Cloudflare Oneウィークでは、従来のアプライアンスをZero Trustサービスに置き換える方法について書いた、シナリオブックを提供しました。自社製品を使うことは当社チームの文化とも言えるもので、Zero Trustを導入したときの経験を共有させていただけたらと思います。
当社も多くのお客様と同じような道筋をたどってきました。セキュリティソリューションだけでなく、作業を必要以上に難しくしていたツールもより良いものにしたいと考えていました。当初は不便なVPNを使ったリモート接続に代わるものを探していましたが、すぐに従業員のWebブラウジングと電子メールを保護するZero Trustソリューションをデプロイしました。次は、新しい CASB の製品で、SaaSのセキュリティをアップグレードしていきたいと考えています。
Zero Trustの利用開始は敷居が高いと思われるかもしれません。そこで当社のたどってきた道筋を知っていただき、どのようなメリットを得ることができたのかを伝えられたらと考えています。
VPNを置き換える:Cloudflare Accessの始動
2015年当時、Cloudflareの内部でホストされているアプリケーションはすべて、ハードウェアベースのVPNを介して到達していました。オンコールエンジニアは、ノートパソコン上でクライアントを起動してVPNに接続し、Grafanaにログオンしていました。それはもどかしく、時間のかかるプロセスでした。
Cloudflareが作るプロダクトの多くは、自分たちのチームが直面している課題を直接的に解決するもので、Accessはその好例と言えるでしょう。2015年に社内プロジェクトとして発足したAccessにより、従業員はIDプロバイダーを通じて社内アプリケーションにアクセスできるようになりました。まずはAccessの背後にあるたった1つのアプリケーションで、インシデント応答時間の改善を目指しました。携帯電話で通知を受けたエンジニアは、リンクをタップし、ブラウザで認証した後、すぐに必要なアクセス可能になったのです。新しい認証フローを使い始めたら、あらゆるところに取り入れて欲しいという声が上がりました。セキュリティチームは最終的にCloudflareのアプリをAccessの背後に移動することを義務付けましたが、長い間、Accessは完全にオーガニック(自然流入)のままでした。そのため、チームは使用を熱望していました。
ネットワークエッジで認証を行うことで、VPNのような遅延もなく、世界中に分散した従業員を安全にサポートできるようになりました。さらに当社のチームは目下、最も安全で使用可能な認証メカニズムで内部アプリケーションを保護することに取り組んでおり、二要素認証は実装可能な最も重要なセキュリティコントロールの1つとなっています。Cloudflare Accessを使用することで、IDプロバイダーの強力な二要素認証メカニズムに依存することができます。
すべての第二認証要素が同じレベルのセキュリティを実現できるわけではありません。中間者攻撃(MITM)に対して脆弱な認証方式もあります。このような攻撃は、しばしば悪者がフィッシングによってワンタイムパスワードを盗み取り、プライベートリソースにアクセスする特徴があります。その可能性を排除するために、Cloudflareは FIDO2 対応のセキュリティキーを実装しました。FIDO2は、フィッシングを防ぐために設計された認証プロトコルであり、ソフトトークンに依存していた当時の状況を改善するものだと考えました。
FIDO2の導入には互換性という問題はあったものの、何としてもセキュリティ体制を強化したかったのです。Cloudflare Accessのおかげで、システムへのアクセスをFIDO2のみに限定することができました。Cloudflareの従業員は当社のアプリケーションにアクセスする際、ハードウェアキーを使用することが義務付けられました。Accessのオンボーディングは使い勝手の良さだけでなく、セキュリティキーの強化により、セキュリティ体制が大幅に改善されました。
脅威の軽減とデータ流出の防止:Gatewayとリモートブラウザの隔離
セキュアDNSの現場へのデプロイ
それから数年が経った2020年、多くのお客様のセキュリティチームは、オフィスで有効化した制御をリモートワーカーに展開する作業に苦心していました。そこで当社は、マルウェア、ランサムウェア、フィッシング、コマンドおよび制御、シャドーIT、その他のインターネット上のリスクから、すべてのポートとプロトコルを保護するCloudflare Gatewayをお客様に提供するサービスを開始しました。Gatewayは、お客様が導入されたポリシーに従ってトラフィックを誘導し、フィルタリングを行います。
当社のセキュリティチームは、まずGatewayの力を借りて、全オフィスにDNSフィルタリングを導入しました。Gatewayは1.1.1.1と同じネットワークの上に構築されているため、世界最速のDNSリゾルバであるCloudflareのオフィスでは、現在または将来的に、新たな遅延を発生させることなくDNSフィルタリングを行うことができます。各オフィスは最も近いデータセンターに保護された状態で接続します。
リモートユーザー向けのセキュアなDNSをデプロイ
CloudflareのWARPクライアントも、当社の1.1.1.1の上に構築されています。DNSリゾルバ。それはオフィス内で提供されるセキュリティとパフォーマンスを、遠隔地にある企業のデバイスにまで拡張します。WARPクライアントをデプロイすると、企業の端末は最寄りのCloudflareデータセンターに接続し、Cloudflare Gatewayにルーティングされます。企業の端末とインターネットの間に位置することで、端末からの接続全体をセキュアにし、さらにスピードとプライバシーを向上させることができます。
