APIトラフィックは急増しています。昨年だけで、APIトラフィックはWebトラフィックよりも 300%速くエッジで増加しました。APIは、モバイルおよびWebアプリケーションを稼働させ、「このクレジットカードを使用してお気に入りのレストランからピザを注文します」または「暗号通貨取引をします、これが私の個人情報です」など多様な指示を送信するため、データ窃盗や乱用にはうってつけです。データ漏えいは、OWASPによる APIトラフィックの脅威の上位に挙げられています。これには、データの流出やオリジンレスポンスからの漏えいが含まれます (APIセキュリティ TOP10の脅威2019年版 )。APIトラフィックが増加し、データ攻撃が頻発する今、新しいセキュリティソリューションが求められています。

Cloudflareのセキュリティツールキットは、常にWebとAPIトラフィックを保護するよう設計されていました。しかし、何百人ものお客様からヒアリングをした結果、APIトラフィック用のセキュリティツールを1つのインターフェイスに簡単にデプロイ/構成する必要があることに気づきました。この需要に応えるため、2020年10月に、APIトラフィック用に設計されたすべてのセキュリティソリューションを統合する新製品、API ShieldTM をリリースしました。当社では、すべてのCloudflareユーザーにmTLS認証を無料で、gRPCサポート、スキーマ検証をベータ版で提供することからはじめました。ローンチする際には、より高度なセキュリティ機能を備えた将来のリリースの計画を立てました。当社サービスを拡張し、お客様のAPIを機密データの漏えいから保護するために設計された新機能を提供できることを嬉しく思います。

本日は、侵入攻撃の影響を軽減する4つの機能を発表します。すべてのEnterpriseのお客様向けのスキーマ検証、オープンプロキシからのトラフィックをブロックできるマネージドIPリスト、証明書ライフサイクルの制御の強化、および情報漏えい防止ソリューションです。今週後半には、ネットワーク上で実行されているものの、お客様がお気づきではないAPIを検出する機能、および意図した用途から逸脱した異常なリクエストを特定する方法も発表します。

スキーマ検証の一般提供開始

API Shieldをローンチする際、スキーマ検証を導入し、一部のお客様へリリースしました。この数か月間、当社は早期導入企業と協力して機能を追加し、使いやすいインターフェースをダッシュボードに直接構築してきました。お客様には「API シールド」タブに移動して、APIセキュリティ製品をUIから直接デプロイしていただけるようになりました。展開フローは間もなく拡張され、mTLSやレート制限など、ダッシュボードの他の場所にある追加機能も導入される予定です。また、API異常検出などの新機能も統合させ、フィードバックループを簡単にする予定です。

スキーマ検証は、API「スキーマ」に基づいてポジティブなセキュリティモデルを作成することによって動作します。スキーマとは、APIの消費を定義し、開発者をガイドしてAPIをシステムに統合するための取り決めです。負のセキュリティモデル (ルールでは、ブロックなどのアクションをトリガーするために必要なリクエストの特性を定義する) とは対照的に、スキーマ検証は、他のすべてに対してアクションを実行しながら、適合すると判断したリクエストを許可するように設計されています。スキーマ検証は、RESTfulインターフェイスを定義するための標準であるOpenAPI v3 仕様 (Swagger 仕様) に準拠したスキーマを受け入れます (詳細については、このページを参照してください )。

Schema Validation evaluates each request against an API Schema logging or blocking requests that do not comply with it.
スキーマ検証では、APIスキーマのログまたはリクエストに準拠しないブロックリクエストと照合して、各リクエストを評価します。

API Shieldは、使いやすいUIを提供し、ユーザーがスキーマをファイアウォールにアップロードすると、API定義と照合し、各リクエストを検証するルールを自動的に作成できます。リクエストが適合する場合は、オリジンに転送されます。逆に、リクエストの形式またはデータコンテンツが API Shieldで予想される内容と一致しない場合、呼び出しはログに記録されるか、またはドロップされ、無効なリクエストまたは悪意のあるペイロードからオリジンを保護します。無関係な入力があるリクエストは、API開発者が予測していない可能性があり、データ漏えいなどの予期しないアプリケーション動作を引き起こす可能性があるのです。

API Shield with Schema Validation being deployed using the Cloudflare Rulesets OpenAPI schema.
Cloudflare ルールセット OpenAPI スキーマを使用してスキーマ検証をデプロイするAPI Shield。

