しばらくすると、Twitter カード表示となります
オープニング
Security Week 2023へようこそhttps://t.co/g7iUBwMi36
— kyhayama (@kyhayama) March 22, 2023
「アプリケーションの保護から、従業員の保護へとシフト」「Cloudflareへの移行を非常に簡単にする全く新しい移行ツール」「ユーザーの近くで機械学習を実行」「Cloudflare独自の脅威インテリジェンスを表示」「人間がミスを犯しにくくする」
1日目
Cloudflare Page Shield を使ってホワイトリスト型のCSPレスポンスヘッダを付与できるように。ポリシービルダでどのページか、ログモードか等を指定する。
— kyhayama (@kyhayama) March 22, 2023
また PCI DSS 4.0 では、クライアント側のセキュリティ脅威に対処するためのシステムとプロセスを企業に義務付けも。https://t.co/gWUW4XqYuj
Cloudflare Brand Protection、正規ブランドのフィッシング専用に作成されたホストネームを検出する機能。1.1.1.1,に対する毎日の数兆件のDNSクエリーを調査し、ドメインやサブドメインの最初の使用を監視。今後は SSL 証明書透明性ログやゼロトラストとも統合利用できる予定https://t.co/YsvVaEPnVl pic.twitter.com/SH8W3fZ0lR
— kyhayama (@kyhayama) March 22, 2023
mTLS for Workers が全てのお客様に GA!wrangler でアップロードし、binding でクライアント証明書を指定して、fetch ごとに使い分けられる仕様。アカウントごとに最大1000個のクライアント証明書をアップロードできる。https://t.co/nTC4DKdSwl
— kyhayama (@kyhayama) March 22, 2023
Cloudflare Access のアクセス先サーバーにソフトウェア不要かつセキュアな構成が可能に。具体的には Aegis (Dedicated Egress IP for CDN) と CNI (Cloudflare Network Interconnect) を使ってエアギャップな構成を実現できる。https://t.co/tB7bWipGLG pic.twitter.com/J5y9ZVlFoX
— kyhayama (@kyhayama) March 22, 2023
CISAによると、サイバー攻撃の90%はフィッシングメールで始まり、ビジネスメール詐欺(BEC)として知られる同様のタイプのフィッシング攻撃による損失は、組織が直面する430億ドルの問題であるとされている。フィッシング攻撃に対するセーフティネットとしてメールリンク分離もhttps://t.co/kSNhJciDHU pic.twitter.com/edPCqkFHKs
— kyhayama (@kyhayama) March 22, 2023
Cloudflare からオリジンへの接続に固定 IP オプションが出ました。大規模な組織では、多数のアプリケーションそれぞれに対して Tunnel や mTLS を構成するより固定 IP を使った方が構成をシンプルにできる。Workers を使った際もちゃんと固定 IP で出ていける。https://t.co/aFEDHpqykC pic.twitter.com/GFepuTEIO9
— kyhayama (@kyhayama) March 22, 2023
2日目
Cloudflareは、Ping Identity の PingOne と PingFederate のお客様に対して完全な統合サポートを提供することを発表。まもなく SCIM サポートの見込みであることも共有。
— kyhayama (@kyhayama) March 23, 2023
(PingOne がクラウド型で、PingFederate がオンプレミス型という理解)https://t.co/7ZuaUzKUQn
Cloudflare で、Microsoft Purview Information Protectionラベルの DLP 検出が可能に。MSアカウントと統合し、ラベルを取得。ラベル付きデータの移動を誘導するルールを構築するだけ。数回のクリックで、Microsoftのラベル機能を企業内のあらゆるトラフィックに拡張できる。https://t.co/9a6SV32CCz pic.twitter.com/dmml5n4EKo
— kyhayama (@kyhayama) March 23, 2023
Cloudflare CASBにAtlassian Confluence用とAtlassian Jira用の2つの新しい統合が登場。JiraとConfluenceを含むSaaS全体のセキュリティを確認できる単一のビューを管理者に提供することで、潜在的なセキュリティリスクについて最新情報を入手することを容易にします。https://t.co/KLD8cLlFbq pic.twitter.com/9dJGvnzQq2
— kyhayama (@kyhayama) March 23, 2023
既存のZscalerのお客様をCloudflare Oneに移行するためのDescalerプログラムを発表。特に数回のクリックで、すでに導入されているZscaler製品の設定と構成を自動的にエクスポートする一連の技術ツールとスクリプトの活用を支援。それらを変換してから新アカウントに移行。https://t.co/26dZIovtFi pic.twitter.com/YmGqNlrEdh
— kyhayama (@kyhayama) March 23, 2023
