タグアーカイブ SaaSセキュリティ

  1. ホーム   /  タグ付きの投稿: "SaaSセキュリティ"
エンドポイントからAIプロンプトまで——Cloudflare Oneが描く統合データセキュリティの現在地
2026年3月9日 0

エンドポイントからAIプロンプトまで——Cloudflare Oneが描く統合データセキュリティの現在地

企業のセキュリティ対策は、ネットワークの境界防御からデータそのものの保護へと重心が移っている。機密データが存在する場所、アクセスする人物、不正な移動経路を可視化し制御することが、現代のセキュリティプログラムの核心的な課題だ。

Cloudflareは2026年3月6日、同社のSASE(Secure Access Service Edge)プラットフォーム「Cloudflare One」におけるデータセキュリティの統合ビジョンを発表した。このビジョンは、データが移動するあらゆる経路——転送中、保存時、利用時、さらにはAIプロンプトへの入力時までを単一のモデルで追跡することを目指す。従来のサイロ化した制御ではなく、データの流れに沿ってポリシーを適用するアプローチである。

今回の発表では、ブラウザベースのリモートデスクトッププロトコル(RDP)におけるクリップボード制御、SaaSアプリ内操作の詳細なログ記録、エンドポイントでのデータ損失防止(DLP)、Microsoft 365 Copilot向けのAIセキュリティスキャンなど、複数の新機能が公開された。これらの更新は、データがツールや製品の境界を越えて高速に移動する現代の環境において、セキュリティポリシーがデータそのものに追随する必要性を具現化するものだ。

データ移動の最終関門——ブラウザRDPのクリップボード制御

データ移動の最終関門——ブラウザRDPのクリップボード制御

クラウド環境や外部協力者との作業が一般化する中、ブラウザを通じたリモートアクセスは一般的なワークフローとなった。Cloudflare OneのブラウザベースRDP機能は、管理されていない端末やクライアントソフトがインストールされていない環境からのアクセスを可能にする。しかし、ブラウザ内で完全なRDP体験を提供する際、データがどこへ移動できるか、特にクリップボードを介した移動をどの程度細かく制御できるかが課題となる。

生産性とセキュリティのトレードオフを解消する

クリップボード制限は、生産性とセキュリティのバランスを象徴する問題だ。ユーザーがコピー&ペーストできないと、スクリーンショットの撮影、データの手打ち、管理外ツールへの作業移行など、制御を迂回する方法を探し始める。完全なブロックは実用的ではない。

Cloudflare Oneが追加した新機能は、このジレンマを解消する。セキュリティ管理者は、ローカルデバイスとブラウザ内RDPセッション間のコピー・ペーストを、方向性と文脈に応じて細かく制御できるようになった。例えば、顧客情報を含むサポートポータルにアクセスするセッションでは、作業効率化のためにセッション内へのペーストは許可しつつ、機密データが管理外の端末に流出するのを防ぐためにセッション外へのコピーはブロックする、といった設定が可能だ。

具体的な適用シナリオと設定

この機能は、Cloudflare Oneのダッシュボード内、ブラウザベースRDPアプリケーション用のアクセスアプリケーションポリシーに新設された設定項目から構成できる。ポリシーは「双方向許可」「ローカルからリモートのみ許可」「リモートからローカルのみ許可」「すべて禁止」の4つのプリセットから選択する。これにより、契約者やパートナー企業からのアクセスなど、端末管理が行き届かないシナリオでも、データの意図しない持ち出しリスクを低減できる。

従来のVPNや専用RDPクライアントに比べ、ブラウザベースのアクセスは導入ハードルが低い。Cloudflare Oneはこの利便性を維持しつつ、セッション境界でのデータ制御という追加の防御層を提供する。このアプローチは、ゼロトラストセキュリティの原則——「決して信用せず、常に検証せよ」——をリモートアクセス領域に具体化した一例と言える。

可視性の深化——操作マッピングによるログの強化

可視性の深化——操作マッピングによるログの強化

適切な制御を設計するには、ユーザーがSaaSアプリ内で実際にどのような操作を行っているかを理解する必要がある。しかし、生のHTTPログや監査ログだけでは、個々のリクエストがビジネス上のどのアクションに対応するのか、解釈が困難な場合が多い。