UIでは、API ShieldがデプロイされるAPIのホスト名とベースパスの定義やスキーマファイルのアップロードなど、さまざまな手順にユーザーを導きます。スキーマ検証付きAPI Shieldをデプロイすると、ファイアウォールによって解析されたエンドポイントと、提供される保護レベルを調べることができます。レビューページには、保護と保護なしの2つのエンドポイントグループがあります。前者は、スキーマがサポートされているエンドポイントとメソッドをすべてリスト化したもので、後者は定義がサポートされていないエンドポイントや、あいまいなエンドポイントを指します。スキーマファイルに記載されていないエンドポイントへのトラフィックが壊れるのを防ぐため、保護されたエンドポイントには送信されないトラフィックと一致する最終ルールを含めます。

スキーマ検証によって非適合のリクエストが識別され、ブロックやログなどのアクションが実行されるたびに、ソース「API Shield」でタグ付けされた新しいイベントが作成され、ファイアウォールログに追加されます。ユーザーは、概要ページから分析とログにアクセスできます。このページでは、GraphQL対応のダッシュボードの柔軟性を使用してデータを掘り下げることができます。

スキーマの検証では、パス、パス変数、クエリパラメータ、ヘッダー、およびCookieのチェックを行い、非準拠のトラフィックを記録します。Enterpriseプランのお客様には、スキーマ検証ベータ版を広くご利用いただけるようになりました。このフォームに入力してアクセスしてください。

データ損失防止

データ損失は、中小企業および大企業に影響を与えるセキュリティ上の最大の懸念のひとつですが、個人とそのプライバシーにも影響を与えます。機密データの損失は、財務上の影響、ブランド価値の侵害、データ保護に関する最新の法律の遵守など、企業に大きな影響を与える可能性があります。最後に、個人に帰属する機密データの損失は、金銭的損失およびプライバシーに関する懸念の観点から有害な影響を及ぼす可能性があります。

本日はじめに、Cloudflareではデータ損失防止 (DLP) 製品スイートを発表しました。現在、この機能を拡張して、HTTPまたはAPIリクエストの応答フェーズでオリジンを離れる機密データを特定しています。このソリューションは、エグレストラフィックを評価し、機密データの共通パターンに対してペイロードをチェックします。これには、社会保障番号や金融情報(クレジットカード番号、銀行の詳細など)など、個人を特定できる情報が含まれます。最初のリリースでは、DLPによってトリガーされた一致を記録できます。今後は、Cloudflareの背後にあるオリジンを離れる機密データの難読化やブロックなどの他のアクションを追加していく予定です。さらに、お客様がルールをカスタマイズして、アプリケーションに固有の機密データを識別できるようにする予定です。

DLPの開発では、シンプルさを大切にしました。これにより、複雑で時間のかかるセットアップ期間も必要とせず、すべてのお客様を保護できます。DLPは管理ルールセットとしてリリースされ、「ファイアウォール管理ルール」タブから有効にすることができます。DLPは、リバースプロキシのWAFの一部として使用できますが、ゼロトラスト設定でデータ保護を統合するCloudflare for Teamsの一部として使用することもできます。この緊密な統合により、組織内の機密情報にアクセスできるユーザーをより効率的に管理できます。

DLPはベータ版であり、一部の早期導入者のお客様にリリースしています。キャンセル待ちリストに参加するには、このフォームに記入してください

Data Loss Protection can be turned on as a Managed Ruleset.
データ損失の保護は、管理ルールセットとして有効にすることができます。

マネージドIPリスト:Cloudflareによる脅威インテリジェンス

ファイアウォールルール内で使用できる、最初のマネージドIPリストをリリースします。2020年7月に、当社はIPリストをリリースしました。これにより、ファイアウォールルールの作成時に使用できるIPの大規模なリストをアップロードできるようになりました。本日、Cloudflareがキュレーションしたリストを発表します。お客様はカスタムアップロードされたリストと同じように、このリストをルール内で使用していただけます。

「Cloudflareオープンプロキシ」には、エッジでトラフィックを分析することで、Cloudflareが決定したオープンSOCKSとHTTPプロキシのIPが含まれています。これはAPIリクエストに限定されません。ルールは、ファイアウォールによって評価されるすべてのタイプのトラフィックに適用できます。

このリストは、当社のネットワークの規模とカバー率を活用したCloudflare脅威インテリジェンスに基づいて公開している最初のフィードです。このリストの作成方法は以下のとおりです。インターネット上のパブリックにルーティング可能なすべてのIPアドレスからのリクエストが表示されます。Cloudflareは、オープンプロキシを識別するために、その大規模なネットワークとオープンソースのリストを組み合わせています。プロキシを検証後、Cloudflareは出口IPを決定し、リストを作成します。その後、Cloudflareがこのレピュテーションデータをセキュリティシステムにフィードバックし、マネージドIPリストの形式でお客様に提供します。

