リスク洞察を実践的な保護に変換:CloudflareとMastercardによるセキュリティ態勢の強化
CloudflareとMastercardは、MastercardのRiskRecon攻撃対象領域インテリジェンスとCloudflareの保護機能を統合し、2026年第3四半期にプレビュー予定の連携により、組織のインターネット公開資産の継続的な発見・監視・修復を自動化する計画を発表した。
キーポイント
攻撃対象領域の可視化と自動化の重要性
新しいドメインやアプリケーションの増加により攻撃対象領域が拡大する中、手動監査から自動化されたセキュリティ体制可視化への移行が安全なインターネット展開に不可欠であると指摘している。
Mastercard RiskReconの機能
公開データのみを使用して組織のインターネットフットプリントをマッピングし、シャドウITや忘れられたサブドメイン、不正なクラウドサーバーなどの外部脆弱性を特定・優先順位付けするアウトサイドインスキャナーである。
連携による相乗効果
Mastercardの攻撃対象領域インテリジェンス(セキュリティギャップの特定)とCloudflareの保護機能(問題の修正)を組み合わせ、組織は忘れられたドメインなどのシャドウ資産を発見し、Cloudflareプロキシ経由でトラフィックをルーティングすることで即座に保護できる。
セキュリティギャップの実態
Mastercardの2025年調査によると、パッチ未適用ソフトウェア、公開サービス、脆弱なアプリケーションセキュリティ、古いWeb暗号化が侵害の頻出要因であり、これらの分野でセキュリティ体制に大きなギャップがある組織はランサムウェア攻撃を受ける可能性が5.3倍、データ侵害を受ける可能性が3.6倍高かった。
Cloudflare利用によるセキュリティ向上の具体的な効果
Mastercardの調査によると、Cloudflareをプロキシとして利用する組織は、ソフトウェアの脆弱性が53%少なく、SSL/TLS問題が58%少なく、悪意のある行動が98%少ない。
セキュリティポスチャ評価の包括的なカテゴリ
Mastercardのセキュリティ評価は、ソフトウェアパッチ適用、アプリケーションセキュリティ、Web暗号化、露出サービス/ネットワークフィルタリングの4つの主要カテゴリで構成されている。
既存のセキュリティソリューションの限界
Cloudflareのセキュリティインサイトは既存ドメインのリスクを特定できるが、存在を知らないドメインを保護できないという重要なセキュリティギャップが残っている。
影響分析・編集コメントを表示
影響分析
この連携は、クラウドセキュリティ分野における重要な進展であり、攻撃対象領域管理の自動化と外部脅威の可視化を実現する。特に、従来の内部スキャンでは見逃されがちなシャドウIT資産の発見と保護を可能にすることで、組織のセキュリティ体制を根本から強化する可能性がある。
編集コメント
セキュリティ自動化の実用的な進展として注目されるが、発表時点ではまだプレビュー段階であり、実際の効果は実装後に評価される必要がある。企業連携によるエコシステム拡大の一例としても興味深い。
タイトル: リスクの洞察を実践的な保護へ: CloudflareとMastercardによるセキュリティ態勢の強化
新たなドメイン、アプリケーション、ウェブサイト、またはAPIエンドポイントは、組織の攻撃対象領域を拡大します。多くのチームでは、イノベーションとデプロイメントの速度が、これらの資産を把握・保護する能力を上回り、しばしば「標的は豊富だがリソースは乏しい」環境を生み出します。その結果、管理されていないインフラストラクチャが攻撃者にとって容易な侵入点となります。
手動で行う一時的な監査を、自動化されたセキュリティ態勢の可視性に置き換えることは、インターネット上のプレゼンスを安全に拡大するために不可欠です。そこで、Cloudflareダッシュボード内で直接、インターネットに接続された盲点の継続的な発見、監視、修復を可能にする統合の計画を発表できることを嬉しく思います。それは、MastercardのRiskRecon攻撃対象領域インテリジェンス機能です。
従量課金制およびエンタープライズアカウントの情報セキュリティ担当者は、2026年第3四半期にこの統合をプレビューできるようになります。
攻撃対象領域インテリジェンスは、攻撃者よりも先にセキュリティギャップを発見できる
MastercardのRiskRecon攻撃対象領域インテリジェンスは、公開アクセス可能なデータのみを使用して組織のインターネット上のフットプリント全体をマッピングすることで、外部の脆弱性を特定し、優先順位付けします。アウトサイドイン型スキャナーとして、このソリューションは即座に導入でき、内部の認証情報を用いたスキャンでは見逃されがちな「シャドウIT」、忘れられたサブドメイン、未承認のクラウドサーバーを明らかにします。攻撃者がリアルタイムで見ているものを把握することで、セキュリティチームは悪用される前に先制的にセキュリティギャップを閉じることができます。
しかし、攻撃者は通常どのようなセキュリティギャップを悪用しようとするのでしょうか。セキュリティ侵害を経験した15,896組織を対象とした2025年の調査で、Mastercardは、パッチ未適用のソフトウェア、公開されたサービス(例:データベース、リモート管理)、脆弱なアプリケーションセキュリティ(例:認証の欠如)、古いウェブ暗号化が頻繁に見られる特徴であることを発見しました(以下のグラフ参照)。
