本日、当社は「Cloudflare One for Data Protection」—Web、Saas、プライベートアプリケーションにわたり、どこでもデータを保護する統合スイートを発表しました。このスイートは、データ損失防止(DLP)、クラウドアクセスセキュリティブローカー(CASB)、Zero Trustネットワークアクセス(ZTNA)、セキュアWebゲートウェイ(SWG)、リモートブラウザ分離(RBI)、クラウド電子メールセキュリティ サービスなどの機能を統合しています。このスイートは、Cloudflare One、当社のSASEプラットフォームの一部として、現在利用可能で、パッケージ化されています。
発表記事では、推奨されるユースケースと実際のお客様例とともに、お客様が最新のデータリスクを乗り切るのに、データ保護スイートがどのように役立つかに焦点を当てました。
この関連ブログ記事では、過去1年間に Cloudflare Oneスイートに組み込まれた機能を要約し、お客様が期待する新機能をプレビューします。このブログは、Cloudflare Oneを使用したデータおよびSaas環境の保護に関心のある従事者に最適です。
過去1年間に発売されたDLP& CASB機能
Cloudflareは、2022年9月にDLPとCASBの両サービスを開始し、それ以来、あらゆる規模の組織の増大するニーズに合う機能を急速に構築してきました。これらのサービスがどのように進化していくかをプレビューする前に、過去1年間に追加された多くの機能強化を要約する価値があります。
CloudflareのDLPソリューションは、そのいくつかの特性に基づいて、組織が環境全体にわたって、機密データを検出し、保護することを支援します。DLP制御は、有害な漏洩を防止(および検出)し、財務情報、健康情報、個人識別情報などのデータの規制区分のコンプライアンスを確保する上で重要です。
DLPの検出とポリシーの改善は、以下の3つの主要なテーマによって特徴付けられます:
カスタマイズ: 管理者が望む柔軟性を備えたDLPポリシーの設計を容易にします。
深い検出: 管理者は、どのデータを保護し、どのように保護するか、ますますきめ細かな制御ができます。
詳細な検出: 管理者に、DLPポリシーの有効性を分析するためのより詳細な可視性とログを提供します。
CloudflareのCASBは、組織がサードパーティのSaaSアプリケーションに接続し、設定ミス、不適切なデータ共有、その他のセキュリティリスク—(軽量なAPI統合を介してすべて)をスキャンおよび監視できるようにします。このようにして、組織はSaaSアプリへの増大する投資に関し、可視性と制御を取り戻すことができます。
CASB製品の機能強化は、同様に以下の3つのテーマに要約できます:
API統合の拡大: 現在、当社のCASBは、最も人気のある18のSaasアプリと統合しています—Microsoft 365(OneDriveを含む)、Google Workspace(Driveを含む)、Salesforce、GitHubなど。これらのAPI統合のセットアップは、第一世代のCASBソリューションよりもクリック数が少なく、セキュリティサービスエッジ (SSE)領域において、その他のベンダーと同様の範囲を提供します。
CASBスキャン結果の強化:ダッシュボードに組み込まれた規定ガイドとインラインポリシーアクションの両方を使用して、これらのCASBスキャンで特定された設定ミスを容易に修正できるようにしました。
CASB & DLP機能の統合:DLPポリシーによって分類された機密データに関し、組織がSaaSアプリをスキャン可能し始めました。たとえば、これは、組織が、インターネット上で誰にでも公開されているGoogleドキュメントやスプレッドシートにクレジットカードや社会保障番号が含まれているのを検出することができます。
特にこの最後のテーマは、シンプルで合理化されたワークフローの単一のプラットフォーム上で、データ保護機能を統一することの価値を語っています。以下の表は、昨年9月の一般提供開始の発表以降に開始された主な機能を目玉にしています。
表 1: 2022年第4四半期以降に出荷されたDLPとCASBの機能の選択
.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-bkhz{background-color:#00379C;color:#FFF;font-weight:bold;text-align:left;vertical-align:top} .tg .tg-zb5k{text-align:left;text-decoration:underline;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}
| Theme | Capability | Description |
|---|---|---|
| DLP: Customizability | Microsoft Information Protection labels integration | After a quick API integration, Cloudflare syncs continuously with the Microsoft Information Protection (MIP) labels you already use to streamline how you build DLP policies. |
| Custom DLP profiles | Administrators can create custom detections using the same regex policy builder used across our entire Zero Trust platform for a consistent configuration experience across services. | |
