リスクを発見し、修正する:Cloudflare CASBの修復機能を導入
CloudflareはCASB機能のアップデートにより、Microsoft 365やGoogle Workspaceにおけるファイル共有リスクをダッシュボードからワンクリックで修正できる「Remediation」機能をリリースした。
キーポイント
リスク可視化から修正へ
従来の「問題の検知」に留まらず、Cloudflare Oneダッシュボードから直接リスクを修正できる機能を提供し、セキュリティチームの作業負荷を削減する。
対象となる具体的なリスク
インターネット公開リンク、社内全員への共有、外部ドメインへの共有など、最も影響の大きいファイル共有設定を修正対象としている。
DLPプロファイルとの連携
顧客記録や財務情報など機密データを含むファイルに対して、DLP(Data Loss Prevention)プロファイルと連動してリスクを特定・修正する。
既存SaaSツールとの統合
Microsoft 365、Google Workspace、Slack、Salesforceなど主要なSaaSツールとのAPI連携により、設定ミスや過剰な共有を継続的にスキャンする。
リスク共有の安全な解除
Remediationアクションはファイルや所有者を削除せず、公開リンクなどの危険な共有設定のみを即座に解除します。
主要プラットフォームへの対応と一元管理
Microsoft 365およびGoogle Workspaceを対象とし、CSVエクスポートに頼らずCASBから直接共有設定を修正し、その進捗を追跡できます。
高度な技術基盤による堅牢性の確保
Workers、Workflows、Queuesなど複数のCloudflare製品を組み合わせたアーキテクチャにより、大規模な処理速度と耐障害性を実現しています。
影響分析・編集コメントを表示
影響分析
このアップデートは、SASE(Secure Access Service Edge)市場におけるCASB製品の競争力を高めるものであり、セキュリティ運用の効率化(Operation Efficiency)に直接寄与する。特に大規模なエンタープライズ環境において、多数のSaaSツールを管理するIT/セキュリティチームの負担軽減と、データ漏洩リスクの即時解消という実益をもたらす。
編集コメント
CloudflareのCASBが「検知」から「修正」へシフトしたことは、セキュリティ運用の自動化トレンドを象徴する重要な一歩である。ただし、現時点では主要なSaaSプラットフォームに限定されており、今後の対応範囲の拡大が注目される。
本日より、Cloudflare CASB のお客様は、SaaS アプリ間でのリスクのあるファイル共有を監視するだけでなく、Cloudflare One ダッシュボードから直接それを修正できるようになりました。
今回のリリースは、Cloudflare の Cloud Access Security Broker (CASB) にとって大きな前進です。リリース以来、Cloudflare の API ベースの CASB は、堅牢で包括的な可視化と検出機能の提供に注力してきました。また、ビジネスが運用する SaaS ツールにも接続し、設定ミスを特定し、明日のインシデントになる前にデータが過剰共有されていることを警告します。
本日リリースされた Remediation(リメディエーション)は、CASB 発見ページからワンクリックで問題を解決できる新しい方法です。これにより CASB は次の章へと進み、「何が悪いのかを伝える」段階から「それを正しくするのを支援する」段階へと移行します。

CASB 発見における Remediation アクション(公開ファイル共有の削除)の例。
CASB 101: SaaS リスクを一元管理する場所
Cloudflare One の SASE プラットフォーム内にある CASB は、チームがすでに使用している SaaS やクラウドツールに接続します。API を通じてプロバイダーと通信することで、CASB はセキュリティおよび IT チームに対して以下を提供します:
Microsoft 365、Google Workspace、Slack、Salesforce、Box、GitHub、Jira、Confluence などのアプリ全体における設定ミス、過剰共有されたファイル、リスクのあるアクセスパターンを統合したビュー(CASB インテグレーション)。
ユーザーが共同作業を行い、共有し、新しいツールを採用する際に、新たな課題を継続的にスキャンします。
トリアージとレポート作成のために整理され、検索可能でエクスポート可能な発見事項です。
しかしこれまで、実際の修正は各アプリの管理 UI 内か、そのツールの所有チームへのチケット発行先など、別の場所で行われることがほとんどでした。Remediation はこのループを完結させます。
Remediation: CASB の次の章
CASB Remediation の発表は、製品および Cloudflare One にとって大きな前進であり、来年に向けて多くの大型アップデートを計画しています。
今回のリリースでは、Microsoft 365 および Google Workspace におけるファイル共有の課題解決に焦点を当てました。
Remediation を利用することで、顧客間で最も影響が大きく一般的なファイルリスクを修正できます。具体的には以下が含まれます:
インターネット上の誰でもファイルを閲覧または編集できる公開リンク。
テナントやドメイン全体で共有されたファイル(アクセス権限を持つべき人がごく少数である場合でも)。
組織外へ個人アカウントや外部ドメインに共有されたファイル。
上記すべてが DLP プロファイル(Data Loss Prevention Profile:データ損失防止プロファイル)と一致する場合。例えば、顧客記録、認証情報、または財務詳細で満たされた文書などです。
サポート対象の検出結果に対して「共有の削除」修復アクションを実行すると、CASB は即座に問題のあるファイルからリスクのある共有設定(例えば、公開リンクや組織全体のアクセス権など)を削除します。そして何より重要なのは、修復機能はリスクのある共有のみを削除するものであり、ファイルを削除したり、所有者を変更したりしないことです。

