ユーザーリスクスコアリングで侵害への対応から予防へ
Cloudflareはゼロトラストネットワークアクセス(ZTNA)ポリシーにユーザーリスクスコアを組み込む機能をリリースし、静的な認証から行動ベースの動的アクセス制御へ移行するセキュリティモデルを推進している。
キーポイント
行動ベースのリスク評価の実装
Cloudflare Oneは、ユーザーの行動(不可能な移動、DLP違反など)をリアルタイムで評価し、動的にアクセス権限を調整する「ユーザーリスクスコア」機能をZTNAポリシーに統合した。
内部・外部テレメトリの統合
Cloudflare AccessやGatewayからの内部ログに加え、CrowdStrikeやSentinelOneなどのサードパーティ製セキュリティ製品との連携により、デバイス状態や外部指標をマッピングしてリスクを算出する。
決定論的なスコアリングロジック
管理者が特定のリスク行動を選択し、エンジンが該当イベントを集約・評価する。スコアはトリガーされた最高リスクレベル(低・中・高)で決定され、管理者による手動リセットも可能。
無料トライアルの利用
50ユーザーまで無料で利用可能であり、営業担当者の電話対応は必要ありません。
大規模組織向けの統合サポート
CrowdStrikeやSentinelOneなどのサードパーティ信号をグローバルポリシーに統合する大規模組織向けに、ZTNAパイロットプログラムを通じてサポートを提供しています。
SASEロードマップへの適応的アクセス
チームに連絡することで、適応的アクセスがSASEロードマップにどのように適合するかを確認できます。
影響分析・編集コメントを表示
影響分析
この機能は、ゼロトラストアーキテクチャにおける「ユーザーエンティティと行動分析(UEBA)」の実装を簡素化し、インシデント対応から予防的なセキュリティ運用への移行を支援する。特に、内部脅威やコンプライアンス違反の検知において、静的なポリシーでは対応しきれない動的なリスクを可視化できる点は、エンタープライズセキュリティにとって実用的な進展である。
編集コメント
Cloudflareは自社プラットフォームのデータだけでなく、競合他社やパートナー企業のセキュリティツール(CrowdStrike等)からのデータも取り込み、包括的なリスクスコアを算出する。
多くのセキュリティチームは、日々、ハイリスクな「もぐら叩き」ゲームに追われています。ユーザーの認証情報がフィッシングに遭ったり、誤って悪意のあるファイルをダウンロードしたりすると、たちまちインシデント対応モードに突入します。
私たちはこの悪循環を断ち切るために、SASEプラットフォーム「Cloudflare One」を構築しました。アプリケーションとインターネットトラフィックの前にAccessとGatewayを配置することで、誰がアクセスでき、どこへ行けるかを決定するツールを提供してきました。
本日、私たちはその判断をさらに高度なものにします。ユーザーリスクスコアをゼロトラストネットワークアクセス(ZTNA)ポリシーに直接組み込めるようになりました。これにより、「このユーザーは誰か?」「デバイスは健全か?」を確認するだけでなく、「このユーザーは最近どのように行動しているか?」を問い、そのアクセス権をリアルタイムで調整できるようになります。
ステップ1: 「何」から「どのように」へ
長年、従来の企業アクセスは二者択一でした。適切なログイン情報と証明書を持っているか、いないかのどちらかです。しかし、アイデンティティは流動的なものです。正当なユーザーでも、アカウントが侵害されたり、「インサイダー脅威」に該当する行動——例えば不可能な移動、複数回のログイン失敗、機密データの移動によるデータ損失防止(DLP)ルールの発動など——を示し始めると、リスク要因となり得ます。
Cloudflare Oneは現在、これらの行動に基づき、組織内の全ユーザーのリスクスコアを継続的に算出します。
チームをCloudflare Oneにオンボードすると、ダッシュボードの「Team & Resources > Users > Risk Score」セクションに移動できます。ここでは、どの行動を重要とみなすかを定義できます。例えば、不可能な移動を「高」リスク、更新が必要なデバイスの使用を「中」リスクと設定することが可能です。
Cloudflareのリスクエンジンは、SASEプラットフォーム全体からのテレメトリを継続的に評価します。内部シグナルについては、Cloudflare Access(例:ログイン成功/失敗、地理的コンテキスト)およびCloudflare Gateway(例:マルウェア検知、危険な閲覧カテゴリ、DLPでの機密データ検知)からのログを監視します。
