現代の急速に変化するデジタル環境において、企業が管理するSaaSアプリケーション、パブリッククラウドプラットフォーム、オンプレミスデータセンター、ハイブリッドセットアップなどの環境も複雑さを増しています。このような多様なインフラストラクチャは、柔軟性と拡張性を提供する一方で、新たな攻撃対象領域も生み出します。
事業継続性とセキュリティニーズを両立させるには、「セキュリティを事後対応型から予測型へと進化させる」ことが不可欠です。健全なセキュリティ態勢を維持するには、リスクを特定し、コンプライアンスを確保し、進化する脅威から保護するために、セキュリティ防御の監視と継続的な強化が求められます。Cloudflareの最新機能により、SaaSとWebアプリケーション全体の健全性を実現できるようになりました。これにより、あらゆるセキュリティチームが日常的に抱える究極の問い「当社の資産やドキュメントはどの程度適切に保護されているか?」にもしっかりと答えることができます。
予測型セキュリティ態勢の主要構成要素:
すべてのアセットやドキュメントをリアルタイムで把握・一覧化
アセットの存在を継続的に検知する脅威検出とリスク評価
保護を強化するための優先度付き対策案の提示
本記事では、私たちが上記をSaaSとWebアプリケーション全体に構築した方法、お客様がこれらをビジネスのセキュリティ態勢の管理にどのように活用できるかについて紹介します。
セキュリティ態勢を一目で確認
Cloudflareは、Cloudflareのグローバルネットワークに接続されたアプリケーションに対して定期的にリスクや設定ミスをスキャンし、それらの情報をSecurity Centerのダッシュボードで「インサイト」として提示します。
インサイトは、重大度、リスクの種類、対応するCloudflareソリューションごとにグループ化されており、さまざまな視点からお客様が焦点を当てたい点をクローズアップすることができます。また、特定のインサイトにはワンクリックで適用可能な推奨設定が用意されており、例えばTLSの最低バージョンの設定をPCI DSSが推奨するTLS 1.2以上に簡単に適用することができます。このシンプルさは、組織全体に増加するアセットを管理しているお客様から高く評価されています。
解決までの時間をさらに短縮するために、当社は最近、CloudflareのダッシュボードのSecurity Insightsにロールベースのアクセス制御(RBAC)を追加しました。これにより、各セキュリティ担当者は自身の役割に応じたインサイトのみを表示できるようになります。例えば、管理者権限(CSOなど)を持つユーザーは、すべてのインサイトにアクセス・閲覧することができます。
アカウント全体のセキュリティインサイトに加え、SaaSとWebアプリケーションごとのセキュリティ設定に基づいた態勢の概要も提供します。それぞれの内容について掘り下げてみましょう。
SaaSアプリケーションの保護
一元的な態勢管理がないと、SaaSアプリのセキュリティはまるで無法地帯のようになりかねません。SaaSアプリには、ファイル、データベース、ワークスペース、設計データ、請求書など、企業運営に欠かせない機密情報が大量に含まれています。しかし、管理できる範囲はベンダーが提供している設定範囲に限られ、可視性やカスタマイズ性は制限的です。さらに、チームメンバーは、ファイルを公開したり、非準拠のデータベースにPIIを追加したり、サードパーティ統合へのアクセスを許可するなど、設定のズレやデータ漏洩の原因となる可能性のあるコンテンツを常に作成、更新、削除しています。Cloudflareを活用すれば、SaaSアプリケーション全体を一つのダッシュボードで可視化し、これらのリスクを効果的に管理できます。
SaaS環境全体のセキュリティ態勢の把握
アカウント全体の「セキュリティインサイト」では、SaaSの潜在的なセキュリティ問題に関する洞察を確認することができます。
さらに詳しい調査が必要であれば、クラウドアクセスセキュリティブローカー(CASB)を活用することで、SaaS環境全体の設定ミスやリスク、ベストプラクティスに従っていない点を徹底的にレビューすることができます。確認できるセキュリティ情報は豊富で、その一部を紹介します:
一般に公開されているファイルまたは社外に共有されているファイル
読み取りや編集権限を持つサードパーティ製アプリ
不明なユーザーや匿名ユーザーによるアクセス
