リスクポスチャの管理ビジネスにおけるリスクの評価、優先順位付け、軽減方法は、決して容易ではありません。しかし、攻撃対象領域が急速に拡大し続ける中、その作業はますます複雑になり、非効率になってきています。ある世界的調査によると、SOCチームメンバーは1日の勤務時間の平均3分の1を脅威ではないインシデントに費やしています。
この状況下、より少ない労力とノイズでリスクを軽減できるとしたらどうでしょうか。
この投稿では、お客様がこれを実現するに当たり、セキュアアクセスサービスエッジ(SASE)とWebアプリおよびAPI(WAAP)のセキュリティポートフォリオ全体の機能を統合した新しいスイートをもってCloudflareがどのように支援できるかを探ります。具体的には、以下について説明します。
このアプローチが、攻撃対象領域の保護の強化、およびセキュリティオペレーションの作業労力削減を実現できる理由
3つの主要なユースケース — CrowdStrikeパートナーシップの拡大に伴うZero Trustの実現など
これらの機能に基づき、弊社が検討している他の新しいプロジェクト
CloudflareによるUnified Risk Posture
本日、Cloudflare for Unified Risk Postureを発表します。サイバーセキュリティリスク管理機能の新しいスイートとして、拡大する攻撃対象領域全体に自動かつ動的なリスクポスチャを適用して企業を支援するものです。現在、単一の統合プラットフォームによって、企業は以下のことを実現できます。
人とアプリにまたがるリスクを評価:Cloudflareは人がもたらすリスクをユーザーエンティティと挙動分析(UEBA)モデルにより評価し、アプリ、API、サイトへのリスクを悪意のあるペイロード、zero-day脅威、サイトボット検出モデルにより評価しています。
クラス最高のパートナーとリスク指標を交換:Cloudflareは、クラス最高のエンドポイント保護(EPP)とIDプロバイダー(IDP)パートナーからリスクスコアを取り込み、セキュリティ情報およびイベント管理(SIEM)と拡張検出とさらに分析するためのレスポンス(XDR)プラットフォームを使用します。これらはすべて、統一APIとのワンタイム統合によって実現します。
大規模なリスク制御を実施:Cloudflareは、ファーストパーティとサードパーティの動的なリスクスコアに基づき、世界中のあらゆる場所でユーザーとアプリに対する一貫したリスク制御を実施します。
図1:Unified Risk Posture図
前述の通り、このスイートはSASEおよびWAAPセキュリティポートフォリオの機能を当社のグローバルネットワークに統合しています。これらの既存のポートフォリオの一環として、パッケージ化された内蔵型のリスク管理機能をご利用いただけるようになります。
このローンチは、組織が進化するリスクに適応しやすくするファーストパーティの可視性とコントロール、サードパーティとの統合を拡張するための進歩的な取り組みに基づいています。たとえば、2024年Security Weekの一環として、行動ベースのユーザーリスクスコアリングの一般提供、およびアプリが直面するリスクの分析に役立つAI対応アシスタントのベータ版提供を発表しました。また、2023年秋に行った統合により、クラウドメールセキュリティを利用するお客様がCrowdStrike Falcon®次世代SIEMダッシュボード内で弊社の高速通信の検出を取り込み、脅威を表示できるようになったことを発表しました。
リスクポスチャをさらに管理するため、以下を含むCloudflareの新機能と統合を活用できます。
Cloudflare Zero TrustとメールログデータをCrowdStrike Falconの次世代SIEMで共有する新たな統合_(現在利用可能)_
CloudflareのユーザーリスクスコアをOktaと共有し、アクセスポリシーを適用するための新しい統合_(2024年第2四半期末までに予定)_
デバイスポスチャーチェックに基づくユーザーリスクスコアを含む、新しいファーストパーティUEBAモデル_(2024年第2四半期までに予定)_
リスク管理の評価、情報交換、実施の段階をCloudflareのプラットフォームに統合することで、セキュリティリーダーは少ない労力でリスクを軽減することができます。外部インフラと内部インフラの両方を保護するサイバーセキュリティベンダーとして、Cloudflareはお客様の拡大する攻撃対象領域の広範囲を保護するため、独自の立ち位置にあります。動的なファーストパーティリスクスコアリング、柔軟な統合、自動化された実施を組み合わせることで、次の2つの主要なビジネス成果の推進に役立ちます。
手作業でのポリシー作成を減らし、インシデント対応における俊敏性を高め、セキュリティオペレーション担当者の手間を削減。つまり、ポリシーを構築するためのクリックが減り、ワークフローの自動化が進み、平均検出時間MTTDとインシデントへの平均対応時間MTTRが短縮されます。
