスクに対応する、より優れたデータ保護を提供できる独自の立場にあると確信しています。ここで言う「より優れた」というのは、次のような意味です:
- ポリシー管理とインラインおよびAPI接続を簡素化することで、セキュリティ チームがより効果的にデータを保護できるように支援します。
- 迅速、確実、一貫したユーザーエクスペリエンスにより、従業員の生産性向上を支援します。
- 進化するデータセキュリティおよびプライバシー要件に対応するための迅速なイノベーションにより組織の俊敏性を高めます。
データ保護がかつてないほど困難に
データは、ほとんどの組織が把握しきれないほど多くの環境にまたがっています。顧客との会話では、3つの現代的なリスクが際立っています:
- 多様化するクラウド環境とSaaS環境:クラウドメールの受信トレイ、クラウドストレージの共有フォルダやドキュメント、Microsoft 365のようなSaaS生産性とコラボレーションのスイートなど、ナレッジワーカーが最も多くの時間を費やすアプリは、データ流出のために脅威アクターにますます狙われるようになっています。
- 新たなAIツール:ビジネスリーダーは、ChatGPTのような不透明な大規模言語モデルツールで、ユーザーが機密情報を共有しすぎることを懸念しているが、同時にAIの利点を活用したいと考えています。
- ソースコードの暴露や盗難:開発者のコードは、デジタルビジネスを活性化させますが、同じ価値の高いソースコードが、GitHubのような多くの開発者ツール(公開リポジトリのような目に見える場所も含む)において、暴露されたり、盗難の標的にされたりする可能性があります。
特に後者の2つのリスクは、すでに交差しています。Amazon、Apple、Verizon、Deutsche Bankなどの企業は、機密データが失われることを恐れて、従業員がChatGPTのようなツールを使用することをブロックしています。Samsungは最近、エンジニアが誤って機密コードをツールにアップロードしてしまいました。組織が新しいデジタルサービスや体験を優先するにつれ、開発者はより速く、よりスマートに仕事をこなさなければならないというプレッシャーに直面しています。AIツールはその生産性を向上させるのに役立ちますが、これらのツールで機密データを共有しすぎた場合の長期的な影響についてはまだ分かっていません。
特に、ハイブリッド業務や開発が拡大し続ける中、企業がデジタルトランスフォーメーションへの取り組みを加速させるにつれて、データリスクは増大の一途をたどっています。同時に、より多くの国や州がより厳格なデータプライバシー法を採用するため、法規制の遵守はますます厳しくなるでしょう。
従来のDLPサービスは、このような現代のリスクに対応する能力を備えていません。高いセットアップと運用上の複雑さに加え、負のユーザーエクスペリエンスという組み合わせは、実際には、DLP制御が十分に活用されていないか、完全に迂回されることが多いことを意味します。スタンドアロンのプラットフォームとして導入されるにせよ、セキュリティ製品やSaaSアプリに統合されるにせよ、DLP製品は高価なシェルフウェアになりがちです。また、DLP、ファイアウォール、SWGアプライアンスなどのオンプレミスのデータ保護ハードウェアを介したトラフィックのバックホールは、長期的には企業を停滞させるコストとユーザーエクスペリエンスの低下を招きます。
図1:現代のデータリスク
データ保護におけるCloudflareの利用方法
今日、フォーチュン500の天然ガス会社、米国の大手求人サイト、米国の地方航空会社、オーストラリアのヘルスケア会社など、こうしたデータリスクに対処するために、ますますCloudflareが注目を浴びています。これらの顧客において、Cloudflare Oneをデータ保護に導入する場合、3つのユースケースが共通のフォーカスエリアとして挙げられます。
ユースケース#1:AIツールと開発者コードの保護(Applied Systems)
保険技術とソフトウェアの会社であるApplied Systemsは最近、AI環境におけるデータの安全性を確保するためにCloudflare Oneを導入しました。
具体的には、同社はChatGPTのパブリックインスタンスを隔離されたブラウザで実行し、セキュリティチームがコピー&ペーストブロックを適用できるようにして、ユーザーが他のアプリからAIツールに機密情報(開発者コードを含む)をコピーできないようにしています。最高情報セキュリティ責任者のTanner Randolph氏は、「従業員にAIを活用させながら、その安全性を維持したかった」と述べています。
このユースケースは、Applied SystemsがZscalerやCiscoからCloudflareに移行する際に取り組んだいくつかのユースケースの1つに過ぎませんが、当社の顧客の間では、AIや開発者コードのセキュリティ確保に対する関心が高まっていることが見て取れます。
ユースケース#2:データ露出の可視化
顧客は、Cloudflare Oneを活用して、広大なアプリ環境全体におけるデータ暴露リスクの可視性と制御を取り戻そうとしています。多くの場合、最初のステップは、許可されていないアプリの使用状況を分析し、それらのリソースに対して許可、ブロック、隔離、または他のコントロールを行うための措置を講じることです。第二のステップとしては、SaaSアプリの設定ミスや機密データをCASBやDLPサービスを介してスキャンし、SWG ポリシーで修正します。
従業員75,000人を擁する英国の大手eコマース企業は、この後者のステップのためにCloudflareを利用しました。ZscalerからCloudflareへの広範な移行戦略の一環として、同社はSaaS環境とCloudflareのCASBとの間にAPI統合を迅速にセットアップし、設定ミスのスキャンを開始しました。さらに、この統合プロセスでは、DLPポリシーをMicrosoft Pureview Information Protectionの機密ラベルと同期させることができたため、既存のフレームワークを使用して、保護するデータの優先順位を決めることができました。その結果、同社は1日以内にデータ暴露リスクの特定を開始することができました。
