Cloudflare CASBによるChatGPT、Claude、Geminiのセキュリティスキャン

本日より、Cloudflare One（当社のセキュアアクセスサービスエッジ（SASE）プラットフォーム）のすべてのユーザーは、APIベースのクラウドアクセスセキュリティブローカー（CASB）を利用して、OpenAIのChatGPT、AnthropicのClaude、GoogleのGeminiを対象とする生成AI（GenAI）ツールのセキュリティ体制を確認できるようになりました。企業は生成AIのアカウントを接続するだけで、数分以内に設定ミス、データ損失防止（DLP）の検出、データの漏洩と共有、コンプライアンスリスクなどの検出を開始できます。ユーザー端末に面倒なソフトウェアをインストールする必要もありません。

企業内での生成AIの導入が爆発的に増加する中、ITおよびセキュリティ部門は、これらの強力なツールに伴って新たに出現するセキュリティやコンプライアンス上の課題に迅速に対応する必要があります。この変化の激しい状況下において、AITおよびセキュリティ部門は、AIを取り入れながら企業ネットワークとデータのセキュリティとプライバシーを保護できるツールを必要としています。 

CloudflareのAPI CASBとインラインCASBが連携して、企業がAIツールを安全に導入できるよう支援します。API CASBと連携することで、ChatGPT、Claude、Geminiなどの一般的なAIツール内で、保存データとセキュリティ体制を帯域外の可視化が可能になります。同時に、Cloudflare Gatewayは、インラインプロンプト制御とシャドーAIの識別を提供し、これらのAIプロバイダーへの通信に対してポリシーとDLPを適用します。これらの機能を組み合わせることで、組織は生成AIの利用を一元的に管理し、安全に活用できるようになります。

CloudflareのAPI CASBの連携対象にChatGPT、Claude、Geminiが加わりました。この連携機能はCloudflare Oneのすべてのユーザーが利用可能で、アカウント所有者は生成AIテナントを簡単に接続して、CASBで複数のドメインにわたるセキュリティ上の問題をスキャンすることができます。

• エージェントレス接続：ChatGPT、Claude、Geminiに存在する態勢とデータのリスクをエージェントレス（エンドポイントソフトウェアインストール不要）のAPI統合で接続し、スキャンします。

• 態勢管理：データの漏洩や不正利用につながりかねない安全でない設定や設定ミスを検出します。

• DLP検出：チャット内に添付ファイルとしてアップロードされた機密データの場所を特定します（プロンプトは近日公開予定）。

• 生成AI固有のインサイト：各AIプロバイダーのツールセットに特有のリスクを明らかにします。

管理者は、「従業員がChatGPTをどのように活用しているか」「Claudeでにどのようなデータがアップロードおよび使用されているか」「Google WorkspaceでGeminiが正しく設定されているか」などを把握できるようになりました。

各連携について、以降で詳しく説明します。

CloudflareのCASBとOpenAIのChatGPTを連携することで、以下に示すような複数の情報をスキャンできます：

• 有効になっている機能：アクション、コード実行、Webアクセスなど、ChatGPTの機能セットに固有の機能を強調表示します。

• 外部公開状況：テナント外に共有されているチャットやGPT（公開されたGPTやGPTストアに掲載されたものなど）を検出し、所有者に紐付けて迅速に対応できるようにします。

• シークレット、キー、招待：資格情報の衛生状態を維持するためにローテーションされていない、または使用されなくなったAPIキーや、過剰な権限を持つ招待や、古くなった招待を特定します。

• 機密コンテンツ（DLP経由）：チャット内に添付ファイルとしてアップロードされた機密データ（資格情報やシークレット、財務/健康情報、ソースコードなど）をDLPプロファイルと照合して検出し、的確な対応を可能にします。