Cloudflareは平均で秒間4500万HTTPリクエストを処理し、ピーク時には6100万以上のHTTPリクエスト/秒。DNSクエリも約2460万のクエリ/秒を処理。私たちはインターネット動向を前例のない視点から見ることができる --> 企業は可視性、検出および緩和技術に投資することが重要。https://t.co/O5ZhUz0KQh
— kyhayama (@kyhayama) March 23, 2023
Sumo LogicのCloud SIEMにおける Cloudflare LogpushのZero Trustログの自動正規化・相関化のサポート拡充を発表(既存のCloudflare App for Sumo Logicを補完)。ログは、組織内外で起きている活動を「誰が」「何を」「いつ」「どこで」行うかを示し、有用かつ重要です。https://t.co/EQMejHbMm9 pic.twitter.com/XLa8wvGrSV
— kyhayama (@kyhayama) March 23, 2023
3日目
SVB 破綻の話題に乗じたフィッシング。Cloudflare もターゲットにされた、DocuSign に見せかけた本人確認の例を掲載。Cloudflareは、新興キャンペーンを積極的に監視し、アドバイザリと検出モデルの更新を公開します。見られる戦術は他の類似したキャンペーンと変わりません。https://t.co/VvFflziyR2
— kyhayama (@kyhayama) March 25, 2023
Cloudflare の API Gateway は認証セッション情報なしにリアルタイムに API をディスカバリし、さらにスキーマも自動で学習し生成できるように。何の事前情報もなく、観測 --> ディスカバリ --> スキーマ学習 --> スキーマ検証の流れで数クリックで API 保護を始められます。https://t.co/IBXSGdw1IU pic.twitter.com/guOUhXukVO
— kyhayama (@kyhayama) March 25, 2023
Cloudflare API Gateway で Sequence Analytics が利用可能に。Correlation Scoreによってシーケンスを評価。 最も高い相関スコアで上位20のシーケンスが表示され、順序通りに発生する可能性があるAPIリクエストが含まれる。近日中に、リクエストをブロックする機能が可能に。https://t.co/ZxwxeUgbll pic.twitter.com/jKPTJl857J
— kyhayama (@kyhayama) March 25, 2023
Cloudflare が無料ツール Radar URL Scanner (https://t.co/DUXJZIaZ6a) のアーリーアクセスを発表!スキャン結果は全員に公開。このツールの裏側では、 Workers Browser Rendering API が活用されている。さすが。インターネットをより透明で安全に。https://t.co/KTGfNUS3cn pic.twitter.com/j7JI0NkcxC
— kyhayama (@kyhayama) March 25, 2023
Cloudflare Fraud Detectionを発表。不正行為の検出と分類を支援します。不正検知シグナルは、Firewall Rules で扱えるような形で、他の機能と組み合わせて使用できるように提供。これらの機械学習モデルは0.2ミリ秒以下で実行。2023年後半のアーリーアクセスに参加できる。https://t.co/wMwJEy2u3A
— kyhayama (@kyhayama) March 25, 2023
DNSトンネリングとドメイン生成アルゴリズム (DGA)に対して、Cloudflareが機械学習を使用して検出する方法を解説。1.1.1.1上で観測された問い合わせから絞り込み、DGA分類器を適用し、世界中のどこでもすばやく検出が可能。もちろんプライバシーにも配慮したデータを活用。https://t.co/PTdXFKhwkY pic.twitter.com/nTT6lZOTCp
— kyhayama (@kyhayama) March 25, 2023
Cloudflare WAF 攻撃スコア Lite と Security Analytics がビジネスプランでも利用可能に。スコアリングにより、既知の攻撃ベクトルに似た未知の攻撃を検知し、ブロックできる。Security Analytics からドリルダウンし、ルール作成するのも超簡単なのでお試しあれ。https://t.co/2MKi1cEcv5 pic.twitter.com/DKkqcRKgj5
— kyhayama (@kyhayama) March 25, 2023
4日目
Cloudflare と IBM Cloud のパートナーシップ拡充。Bot Management が 2023 年後半に IBM Cloud でも使えるように。また、Keyless SSL (プライベート鍵を Cloudflare 外で管理)も IBM 暗号鍵保管ソリューションと連携して利用できるようになる予定。https://t.co/bj9QBrEnNp
— kyhayama (@kyhayama) March 26, 2023
Keyless SSL (プライベート鍵を Cloudflare 外で管理)で、鍵サーバーの連携にセキュアな Cloudflare Tunnel を利用可能に(公開 DNS レコードは不要に)。https://t.co/F6AGMWHpuu
— kyhayama (@kyhayama) March 26, 2023
Get started with Keyless SSL · Cloudflare SSL/TLS docshttps://t.co/xprmj56xC9 pic.twitter.com/8IwAr98VkK