ユースケース#3:規制への対応
GDPR、CCPA、HIPAA、GLBAのような包括的なデータ規制が私たちの生活に浸透して久しくなります。例えば、包括的な個人情報保護法は、2021年にはわずか3州であったものが、現在では米国の11州で制定されています。また、PCI DSSのような既存の法律の更新には、より厳しく、より広範な要件が含まれるようになりました。
特に、規制対象データ(金融データ、健康データ、個人を特定できる情報(PII)、完全一致データなど)を確実に監視・保護できるようにすることで、Cloudflare Oneをコンプライアンスに活用するお客様が増えています。一般的な手順としては、まず、DLPを介して機密データを検出し、制御を適用します。次に、ログによる詳細な監査証跡を維持し、さらにSIEM、最後に、包括的なZero Trustセキュリティ体制を構築することで、全体的なリスクを低減することが含まれます。
具体例を見てみましょう。Zero Trustのベストプラクティスとして、ますます要求が高まっているのが多要素認証(MFA)です。決済カード業界では、2025年に発効するPCI DSSv4.0で、カード会員データ環境へのすべてのアクセス要求について、クラウド環境、オンプレム アプリ、ワークステーションなど、すべてのユーザとすべての場所で MFA を実施することが要求されて います(要件8.4.2)。さらに、これらのMFAシステムは、リプレイ攻撃やバイパス試行を含む悪用を防止するように構成され、少なくとも2つ の異なる要素が成功する必要があります(要件 8.5)。Cloudflareは、組織がこれら2つの要件に準拠できるよう、すべてのアプリとユーザーにわたってMFAを強制するのに役立ちます。実際、私たちは同じサービスを用いて、自社の従業員に対してハードキー認証を強制しています。
図2:データ保護のユースケース
Cloudflareと他社の違い
Cloudflare Oneのデータ保護スイートは、これらやその他の進化するユースケースに対応するため、最新のデータリスクの最前線に立ち続けるよう構築されています。
Cloudflareでは、DLPは、CASB、SWG、ZTNA、リモートブラウザ分離、電子メールセキュリティなど、通常異なる他のセキュリティサービスと統合されるだけでなく、1つのコントロールプレーンと1つのインターフェイスを持つ単一のプラットフォームに統合されます。私たちのネットワークアーキテクチャは、SOUPという頭文字を超えて、組織がデータを保護しながら、より効果的に、より生産的に、より機敏に行動できるよう支援するものです。
私たちは接続を簡素化し、トラフィックをCloudflareに送信して適用する柔軟なオプションを提供します。これらのオプションには、設定ミスや機密データのためのSaaSスイートのAPIベーススキャンが含まれています。セキュリティチームがITチームや事業部門から完全なアプリケーション権限を取得する必要があるソリューションとは異なり、Cloudflareは読み取り専用のアプリケーション権限でリスクを発見できます。アプリケーションアクセスを保護するためのZTNAのクライアントレスデプロイおよびWebサイトやアプリケーション内のデータを制御するためのブラウザ分離は、大企業のすべてのユーザー(従業員や請負業者などのサードパーティ)に対して拡張性があります。また、プロキシトラフィックを転送したいい場合、Cloudflareはワンデバイスクライアントを提供し、セキュリティサービス全体で自己登録の権限または広域ネットワークオンランプを与えます。非常に多くの実用的なデプロイ方法があるため、データ保護アプローチは効果的かつ機能的であり、シェルフウェアではありません。
お客様のデータと同様に、当社のグローバルネットワークはあらゆる場所にあり、現在では100カ国を超え、300都市以上に広がっています。私たちは、Zscaler、Netskope、Palo Alto Networksなどのベンダーよりも速く、シングルパス検査でより迅速に制御を実施できることを実証しています。私たちは、セキュリティが迅速で、信頼性が高く、邪魔にならないことを保証します。
当社のプログラマブルネットワークアーキテクチャは、新しい機能を迅速に構築することを可能にします。また、新しいセキュリティ標準、プロトコル(IPv6専用接続やHTTP/3暗号化など)を迅速に採用し、データ保護が効果的であり続けることを保証します。全体として、このアーキテクチャは、AI環境におけるコードの保護など、変化するデータ保護のユースケースに沿って進化し、ネットワークロケーション全体にAIと機械学習モデルを迅速に導入して、より高精度のコンテキスト駆動型検出を実施するのに役立ちます。
図3:Cloudflareによる統合データ保護
使用開始手順
現代のデータリスクには、最新のセキュリティを必要とします。Cloudflare Oneの統合データ保護スイートは、開発者コードやAIツールの保護、SaaSアプリの可視性の回復、進化する規制への準拠など、組織が現在および将来において優先的に対処すべきリスクをナビゲートするのに役立つように設計されていると考えています。
Cloudflareがお客様のデータをどのように保護できるかについて詳しくは、今すぐ当社の専門家にワークショップをご依頼ください。
またCloudflare Oneがデータを保護する方法については、本日のプレスリリースをお読みいただくか、当社Webサイトまたは付随する技術ブログをご覧ください。
***