ギャップに注意:ブートからログインまでの継続的強制のための新ツール
Cloudflareは、ゼロトラスト環境における「認証前」のセキュリティギャップを解消するため、Windows版Cloudflare One Clientに強制認証機能と独自のMFAを追加発表した。
キーポイント
認証前のセキュリティギャップの解消
MDM経由でクライアントがインストールされ、ユーザーがまだ認証していない状態やセッション切れ後の「グレーゾーン」において、ネットワーク可視性と制御が失われる問題を特定し、その対策を講じた。
強制認証(Mandatory Authentication)の導入
Windows版Cloudflare One Clientにおいて、認証フロー以外のすべてのインターネットトラフィックをデフォルトでブロックし、認証プロセスのみを例外として許可する仕組みを実装した。
ユーザー体験とセキュリティの両立
セキュリティを強化しながらもユーザーに摩擦(フリクション)を与えないよう、認証フローをガイド付きで提供し、ゼロトラストの実装における「摩擦」を軽減するアプローチを示した。
IdPとは独立した「ステップアップMFA」の提供
Cloudflare Accessは、OktaやEntra IDなどの主要なIDプロバイダー(IdP)とは別にネットワークエッジで動作する二次の信頼の根拠を提供し、IdPが侵害されても攻撃者を遮断する。
多様な認証方法と細粒度なポリシー制御
生体認証、セキュリティキー(FIDO2/WebAuthn)、TOTPなどをサポートし、アプリケーションやユーザー属性(例:社内社員と外部コントラクター)に応じて認証強度を柔軟に設定できる。
レガシーアプリへのMFA追加とユーザー体験の向上
コード変更なしで既存のレガシーアプリに現代のMFA機能を追加可能であり、ユーザーはApp Launcherを通じて簡単にMFAデバイスを登録できる。
セキュリティの「ループを閉じる」ことによる攻撃範囲の縮小
デバイス登録と認証、そして重要な資産に対する第二層の検証を組み合わせることで、潜在的な攻撃の「爆発半径」を大幅に小さくする。
影響分析・編集コメントを表示
影響分析
本発表は、ゼロトラストアーキテクチャの実装における実務的な課題である「初期設定後の管理空白地帯」を明確に定義し、解決策を示した点で意義がある。特に、セキュリティポリシーの厳格化がユーザーの非協力的な行動(回避行為)を招くリスクに対し、技術的な強制力とUXの改善を両立させたアプローチは、エンタープライズセキュリティ担当者にとって参考になる実用的な知見である。ただし、特定のベンダー製品(Cloudflare One)の機能追加であり、業界全体を揺るがす革新的な新技術というよりは、既存のSASE/ZTNA市場における機能競争の一環と位置づけられる。
編集コメント
セキュリティ担当者にとって「認証されていないデバイス」のリスクは常にあるが、それを技術的に封じる方法論を提示したのは価値がある。ただし、これはCloudflare製品固有の機能であり、ベンダーロックインの可能性を考慮した上での採用検討が必要である。
セキュリティカンファレンスでのパネルディスカッションや社内会議における「質問に答える会」の定番クエスチョンの一つとして、私たちが最も好きなものは「夜中に目を覚まさせる最大の懸念は何ですか?」という古典的な問いです。
CISO(最高情報セキュリティ責任者)にとって、この問いはそれ自体が少し悪夢のようなものです。答えは一つではなく、数十個あります。それは、世界中に分散した労働力が最高の成果を出せるように支援することと、その「最高の成果」が結果として壊滅的なデータ侵害の扉を無意識に開いてしまうこととの間の絶え間ない緊張関係です。
私たちはしばしば「ゼロトラストへの旅路」について語りますが、現実はその旅路がほとんど確実に摩擦で舗装されているということです。セキュリティ対策があまりにも煩雑であれば、ユーザーはそれを回避する創造的(かつ危険な)方法を見つけます。一方、効果性を犠牲にしてシームレスにすれば、決意した敵対者に対する防御として十分でない可能性があります。
本日、私たちはクラウドフレアの SASE ツールボックスにおいて、リモートアクセスを近代化するための新しいツール二つを発表できることを嬉しく思います。これらはユーザー体験に摩擦を加えることなく、ネットワークセキュリティの「暗い隅」を取り除くために設計されたものです:必須認証と、クラウドフレア独自の多要素認証(MFA)です。
インストールと運用強化の間のギャップへの対応
Cloudflare One Client をデプロイすると、驚くべき可視性と制御権を獲得できます。許可された宛先に対するポリシーを適用し、Cloudflare を経由するインターネットトラフィックを定義し、アプリケーション層とネットワーク層の両方でトラフィック検査を設定することが可能です。しかし、ユーザーが実際に認証されていない時点からの可視性に関する課題は常に存在していました。
このギャップは主に 2 つのシナリオで発生します:
新しいデバイス: Cloudflare One Client はモバイルデバイス管理 (MDM) を経由してインストールされますが、ユーザーはまだ認証していません。
再認証グレーゾーン: セッションが期限切れとなり、ユーザーが忘れや制限を回避したいという欲求から、再度ログインしない場合です。
いずれの場合も、デバイスは未知のものとなります。これは危険です。可視性を失い、セキュリティ姿勢はローカルマシンが許可する内容に後退してしまいます。
必須認証の導入
このループを閉じるため、必須認証を導入します。MDM 設定経由で有効化すると、Cloudflare One Client はマシン起動時からインターネットアクセスのゲートキーパーとなります。