資格情報が漏えいしているデータベース
二要素認証を有効にしていないユーザー
長期間使用されていないユーザーアカウント
また、「態勢調査(Posture Findings)」ページでは、SaaSアプリケーション内に保存されているドキュメントを簡単に検索して場所を特定することができます。
さらに、環境内の設定のズレを防ぐためのポリシーを作成することも可能です。これにより、安全な設定とコンプライアンス基準を維持しながら、セキュリティ運用チームのアラート疲れを軽減することができます。また、機密データの不適切な移動や流出を防止することもできます。全環境の制御と可視性を統合することで、規制対象のデータクラスを簡単にロックダウンし、ログで詳細な監査証跡を維持し、セキュリティ態勢を改善して侵害のリスクを低減することができます。
新しいリアルタイムのSaaSドキュメントを検出する仕組み
SaaS環境のセキュリティ態勢情報を提示するには、さまざまなプラットフォームから膨大な量のデータを収集する必要があります。SaaSアプリ内にあるすべてのドキュメント(ファイル、設計データなど)の安全性を確保するには、公開共有されていないか、サードパーティ製アプリからのアクセスが可能か、多要素認証(MFA)が有効になっているか、など、その設定に関する情報を収集する必要があります。
以前は、SaaS APIからデータを抽出するクローラーを使用してこれを行っていましたが、大規模なデータセットを扱う際、SaaSベンダーからのレート制限に悩まされていました。そのため、ベンダーが許可する範囲内で調整しながら小分けに作業する必要がありました。このため、情報が古くなり、修復作業も煩雑でやりづらいものでした。例えば、あるファイルの公開設定を解除した後も、しばらくの間「まだ公開されている」と誤って報告されることがあり、ユーザーの混乱を招くこともありました。
この問題を解決するため、データ収集の仕組みをリアルタイム対応にアップグレードしました。これにより、新たなセキュリティリスクの発見、資産の更新、ベンダーからの重要なアラートなど、環境の変化に即座に対応できるようになりました。まずは、Microsoft環境(Microsoft Admin Center、OneDrive、Outlook、SharePoint)に絞り、アセットの発見と態勢の調査を行い、構成に関するリアルタイムの洞察を提供できるようにすることから始めました。今後さらに多くのSaaSプラットフォームに対応を拡大していきます。
Cloudflare Workersを活用した更新イベントのリスニング
Cloudflare Workersはベンダーウェブフック(Webhook)のエントリーポイントとして機能し、外部サービスによるアセット変更通知を処理します。全体の流れについて紹介します:
Webhookリスナー:最初のWorkerはWebhookリスナーとして機能し、ベンダーからのアセット変更メッセージを受信します。
データの保存とキュー登録:メッセージを受信すると、Workerは変更通知の未加工のペイロードをCloudflare R2にアップロードして永続性を確保し、未加工のアセット変更専用のCloudflare Queueに公開します。
変換Worker:2番目のWorker(コンシューマーとしてバインド)が未加工のアセット変更キューのメッセージを処理し、各ベンダー固有のデータをCASBで利用できる汎用フォーマットに変換します。変換後のデータは次のように処理されます:
Cloudflare R2に保存し、後で参照できるようにします。
変換済みデータ用の別のCloudflare Queueに送信します。
CASB処理:コンシューマーとクローラー
変換されたメッセージがCASB層に届くと、さらに処理が行われます:
ポーリングコンシューマー:CASBには、変換されたメッセージキューをポーリングするコンシューマーがあります。メッセージを受信すると、そのメッセージに必要な処理ハンドラーを決定します。
クローラーの実行:次に、ハンドラーはメッセージを適切なクローラーにマッピングします。クローラーはベンダーAPIと対話して、最新のアセット詳細を取得します。
データス保存:取得されたアセットデータはCASBのデータベースに保存されます。このデータはセキュリティやコンプライアンスチェックの目的でアクセスできます。
