2026-03-10 | Bashyam Anant、Kelly White(ゲスト著者) | 読了時間: 4分
概要
新しいドメイン、アプリケーション、ウェブサイト、またはAPIエンドポイントが増えるたびに、組織のアタックサーフェスは拡大します。多くのチームでは、イノベーションとデプロイの速度が、それらをカタログ化して保護する能力を上回り、「ターゲットは多いがリソースは少ない(target-rich, resource-poor)」環境が生まれ、管理されていないインフラが攻撃者にとって容易な侵入口になりがちです。手動での一時的な監査を自動化されたセキュリティ姿勢の可視化に置き換えることは、インターネット上での成長を安全に行うために不可欠です。
そこで、Cloudflareのダッシュボード内でインターネット公開の盲点を継続的に発見、監視、修復できるようにする予定の統合を発表します:MastercardのRiskRecon攻撃面インテリジェンス機能です。Information Securityの実務者は、pay-as-you-goおよびEnterpriseアカウント向けにこの統合を2026年第3四半期にプレビューできるようになります。
Attack surface intelligenceは攻撃者より先にギャップを検知できる
MastercardのRiskRecon攻撃面インテリジェンスは、公開データのみを用いて組織のインターネット全体のフットプリントをマッピングし、外部の脆弱性を特定・優先付けします。外からのスキャンツールとして、即座に展開して「シャドーIT」や忘れられたサブドメイン、内部の認証付きスキャンでは見落とされがちな無許可のクラウドサーバを発見できます。攻撃者がリアルタイムで見るものを把握できれば、セキュリティチームはそれらが悪用される前に積極的にギャップを塞ぐことができます。
攻撃者が典型的に狙うセキュリティギャップ
Mastercardの2025年の調査(15,896組織のセキュリティ侵害経験を分析)では、以下が頻繁に見られる兆候でした(記事中のグラフ参照)。これらの分野で重大な姿勢ギャップがある組織は、良好なサイバー衛生を維持する企業に比べて、ランサムウェア攻撃を受ける可能性が5.3倍、データ侵害を受ける可能性が3.6倍高いと報告されています。
- パッチの未適用ソフトウェア
- 露出したサービス(例:データベース、リモート管理)
- 弱いアプリケーションセキュリティ(例:認証の欠如)
- 古いウェブ暗号化
なぜCloudflareとMastercardが連携するのか
このパートナーシップは、セキュリティギャップを特定するMastercardの攻撃面インテリジェンスと、それらを修復するCloudflareの能力を組み合わせます。組織はMastercardのデータを使って、忘れられたドメインや保護されていないクラウドインスタンスのようなシャドー資産を発見し、トラフィックをCloudflareのプロキシ経由にルーティングすることで直ちに保護を適用できます。これにより、基盤となるウェブサイトやアプリケーションを変更せずにセキュリティコントロールを展開できます。
Mastercardの約388,000組織、1800万以上のシステムを対象としたサンプルに基づく分析では、Cloudflareをプロキシとして使用しているシステムは使用していないシステムに比べて著しく良好なセキュリティ衛生を示しています:
- Software Patching: 53% fewer software vulnerabilities
- Web Encryption: 58% fewer SSL/TLS issues
- System Reputation: 98% fewer instances of malicious behavior (e.g. communicating with botnet command and control servers, hosting phishing sites).
(上記の技術用語および数値は原文のまま表記しています。)
Mastercardが提供するセキュリティ姿勢の洞察
これらの洞察は、公開アクセス可能なホスト、Webアプリケーション、および設定を受動的にスキャンして生成されます。主なカテゴリとチェックの例は以下の通りです。
| Category | Security Check | Description |
|---|
| Software Patching | Application Servers | Unpatched application server software. |
| Software Patching | OpenSSL | Unpatched OpenSSL. |
| Software Patching | CMS Patching | Unpatched content management system software. |
| Software Patching | Web Servers | Unpatched webserver software. |
| Application Security | CMS Authentication | Enumeration of content management system administration interfaces publicly exposed to the internet. |
| High Value System | Encryption | Enumeration of systems that collect sensitive data that do not have encryption implemented. |
| High Value System | Malicious Code | Enumeration of systems containing malicious code (Magecart). |
| Web Encryption | Certificate Expiration Date | SSL certificate expired. |
| Web Encryption | Certificate Valid Date | SSL certificate valid date not yet valid. |
| Web Encryption | Encryption Hash Algorithm | Weak SSL encryption hash algorithm. |
| Web Encryption | Encryption Key Length | Weak SSL encryption key length. |
| Web Encryption | Certificate Subject | Invalid SSL certificate subject. |
| Exposed Services / Network Filtering | Unsafe Network Services | Enumeration of unsafe network services running on the system such as databases (e.g. SQL Server, PostgreSQL) and remote access services (e.g. RDP, VNC). |
