エンドポイントからプロンプトまで:Cloudflare Oneにおける統一されたデータセキュリティビジョン
Cloudflareは、エンドポイントからプロンプト(AI)までをカバーする統合データセキュリティビジョンを発表し、ブラウザベースRDPのクリップボード制御やCopilotのスキャンなど、データ移動経路全体での保護と可視性を強化した。
キーポイント
統合データセキュリティビジョンの提示
Cloudflare Oneは、ネットワークだけでなくエンドポイントやSaaSを含む「データ移動経路全体」をモデル化し、トランジット中の保護、静止時の可視性、使用時の強制、そしてAIプロンプトでのセキュリティを一体化させた。
ブラウザベースRDPのクリップボード制御
契約社員やパートナー向けのブラウザベースRDPにおいて、ローカルデバイスとセッション間のクリップボード経由のデータコピー・ペーストを管理者が制御可能な機能を追加し、データ漏洩リスクを低減した。
AIセキュリティスキャンの導入
Microsoft 365 CopilotのようなAIインターフェースにおけるエンタープライズデータの取り扱いを監視・スキャンするセキュリティ機能を強化し、生成AI時代の新規脅威に対応した。
データフローに基づくポリシー設計
単なるアクセス制御ではなく、「データはどこにあるか」「誰がアクセスできるか」「どこへ移動するか」というデータフローを追跡するポリシー設計を推進し、製品境界を超えた一貫した保護を実現する。
クリップボード制御による生産性とセキュリティのバランス
ブラウザベースのRDPにおいて、コピー/ペーストの方向性とコンテキストを細かく制御することで、ユーザーの生産性を維持しつつ機密データの漏洩を防ぐ。
操作マッピングを活用したログの可視化向上
HTTPリクエストを「SendPrompt」などの単一操作として解釈し、ログにアプリケーション制御グループと特定操作を表示することで、調査やポリシー調整を迅速化する。
Cloudflare One ClientでのオンデバイスDLP
データ使用中の保護、特にクリップボードを介したデータの移動に対して、エンドポイントでの強制執行機能を強化する。
影響分析・編集コメントを表示
影響分析
本記事は、従来の境界防御から「データ中心」のセキュリティへ移行する業界トレンドを具体化しており、特に生成AIの利用拡大に伴う新たなデータ漏洩リスク(プロンプト経由の機密情報流出)への対応策を示している。Cloudflare Oneのアップデートは、SaaS利用とリモートワークが常態化する現代の企業環境において、実用的なデータ損失防止(DLP)とコンプライアンス遵守を支援する重要な指針となる。
編集コメント
Cloudflareの発表は、AI利用時のデータ保護という実務的な課題に直接答えるものであり、セキュリティ担当者の関心を引く内容である。ただし、これは既存のDLP機能の拡張であり、画期的な新技術というよりは成熟したセキュリティ戦略の実装と言える。
改善版翻訳文:
Cloudflare Oneは、長年にわたり大きく成長してきました。ネットワークでのトラフィック保護から始まったサービスは、現在ではエンドポイントとSaaSアプリケーションにまで範囲を拡大しています。なぜなら、そこで仕事が行われるからです。
しかし、市場が進化するにつれ、中核的な使命は明確になりました。データセキュリティこそが、企業セキュリティなのです。
その理由はこうです。私たちは、制御のためだけに制御を実施するわけではありません。実施するのは、その結果として生じる事態(マルウェア、認証情報の窃取、セッションハイジャック、そして最終的には最も重要な「機密データの組織外流出」)が甚大なコストを伴うからです。一見単純なアクセスポリシーが、インシデント対応、顧客への影響、評判の毀損に至る連鎖の最初の輪となる可能性があります。
つまり、一歩引いて考えてみると、ほとんどのセキュリティプログラムは、表向きの違いに関わらず、同じ問いに答えようとしているのです。
機密データはどこにあるのか?
誰がアクセスできるのか?
データが本来あるべきでない場所に移動する経路は何か?
