DocsDigest
一覧へLanguage: EN
OpenAICloudflare2026/03/10 5:05

Translating risk insights into actionable protection: leveling up security posture with Cloudflare and Mastercard

要点だけを先に読めるように短く再構成したセクションです。

元記事
OpenAIClaude

Quick Digest

要約

要点だけを先に読めるように短く再構成したセクションです。

openaijamodel: gpt-5-mini-2025-08-07

CloudflareとMastercardの連携で攻撃面の可視化と即時緩和を実現

attack-surfacerisk-reconcloudflaresecurity-insightswaftls

Key Points

  • シャドウIT検出
  • 継続的外部スキャン
  • Cloudflareで即時緩和

Summary

CloudflareはMastercardのRiskRecon攻撃面インテリジェンスをCloudflare Security Insightsに統合する予定を発表しました。外部からの継続的スキャンによりシャドウドメイン、未保護ホスト、未パッチや弱い暗号化などの外向きの脆弱性を検出し、Cloudflareプロキシ、WAF、TLS強制などで即時に対処できるようにします。Pay-as-you-goおよびEnterpriseアカウント向けに2026年第3四半期にプレビュー提供予定です。

Key Points

  • 外部視点の自動検出: Mastercard RiskReconがインターネット全体をパッシブにプロファイルし、シャドウITや忘れられたサブドメイン、未保護のクラウドインスタンスを発見します。
  • 優先度付けされた所見: 各ホストにHigh/Medium/Lowのクリティカリティを付与し、機密性や隣接性に基づいて優先順位を提示します。
  • 改善効果の実データ: Cloudflareをプロキシに使うシステムはソフトウェア脆弱性が53%少なく、SSL/TLS問題が58%少なく、悪性挙動は98%減少という分析結果。
  • リスクの典型例: 未パッチソフト、公開データベースやRDP等の露出サービス、認証欠如のアプリ、古い暗号化が多くの侵害で共通要因(ランサムウェア発生率5.3x、データ侵害3.6x増)。
  • アクション誘導: 所見から直接的にプロキシ有効化、WAF有効化、TLS設定強化、API Shield設定などの対策手順を案内します。
  • 今後のロードマップ: リスクスコアリングとAI支援の診断フローを追加し、所見に対する具体的ルールや相関(例: トラフィック→未パッチホスト)を提示予定。

Recommended Actions (エンジニア向け)

  • 第3四半期のプレビューに申し込み、社内ドメインのシャドウIT検出を優先で実行する。
  • 高クリティカリティと判断されたホストを最優先でプロキシ化(Cloudflare経由にする)し、WAFとDDoS防御を有効化する。
  • 自動化ワークフローを準備: 所見→チケット発行→プロキシ/WAF/TLS適用までの運用手順をCI/CDやSREプレイブックに組み込む。
  • 発見された未パッチや露出サービスは脆弱性管理プロセスでトリアージし、パッチ適用やサービス制限を実施する。

実務上の注意点

  • RiskReconは公開情報を基にした外部スキャンのため、内部資産管理(CMDB)との照合が必須。
  • 大量の所見に備えてリスクスコアと自動エスカレーションルールの導入を検討する。
  • プレビュー段階で運用負荷を評価し、必要に応じてSOC/IR手順を更新する。

Full Translation

翻訳

原文の流れを保ったまま読める翻訳セクションです。

openaijamodel: gpt-5-mini-2025-08-07

リスクインサイトを実行可能な保護へ:CloudflareとMastercardでセキュリティ体制をレベルアップ

2026-03-10 | Bashyam Anant、Kelly White(ゲスト著者) | 読了時間: 4分

概要

新しいドメイン、アプリケーション、ウェブサイト、またはAPIエンドポイントが増えるたびに、組織のアタックサーフェスは拡大します。多くのチームでは、イノベーションとデプロイの速度が、それらをカタログ化して保護する能力を上回り、「ターゲットは多いがリソースは少ない(target-rich, resource-poor)」環境が生まれ、管理されていないインフラが攻撃者にとって容易な侵入口になりがちです。手動での一時的な監査を自動化されたセキュリティ姿勢の可視化に置き換えることは、インターネット上での成長を安全に行うために不可欠です。

そこで、Cloudflareのダッシュボード内でインターネット公開の盲点を継続的に発見、監視、修復できるようにする予定の統合を発表します:MastercardのRiskRecon攻撃面インテリジェンス機能です。Information Securityの実務者は、pay-as-you-goおよびEnterpriseアカウント向けにこの統合を2026年第3四半期にプレビューできるようになります。