修復された CASB の検出結果の進捗と成功を追跡するための新しいページ。
二つの出発点:Microsoft 365 と Google Workspace
多くの組織において、ビジネスに不可欠な文書の大部分が保存されているのは Microsoft 365 と Google Workspace であるため、私たちはここから始めることを選びました。具体的には、内部財務データ、製品ロードマップ、顧客契約書、人事関連のメモなどが該当します。
また、「一時的」な共有設定が長期間放置されやすいのもこれらのプラットフォームです:
- 簡易レビューのために「リンクを知っている誰でも編集可能」として共有されたスプレッドシート。
- 全社会議用として組織全体に公開された文書だが、その後静かに忘れ去られてしまったもの。
- 顧客記録のシートを契約先の個人メールアドレスへ共有してしまったケース。
Microsoft 365 の場合、これは OneDrive や SharePoint 内のリスクのある共有設定を整理することを意味します。Google Workspace の場合は、Drive に保存された Docs、Sheets、Slides およびその他のファイルにおける共有設定を強化することを意味します。
CASB からリスクのあるファイルの CSV をエクスポートしてアプリ所有者に送信し、全員が共有設定を修正することを期待するのではなく、CASB 自体から直接クリーンアップを実行し、これらのリスクが実際に解決されたかどうかを確認できます。
また、あなたとあなたのチームが CASB Remediation(リメデイエーション)を使用する場合、すべてのアクションは Cloudflare One の管理ログに記録されるため、誰がどのファイルに対していつアクションを行ったかを確認したり、そのアクティビティをセキュリティ情報およびイベント管理ツール(SIEM: Security Information and Event Management)へエクスポートしたりできます。
仕組みについて
CASB リメデイエーションをサポートするシステムを設計する際、3 つの機能を確実に実現できる必要があると考えていました:
スケーラビリティが高くても高速であること
予期せぬ事態にも柔軟に対応できる堅牢な実行機能
お客様が簡単に使用できること
これらの目標を達成するために、私たちは複数の Cloudflare 製品を使用したシステムを構築しました:Workers、Workflows、Queues、Workers KV、Secrets Store、および Hyperdrive です。
リメデイエーションジョブが開始されると、API 呼び出しによって Worker が実行され、その Worker はジョブを Queue に書き込みます。この Queue を別の Worker が消費して Workflow を起動します。Workers KV と Secrets Store は、Workflow で使用する認証情報を安全に配布するために使用されます。Workflow は一連のステップを実行し、情報の収集とサードパーティ製 API 呼び出しの実行を行い、リメデイエーションを完了させます。最終的なアクションの結果は、Hyperdrive を介してデータベースに記録されます。
大規模運用において、ベンダー API から 429 エラー(リクエスト過多)に遭遇することは避けられません。ワークフローのネイティブな再試行機能によりこの処理が簡素化され、組み込みのステップログによって各再試行の詳細を可視化できます。つまり、複雑で単一目的の状態追跡システムや、各アクションごとに数十個のサーバーレス関数を作成する必要はなかったのです。

負荷テストおよび早期アクセス顧客からのパフォーマンス結果は、過大な負荷下でも堅牢な性能を示しています。平均(p50)のジョブ完了までのエンドツーエンド時間は 48 秒、p90 は 72 秒です。Durable Execution(永続実行:Workflows を経由)により、チームはジョブ管理を完全に手放すことができました。ワークフローがサードパーティ API で問題に直面した場合でも同様です。最終システムが持つシンプルさにより、トラブルシューティングも迅速かつ容易になりました。
CASB Remediation の今後の展望
Microsoft 365 および Google Workspace 向けのファイル共有 Remediation(リメディエーション:リスク修正)は、その第一歩に過ぎません。
近未来には、高リスクファイルをより安全な場所に移動または隔離できる新しい Quarantine(検疫)アクションを導入する予定です。また、チケット作成やチャット通知、あるいは独自の自動化処理をトリガーできるカスタム Webhook アクションも導入します。これらは、後続のワークフローを起動するためのフックとして機能します。
より広く、CASB をさらにアクティブな制御プレーンとするための方法を模索することに興奮しています。
慎重にスコープを定め、ポリシー駆動の修正を行うための自動修復ポリシー。これは、CASB が自動的にアクションを実行することを許容できる場合に有効です。
カスタム CASB 検出結果。これにより、組織にとって最も重要な正確なパターン、データタイプ、またはアクセス条件を定義できます。
一括修復機能。これにより、多くの類似した検出結果を単一の操作で修復することが可能になります。
Microsoft 365 および Google Workspace 以外の追加の SaaS 統合への修復機能の拡張。これにより、Box、Dropbox、Salesforce、GitHub、Slack、Atlassian など、時間とともに他のツールにも同じエクスペリエンスが適用されます。
始め方
CASB 修復には有料の CASB ライセンスが必要ですが、今日から CASB を試すことをためらわないでください!