これが、Cloudflare Oneにおける私たちのデータセキュリティビジョンの基盤です。データが移動する場所を追跡する単一のモデルであり、サイロ化した制御の寄せ集めではありません。それは次のことを意味します。
転送中の保護(インターネットおよびSaaSアクセス経由)
保存時の可視性と制御(SaaS内部)
使用時の強制実行(エンドポイント上)
そして現在、プロンプトでの保護範囲(AIが企業データへの新たなインターフェースとなるにつれて)
これらを一つの連携したシステムとして考えてください。可視性によって何が起きているかを把握し、制御によってデータが移動できる場所を制限し、強制実行によってコンテンツがアプリケーションを離れる際の「ラストワンマイル」の隙間を塞ぎます。これが「エンドポイントからプロンプトまで」の問題です。データはプロダクトの境界線よりも速く移動するため、ポリシーはツールではなく、データを追跡する必要があるのです。
この記事では、このビジョンを前進させる一連のアップデートについて説明します。ブラウザベースのリモートデスクトッププロトコル(RDP)制御から、操作レベルのロギング、エンドポイントでのデータ損失防止(DLP)、Microsoft 365 Copilot向けAIセキュリティスキャンまでを網羅します。
データの拡散を防ぐリモートアクセス:ブラウザベースRDPのクリップボード制御
ブラウザベースのRDPは、管理されたエンドポイントやインストールされたクライアントを前提とできない場合(契約社員、パートナー、臨時のアクセスワークフローなどで一般的)に、リモートアクセスを提供する実用的な方法です。Cloudflare OneのブラウザベースRDPは、そのアクセスに可視性とポリシー制御を追加します。しかし、ブラウザで完全なRDPエクスペリエンスを提供するならば、疑問は単純です。データが移動できる場所、特にクリップボードを経由する場合について、どの程度きめ細かい制御が可能でしょうか。
本日、データを直接保護する設定を追加しました。ブラウザベースRDPのクリップボード制御です。この新機能により、セキュリティおよびIT管理者は、ユーザーがローカルデバイスとブラウザベースのRDPセッション間で情報をコピーまたはペーストできるかどうかを決定できるようになります。
クリップボード制限は、生産性とセキュリティのトレードオフの完璧な例です。ユーザーが依存するワークフローでコピー&ペーストができない場合、彼らはスクリーンショットの撮影、データの再入力、管理外のツールへの作業移行などによって、その制御を迂回しようとします。クリップボード制御により、管理者はきめ細かく対応できます。安全なワークフローでは許可し、安全でない場合はブロックするのです。
ブラウザベースRDPのクリップボード制御により、管理者はユーザーが期待するコピー/ペーストのワークフローを有効にしつつ、方向性と文脈に対するきめ細かい制御を実施できます。例えば、ユーザーが機密顧客情報を含むカスタマーサポートポータルにアクセスする場合、生産性向上のためにセッション内へのコピー/ペーストは許可し、データが管理外のエンドポイントに流出するのを防ぐためにセッション外へのコピー/ペーストはブロックする、といった設定が可能です。
この機能は現在Cloudflare Oneで利用可能で、ブラウザベースRDPアプリのためのAccess Application Policies内で新しい設定として構成できます。
推測を不要にする可視性:ログにおける操作マッピング
リモートアクセス制御はリスクを軽減しますが、それを適切に調整するためには、ユーザーがSaaSアプリ内で行っている具体的なアクションを理解する必要もあります。
私たちは「操作マッピング」と呼ばれるプロセス(最近のブログ記事で詳細を説明)を使用して、これらのアクションに対する可視性を提供し、顧客がSaaSサービス向けにポリシーを作成する方法を簡素化しています。当社のマッピングプロセスは、HTTPリクエストの様々な要素を受け取り、それを単一の操作(例:ChatGPTの場合「SendPrompt」)として解釈します。私たちは、類似したアクションを実行する複数の操作を「アプリケーション制御」(例:「共有」や「アップロード」)にまとめます。この[内容?]は当社のHTTPポリシービルダーで確認可能であり、シンプルなポリシー作成を可能にします。
本日、私たちはこのプロセスをさらに一歩進め、そのマッピングをロギングに拡張することで、ログを充実させ、組織内でSaaSアプリケーションがどのように使用されているかについてのより高い可視性を提供します。追加の設定なしに、当社の操作マップに一致するトラフィックのログイベントに、操作とアプリケーション制御が表示されるようになります。
ログの詳細では、アプリケーション制御グループと特定の操作(例:ChatGPTのSendPrompt)の両方が確認できるようになります。これにより、調査とポリシー調整が迅速になります。

この追加されたコンテキストは、利用パターンの理解、フォレンジック分析の加速、潜在的に危険な行動の発見に役立ち、ユーザーへの影響を抑えつつ、推測に頼らずにポリシーを調整できるようにします。
可視性は第一歩です。使用中のデータ、特にクリップボードを経由して移動するデータを保護するには、エンドポイントでの強制実行も必要です。
より優れたエンドポイント保護:Cloudflare One ClientにおけるオンデバイスDLP
モダンな企業では、機密情報は日常的に、多くの場合クリップボードを経由して、管理されたアプリケーションから管理外の環境へと移動します。リスクはファイルが組織を離れることだけではありません。所有権のあるコードの断片や顧客レコードが、許可されていない大規模言語モデル(LLM)や個人用ツールに貼り付けられる可能性もあります。
Cloudflare Oneは既に、
原文を表示
Cloudflare One has grown a lot over the years. What started with securing traffic at the network now spans the endpoint and SaaS applications – because that’s where work happens.