人、アプリを可視化および制御することによる、サイバーリスクの低減。これは、重大なインシデントが減少し、より多くの脅威が自動的にブロックされることを意味します。
世界ナンバーワンの求人サイトであるIndeedなどの弊社お客様は、Cloudflareとの提携により既にこうした効果を実感しています。
「Cloudflareのおかげで少ない手間でリスクを効果的に低減でき、組織全体に渡るZero Trust導入が簡単になりました。」— Anthony Moisant氏、Indeed SVP、最高情報責任者(CIO)兼最高セキュリティ責任者(CSO)
課題広すぎる攻撃対象領域には、あまりにも多くのリスクがあります
リスク体制の管理は本質的に、内部の危険と外部の脅威をすべての攻撃ベクトルをカバーすることになる広範な課題です。以下は、CISOとそのセキュリティチームにおいて、人、アプリ、データの3つの日常的な側面に渡って追跡するリスク要因のサンプルです。
人のリスク:フィッシング、ソーシャルエンジニアリング、マルウェア、ランサムウェア、リモートアクセス、内部脅威、物理的アクセスの侵害、サードパーティ/サプライチェーン、モバイルデバイス/BYOD
アプリのリスク:サービス拒否、zero-day攻撃、SQLインジェクション、Cross-site scripting、リモートコード実行、クレデンシャルスタッフィング、アカウント乗っ取り、シャドーITの使用、APIの悪用
データリスク:データ損失/流出、データ窃盗/漏洩、プライバシー侵害、コンプライアンス違反、データ改ざん
ポイントソリューションは、これらの特定のリスクと攻撃ベクトルの一部をロックダウンするために登場しました。しかし、相互に対話し、より全体的なリスクの可視性を構築する能力が制限される中、時間の経過とともに組織は多くのサービスを蓄積してきました。各ツールのきめ細かなテレメトリは、すでに過剰な負荷がかかっていることが多いセキュリティスタッフにとって、情報過多につながっています。セキュリティ情報・イベント管理(SIEM)と拡張検出対応(XDR)プラットフォームは、環境全体のリスクデータを集約し分析に基づいて脅威を軽減する上で重要な役割を果たしますが、これらのツールを効果的に運用するには、依然として時間、リソース、専門知識が必要です。こうした問題は、企業がハイブリッドワークを受け入れ新しいデジタルアプリを構築したり、最近ではAIを試したりする中、攻撃対象領域が急速に拡大するとともに悪化しています。
Cloudflareによるリスク体制の管理の支援
この複雑さのコントロールの回復のため、Cloudflare for Unified Risk Postureは、お客様のビジネスが既に利用しているセキュリティツールを補完しながら全世界かつIT環境全体でのリスク評価、指標交換、動的コントロールの実施を実現する単一のプラットフォームを提供します。
Cloudflareが軽減できる特定のリスクは上記の箇条書きにまとめたサンプルすべてのリスクを含め多岐に及ぶものの、以下の3つのユースケースは弊社が提供する機能の全範囲を表したもので、今日からご利用開始いただけます。
ユースケース#1:CloudflareとCrowdStrikeでのZero Trustの強化
この最初のユースケースは、Cloudflareがお客様のセキュリティエコシステムに柔軟に適合し、Zero Trustのベストプラクティスを導入しやすくするものです。
Cloudflareは、クラス最高のEPPおよびIDPパートナーと統合してセキュリティ信号を取り込み、あらゆる宛先へのアクセス要求に対してIDとデバイスポスチャーのチェックを実施します。複数のプロバイダーを一度にオンボードして、異なるコンテキストで異なるポリシーを適用することもできます。例えば、CrowdStrike Falcon®と統合することで、お客様はFalcon Zero Trust Assessment(ZTA)スコアに基づいてポリシーを適用できるようになります。これにより、場所、ネットワーク、ユーザーに関係なく、組織内のすべてのエンドポイントに対し、継続的にリアルタイムのセキュリティ体制評価を提供します。さらに、希望するクラウドストレージプロバイダーまたは分析プロバイダーにCloudflareによって生成されたすべてのアクセスリクエストを含むアクティビティログをプッシュできます。
弊社は本日、CrowdStrikeとのパートナーシップを拡大し、深い分析やさらなる調査を行えるようにするため次世代Falcon SIEMとログを共有できるようになったことを発表いたします。Falconの次世代SIEMは、ファーストパーティおよびサードパーティのデータ、ネイティブな脅威インテリジェンス、AI、ワークフロー自動化を統合し、SOC変革を推進してより優れた脅威からの保護を実施します。Cloudflare Zero Trustとメールログを次世代Falcon SIEMに統合することで、共通のお客様はZero Trustのネットワーキングとメールのリスクを特定・調査し、他のログソースとデータを分析して隠れた事例を発見することができるようになります。