セキュアなDNSフィルタリングを遠隔地の従業員にも適用しようと努め、Cloudflare WARPクライアントを当社のエンドポイントデバイスにデプロイしました。これにより、当社のセキュリティチームは、DNS over HTTPS(DoH)上でDNSトラフィックを暗号化することで、プライバシーをより適切に保護できるようになりました。一方、Cloudflare Gatewayは、当社独自の脅威インテリジェンスプラットフォームである Radar に基づいてドメインを分類し、世界中のあらゆるユーザーのために高リスクで疑わしいドメインをブロックできるようにしています。
HTTPSフィルタリングとブラウザの分離を追加
DNSフィルタリングは貴重なセキュリティツールですが、ドメイン全体をブロックすることに限界があります。当社のチームはドメイン全体ではなく、悪意のあるURLだけをブロックする、より正確な手段を求めていました。Cloudflare Oneは統合プラットフォームであるため、すでにほとんどのデプロイは完了していました。あと必要なのはCloudflare Root CAをエンドポイントに追加し、Zero TrustダッシュボードでHTTPフィルタリングを有効にすることだけでした。このような簡単な手順で、よりきめ細かいブロック制御を実現することができたのです。
HTTPフィルタリングでは、精密なブロックに加え、 テナント制御 も実装可能です。テナント制御では、ゲートウェイのHTTPポリシーによって、企業のSaaSアプリケーションへのアクセスが規制されます。ポリシーは、カスタムHTTPヘッダーを使用して実装されます。カスタムリクエストヘッダーが存在し、リクエストが組織アカウントに向かう場合、アクセスは許可されます。リクエストヘッダーが存在し、リクエストが個人アカウントなどの非組織アカウントに向かう場合、リクエストはブロックされるか、隔離されたブラウザで開かれることになります。
DNSとHTTPのレイヤーでユーザーのトラフィック保護を確立後、ブラウザの分離を実装しました。ブラウザの分離を実装すると、すべてのブラウザコードはクラウド上のCloudflareのネットワークで実行されます。これにより、悪意のある攻撃や一般的なデータ流出技術からエンドポイントを分離することができます。リモートブラウザ隔離製品の中には、遅延が発生し、ユーザーがフラストレーションを感じてしまうものもあります。Cloudflareのブラウザの分離は当社のネットワークの力を使い、従業員にシームレスな体験を提供しています。ユーザーエクスペリエンスを損なうことなく、セキュリティ体制を迅速に改善することができました。
フィッシング攻撃を防止:オンボーディングArea 1メールセキュリティ
また、2020年初頭には従業員から報告されたフィッシングの試行回数が増加しました。クラウドメールプロバイダーは強力なスパムフィルタリングを備えていましたが、悪意のある脅威やその他の高度な攻撃をブロックすることはできませんでした。当社でもフィッシング攻撃の被害が増加し、頻度も増えていたことから、より徹底したメール対策を検討する必要があると考えました。
担当チームはベンダー選びの際に次の4つの点に注目しました。メールの添付ファイルをスキャンする機能、疑わしい悪意のあるリンクを分析する機能、ビジネスメールの漏えい保護機能、そして強固なAPIを備えていることをクラウドネイティブのメールプロバイダーに求めました。私たちは少なくない数のベンダーを試したあと、従業員を保護するにはArea 1が最適であるこという結論にたどり着いたのです。2020年の初めにArea 1のソリューションを実装すると、驚くべき成果が見られました。
製品に圧倒的な高評価をいただいたことと、Zero Trustポートフォリオを構築したいという思いから、 Cloudflareは、2022年4月にArea 1 Email Security の買収を行いました。当社が使用しているものと同じ保護機能をお客様に提供できることを嬉しく思います。
今後について:CloudflareのCASBを始めてみませんか
Cloudflareは、2022年2月にVectrix を買収しました。VectrixのCASBには、Cloudflare Oneへの追加が楽しみな機能があります。SaaSのセキュリティは多くのセキュリティチームにとってますます大きな関心事となっています。SaaSツール保存する機密データ量は増え続けるため、設定ミスや外部からのアクセスは大きな脅威となり得ます。しかし、このようなプラットフォームのセキュリティ確保は、リソース面で大きな課題となる可能性があります。設定ミスや外部からの共有ファイルに対する手動での確認は、時間がかかりますが、多くのお客様にとって不可欠なプロセスです。CASBは、SaaSインスタンスをスキャンし、わずか数クリックで脆弱性を特定することでセキュリティ標準を確保し、チームの負担を軽減します。
当社はSaaSセキュリティのベストプラクティスを確実に維持したいと考えており、多くのお客様と同様に、私たちも多くのSaaSアプリケーションをセキュリティで保護しています。常にプロセスを効率化する機会を求めているので、Zero Trustの最新製品の1つを搭載できることを嬉しく思っています。
機能の向上を常に追い求める
Cloudflareは自社製品のデプロイとテストに自信を持っています。セキュリティチームが製品と直接連携し、まずは自社製品を「ドッグフーディング」しています。より良いインターネットを構築することが当社の使命であり、そのために社内チームからの貴重なフィードバックを提供しています。Cloudflare製品の第一消費者として、セキュリティチームは会社をより安全に保つだけでなく、お客様のためにより良い製品を作ることに貢献しています。
Cloudflare Oneウィークはお楽しみいただけましたでしょうか。当社でのお話をシェアさせていただき、嬉しく思います。この一週間を振り返るには、 Cloudflare TVセグメント をご覧ください。