同じ調査では、これらの分野で重大なサイバーセキュリティ態勢のギャップがある組織は、良好なサイバーセキュリティ衛生状態を維持している企業と比較して、ランサムウェア攻撃を受ける可能性が5.3倍高く、データ侵害を受ける可能性が3.6倍高いこともわかりました。
なぜCloudflareとMastercardが提携するのか
このパートナーシップは、セキュリティギャップを特定するMastercardの攻撃対象領域インテリジェンスと、それらを修正するCloudflareの能力を組み合わせます。組織はMastercardのデータを使用して、忘れられたドメインや保護されていないクラウドインスタンスなどのシャドウ資産を見つけ、Cloudflareのプロキシを介してトラフィックをルーティングすることで保護できます。これにより、基盤となるウェブサイトやアプリケーションを変更することなく、セキュリティ制御を即座に導入できます。
約388,000組織、1,800万システム以上に及ぶサンプルに基づくと、Mastercardの攻撃対象領域インテリジェンスは、Cloudflareをプロキシとして使用するシステムは、使用しないシステムよりも大幅に優れたセキュリティ衛生状態を示しています:
- ソフトウェアパッチ適用: ソフトウェア脆弱性が53%少ない
- ウェブ暗号化: SSL/TLS問題が58%少ない
- システムレピュテーション: 悪意のある行動(例:ボットネットのC&Cサーバーとの通信、フィッシングサイトのホスティング)のインスタンスが98%少ない
以下の表は、Mastercardが提供するセキュリティ態勢の洞察に関する追加の詳細を示しています。これらの洞察は、公開アクセス可能なホスト、ウェブアプリケーション、構成をパッシブにスキャンすることで生成されます。
| カテゴリ | セキュリティチェック | 説明 |
|---|---|---|
| ソフトウェアパッチ適用 | アプリケーションサーバー | パッチ未適用のアプリケーションサーバーソフトウェア。 |
| OpenSSL | パッチ未適用のOpenSSL。 | |
| CMSパッチ適用 | パッチ未適用のコンテンツ管理システム(CMS)ソフトウェア。 | |
| ウェブサーバー | パッチ未適用のウェブサーバーソフトウェア。 | |
| アプリケーションセキュリティ | CMS認証 | インターネットに公開されているCMS管理インターフェースの列挙。 |
| 高価値システム暗号化 | 暗号化が実装されていない機密データを収集するシステムの列挙。 | |
| 悪意のあるコード | 悪意のあるコード(Magecart)を含むシステムの列挙。 | |
| ウェブ暗号化 | 証明書有効期限 | SSL証明書が期限切れ。 |
| 証明書有効開始日 | SSL証明書有効開始日がまだ到来していない。 | |
| 暗号化ハッシュアルゴリズム | 脆弱なSSL暗号化ハッシュアルゴリズム。 | |
| 暗号化鍵長 | 脆弱なSSL暗号化鍵長。 | |
| 証明書サブジェクト | 無効なSSL証明書サブジェクト。 | |
| 公開サービス / ネットワークフィルタリング | 安全でないネットワークサービス | データベース(例:SQL Server、PostgreSQL)やリモートアクセスサービス(例:RDP、VNC)など、システム上で実行されている安全でないネットワークサービスの列挙。 |
| IoTデバイス | プリンター、組み込みシステムインターフェースなどのIoTデバイスの列挙。 |
包括的なドメイン発見、継続的な態勢可視性、修復
Cloudflareのアプリケーションセキュリティスイート内のCloudflare Security Insightsは現在、Cloudflareによって既にプロキシされているドメインについて、DNS設定ミス、脆弱なウェブ暗号化、非アクティブなWAFルールなどのリスクを特定します。しかし、重大なセキュリティギャップが残っています。存在を知らないドメインは保護できません。
Mastercardとの統合は、これらの盲点を排除します。1,200万以上の組織のインターネット上のフットプリントを継続的にプロファイリングすることで、Mastercardは、Cloudflareプロキシの背後にまだない場合でも、あなたの会社に関連するドメイン、ホスト、ソフトウェアスタックを特定します。これにより、Security InsightsがシャドウITや保護されていないホストを可視化し、CloudflareのWAFとDDoS保護でそれらを保護できるようになります。
可視性は最初の一歩に過ぎません。発見された資産の重要度を理解することが、セキュリティチームが調査結果に優先順位を付けることを可能にします。各ホストには重要度レベルが割り当てられます:
- 高重要度: 機密データを収集する、認証を必要とする、またはデータベースリスナーやリモートアクセスなどの機密ネットワークサービスを実行するホストに割り当てられます。
- 中重要度: 同じクラスCネットワーク上にあるなど、高重要度システムに隣接するパンフレットウェブサイトを実行するホストに割り当てられます。
- 低重要度: 重要なシステムに隣接していないパンフレットウェブサイトを実行するホストに割り当てられます。