ユーザーがアクティブに認証されていない場合、Cloudflare One Client は以下の動作を行います:
システムファイアウォールを使用してデフォルトですべてのインターネットトラフィックをブロックします。
プロセス固有のエクスプション (例外) を使用して、デバイスクライアントの認証フローからのトラフィックを許可します。
ユーザーに認証を促し、適切なボタンを探す手間をかけずにプロセスを案内します。
接続のための前提条件として認証を行うことで、管理されているすべてのデバイスを常時把握することができます。
注:必須認証機能は、まず Windows 用の Cloudflare One クライアントで利用可能になり、他のプラットフォームへの対応も順次追加されます。
信頼の源泉が一つでは不十分な場合
多くの組織は、主要なセキュリティの基盤としてシングルサインオン(SSO)へ移行しています。Okta、Entra ID、または Google を利用している場合、初期ログイン時に多要素認証(MFA: Multi-Factor Authentication)を要求していることでしょう。これは素晴らしい第一歩ですが、現代の脅威環境においては、もはやゴールラインではありません。
厳しい真実は、アイデンティティプロバイダー(IdP: Identity Provider)が高価値な標的となっていることです。攻撃者が巧妙なセッションハイジャックやソーシャルエンジニアリングを通じてユーザーの SSO セッションを乗っ取ることに成功すれば、その SSO の背後にあるすべてのアプリケーションへの鍵を実質的に握ることになります。
Cloudflare による独立した MFA:二次的な信頼の基盤
ここで Cloudflare の MFA が役立ちます。これは、IdP に依存せずネットワークエッジで動作する「ステップアップ MFA」と考えてください。
IdP から分離して維持することで、保護されたリソースへのアクセスを試みるすべてのユーザーについて、もう一つの権限機関が「承認」を行う必要があります。つまり、主要な IdP の認証情報が侵害または偽造された場合でも、攻撃者は生産データベースのようなリソースにアクセスしようとした際に壁にぶつかります。なぜなら、彼らは第 2 要素へのアクセス権を持っていないからです。
Cloudflare Access は、MFA(多要素認証)を提供するためのいくつかの異なる手段を提供します:
生体認証(Windows Hello、Apple Touch ID、および Apple Face ID など)
セキュリティキー(WebAuthn および FIDO2、ならびにインフラストラクチャ用 Access を備えた SSH 用の PIV)
認証アプリを介した時間ベースのワンタイムパスワード(TOTP)
管理者は、ユーザーがどのように認証し、どの頻度で認証するかを定義する柔軟性を持ちます。これは、グローバルレベル(つまり、すべての Access アプリケーションに対して必須 MFA を設定する)だけでなく、特定のアプリケーションやポリシーに対するより細かな制御でも構成できます。例えば、組織はチャットアプリには保証度の低い MFA 方法を許可する一方、ソースコードへのアクセスにはセキュリティキーを要求することを決定できるかもしれません。
あるいは、第三者(契約業者など)に対して、通常は個人メールや LinkedIn のようなソーシャル ID を使用する可能性があるリソースに対して、強力な MFA を強制することもできます。また、ネイティブでサポートされていないレガシーアプリケーションにも、コードを一行も変更することなく、最新の MFA 方法を簡単に追加できます。
エンドユーザーは、App Launcher を介して MFA デバイスを容易に登録できるようになります。

アクセスポリシーの MFA(多要素認証)設定をカスタマイズした例。注:これはモックアップであり、実際の内容は変更される可能性があります。
Cloudflare の独立型 MFA はクローズドベータ版として提供されており、毎週新しい顧客がオンボーディングされています。この新機能をお試しになりたい場合は、こちらからアクセスリクエストを行ってください!
CISO を安心させる支援
セキュリティは往々にして「ループを閉じる」ゲームです。デバイスがオープンインターネットに接続する前に登録と認証を完了させ、最も重要な資産に対して独立した第 2 の検証層を要求することで、潜在的な攻撃の「影響範囲(ブラスト半径)」を大幅に縮小しています。
これらの機能は単なるセキュリティの強化にとどまらず、「確実性」をもたらします。ポリシーが確実に執行されているという確実性と、1 つのパスワードが侵害されたとしても全体が乗っ取られるわけではないという確実性です。
私たちは単純なアクセス制御を超え、継続的かつ自動化されたポスチャ(状態)強制の世界へと移行しています。そして、まだ始まったばかりです。
あなたの fleet をロックダウンしたいですか?Cloudflare One は最大 50 ユーザーまで無料で利用可能です。今日から始められます。
これらのツールを使用して、境界を強化し、ユーザーの日常業務ワークフローを簡素化する方法について、どのように活用されるかを楽しみにしています。いつも通り、皆様からのフィードバックをお待ちしております!Cloudflare コミュニティに参加するか、アカウントチームまでご連絡いただき、ご意見を共有してください。
原文を表示
One of our favorite ask-me-anything questions for company meetings or panels at security conferences is the classic: “What keeps you up at night?”
