エンドポイントからプロンプトまで:Cloudflare Oneにおける統合データセキュリティビジョン
2026-03-06
Alex Dunbrack
6分で読める
Cloudflare Oneは長年にわたって大きく成長してきました。ネットワークでのトラフィック保護から始まったものが、今ではエンドポイントやSaaSアプリケーションまで範囲を広げています。なぜなら、それが実際に仕事が行われる場所だからです。しかし、市場が進化するにつれて、核となる使命が明確になってきました:データセキュリティこそが企業セキュリティなのです。その理由をご説明します。
私たちは制御のための制御を実施しているわけではありません。下流の結果がコストを伴うからこそ実施しているのです:マルウェア、認証情報の盗難、セッションハイジャック、そして最終的に最も重要なこと:機密データが組織から流出することです。単純なアクセスポリシーに見えるものが、インシデント対応、顧客への影響、評判の損失で終わる連鎖の最初の環になる可能性があります。
一歩下がって見ると、ほとんどのセキュリティプログラム(書面上では異なって見えるものでも)は、同じ質問に答えようとしています:
- 機密データはどこにあるのか?
- 誰がそれにアクセスできるのか?
- それがあるべきでない場所に移動する経路は何か?
これがCloudflare Oneにおける私たちのデータセキュリティビジョンの基盤です:サイロ化された制御の寄せ集めではなく、データが移動する場所全体でデータを追跡する単一のモデルです。
それは以下を意味します:
- 転送中の保護(インターネット + SaaSアクセス全体)
- 保存時の可視性と制御(SaaS内部)
- 使用時の実施(エンドポイント上)
- そして今、プロンプトでのカバレッジ(AIが企業データへの新しいインターフェースになるにつれて)
これらを一つの接続されたシステムとして考えてください:可視性は何が起こっているかを教え、制御はデータが移動できる場所を制限し、実施はコンテンツがアプリを離れる際のラストマイルのギャップを埋めます。
これがエンドポイントからプロンプトまでの問題です:データは製品の境界よりも速く移動するため、ポリシーはツールではなくデータに従う必要があります。
この投稿では、そのビジョンを前進させる一連のアップデートについて説明します。ブラウザベースのRemote Desktop Protocol(RDP)制御から、操作レベルのログ記録、エンドポイントデータ損失防止(DLP)、Microsoft 365 CopilotのAIセキュリティスキャンまでです。
データ拡散のないリモートアクセス:ブラウザベースRDPクリップボード制御
ブラウザベースRDPは、管理されたエンドポイントやインストールされたクライアントを前提とできない場合(請負業者、パートナー、時々のアクセスワークフローで一般的)にリモートアクセスを提供する実用的な方法です。Cloudflare OneのブラウザベースRDPは、そのアクセスに可視性とポリシー制御を追加します。
しかし、ブラウザで完全なRDP体験を提供すると、問題は単純になります:特にクリップボード経由で、データがどこに移動できるかについて、どの程度詳細な制御を持っているでしょうか?
