企業環境のデジタル領域は、常に効率性とセキュリティの間の戦場でした。これは長年、従業員が仕事を早く進めようと無許可のノートパソコンやクラウドサービスを使用する「シャドーIT」という形で展開されてきました。セキュリティ部門は、こうした無断利用システムを発見する達人となり、混乱を整理するためのファイアウォールやポリシーを構築してきました。
しかし、新たな最前線はこれまでとは異なり、より精巧かつ危険なものになっています。
例えば、画期的な新製品の開発に専念しているエンジニアチームを想像してください。締め切りに迫られた若手エンジニアが作業効率を高めるため、人気のある公開AIチャットボットに自社のアルゴリズムの一部を貼り付け、パフォーマンス向上を目的としたコードのリファクタリングを依頼しました。チャットボットはすぐに修正されたコードを返し、結果に満足したエンジニアはそれを取り込みます。しかし、自分たちの問い合わせ内容とコードの一部がAIサービスのトレーニングデータの一部になったり、プロバイダーのログに記録され保存されている可能性があります。誰も気づかないうちに、会社の知的財産の重要な部分が組織の制御範囲外に送信され、「静かで監視されていないデータ漏洩」が発生しました。
これは机上の空論ではありません。これが新しい現実(ニューリアリティ)です。これらの信じられないほど強力なAIツールを与えられた従業員は、機密文書の要約からマーケティングコピーの生成、コードの記述に至るまで、あらゆることに使用しています。このようなAIとの対話を通じて企業から送信されるデータは、多くの場合従来のセキュリティツールでは捕捉できません。従来のセキュリティツールは、大規模な言語モデルとやり取りするブラウザタブの微妙な違いを理解するように設計されていません。この静かで管理されていない利用もまた「シャドーAI」であり、新たな高リスクのセキュリティ盲点を生み出しています。
この問題に対処するには、この新たな用途を可視化し、セキュリティチームが必要な制御を行える一方で、これらのツールが持つ革新性を妨げない新しいアプローチが必要です。
ここで、CloudflareのシャドーITレポートの出番です。このレポートは、ブロックすべき脅威のリストではなく、問題が深刻化する前に状況を把握するための可視化および分析ツールです。Cloudflare Oneのお客様は、推測に頼ったり、すべての無断で使用されているアプリケーションを自力で探し出す代わりに、トラフィックから得られるインサイトを活用して、自社のアプリケーション使用状況をデータに基づいて明確に把握することができます。
このレポートは、利用状況を詳細かつカテゴリ別に示し、AI活動に絞って分析することも簡単です。当社は、自社のネットワーク機能と脅威インテリジェンス機能を活用してAIサービスを識別し分類し、ChatGPTのような汎用モデル、GitHub Copilotのようなコード生成アシスタント、マーケティング、データ分析、またはLeonardo.aiのような他のコンテンツ作成に使用される特化型ツールを特定しています。この詳細な可視化により、セキュリティ部門は従業員がAIアプリを使用していることだけでなく、どのAIアプリを使用しているか、そしてどのユーザーがアクセスしているかを把握することができます。
一部の洞察力の高い方は、当社がしばらく前からシャドーIT機能を提供していたことに気づいていたかもしれません。では、何が変わったのでしょうか?当社のセキュアWebゲートウェイ(SWG)であるCloudflare Gatewayは、以前から一部のデータを記録していましたが、利用者様より組織内のアプリ利用状況について、より深いインサイトや詳細なレポートを求められていました。Cloudflare Gatewayは、当社の最大規模のユーザーに対して毎日数億行のアプリ使用データを処理していますが、この大規模なデータに対して長期間のクエリを実行するとパフォーマンス上の問題が発生していました。さらに、元の実装ではAIアプリケーションの使用状況を適切に調査するためのフィルタリングおよびカスタマイズ機能が欠けていました。これがお客様が求める情報であることは理解していましたが、それを十分にお客様に示すことができていませんでした。
この問題を解決するには、アナリティクスおよびレポートエンジニアによる完全なオーバーホールという、チームを超えた取り組みが必要でした。2025年7月のブログ記事でご紹介した通り、私たちはTimescaleDBを導入して分析プラットフォームを強化し、長期データの集約や圧縮を可能にすることで、クエリ性能を大幅に改善しました。これにより、当初当社が抱えていたスケールに関する問題が解決され、当社の最大規模の利用者も長期間にわたってデータをクエリできるようになりました。当社のクローラーはGatewayから生のHTTPトラフィックデータを収集し、Timescaleデータベースに保存します。