既存の Cloudflare One / CASB カスタマーの場合:Microsoft 365 または Google Workspace テナントを統合するか(または既存の統合を「読み取り/書き込み」に更新し)、ファイル共有関連の検出タイプ内のサイドパネルから直接リスクのある共有を修復し始めます。
Cloudflare One が初めての方?今すぐ登録して、無料の 50 セットで CASB をすぐに使い始めてください。大規模な展開の場合は、当社の専門家との相談をリクエストしてください。
そこから、Microsoft 365 および Google Workspace テナントで CASB に修復機能を有効化することについて当社のチームにご相談ください。そうすれば、共有しすぎたファイルを一つの場所で発見して修正できます。
長期間にわたるファイル共有のリスクを解消するために Remediation をどのように活用していただけるか、また CASB の次世代のリメディー機能の姿を共に形作っていくことを楽しみにしています。
原文を表示
Starting today, Cloudflare CASB customers can do more than see risky file-sharing across their SaaS apps: they can fix it, directly from the Cloudflare One dashboard.
This launch marks a huge advancement for Cloudflare’s Cloud Access Security Broker (CASB). Since its release, Cloudflare’s API-based CASB has focused on providing robust, comprehensive visibility and detection. It also connects to the SaaS tools your business runs on, surfacing misconfigurations, and flagging overshared data before it becomes tomorrow’s incident.
With today’s release of Remediation – a new way to fix problems with just a click, right from the CASB Findings page – CASB begins its next chapter, and moves from telling you what’s wrong to helping you make it right.
image
An example of a Remediation Action (Remove Public File Sharing) in a CASB Finding.
CASB 101: A single place to see SaaS risk
Inside Cloudflare One, our SASE platform, CASB connects to the SaaS and cloud tools your teams already use. By talking to providers over API, CASB gives security and IT teams:
A consolidated view of misconfigurations, overshared files, and risky access patterns across apps like Microsoft 365, Google Workspace, Slack, Salesforce, Box, GitHub, Jira, and Confluence (CASB Integrations).
Continuous scanning for new issues as users collaborate, share, and adopt new tools.
Findings that are organized, searchable, and exportable for triage and reporting.
But until now, the actual fixing usually happened somewhere else, whether it’s inside each app’s admin UI, or through a ticket to the team that owns that tool. Remediation closes that loop.
Remediation: CASB’s next chapter
The launch of CASB Remediation marks a major shift forward for the product and Cloudflare One, and we have a ton of big updates planned for the next year.
With today’s release, we focused on fixing file-share issues in Microsoft 365 and Google Workspace.
With Remediation, you can fix the highest-impact, most common file risks we see across customers, including:
Public links that let anyone on the Internet view or edit a file.
Files shared company-wide across your tenant or domain, even when just a handful of people should have access.
Files shared outside your organization to personal accounts and external domains.
