Subscribe to receive notifications of new posts:

Subscription confirmed. Thank you for subscribing!

Cloudflare Browser Isolationで不審なサイトでの入力を制御

Loading...

3 min read

お客様のチームは、Cloudflareブラウザ分離サービスを利用して、Webブラウザ内のフィッシング攻撃や認証情報の盗難から保護することができるようになりました。ユーザーはリスクを負わずに、より多くのインターネットを閲覧することができます。管理者は、リスクの高いブラウジング中にキーボード入力やファイル送信を禁止するZero Trustポリシーを定義することができます。

今年の初め、Cloudflareブラウザ分離に、データ保護制御が導入されました。これは、ユーザーとあらゆるWebサイト間のすべての入出力を管理するリモートブラウザ機能を活用しています。この機能を拡張してキーボード入力やファイルアップロードの禁止など、より多くの制御を適用し、リスクの高い未知のWebサイトでのフィッシング攻撃や認証情報の盗難を回避できるようになります。

未知の脅威に対する防御の課題

公開されたインターネット上の脅威からチームを守る管理者は、通常、セキュアWebゲートウェイ(SWG)を導入し、脅威インテリジェンスフィードに基づきインターネットトラフィックをフィルタリングします。これは、既知の脅威を軽減するのに有効な方法です。しかし、実際には、すべてのWebサイトが悪意のあるもの、ないもののいずれかに分類されるわけではありません。

例えば、既存のWebプロパティとタイプミスによる違いがあるパークドメインは、無関係な製品として合法的に登録されたり、フィッシング攻撃として兵器化されたりする可能性があります。誤検知は、リスクを避ける管理者には許容されますが、従業員の生産性を犠牲にすることになります。これらのニーズのバランスを取るのは至難の業で、あまりに強引に適用すると、ユーザーの不満が募り、ブロックされたトラフィックの例外を細かく管理するためサポートの負担が増えることになります。

従来のセキュアWebゲートウェイは、インターネット上の脅威からチームを保護するための限られた選択肢をセキュリティチームに提供する手際の悪い手段です。Webサイトを許可またはブロックするだけでは十分ではなく、現代のセキュリティチームは、生産性を損なうことなくチームを完全に保護するより洗練されたツールを必要としています。

Cloudflareのゲートウェイによるインテリジェントフィルタリング

Cloudflare Gatewayでは、ユーザーの働く場所を問わず、お客様にセキュアWebゲートウェイを提供します。管理者は、セキュリティリスクのブロック、ウィルスのスキャン、SSOグループIDに基づくブラウジング制限などのルールを構築することができます。ユーザーのトラフィックはデバイスを離れ、ユーザーの近くにあるCloudflareデータセンターに送られるため、スピードを落とすことなくセキュリティとログを提供できます。

これまでの手際の悪い手段とは異なり、Cloudflare Gatewayは、Cloudflareのネットワークが処理する独自のデータの大きさに基づいてセキュリティポリシーを適用します。たとえば、Cloudflareは毎日1兆件強のDNSクエリを見ています。そのデータを使って、「良い」DNSクエリとはどのようなものか、どのDNSクエリが異常で、例えばデータ流出のためのDNSトンネリングを示している可能性があるか、といった包括的なモデルを構築します。当社は、このネットワークを利用して、よりインテリジェントなフィルタリングを構築し、誤検知を減らしています。この研究は、Cloudflare Radarで確認できます。

しかし、ある種の「中立」ゾーンにある送信先へユーザーが移動できるようにしたいと考えるお客様もいると思います。新しく登録されたドメインや、DNSリゾルバによって新しく表示されたドメインは、お客様のチームにとって素晴らしい新サービスの拠点となることもあれば、認証情報を盗むための奇襲攻撃となることもあります。Cloudflareはできるだけ早くこれらを分類するよう努めますが、チームがこれらのカテゴリーを完全にブロックする場合、最初の数分間はユーザーが例外をリクエストする必要があります。