本日、私たちはデータを直接保護する設定を追加しています:ブラウザベースRDPのクリップボード制御です。
この新機能により、セキュリティおよびIT管理者は、ユーザーがローカルデバイスとブラウザベースRDPセッション間で情報をコピーまたは貼り付けできるかどうかを決定できるようになります。
クリップボード制限は、生産性とセキュリティのトレードオフの完璧な例です。ユーザーが依存するワークフローでコピー&ペーストができない場合、スクリーンショットを撮る、データを再入力する、または管理されていないツールに作業をシフトするなどして、制御を回避するでしょう。クリップボード制御により、精密になることができます:安全な場所ではワークフローを許可し、そうでない場所ではブロックします。
ブラウザベースRDPのクリップボード制御により、管理者は、方向性とコンテキストに対する詳細な制御を実施しながら、ユーザーが期待するコピー&ペーストワークフローを有効にできます。
例えば、ユーザーが機密顧客情報を含む顧客サポートポータルにアクセスする場合、生産性のためにセッションへのコピー&ペーストは許可するが、データが管理されていないエンドポイントに到達することを防ぐためにセッションからのコピー&ペーストはブロックする、といったことが可能です。
この機能は現在Cloudflare Oneで利用可能で、ブラウザベースRDPアプリのAccess Application Policies内の新しい設定として構成できます。
推測のない可視性:ログでの操作マッピング
リモートアクセス制御はリスクを軽減しますが、それらを適切に調整するには、ユーザーがSaaSアプリ内で実行している具体的なアクションを理解する必要もあります。
私たちは操作マッピングと呼ばれるプロセス(最近のブログ投稿で詳述)を使用して、これらのアクションに可視性を提供し、顧客がSaaSサービスのポリシーを書く方法を簡素化しています。
私たちのマッピングプロセスは、HTTPリクエストのさまざまな要素を取得し、それらを単一の操作として解釈します。例えば、ChatGPTの例では'SendPrompt'です。類似のアクションを実行する複数の操作を、'Share'や'Upload'などのApplication Controlに収集します。[何?]はHTTPポリシービルダーで表示可能で、簡単なポリシー作成を可能にします。
本日、私たちはそのプロセスをさらに一歩進めて、ログを充実させ、組織でのSaaSアプリケーションの使用方法についてより大きな可視性を提供します。そのマッピングをログ記録に拡張することによってです。
追加の構成なしに、操作とアプリケーション制御が、私たちの操作マップに一致するトラフィックのログイベントに表示されるようになります。
ログの詳細では、アプリケーション制御グループと具体的な操作(例:ChatGPTのSendPrompt)の両方が表示されます。これにより、調査とポリシー調整が高速化されます。
追加されたコンテキストは、使用パターンの理解、フォレンジック分析の加速、潜在的にリスクの高い行動の発見に役立ち、推測やユーザーへの混乱を少なくしてポリシーを調整できます。
可視性はステップ1です。使用中のデータ、特にクリップボードを通じて移動するものを保護するには、エンドポイントでの実施も必要です。
より良いエンドポイント保護:Cloudflare One Clientでのデバイス上DLP
現代の企業では、機密情報が管理されたアプリケーションから管理されていないコンテキストに定期的に移動します。多くの場合、クリップボード経由です。リスクは、ファイルが組織を離れることだけではありません。独自のコードの断片や顧客記録が、承認されていない大規模言語モデル(LLM)や個人ツールに貼り付けられることもあります。
Cloudflare Oneは既に、GatewayとDLPで転送中のデータ保護を支援し、CASBとそのAPI統合を通じて保存時の可視性と制御を提供しています。今、私たちはCloudflare One Clientにエンドポイント DLP実施を導入することで、使用中のデータへのカバレッジを拡張しています。クリップボード移動などの高シグナルワークフローから始めて、データ保護がコンテンツがブラウザタブを離れた瞬間に停止しないようにします。
これは、保護されたSaaSアプリからコピーされた機密データが、OSクリップボードに到達した瞬間に「ポリシーフリー」コンテンツになることがないことを意味します。
エンドポイント DLPにより、チームは第2のエージェントを展開したり、複雑な統合を組み合わせたりすることなく、ユーザーの指先までデータ保護を拡張できます。
既にデータ保護でCloudflare Oneを使用しているチームにとって、エンドポイント DLPは使用中のデータに一貫した実施レイヤーを追加することでモデルを完成させます。
これがエンドポイントからプロンプトまでの問題です:機密データがローカルでコピーできる場合、AIアシスタントにも同じように簡単に貼り付けることができます。使用中のデータを保護すると、次の質問が避けられなくなります。同じデータがプロンプトで変換されるとどうなるのか?