All of the above, when they also match a DLP Profile. For example, a document full of customer records, credentials, or financial details.
When you trigger the ‘Remove sharing’ Remediation action on a supported finding, CASB immediately moves to remove the risky sharing configuration (for example, the public link or organization-wide access) from the file in question. And crucially, Remediation only removes risky sharing; it doesn’t delete files or change who owns them.
image
A new page to track the progress and success of Remediated CASB findings.
Two starting points: Microsoft 365 and Google Workspace
We chose to start with Microsoft 365 and Google Workspace because, for many organizations, that’s where the bulk of their business-critical documents live: internal financials, product roadmaps, customer contracts, HR notes, and more.
They’re also where “temporary” sharing tends to linger too long:
A spreadsheet shared “Anyone with the link can edit” for a quick review.
A doc made company-wide for an all-hands, then quietly forgotten.
A sheet of customer records shared to a contractor’s personal email.
For Microsoft 365, that means cleaning up risky shares in places like OneDrive and SharePoint. For Google Workspace, it means tightening sharing on Docs, Sheets, Slides, and other files stored in Drive.
Instead of exporting a CSV of risky files out of CASB, sending it to app owners, and hoping everyone gets around to fixing their share settings, you can drive the clean-up directly from CASB and know when those risks have actually been addressed.
And when you and your team use CASB Remediation, every action is logged in Cloudflare One’s Admin logs, so you can see who took action on which files and when, or export that activity to your security information and event management tool (SIEM).
How it works
When architecting the system that supports CASB Remediations, we knew it had to do three things really well:
Be fast, even at scale
Durable execution to handle surprises gracefully
Be easy for our customers to use
To meet these goals, we built a system using several Cloudflare products: Workers, Workflows, Queues, Workers KV, Secrets Store, and Hyperdrive.
When a remediation job is initiated, an API call is made to a Worker. That Worker writes the job to a Queue which is consumed by a second Worker to kick off a Workflow. Workers KV and Secrets Store are used to securely distribute credentials for use in the Workflow. The Workflow runs a series of steps to collect information and execute third-party API calls to complete the remediation. The final outcome of the action is recorded in a database via Hyperdrive.
At scale, we are guaranteed to encounter 429s from vendor APIs. Workflows’ native retries simplify handling this, and built-in step logging gives visibility into each retry. This means that there was no need for us to build a complex, single-purpose, state-tracking system or dozens of serverless functions for each action.
image
Performance results from load testing and early access customers have shown strong performance even under heavy load. The average (p50) end-to-end job completion time is 48 seconds, and the p90 is 72 seconds. Durable Execution (via Workflows) has made job management completely hands-off for our team, even when the Workflow encounters issues with third-party APIs. The simplicity of the final system has made troubleshooting issues fast and straightforward.
What’s next for CASB Remediation
File-sharing Remediation for Microsoft 365 and Google Workspace is just the first step.
In the near term, we’re working on bringing our customers new Quarantine actions, which can move or isolate high-risk files to safer locations. We are also introducing Custom Webhook actions, hooks that let you trigger downstream workflows, like ticket creation, chat notifications, or your own automation.
And more broadly, we’re excited to explore ways to make CASB even more of an active control plane:
Autoremediation policies for carefully scoped, policy-driven fixes where you’re comfortable letting CASB take action automatically.
Custom CASB findings so you can define the exact patterns, data types, or access conditions that matter most to your organization.
Bulk Remediation that allows you to remediate many similar findings in a single operation.
Extending Remediation to additional SaaS integrations beyond Microsoft 365 and Google Workspace, so the same experience applies to tools like Box, Dropbox, Salesforce, GitHub, Slack, Atlassian, and more over time.
How to get started
CASB Remediation requires a paid CASB license, but don’t let that stop you from trying CASB out today!
For existing Cloudflare One / CASB customers: Integrate your Microsoft 365 or Google Workspace tenant (or update your existing integration to Read-Write), and start remediating risky shares directly from the side panel within your file sharing-related finding types.
New to Cloudflare One? Sign up now for 50 free seats to begin using CASB immediately. For larger deployments, request a consultation with our experts.
From there, talk to our team about enabling CASB with Remediation for your Microsoft 365 and Google Workspace tenants so you can find and fix overshared files in one place.
We’re excited to see how you use Remediation to clean up long-lived file-sharing risks — and to help shape what CASB’s next generation of remediation capabilities looks like.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み