CloudflareをCloudflare Oneで保護

増加しているハイブリッド型勤務社員の保護

2010年の創業以来、Cloudflareは社内のITおよびセキュリティの課題を解決するために、自社サービス使用を優先してきました。このアプローチは、ユーザーに提供する前の機能テストおよび機能改善に役立つとともに、Cloudflareが自社の社員を保護する上での基礎となっています。

Cloudflareに対する攻撃対象領域は従業員の増加、お客様の増加、テクノロジの増加と共に拡大しています。私たちはITチームとセキュリティチームに強力な可視性と制御を提供しながらセキュリティ体制をさらに強化する義務があります。これを実現するため、当社ではサイバー脅威からアプリケーションに対するアクセス、機密データを保護する方法として、当社のSASEおよびSSEプラットフォームであるCloudflare Oneのサービスを構築および採用しています。

Cloudflareは、数十のオフィスと遠隔地に3,500名以上の従業員を抱えています。この導入事例は、Cloudflareが自社製品であるCloudflare Oneサービスを使用して、どのように組織全体でユーザーの安全性と生産性を維持しているかについてを明らかにします。

最高セキュリティ責任者であるGrant Bourzikas氏は次のように述べています。「自社サービスを利用してCloudflareを保護することは、自社のビジネスを保護するだけでなく、お客様のために革新するための最も効果的な方法です。CloudflareをCloudflareで保護するという当社のコミットメントは、当組織が野心的で複雑な成長を続ける中で、我々のセキュリティチームとサービスが時代の最先端を走り続けることに役立っています。」

アプリケーションへのアクセス保護

CloudflareはZero Trustのベストプラクティスに従い、リモートまたはオフィス内を問わず、すべての自社ホスト型アプリケーションに対するすべてのユーザーのアクセスを保護しています。具体的には、自社製品であるZero Trustネットワークアクセス（ZTNA）サービス（Cloudflare Access）を使用して本人確認を行い、ハードウェアキーを使用して多要素認証（MFA）を実施し、リクエストごとにデバイスポスチャーを評価しています。このやり方は数年にわたり進化してきたものであり、これによりCloudflareは増え続ける従業員をより効果的に保護するとともに、自らの経験に基づいてお客様にアドバイスすることができるようになりました。

当社のZTNAの原点：VPNのリプレース

CloudflareのZero Trustへの関心は、当社のエンジニアが自ら解決した現実的な問題であり、Virtual Private Network（VPN）の煩わしさを排除した形で開発者環境へのアクセスを合理化することから始まりました。

2015年、当時では珍しかった従業員のリモート勤務の際、社内でホストされているアプリケーションにアクセスするために、オンプレミスのVPNアプライアンスを介してトラフィックをバックホールする必要がありました。VPNの遅延と応答性の悪さに、特に休日・夜間に緊急の問題を解決するためにログインしなければならないオンコールエンジニアたちはストレスを感じていました。

Cloudflare Accessは、このような問題を抱える当社のエンジニアらが自らが抱える問題を解決するために構築したものであり、VPNハードウェアを介したバックホールではなく、最寄りのCloudflareデータセンターを介してアクセス要求をルーティングするリバースプロキシサービスとして始まりました。Accessはリクエストごとに、ブラウザウィンドウ内で当社のIDプロバイダの情報を基にユーザーの検証を行い、VPNクライアントに使用するログイン認証情報を記憶する煩わしさとリスクからユーザーを解放します。

煩わしさのない認証エクスペリエンスにより、Accessのアプリの採用が自然に促進され、VPNへの依存度はさらに減少しました。エンジニアらは、この新しい認証ワークフローを用いてGrafanaを保護し、次にAtlassianスイートなどのWebアプリ、最終的には非HTTPリソースまで保護の対象を拡大しました。

パンデミックによるリモートワークへの急激な移行は、Accessの背後へのアプリケーションの移行を加速させました。2020年夏までに、CloudflareのITチームは、VPN関連のチケットに費やすサービス時間を前年比で約80%削減し、チケットの量を約70%削減しました。その結果、時間換算で年間10万ドルの節約につながりました。

