リスクインサイトを実用的な保護に変換:CloudflareとMastercardでセキュリティ体制を向上
2026-03-10
Bashyam Anant
Kelly White (ゲスト著者)
4分で読める
新しいドメイン、アプリケーション、ウェブサイト、またはAPIエンドポイントは、組織の攻撃対象領域を拡大します。多くのチームにとって、イノベーションとデプロイメントのスピードは、これらの資産をカタログ化し保護する能力を上回っており、しばしば「標的が豊富でリソースが乏しい」環境を生み出し、管理されていないインフラストラクチャが攻撃者にとって簡単な侵入ポイントとなっています。
手動の時点監査を自動化されたセキュリティ体制の可視性に置き換えることは、インターネットプレゼンスを安全に拡大するために重要です。そのため、Cloudflareダッシュボード内でインターネット向けの盲点の継続的な発見、監視、修復を可能にする統合の計画を発表できることを嬉しく思います:MastercardのRiskRecon攻撃対象領域インテリジェンス機能です。
従量課金制およびEnterpriseアカウントの情報セキュリティ実務者は、2026年第3四半期にこの統合をプレビューできるようになります。
攻撃対象領域インテリジェンスは攻撃者より先にセキュリティギャップを発見できる
MastercardのRiskRecon攻撃対象領域インテリジェンスは、公開アクセス可能なデータのみを使用して組織のインターネット全体のフットプリントをマッピングし、外部の脆弱性を特定して優先順位を付けます。外部からのスキャナーとして、このソリューションは即座にデプロイして「シャドーIT」、忘れられたサブドメイン、内部の認証スキャンでは見逃されがちな不正なクラウドサーバーを発見できます。
攻撃者が見ているものをリアルタイムで確認することで、セキュリティチームは悪用される前にセキュリティギャップを積極的に閉じることができます。
しかし、攻撃者は通常どのようなセキュリティギャップを悪用しようとしているのでしょうか?セキュリティ侵害を経験した15,896の組織を対象とした2025年の調査で、Mastercardは、パッチが適用されていないソフトウェア、露出したサービス(データベース、リモート管理など)、弱いアプリケーションセキュリティ(認証の欠如など)、古いウェブ暗号化が頻繁な特徴であることを発見しました。
同じ調査では、これらの分野で重大なサイバーセキュリティ体制のギャップがある組織は、良好なサイバーセキュリティ衛生を維持している企業と比較して、ランサムウェア攻撃を受ける可能性が5.3倍、データ侵害を受ける可能性が3.6倍高いことも判明しました。
CloudflareとMastercardがパートナーシップを組む理由
このパートナーシップは、セキュリティギャップを特定するMastercardの攻撃対象領域インテリジェンスと、それらを修正するCloudflareの能力を組み合わせます。組織はMastercardのデータを使用して、忘れられたドメインや保護されていないクラウドインスタンスなどのシャドー資産を見つけ、Cloudflareのプロキシを通じてトラフィックをルーティングすることでそれらを保護できます。これにより、基盤となるウェブサイトやアプリケーションを変更することなく、セキュリティ制御を即座にデプロイできます。
1800万以上のシステムにまたがる約388,000の組織のサンプルに基づいて、Mastercardの攻撃対象領域インテリジェンスは、Cloudflareをプロキシとして使用するシステムが、使用しないシステムよりも大幅に優れたセキュリティ衛生を持っていることを示しています:
- ソフトウェアパッチ適用: ソフトウェア脆弱性が53%少ない
- ウェブ暗号化: SSL/TLS問題が58%少ない
- システム評価: 悪意のある行動(ボットネットコマンド&コントロールサーバーとの通信、フィッシングサイトのホスティングなど)が98%少ない
以下の表は、Mastercardが提供するセキュリティ体制インサイトの詳細を示しています。これらのインサイトは、公開アクセス可能なホスト、ウェブアプリケーション、設定を受動的にスキャンすることで生成されます。
| カテゴリ | セキュリティチェック | 説明 |
|---|
| ソフトウェアパッチ適用 | アプリケーションサーバー | パッチが適用されていないアプリケーションサーバーソフトウェア |
| OpenSSL | パッチが適用されていないOpenSSL |
| CMSパッチ適用 | パッチが適用されていないコンテンツ管理システムソフトウェア |
| ウェブサーバー | パッチが適用されていないウェブサーバーソフトウェア |
| アプリケーションセキュリティ | CMS認証 | インターネットに公開されているコンテンツ管理システム管理インターフェースの列挙 |
| 高価値システム暗号化 | 暗号化が実装されていない機密データを収集するシステムの列挙 |
| 悪意のあるコード | 悪意のあるコード(Magecart)を含むシステムの列挙 |
| ウェブ暗号化 | 証明書有効期限 | SSL証明書の期限切れ |
| 証明書有効日 | SSL証明書の有効日がまだ有効でない |
| 暗号化ハッシュアルゴリズム | 弱いSSL暗号化ハッシュアルゴリズム |
| 暗号化キー長 | 弱いSSL暗号化キー長 |
| 証明書サブジェクト | 無効なSSL証明書サブジェクト |
| 露出サービス/ネットワークフィルタリング | 安全でないネットワークサービス | データベース(SQL Server、PostgreSQLなど)やリモートアクセスサービス(RDP、VNCなど)などの安全でないネットワークサービスの列挙 |
| IoTデバイス | プリンター、組み込みシステムインターフェースなどのIoTデバイスの列挙 |
包括的なドメイン発見、継続的な体制可視性、修復
CloudflareのApplication Securityスイート内のCloudflare Security Insightsは現在、Cloudflareによってすでにプロキシされているドメインに対して、DNS設定ミス、弱いウェブ暗号化、非アクティブなWAFルールなどのリスクを特定しています。しかし、重要なセキュリティギャップが残っています:存在を知らないドメインは保護できません。
