CloudflareをCloudflare Oneで保護

増加しているハイブリッド型勤務社員の保護

2010年の創業以来、Cloudflareは社内のITおよびセキュリティの課題を解決するために、自社サービス使用を優先してきました。このアプローチは、ユーザーに提供する前の機能テストおよび機能改善に役立つとともに、Cloudflareが自社の社員を保護する上での基礎となっています。

As Cloudflare’s attack surfaces grow with the addition of more employees, customers, and technology, we have an obligation to further strengthen our security posture and equip our IT and security teams with strong visibility and control. In response, we’ve built and adopted services from Cloudflare One, our SASE and SSE platform, to secure access to applications, defend against cyber threats, and protect sensitive data.

Cloudflareは、数十のオフィスと遠隔地に3,500名以上の従業員を抱えています。この導入事例は、Cloudflareが自社製品であるCloudflare Oneサービスを使用して、どのように組織全体でユーザーの安全性と生産性を維持しているかについてを明らかにします。

最高セキュリティ責任者であるGrant Bourzikas氏は次のように述べています。「自社サービスを利用してCloudflareを保護することは、自社のビジネスを保護するだけでなく、お客様のために革新するための最も効果的な方法です。CloudflareをCloudflareで保護するという当社のコミットメントは、当組織が野心的で複雑な成長を続ける中で、我々のセキュリティチームとサービスが時代の最先端を走り続けることに役立っています。」

アプリケーションへのアクセス保護

Cloudflare follows Zero Trust best practices to secure access to all self-hosted applications for all users, whether remote or in-office. Specifically, we use our own Zero Trust Network Access(ZTNA) service (Cloudflare Access) to verify identity, enforce multi-factor authentication (MFA) with hardware keys, and evaluate device posture for every request. This posture evolved over several years and has enabled Cloudflare to better protect our growing workforce more effectively and advise customers based on our own experiences.

当社のZTNAの原点：VPNのリプレース

CloudflareのZero Trustへの関心は、当社のエンジニアが自ら解決した現実的な問題であり、Virtual Private Network（VPN）の煩わしさを排除した形で開発者環境へのアクセスを合理化することから始まりました。

2015年、当時では珍しかった従業員のリモート勤務の際、社内でホストされているアプリケーションにアクセスするために、オンプレミスのVPNアプライアンスを介してトラフィックをバックホールする必要がありました。VPNの遅延と応答性の悪さに、特に休日・夜間に緊急の問題を解決するためにログインしなければならないオンコールエンジニアたちはストレスを感じていました。

Cloudflare Accessは、このような問題を抱える当社のエンジニアらが自らが抱える問題を解決するために構築したものであり、VPNハードウェアを介したバックホールではなく、最寄りのCloudflareデータセンターを介してアクセス要求をルーティングするリバースプロキシサービスとして始まりました。Accessはリクエストごとに、ブラウザウィンドウ内で当社のIDプロバイダの情報を基にユーザーの検証を行い、VPNクライアントに使用するログイン認証情報を記憶する煩わしさとリスクからユーザーを解放します。

煩わしさのない認証エクスペリエンスにより、Accessのアプリの採用が自然に促進され、VPNへの依存度はさらに減少しました。エンジニアらは、この新しい認証ワークフローを用いてGrafanaを保護し、次にAtlassianスイートなどのWebアプリ、最終的には非HTTPリソースまで保護の対象を拡大しました。

パンデミックによるリモートワークへの急激な移行は、Accessの背後へのアプリケーションの移行を加速させました。2020年夏までに、CloudflareのITチームは、VPN関連のチケットに費やすサービス時間を前年比で約80%削減し、チケットの量を約70%削減しました。その結果、時間換算で年間10万ドルの節約につながりました。

In early 2021, Cloudflare’s security team mandated that all internally-hosted applications move behind Access, helping us reduce our attack surface with least privilege, default-deny and identity-based controls. Later that year, Cloudflare had deprecated its VPN entirely, and we have translated our experiences into prescriptive guidance for other organizations.