以下は、多くのドメインを認識していない組織の架空の例です。これらの発見されたドメインのうち、現在Cloudflareによってプロキシされているのは1つだけです。Security Insights内では、シャドウドメインとホストについてこのレベルの詳細を視覚化できます。
| ドメイン | Cloudflareによる保護 | ホスト(IP) | 重要度 | 場所 | ホスティングプロバイダー |
|---|---|---|---|---|---|
| search-engine.net | はい | portal.search-engine.net (10.XXX.XX.5) | 高 | アメリカ合衆国 スプリングフィールド | Cloudflare |
| zenith-industries.com | いいえ | vpn.zenith-industries.com (10.XXX.XXX.106) | 高 | フィンランド ヘルシンキ | CloudNode-Services |
| stratus-global.com | いいえ | store.stratus-global.com (10.XXX.XXX.124) | 高 | ドイツ ミュンヘン | SwiftStream-Tech |
| core-logic.cl | いいえ | extranet.core-logic.cl (10.XXX.XXX.178) | 高 | チリ サンティアゴ | SecureCanopy Ltd. |
| vanguard-labs.com | いいえ | extranet.vanguard-labs.com (10.XXX.XX.197) | 高 | アメリカ合衆国 メトロポリス | GlobalSoft Systems |
| fusion-id.com | いいえ | fusion-id.com (10.XXX.XXX.146) | 高 | チェコ プラハ | EuroData-Hub |
| norden-biotech.no | いいえ | store.norden-biotech.no (10.XXX.XX.124) | 中 | アメリカ合衆国 シカゴ | SwiftStream-Tech |
| norden-biotech.se | いいえ | store.norden-biotech.se (10.XXX.XX.124) | 中 | アメリカ合衆国 シカゴ | SwiftStream-Tech |
*組織に関連するシャドウドメインと保護されていないホストの例*
Mastercardはまた、ソフトウェアパッチ適用、公開されたネットワークサービス(例:データベース、リモートアクセス)、アプリケーションセキュリティ(例:認証なしのCMS)などの分野を含む、インターネットに接続されたシステムのセキュリティ態勢への継続的な可視性を可能にします。これは、以下に示すように、Cloudflare Security Insightsを補完します。
*シャドウドメイン、プロキシされていないホスト、態勢調査結果を含むSecurity Insightsダッシュボード*
これらの洞察は、行動につながる場合にのみ有用です。単にドメインやホストが危険にさらされていると伝える代わりに、Cloudflare Security Insightsはそれらを修正するためのガイダンスを提供します。可能なステップには、Cloudflareプロキシの有効化(それによりシャドウゾーンとホストに対するDDoSおよびボット保護も)、セキュリティ制御の有効化(Web Application Firewall(WAF)のオンなど)、スキャンで特定された特定のリスクを軽減するためのより厳格なTLS暗号化の強制が含まれます。
次は何か: 更新されたセキュリティ洞察ダッシュボード
現在、MastercardのRiskRecon攻撃対象領域インテリジェンスをCloudflare Security Insightsダッシュボードに統合し、シャドウドメイン、保護されていないホスト、およびそれらに関連する態勢ギャップへの即時の可視性を提供する作業を進めています。
洞察の量が増加する中、私たちのロードマップにはリスクスコアリングとAI支援診断パスの構築も含まれています。これは、単に洞察を示すだけでなく、追加の関連する相関関係(パッチ未適用ホストへのトラフィックなど)を提案し、それを無力化するために必要な特定のWAFルールやAPI Shield構成を提案するダッシュボードを意味します。
タイトル: リスクに関する洞察を実行可能な保護へ: CloudflareとMastercardによるセキュリティ態勢の強化(続き 2/2)
私たちは、お客様がここでウェイティングリストにご参加いただけることを心より願っております。
原文を表示
Every new domain, application, website, or API endpoint increases an organization's attack surface. For many teams, the speed of innovation and deployment outpaces their ability to catalog and protect these assets, often resulting in a "target-rich, resource-poor" environment where unmanaged infrastructure becomes an easy entry point for attackers.
