Subscribe to receive notifications of new posts:

Cloudflare Browser Isolationで不審なサイトでの入力を制御

2021-12-07

3 min read

お客様のチームは、Cloudflareブラウザ分離サービスを利用して、Webブラウザ内のフィッシング攻撃や認証情報の盗難から保護することができるようになりました。ユーザーはリスクを負わずに、より多くのインターネットを閲覧することができます。管理者は、リスクの高いブラウジング中にキーボード入力やファイル送信を禁止するZero Trustポリシーを定義することができます。

今年の初め、Cloudflareブラウザ分離に、データ保護制御が導入されました。これは、ユーザーとあらゆるWebサイト間のすべての入出力を管理するリモートブラウザ機能を活用しています。この機能を拡張してキーボード入力やファイルアップロードの禁止など、より多くの制御を適用し、リスクの高い未知のWebサイトでのフィッシング攻撃や認証情報の盗難を回避できるようになります。

未知の脅威に対する防御の課題

公開されたインターネット上の脅威からチームを守る管理者は、通常、セキュアWebゲートウェイ(SWG)を導入し、脅威インテリジェンスフィードに基づきインターネットトラフィックをフィルタリングします。これは、既知の脅威を軽減するのに有効な方法です。しかし、実際には、すべてのWebサイトが悪意のあるもの、ないもののいずれかに分類されるわけではありません。

例えば、既存のWebプロパティとタイプミスによる違いがあるパークドメインは、無関係な製品として合法的に登録されたり、フィッシング攻撃として兵器化されたりする可能性があります。誤検知は、リスクを避ける管理者には許容されますが、従業員の生産性を犠牲にすることになります。これらのニーズのバランスを取るのは至難の業で、あまりに強引に適用すると、ユーザーの不満が募り、ブロックされたトラフィックの例外を細かく管理するためサポートの負担が増えることになります。

従来のセキュアWebゲートウェイは、インターネット上の脅威からチームを保護するための限られた選択肢をセキュリティチームに提供する手際の悪い手段です。Webサイトを許可またはブロックするだけでは十分ではなく、現代のセキュリティチームは、生産性を損なうことなくチームを完全に保護するより洗練されたツールを必要としています。

Cloudflareのゲートウェイによるインテリジェントフィルタリング

Cloudflare Gatewayでは、ユーザーの働く場所を問わず、お客様にセキュアWebゲートウェイを提供します。管理者は、セキュリティリスクのブロック、ウィルスのスキャン、SSOグループIDに基づくブラウジング制限などのルールを構築することができます。ユーザーのトラフィックはデバイスを離れ、ユーザーの近くにあるCloudflareデータセンターに送られるため、スピードを落とすことなくセキュリティとログを提供できます。

これまでの手際の悪い手段とは異なり、Cloudflare Gatewayは、Cloudflareのネットワークが処理する独自のデータの大きさに基づいてセキュリティポリシーを適用します。たとえば、Cloudflareは毎日1兆件強のDNSクエリを見ています。そのデータを使って、「良い」DNSクエリとはどのようなものか、どのDNSクエリが異常で、例えばデータ流出のためのDNSトンネリングを示している可能性があるか、といった包括的なモデルを構築します。当社は、このネットワークを利用して、よりインテリジェントなフィルタリングを構築し、誤検知を減らしています。この研究は、Cloudflare Radarで確認できます。

しかし、ある種の「中立」ゾーンにある送信先へユーザーが移動できるようにしたいと考えるお客様もいると思います。新しく登録されたドメインや、DNSリゾルバによって新しく表示されたドメインは、お客様のチームにとって素晴らしい新サービスの拠点となることもあれば、認証情報を盗むための奇襲攻撃となることもあります。Cloudflareはできるだけ早くこれらを分類するよう努めますが、チームがこれらのカテゴリーを完全にブロックする場合、最初の数分間はユーザーが例外をリクエストする必要があります。

未知のWebサイトを安全にブラウズする

Cloudflareブラウザ分離では、信頼できない、あるいは悪意のあるWebサイトコードを実行するリスクを、ユーザーのエンドポイントから、低遅延データセンターでホストされるリモートブラウザに移行させます。Cloudflareブラウザ分離は、未知のWebサイトを積極的にブロックして従業員の生産性に影響を与えるのではなく、ユーザーがリスクの高いWebサイトに接続できる方法を管理者が制御できるようにします。

Cloudflareのネットワークインテリジェンスは、タイポスクワッティングや新しいドメインなど、よりリスクの高いインターネットプロパティを追跡しています。これらのカテゴリーに含まれるWebサイトは、無害なWebサイトである可能性もあれば、兵器化するのを待っているフィッシング攻撃である可能性もあります。リスクを嫌う管理者は、これらのWebサイトを分離し、ファイルのアップロード、ダウンロード、キーボード入力を無効にして読み取り専用モードで提供することで、誤検知を起こさずにチームを保護することができます。

HTTP Policy rule builder with download, upload and keyboard settings disabled.

ユーザーは、認証情報の漏洩、ファイルの送信、フィッシング攻撃の被害に遭うリスクなく、安全に未知のWebサイトを閲覧することができます。未知のWebサイトを閲覧する正当な理由がある場合は、管理者に連絡し、閲覧の許可を得るようにすることをおすすめします。

リモートブラウザポリシーの詳細については、開発者向けドキュメントをご覧ください。

利用開始

Cloudflareブラウザ分離は、CloudflareのセキュアWebゲートウェイとZero Trustネットワークアクセスサービスにネイティブに統合されており、従来のリモートブラウザ分離ソリューションとは異なり、ITチームが複数の異なるソリューションを組み合わせたり、ユーザに好みのWebブラウザを変更させる必要はありません。

ブラウザ分離が提供するZero Trustの脅威とデータ保護は、ビジネスを保護するセキュアWebゲートウェイを信頼しているすべての企業にとって自然の拡張機能です。現在、Cloudflare for TeamsのEnterpriseプランに追加料金なしで含まれています。1 Zero TrustのWebページから始めてください


1.2021年12月31日まで先着2,000席分

We protect entire corporate networks, help customers build Internet-scale applications efficiently, accelerate any website or Internet application, ward off DDoS attacks, keep hackers at bay, and can help you on your journey to Zero Trust.

Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer.

To learn more about our mission to help build a better Internet, start here. If you're looking for a new career direction, check out our open positions.
CIO Week (JP)Cloudflare Zero Trust (JP)Security (JP)Product News (JP)日本語Zero Trust (JP)

Follow on X

Tim Obezuk|@obezuk
Cloudflare|@cloudflare

Related posts