また、従業員のオンボーディングとオフボーディングもシンプルなものになりました。新規採用者はVPNの設定を学ぶ必要がなくなり、2020年には数百人の新規採用者が費やす必要があった年間300時間以上もの時間を節約することができました。今や、CloudflareがInfrastructure as Code（IaC）ツールであるTerraformと統合することで、アプリケーションに対するアクセスの構成がほぼ自動化されています。

セキュリティ担当ディレクターであるDerek Pitts氏は次のように述べています。「社内でZero Trustを採用してVPNを置き換えたことで、従業員はより高速かつ安全で、よりシンプルな方法でアプリケーションに接続し、生産性を維持できるようになりました。当社のZTNAサービスにより、Cloudflareはセキュリティの向上と優れたユーザーエクスペリエンスの創出との間で何かをトレードオフする必要がありません。」

ハードキーMFAと標的型フィッシング攻撃の阻止

ZTNAを社内で展開して以来、CloudflareはMFAを採用しています。当初、この取り組みは、テキスト、Eメール、アプリを介して配信されるタイムベースのワンタイムパスワード（TOTP）などのソフトキーを使用してMFAを許可することから始まりました。2018年以降、Cloudflareのセキュリティチームはハードキーの配布を開始し、特定のアプリケーション上でオプションの認証形式として使用できるようにしました。

このMFAアプローチの最大の変化の起点は、CloudflareのIT部門を装った電話など、従業員に対するソーシャルエンジニアリング攻撃が頻繁になった2021年2月です。この事態を受けてCloudflareは、よりフィッシングに強いアプローチであるFIDO 2準拠のハードキー認証を、すべてのアプリとユーザーに要求し始めました。会社支給のノートパソコンや個人のモバイルデバイスに関わらず、アプリケーションにアクセスする際に、すべての従業員はYubiKeyからFIPS検証済みのセキュリティキーをタップする必要があり、その他の形式のMFAはすべて無効化されました。この方法はまた、WebAuthn標準プロトコルを介したより強力な暗号を利用します。

このハードキーのアプローチは、2022年8月にCloudflareが他の大企業への侵入に成功した標的型フィッシング攻撃を阻止した際に実証されました。当時、Cloudflareの従業員76名が、偽のOktaログインページに誘導する正規に見せかけたテキストを受信しました。脅威アクターは、この偽のログインページで収集した認証情報をIDプロバイダーの実際のログインサイトにリアルタイムで入力し、ユーザーにTOTPコードを返すよう求めました。TOTPコードに依存している組織の場合、従業員が偽のログインページにTOTPを入力してしまうと、脅威アクターによって従業員のマシンをリモートで制御するためのフィッシングペイロードが開始されます。

Cloudflareの従業員数名が認証情報を入力してしまったにもかかわらず、Cloudflareのアプローチにより、すべてのマシンを攻撃者からの乗っ取りから防ぐことができました。この攻撃を特定した後、Cloudflareはリスクを無効化するべく、さらにいくつかの措置を講じました：

• 自社のセキュアWebゲートウェイ（SWG）を使用してフィッシングに使用されているドメインをブロック
• Isolated access to all newly registered domains with our remote browser isolation (RBI) service
• 業界パートナーと協力して攻撃者が利用するインフラをシャットダウン
• ZTNA経由でアクティブなセッションを強制終了し、侵害された資格情報をリセット
• アクティビティログごとに、未検証の二要素認証のIDとデバイスをスキャン
• 脅威者が使用するIPをすべてのCloudflareサービスに対するアクセスからブロック

強力なMFAを防御の最前線とする、Cloudflareの何重にもなったセキュリティ層がこの巧妙な攻撃の阻止を実現しました。

ここで説明している本事例の詳細については、このインシデントに関するブログ記事とソリューション概要をご参照ください。

デバイスポスチャー確認を拡張

Cloudflareは、ファーストパーティとサードパーティの両方のソフトウェアからのコンテキストを使用して、ユーザーとアプリ間で行われるデバイスポスチャーの確認の拡張に重点を置いています。

現在、会社支給のすべてのノートパソコンにモバイルデバイスマネージャーを介してCloudflareのデバイスクライアントが展開され、暗号化されたアウトバウンド接続を介してプロキシトラフィックを転送しています。従業員は、当社のエンドポイント管理に登録するなど、特定のセキュリティ基準を満たすことで、個人用モバイルデバイスを使用することもできます。現在デバイスクライアントが、会社支給のノートパソコンから重要な内部リソースにアクセスするための必須要件となっていますが、近く個人のモバイルデバイスからのアクセスにも必要になります。

Cloudflareはまた、エンドポイント保護のためにCrowdstrikeのテレメトリを組み込んだ条件付きアクセスポリシーを構築し、CrowdstrikeのFalconソフトウェアを会社支給のすべてのデバイス上で実行しています。具体的には、CrowdstrikeのZero Trust Assessment（ZTA）スコア（デバイスのリアルタイムの健全性を表す数値）が最低閾値を上回った場合にのみ、リソースへのアクセスが許可されます。このZTNAとの連携は、CloudflareとCrowdstrikeの間で進行中のコラボレーションのいくつかの側面のほんの一部です。

全体として、Cloudflareのセキュリティは、リソースに対するアクセス要求すべて（SSHコマンドのログも含む）の詳細なログを取得しています。これらを使用してIDやデバイスを横断的に可視化することで、インシデントのより迅速な調査が可能になります。

サイバー脅威に対する防御

We also deploy Cloudflare One services internally to defend against cyber threats. Examples include using our SWG and RBI to secure Internet browsing and using our email security service to protect inboxes from phishing attacks.

