2026-03-06 — Alex Dunbrack — 6分で読めます
Cloudflare Oneはここ数年で大きく成長しました。ネットワーク上のトラフィック保護から始まった取り組みは、エンドポイントやSaaSアプリケーションまで広がっています。なぜなら、仕事はそこ(エンドポイントやSaaS)で行われるからです。しかし市場が進化するにつれ、コアミッションは明確になりました:データセキュリティこそがエンタープライズセキュリティです。
単にコントロールを適用するために適用しているわけではありません。下流で発生する結果が高コストだからです:マルウェア、資格情報の窃取、セッションハイジャック、そして最も重要な事態――機密データが組織外に流出すること。単純なアクセスポリシーに見えるものでも、それがインシデント対応、顧客への影響、評判の損失へ繋がるチェーンの最初のリンクになり得ます。
振り返ると、ほとんどのセキュリティプログラムは(見た目が異なっても)同じ問いに答えようとしています:機密データはどこにあるか?誰がアクセスできるか?どの経路でデータが許可されないところへ移動し得るか?これがCloudflare Oneにおけるデータセキュリティのビジョンのバックボーンです:データが移動する場所を追跡する単一のモデルであり、分断されたコントロールの集合ではありません。
その意味するところは:
- 転送中の保護(Internet + SaaSアクセスを横断して)
- 保存時の可視化とコントロール(SaaS内で)
- 利用中の強制(エンドポイント上で)
- そして今、プロンプトでのカバレッジ(AIがエンタープライズデータの新しいインターフェースになるため)
これらを一つの接続されたシステムとして考えてください:可視化は何が起きているかを教え、コントロールはデータの移動先を制限し、強制はコンテンツがアプリから出るときのラストマイルのギャップを埋めます。これがエンドポイント→プロンプトの問題です:データはプロダクトの境界より速く動くため、ポリシーはツールではなくデータに従う必要があります。
以下では、そのビジョンを前進させる一連のアップデートを紹介します:ブラウザベースのRDPコントロール、操作レベルのログ、エンドポイントDLP、Microsoft 365 Copilot向けAIセキュリティスキャンなどです。
リモートアクセスでのデータスプロール防止:ブラウザベースRDPのクリップボード制御
ブラウザベースのRDPは、管理されたエンドポイントやインストールクライアントを前提にできない場合に実用的なリモートアクセス手段です。これは契約社員、パートナー、一時的アクセスのワークフローでよく利用されます。Cloudflare OneのブラウザベースRDPは、そのアクセスに可視性とポリシーコントロールを追加します。しかしブラウザ内でフルRDP体験を提供すると、問題は明確になります:特にクリップボード経由で、データがどこに移動できるかについてどれだけ細かく制御できるか。
本日、新たにデータを直接保護する設定を追加しました:ブラウザベースRDPのクリップボード制御。この新機能により、セキュリティ/IT管理者はユーザーがローカルデバイスとブラウザ内RDPセッション間で情報をコピー/ペーストできるかを決定できます。
クリップボード制限は生産性とセキュリティのトレードオフの典型例です。ユーザーが普段のワークフローでコピー&ペーストできないと、スクリーンショットを撮る、データを再入力する、非管理ツールに作業を移すなどして制御を回避してしまいます。クリップボード制御により、許容されるワークフローは許可し、安全でない箇所ではブロックする、といった精密な運用が可能になります。
ブラウザベースRDPのクリップボード制御を使えば、管理者はユーザーが期待するコピー/ペーストを有効にしつつ、方向性やコンテキストに対する細かな制御を強制できます。例えば、機密顧客情報を含むカスタマーサポートポータルにアクセスするユーザーについては、効率のためにセッション内へのコピー/ペーストは許可するが、セッション外へのコピー/ペーストはブロックして管理されていない端末へデータが落ちるのを防ぐ、という設定が可能です。
この機能はCloudflare Oneで利用可能になっており、ブラウザベースRDPアプリケーション向けのAccess Application Policies内の新しい設定として構成できます。
推測なしの可視化:ログ内での操作マッピング
リモートアクセスコントロールはリスクを低減しますが、それを適切に調整するには、SaaSアプリ内でユーザーが具体的にどのような操作を行っているかを理解する必要があります。私たちはoperation mapping(最近のブログ記事で詳細を紹介)というプロセスを用い、これらの操作に可視性を与え、SaaSサービス向けのポリシー作成を簡素化しています。
マッピングプロセスはHTTPリクエストのさまざまな要素を取り、それらを単一の操作として解釈します。例としてChatGPTでは「SendPrompt」といった操作になります。類似の操作を複数集めてApplication Control(例:ShareやUpload)にまとめます。その内容はHTTP policy builderで表示でき、簡単にポリシー作成が行えます。
本日、私たちはそのプロセスをさらに一歩進め、マッピングをログに拡張してSaaSアプリケーションの利用状況に関する可視性を強化しました。追加の設定なしに、operation mapsにマッチするトラフィックのログイベントに操作とApplication Controlが表示されるようになります。
ログの詳細には、アプリケーションコントロールのグループと特定の操作(例:ChatGPTのSendPromptのような)が表示されます。これにより調査やポリシー調整が迅速になります。追加されたコンテキストは利用パターンの理解、フォレンジック分析の加速、潜在的にリスキーな振る舞いの検出を助け、ユーザーへの影響を最小化しつつポリシーを微調整できます。
可視化は第一歩に過ぎません。特にクリップボードを通して移動するデータを保護するには、エンドポイント上での強制が必要です。
より良いエンドポイント保護:Cloudflare One Client上のオンデバイスDLP
現代の企業では、機密情報が管理されたアプリケーションから非管理のコンテキストへ日常的に移動します——多くはクリップボード経由です。リスクはファイルが組織外に出ることだけではありません。独自のコード断片や顧客レコードが未承認のLLMや個人用ツールに貼り付けられることもあります。
Cloudflare OneはすでにGatewayとDLPで転送中のデータ保護を支援し、CASBとAPI統合で保存時の可視化とコントロールを提供しています。今回は利用中のデータ保護を拡張し、Endpoint DLPをCloudflare One Clientに導入します。まずはクリップボード移動のような検出精度の高いワークフローから開始し、ブラウザタブを離れた瞬間にデータ保護が停止しないようにします。
これにより、保護されたSaaSアプリからコピーされた機密データがOSクリップボードに入った瞬間に「ポリシー無し」になることを防げます。Endpoint DLPを使えば、別のエージェントを導入したり複雑な統合をつなぎ合わせたりすることなく、ユーザーの指先にデータ保護を延長できます。
すでにCloudflare Oneをデータ保護で利用しているチームにとって、Endpoint DLPは利用中のデータに対する一貫した強制レイヤーを追加し、モデルを完成させます。これはエンドポイント→プロンプトの問題です:機密データがローカルにコピーできるなら、AIアシスタントのプロンプトへ貼り付けられるのも同じくらい容易です。利用中のデータを保護したら、次に避けられない問いが生まれます――同じデータがプロンプトで変換されたとき何が起きるのか?
