米国サイバーセキュリティー・インフラセキュリティー庁(CISA)と17の国際的なパートナーは、「セキュア・バイ・デザイン」原則に基づき、テクノロジー業界におけるベストプラクティスの形成を支援しています。この原則の目的は、ソフトウェアメーカーがセキュリティを製品開発の不可欠な要素と認識するだけでなく、デフォルトで構成された強力なセキュリティ機能を備えた製品を設計するよう奨励することです。
サイバーセキュリティ企業として、Cloudflare、製品セキュリティはDNAの不可欠な要素であると考えています。当社はCISAの原則を強く信じており、当社が行う仕事においてそれを守り続けていきます。当社が構築する製品やすべてのお客様にご利用いただけるサービスにセキュア・バイ・デザインの原則をCloudflareがどのように組み込んできたか、そのストーリーを共有できることを嬉しく思います。
「セキュア・バイ・デザイン」と「セキュア・バイ・デフォルト」とは何ですか?
セキュア・バイ・デザインとは、セキュリティが「ボルトオン」ではなく「ベイクドイン」された製品のことです。メーカーは、事後的にセキュリティ対策に対処するのではなく、攻撃者が製品へのアクセスに成功するのを合理的に防ぐ方法で製品を構築することにより、事前にリスクを軽減するための措置を講じます。
セキュア・バイ・デフォルトとは、必要なセキュリティ設定が追加料金なしでデフォルトとして提供されるように製品が構築されていることを意味します。
CISAでは、以下に、ソフトウェア製品のセキュリティ原則を3つ概説しています:
- 顧客のセキュリティ結果に責任を負う
- 徹底した透明性と説明責任の導入
- トップからリードする
CISAは、その文書の中で、その原則を達成する方法と、メーカーが従うべきセキュリティ対策に関する包括的なガイダンスを提供しています。これらのガイドラインを遵守することは、顧客へのセキュリティ上のメリットが強化され、開発者のブランド評価を高めるだけでなく、メーカーの長期的なメンテナンスとパッチのコストも削減されます。
それが重要なのはなぜでしょう?
テクノロジーは紛れもなく私たちの生活において重要な役割を果たしており、数多くの日常業務を自動化しています。テクノロジーやインターネットに接続されたデバイスへの世界の依存度は、ここ数年で著しく高まってきました。主な理由としては、Covid-19によるものです。Covid-19の大流行の中、個人や企業は、物理的な交流を制限する公衆衛生の措置に従いながら、オンラインに移行しました。
インターネット接続は私たちの生活を便利にし、オンライン学習やリモートワークの機会を与えますが、同時に攻撃者がそのような行為から利益を得る機会も生み出します。適切な保護手段を講じなければ、ユーザー情報、財務記録、ログイン認証情報などの機密データがすべて漏洩し、悪意のある行為に使用される可能性があります。
システムの脆弱性は、産業や経済全体に影響を与える可能性もあります。2023年、北朝鮮のハッカーが、ソフトウェアの脆弱性を悪用して世界中の個人や企業から3億ドル以上を盗み、20%以上の暗号通貨の損失が発生した原因となったと疑われています。
安全でないソフトウェアを壊滅させる結果をもたらす可能性があるにもかかわらず、あまりにも多くのベンダーがセキュリティの責任を顧客まかせにしています。これは、CISAがガイドラインで浮き彫りにした事実です。顧客からの一定の配慮は期待されますが、リスクの大部分はメーカーとその製品によって処理されるべきです。それによって初めて、さらに安全で信頼できるオンライン取引が可能になるのです。「セキュア・バイ・デザイン」の原則は、このギャップを埋め、業界を変えるために不可欠です。
Cloudflareはどのようにセキュア・バイ・デザインの原則をサポートしていますか?