Attack surface intelligenceは攻撃者より先にギャップを検知できる

MastercardのRiskRecon攻撃面インテリジェンスは、公開データのみを用いて組織のインターネット全体のフットプリントをマッピングし、外部の脆弱性を特定・優先付けします。外からのスキャンツールとして、即座に展開して「シャドーIT」や忘れられたサブドメイン、内部の認証付きスキャンでは見落とされがちな無許可のクラウドサーバを発見できます。攻撃者がリアルタイムで見るものを把握できれば、セキュリティチームはそれらが悪用される前に積極的にギャップを塞ぐことができます。

攻撃者が典型的に狙うセキュリティギャップ

Mastercardの2025年の調査(15,896組織のセキュリティ侵害経験を分析)では、以下が頻繁に見られる兆候でした(記事中のグラフ参照)。これらの分野で重大な姿勢ギャップがある組織は、良好なサイバー衛生を維持する企業に比べて、ランサムウェア攻撃を受ける可能性が5.3倍、データ侵害を受ける可能性が3.6倍高いと報告されています。

  • パッチの未適用ソフトウェア
  • 露出したサービス(例:データベース、リモート管理)
  • 弱いアプリケーションセキュリティ(例:認証の欠如)
  • 古いウェブ暗号化

なぜCloudflareとMastercardが連携するのか

このパートナーシップは、セキュリティギャップを特定するMastercardの攻撃面インテリジェンスと、それらを修復するCloudflareの能力を組み合わせます。組織はMastercardのデータを使って、忘れられたドメインや保護されていないクラウドインスタンスのようなシャドー資産を発見し、トラフィックをCloudflareのプロキシ経由にルーティングすることで直ちに保護を適用できます。これにより、基盤となるウェブサイトやアプリケーションを変更せずにセキュリティコントロールを展開できます。

Mastercardの約388,000組織、1800万以上のシステムを対象としたサンプルに基づく分析では、Cloudflareをプロキシとして使用しているシステムは使用していないシステムに比べて著しく良好なセキュリティ衛生を示しています:

  • Software Patching: 53% fewer software vulnerabilities
  • Web Encryption: 58% fewer SSL/TLS issues
  • System Reputation: 98% fewer instances of malicious behavior (e.g. communicating with botnet command and control servers, hosting phishing sites).

(上記の技術用語および数値は原文のまま表記しています。)

Mastercardが提供するセキュリティ姿勢の洞察

これらの洞察は、公開アクセス可能なホスト、Webアプリケーション、および設定を受動的にスキャンして生成されます。主なカテゴリとチェックの例は以下の通りです。

CategorySecurity CheckDescription
Software PatchingApplication ServersUnpatched application server software.
Software PatchingOpenSSLUnpatched OpenSSL.
Software PatchingCMS PatchingUnpatched content management system software.
Software PatchingWeb ServersUnpatched webserver software.
Application SecurityCMS AuthenticationEnumeration of content management system administration interfaces publicly exposed to the internet.
High Value SystemEncryptionEnumeration of systems that collect sensitive data that do not have encryption implemented.
High Value SystemMalicious CodeEnumeration of systems containing malicious code (Magecart).
Web EncryptionCertificate Expiration DateSSL certificate expired.
Web EncryptionCertificate Valid DateSSL certificate valid date not yet valid.
Web EncryptionEncryption Hash AlgorithmWeak SSL encryption hash algorithm.
Web EncryptionEncryption Key LengthWeak SSL encryption key length.
Web EncryptionCertificate SubjectInvalid SSL certificate subject.
Exposed Services / Network FilteringUnsafe Network ServicesEnumeration of unsafe network services running on the system such as databases (e.g. SQL Server, PostgreSQL) and remote access services (e.g. RDP, VNC).
Exposed Services / Network FilteringIoT DevicesEnumeration of IoT devices such as printers, embedded system interfaces, etc.