今回私たちは、データをデータベースに取り込んだ後、この機能の分析を効率的に行うことができる、シャドーITおよびAIの利用状況に特化した専用のマテリアライズドビューを構築しました。既存のHTTP分析はアカウント単位のHTTPリクエストに焦点を当てていましたが、これらの特定のビューはアプリケーションに関連する情報(未承認のアプリケーションへのアクセスを試みたユーザー、帯域幅の消費量、あり得ない地理的位置から未審査のアプリケーションの操作があるか、帯域幅の消費量の多いデバイス、など)に焦点を当てたものになっています。
過去1年間で、チームは我々が提供する分析のためのフレームワークを確立しました。時系列グラフとトップNグラフはすべて、期間や表示される関連データポイントでフィルタリング可能で、特定のデータポイントまで掘り下げて、企業トラフィックの詳細を確認できます。シャドーITの見直しは、既存データの分析と、AI アプリが顧客にとってどのような可視性上の課題を生んでいるかの調査から始まりました。その上で既存フレームワークを活用し、シャドーITダッシュボードを構築しました。これにより、アプリ単位での可視性を提供し、お客様が求めていた情報を実現しています。
システムの中核となるCloudflare Gatewayは、ユーザーの居場所に関係なく、組織全体のインターネット通信を仲介・フィルタリングするプロキシとして機能します。従業員がAIアプリケーションにアクセスしようとすると、そのトラフィックはCloudflareのグローバルネットワークを経由します。Cloudflareは、ホスト名を含むトラフィックを検査し、アプリケーション定義にトラフィックをマッピングします。TLS検査は、Gatewayのお客様にとってはオプションですが、シャドーITの分析には必須です。
やり取りの内容はログに記録され、ユーザーID、デバイスポスチャー、帯域幅の消費量、さらには地理的な位置にまで紐付けられます。この豊富なコンテキストは、誰がどのAIツールをいつどこから使用しているかを理解するために不可欠です。
これらすべての詳細なデータは、Cloudflare Oneのダッシュボード内のシャドーITレポートで確認できます。AIアプリケーションを簡単にフィルタリングして、次のことができます。
全容の把握:組織全体でのAIの利用状況(よく使用されるAIアプリケーション、全体的な使用傾向、処理されているデータの量)を瞬時に把握でき、セキュリティやガバナンス強化の重点ポイントを見極めることができます。
詳細の深堀り:任意のAIアプリケーションをクリックすると、それらを利用しているユーザーやグループ、利用頻度、場所、データ転送量が表示されます。この詳細は、社内でAIを使用している部門の特定や、それらのアプリケーションにどれだけのデータが流れているかを把握するのに役立ちます。
シャドーIT分析ダッシュボード
3. アプリケーションの承認ステータスをマークする
すべてのAIツールが同じように作られているわけではなく、組織によって受け入れられる範囲が異なることを私たちは理解しています。シャドーAIレポートでは、アプリケーションの承認ステータスを設定できる仕組みを用意しており、検出された各AIアプリケーションを次のように正式に分類できます:
承認済み:社内のセキュリティ審査を通過し、ポリシーに準拠し、正式に使用が許可されたAIアプリケーション。
未承認:これらは赤信号となるアプリケーションです。データプライバシーポリシーに問題があるか、脆弱性の履歴があるか、単にビジネス目標に合致していない可能性があります。
審査中:グレー領域のアプリケーションや新たに発見されたツール。担当部門は徹底的なデューデリジェンスを実施しながら、その使用状況を確認することができます。即座に中断することなく、情報に基づいた意思決定を行うための時間を確保します。
これらのステータスは、ダッシュボード上で確認、設定できます
これらの承認ステータスは、Cloudflare Gatewayのポリシーと連携することで真価を発揮します。これにより、CloudflareのネットワークのエッジでAIの判断を自動的に適用できるため、従業員がどこで働いていても一貫したセキュリティを確保できます。
具体的には、次のように「承認ステータス」を実際の保護ポリシーに落とし込むことができます:
未承認のAIをブロック:最もシンプルで直接的なアクション。「未承認」とマークされたAIアプリケーションへのすべてのトラフィックをブロックするGateway HTTPポリシーを作成します。これにより、リスクの高いデータの流出を即座に防ぎます。
「審査中」の露出を制限:評価中のアプリケーションを完全に遮断するのではなく、潜在的なリスクに対するある程度の制限が必要になる場合があります。