サードパーティのシグナルについては、CrowdStrikeやSentinelOneなどのパートナーとのサービス間連携を構築しました。これらの連携により、CloudflareはCrowdStrikeのデバイスポスチャ属性などの外部テレメトリを取り込み、ユーザープロファイルに紐付けることができます。
計算ロジックは決定的になるように設計されています:
- 選択: 管理者は、自組織で有効化する具体的な「リスク行動」(不可能な移動、DLP違反など)を選択します。
- 集約: エンジンがユーザーに関連する全てのリスクイベントを特定します。
- スコアリング: ユーザーのリスクスコアは、設定期間中にトリガーされた、有効化されている行動の中の最高リスクレベル(低、中、高)によって決定されます。
- リセット: 管理者がインシデントを調査し解決した場合、ユーザーのスコアを手動でリセットできます。これにより履歴は保持されますが、以後収集されるリスクデータに基づいてアクセス権限がリセットされます。
ステップ2: 適応的アクセスを容易に適用
ユーザーにリスクがあると知ることが第一歩なら、それを自動的に対処することが第二歩です。
以前は、セキュリティアナリストが不審なユーザーを発見した場合、手動でセッションを無効化するか、アイデンティティプロバイダー(IdP)内でユーザーを「制限付き」グループに移動させる必要がありました。これには時間がかかり、攻撃者はその時間を利用して横向きの移動(攻撃範囲の拡大)を図ります。
現在では、適応的アクセスポリシーを構築できます。アクセスポリシーを作成または編集する際、新しいセレクタ「User Risk Score」をご利用いただけます。
これにより、「ユーザーのリスクスコアが『高』の場合、財務ポータルへアクセス不可」や「ユーザーのリスクスコアが『中』の場合、ログインに物理セキュリティキーを必須とする」といった、グローバルまたはアプリケーション固有のルールを作成できます。このようなルールにより、追加のセキュリティ層を適用しながらも、企業の業務が中断されることはありません。
ステップ3: ループを閉じる
このシステムの最大の利点は、その動的な性質にあります。調査担当者によるレビューと問題解決後にユーザーのリスクスコアが下がれば、設定されたポリシーに基づきアクセス権が自動的に復元されます。現在、リスクベースのアクセス制御では、アクティブなセッション中にリスクスコアが上昇した場合、アクセスを無効化できます。将来的には、アクティブなセッション中にリスクスコアが変化した場合に、段階的多要素認証(MFA)を強制する機能への拡張も検討しています。
また、既にお使いのツールとの連携も確保しています。Oktaをご利用の場合、CloudflareはこれらのリスクシグナルをOktaに共有できるため、ネットワーク上で危険とフラグが立てられたユーザーは、シングルサインオン(SSO)の入口段階でも制限されます。この連携には、プラットフォーム間でリスクシグナルを共有できるShared Signals Frameworkを採用しています。
迅速に行動し、安全を確保
私たちがCloudflare Oneを構築したのは、セキュリティチームが「否定する部門」であることをやめ、「安全を確保した上で、前進を促す部門」となるためです。ユーザーリスクスコアをアクセスポリシーに組み込むことは、その旅の次の一歩です。これにより、セキュリティ対策は、ログイン時の静的な「スナップショット」から、ネットワークアーキテクチャとの継続的で活発な「対話」へと進化します。
既にCloudflareのご契約者であれば、本日からダッシュボードでこれらのリスクシグナルをご確認いただけます。レガシーなVPNや手動でのセキュリティレビューにまだ手間取っているようでしたら、切り替えをお手伝いします。
最大50ユーザーまで無料でお試しいただけます(営業電話は不要です)。CrowdStrikeやSentinelOneなどのサードパーティシグナルをグローバルポリシーに統合したい大規模組織向けに、当社チームがZTNAパイロットの実施をご支援します。
適応的アクセスがお客様の環境にどのように適合するか、当チームまでお問い合わせください。
原文を表示
Most security teams spend their days playing a high-stakes game of Whac-A-Mole. A user’s credentials get phished, or they accidentally download a malicious file, and suddenly you’re in incident response mode.