「操作」としてのログ解釈

Cloudflareは「操作マッピング」と呼ばれるプロセスを用いてこの課題に対処する。このプロセスは、HTTPリクエストの様々な要素(パス、メソッド、パラメータなど)を解釈し、それを単一のビジネス操作(例:ChatGPTにおける「SendPrompt」)に変換する。さらに、類似のアクションを行う複数の操作を「アプリケーションコントロール」(例:「共有」や「アップロード」)というグループにまとめる。これまで、このマッピングはポリシー作成の簡素化に主に活用されてきた。

ログ分析とフォレンジックの高速化

今回の更新で、この操作マッピングがログイベントにも適用されるようになった。追加設定なしに、Cloudflare Oneの操作マップと互換性のあるSaaSアプリケーションのトラフィックについて、ログ詳細に「アプリケーションコントロール」と「特定の操作」の両方が表示される。

調査担当者は、生のURLやメソッドを解読する代わりに、「ユーザーがSalesforceでレコードをエクスポートした」や「Google Driveでファイルを共有した」といった直感的な情報を即座に把握できる。これにより、インシデント調査やポリシーチューニングにかかる時間が短縮され、ユーザー体験を不必要に損なうことなく、リスクの高い行動を特定しやすくなる。

この機能は、単なるログの装飾ではない。セキュリティ運用における根本的な課題——「何が起こっているのかを文脈を持って理解する」——を解決する。可視性が向上すれば、防御策は事後対応から事前予防へとシフトできる余地が生まれる。

エンドポイントでの最終防御——Cloudflare One ClientによるDLP

エンドポイントでの最終防御——Cloudflare One ClientによるDLP

管理されたSaaSアプリケーションから、クリップボードを経由して管理外のコンテキストに機密情報が移動するリスクは日常的に存在する。リスクはファイルの組織外流出だけではない。独自コードの断片や顧客レコードが、許可されていない大規模言語モデル(LLM)や個人用ツールに貼り付けられる可能性もある。

転送中・保存時から利用時への保護拡張

Cloudflare Oneは既に、ゲートウェイとDLPによる転送中のデータ保護、CASB(Cloud Access Security Broker)とAPI連携による保存時の可視性と制御を提供している。今回、エンドポイントDLPの適用範囲を「利用時」のデータに拡大する。その第一歩として、Cloudflare One Client(旧WARPクライアント)にクリップボードの移動といったハイシグナルのワークフローに対するDLP適用機能が追加された。

これにより、保護されたSaaSアプリからコピーされた機密データが、OSのクリップボードに到達した瞬間に「ポリシーの適用外」のコンテンツになることを防ぐ。組織は、別のエージェントを導入したり複雑な連携を構築したりすることなく、ユーザーの手元までデータ保護を拡張できる。

エージェント統合の利点と「エンドポイントからプロンプトまで」の問題

既にCloudflare One Clientをゼロトラストネットワークアクセスに利用している組織にとって、エンドポイントDLPは自然な機能拡張である。単一の軽量エージェントが、ネットワークセキュリティとデータセキュリティの両方の役割を担う。これが「エンドポイントからプロンプトまで」の問題を解決する鍵となる。機密データがローカルでコピーできるなら、それはAIアシスタントに同じくらい簡単に貼り付けられる。利用時のデータを保護することで、この連鎖の最初の一歩を封じる。

このアプローチは、データセキュリティを単なる「チェックボックスを満たす活動」から、「実際のデータフローに沿った継続的な適用」へと進化させる。エンドポイントは、データがデジタル世界から物理世界(例えば、スクリーンショットや印刷)へと移行する可能性のある最後の関門の一つだ。ここでの制御は、防御層を実質的に強化する。

AI時代の可視性——M365 Copilot向けAPI CASBスキャン

AI時代の可視性——M365 Copilot向けAPI CASBスキャン

AIアシスタントの業務利用が拡大するにつれ、新しいブラインドスポットが生じている。従業員がMicrosoft 365 Copilotなどのツールに機密データを入力しても、従来のDLPやCASBではそのやり取りを検知できない場合があった。AIとの対話は、新しいデータ移動経路を生み出した。

