ギャップに注意:起動からログインまで継続的適用のための新ツール
執筆者: Alex Holland, Shahed El Baba, Yi Huang, Rhett Griggs
私たちが社内ミーティングやセキュリティ会議のパネルで好んで投げかける質問の一つは、いつもの定番「何があなたを夜眠れなくしているか?」です。CISOにとっては、この問い自体が少し悪夢かもしれません。答えは一つではなく、数十通りあります。世界中に分散したチームが最高の仕事をできるようにしつつ、同時にその「最高の仕事」が重大な侵害の引き金にならないようにするという絶え間ない緊張関係です。
私たちはよく「zero trust journey(ゼロトラストの旅)」について語りますが、現実にはその旅路は摩擦に満ちています。セキュリティが過度に煩雑ならユーザーは創造的(かつ危険な)迂回策を見つけますし、効果を犠牲にして利便性を追求すると、強力な攻撃者を防げないかもしれません。
本日、Cloudflareはリモートアクセスを近代化し、ユーザー体験に摩擦を加えずにネットワークセキュリティの「暗がり」を排除するためのSASEツールボックスにおける2つの新機能を発表します:mandatory authentication(必須認証)とCloudflare独自の多要素認証(MFA)です。
インストールと適用の間に生じるギャップへの対応
Cloudflare One Clientを展開すると、非常に高い可視性と制御が得られます。許可された宛先に対するポリシーを適用し、Cloudflare経由でルーティングされるインターネットトラフィックを定義し、アプリケーション層およびネットワーク層のトラフィック検査を設定できます。しかし、ユーザーが実際に認証されていない状態からの可視性に常に課題がありました。このギャップは主に2つのシナリオで発生します。
- 新しいデバイス:Cloudflare One ClientがMDM(mobile device management)経由でインストールされているが、ユーザーがまだ認証していない場合。
- 再認証のグレーゾーン:セッションが期限切れになり、ユーザーが忘れていたり制限を迂回しようとして再ログインしない場合。
いずれの場合も、そのデバイスは“未知”になります。これは危険です。可視性を失い、セキュリティ姿勢はローカルマシンが許す範囲に戻ってしまいます。
mandatory authentication(必須認証)の導入
このギャップを埋めるため、mandatory authenticationを導入します。MDM設定経由で有効化すると、Cloudflare One Clientはマシンの起動直後からインターネットアクセスのゲートキーパーになります。ユーザーがアクティブに認証されていない場合、Cloudflare One clientは以下のように動作します:
- システムファイアウォールを使って、インターネットトラフィックをデフォルトで全てブロックする。
- デバイスクライアントの認証フローからのトラフィックをプロセス固有の例外として許可する。
- ユーザーに認証を促すプロンプトを表示し、正しいボタンを探し回る必要がないよう手順を案内する。
認証を接続性の前提条件にすることで、管理下にあるすべてのデバイスが常に把握されるようになります。
注意:mandatory authenticationはまずWindows向けのCloudflare One clientで利用可能になり、他プラットフォームへの対応は順次行われます。
一つの信頼源では十分でない場合
多くの組織はSSO(single sign-on)を主要なセキュリティアンカーとして採用しています。Okta、Entra ID、Googleを使っている場合、初回ログイン時にMFAを必須にしていることが多いでしょう。それは良い出発点ですが、現代の脅威環境ではゴールではありません。厳しい現実として、IdP(identity providers)は高価値な標的です。攻撃者がSSOセッションを乗っ取る、あるいは巧妙なソーシャルエンジニアリングでユーザーのSSOセッションを奪うと、そのSSOの背後にあるすべてのアプリの鍵を手に入れてしまいます。
Cloudflareの独立したMFA:二次的信頼のルート
ここでCloudflareのMFAが役立ちます。ネットワークエッジに存在する“ステップアップMFA”と考えてください。IdPとは独立して存在することで、保護されたリソースへアクセスしようとするユーザーに対してもう一つの認可が必要になります。つまり、主要なIdPの認証情報が漏洩または偽装されてしまっても、攻撃者は二要素目を持っていないため、たとえば本番データベースのような重要リソースにアクセスしようとすると壁にぶつかります。
Cloudflare Accessは以下の手段でMFAを提供します:
- 生体認証(Windows Hello、Apple Touch ID、Apple Face ID)
- セキュリティキー(WebAuthn、FIDO2、および Access for Infrastructureを用いたSSH向けのPIV)
- 認証アプリによるTOTP(Time-based one-time password)
管理者はユーザーの認証方法と頻度を柔軟に定義できます。これはグローバルレベル(例:すべてのAccessアプリケーションに対してMFAを必須にする)だけでなく、特定のアプリケーションやポリシーに対するより細かい制御でも設定できます。
- 例:チャットアプリでは低強度のMFAを許可し、ソースコードへのアクセスにはセキュリティキーを要求する。
- 例:個人メールやLinkedInのようなソーシャルIDを使う外部請負業者に対しては、機密リソースへのアクセスに強力なMFAを要求する。
また、ネイティブでMFAをサポートしないレガシーアプリにも、コードを変更することなくモダンなMFA方式を簡単に追加できます。エンドユーザーはApp Launcherを通じてMFAデバイスを簡単に登録できます。
例:AccessポリシーのMFA設定をカスタマイズしたときのイメージ。
注意:これはモックアップであり、変更される可能性があります。
Cloudflareの独立したMFAはクローズドベータ中で、新しい顧客が週次でオンボードされています。この新機能を試すには、こちらからアクセスをリクエストしてください!
CISOが安心して眠れるように
セキュリティはしばしば「ループを閉じる」ゲームです。デバイスがインターネットに触れる前に登録・認証されることを保証し、最も重要な資産に対して独立した二重の検証を要求することで、潜在的攻撃の“ブラスト半径”を大幅に縮小します。これらの機能は単にセキュリティを追加するだけでなく、ポリシーが確実に適用されているという確実性、ひとつのパスワードの漏洩だけで全体が破られることはないという確実性を提供します。
私たちは単純なアクセス制御を超え、継続的で自動化されたポスチャー適用の世界へと進んでいます。そして、まだ始まったばかりです。
今すぐフリートを強化する準備はできましたか?
Cloudflare Oneは最大50ユーザーまで無料で今すぐ始められます。これらのツールを使って境界を強化し、ユーザーの日常ワークフローを簡素化する皆さんの活用方法を楽しみにしています。ご意見もぜひお寄せください!Cloudflare Communityに参加するか、アカウントチームへご連絡ください。
Cloudflareの接続クラウドは、企業ネットワーク全体を保護し、顧客がインターネット規模のアプリケーションを効率的に構築するのを支援し、あらゆるウェブサイトやインターネットアプリケーションを高速化し、DDoS攻撃を防御し、ハッカーを寄せ付けず、Zero Trustへの道のりを支援します。1.1.1.1にアクセスして、インターネットをより高速かつ安全にする無料アプリを始めてください。私たちのミッションについて詳しくはstart hereをご覧ください。キャリアをお探しの場合は、open positionsをご確認ください。
タグ: server-island-start, Cloudflare Zero Trust, Cloudflare One, Cloudflare Access, Access, Zero Trust, WARP