本日は、Security Week 2025の最終日です。この1週間、多くのセキュリティ関連のブログ記事をお届けしましたが、最後にCloudflareのデータセキュリティ機能の最新情報をお伝えします。
最後の発表は、CloudflareのSASEプラットフォーム「Cloudflare One」に関するものです。Cloudflare Oneは、企業のセキュリティ・ITチームが自社の従業員やアプリケーション、サードパーティツールのセキュリティを一元管理できるサービスです。
本日より、Cloudflare OneのユーザーはCASB(クラウドアクセスセキュリティブローカー)製品が強化され、Amazon web Services(AWS)S3およびGoogle Cloud Storageと連携して、動態(設定ミス)やデータ損失防止(DLP)関連のセキュリティ問題をスキャンすることが可能になりました。無料アカウントを作成して、お試しください。
スキャンは即時(ポイントインタイム)と継続的の両方で実行できます。スキャンではIDとアクセス管理(IAM)、バケット、オブジェクトの設定ミスを特定したり、クラウドストレージオブジェクト内の社会保障番号やクレジットカード番号、正規表現を使用したその他のパターンなどの機密情報を検出することができます。
ここ数年、多くの企業のIT・セキュリティチームから、「CASBはシンプルで使いやすく、SaaS環境のセキュリティ強化に役立つ」と高い評価をいただいております。サポートする連携の数、セットアップの容易さ、Microsoft 365で公に共有されたファイルやGoogle Workspaceで公開された機密データなど、一般的なSaaSプラットフォーム間の重大な問題を迅速に特定できることから、多くのユーザーに支持されています。
しかし、お客様との対話の中で「このような監視・調査(保存されているデータのリスク)が必要なのはSaaS環境だけではない」という声をいただきました。機密情報は、知的財産、顧客データ、個人を特定する情報のいずれであっても、悪意のある人の手に渡った場合、組織の評判の低下や顧客への補償など、大きな打撃となります。多くのお客様は、SaaSツールのデータのセキュリティ以上にAWSやGCPなどのクラウドプロバイダーに保存されるデータのセキュリティを重視されています。
そこで今回、Cloudflare CASBを拡張してクラウドDLP (データ損失防止)機能を追加し、Amazon S3バケットとGoogle Cloud Storage内のオブジェクトをスキャンして機密データを検出できるようになりました。
Cloudflare DLPではこの検索を、一般的なデータタイプ(社会保障番号やクレジットカード番号など)を検索する事前構築された検出プロファイルから選択することも、正規表現を使用して作成した独自のカスタムプロファイルから行うこともできます。検出されたDLPプロファイルに一致するオブジェクトは、ファイルの内容や所有者などの詳細をすぐに確認し、データの保護を迅速に行い、リアルタイムで流出を防ぐことができます。
他のCASB統合と同様に、この新機能にもポスチャ管理機能が含まれています。AWSでもGCPでも、データを危険にさらす可能性のある設定ミスや、その他のクラウドセキュリティの問題(一般に公開されている、重要なログ記録が無効になっている、アクセスキーの更新が必要、多要素認証(MFA)が設定されていないユーザーなど)を特定します。これらの機能はすべて標準で利用可能です。
CloudflareのCASBとDLPは、初期設定のままでも簡単に使えるため、すぐに導入できます。しかし、高度な設定も可能であり、お客様固有のニーズに合わせてスキャンプロファイルを微調整することができます。
たとえば、スキャンするストレージバケットやファイルタイプを指定したり、オブジェクトの一部だけをサンプリングして分析することもできます。また、スキャン処理はお客様のクラウド環境内で実行されるため、データが外部に送信されることはありません。これにより、クラウドストレージのセキュリティを確保してコストを管理しながら、企業固有のコンプライアンスおよびセキュリティ要件に合わせてソリューションを調整することができます。
当社のロードマップには、サポートをAzure Blob StorageやCloudflare R2などの追加のクラウドストレージ環境に拡張すること含まれており、当社の包括的なマルチクラウドセキュリティ戦略をさらに発展させていきます。詳細については、続報をお待ちください!
当社は当初より、クラウド環境全体でDLP機能を提供するには、機密データの暴露をリアルタイムで検知できる効率的でスケーラブルな設計が必要であることを認識していました。
機密データの検出を効率的かつスケーラブルに行うため、設計の初期段階でサーバーレスアーキテクチャを採用することを決定しました。仕組みは次のとおりです。
コンピュートアカウント:全ての処理は、「コンピュートアカウント」と呼ばれる組織が所有するクラウドアカウント内で実行されます。この設計により、データは境界内に留まり、高価なクラウドエグレス料金を回避できます。コンピュートアカウントは、Terraformテンプレートを使えば15分以内でセットアップできます。
コントローラー機能:毎分、お客様のクラウド環境の軽量サーバーレスコントローラー機能がCloudflareのAPIと通信し、Cloudflare Oneアカウントから最新のDLP設定とセキュリティプロファイルを取得します。
クローラープロセス:コントローラーは、クローラーと呼ばれる2番目のサーバーレス関数によって処理されるオブジェクト検出タスクをトリガーします。クローラーはAPI経由でAWS S3やGoogle Cloud Storageなどのクラウドストレージアカウントにクエリを実行し、新しいオブジェクトを識別します。さらに、コンピュートアカウント内でRedisを使用して、まだ評価されていないオブジェクトを追跡します。
機密データのスキャン:新たに検出されたオブジェクトは、キューを通じてスキャナーと呼ばれる第3番目のサーバーレス関数に送信されます。この関数は、オブジェクトをダウンロードし、その内容をコンピュートアカウントのDLPエンジンにストリーミングします。DLPエンジンは、事前定義またはカスタムのDLPプロファイルとの一致をスキャンします。
検出結果の生成とアラート:DLPのスキャンで機密データが見つかると、そのオブジェクトの詳細情報(コンテキストや所有者情報など)が記録され、キューに送信されます。このデータは、Cloudflareのホスティングサービスによって取り込まれ、Cloudflareダッシュボード上でセキュリティチームが確認できるようになり、迅速に対策を講じることができるようになります。
このDLPの仕組みはプライバシー最優先のアプローチであり、機密データがお客様のクラウド環境外に出ることはありません。コンピュートアカウントとCloudflareのAPI間の通信はすべて、コントローラーによって開始されます。つまり、イングレストラフィックを許可するために追加の設定を行う必要はありません。
この新しいデータセキュリティ機能やロードマップについて詳しく知りたい場合は、担当のアカウントチームにお問い合わせください。ご自身で試してみたい方は、Cloudflare Oneダッシュボードにログインし(アカウントをお持ちでない場合はこちらから作成)、CASBページに移動して最初の連携を設定してください。