Bourzikas氏は次のように述べています。「Cloudflare Oneのサービスを使用することで、攻撃対象領域の削減、インターネットベースの脅威の軽減、ラテラルムーブメントの抑制、データや金銭目的の盗難を阻止することができ、攻撃ライフサイクル全体にわたってユーザーを保護することができます。ここ数年で、Webセキュリティとメールセキュリティを階層化することで、増え続けるハイブリッド型環境で働く従業員全員に対して一貫した保護と可視性を実現することができました。」

リモートユーザーとオフィスのインターネット閲覧を保護

Cloudflareが自社のSWG（ゲートウェイ）を使い始めたのは、パンデミックによりリモートワークに移行した後、増加するオンライン脅威から従業員を保護するという、お客様と同様の課題に直面したときでした。

当社はまず、セキュリティとコンテンツのカテゴリーから判断して有害または望ましくないインターネットドメインにユーザーが到達することを阻止するDNSフィルタリング機能の展開に優先的に取り組むことから始めました。これは、リモートワークへの移行から1年以内に以下の段階を経て実現しました：

• DNSフィルタリング機能をオフィス全体に。 この設定はオフィスのルータからDNSトラフィックを当社のネットワークに向けるだけのもので、数日で完了しました。このロケーションベースのフィルタリングは、オンサイトでビジネスクリティカルな機能を実行する一握りのユーザーを保護し、管理者がポリシー構成を微調整するのに有用で、現在も使用されています。
• Cloudflareのデバイスクライアントを展開。 デバイスクライアントを介したフォワードプロキシトラフィックは、インターネットに対するすべてのアウトバウンド接続の暗号化を含む、ユーザーおよびデバイス固有のセキュリティ制御と可視性の基盤を提供します。
• すべてのリモートユーザーに対するDNSフィルタリング。 Cloudflareは、2021年初頭までにリモートユーザーとオフィスユーザー双方で一貫したDNSフィルタリングポリシーとインターネットエクスペリエンスを確立しました。

Cloudflareにおけるハイブリッドな働き方がより日常的なものとして落ち着くにつれ、セキュリティチームはフォワードプロキシのインターネットトラフィックに対する追加の制御と可視性によって次のような恩恵を受けています：

• きめ細かなHTTP制御 - セキュリティチームはHTTPSトラフィックを検査して、当社のセキュリティチームが悪意のあるWebサイトと識別した特定のWebサイトへのアクセスをブロックし、ウイルス対策スキャンを実行し、ID認識型ブラウジングポリシーを適用します。
• インターネットの選択的ブラウザ分離 - ブラウザ分離のセッションでは、すべてのWebコードがローカルデバイスから離れたCloudflareのネットワーク上で実行され、信頼できない悪意のあるコンテンツからユーザーを分離します。現在、ソーシャルメディア、ニュースサイト、個人用メール、その他の危険が潜むインターネットカテゴリを分離の対象としています。例えば、新たに検出されたドメインは最後のカテゴリ（潜在的に危険なインターネットカテゴリ）に分類されますが、Cloudflareは解決するDNSクエリの量の多さから（1日平均20億以上のクエリ）これらをより高い精度で識別できる優位性があります。
• 地理別のログ取得 - 当社のセキュリティチームはリクエストの発信元を確認することで従業員の地理的な分布（高リスク地域を含む）を把握することができます。

セキュリティ担当ディレクターであるDerek Pitts氏は次のように述べています。「現在、Cloudflareは全従業員に対し、ユーザーとデバイス固有の可視性を提供し、より包括的なリスク評価を可能にしています。セキュリティチームはリスクプロファイルの進化に合わせてインターネットの閲覧制御を適応し、脅威を最小限に抑えつつユーザーの生産性にも影響を与えないように調整を行っているのです。」

ここで説明している本事例の詳細については、ブログ記事を参照してください。

クラウドメールセキュリティによる受信箱の保護

2020年初頭、Cloudflareはフィッシング攻撃の急増に見舞われました。当社のメールプロバイダー（Google Workspace）は、ネイティブWebアプリケーションのスパムフィルタリングには優れていましたが、ビジネスメール詐欺（BEC）やiOSモバイルアプリのようなメールにアクセスする他の手法などの高度な脅威には苦慮していました。さらに、フィッシング攻撃の件数が増加するにつれて、ITチームは手動による調査に多くの時間（単純な攻撃に対しては約15～30分、より高度な攻撃ではより多くの時間）を費やすことを余儀なくされていました。

To address this issue, Cloudflare implemented cloud email security – at that time a third-party vendor – alongside Google Workspace. Within 30 days, we blocked 90,000 total attacks, leading to a significant and prolonged drop in phishing emails. Plus, the low false positive rate reduced the time spent on investigations, and security teams benefited from a wider array of insights, including the most-targeted employees.