Replacing manual, point-in-time audits with automated security posture visibility is critical to growing your Internet presence safely. That’s why we are happy to announce a planned integration that will enable the continuous discovery, monitoring and remediation of Internet-facing blind spots directly in the Cloudflare dashboard: Mastercard’s RiskRecon attack surface intelligence capabilities.
Information Security practitioners in pay-as-you-go and Enterprise accounts will be able to preview the integration in the third quarter of 2026.
Attack surface intelligence can spot security gaps before attackers do
Mastercard’s RiskRecon attack surface intelligence identifies and prioritizes external vulnerabilities by mapping an organization's entire internet footprint using only publicly accessible data. As an outside-in scanner, the solution can be deployed instantly to uncover "shadow IT," forgotten subdomains, and unauthorized cloud servers that internal, credentialed scans often miss. By seeing what an attacker sees in real time, security teams can proactively close security gaps before they can be exploited.
But what security gaps are attackers typically looking to exploit? In a 2025 study of 15,896 organizations that had experienced security breaches, Mastercard found that unpatched software, exposed services (e.g. databases, remote administration), weak application security (e.g. missing authentication) and outdated web encryption were frequent hallmarks, as seen in the graph below.
image
The same study also found that organizations with significant cybersecurity posture gaps in these areas were 5.3x more likely to be hit by a ransomware attack, and 3.6x more likely to suffer a data breach compared to companies that maintain good cybersecurity hygiene.
Why Cloudflare and Mastercard are partnering
This partnership combines Mastercard’s attack surface intelligence—which identifies security gaps—with Cloudflare’s ability to fix them. Organizations can use Mastercard’s data to find shadow assets, such as forgotten domains or unprotected cloud instances, and secure them by routing traffic through Cloudflare’s proxy. This allows for the immediate deployment of security controls without changing the underlying website or application.
Based on a sample of approximately 388,000 organizations spanning over 18 million systems, Mastercard’s attack surface intelligence shows that systems using Cloudflare as a proxy have significantly better security hygiene than those that do not:
Software Patching: 53% fewer software vulnerabilities
Web Encryption: 58% fewer SSL/TLS issues
System Reputation: 98% fewer instances of malicious behavior (e.g. communicating with botnet command and control servers, hosting phishing sites).
image
The table below provides additional details on the security posture insights provided by Mastercard. These insights are generated by passively scanning publicly accessible hosts, web applications, and configurations.
Category
Security Check
Description
Software Patching
Application Servers
Unpatched application server software.
OpenSSL
Unpatched OpenSSL.
CMS Patching
Unpatched content management system software.
Web Servers
Unpatched webserver software.
Application Security
CMS Authentication
Enumeration of content management system administration interfaces publicly exposed to the internet.
High Value System Encryption
Enumeration of systems that collect sensitive data that do not have encryption implemented.
Malicious Code
Enumeration of systems containing malicious code (Magecart).
Web Encryption
Certificate Expiration Date
SSL certificate expired.
Certificate Valid Date
SSL certificate valid date not yet valid.
Encryption Hash Algorithm
Weak SSL encryption hash algorithm.
Encryption Key Length
Weak SSL encryption key length.