このリストはすべてのEnterpriseプランでご利用いただけ、「利用可能なすべてのIPリストを収集する」ドロップダウンメニューで「Cloudflareオープンプロキシ」を選択して使用できます(下記の画像参照)。

Cloudflare Open Proxies managed list can be used directly in the Firewall rule builder.
Cloudflareオープンプロキシマネージドリストは、ファイアウォールルールビルダーで直接使用できます。

クライアント証明書の制御の強化

モバイルアプリとIoT デバイスを念頭に置いたAPI Shieldの最初のリリースでmTLSを発表しました。クライアント側の証明書を使用して強力な認証を強制することは、一般的にデータの侵入や悪用からトラフィックを保護するためには非常に効果的な手段です。しかし、IoTデバイスや携帯電話が盗まれたり、紛失したり、悪意のあるアクターに制御を奪われた場合、Cloudflareユーザーには、潜在的なセキュリティリスクとされる証明書を取り消す方法が必要です。侵害されたデバイスからトラフィックを永続的に除外できるようにしておくことは、データ損失や悪意のある攻撃を防止する効果的な方法です。

アプリへのAPI Shield証明書の埋め込みを開始したお客様の多くは、WorkersとWorkers KVを使用した取り消しソリューションを実装しています。このソリューションでは、証明書にきめ細かな制御ができますが、お客様による多大な開発作業が必要であり、簡単には拡張できません。

セキュリティウィークでは、コードを1行も記述することなく、証明書を取り消し (と復元) する完全管理型ソリューションをリリースします。当社では、発行から取り消しまで、お客様の証明書のライフサイクル全体を管理するための簡単なインターフェイスを構築しました。この処理はCloudflareが行うため、お客様は複雑でコストのかかるパブリックキーインフラストラクチャ (PKI) のセットアップや、潜在的に危険なデバイスの取り消し管理について心配することなく、アプリケーションの構築に集中できます。顧客のタッチポイントは、クライアント証明書タブの新しい「取り消し」ボタンと「復元」ボタン、サポートするAPIの呼び出し、そしてファイアウォールルールの新しいフィールドです。

Cloudflareのエッジに証明書を提示する各リクエストには、cf.tls_client_auth.cert_verifiedとcf.tls_client_auth.cert_revocedの2つのファイアウォールフィールドが設定されます。リクエストはファイアウォールによって処理され、ユーザーはこれらのフィールドを他のすべてのファイアウォール機能と組み合わせることができます。これにより、証明書が検証されたか検証されたものの取り消されたか、どちらかに基づいて、異なる動作を設定できます。さらに、エンドユーザーに優れたエクスペリエンスを提供しながら、必要なセキュリティポリシーを実装することもできます。従来の構成では、検証済みの証明書を持つリクエストのみを許可し、取り消された証明書から別のページまたはエンドポイントにリクエストを転送して、ユーザーの行程上必要な例外処理を行っていました。

Users can revoke certificates by visiting the Client Certificates tab.
ユーザーは、「クライアント証明書」タブにアクセスして証明書を取り消すことができます。

目下取り組み中のこと

Cloudflareチームは、API Shieldの追加機能のリリースに取り組んでいます。APIトラフィックにCloudflareを使用している何百ものお客様からヒアリングした結果、「高度なAPI分析」、「より柔軟なレート制限ツール」、「API異常検出との統合」という3つの機能を優先することになりました。

スキーマ検証とデータ損失防止は、ログと分析エンジンに完全に統合され、本日リリースされます。今後は、トラフィックを分析する機能を拡張し、APIエンドポイントに向けられた攻撃を特定および管理するためのツールをお客様に提供する予定です。

Cloudflareのレート制限はWebトラフィックに最適になるように設計されており、URLとリクエストの方法に基づいてルールを記述できます。当社では、ファイアウォールルールの機能と、レート制限によって提供される制御を統合する作業に取り組んでいます。これにより、ファイアウォールで利用可能な強力なロジックを活用して、トラフィックをセグメント化することができます。また、APIキーとユーザーIDに基づくレート制限機能を含めるための集計メカニズムを拡張しています。

APIトラフィックをターゲットにする場合、攻撃パターンが大きく異なることがあるため、従来のボット管理ソリューションは不審な動作を特定するのに理想的とはいえません。金曜日は、アプリケーションのさらなる保護に重点を置いた、API検出と異常検出という 2 つの主要な機能を発表します。検出により、お客様はエンドポイントをマッピングし、APIの表面積を可視化できます。異常検出は、良好なAPIトラフィックを悪意のあるアクティビティから確実かつ大規模に分離するCloudflareのソリューションです。お客様は、mTLS、スキーマ検証、およびレート制限とともに、これをセットアップし、保護レベルを最大化することができます。これらの新製品の詳細については、金曜日のブログをご覧ください。