この改善により、当社は現在、毎秒10~20件(毎日86万4,000~172万件)の更新を処理しており、お客様の環境を非常に早く可視化することができています。今後数か月のうちに、他のSaaSベンダーへも拡張を予定していますので、ご期待ください。
Webアプリケーションの安全を確保する
Webアプリケーションのセキュリティには、全ての状況に対応できる「一律の解決策」が存在しないという独自の課題があります。アセットを意識した態勢管理は、普遍的なセキュリティソリューションと企業の特有のニーズとのギャップを埋め、セキュリティチームが重要なものを保護するために必要な状況に合わせた推奨事項を提供します。
攻撃から脅威およびリスクまでの態勢概要
本日より、Cloudflareのすべてのお客様は、オンボードドメインごとにカスタマイズされた新しいランディングページである「セキュリティ概要」にアクセスできるようになります。このページでは、すべてのWebアプリケーションに対するセキュリティ提案を集約し、優先順位をつけて表示します:
検出された即時対応が必要な(進行中の)攻撃
過去7日間のプロキシトラフィックの処理状況(緩和済み、Cloudflareで処理、オリジンで処理)
脅威を検出している現在アクティブなセキュリティモジュールの概要
セキュリティ態勢の改善方法の提案(詳細な手順付き)
最も活発に反応している最近更新されたセキュリティルールの概要
これらのカスタマイズされたセキュリティに関する提案は、お客様のトラフィックプロファイルと企業のニーズに基づいて表示されます。これは、プロキシされたWebアセットを検出することで可能になります。
Webアセットの検出
業種や用途を問わず、多くのWebアプリケーションにはユーザー認証や決済情報の処理など、共通の機能が求められます。この機能を提供するアセットを検出することで、ターゲットを絞った脅威検出を構築および実行し、深いレベルで保護することができます。
例えば、マーケティングページとログインページに対するボットトラフィックは、ビジネスへの影響が異なります。マーケティング資料を標的にしたコンテンツスクレイピングには許可するかどうかを考慮する余地はありますが、ログインページに対するクレデンシャルスタッフィングは即座に対応する必要があります。
Webアセットは、特定の機能を持つエンドポイントの集合として定義され、それぞれにラベルを付与することで、ビジネス上の役割を明確にできます。たとえば、/portal/loginへのPOSTリクエストはユーザー認証APIを指す可能性が高く、一方でパス/portal/loginへのGETリクエストは実際のログインページを示します。
このようにエンドポイントのビジネス目標を説明する際には、ラベルが活躍します。例えば、POSTリクエストは、エンドユーザーに提供する/portal/loginエンドポイントと、従業員が使用する/api/admin/loginエンドポイントの両方に対して、同じcf-log-inという管理ラベルを付与することで、ユーザー名とパスワードがこれらのエンドポイントに送信されることをCloudflareに知らせることができます。
API Shieldのお客様は、エンドポイントのラベリングを利用することができます。2025年第2四半期前半、3つのラベル、cf-log-in、cf-sign-up、cf-rss-feedから、ラベルの検出とサジェスト機能を追加する予定です。それ以外のお客様は、これらのラベルを保存されたエンドポイントに手動で追加することができます。このラベリング機能を活用することで、たとえば使い捨てメールアドレスを使用した不正サインアップが使われないようにすることが挙げられます。
常時稼働の脅威検知とリスク評価
ユースケースに合わせた脅威検出
生成系AIに対する期待が高まる中、イノベーションを妨げずにこの新しい技術を安全に使用したいというお客様の声が届いています。そのため、私たちはLLM(大規模言語モデル)を活用したサービスを検出し、それに適したセキュリティ対策を適用できるようにしました。例えば、プロンプトの内容を監視したり、トークン使用量に基づいてプロンプトの送信頻度を制限することができます。別のSecurity Weekブログ記事で、Cloudflare Firewall for AIの構築方法、およびお客様が生成AIワークロードを簡単に保護する方法を紹介する予定です。