For a CISO, that question is maybe a bit of a nightmare in itself. It does not have one single answer; it has dozens. It’s the constant tension between enabling a globally distributed workforce to do their best work, and ensuring that "best work" does not inadvertently open the door to a catastrophic breach.
We often talk about the "zero trust journey," but the reality is that the journey is almost certainly paved with friction. If security is too cumbersome, users find creative (and dangerous) ways around it. If it’s seamless at the cost of effectiveness, it might not be secure enough to stop a determined adversary.
Today, we are excited to announce two new tools in Cloudflare’s SASE toolbox designed to modernize remote access by eliminating the "dark corners" of your network security without adding friction to the user experience: mandatory authentication and Cloudflare’s own multi-factor authentication (MFA).
Addressing the gap between installation and enforcement
When you deploy the Cloudflare One Client, you gain incredible visibility and control. You can apply policies for permitted destinations, define the Internet traffic that routes through Cloudflare, and set up traffic inspection at both the application and network layer. But there has always been a visibility challenge from when there is no user actually authenticated.
This gap occurs in two primary scenarios:
A new device: Cloudflare One Client is installed via mobile device management (MDM), but the user has not authenticated yet.
Re-authentication grey zone: The session expires, and the user, either out of forgetfulness or a desire to bypass restrictions, does not log back in.
In either case, the device is now unknown. This is dangerous. You lose visibility, and your security posture reverts to whatever the local machine allows.
Introducing mandatory authentication
To close this loop, we are introducing mandatory authentication. When enabled via your MDM configuration, the Cloudflare One Client becomes the gatekeeper of Internet access from the moment the machine boots up.
If a user is not actively authenticated, the Cloudflare One client will:
Block all Internet traffic by default using the system firewall.
Allow traffic from the device client’s authentication flow using a process-specific exception.
Prompt users to authenticate, guiding them through the process, so they don’t have to hunt for the right buttons.
By making authentication a prerequisite for connectivity, you ensure that every managed device is accounted for, all the time.
Note: mandatory authentication will become available in our Cloudflare One client on Windows initially, with support for other platforms to follow.
When one source of trust is not enough
Most organizations have moved toward single sign-on (SSO) as their primary security anchor. If you use Okta, Entra ID, or Google, you likely require MFA at the initial login. That’s a great start, but in a modern threat landscape, it is no longer the finish line.
The hard truth is that identity providers (IdPs) are high-value targets. If an attacker successfully compromises a user’s SSO session, perhaps through a sophisticated session hijacking or social engineering, they effectively hold the keys to every application behind that SSO.
Cloudflare’s independent MFA: a secondary root of trust
This is where Cloudflare’s MFA can help. Think of this as a "step-up MFA" that lives at the network edge, independent of your IdP.
By remaining separate from your IdP, this introduces another authority that has to “sign off” on any user trying to access a protected resource. That means even if your primary IdP credentials are compromised or spoofed, an attacker will hit a wall when trying to access something like your production database—because they do not have access to the second factor.
Cloudflare Access will offer a few different means of providing MFA:
Biometrics (i.e., Windows Hello, Apple Touch ID, and Apple Face ID)
Security key (WebAuthn and FIDO2 as well as PIV for SSH with Access for Infrastructure)
Time-based one-time password (TOTP) through authenticator apps
Administrators will have the flexibility to define how users must authenticate and how often. This can be configured not only at a global level (i.e., establish mandatory MFA for all Access applications), but also with more granular controls for specific applications or policies. For example, your organization may decide to allow lower assurance MFA methods for chat apps, but require a security key for access to source code.
Or, you could enforce strong MFA to sensitive resources for third-parties like contractors, who otherwise may use a personal email or social identity like LinkedIn. You can also easily add modern MFA methods to legacy apps that don’t otherwise support it natively, without touching a line of code.
End users will be able to enroll an MFA device easily through their App Launcher.
image
Example of what customizing MFA settings for an Access policy may look like. Note: This is a mockup and may change.
Cloudflare’s independent MFA is in closed beta with new customers being onboarded each week. You can request access here to try out this new feature!
Helping CISOs sleep at night
Security is often a game of "closing the loop." By ensuring that devices are registered and authenticated before they can touch the open Internet and by requiring an independent second layer of verification for your most precious assets, we are making the "blast radius" of a potential attack significantly smaller.
These features don't just add security; they add certainty. Certainty that your policies are being enforced and certainty that a single compromised password won't lead to a total breach.
We are moving beyond simple access control and into a world of continuous, automated posture enforcement. And we’re just getting started.
Ready to lock down your fleet? You can get started today with Cloudflare One for free for up to 50 users.
We’re excited to see how you use these tools to harden your perimeter and simplify your users’ day-to-day workflows. As always, we’d love to hear your feedback! Join us in the Cloudflare Community or reach out to your account team to share your thoughts.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み