本日、Cloudflare のクラウドアクセスセキュリティブローカー(CASB)が Claude Compliance API をサポートするようになりました。セキュリティおよびコンプライアンスチームは、エンドポイントエージェントを導入することなく、Cloudflare ダッシュボードから直接 Claude の利用状況を監視できます。
背景:なぜ今これが必要か
エンタープライズのセキュリティチームは長らく、承認済み/未承認のアプリケーションに対するユーザーのやり取りを可視化することに苦労してきました。AI アプリケーションの急速な導入により、この問題は一層複雑になっています。AI は従来の SaaS と異なり、会話型で永続的、かつ API やエージェントフレームワークを通じてワークフローに深く統合されます。ユーザーが顧客データをプロンプトに貼り付けたり、開発者が API キーを誤って公開して回転させずに放置したり、AI が機密情報を含むコンテンツを生成したりする可能性があります。これらはいずれも、従来のセキュリティツールでは検出しにくいコンプライアンスリスクを生みます。
組織は AI を素早く採用していますが、これらのツールは別のセキュリティモデルを必要とします。AI は単にデータを読むだけでなく、データを生成し、アクションを実行し、単一のワークフローで複数のシステムと接続します。セキュリティはアプリケーションが API を呼ぶ方法から、取り扱うデータ、保存先までライフサイクル全体をカバーする必要があります。
Cloudflare が提供するポイントごとの保護
- Cloudflare AI Gateway は、アプリケーションと Anthropic のような AI プロバイダの間に位置し、リクエスト、トークン消費、モデルのパフォーマンスを可視化します。これにより、管理者はレート制限の施行、レスポンスのキャッシュ、細かなルーティング決定が可能になります。
- Cloudflare Gateway と Data Loss Prevention は、AI トラフィックを検査し、顧客の個人識別情報(PII)や機密資料を含むプロンプトをモデルに到達する前にブロックします。
- Cloudflare Access と MCP server portals は、エージェント接続を一つの保護されたエンドポイントに集中させます。管理者はどのユーザーやエージェントがどのシステムにアクセスできるかを制御し、すべてのリクエストが監査ログに記録されます。
- Cloudflare CASB は、Claude 内の保存データ(data at rest)に対しても同様の統合アプローチを拡張し、エンドポイントエージェント不要で誤設定や機密データをスキャンします。
これらの機能は同じインフラ(same metal)上で並列に動作し、各サービスをコンポーザブルかつプログラム可能にします。重要なのは、トラフィックが複数のベンダーやクラウドを経由してセキュリティ処理されることがない点です。
Cloudflare CASB と Claude Compliance API の統合概要
Cloudflare CASB は軽量な API 統合を通じてサードパーティ SaaS の誤設定、不適切なデータ共有、その他のセキュリティリスクを検出・監視します。Anthropic が提供する Claude Compliance API は、企業が自社の Claude 組織、ワークスペース、利用状況に関するセキュリティ関連データにプログラム的にアクセスできるよう設計されています。
Cloudflare CASB はこのエンドポイントを利用して、インラインのトラフィック検査やエンドポイントエージェントを要求することなく、アクション可能なセキュリティファインディングを抽出します。
Compliance API が提供するファインディング(本サポートで対象となる資産)
- Projects: 組織または一部のユーザーやグループに共有されているプロジェクトの検出
- Project attachments: DLP ポリシーに違反するファイルやドキュメント
- Chat files: ユーザーがアップロードしたファイルやプロバイダ生成ファイルで DLP ポリシーに違反するもの
- Chat messages: ユーザープロンプトやプロバイダ応答で DLP ポリシーに違反するメッセージ
- Artifacts: プロバイダが生成した機密を含むドキュメントやファイル
これらのファインディングは、他の SaaS アプリケーション(Microsoft 365、Google Workspace、Salesforce など)からの姿勢(posture)やコンテンツファインディングと並んで Cloudflare ダッシュボードに表示されます。ファインディングはカテゴリ別にグループ化され、重大度レベル順に並びます。セキュリティチームは既存のワークフローでトリアージ、割り当て、修復を行えます。
Claude Enterprise と Claude Platform のサポート詳細
- Claude Enterprise: 組織、プロジェクト、チャット、ロールなどのコンプライアンスデータを取得します。会話コンテンツ(メッセージやアップロードファイル)は専用の読み取り専用エンドポイントを通じて取得し、データ損失を防止します。
- Claude Platform: メンバーおよびワークスペースの変更、API キー作成、ファイルの作成またはダウンロードイベントを引き続き表出します。近い将来、Activity Feed のサポートを追加予定です。
CASB のファインディングはアクションに変換できます。たとえば、ユーザーが機密データを含むファイルをアップロードした検出は、数分で Gateway ポリシーに変換できます。Gateway を使用して特定ユーザーの Claude へのアップロードをブロックしたり、アプリケーションへのアクセスを完全に制限したり、問題が解決するまで機能を制限したりできます。これにより、CASB の可視化から Cloudflare の既存のインラインポリシーエンジンを組み合わせて、可視性から実行へと移行できます。
導入手順
- Claude Enterprise アカウントを用意します。
- 組織のために Claude に Compliance API アクセスをリクエストします。
- Cloudflare ダッシュボードで、Zero Trust > Integrations > Cloud & SaaS に移動します。
- Add Integration > Anthropic を選択し、Compliance API キーを入力します。
- アップロードファイルを機密データについてスキャンする場合は、DLP プロファイルを構成します。
統合は即座にスキャンを開始し、ダッシュボードに数分以内にファインディングが表示されます。
- 新規の Cloudflare 顧客は、最初の 2 つの統合を無料で開始できます。
- 既存の顧客はダッシュボードから直接統合を有効化できます。
今後の展開
我々は、プロバイダが新たなエンタープライズ向けセキュリティ API を公開するのに合わせて、AI ツールに対する CASB のカバレッジを拡大していきます。さらに、CASB 内の統合を深め、カスタムファインディングの作成や、検出されたセキュリティファインディングを自動的に修復するワークフローの構築を可能にしていきます。
エージェント志向(agentic)な AI への移行は進んでおり、安全な導入を支援する最良の方法は、エージェントを構築、展開、ガバナンスするための統一プラットフォームを提供することだと考えています。最新情報は開発者向けドキュメントを確認するか、更新を自動受信するよう購読してください。
タグ: server-island-start Developer Platform Developers CASB Cloudflare One SASE Zero Trust Cloudflare Zero Trust