コンテンツにスキップ

使用中のデータの保護

はじめに

使用中のデータとは、アプリケーション、システム、またはユーザーによって積極的に対話、処理、または操作されているデータを指します。組織にとって、使用中のデータを保護することは、アプリケーションやユーザーがそのデータを必要とする業務を遂行するためにアクセス可能で使用可能であり続ける必要がある一方で、不正アクセスや改ざんから保護される必要があるため、課題となります。

今日、ユーザーの運用上重要なデータとの相互作用の大部分は、現代のインターネットブラウザ内で行われており、これにより、メールクライアント、ワードプロセッサ、スプレッドシートなどのクライアントアプリケーション全体がエンドユーザーに提供されます。これは、デバイスにソフトウェアをインストールする必要がなく、コピー&ペーストや機密データのダウンロードなどのユーザーの相互作用が比較的容易になることを意味します。このような相互作用は、従業員や契約者が毎日重要なデータや機密データを扱っている組織にとって、持続的なリスクをもたらす可能性があります。

使用中のデータを保護する一つの方法は、ブラウザ自体に対するより大きな制御を活用し、従業員がアプリケーションやデータにアクセスするためにそれらをどのように使用するかを管理することです。Cloudflareは、Remote Browser Isolation (RBI)と呼ばれる、当社の巨大なグローバルエッジネットワークの上に構築されたヘッドレスブラウザソリューションを通じてこれに取り組んでいます。ユーザーが、例えば、プライベートにホストされたリソースや公共インターネット上のリソースにアクセスしようとすると、Cloudflareは最初にそのリソースをCloudflareのグローバルネットワーク上のサンドボックス環境でレンダリングします。その後、エンドユーザーにとって知覚できる違いがないまま、ローカルブラウザ内で小さなJavascriptクライアントが実行され、Cloudflare独自の新しい特許技術であるNetwork Vector Rendering (NVR)を使用して、リモートで読み込まれたウェブコンテンツを安全かつセキュアに取得してレンダリングします。

Cloudflare RBIによる使用中のデータの保護

Cloudflare RBIは、ユーザーがアクセスしているウェブコンテンツとそのデバイスとの間に目に見えない「ギャップ」を効果的に作成し、デバイスと接続されているネットワークを攻撃や悪用から保護します。既知の脅威パターンやシグネチャに依存するセキュアウェブゲートウェイ、アンチウイルスソフトウェア、またはファイアウォールとは異なり、RBIは真のゼロトラストメカニズムです。リモートで読み込まれたRBIインスタンス内で行われるすべてのリクエストはCloudflare Secure Web Gatewayを通過するため、データへのアクセスポリシーを強制し、トラフィック自体を検査してデータの移動中ポリシーを強制することが可能です。

さらに、組織は、データのダウンロード/アップロード、コピー&ペースト、印刷の能力をブロックするなど、特定の使用中のデータアクセス制御を強制することができます。

RBIで使用される一般的なポリシー:

  • コンテンツカテゴリ - ソーシャルネットワーク (例: Facebook): 人気のあるソーシャルメディアプラットフォームが収集する大量のデータを考えると、これらのアプリは魅力的なターゲットであり、悪意のあるエンティティにとって別の攻撃ベクトルとなります。RBIは、特にそのデータがDLPプロファイルに一致する場合、これらのアプリケーションにペーストされるデータを制限することを可能にします。
  • アプリケーション - 人工知能 (例: ChatGPT): 生成AIツールは従業員の生産性を向上させることができますが、誰がそれを使用しているのか、何のために使用しているのかを理解することは、生成AIの進化のこの段階では不可欠です。ここでも、DLPプロファイルを適用して、機密データを公共のAIツールにコピー&ペーストすることを防ぐことができます。
  • アプリケーション - SaaS (例: Salesforce, Zendeskなど): これらのアプリケーションには、非常に機密性の高いデータが含まれていることがよくあります。RBIは、契約者やパートナーなど、ある程度のアクセスが必要なリスクのあるユーザーのアクセスを厳しく制限するために使用できます。印刷を防ぐ、または全くキーボード入力を防ぐなどの制御により、第三者ユーザーはアプリケーションの読み取り専用ビューのみを表示することができ、RBIがユーザーとデータの間のガラスのパネルのように機能します。

以下の図は、ユーザー、RBI、およびChatGPTのようなウェブサイトとの典型的な相互作用を視覚化しています。

図1: Cloudflare RBIによってブロックされたテキストのコピー/ペースト。

  1. ユーザーがChatGPTにログインしようとすると、そのリクエストはCloudflareを経由します。これは、ユーザーが当社のデバイスエージェントを実行して、エンドユーザーのデバイスと要求されるリソース間のすべてのトラフィックの可視性と制御を最大化しているためです。クライアントレスオプションもサポートされています。
  2. Cloudflareのセキュアウェブゲートウェイ (SWG)は、最初にユーザーがChatGPTにアクセスすることを許可されているかどうかを確認します。
  3. Cloudflareの特許技術であるNetwork Vector Rendering (NVR)プロセスが開始され、当社のエッジネットワーク上のヘッドレスブラウザがウェブアプリをラスタライズします。これには、SKIA描画コマンドの記述が含まれます。
  4. NVRはそれらの描画コマンドをインターセプトし、トークン化し、圧縮し、暗号化し、ローカルウェブブラウザに送信します。
  5. このリクエストは隔離されて実行されているため、ポリシーはユーザーがローカルマシンからChatGPTに機密コンテンツをコピー&ペーストすることを防ぐことも強制します。さらに、‘印刷を無効にする’、‘アップロード/ダウンロードを無効にする’などの追加のポリシー設定も利用可能です。

関連リソース

Cloudflare DashboardDiscordCommunityLearning CenterSupport Portal
Cookie Settings