死角のないAI可視性:API CASBによるM365 Copilotスキャン
昨年、Cloudflare OneとAPI CASBは、OpenAI ChatGPT、Anthropic Claude、Google Geminiオファリングとの API統合を提供する最初のものとなりました。そして、私たちはまだ終わっていません。
本日から、Cloudflare OneのAPI Cloud Access Security Broker(CASB)を使用している顧客(一般的だがリスクの高いセキュリティ問題についてAPI経由でSaaSアプリをスキャンする)は、DLP検出プロファイルに一致するチャットやアップロードを含む、データセキュリティ問題についてMicrosoft 365 Copilotアクティビティを分析できるようになりました。
Copilotの発見は、豊富なコンテキスト(ファイル参照、プロファイル一致、インタラクションメタデータ)とともに表示されるため、チームは生の監査ログから始めるのではなく、迅速にトリアージできます。
有効なDLPプロファイルに一致するM365 Copilotで使用されたファイルの検出を示すCASB発見
顧客は、Copilotアクティビティに機密データが含まれる場合を確認できるようになりました。例えば、DLP検出プロファイルに一致するユーザープロンプト、Copilot応答、アップロードされたファイルです。
Microsoft 365 Copilotの発見は、Microsoft 365統合の一部としてデフォルトで利用可能です。この統合を既に使用している場合は、Cloudflare OneダッシュボードのIntegrationsに移動し、Microsoft 365接続を更新して、Copilotの発見を受信し始めてください。統合が初めての場合は、Microsoft 365テナントを接続して、Copilot使用と関連するデータセキュリティ発見への可視性を得てください。
AI製品の拡散が続く中、私たちは2026年を通じて追加のAIアシスタントとコアSaaSプラットフォーム全体でカバレッジを大幅に拡張します。お楽しみに!
次は何か:Cloudflare Oneでの統合データセキュリティ
過去数年間で、企業セキュリティはより多くの表面に拡張されました:SaaS、管理されていないエンドポイント、リモートアクセスパターン、そして今やAIアシスタント。しかし、目的(機密データの保護)は変わっていません。
この投稿のアップデートは、単一の方向を反映しています:転送中、保存時、使用中、プロンプトでのデータ全体での一貫した可視性と実施。そのため、ポリシーは製品の境界ではなく、データに従います。
将来を見据えて、私たちのビジョンは「データセキュリティ製品でのデータセキュリティ機能」よりも広範です。時間をかけて、すべてのCloudflare One製品がよりデータセキュリティを意識するようになり、Access、Gateway、エンドポイント実施、SaaS統合全体でチームが既に使用しているワークフローに直接組み込まれた、よりデータ指向の構成可能性、可視性、制御、ガードレールを持つようになります。
目標は単純です:ユーザーがどこで作業し、データがどこに移動しても、Cloudflare Oneは何が起こっているかを説明し、それを制御するのを支援できるべきです。
現代の境界がアプリケーション、ブラウザ、エンドポイント、AIプロンプト全体に広がる中、ポイントソリューションをつなぎ合わせることは運用が困難になり、回避が容易になります。アクセス制御からエンドポイント実施、AI可視性まで、データセキュリティをCloudflare Oneに直接構築し、これらのレイヤーを統合し続けることで、私たちはチームがエンドポイントからプロンプトまでのデータリスクとデータセキュリティ態勢のより明確で完全な全体像を構築するのを支援しています。
開始するには、Cloudflare Oneを探索するか、プラットフォームとこれらの新機能について詳しく学ぶために私たちのチームにお問い合わせください。
Cloudflareの接続クラウドは企業ネットワーク全体を保護し、顧客がインターネット規模のアプリケーションを効率的に構築するのを支援し、あらゆるウェブサイトやインターネットアプリケーションを加速し、DDoS攻撃を防御し、ハッカーを寄せ付けないようにし、Zero Trustへの旅路でお手伝いできます。任意のデバイスから1.1.1.1にアクセスして、インターネットをより高速で安全にする無料アプリを始めてください。より良いインターネットの構築を支援する私たちの使命について詳しく学ぶには、こちらから始めてください。新しいキャリアの方向性をお探しの場合は、求人情報をご確認ください。