2021年初頭、Cloudflareのセキュリティチームは、内部でホストされているすべてのアプリケーションをAccessの背後に移動することを義務付けました。これに伴い、最小特権、デフォルト拒否、IDベースの制御が実現し、攻撃対象領域が減少しました。同年の後半、CloudflareはVPNを完全に廃止しました。また、私たちは私たちの経験を基に他の組織で利用できる規範的なガイダンスを作成しました。

また、従業員のオンボーディングとオフボーディングもシンプルなものになりました。新規採用者はVPNの設定を学ぶ必要がなくなり、2020年には数百人の新規採用者が費やす必要があった年間300時間以上もの時間を節約することができました。今や、CloudflareがInfrastructure as Code（IaC）ツールであるTerraformと統合することで、アプリケーションに対するアクセスの構成がほぼ自動化されています。

セキュリティ担当ディレクターであるDerek Pitts氏は次のように述べています。「社内でZero Trustを採用してVPNを置き換えたことで、従業員はより高速かつ安全で、よりシンプルな方法でアプリケーションに接続し、生産性を維持できるようになりました。当社のZTNAサービスにより、Cloudflareはセキュリティの向上と優れたユーザーエクスペリエンスの創出との間で何かをトレードオフする必要がありません。」

ハードキーMFAと標的型フィッシング攻撃の阻止

ZTNAを社内で展開して以来、CloudflareはMFAを採用しています。当初、この取り組みは、テキスト、Eメール、アプリを介して配信されるタイムベースのワンタイムパスワード（TOTP）などのソフトキーを使用してMFAを許可することから始まりました。2018年以降、Cloudflareのセキュリティチームはハードキーの配布を開始し、特定のアプリケーション上でオプションの認証形式として使用できるようにしました。

このMFAアプローチの最大の変化の起点は、CloudflareのIT部門を装った電話など、従業員に対するソーシャルエンジニアリング攻撃が頻繁になった2021年2月です。この事態を受けてCloudflareは、よりフィッシングに強いアプローチであるFIDO 2準拠のハードキー認証を、すべてのアプリとユーザーに要求し始めました。会社支給のノートパソコンや個人のモバイルデバイスに関わらず、アプリケーションにアクセスする際に、すべての従業員はYubiKeyからFIPS検証済みのセキュリティキーをタップする必要があり、その他の形式のMFAはすべて無効化されました。この方法はまた、WebAuthn標準プロトコルを介したより強力な暗号を利用します。

このハードキーのアプローチは、2022年8月にCloudflareが他の大企業への侵入に成功した標的型フィッシング攻撃を阻止した際に実証されました。当時、Cloudflareの従業員76名が、偽のOktaログインページに誘導する正規に見せかけたテキストを受信しました。脅威アクターは、この偽のログインページで収集した認証情報をIDプロバイダーの実際のログインサイトにリアルタイムで入力し、ユーザーにTOTPコードを返すよう求めました。TOTPコードに依存している組織の場合、従業員が偽のログインページにTOTPを入力してしまうと、脅威アクターによって従業員のマシンをリモートで制御するためのフィッシングペイロードが開始されます。

Cloudflareの従業員数名が認証情報を入力してしまったにもかかわらず、Cloudflareのアプローチにより、すべてのマシンを攻撃者からの乗っ取りから防ぐことができました。この攻撃を特定した後、Cloudflareはリスクを無効化するべく、さらにいくつかの措置を講じました：

• 自社のセキュアWebゲートウェイ（SWG）を使用してフィッシングに使用されているドメインをブロック
• リモートブラウザ分離（RBI）サービスを使用して、すべての新たに登録されたドメインへのアクセスを分離
• 業界パートナーと協力して攻撃者が利用するインフラをシャットダウン
• ZTNA経由でアクティブなセッションを強制終了し、侵害された資格情報をリセット
• アクティビティログごとに、未検証の二要素認証のIDとデバイスをスキャン
• 脅威者が使用するIPをすべてのCloudflareサービスに対するアクセスからブロック