見えない盲点を無くすAI可視化:API CASBによるM365 Copilotスキャン
昨年、Cloudflare OneとAPI CASBはOpenAI ChatGPT、Anthropic Claude、Google GeminiのAPI統合を提供する最初のサービスになりましたが、進化は止まりません。本日より、Cloudflare OneのAPI Cloud Access Security Broker(CASB)を使っているお客様は、Microsoft 365 Copilotのアクティビティをデータセキュリティの観点で分析できるようになります。これにはチャットやアップロードでDLP検出プロファイルに一致するものの検出も含まれます。
Copilotの検出結果は豊富なコンテキスト(ファイル参照、プロファイル一致、やり取りのメタデータ)とともに表示されるため、チームは生ログから始めるのではなく迅速にトリアージできます。
- Copilotでのユーザープロンプト、Copilotの応答、アップロードされたファイルがDLP検出プロファイルに一致した場合、それが検出されます。
- Microsoft 365 Copilotの検出結果は、Microsoft 365統合の一部としてデフォルトで利用可能です。
既にこの統合を使用している場合は、Cloudflare OneダッシュボードのIntegrationsに移動してMicrosoft 365接続を更新し、Copilotの検出結果の受信を開始してください。統合が未導入の場合は、Microsoft 365テナントを接続して、Copilotの使用状況と関連するデータセキュリティの検出結果への可視化を得てください。
AI製品のスプロールが続く中、私たちは2026年を通じて追加のAIアシスタントや主要SaaSプラットフォームへのカバレッジを大規模に拡張していきます。ご期待ください。
次に何が来るか:Cloudflare Oneにおける統合データセキュリティ
ここ数年でエンタープライズセキュリティはより多くのサーフェスに拡大しました:SaaS、非管理エンドポイント、リモートアクセスのパターン、そして今やAIアシスタント。しかし目的――機密データの保護――は変わっていません。本投稿のアップデートは一貫した方向性を反映しています:転送中、保存時、利用中、プロンプトでのデータに対する一貫した可視化と強制。つまりポリシーはプロダクトの境界ではなくデータに従います。
将来を見据えると、私たちのビジョンは「データセキュリティ製品内のデータセキュリティ機能」より広いものです。時間とともに、すべてのCloudflare Oneプロダクトはよりデータセキュリティに敏感になり、データ志向の設定性、可視化、コントロール、ガードレールがAccess、Gateway、エンドポイント強制、SaaS統合などチームが既に使っているワークフローに直接組み込まれていきます。
目標はシンプルです:ユーザーがどこで作業しても、データがどこへ移動しても、Cloudflare Oneは何が起きているかを説明し、それを制御する手助けをできるようにすることです。モダンな境界がアプリケーション、ブラウザ、エンドポイント、AIプロンプトに広がる中で、ポイントソリューションをつなぎ合わせることは運用が難しく回避されやすくなります。Accessコントロールからエンドポイント強制、AI可視化までデータセキュリティをCloudflare Oneに直接組み込み、これらのレイヤーを統合し続けることで、チームがエンドポイントからプロンプトまでのデータリスクとデータセキュリティ姿勢をより明確かつ完全に把握できるよう支援します。
始めるには、Cloudflare Oneを探索するか、プラットフォームとこれらの新機能について詳しくは当社チームにお問い合わせください。
Cloudflareの接続クラウドは、企業ネットワーク全体を保護し、顧客がInternetスケールのアプリケーションを効率的に構築するのを支援し、あらゆるウェブサイトやインターネットアプリケーションを高速化し、DDoS攻撃を防ぎ、ハッカーを遠ざけ、Zero Trustへの旅路を支援できます。任意のデバイスから1.1.1.1を訪れて、インターネットをより速く安全にする無料アプリを始めてください。私たちのより良いインターネット構築のミッションについて詳しく知るにはこちらから開始してください。新しいキャリアをお探しの場合は、オープンポジションもご確認ください。
タグ: server-island-start Cloudflare One Data Protection CASB Cloudflare Access WARP DLP Cloudflare Gateway