CloudflareはClaudeの以下の帯域外検出を提供します：

• シークレット、キー、招待：リスクの高い招待や権限のずれを早期に検出し、最小権限アクセスを維持します。使われなくなったAPIキーやローテーションの不備を特定し、オープンなまま忘れられた状態で放置されることを防ぎます。

• 機密コンテンツ（DLP経由）：アップロードされたファイルに機密データが含まれていないか監視し、組織がコンプライアンスを維持しながらClaudeの使用を安全に利用できるよう支援します。セキュリティ部門は、CASBのスキャンと同時にこの情報を取得できるため、従業員が機密データを扱いながらも、Claudeを安全かつ効率的に利用できるようサポートするための可視性を得られます。

Cloudflareは、AnthropicがClaudeのAPIに新機能や機能拡張を行った場合、対応するセキュリティ検出を随時追加していきます。

CloudflareによるGoogle Geminiに対する検出は、Google WorkspaceのAPI CASB統合の一部として提供されます：

• IDと多要素認証（MFA）：攻撃の標的になりやすいMFAを使用していないGeminiユーザーや管理者を特定します。例えば、毎日Geminiを使用して企業データを処理しているIT管理者のGoogle Workspaceのアカウントが多要素認証を使用するように設定されていない場合、たった1通のフィッシングメールから攻撃者にGeminiおよびより広範なGoogle Workspace環境への特権アクセスを奪われてしまう可能性があり、小さな見落としが組織全体の侵害につながる可能性があります。 

• ライセンスの衛生状態：GeminiまたはAI Ultraライセンスを保持している停止中のアカウントにフラグを立て、不要なライセンスにかかるコスト削減や露出低減を支援します。AI Ultraユーザーは、Project Mariner（自律エージェントとして機能し、Webブラウザ間で最大10のタスクを同時に自動化できる研究プロトタイプ）のような高度でリスクの高い機能にアクセスでき、攻撃者にAI Ultraユーザーが侵害された場合被害が大きくなります。そのため、これを検出項目に含めています。

Geminiとの連携の対象範囲はOpenAIやAnthropicと比べて限定的です。これは、Googleの製品とAPIの構造が異なるためです。組織向けには、GeminiはGoogle Workspaceのアドオンとして提供されます。企業は、「Gemini Enterprise」や「AI Ultra」などのアドオンライセンスを通じて、「Gmail」「Docs」「Sheets」などのGoogle WorkspaceアプリでGeminiの機能を利用できるようになります。CASBの検出は、ID、MFA、ライセンス管理に重点を置いており、公開共有やカスタムアシスタントの公開といった体勢関連の問題には対応していません。これは、GeminiはまだこれらのAPIエンドポイントを提供していないためです。

Cloudflareは他の多くの組織と同様に生成AIを導入しており、これらの環境を現在よりさらに安全にする道のりを歩んでいます。私たちは、生成AIでイノベーションを継続できるように、管理対象をお客様にも拡大できることを嬉しく思っています。一方で、将来的には、生成AIプロバイダーがセキュリティ、コンプライアンス、データプライバシーをプラットフォームのより重要な理念にするための具体的な取り組みを進めていることに、大きな期待と安心感を抱いています。

生成AIの導入は、新たなセキュリティ要件をもたらします。Cloudflare CASBはこれらのツール全体について帯域外の可視性を提供し、インライン制御に加えたインサイトを提供します。態勢、アクセス、データを管理できれば、企業は自信を持って安全に生成AIを活用できます。

使用開始手順：

• 現行のCloudflare Oneのお客様：今すぐアカウントマネージャーにご連絡いただくか、ダッシュボードで直接連携機能を有効にしてください。

• Cloudflare Oneをまだ利用されていない方：今すぐ登録（50名分ライセンス無料）して、生成AIの安全な利用を今すぐ始めましょう。大規模なデプロイメントについては、当社の専門家に相談してください。

他の新機能をいち早く体験し、ロードマップの策定への関与にご関心がある場合は、AIセキュリティに関するユーザー調査プログラムへのご関心を表明してください。