顧客のセキュリティ結果に責任を負うこと
CISAは、顧客のセキュリティ成果に責任を負うために、ソフトウェアメーカーは、アプリケーションのハードニング、アプリケーション機能、アプリケーションのデフォルト設定を含む製品のセキュリティの取り組みに投資すべきであると説明しています。Cloudflareでは、常にこれらの製品セキュリティ対策を最優先事項としており、以下にいくつかの例を共有いたします。
アプリケーションのハードニング
Cloudflareでは、当社の開発者は、当社のセキュリティチームによるチェックポイントを含む、定義されたソフトウェア開発ライフサイクル(SDLC)管理プロセスに従っています。当社は、既知の脆弱性が悪用される前に積極的に対処し、すべての顧客のために悪用された脆弱性を修正します。例えば、当社はメモリセーフなプログラミング言語に取り組んでおり、可能な限り使用しています。2021年には、CloudflareはCloudflare WAFをLuaからメモリセーフなRustに書き換えました。さらに最近では、Cloudflareは、自社製の新しいHTTPプロキシであるPingoraを導入し、メモリセーフではないC言語からメモリセーフなRustに移行しました。これら両方のプロジェクトは、技術リーダーシップチームの手厚いサポートなしには実現不可能な、非常に大規模な取り組みでした。
ゼロトラストセキュリティ
デフォルトで、CloudflareのZero Trustセキュリティ一式のサービスを使用することで、CISAのZero Trust成熟度モデルに準拠し、Cloudflareのデータ、開発リソース、その他のサービスへの不正アクセスを防止しています。当社では、信頼の前提を最小限に抑え、セルフホスト型かクラウド型かにかかわらず、Cloudflareのリソースにアクセスしようとするすべての人とデバイスに対して厳格な本人確認を要求します。
Cloudflareでは、Zero Trustセキュリティは、今日の環境において、必須のセキュリティアーキテクチャであると考えています。サイバーセキュリティ攻撃がまん延し、ハイブリッドな職場環境が新常態となっています。今日の中小企業を保護するために、当社は最大50人のユーザーまでZero Trustプランを無料で提供しています。このプランは、従業員やアプリをオンラインで保護するために必要とされる重要なセキュリティ制御を提供しています。
アプリケーションの特徴
当社は、多くの不可欠なセキュリティツールを無料でユーザーに提供するだけでなく、初期の頃から、さらに優れたセキュリティ機能をデフォルトで提供するよう、業界全体を後押ししてきました。
2014年、Cloudflareのバースデーウィーク中、Universal SSLを導入することで、当社はすべてのお客様に暗号化を無料にすると発表しました。そして2015年には、さらに一歩進んで、ブラウザからオリジンまでのすべてのデータの完全な暗号化を無料で提供しました。今では、その他の業界も当社に追随し、デフォルトでの暗号化がインターネット・アプリケーションの標準となっています。
2017年のCloudflareの7回目のバースデーウィーク中、当社は定額制DDoS軽減を発表できたことを大変誇りに思います。このサービスは、攻撃中に消費された余分な帯域幅をお客様に請求することなく、大規模なDDoS攻撃を吸収・軽減します。この発表により、DDoS攻撃に対する業界標準の「サージ価格」を廃止しました。
2021年、私たちはMIGP("Might I Get Pwned")と呼ばれるプロトコルを発表しました。このプロトコルは、その過程で不要な情報を公開することなくユーザーが自分の認証情報が漏洩しているかどうかを確認できるようにするものです。電子メールのハッシュのプレフィックスから生成されたバケットIDを除けば、認証情報はデバイスに留まり、インターネット上に送信されることはありません(暗号化されている場合もあります)。それ以前に、認証情報チェックサービスを利用すること自体が脆弱性であることが判明し、認証情報が漏洩したかどうかをチェックしている間に機密情報を漏洩する可能性があります。
その1年後の2022年、Cloudflareは、WAF(Webアプリケーションファイアウォール)マネージドルールセットをCloudflareの全プランに無料提供することを発表し、再び業界を驚かせました。WAFは、Webアプリケーションを悪意のある攻撃から保護するサービスです。このような攻撃は、組織の規模に関係なく、インターネット全体に大きな影響を与えます。WAFを無料提供することで、インターネットをすべての利用者にとって安全な場所にしようとしています。
最後に、2023年末には、プランのレベルに関係なく、ポスト量子暗号をすべての顧客が無料で利用できるようにすることで、業界をリードするお手伝いができることを嬉しく思っています。
アプリケーションのデフォルト設定
顧客をさらに保護するために、デフォルト設定で最初から堅牢なセキュリティ体制を提供できるようにしています。ユーザーが操作に慣れたら、好みに合わせて設定を変更したり、構成したりできます。例えば、Cloudflareは、新しいCloudflareゾーンにFree Cloudflareマネージドルールセットを自動的にデプロイします。マネージドルールセットには、Log4jルール、Shellshockルール、非常に一般的なWordPressエクスプロイトにマッチするルールなどが含まれます。必要に応じて、顧客はルールセットを無効にしたり、トラフィックフィルタや個々のルールを設定したりできます。さらにセキュア・バイ・デフォルトのシステムを提供するために、AIを使用して既存の管理ルールのバイパスを検出し、ソフトウェアのエクスプロイトが公開される前に検出できるMLで計算されたWAF Attack Scoreも作成しました。
もう一つの例として、Cloudflareのすべてのアカウントには、デフォルトで定額制DDoS軽減サービスが付属しており、多くのインターネット上で最も一般的で取り扱いが難しい攻撃からアプリケーションを保護します。
さらにもう1つの例として、顧客がR2ストレージを使用する場合、保存されたすべてのオブジェクトは静止時に暗号化されます。暗号化と復号化はどちらも自動的に行われ、有効にするためのユーザー設定は必要ありません。また、R2のパフォーマンスにも影響を与えません。