強力なMFAを防御の最前線とする、Cloudflareの何重にもなったセキュリティ層がこの巧妙な攻撃の阻止を実現しました。

ここで説明している本事例の詳細については、このインシデントに関するブログ記事とソリューション概要をご参照ください。

デバイスポスチャー確認を拡張

Cloudflareは、ファーストパーティとサードパーティの両方のソフトウェアからのコンテキストを使用して、ユーザーとアプリ間で行われるデバイスポスチャーの確認の拡張に重点を置いています。

現在、会社支給のすべてのノートパソコンにモバイルデバイスマネージャーを介してCloudflareのデバイスクライアントが展開され、暗号化されたアウトバウンド接続を介してプロキシトラフィックを転送しています。従業員は、当社のエンドポイント管理に登録するなど、特定のセキュリティ基準を満たすことで、個人用モバイルデバイスを使用することもできます。現在デバイスクライアントが、会社支給のノートパソコンから重要な内部リソースにアクセスするための必須要件となっていますが、近く個人のモバイルデバイスからのアクセスにも必要になります。

Cloudflareはまた、エンドポイント保護のためにCrowdstrikeのテレメトリを組み込んだ条件付きアクセスポリシーを構築し、CrowdstrikeのFalconソフトウェアを会社支給のすべてのデバイス上で実行しています。具体的には、CrowdstrikeのZero Trust Assessment（ZTA）スコア（デバイスのリアルタイムの健全性を表す数値）が最低閾値を上回った場合にのみ、リソースへのアクセスが許可されます。このZTNAとの連携は、CloudflareとCrowdstrikeの間で進行中のコラボレーションのいくつかの側面のほんの一部です。

全体として、Cloudflareのセキュリティは、リソースに対するアクセス要求すべて（SSHコマンドのログも含む）の詳細なログを取得しています。これらを使用してIDやデバイスを横断的に可視化することで、インシデントのより迅速な調査が可能になります。

サイバー脅威に対する防御

また、当社ではCloudflare Oneサービスを社内に展開してサイバー脅威から防御しています。例えば、当社のSWGやリモートブラウザ分離を使用してインターネット閲覧を保護したり、当社のメールセキュリティサービスを使用してフィッシング攻撃から受信トレイを保護しています。

Bourzikas氏は次のように述べています。「Cloudflare Oneのサービスを使用することで、攻撃対象領域の削減、インターネットベースの脅威の軽減、ラテラルムーブメントの抑制、データや金銭目的の盗難を阻止することができ、攻撃ライフサイクル全体にわたってユーザーを保護することができます。ここ数年で、Webセキュリティとメールセキュリティを階層化することで、増え続けるハイブリッド型環境で働く従業員全員に対して一貫した保護と可視性を実現することができました。」

リモートユーザーとオフィスのインターネット閲覧を保護

Cloudflareが自社のSWG（ゲートウェイ）を使い始めたのは、パンデミックによりリモートワークに移行した後、増加するオンライン脅威から従業員を保護するという、お客様と同様の課題に直面したときでした。

当社はまず、セキュリティとコンテンツのカテゴリーから判断して有害または望ましくないインターネットドメインにユーザーが到達することを阻止するDNSフィルタリング機能の展開に優先的に取り組むことから始めました。これは、リモートワークへの移行から1年以内に以下の段階を経て実現しました：

• DNSフィルタリング機能をオフィス全体に。 この設定はオフィスのルータからDNSトラフィックを当社のネットワークに向けるだけのもので、数日で完了しました。このロケーションベースのフィルタリングは、オンサイトでビジネスクリティカルな機能を実行する一握りのユーザーを保護し、管理者がポリシー構成を微調整するのに有用で、現在も使用されています。
• Cloudflareのデバイスクライアントを展開。 デバイスクライアントを介したフォワードプロキシトラフィックは、インターネットに対するすべてのアウトバウンド接続の暗号化を含む、ユーザーおよびデバイス固有のセキュリティ制御と可視性の基盤を提供します。
• すべてのリモートユーザーに対するDNSフィルタリング。 Cloudflareは、2021年初頭までにリモートユーザーとオフィスユーザー双方で一貫したDNSフィルタリングポリシーとインターネットエクスペリエンスを確立しました。