2025年に向けた重点分野の一つが、複数の攻撃ベクトルを包含するアカウント不正の検出です。
多くのログインページやサインアップページではCAPTCHAが使用され、不正アクセスを防ぐ仕組みになっていますが、これはボットが正しくアクションできないという前提のもと成り立っています。しかし、視覚的なCAPTCHAをAIが容易に解読できる現在、この方法では根本的な不正行為を防ぐことはできません。例えば、使い捨てのメールアドレスを使用して複数のアカウントを作成し、新規登録特典を不正に得ようとする行為は、人間によって行われます。
この問題の解決に向けて現在開発中のセキュリティルールを適用することで、この行為が自動化されたものかどうかに関わらず、使い捨てメールアドレスを使用した登録を一律にブロックできるようになります。このルールは、Cloudflareの「cf-log-in」および「cf-sign-up」ラベルが付与されたすべてのエンドポイントに適用され、どちらもユーザーの本人確認を必要とするため、不正行為を防止します。
Cloudflareのユースケースに応じた脅威検知機能は、トラフィックをCloudflareに移行した瞬間から自動的に適用されます。検知結果はセキュリティ分析で即時に確認でき、情報をもとにした対応策を迅速に決定することができます。
APIエンドポイントのリスク評価
APIには特有のリスクや脆弱性があり、それらを適切に管理することが重要です。本日より、CloudflareはAPIのセキュリティ態勢管理の新機能として、7種類のリスクスキャンを提供開始しました。このAPI Shieldの新機能は、APIが攻撃を受ける前にセキュリティ上の問題を特定し、早期に修正してリスクを軽減できるようにします。APIは通常、多くの異なるバックエンドサービスで構成されているため、セキュリティチームはどのバックエンドサービスが脆弱であるかを特定し、開発チームが特定された問題を修正できるようにする必要があります。
新しいAPI態勢管理リスクスキャンは、まさにそれを実現するものです。ユーザーは、機密データの露出、認証状況、BOLA(オブジェクトレベルの認可の不備)攻撃など、多くの脆弱性の危険にさらされているAPIエンドポイントを迅速に特定することができます。
今回の新機能の一つに「認証態勢」のリスクスキャンがあります。当社がこれに着目したのは、API認証の実施が適切に設定されていると思っていても実際には破綻している場合、機密データが危険にさらされてしまうためです。認証態勢は、お客様がAPIの認証設定ミスを特定し、存在を知らせるのに役立ちます。これは、APIに対する成功したリクエストをスキャンし、その認証ステータスを記録することで実現されています。API Shieldは毎日トラフィックをスキャンして、認証なしや認証が混在しているAPIエンドポイントにラベルを付けてさらなる確認を促します。
API ShieldでセッションIDを設定しているお客様は、API Shieldでエンドポイントごとの新たなリスクスキャンラベルと認証詳細を確認できます。セキュリティチームはこの詳細を開発チームに共有し、認証の不備を修正することができます。
本日より、認証態勢のスキャン、機密データ、保護されていないAPI、BOLA攻撃、エラー、遅延、応答サイズ全体にわたるAPIのパフォーマンスの異常スキャンを利用いただけます。
Cloudflareで優れたセキュリティ態勢を簡単に維持
変化の激しい環境で優れたセキュリティ態勢を確保するには、複雑な問題をシンプルに解決できる革新的なソリューションが必要です。単一のプラットフォームでパブリック環境とプライベート環境の両方のIT環境で脅威とリスクを継続的に評価できるようにすることは、お客様の取り組みが健全なセキュリティ態勢を維持するための第一歩となります。
提供するセキュリティに関する洞察と提案の関連性をさらに高め、対策に優先順位をつけられるようにするために、Cloudflareの脅威ランドスケープを見渡せるグローバルビューとの統合を検討しています。これにより、自社の業界に対する最大の脅威は何か、攻撃者は現時点で何を標的にしているのかなど、さらなる視点が得られます。今年後半のさらなる更新にご期待ください。
まだCloudflareを導入されていないお客様は、今すぐ貴社のSaaS環境やWebアプリケーションをCloudflareに接続し、セキュリティ体勢を強化するためのインサイトを手に入れてください。