| Match count controls | Administrators can set minimum thresholds for the number of times a detection is made before an action (like block or log) is triggered. This way, customers can create policies that allow individual transactions but block up/downloads with high volumes of sensitive data. | |
| DLP: Deepening detection | Context analysis | Context analysis helps reduce false positive detections by analyzing proximity keywords (for example: seeing “expiration date” near a credit card number increases the likelihood of triggering a detection). |
| File type control | DLP scans can be scoped to specific file types, such as Microsoft Office documents, PDF files, and ZIP files. | |
| Expanded predefined DLP profiles | Since launch, DLP has built out a wider variety of detections for common data types, like financial data, personal identifiers, and credentials. | |
| DLP: Detailed detections | Expanded logging details | Cloudflare now captures more wide-ranging and granular details of DLP-related activity in logs, including payload analysis, file names, and higher fidelity details of individual files. A large percentage of our customers prefer to push these logs to SIEM tools like DataDog and Sumo Logic. |
| CASB: Expanding integrations and findings | API-based integrations Managing findings |
Today, Cloudflare integrates with 18 of the most widely used SaaS apps, including productivity suites, cloud storage, chat tools, and more. API-based scans not only reveal misconfigurations, but also offer built-in HTTP policy creation workflows and step-by-step remediation guides. |
| DLP & CASB convergence | Scanning for sensitive data in SaaS apps | Today, organizations can set up CASB to scan every publicly accessible file in Google Workspace for text that matches a DLP profile (financial data, personal identifiers, etc.). |
テーマ
機能
説明
DLP:カスタマイズ性
迅速なAPI統合後、Cloudflareは、DLPポリシーの構築方法を合理化するためにすでに使用しているMicrosoft情報保護(MIP)ラベルと継続的に同期します。
管理者は、サービス全体の一貫した設定エクスペリエンスのために、Zero Trustプラットフォーム全体にわたって使用されているのと同じ正規表現ポリシービルダーを使用して、カスタム検出を作成できます。
管理者は、アクション(ブロックやログなど)がトリガーされる前に検出が行われる回数の最小しきい値を設定することができます。このようにして、お客様は、個々のトランザクションを許可するが、大量の機密データを含むアップロードやダウンロードをブロックするポリシーを作成できます。
DLP:検出の深化
コンテキスト分析では、近接キーワードを分析することで、誤検知検出を減らすことができます(例:クレジットカード番号の近くに「有効期限」があると、検出をトリガーする可能性が高くなります)。
DLPスキャンは、Microsoft Officeドキュメント、PDFファイル、ZIPファイルなどの特定のファイルタイプに範囲を設定できます。
発売以来、DLPは財務データ、個人識別情報、認証情報のような一般的なデータタイプに対して、幅広い種類の検出を構築してきました。
DLP:詳細な検出
Cloudflareは、ペイロード分析、ファイル名、個々のファイルのより忠実度の高い詳細など、DLP関連アクティビティのより広範で細かな詳細をログにキャプチャします。当社のお客様の大部分は、これらのログをDataDog やSumo Logicなどの SIEM ツールにプッシュすることを好みます。
CASB:統合と調査結果の拡大
現在、Cloudflareは生産性スイート、クラウドストレージ、チャットツールなど、最も幅広く使用されている18のSaas アプリと統合しています。
APIベースのスキャンは、設定ミスを明らかにするだけでなく、組み込みのHTTPポリシーの作成ワークフローと段階的な修復ガイドも提供しています。