“In fact, the technology was so effective at launch, that our CEO reached out to our Chief Security Officer to inquire if our email security was broken,” wrote John Graham-Cumming, Cloudflare’s Chief Technology Officer, “Our CEO hadn’t seen any phishing attempts reported by our employees for many weeks, a rare occurrence. It turns out our employees weren’t reporting any phishing attempts, because the technology was catching all phishing attempts before they reached our employee’s inboxes.”

このポジティブな経験を踏まえて、2022年初頭、CloudflareはArea 1を買収し、Cloudflare Oneとの統合を果たしました。これにより、お客様と当社は、複数のチャネルにわたってより積極的なセキュリティ体制を取ることができます。

例えば、メールリンク分離では、リモートブラウザ分離とメールセキュリティ機能を使用して、疑わしいリンクをブラウザ分離機能を使用して開きます。これにより、悪意のあるコードが無効化され、ユーザーによるキーボード入力やコピーペーストを制限するなどの方法でWebページ上での危険な操作を防ぐことができます。数あるアプリケーションの中からCloudflareはこの機能を使用して、一般的な検知をすり抜ける遅延フィッシング攻撃を阻止し、フィッシングインシデントの調査を実施する当社のセキュリティチームの安全を支えています。

セキュリティ担当ディレクターであるDerek Pitts氏は次のように述べています。「Cloudflareのメールセキュリティは、フィッシング攻撃の試行が従業員の受信箱に届く前にキャッチします。Eメールは依然として最も用いられる攻撃ベクトルの1つですが、当社のサービスは非常に効果的かつ管理しやすいものであることから安心感を得ることができています。」

機微データの保護

Limiting who can access what apps with Zero Trust policies and defending against phishing and ransomware threats helps Cloudflare prevent data exfiltration. We are further mitigating the risks of data leaks with services like our cloud access security broker (CASB) and data loss prevention (DLP) to detect sensitive data.

• SaaSアプリケーション内データの暴露リスクの管理 。例えば、APIを介してSaaSスイート（Google Workspace、GitHub、Salesforceなど）をスキャンし、機微データや漏洩リスクとなる誤設定を検出し、それに基づいた具体的なガイダンスに従いSWGポリシーを用いて対処します
• 機微データの移動の検出と制御 。例えば、資格情報や機密情報、財務情報、健康情報など、プロプライエタリかつ規制対象に分類されるデータなどがあります。

Cloudflare Oneのデータ保護に対するアプローチの詳細についてはブログ記事を参照してください。

セキュリティ第一の企業文化

前述のセキュリティサービスは、その実装に携わる人材とプロセスがあってこそ、その価値を発揮します。特に、これまでに到達したマイルストーンは、「セキュリティは全社の仕事の一部である」という原則をベースとした組織全体のセキュリティ第一の企業文化の賜物です。

例えば、Cloudflareは、24時間365日体制のセキュリティインシデント対応チーム（SIRT）を社内で運営しており、全従業員に対して、疑わしい活動を早期かつ高頻度で報告するように促しています。この明確な「不審なものを見つけたら報告するアプローチ」は防衛の最初の一手になり、フィードバックを返すことで良い循環を生み出します。当社は最前線から寄せられるこれらの報告を、当社のアプローチの改善に役立てています。2022年の標的型フィッシング事件のように、実際のサイバー攻撃が発生した場合、タイムリーなアラートが重要です。そのため、調査の結果SIRTに寄せられた従業員の報告の90%以上が良性であっても構いません。また、そうであることを期待しています。さらに、この誤報告を「非難しない」積極艇なアプローチは、自社サービスを内部展開した際のバグ報告にも適用されています。こうすることがサービスをより強固なものにすることに繋がっています。

Bourzikas氏は次のように述べています。「Cloudflareのセキュリティ第一の企業文化が仕事を楽にしてくれました。当社の従業員は、最高品質のセキュリティエクスペリエンスを確実に提供することに懸命に従事しており、その結果、当社のチームがお客様により良いサービスの構築に繋がっています。このコミットメントは、Cloudflare Oneプラットフォームで機能とサービスを拡張し続ける上で非常に重要です。」