ギャップに注意：起動からログインまでの継続的な強制実行のための新しいツール

2026-03-04
著者： Alex Holland、Shahed El Baba、Yi Huang、Rhett Griggs
読了時間： 4分

企業ミーティングやセキュリティカンファレンスのパネルでよく聞かれる質問の一つに、定番の「夜眠れなくなるほど心配なことは何ですか？」があります。CISOにとって、この質問自体がちょっとした悪夢かもしれません。この質問には単一の答えはありません。数十の答えがあります。それは、世界中に分散した労働力が最高の仕事をできるようにすることと、その「最高の仕事」が意図せずに破滅的な侵害への扉を開かないようにすることの間の絶え間ない緊張関係です。

私たちはよく「ゼロトラストジャーニー」について話しますが、現実はそのジャーニーがほぼ確実に摩擦で舗装されているということです。セキュリティが煩雑すぎると、ユーザーはそれを回避する創造的で（危険な）方法を見つけます。効果を犠牲にしてシームレスにすると、決意した攻撃者を阻止するのに十分安全でない可能性があります。

本日、ユーザーエクスペリエンスに摩擦を加えることなく、ネットワークセキュリティの「暗い隅」を排除してリモートアクセスを近代化するように設計された、CloudflareのSASEツールボックスの2つの新しいツールを発表できることを嬉しく思います：必須認証と**Cloudflareの独自多要素認証（MFA）**です。

インストールと強制実行の間のギャップへの対処

Cloudflare One Clientを展開すると、驚くべき可視性と制御を得られます。許可された宛先のポリシーを適用し、Cloudflareを通じてルーティングするインターネットトラフィックを定義し、アプリケーション層とネットワーク層の両方でトラフィック検査を設定できます。

しかし、実際に認証されたユーザーがいない場合の可視性の課題が常にありました。このギャップは主に2つのシナリオで発生します：

• 新しいデバイス： Cloudflare One Clientがモバイルデバイス管理（MDM）経由でインストールされているが、ユーザーがまだ認証していない
• 再認証のグレーゾーン： セッションが期限切れになり、ユーザーが忘れっぽさや制限を回避したいという欲求から、再ログインしない

いずれの場合も、デバイスは不明になります。これは危険です。可視性を失い、セキュリティ態勢はローカルマシンが許可するものに戻ってしまいます。

必須認証の導入

このループを閉じるために、必須認証を導入します。MDM設定で有効にすると、Cloudflare One Clientはマシンが起動した瞬間からインターネットアクセスのゲートキーパーになります。

ユーザーがアクティブに認証されていない場合、Cloudflare One clientは以下を実行します：

• システムファイアウォールを使用してデフォルトですべてのインターネットトラフィックをブロック
• プロセス固有の例外を使用してデバイスクライアントの認証フローからのトラフィックを許可
• ユーザーに認証を促し、適切なボタンを探す必要がないようにプロセスをガイド

認証を接続の前提条件にすることで、すべての管理対象デバイスが常に把握されることを保証します。

注意： 必須認証は最初にWindowsのCloudflare One clientで利用可能になり、他のプラットフォームのサポートが続きます。

単一の信頼源では不十分な場合

ほとんどの組織は、主要なセキュリティアンカーとしてシングルサインオン（SSO）に移行しています。Okta、Entra ID、またはGoogleを使用している場合、初回ログイン時にMFAを要求している可能性があります。それは素晴らしいスタートですが、現代の脅威環境では、もはやゴールラインではありません。

厳しい現実は、アイデンティティプロバイダー（IdP）が高価値のターゲットであることです。攻撃者が巧妙なセッションハイジャックやソーシャルエンジニアリングを通じてユーザーのSSOセッションを侵害することに成功した場合、そのSSOの背後にあるすべてのアプリケーションへの鍵を効果的に握ることになります。

Cloudflareの独立MFA：第二の信頼の根

ここでCloudflareのMFAが役立ちます。これをIdPから独立してネットワークエッジに存在する「ステップアップMFA」と考えてください。IdPから分離されたままにすることで、保護されたリソースにアクセスしようとするユーザーに「承認」しなければならない別の権限を導入します。

つまり、主要なIdP認証情報が侵害されたり偽装されたりしても、攻撃者は本番データベースなどにアクセスしようとする際に壁にぶつかります。なぜなら、第二要素へのアクセスがないからです。

Cloudflare AccessはMFAを提供するいくつかの異なる手段を提供します：

• 生体認証（Windows Hello、Apple Touch ID、Apple Face ID）
• セキュリティキー（WebAuthnとFIDO2、およびAccess for InfrastructureでのSSH用PIV）
• 時間ベースワンタイムパスワード（TOTP）（認証アプリ経由）

管理者は、ユーザーがどのように認証する必要があるか、どのくらいの頻度で認証するかを定義する柔軟性を持ちます。これはグローバルレベル（すべてのAccessアプリケーションに必須MFAを確立）だけでなく、特定のアプリケーションやポリシーに対するより細かい制御でも設定できます。

例えば、組織はチャットアプリには低保証MFA方法を許可するが、ソースコードへのアクセスにはセキュリティキーを要求することを決定する場合があります。または、個人メールやLinkedInなどのソーシャルアイデンティティを使用する可能性のある請負業者などの第三者に対して、機密リソースへの強力なMFAを強制することもできます。

コードを一行も触ることなく、ネイティブでサポートしていないレガシーアプリに現代的なMFA方法を簡単に追加することもできます。

エンドユーザーはApp Launcherを通じて簡単にMFAデバイスを登録できます。

Accessポリシーのカスタマイズ設定の例。注意：これはモックアップであり、変更される可能性があります。

Cloudflareの独立MFAは現在クローズドベータ版で、毎週新しい顧客がオンボーディングされています。この新機能を試すにはこちらからアクセスをリクエストできます！

CISOの安眠をサポート

セキュリティはしばしば「ループを閉じる」ゲームです。デバイスがオープンインターネットに触れる前に登録・認証されることを保証し、最も貴重な資産に対して独立した第二の検証層を要求することで、潜在的な攻撃の「爆発半径」を大幅に小さくしています。

これらの機能は単にセキュリティを追加するだけでなく、確実性を追加します。ポリシーが強制されているという確実性と、単一の侵害されたパスワードが完全な侵害につながらないという確実性です。

私たちは単純なアクセス制御を超えて、継続的で自動化された態勢強制の世界に移行しています。そして、これは始まりに過ぎません。

フリートをロックダウンする準備はできましたか？

最大50ユーザーまで無料でCloudflare Oneを今すぐ始めることができます。これらのツールを使用して境界を強化し、ユーザーの日常ワークフローを簡素化する方法を見るのを楽しみにしています。

いつものように、フィードバックをお聞かせください！Cloudflare Communityに参加するか、アカウントチームに連絡してご意見をお聞かせください。

Cloudflareの接続クラウドは企業ネットワーク全体を保護し、顧客がインターネット規模のアプリケーションを効率的に構築し、あらゆるWebサイトやインターネットアプリケーションを高速化し、DDoS攻撃を防御し、ハッカーを寄せ付けないようにし、Zero Trustへのジャーニーをサポートします。

あらゆるデバイスから1.1.1.1にアクセスして、インターネットをより高速で安全にする無料アプリを始めましょう。より良いインターネットの構築を支援する私たちのミッションについて詳しく知るには、こちらから始めてください。新しいキャリアの方向性をお探しの場合は、求人情報をご確認ください。