コンテンツにスキップ

データの転送中のセキュリティ

はじめに

データの転送中とは、通常、ネットワークを介して移動しているときを指します。インターネットは数千のネットワークで構成されているため、デバイスからサーバー、そして再びデバイスへとデータが移動する際に、そのデータが安全であることを確保することが重要です。最近では、データの転送中に生成される最も一般的な活動は以下のようなものです:

  • オンラインブラウジングおよびクラウドアプリケーションへのデータのアップロード/ダウンロード
  • テキスト、画像、メールの送信
  • APIを介してデータを公開および消費するアプリケーション

データの転送中は、送信中に傍受や改ざんの脅威にさらされることが多いため、QUIC、トランスポート層セキュリティ(TLS)、またはセキュアソケット層(SSL)などの暗号化技術を使用してデータを保護することが重要です。これにより、データがその移動中に機密性を保ち、不正アクセスから保護されることが保証されます。ネットワーク境界を越えてデータを検査し、そのデータが引き続き移動すべきかどうかを判断するための他の方法もあります。データ損失防止(DLP)技術を使用して、ネットワークトラフィックの内容を検査し、機密データがリスクのある宛先に送信されるのを防ぐことができます。この文書では、Cloudflareがデータの転送中に保護するために利用できる方法を概説します。

ネットワーク接続のセキュリティ

Cloudflareは、クラウドネットワークセキュリティサービスの主要な提供者の一つです。Cloudflareがネットワークトラフィックを保護するために使用される主なユースケースは2つあります。

  • SSL/TLSを使用して公共のウェブサイトやAPIへの安全な接続を提供すること
  • クラウドまたはオンプレミスでホストされているプライベートネットワークやアプリケーションへの安全なトンネルを作成すること

CloudflareのSSLサービスは、数百万のウェブサイトで使用されており、DNSエントリを変更することで簡単に実装できます。これにより、公共のウェブサイトやAPIへのすべての接続がCloudflareのエッジネットワークで終了します。Cloudflareから宛先のウェブサイトやAPIへの接続も、同じSSL技術を使用して保護できます。最も強力なセキュリティを確保するために、Cloudflareはポスト量子暗号を使用しています。

図1: ユーザーデバイスからウェブサイト/APIまでのデータのセキュリティ

  1. ユーザーブラウザとCloudflareの間の接続はTLS/SSLで保護されています
  2. Cloudflareから宛先サーバーへの接続はTLS/SSLで保護されています

プライベートリソース、通常は公共のインターネット接続がないプライベートネットワーク上の自己ホストアプリケーションは、データの転送中に異なる方法で保護する必要があります。プライベートネットワークからCloudflareへのトンネルを作成するためのさまざまな方法があり、詳細はSASE参照アーキテクチャで確認できますが、以下の図はその方法を要約しています。

図2: プライベートトラフィックを保護するためにCloudflareに接続し、トラフィックをルーティングするさまざまな方法。

プライベートアプリケーションとネットワークがCloudflareに接続されると、デバイスエージェントを介して安全に接続できるようになり、ユーザーデバイスからネットワークを越えてアプリケーションまでのデータを保護できます。

デバイスからホストされたアプリケーションへのトラフィックがすべてCloudflareを経由する場合、私たちはトラフィックを検査し、データの内容に基づいてさらなるセキュリティを適用することが可能です。

Cloudflare DLPによるトラフィックの検査

一般的な課題は、どのデータが機密であり、ポリシーの介入が必要かを判断することです。データ損失防止サービスは、トラフィックの内容を検査し、その後ポリシーにメタデータを提供して強制を影響させます。

たとえば、ユーザーがSaaSアプリケーションにファイルをアップロードしようとし、トラフィックルートが常にCloudflareネットワークを経由するように設定されている場合、Cloudflare DLPは、ゲートウェイポリシーに割り当てられたDLPプロファイルを使用してファイルを検査します。DLPプロファイルが一致すると、ゲートウェイポリシーはトラフィックを許可またはブロックし、その活動はログに記録されます。DLPプロファイルは、検出したいデータパターンを定義する正規表現のコレクション(検出エントリとも呼ばれます)です。Cloudflare DLPは、一般的な検出のための事前定義されたプロファイルを提供するほか、データに特化したカスタムプロファイルを構築する機能や、正確なデータマッチ(EDM)を活用する機能も提供しています。

DLPプロファイルは、他のポリシー属性と組み合わせて使用され、機密データが承認されたクラウドストレージサービスにアップロードされるときのみポリシーを強制するなど、トラフィックを特定するために使用されます。

図3: 承認されたクラウドストレージにアップロードされた機密データをブロックするCloudflareポリシーの例。

以下の図は、Cloudflareがリクエストを検査し、DLPベースのポリシーに基づいてアクセスを強制する一般的なフローを示しています。

図4: 機密データを含むファイルのアップロードがCloudflare DLPによってブロックされる

  1. ユーザーがSaaSアプリケーションにファイルをアップロードしようとします(私たちのデバイスエージェントによって作成されたCloudflareへの安全なトンネルを介して)。クライアントレスオプションもサポートされています。
  2. Cloudflareのセキュアウェブゲートウェイ(SWG)は、最初にユーザーが要求されたSaaSアプリケーションを使用する許可があるかを確認し、その後ファイルのペイロードを悪意のあるコード機密データについて精査します。
  3. DLPプロファイルは、ファイルに米国の社会保障番号(SSN)などの国の識別子が含まれていることを判断します。
  4. SWGポリシーは‘ブロック’アクションで構成されているため、試みはログに記録され、ブロックページがエンドユーザーのウェブブラウザに返されます。

関連リソース

Cloudflare DashboardDiscordCommunityLearning CenterSupport Portal
Cookie Settings