AIプロンプトとアップロードのスキャン

Cloudflare OneのAPI CASBは、SaaSアプリをAPI経由でスキャンし、一般的かつリスクの高いセキュリティ問題を検出する。今回、この機能がMicrosoft 365 Copilotのアクティビティ分析に対応した。具体的には、DLP検出プロファイルに一致するチャット内容やアップロードファイルをスキャン対象とする。

検出された結果は、ファイル参照、プロファイル一致内容、対話メタデータなどの豊富な文脈情報と共に表示される。これにより、セキュリティチームは生の監査ログから手作業で情報を抽出する代わりに、迅速にトリアージを行える。

設定と今後の展開

M365 Copilotの検出機能は、既存のMicrosoft 365連携の一部としてデフォルトで利用可能となる。既に連携を設定しているユーザーは、Cloudflare Oneダッシュボードの「統合」セクションでMicrosoft 365接続を更新するだけでCopilotの検出を開始できる。新規ユーザーは、テナントを接続することでCopilotの使用状況と関連するデータセキュリティ上の発見を可視化できる。

Cloudflareは、AI製品の拡散が続く中、2026年を通じて他のAIアシスタントや主要SaaSプラットフォームへの対応を大幅に拡大する計画を示している。これは、データセキュリティの適用範囲を、単なる従来型のアプリケーションから、AIという新しいインターフェースへと積極的に拡張する姿勢を示すものだ。

統合データセキュリティの未来像

統合データセキュリティの未来像

過去数年間、企業セキュリティはSaaS、管理外エンドポイント、リモートアクセスパターン、そして現在はAIアシスタントへと適用範囲を広げてきた。しかし、その目的——機密データの保護——は変わらない。今回発表された一連の更新は、転送中、保存時、利用時、プロンプト時における一貫した可視性と適用を実現するという単一の方向性を反映している。ポリシーが製品の境界ではなく、データそのものに追随する世界だ。

Cloudflareのビジョンは、「データセキュリティ製品内のデータセキュリティ機能」という枠を超えている。同社は、時間の経過とともに、あらゆるCloudflare One製品がデータセキュリティをより意識したものになり、データ指向の設定可能性、可視性、制御、ガードレールが、アクセス、ゲートウェイ、エンドポイント適用、SaaS連携といった既存のワークフローに直接組み込まれると述べている。

目標は明確だ。ユーザーがどこで作業し、データがどこに移動しようとも、Cloudflare Oneは何が起こっているかを説明し、それを制御する手助けができるべきである。モダンペリメーターがアプリケーション、ブラウザ、エンドポイント、AIプロンプトにまたがって広がる中、点のソリューションを継ぎ接ぎすることは、運用を困難にし、回避を容易にする。Cloudflare Oneにデータセキュリティを直接構築し、これらのレイヤーを統合し続けることで、同社は企業がエンドポイントからプロンプトまでのデータリスクとデータセキュリティ体制を、より明確かつ完全に把握することを支援しようとしている。

この記事のポイント

  • Cloudflare Oneは、データの移動経路(転送中、保存時、利用時、AIプロンプト時)を単一モデルで追跡・保護する統合ビジョンを発表した。
  • ブラウザベースRDPにクリップボードの方向制御機能を追加。生産性を維持しつつ、セッション境界でのデータ流出を防止する。
  • 操作マッピングをログに適用し、SaaSアプリ内のユーザー行動を「ビジネス操作」として可視化。調査とポリシーチューニングを高速化する。
  • Cloudflare One ClientにエンドポイントDLPを導入。クリップボードを介したデータの管理外ツールへの移動を阻止する。
  • API CASBがMicrosoft 365 Copilotのスキャンに対応。AIプロンプトやアップロードファイルに含まれる機密データを検出する。

出典

  • Cloudflare Blog “From the endpoint to the prompt: a unified data security vision in Cloudflare One” (2026年3月6日)
海田 洋祐
, , , , , ,
システム開発

メニュー

会社概要
事業紹介
社名の由来
JVパートナー募集

B to B のご提案

事業譲渡(M&A)
卸売販売
アフィリエイト

その他

関連サイト
特定商取引法に基づく表示
プライバシーポリシー
お問い合わせ

Copyright 株式会社A&Gウェブ - ライバルには、ひみつ。 All rights reserved.