Certificate Subject
Invalid SSL certificate subject.
Exposed Services / Network Filtering
Unsafe Network Services
Enumeration of unsafe network services running on the system such as databases (e.g. SQL Server, PostgreSQL) and remote access services (e.g. RDP, VNC).
IoT Devices
Enumeration of IoT devices such as printers, embedded system interfaces, etc.
Comprehensive domain discovery, continuous posture visibility, and remediation
Cloudflare Security Insights in Cloudflare’s Application Security suite currently identifies risks—such as DNS misconfigurations, weak web encryption, or inactive WAF rules—for any domain already proxied by Cloudflare. However, a significant security gap remains: you cannot protect domains you don’t know exist.
The integration with Mastercard will eliminate these blind spots. By continuously profiling the Internet footprint of over 12 million organizations, Mastercard identifies domains, hosts, and software stacks associated with your company, even if they aren't yet behind a Cloudflare proxy. This will allow Security Insights to surface shadow IT and unprotected hosts, enabling you to secure them with Cloudflare’s WAF and DDoS protection.
Visibility is only the first step; understanding the criticality of discovered assets is what allows security teams to prioritize findings. Each host is assigned a criticality level:
High Criticality: Assigned to hosts that collect sensitive data, require authentication, or run sensitive network services like database listeners or remote access.
Medium Criticality: Assigned to hosts running brochure websites that are adjacent to high-criticality systems, such as those residing on the same class-C network.
Low Criticality: Assigned to hosts running brochure websites that are not adjacent to any critical systems.
Below is a fictitious example of an organization with many domains that they are unaware of. Of these discovered domains, only one is currently proxied by Cloudflare. Within Security Insights, you will be able to visualize this level of detail for shadow domains and hosts.
Domain
Protected by Cloudflare
Host (IP)
Criticality
Location
Hosting Provider
search-engine.net
Yes
portal.search-engine.net (10.XXX.XX.5)
HIGH
Springfield, United States
Cloudflare
zenith-industries.com
No
vpn.zenith-industries.com (10.XXX.XXX.106)
HIGH
Helsinki, Finland
CloudNode-Services
stratus-global.com
No
store.stratus-global.com (10.XXX.XXX.124)
HIGH
Munich, Germany
SwiftStream-Tech
core-logic.cl
No
extranet.core-logic.cl (10.XXX.XXX.178)
HIGH
Santiago, Chile
SecureCanopy Ltd.
vanguard-labs.com
No
extranet.vanguard-labs.com (10.XXX.XX.197)
HIGH
Metropolis, United States
GlobalSoft Systems
fusion-id.com
No
fusion-id.com (10.XXX.XXX.146)
HIGH
Prague, Czechia
EuroData-Hub
norden-biotech.no
No
store.norden-biotech.no (10.XXX.XX.124)
MEDIUM
Chicago, United States
SwiftStream-Tech
norden-biotech.se
No
store.norden-biotech.se (10.XXX.XX.124)
MEDIUM
Chicago, United States
SwiftStream-Tech
Example of shadow domains and unprotected hosts associated with an organization
Mastercard will also allow continuous visibility into the security posture of Internet-facing systems including in areas like software patching, exposed network services (e.g., databases, remote access) and application security (e.g., unauthenticated CMSes) — complementing Cloudflare Security Insights, as shown below.
image
Security Insights dashboard with shadow domains, unproxied hosts, and posture findings
These insights are only useful if they lead to action. Instead of just telling you that a domain or host is at risk, Cloudflare Security Insights will guide you to fixing them. Possible steps include enabling a Cloudflare proxy (and by extension DDoS and bot protection for shadow zones and hosts), enabling security controls (such as turning on the Web Application Firewall, or WAF) and enforcing stricter TLS encryption to mitigate the specific risks identified by the scan.
What’s next: updated security insights dashboard
We are currently working on integrating Mastercard’s RiskRecon attack surface intelligence into the Cloudflare Security Insights dashboard to provide immediate visibility into shadow domains, unprotected hosts and the posture gaps associated with them.
With an increasing volume of insights, our roadmap also includes risk scoring and building AI-assisted diagnosis paths. That will mean a dashboard that doesn't just show you an insight, but proposes additional relevant correlations (such as traffic to an unpatched host) and suggests the specific WAF rule or API Shield configuration required to neutralize it.
We would love to have you join the waitlist here.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み