未知のWebサイトを安全にブラウズする

Cloudflareブラウザ分離では、信頼できない、あるいは悪意のあるWebサイトコードを実行するリスクを、ユーザーのエンドポイントから、低遅延データセンターでホストされるリモートブラウザに移行させます。Cloudflareブラウザ分離は、未知のWebサイトを積極的にブロックして従業員の生産性に影響を与えるのではなく、ユーザーがリスクの高いWebサイトに接続できる方法を管理者が制御できるようにします。

Cloudflareのネットワークインテリジェンスは、タイポスクワッティングや新しいドメインなど、よりリスクの高いインターネットプロパティを追跡しています。これらのカテゴリーに含まれるWebサイトは、無害なWebサイトである可能性もあれば、兵器化するのを待っているフィッシング攻撃である可能性もあります。リスクを嫌う管理者は、これらのWebサイトを分離し、ファイルのアップロード、ダウンロード、キーボード入力を無効にして読み取り専用モードで提供することで、誤検知を起こさずにチームを保護することができます。

HTTP Policy rule builder with download, upload and keyboard settings disabled.

ユーザーは、認証情報の漏洩、ファイルの送信、フィッシング攻撃の被害に遭うリスクなく、安全に未知のWebサイトを閲覧することができます。未知のWebサイトを閲覧する正当な理由がある場合は、管理者に連絡し、閲覧の許可を得るようにすることをおすすめします。

リモートブラウザポリシーの詳細については、開発者向けドキュメントをご覧ください。

利用開始

Cloudflareブラウザ分離は、CloudflareのセキュアWebゲートウェイとZero Trustネットワークアクセスサービスにネイティブに統合されており、従来のリモートブラウザ分離ソリューションとは異なり、ITチームが複数の異なるソリューションを組み合わせたり、ユーザに好みのWebブラウザを変更させる必要はありません。

ブラウザ分離が提供するZero Trustの脅威とデータ保護は、ビジネスを保護するセキュアWebゲートウェイを信頼しているすべての企業にとって自然の拡張機能です。現在、Cloudflare for TeamsのEnterpriseプランに追加料金なしで含まれています。1 Zero TrustのWebページから始めてください


1.2021年12月31日まで先着2,000席分

Cloudflareは 企業のネットワーク全体 を保護し、お客様が インターネット規模のアプリケーションを効率的に 構築するためのお手伝いをします。また、すべての Webサイトまたはインターネットアプリケーション を迅速化し、 DDoS攻撃を阻止して、 ハッカーを封じ込めます。 さらに、 Zero Trustを始める、あるいは導入のあらゆるフェーズにいる お客様を支援します。

インターネットを高速化し、安全性を高めるには、ご使用のデバイスから 1.1.1.1 にアクセスすることで、Cloudflareの無料アプリをご利用いただけます。

より良いインターネットの構築を支援するというCloudflareの使命について詳しくは、 こちら をご覧ください。新たなキャリア形成をお考えの方は、 求人情報 にアクセスしてください。

CIO Week (JP) Cloudflare Zero Trust (JP) Security (JP) Product News (JP) 日本語

Follow on X

Tim Obezuk |@obezuk
Cloudflare |Cloudflare

Related Posts

December 08, 2021 1:59PM

CloudflareのZero Trustプラットフォームを拡張してUDPと内部DNSをサポート

2020年末、Cloudflareは、当社のネットワークの上にプライベートネットワークの構築を開始する権限を組織に与えました。サーバー側でCloudflareトンネルを、クライアント側でCloudflare WARPを使用することで、...

January 12, 2023 2:00PM

マイクロソフトとの協業拡大:プロアクティブかつ自動化されたZero Trustセキュリティをお客様に提供

CIOが複数のソリューションを組み合わせて複雑な作業を行う中、私たちはMicrosoftとの協力関係を発展させ、最高のZero Trustソリューションを作り上げています...