Mastercardとの統合により、これらの盲点が解消されます。1200万以上の組織のインターネットフットプリントを継続的にプロファイリングすることで、Mastercardは、Cloudflareプロキシの背後にまだない場合でも、あなたの会社に関連するドメイン、ホスト、ソフトウェアスタックを特定します。これにより、Security InsightsはシャドーITと保護されていないホストを表面化し、CloudflareのWAFとDDoS保護でそれらを保護できるようになります。
可視性は最初のステップに過ぎません。発見された資産の重要度を理解することで、セキュリティチームは発見事項に優先順位を付けることができます。各ホストには重要度レベルが割り当てられます:
- 高重要度: 機密データを収集する、認証を必要とする、またはデータベースリスナーやリモートアクセスなどの機密ネットワークサービスを実行するホストに割り当て
- 中重要度: 同じクラスCネットワーク上に存在するなど、高重要度システムに隣接するブローシャーウェブサイトを実行するホストに割り当て
- 低重要度: 重要なシステムに隣接していないブローシャーウェブサイトを実行するホストに割り当て
以下は、認識していない多くのドメインを持つ組織の架空の例です。これらの発見されたドメインのうち、現在Cloudflareによってプロキシされているのは1つだけです。Security Insights内で、シャドードメインとホストについてこのレベルの詳細を視覚化できるようになります。
| ドメイン | Cloudflareで保護 | ホスト(IP) | 重要度 | 場所 | ホスティングプロバイダー |
|---|
| search-engine.net | はい | portal.search-engine.net (10.XXX.XX.5) | 高 | Springfield, United States | Cloudflare |
| zenith-industries.com | いいえ | vpn.zenith-industries.com (10.XXX.XXX.106) | 高 | Helsinki, Finland | CloudNode-Services |
| stratus-global.com | いいえ | store.stratus-global.com (10.XXX.XXX.124) | 高 | Munich, Germany | SwiftStream-Tech |
| core-logic.cl | いいえ | extranet.core-logic.cl (10.XXX.XXX.178) | 高 | Santiago, Chile | SecureCanopy Ltd. |
| vanguard-labs.com | いいえ | extranet.vanguard-labs.com (10.XXX.XX.197) | 高 | Metropolis, United States | GlobalSoft Systems |
| fusion-id.com | いいえ | fusion-id.com (10.XXX.XXX.146) | 高 | Prague, Czechia | EuroData-Hub |
| norden-biotech.no | いいえ | store.norden-biotech.no (10.XXX.XX.124) | 中 | Chicago, United States | SwiftStream-Tech |
| norden-biotech.se | いいえ | store.norden-biotech.se (10.XXX.XX.124) | 中 | Chicago, United States | SwiftStream-Tech |
組織に関連するシャドードメインと保護されていないホストの例
Mastercardはまた、ソフトウェアパッチ適用、露出したネットワークサービス(データベース、リモートアクセスなど)、アプリケーションセキュリティ(認証されていないCMSなど)などの分野でのインターネット向けシステムのセキュリティ体制への継続的な可視性も提供し、Cloudflare Security Insightsを補完します。
これらのインサイトは、行動につながる場合にのみ有用です。ドメインやホストがリスクにさらされていることを伝えるだけでなく、Cloudflare Security Insightsはそれらを修正するためのガイダンスを提供します。可能なステップには、Cloudflareプロキシの有効化(およびそれに伴うシャドーゾーンとホストのDDoSとボット保護)、セキュリティ制御の有効化(Web Application Firewall、WAFの有効化など)、スキャンで特定された特定のリスクを軽減するためのより厳格なTLS暗号化の実施が含まれます。
次のステップ:更新されたSecurity Insightsダッシュボード
現在、MastercardのRiskRecon攻撃対象領域インテリジェンスをCloudflare Security Insightsダッシュボードに統合して、シャドードメイン、保護されていないホスト、およびそれらに関連する体制ギャップへの即座の可視性を提供する作業を行っています。
インサイトの量が増加するにつれ、私たちのロードマップにはリスクスコアリングとAI支援診断パスの構築も含まれています。これは、インサイトを表示するだけでなく、追加の関連する相関関係(パッチが適用されていないホストへのトラフィックなど)を提案し、それを無力化するために必要な特定のWAFルールやAPI Shield設定を提案するダッシュボードを意味します。
こちらでウェイトリストにご参加いただければと思います。
Cloudflareのconnectivity cloudは企業ネットワーク全体を保護し、顧客がインターネット規模のアプリケーションを効率的に構築することを支援し、あらゆるウェブサイトやインターネットアプリケーションを高速化し、DDoS攻撃を防御し、ハッカーを寄せ付けないようにし、Zero Trustへの道のりをサポートします。
あらゆるデバイスから1.1.1.1にアクセスして、インターネットをより高速で安全にする無料アプリを始めましょう。より良いインターネットの構築を支援するという私たちの使命について詳しく知るには、こちらから始めてください。新しいキャリアの方向性をお探しの場合は、求人情報をご確認ください。