2010年の創業以来、Cloudflareは社内のITおよびセキュリティの課題を解決するために、自社サービス使用を優先してきました。このアプローチは、ユーザーに提供する前の機能テストおよび機能改善に役立つとともに、Cloudflareが自社の社員を保護する上での基礎となっています。
Cloudflareに対する攻撃対象領域は従業員の増加、お客様の増加、テクノロジの増加と共に拡大しています。私たちはITチームとセキュリティチームに強力な可視性と制御を提供しながらセキュリティ体制をさらに強化する義務があります。これを実現するため、当社ではサイバー脅威からアプリケーションに対するアクセス、機密データを保護する方法として、当社のSASEおよびSSEプラットフォームであるCloudflare Oneのサービスを構築および採用しています。
Cloudflareは、数十のオフィスと遠隔地に3,500名以上の従業員を抱えています。この導入事例は、Cloudflareが自社製品であるCloudflare Oneサービスを使用して、どのように組織全体でユーザーの安全性と生産性を維持しているかについてを明らかにします。
最高セキュリティ責任者であるGrant Bourzikas氏は次のように述べています。「自社サービスを利用してCloudflareを保護することは、自社のビジネスを保護するだけでなく、お客様のために革新するための最も効果的な方法です。CloudflareをCloudflareで保護するという当社のコミットメントは、当組織が野心的で複雑な成長を続ける中で、我々のセキュリティチームとサービスが時代の最先端を走り続けることに役立っています。」
CloudflareはZero Trustのベストプラクティスに従い、リモートまたはオフィス内を問わず、すべての自社ホスト型アプリケーションに対するすべてのユーザーのアクセスを保護しています。具体的には、自社製品であるZero Trustネットワークアクセス(ZTNA)サービス(Cloudflare Access)を使用して本人確認を行い、ハードウェアキーを使用して多要素認証(MFA)を実施し、リクエストごとにデバイスポスチャーを評価しています。このやり方は数年にわたり進化してきたものであり、これによりCloudflareは増え続ける従業員をより効果的に保護するとともに、自らの経験に基づいてお客様にアドバイスすることができるようになりました。
CloudflareのZero Trustへの関心は、当社のエンジニアが自ら解決した現実的な問題であり、Virtual Private Network(VPN)の煩わしさを排除した形で開発者環境へのアクセスを合理化することから始まりました。
2015年、当時では珍しかった従業員のリモート勤務の際、社内でホストされているアプリケーションにアクセスするために、オンプレミスのVPNアプライアンスを介してトラフィックをバックホールする必要がありました。VPNの遅延と応答性の悪さに、特に休日・夜間に緊急の問題を解決するためにログインしなければならないオンコールエンジニアたちはストレスを感じていました。
Cloudflare Accessは、このような問題を抱える当社のエンジニアらが自らが抱える問題を解決するために構築したものであり、VPNハードウェアを介したバックホールではなく、最寄りのCloudflareデータセンターを介してアクセス要求をルーティングするリバースプロキシサービスとして始まりました。Accessはリクエストごとに、ブラウザウィンドウ内で当社のIDプロバイダの情報を基にユーザーの検証を行い、VPNクライアントに使用するログイン認証情報を記憶する煩わしさとリスクからユーザーを解放します。
煩わしさのない認証エクスペリエンスにより、Accessのアプリの採用が自然に促進され、VPNへの依存度はさらに減少しました。エンジニアらは、この新しい認証ワークフローを用いてGrafanaを保護し、次にAtlassianスイートなどのWebアプリ、最終的には非HTTPリソースまで保護の対象を拡大しました。
パンデミックによるリモートワークへの急激な移行は、Accessの背後へのアプリケーションの移行を加速させました。2020年夏までに、CloudflareのITチームは、VPN関連のチケットに費やすサービス時間を前年比で約80%削減し、チケットの量を約70%削減しました。その結果、時間換算で年間10万ドルの節約につながりました。
2021年初頭、Cloudflareのセキュリティチームは、内部でホストされているすべてのアプリケーションをAccessの背後に移動することを義務付けました。これに伴い、最小特権、デフォルト拒否、IDベースの制御が実現し、攻撃対象領域が減少しました。同年の後半、CloudflareはVPNを完全に廃止しました。また、私たちは私たちの経験を基に他の組織で利用できる規範的なガイダンスを作成しました。
また、従業員のオンボーディングとオフボーディングもシンプルなものになりました。新規採用者はVPNの設定を学ぶ必要がなくなり、2020年には数百人の新規採用者が費やす必要があった年間300時間以上もの時間を節約することができました。今や、Cloudflare がInfrastructure as Code(IaC)ツールであるTerraformと統合することで、アプリケーションに対するアクセスの構成がほぼ自動化されています。
セキュリティ担当ディレクターであるDerek Pitts氏は次のように述べています。「社内でZero Trustを採用してVPNを置き換えたことで、従業員はより高速かつ安全で、よりシンプルな方法でアプリケーションに接続し、生産性を維持できるようになりました。当社のZTNAサービスにより、Cloudflareはセキュリティの向上と優れたユーザーエクスペリエンスの創出との間で何かをトレードオフする必要がありません。」
ZTNAを社内で展開して以来、CloudflareはMFAを採用しています。当初、この取り組みは、テキスト、Eメール、アプリを介して配信されるタイムベースのワンタイムパスワード(TOTP)などのソフトキーを使用してMFAを許可することから始まりました。2018年以降、Cloudflareのセキュリティチームはハードキーの配布を開始し、特定のアプリケーション上でオプションの認証形式として使用できるようにしました。
このMFAアプローチの最大の変化の起点は、CloudflareのIT部門を装った電話など、従業員に対するソーシャルエンジニアリング攻撃が頻繁になった2021年2月です。この事態を受けてCloudflareは、よりフィッシングに強いアプローチであるFIDO 2準拠