CrowdStrike Falcon Next-Gen SIEMは、旧型SIEMやSIEMの代替品として位置付けられている製品と比較して最大150倍高速な検索パフォーマンスを発揮します。弊社の革新的なテレメトリーとCloudflareの強固なZero Trust機能の融合は、空前のパートナーシップを提供します。今日の増大する脅威に対抗するために、あらゆる規模の組織が取り組まなければならない、リスク管理パズルの最も重要な2つのピースを私たちは協力して融合させようとしているのです。」— Daniel Bernard氏、CrowdStrike最高事業責任者
以下は、CloudflareとCrowdStrikeが連携してZero Trustポリシーを適用し、新たなリスクを軽減するためのワークフロー例です。CloudflareとCrowdStrikeは、アクティビティとリスクデータを交換し、リスクベースのポリシーと修復ステップを適用することで相互に補完しています。
図2:CloudflareとCrowdStrikeでZero Trustを適用
フェーズ1:自動化された調査
フェーズ2:Zero Trustの適用
フェーズ3:改善
CloudflareとCrowdStrikeは、ユーザーの安全性が損なわれたことを組織が検出できるように支援します。
この例では、Cloudflareは最近、防衛の最初の一手として危険なWebサイトのWebブラウジングやフィッシングメールをブロックしています。これらのログは、CrowdStrike Falcon次世代SIEMに送信され、組織のアナリストに疑わしい活動をアラートします。
同時に、CrowdStrike Falcon Insight XDRがそのユーザーのデバイスを自動的にスキャンし、感染していることを検出します。その結果、デバイスの健全性を反映するFalcon ZTAスコアが低下します。
この組織では、CloudflareのZero Trustネットワークアクセス(ZTNA)を介してデバイスポスチャーチェックを設定し、Falcon ZTAリスクスコアが定義した特定のしきい値を超えた場合のみ、アクセスを許可しました。
Falcon ZTAスコアが閾値を下回っているため、弊社のZTNAがユーザーの次のアプリケーションアクセスリクエストを拒否します。
このデバイスポスチャー確認に失敗したため、Cloudflareはそのユーザーのリスクスコアを上げ、より制限の厳しい制御を持つグループに分類します。
同時に、CrowdStrikeの次世代SIEMは、企業の環境全体における特定のユーザーのアクティビティとより広範なリスクを分析し続けました。CrowdStrikeが機械学習モデルを使用して主要なリスクを表面化し、各リスクに対応するソリューションをアナリストに提案します。
その後、アナリストはユーザーのデバイスの隔離など、組織全体でさらにリスクを低減するための修復戦術を確認、選択することができます。
ユースケース#2:アプリ、API、Webサイトの保護
この次のユースケースは、脅威アクターやボットからのアプリ、API、Webサイトの保護に焦点を当てたものです。多くのお客様はこのユースケースを目指しまずCloudflareを採用するものの、保護の基盤となるリスク評価アルゴリズムを把握していない場合があります。
図3L機械学習に基づく脅威インテリジェンスでアプリ、API、サイトを保護
Cloudflareのアプリケーションサービスは、以下を例とする機械学習(ML)に基づくリスクモデルを用い、悪意のあるペイロードやボットを検出および軽減します。
リクエストがzero-day侵害を含んでいるかどうか、もしくはSQLインジェクション、Cross-site scripting、リモートコード実行おペイロードなどのOWASPトップ10リスクが含まれているかを評価する弊社の****WAF Attack Score****
リクエストがボットから来た可能性を評価する弊社****ボットスコア****
Webサイト訪問者におけるブラウザスクリプトの危険性を調べる、悪意のあるスクリプト分類
これらのリスクモデルは、Webサイト全体のほぼ20%がリバースプロキシとして使用され1日あたり約3兆件のDNSクエリーを閲覧しているCloudflareのグローバルネットワークからのテレメトリにおいて主に訓練されています。独自のリアルタイムの可視性によって脅威インテリジェンスが強化され、他社よりも先にzero-dayを検出および軽減することも可能です。