| Exposed Services / Network Filtering | IoT Devices | Enumeration of IoT devices such as printers, embedded system interfaces, etc. |
包括的なドメイン発見、継続的な姿勢可視化、そして修復
CloudflareのApplication Securityスイートに含まれるCloudflare Security Insightsは、既にCloudflareでプロキシされている任意のドメインに対して、DNSの誤設定、弱いウェブ暗号化、非アクティブなWAFルールなどのリスクを識別します。しかし大きなセキュリティギャップが残っています:存在を知らないドメインは保護できない、という点です。Mastercardとの統合によりこれらの盲点が解消されます。
Mastercardは1,200万を超える組織のインターネットフットプリントを継続的にプロファイリングすることで、まだCloudflareプロキシの背後にないドメイン、ホスト、ソフトウェアスタックを特定します。これによりSecurity InsightsはシャドーITや保護されていないホストを浮き彫りにし、それらをCloudflareのWAFやDDoS保護で守るための手段を提供します。
可視化は最初の一歩に過ぎません。発見された資産の重要度(criticality)を理解することが、セキュリティチームが所見の優先順位を付けるために重要です。各ホストには以下のような重要度が割り当てられます:
- High Criticality: 機密データを収集する、認証が必要、データベースリスナーやリモートアクセスなどの機微なネットワークサービスを実行しているホスト。
- Medium Criticality: 同じクラスCネットワーク上に存在するなど、高重要度システムに隣接するブロシュアサイトを実行しているホスト。
- Low Criticality: 重要なシステムに隣接していないブロシュアサイトを実行しているホスト。
以下は、組織に関連する多くのドメインを発見した架空の例です。発見されたドメインのうち、現在Cloudflareでプロキシされているのは1つだけです。Security Insights内では、シャドーなドメインやホストのこのレベルの詳細を可視化できます。
| Domain | Protected by Cloudflare | Host (IP) | Criticality | Location | Hosting Provider |
|---|
| search-engine.net | Yes | portal.search-engine.net (10.XXX.XX.5) | HIGH | Springfield, United States | Cloudflare |
| zenith-industries.com | No | vpn.zenith-industries.com (10.XXX.XXX.106) | HIGH | Helsinki, Finland | CloudNode-Services |
| stratus-global.com | No | store.stratus-global.com (10.XXX.XXX.124) | HIGH | Munich, Germany | SwiftStream-Tech |
| core-logic.cl | No | extranet.core-logic.cl (10.XXX.XXX.178) | HIGH | Santiago, Chile | SecureCanopy Ltd. |
| vanguard-labs.com | No | extranet.vanguard-labs.com (10.XXX.XX.197) | HIGH | Metropolis, United States | GlobalSoft Systems |
| fusion-id.com | No | fusion-id.com (10.XXX.XXX.146) | HIGH | Prague, Czechia | EuroData-Hub |
| norden-biotech.no | No | store.norden-biotech.no (10.XXX.XX.124) | MEDIUM | Chicago, United States | SwiftStream-Tech |
| norden-biotech.se | No | store.norden-biotech.se (10.XXX.XX.124) | MEDIUM | Chicago, United States | SwiftStream-Tech |
(上は組織に関連するシャドードメインと保護されていないホストの例)
Mastercardは、ソフトウェアのパッチ適用状況、露出したネットワークサービス(例:データベース、リモートアクセス)、アプリケーションセキュリティ(例:認証されていないCMS)など、インターネット公開システムのセキュリティ姿勢に継続的に可視性を提供します。これによりCloudflare Security Insightsを補完します。
可視化からアクションへ
これらの洞察は、実行につながることが重要です。単にドメインやホストがリスクにあると知らせるだけでなく、Cloudflare Security Insightsは修復に向けたガイダンスを提供します。可能な対処例:
- Cloudflareプロキシを有効化(シャドーゾーンやホストに対するDDoSおよびボット保護を即座に提供)
- セキュリティコントロールを有効化(例:Web Application Firewall (WAF) のオン化)
- 特定のスキャンで特定されたリスクを軽減するためにTLS暗号の強化を適用
今後の予定:更新されたSecurity Insightsダッシュボード
現在、MastercardのRiskRecon攻撃面インテリジェンスをCloudflare Security Insightsダッシュボードに統合し、シャドードメイン、保護されていないホスト、およびそれに関連する姿勢ギャップを即座に可視化できるよう作業を進めています。インサイト量の増加に伴い、ロードマップにはリスクスコアリングとAI支援の診断パスの構築も含まれます。これにより、単にインサイトを表示するだけでなく、(例:未パッチホストへのトラフィックなどの)関連する相関関係を提案し、それを無効化するために必要な具体的なWAFルールやAPI Shieldの設定を示唆するダッシュボードを目指します。
こちらのウェイトリストにぜひご参加ください。
Cloudflareのconnectivity cloudは、企業ネットワーク全体を保護し、顧客がインターネット規模のアプリケーションを効率的に構築するのを支援し、あらゆるウェブサイトやインターネットアプリケーションを加速し、DDoS攻撃を撃退し、ハッカーから守り、Zero Trustへの道のりを支援します。任意のデバイスから1.1.1.1にアクセスして、インターネットをより高速かつ安全にする無料アプリを試してください。私たちのミッションについて詳しくはstart hereをご覧ください。新たなキャリアをお探しの場合は、open positionsをご確認ください。
タグ: Security Posture Management, Security Posture, Application Security, Risk Management