Cloudflareにおけるハイブリッドな働き方がより日常的なものとして落ち着くにつれ、セキュリティチームはフォワードプロキシのインターネットトラフィックに対する追加の制御と可視性によって次のような恩恵を受けています：

• きめ細かなHTTP制御 - セキュリティチームはHTTPSトラフィックを検査して、当社のセキュリティチームが悪意のあるWebサイトと識別した特定のWebサイトへのアクセスをブロックし、ウイルス対策スキャンを実行し、ID認識型ブラウジングポリシーを適用します。
• インターネットの選択的ブラウザ分離 - ブラウザ分離のセッションでは、すべてのWebコードがローカルデバイスから離れたCloudflareのネットワーク上で実行され、信頼できない悪意のあるコンテンツからユーザーを分離します。現在、ソーシャルメディア、ニュースサイト、個人用メール、その他の危険が潜むインターネットカテゴリを分離の対象としています。例えば、新たに検出されたドメインは最後のカテゴリ（潜在的に危険なインターネットカテゴリ）に分類されますが、Cloudflareは解決するDNSクエリの量の多さから（1日平均20億以上のクエリ）これらをより高い精度で識別できる優位性があります。
• 地理別のログ取得 - 当社のセキュリティチームはリクエストの発信元を確認することで従業員の地理的な分布（高リスク地域を含む）を把握することができます。

セキュリティ担当ディレクターであるDerek Pitts氏は次のように述べています。「現在、Cloudflareは全従業員に対し、ユーザーとデバイス固有の可視性を提供し、より包括的なリスク評価を可能にしています。セキュリティチームはリスクプロファイルの進化に合わせてインターネットの閲覧制御を適応し、脅威を最小限に抑えつつユーザーの生産性にも影響を与えないように調整を行っているのです。」

ここで説明している本事例の詳細については、ブログ記事を参照してください。

クラウドメールセキュリティによる受信箱の保護

2020年初頭、Cloudflareはフィッシング攻撃の急増に見舞われました。当社のメールプロバイダー（Google Workspace）は、ネイティブWebアプリケーションのスパムフィルタリングには優れていましたが、ビジネスメール詐欺（BEC）やiOSモバイルアプリのようなメールにアクセスする他の手法などの高度な脅威には苦慮していました。さらに、フィッシング攻撃の件数が増加するにつれて、ITチームは手動による調査に多くの時間（単純な攻撃に対しては約15～30分、より高度な攻撃ではより多くの時間）を費やすことを余儀なくされていました。

この問題に対処するため、Cloudflareは当時サードパーティベンダーであったArea 1 Email SecurityをGoogle Workspaceに並行する形で導入しました。Area 1は導入後30日以内で合計9万件の攻撃をブロックし、フィッシングメールの大幅かつ長期的な減少につながりました。Aria 1は誤検知率も低く、調査に費やす時間が短縮され、セキュリティチームは、最も標的とされている従業員が誰かなど、多岐にわたる洞察を得るなど、非常に優れた結果を得ることができました。

記事の中でCloudflareの最高技術責任者（CTO）であるJohn Graham-Cumming氏は次のように述べています。「実際にArea 1のテクノロジーは利用開始時点で非常に効果的であったことから、当社のCEOは最高セキュリティ責任者（CSO）にメールのセキュリティ機能が停止していないか確認したほどでした。サービスの利用開始から何週にもわたり、従業員からフィッシングの試行についての報告がCEOに寄せられなかったのです。このような状況はそれまでほとんどありませんでした。結局のところ、Area 1によって、すべてのフィッシングメールが従業員のメールの受信箱にたどり着く前にフィルタリングされていたために、従業員の誰もフィッシングメールが届いたという報告をしてこなかったということが分かりました。」