Cloudflareはまた、前提となる顧客の入力を必要とせずに、新しいAPIエンドポイントとスキーマを発見するためにMLを使用しています。これにより、企業は保護を適用する前に認証されていないAPIを発見し、拡大する攻撃対象領域をマッピングすることができます。
他のベンターとことなり、Cloudflareのネットワークアーキテクチャは、外部インフラと内部インフラにおけるリスク評価モデルとセキュリティコントロールを弊社の全サービスで共有することを可能にします。つまり、セルフホスト型のJiraやConfluenceサーバーのような内部アプリの前に、アプリの脆弱性悪用、DDoS攻撃、ボットに対する保護を適用し、新たzero-day脅威から保護することができることになります。
API企業は、Cloudflareのセキュリティセンター内でアプリ、Webサイトのリスクポスチャに影響を与える潜在的な設定ミス、データ漏洩のリスク、脆弱性を精査できます。私たちは、セキュリティポートフォリオ全体にアラートとインサイトを統合することにより、リスクポスチャ管理を一元的に支援するビューに投資しています。実際に弊社では、貴組織におけるCloudflareサービスのデプロイのギャップの存在を強調した更新を最近発表しました。
最後に、弊社ではセキュリティイベントを直接調査しやすくしており、Log Explorerのベータ版利用開始を最近発表しました。このベータ版には、検索、分析ダッシュボード、フィルターが組み込まれ、セキュリティチームはすべてのHTTPトラフィックを1か所で見ることができます。これらの機能により、Cloudflareプラットフォーム内でのサードパーティツールへのエクスポートと比較し、より多くのリスク要因を監視できます。
ユースケース#:3UEBAを使用して機密データを保護
この3番目のユースケースは、多くのお客様が機密データの漏えいや誤処理の防止を目的にユーザーリスク/UEBAスコアの活用を検討する上での一般的な方法の1つをまとめたものです。
図4:機械学習に基づく脅威インテリジェンスでアプリ、API、サイトを保護
フェーズ1:この例では、セキュリティチームが機密データを含むトラフィックを検出してブロックするため、データ損失防止DLPポリシーをすでに設定しています。これらのポリシーにより、1人のユーザーが複数回繰り返しソースコードをGitHubリポジトリにアップロードする試みを防止できます。
フェーズ2:このユーザーは短期間に多数のDLPポリシーに違反したため、アップロードの意図が悪意によるものか良性であるかにかかわらず、Cloudflareは疑わしいユーザーを高リスクと判定しています。セキュリティチームは、最近のログアクティビティすべてを確認するなど、特定のユーザーの詳細な調査を行うことができるようになりました。
フェーズ3:管理者は、特定の高リスクユーザーまたは高リスクユーザーグループに対してZTNAやブラウザ分離ルールを設定し、他の機密データを含むアプリケーションへのアクセスをブロックまたは分離できます。
全体として、このワークフローは、評価から強制まで、Cloudflareのリスクポスチャコントロールが疑わしい行動にどのように適応しているかを示しています。
統合リスクポスチャ管理の導入開始方法
上記のユースケースは、弊社お客様がリスク管理をCloudflareで統合する方法を反映したものです。お客様との会話の中で、拡大する攻撃対象領域のリスク管理を支援するとの弊社ビジョンに対しお客様の確信が得られる理由が複数見つかりました。
シンプルな統合プラットフォーム:SASEとWAAPリスクスコアリング、そして人とアプリの管理を統合しています。さらに、すべてのCloudflareサービスに対応する単一のAPIにより、TerraformなどのInfrastructure-as-Codeツールを用い、ワークフローの自動化やカスタマイズを容易に行えます。
統合の柔軟性:弊社では、お客様が既にご利用のEPP、IDP、XDR、SIEMプロバイダーとリスクシグナル情報を交換しており、ツールとデータにおける可能性をさらに広げています。さらに、すべてのサービスで機能し一度で済む統合により、機敏性をもってIT環境全体に制御を拡張できます。
グローバルネットワークの規模:320以上のロケーション、1.3万以上の相互接続に広がる弊社ネットワークにまたがり、場所を問わずに実行できできます。このように、シングルパス検査とリスクポリシーの適用を常に迅速に、かつ一貫性と適応力をもってユーザーとアプリの近くから提供します。
Cloudflareがリスク管理において活躍する様子を詳しくお知りになりたい方は、今すぐ相談をご依頼ください。RSA Conference 2024にご参加される方は、弊社が開催する対面イベントのいずれかにぜひご参加ください。
引き続き、リスクの評価、リスク指標の交換、リスク管理の実施におけるCloudflareの活躍について詳しくお知りになりたい方は、弊社Webサイトの他リソースをご覧ください。