DLP & CASB統合
今日、組織はCASBを設定し、Google Workspaceで一般にアクセス可能なすべてのファイルをスキャンし、DLPプロファイル(財務データ、個人識別情報など)に一致するテキストを探します。
近々発売予定のDLP & CASBの新機能
本日のCloudflare Oneのデータ保護スイートの発表は、これらのテーマ領域にわたって DLP 、CASB機能に投資し続けるという当社の取り組みを明確にするものです。以下では、Cloudflare Oneのデータ保護スイートのロードマップで、近々発売予定の新機能をいくつかプレビューしたいと思います。その新機能は、データ環境全体のさらなる可視化と制御を目的としており、今後数週間で利用可能の予定です。
カスタムワードリストによる正確なデータ照合
すでに出荷済み: ExactData Match は、ベータ版から一般提供版へと移行し、お客様が、名前、電話番号、その他を含む可能性のあるデータセットをアップロードすることで、CloudflareのDLPに、何のデータを検索すべきかを正確に伝えることができます。
今後30日間: お客様は、特定の単語リストをアップロードし、 DLPポリシーを作成してファイル内の重要なキーワードを検索し、そのアクティビティをブロックしてログに記録することが間もなく可能になります。
お客様のメリット: 管理者は、何を保護すべきかをより具体的に特定し、最も重要なデータや用語を一括してアップロードすることで、ポリシー作成にかかる時間を短縮できます。時間の経過とともに、多くの組織は既存のDLPサービス用に設定された用語の長いリストを蓄積し、カスタマイズ可能なアップロード機能は、他のベンダーからCloudflareへの移行を効率化します。他のすべての DLPプロファイルと同様に、Cloudflareはインライントラフィック内および統合されたSaasアプリ内でこれらのカスタムリストやキーワードを検索します。
ソースコードと健康データの検出
今後30日間: 間もなく、Clouflareの DLPに、開発者のソースコードと 保護医療情報(PHI)を検出するための事前定義されたプロファイルが含まれる予定です。当初、コードデータには、Python、JavaScript、Java、C++などの言語—(現在最も一般的な4言語)が含まれ、—PHIデータには、医薬品名と診断名—(2つの非常に機密性の高い医療トピック)が含まれます。
顧客のメリット: これらの事前定義されたプロファイルは、組織内で最も価値のある—(PHIの場合は最も規制されるデータの1つ)—データタイプのいくつかに適用範囲を拡大します。
保存データ保護用のAPI主導CASB&DLPを統合
今後30日間 まもなく、組織はMicrosoft 365 (例えばOneDrive)にある機密データをスキャンできるようになります。これらの環境のAPIベースのスキャンは、例えば、クレジットカード番号、ソースコード、または DLP ポリシーを介して設定されたその他のデータが、一般にアクセス可能なファイル内に存在するかどうかをフラグします。管理者は、インラインのCASBゲートウェイポリシー経由で、修正するための規定措置を講じることができます。
年内に出荷: 今後数ヶ月以内に、これと同じ統合がGitHubで利用できるようになります。
お客様のメリット: 既存のGoogle Workspace統合と今回のMicrosoft 365統合の間で、お客様は、2つの最も有名なクラウド生産性スイート全体で、機密データをスキャンできます。—ここが、ユーザが多くの時間を費やし、組織データの大部分が存在する場所です。この新しいMicrosoft統合は、Microsoftエコシステム全体でセキュリティワークフローを合理化するための継続的な投資を表しており、—それは、IDとアプリケーションのアクセスの管理、デバイスポスチャーの強制、または危険なユーザーの隔離に関連しています。
GitHubの統合は、データ漏洩のリスクが増大している最も重要な開発環境の1つにおいて可視性も回復します。実際、 GitGuardianによると、2022年にはGitHubの公開コミットで1000万件のハードコードされた秘密が漏洩され、この数字は2021年から67%増加し、単に増加すると予想されています。GitHub上のソースコードの漏洩防止は、当社の製品チームがお客様から定期的にお聞きしている問題領域であり、当社は今後も開発者環境の安全確保を優先していきます。
Zero Trustコンテキストの階層化:ユーザーリスクスコア
今後30日間: Cloudflareは、Cloudflare Oneのサービス全体で検出されたユーザー行動とアクティビティに基づくリスクスコアを導入します。組織は、「不可能な移動」の異常などのアクションによるリスクや特定期間内のDLP違反が多すぎるユーザー行動を検出できるようになります。検知機能の直後に、より幅広いCloudflare Oneスイート内で予防的または修正的ポリシーアクションを実行するオプションがあります。このようにして、組織は変化するリスク要因やリアルタイムのコンテキストに基づいて、機密データやアプリケーションへのアクセスを制御できます。
お客様のメリット: 今日、リスクのパターンを特定するための大量のログデータを分析するのに、集中的な時間、労力、資金が費やされています。Cloudflareの「すぐに使える」リスクスコアはそのプロセスを簡素化し、組織が不審なアクティビティを可視化し、迅速かつ効率的に封鎖できるようにします。
使用開始手順
これらは当社の短期ロードマップにある機能のほんの一部であり、データ保護スイートの進化に伴い、さらに多くの機能をお客様と共有できるようになるのが待ちきれません。Cloudflare Oneがお客様のデータをどのように保護できるかをお知りになりたい場合は、今すぐ当社のエキスパートによるワークショップをリクエストしてください。
または、Cloudflare Oneがどのようにデータを保護するかについては、本日のプレスリリースをお読みいただくか、当社のWebサイトをご覧ください。または、技術デモでさらに深く掘り下げてください。