データ損失防止(DLP):CloudflareのDLPは、転送中のトラフィックから機密データの指標(クレジットカード番号、個人を特定できる情報、内部プロジェクト名、ソースコードなど)の有無を検査および分析し、転送を遮断することができます。「審査中」のAIアプリケーションにDLPを適用することで、この種のデータが含まれるAIへの入力を防止するだけでなく、その入力が遮断された理由をユーザーに通知することもできます。これにより、未熟な若手エンジニアによる悪意のない誤送信を避けることができます。
特定のアクションを制限する:基本的なやりとりを許可し、大量のデータの流出が発生するファイルのアップロードのみをブロックします。
リスクの高いセッションを分離:「審査中」アプリケーションのトラフィックをCloudflareのブラウザの分離を通してルーティングします。ブラウザ分離は、ブラウザセッションを安全なリモートコンテナで実行し、すべてのデータのやり取りを企業ネットワークから分離します。これにより、ファイルアップロードやコピー&ペースト操作の制御、キーボード入力を削減し、「審査中」のアプリケーションとの対話を減らすことができます。
「承認済み」の利用を監査:信頼できるAIツールでも、そこで行われた対話内容を記録してコンプライアンス監査に活用したり、社内ポリシーへの継続的な準拠を確保するために特定のデータ処理ルールを適用することができます。
これにより、担当部門は組織のAI利用を一貫して監査し、ポリシーを簡単に更新して、セキュリティリスクを迅速かつ容易に低減することができます。
Cloudflare Log Explorerを使用したフォレンジック
シャドーAIレポートは優れたインサイトを提供しますが、セキュリティ部門はさらに深いフォレンジック調査を行う必要がある場合もあります。このような高度なシナリオのために、Cloudflare Log Explorerを提供しています。
Log Explorerを使用すると、Cloudflareダッシュボード内またはAPIを介してCloudflareログを直接保存およびクエリでき、調査のたびに膨大なログをサードパーティのSIEMに送信する必要がなくなります。サンプリングされていない完全な生ログを取得でき、文脈を含めて迅速かつ詳細な分析を行うことができます。
Log Explorerのお客様は、Cloudflare Analyticsから事前入力されたSQLクエリを使用してシャドーAIのログにアクセスし、AIの利用状況についてより深い調査が可能です。
Log SearchのSQLクエリインターフェース
Log Explorerを使用したシャドーAIの調査方法:
特定のユーザーアクティビティを追跡する:Shadow AIレポートで、あるユーザーが「審査中」または「未承認」のAIアプリを多く利用していると判定された場合、Log Explorerにアクセスしてユーザー単位、アプリカテゴリ別、あるいは特定のAIサービスごとにクエリを実行できます。
データ流出攻撃の分析:DLPポリシーを設定している場合、AIアプリのカテゴリと連携してDLPの一致を検索できます。これにより、AIアプリケーションに機密データをアップロードしようとした試みを特定し、どのデータが送信されているかを正確に把握することができます。
異常なAI利用を特定:シャドーAIレポートでは、特定のAIアプリの利用が急増していることが表示される場合があります。Log Explorerでは、時間範囲とアプリケーションステータス(審査中または未承認)を指定してフィルタリングし、その上で、アカウントの不正利用や、ポリシーを回避する試みを示す可能性のある、「単一の送信元IPアドレスからの大量のリクエスト」、「ありえない地理からの発信元」など、異常なパターンを探すことができます。
Cloudflare Oneのお客様の組織でAIの可視性が課題となっている場合、より広範なシャドーIT検出機能の一部として、シャドーAIレポートを利用できます。ダッシュボードにログインして、今すぐ可視性を取り戻し、AIガバナンス戦略の策定を始めましょう。
AIアプリへのアクセスを保護する方法を最新化する準備はできていますか?可視性と制御能力を取り戻す方法について、Cloudflare Oneのセキュリティ専門家にご相談ください。
まだ相談の準備ができていない場合でも、Cloudflare Oneのほぼすべての機能を50ユーザーまで無料で利用できます。当社の大企業のお客様の多くは、まずFreeプランで製品を検討することから始めています。是非こちらのリンクから始めてください。
ご意見やご感想をお持ちの方、またはCloudflareがシャドーAIの可視性向上にご協力いただける方は、当社の「ユーザー調査プログラム」への参加をご検討ください。