We built our SASE platform, Cloudflare One, to stop that cycle. By placing Access and Gateway in front of your applications and Internet traffic, we gave you the tools to decide who gets in and where they can go.
Today, we’re making those decisions smarter. You can now incorporate User Risk Scores directly into your zero trust network access (ZTNA) policies. Instead of just checking "Who is this user?" and "Is their device healthy?", you can now ask, "How has this user been behaving lately?" and adjust their access in real time.
Step 1: From "what" to "how"
For years, traditional corporate access was binary. You either had the right login and the right certificate, or you didn’t. But identity is fluid. A legitimate user can become a risk if their account is compromised or if they start exhibiting "insider threat" behaviors — like impossible travel, multiple failed login attempts, or triggering data loss prevention rules by moving sensitive data.
Cloudflare One now continuously calculates a risk score for every user in your organization based on these behaviors.
image
Example list of users and their risk scores
Once you’ve onboarded your team to Cloudflare One, you can navigate to the Team & Resources > Users > Risk Score section of the dashboard. Here, you can define which behaviors matter to you. For example, you might decide that impossible travel has a "high" risk level, while using a device in need of an update is "medium."
Cloudflare’s risk engine continuously evaluates telemetry from across the SASE platform. For internal signals, the engine monitors logs from Cloudflare Access (e.g., successful/failed logins, geographic context) and Cloudflare Gateway (e.g., malware hits, risky browsing categories, or sensitive data triggers in DLP).
For third-party signals, we’ve built service-to-service integrations with partners like CrowdStrike and SentinelOne. These integrations allow Cloudflare to ingest external telemetry, such as CrowdStrike’s device posture attributes, and map it to a user’s profile.
The calculation logic is designed to be deterministic:
Selection: Administrators choose which specific "risk behaviors" (impossible travel, DLP violations, and more) to enable for their organization.
Aggregation: The engine identifies all risk events associated with a user.
Scoring: A user’s risk score is determined by the highest risk level (low, medium, or high) of any enabled behavior triggered during that period.
Reset: If an admin investigates and clears an incident, they can manually reset the user’s score, which preserves the history but resets their access based on risk data gathered going forward.
Step 2: Easily apply adaptive access
Knowing a user is risky is step one. Doing something about it — automatically — is step two.
In the past, if a security analyst saw a suspicious user, they’d have to manually revoke sessions or move the user into a "restricted" group in their Identity Provider (IdP). That takes time — time an attacker uses to move laterally.
Now, you can build Adaptive Access policies. When you create or edit an Access policy, you’ll find a new selector: User Risk Score.
image
Example of the new User Risk Score selector in an Access policy.
This allows you to create global or application-specific rules such as: "If a user's risk score is high, they cannot access the Finance Portal," or "If a user's risk score is medium, they must use a physical security key to log in." Such rules ensure corporate operations are not interrupted while additional layers of security are applied.
Step 3: Closing the loop
The best part of this system is that it’s dynamic. If a user’s risk score drops after being reviewed and cleared by an investigator, their access is automatically restored based on your policy. Today, risk-based access can revoke access in the middle of an active session when risk score increases. In the future, we will explore expanding this to enforce step-up MFA in the middle of an active session when the risk score changes as well.
We’ve also made sure this works with the tools you already use. If you use Okta, Cloudflare can share these risk signals back to Okta, ensuring that a user flagged on the network is also restricted at the front door of your SSO. This integration uses the Shared Signals Framework, which enables the sharing of risk signals across platforms.
Move faster, stay secure
We built Cloudflare One so that security teams could stop being the "department of no" and start being the department of "yes, and safely." Incorporating user risk scores into your Access policies is the next step in that journey. It moves your security from a static snapshot at login to a continuous, living conversation with your network architecture.
If you’re already a Cloudflare customer, you can start exploring these risk signals in your dashboard today. If you’re still wrestling with legacy VPNs or manual security reviews, we’d love to help you flip the switch.
You can get started for free for up to 50 users — no sales call required. For larger organizations looking to integrate third-party signals like CrowdStrike or SentinelOne into their global policies, our team is ready to walk you through a ZTNA pilot.
Reach out to our team here to see how adaptive access can fit into your SASE roadmap.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み