Cloudflare の Super Bot Fight モードがカスタムルールでスキップできるように。WAF などと同様の Ruleset として扱えるようになったため、同様の柔軟性を持って設定が可能に。特にWordpress のループバックチェック用にオプションを追加。今後はプラグインとも統合予定。https://t.co/M2NAy43U9T
— kyhayama (@kyhayama) March 26, 2023
Cloudflare は最先端の暗号化、ポスト量子暗号化の実装をすべての人が無料で永久に利用できるようにします。インターネットのデフォルトで暗号化された未来を前進させるのが目的。今年後半には、導入が容易でベンダー中立の一連のロードマップをオープンソースとして公開予定https://t.co/goxT8Zj80Q
— kyhayama (@kyhayama) March 26, 2023
ポスト量子暗号化のアルゴリズムである Kyber は AI により破られていないことを説明する記事。サイドチャネルトレースを通じて秘密情報を推定・抽出する機械学習は現実的に容易ではない。https://t.co/PKykZIkoLE
— kyhayama (@kyhayama) March 26, 2023
5日目
Cloudflare DMARC Management をベータ版で公開!誰が自社ドメインになりすましてメール送信しているか完全に把握できる。具体的には dmarc.cf@cloudflare.com のようなメールにDMARC集計レポートを送信する。また、Security Center に CASB も合わせて統合予定。https://t.co/Jh1tQsaey0 pic.twitter.com/UZBDz2M6Y3
— kyhayama (@kyhayama) March 27, 2023
Cloudflare Area 1 Email Security が KnowBe4 と統合可能に。KnowBe4 (KSMAT, SecurityCoach)は、セキュリティ訓練やフィッシングシミュレーションをおこなえるプラットフォーム。検知した段階でリアルタイムに警告キャンペーンを社内展開できる。ゼロトラストとも統合予定https://t.co/TjBSZqRfVy pic.twitter.com/a4ciaWBsS2
— kyhayama (@kyhayama) March 27, 2023
Cloudflare DMARC Management は Email Workers を使って受信した DMARC レポートを解析する実装。顧客自身もやろうと思えばできる構成なので、オープンソース化した https://t.co/Hmd07ukzP4
— kyhayama (@kyhayama) March 27, 2023
受信する系はほとんど Workers で足りるな 🤔https://t.co/OFsEiGMT12 pic.twitter.com/dOn6ZM4kNB
Cloudflare Access のカスタムページ(ログイン、ブロック、App Launcher)がまもなくクローズドベータで利用可能に。CDN 側で同様の仕組みがあるので、そちらが整い次第、Access も柔軟性のあるカスタムページを構築できる予定。https://t.co/4z0gsRTTVo
— kyhayama (@kyhayama) March 27, 2023
恒例の最速自慢。遅いから誰も使わないのでは全く効果がありませんが、Cloudflareは、最も報告された上位3,000のネットワークの47%で1位です。当社のアプリケーションセキュリティテストでは、CloudflareはZscalerよりも50%速く、Netskopeよりも75%速いことが示されています。https://t.co/6vR70ZLI7Y pic.twitter.com/0KLwItSqwL
— kyhayama (@kyhayama) March 27, 2023
6日目
Cloudflare リージョナルサービスに、一般に利用可能なリージョンが新たに追加。通信の復号化と処理が可能なデータセンターに関しての厳格な要件に有用。Cloudflareダッシュボードでワンクリック操作で変更でき、変更は数秒以内に有効。https://t.co/gPMKIjQHqf pic.twitter.com/DD17lgn61J
— kyhayama (@kyhayama) March 27, 2023
Cloudflare Access でワイルドカード、複数ホスト名のサポートをオープンベータで開始。例えば、SPA アプリでフロントエンドとAPIサービスが異なるホスト名上にあっても追加のソフトウェア変更なしに安全に通信できる。特定ホスト名はワイルドカードより優先される。https://t.co/WaGpIKHHDl
— kyhayama (@kyhayama) March 27, 2023
エンタープライズプランのすべてのお客様にアカウントセキュリティ分析とセキュリティイベントへのアクセスがベータ版で可能になりました。Account Bot Management、WAF Attack Score、Account WAFを同時に使用することをお勧めします。
— kyhayama (@kyhayama) March 27, 2023
アカウント全体の傾向把握はこれで十分https://t.co/xiUVyNS818 pic.twitter.com/KI9rTeB9mP
ラップアップ
5つの重要なことを迅速かつ容易に実現する支援
— kyhayama (@kyhayama) March 27, 2023
1. Zero Trustの導入と管理を容易に
2. サードパーティ製品の数を減らす
3. 機械学習を活用し、人間が集中できるように
4. より独自のCloudflare脅威インテリジェンスを提供
5. 人間がミスを犯しにくくするhttps://t.co/JRTyE6TcrB