包括的なドメイン発見、継続的な姿勢可視化、そして修復

CloudflareのApplication Securityスイートに含まれるCloudflare Security Insightsは、既にCloudflareでプロキシされている任意のドメインに対して、DNSの誤設定、弱いウェブ暗号化、非アクティブなWAFルールなどのリスクを識別します。しかし大きなセキュリティギャップが残っています:存在を知らないドメインは保護できない、という点です。Mastercardとの統合によりこれらの盲点が解消されます。

Mastercardは1,200万を超える組織のインターネットフットプリントを継続的にプロファイリングすることで、まだCloudflareプロキシの背後にないドメイン、ホスト、ソフトウェアスタックを特定します。これによりSecurity InsightsはシャドーITや保護されていないホストを浮き彫りにし、それらをCloudflareのWAFやDDoS保護で守るための手段を提供します。

可視化は最初の一歩に過ぎません。発見された資産の重要度(criticality)を理解することが、セキュリティチームが所見の優先順位を付けるために重要です。各ホストには以下のような重要度が割り当てられます:

  • High Criticality: 機密データを収集する、認証が必要、データベースリスナーやリモートアクセスなどの機微なネットワークサービスを実行しているホスト。
  • Medium Criticality: 同じクラスCネットワーク上に存在するなど、高重要度システムに隣接するブロシュアサイトを実行しているホスト。
  • Low Criticality: 重要なシステムに隣接していないブロシュアサイトを実行しているホスト。

以下は、組織に関連する多くのドメインを発見した架空の例です。発見されたドメインのうち、現在Cloudflareでプロキシされているのは1つだけです。Security Insights内では、シャドーなドメインやホストのこのレベルの詳細を可視化できます。

DomainProtected by CloudflareHost (IP)CriticalityLocationHosting Provider
search-engine.netYesportal.search-engine.net (10.XXX.XX.5)HIGHSpringfield, United StatesCloudflare
zenith-industries.comNovpn.zenith-industries.com (10.XXX.XXX.106)HIGHHelsinki, FinlandCloudNode-Services
stratus-global.comNostore.stratus-global.com (10.XXX.XXX.124)HIGHMunich, GermanySwiftStream-Tech
core-logic.clNoextranet.core-logic.cl (10.XXX.XXX.178)HIGHSantiago, ChileSecureCanopy Ltd.
vanguard-labs.comNoextranet.vanguard-labs.com (10.XXX.XX.197)HIGHMetropolis, United StatesGlobalSoft Systems
fusion-id.comNofusion-id.com (10.XXX.XXX.146)HIGHPrague, CzechiaEuroData-Hub
norden-biotech.noNostore.norden-biotech.no (10.XXX.XX.124)MEDIUMChicago, United StatesSwiftStream-Tech
norden-biotech.seNostore.norden-biotech.se (10.XXX.XX.124)MEDIUMChicago, United StatesSwiftStream-Tech

(上は組織に関連するシャドードメインと保護されていないホストの例)

Mastercardは、ソフトウェアのパッチ適用状況、露出したネットワークサービス(例:データベース、リモートアクセス)、アプリケーションセキュリティ(例:認証されていないCMS)など、インターネット公開システムのセキュリティ姿勢に継続的に可視性を提供します。これによりCloudflare Security Insightsを補完します。

可視化からアクションへ

これらの洞察は、実行につながることが重要です。単にドメインやホストがリスクにあると知らせるだけでなく、Cloudflare Security Insightsは修復に向けたガイダンスを提供します。可能な対処例:

  • Cloudflareプロキシを有効化(シャドーゾーンやホストに対するDDoSおよびボット保護を即座に提供)
  • セキュリティコントロールを有効化(例:Web Application Firewall (WAF) のオン化)
  • 特定のスキャンで特定されたリスクを軽減するためにTLS暗号の強化を適用

今後の予定:更新されたSecurity Insightsダッシュボード

現在、MastercardのRiskRecon攻撃面インテリジェンスをCloudflare Security Insightsダッシュボードに統合し、シャドードメイン、保護されていないホスト、およびそれに関連する姿勢ギャップを即座に可視化できるよう作業を進めています。インサイト量の増加に伴い、ロードマップにはリスクスコアリングとAI支援の診断パスの構築も含まれます。これにより、単にインサイトを表示するだけでなく、(例:未パッチホストへのトラフィックなどの)関連する相関関係を提案し、それを無効化するために必要な具体的なWAFルールやAPI Shieldの設定を示唆するダッシュボードを目指します。

こちらのウェイトリストにぜひご参加ください。

Cloudflareのconnectivity cloudは、企業ネットワーク全体を保護し、顧客がインターネット規模のアプリケーションを効率的に構築するのを支援し、あらゆるウェブサイトやインターネットアプリケーションを加速し、DDoS攻撃を撃退し、ハッカーから守り、Zero Trustへの道のりを支援します。任意のデバイスから1.1.1.1にアクセスして、インターネットをより高速かつ安全にする無料アプリを試してください。私たちのミッションについて詳しくはstart hereをご覧ください。新たなキャリアをお探しの場合は、open positionsをご確認ください。

タグ: Security Posture Management, Security Posture, Application Security, Risk Management