このポジティブな経験を踏まえて、2022年初頭、CloudflareはArea 1を買収し、Cloudflare Oneとの統合を果たしました。これにより、お客様と当社は、複数のチャネルにわたってより積極的なセキュリティ体制を取ることができます。

例えば、メールリンク分離では、リモートブラウザ分離とメールセキュリティ機能を使用して、疑わしいリンクをブラウザ分離機能を使用して開きます。これにより、悪意のあるコードが無効化され、ユーザーによるキーボード入力やコピーペーストを制限するなどの方法でWebページ上での危険な操作を防ぐことができます。数あるアプリケーションの中からCloudflareはこの機能を使用して、一般的な検知をすり抜ける遅延フィッシング攻撃を阻止し、フィッシングインシデントの調査を実施する当社のセキュリティチームの安全を支えています。

セキュリティ担当ディレクターであるDerek Pitts氏は次のように述べています。「Cloudflareのメールセキュリティは、フィッシング攻撃の試行が従業員の受信箱に届く前にキャッチします。Eメールは依然として最も用いられる攻撃ベクトルの1つですが、当社のサービスは非常に効果的かつ管理しやすいものであることから安心感を得ることができています。」

機微データの保護

CloudflareではZero Trustポリシーを用いて、どのアプリに誰がアクセスできるかを制限し、フィッシングやランサムウェアの脅威から守ることで、データの流出を防いでいます。機微データを検出するクラウドアクセスセキュリティブローカー（CASB）やデータ損失防止（DLP）などのサービスを使用して、データ漏洩のリスクをさらに軽減しています。

• SaaSアプリケーション内データの暴露リスクの管理 。例えば、APIを介してSaaSスイート（Google Workspace、GitHub、Salesforceなど）をスキャンし、機微データや漏洩リスクとなる誤設定を検出し、それに基づいた具体的なガイダンスに従いSWGポリシーを用いて対処します
• 機微データの移動の検出と制御 。例えば、資格情報や機密情報、財務情報、健康情報など、プロプライエタリかつ規制対象に分類されるデータなどがあります。

Cloudflare Oneのデータ保護に対するアプローチの詳細についてはブログ記事を参照してください。

セキュリティ第一の企業文化

前述のセキュリティサービスは、その実装に携わる人材とプロセスがあってこそ、その価値を発揮します。特に、これまでに到達したマイルストーンは、「セキュリティは全社の仕事の一部である」という原則をベースとした組織全体のセキュリティ第一の企業文化の賜物です。

例えば、Cloudflareは、24時間365日体制のセキュリティインシデント対応チーム（SIRT）を社内で運営しており、全従業員に対して、疑わしい活動を早期かつ高頻度で報告するように促しています。この明確な「不審なものを見つけたら報告するアプローチ」は防衛の最初の一手になり、フィードバックを返すことで良い循環を生み出します。当社は最前線から寄せられるこれらの報告を、当社のアプローチの改善に役立てています。2022年の標的型フィッシング事件のように、実際のサイバー攻撃が発生した場合、タイムリーなアラートが重要です。そのため、調査の結果SIRTに寄せられた従業員の報告の90%以上が良性であっても構いません。また、そうであることを期待しています。さらに、この誤報告を「非難しない」積極艇なアプローチは、自社サービスを内部展開した際のバグ報告にも適用されています。こうすることがサービスをより強固なものにすることに繋がっています。

Bourzikas氏は次のように述べています。「Cloudflareのセキュリティ第一の企業文化が仕事を楽にしてくれました。当社の従業員は、最高品質のセキュリティエクスペリエンスを確実に提供することに懸命に従事しており、その結果、当社のチームがお客様により良いサービスの構築に繋がっています。このコミットメントは、Cloudflare Oneプラットフォームで機能とサービスを拡張し続ける上で非常に重要です。」