Cloudflareはまた、すべての顧客に堅牢な監査ログを提供しています。監査ログはCloudflareのアカウント内で行われた変更履歴を要約します。監査ログには、ログインのようなアカウントレベルのアクションや、ゾーン設定の変更が含まれます。監査ログはすべてのプランタイプで利用可能です。また、個人ユーザーと複数ユーザー組織の両方で取得されます。監査ログはすべてのプランレベルで18ヶ月間利用可能です。
抜本的な透明性と説明責任の導入
抜本的な透明性と説明責任を導入するということは、安全で安心な製品を提供することに誇りを持つということです。透明性と情報の共有は、セキュリティ業界の改善と進化に欠かせない要素であり、企業が互いに学び合い、オンライン世界をさらに安全な場所にする環境を促進します。Cloudflareは、以下に概説したように複数の方法で透明性を示しています。
Cloudflare ブログ
Cloudflareブログでは、当社の機能や改善に関する最新情報だけでなく、昨年検出された歴史的なHTTP/2 Rapid Reset攻撃のような、業界全体に関連するzero-day攻撃についてもご覧いただけます。当社は透明性を持ち、感謝祭2023年のセキュリティインシデントなどの重要なセキュリティインシデントについて、詳細に書いています。それは、何が起こったのか、なぜ起こったのか、そして当社がそれを解決するためにとった手順についてです。Cloudflareの設立当初から、当社のサービスに影響を与えるインシデントについて、抜本的な透明性を提供することに積極的な努力をしてきました。そして、この重要な原則を当社のコアバリューの1つとして引き続き掲げています。当社が共有する情報が、他の方々のソフトウェアのプラクティスの向上に役立つことを願っています。
Cloudflareシステムステータス
Cloudflareシステムステータスは、CloudflareサービスのステータスについてWebサイトオーナーにお知らせするページです。サービスの現在のステータスと、それらが期待通りに動作しているかどうかについて情報を提供します。進行中のインシデントがある場合、ステータスページにはどのサービスが影響を受けたか、また問題の詳細が記載されています。また、ユーザーは、一部のサービスの可用性に影響を与える可能性のある定期メンテナンスに関する情報も確認できます。
コードの整合性のための技術的透明性
当社は、身元とデータの整合性を透明に検証するために、技術的手段として暗号化を使用することが重要だと考えています。例えば、2022年に、当社はWhatsAppと提携して、WhatsAppのシステムを提供しました。このシステムでは、ユーザーがWeb版のサービスにアクセスした際に、ハッシュの整合性を自動的に確認するために、コード検証拡張機能を有効にします。これにより、ユーザーが正しい、改ざんされていないコードを実行していることが保証されます。ユーザーの代わりに自動的に処理されるプロセスが、スケーラブルな方法で透明性を提供するのに役立っています。もしユーザーが自分でハッシュを手動で取得し、計算し、比較しなければならない場合、改ざんの検出はおそらく技術的なユーザーのほんの一部にしか行われないでしょう。
透明性レポートとワラントカナリア
お客様から信頼を獲得し維持するために不可欠なのは、法執行機関やその他の政府機関から受けた要請について透明性を確保することだと考えています。そのため、Cloudflareでは、受けた顧客情報開示要請について透明性レポートを公表し、半期ごとに更新しています。
Cloudflareの透明性レポートの重要な部分は、当社のワラントカナリアです。ワラントカナリアは、政府機関や法執行機関から、当社の暗号化キーや認証キー、または顧客の暗号化キーや認証キーを誰かに提供するなどの特定の行動を取っていないことや、特定の要求を受けていないことを、暗黙のうちにユーザーに知らせる手法です。これらの手段を通じて、当社は、一部のリクエストの開示を禁止する法執行機関の命令を順守しながら、ユーザーにそのデータがどれほどプライベートで安全かを知らせることができます。Cloudflareのワラントカナリアはこちらからご覧いただけます。
透明性レポートとワラントカナリアは、CISAのセキュア・バイ・デザインの原則では明確に言及されていませんが、当社は、テクノロジー企業がその実践について透明性を確保する上で、それらは重要であると考えています。
公開バグバウンティ
HackerOneが主催する公開バグバウンティに参加して、Cloudflareの脆弱性を報告し、その対価として金銭的報酬を受け取ることで、当社のセキュリティ対策に貢献していただきます。
トップからリードすること
この原則により、セキュリティはCloudflareのビジネス目標に深く根ざしています。セキュリティと品質は密接な関係にあるため、製品のデフォルトセキュリティを向上させることで、製品全体の品質も向上します。
Cloudflareでは、セキュリティに専念することは、会社の構造にも反映されています。最高セキュリティ責任者は最高経営責任者(CEO)に直接報告し、取締役会には毎回出席しています。これにより、取締役会のメンバーは、現在のサイバーセキュリティの状況について十分な情報を得ることができ、セキュリティ向上のための会社の取り組みの重要性を強調することができます。
さらに、当社のセキュリティエンジニアは主要な研究開発組織の一部であり、その業務はシステムエンジニアと同様に当社の製品に不可欠です。つまり、当社のセキュリティエンジニアがセキュリティを後付けで追加するのではなく、SDLCにセキュリティを組み込むことができるということです。
何かお手伝いできることはありますか?
ソフトウェアメーカーであれば、CISAの「セキュア・バイ・デザイン」の原則をよく理解し、自社に実装するプランを作成することをお勧めします。
個人として、バグバウンティプログラム(CloudflareのHackerOne公開バウンティなど)に参加し、コミュニティでのサイバーセキュリティの意識を高めることをお勧めします。
より良いインターネットを一緒に構築しましょう。