But as the market has evolved, the core mission has become clear: data security is enterprise security.
Here’s why. We don’t enforce controls just to enforce controls. We do it because the downstream outcomes are costly: malware, credential theft, session hijacking, and eventually the thing that matters most: sensitive data leaving the organization. What looks like a simple access policy can be the first link in a chain that ends in incident response, customer impact, and reputational damage.
So when you take a step back, most security programs – even the ones that look different on paper – are trying to answer the same questions:
Where is sensitive data?
Who can access it?
What paths exist for it to move somewhere it shouldn’t?
That’s the backbone of our data security vision in Cloudflare One: a single model that follows data across the places it moves, not a pile of siloed controls. That means:
Protection in transit (across Internet + SaaS access)
Visibility and control at rest (inside SaaS)
Enforcement in use (on endpoints)
And now, coverage at the prompt (as AI becomes a new interface to enterprise data)
Think of these as one connected system: visibility tells you what’s happening, controls constrain where data can move, and enforcement closes the last-mile gaps when content leaves an app. That’s the endpoint-to-prompt problem: data moves faster than product boundaries, so policy needs to follow the data, not the tool.
In this post, we’ll walk through a set of updates that push that vision forward – from browser-based Remote Desktop Protocol (RDP) controls, to operation-level logging, to endpoint data loss prevention (DLP), to AI security scanning for Microsoft 365 Copilot.
Remote access without data sprawl: browser-based RDP clipboard controls
Browser-based RDP is a practical way to provide remote access when you can’t assume a managed endpoint or installed client – common for contractors, partners, and occasional access workflows. Cloudflare One’s browser-based RDP adds visibility and policy controls to that access. But once you’re delivering a full RDP experience in the browser, the question becomes simple: how granular are your controls over where data can move, especially via the clipboard?
Today, we’re adding a setting that directly protects data: clipboard controls for browser-based RDP. With this new feature, security and IT administrators will now be able to decide whether their users can copy or paste information between their local device and the browser-based RDP session.
Clipboard restrictions are a perfect example of the productivity-security tradeoff. If users can’t copy and paste in the workflow they rely on, they’ll route around the control, whether it’s by taking screenshots, retyping data, or shifting work to unmanaged tools. Clipboard controls let you be precise: allow the workflow where it’s safe, and block it where it isn’t.
With clipboard controls in browser-based RDP, administrators can enable the copy/paste workflow users expect while enforcing granular control over directionality and context. For example, if users access a customer support portal that contains sensitive customer information, you might allow copy/paste into the session for productivity, but block copy/paste out of the session to prevent data from landing on unmanaged endpoints.
This functionality is now available in Cloudflare One and can be configured as a new setting within Access Application Policies for browser-based RDP apps.
Visibility without guesswork: operation mapping in logs
While remote access controls reduce risk, to tune them well, you also need to understand the specific actions users are taking inside SaaS apps.
We use a process called operation mapping (detailed in a recent blog post) to give visibility to these actions and simplify the way customers write policies for SaaS services. Our mapping process takes various elements of an HTTP request and interprets them as a single operation, e.g. ‘SendPrompt’, in the example of ChatGPT. We collect multiple operations that perform similar actions into an Application Control, e.g., ‘Share’ or ‘Upload’. The [what?] is viewable in our HTTP policy builder, allowing for simple policy authoring.
Today, we’ve taken that process a step further to enrich logs and provide greater visibility over how SaaS applications are being used in your organization – by extending that mapping into logging. Without any additional configuration, operations and application controls will now appear in log events for traffic that matches our operation maps.
In log details, you’ll now see both the application control group and the specific operation (e.g., SendPrompt for ChatGPT). This makes investigations and policy tuning faster.
image
The added context helps you understand usage patterns, accelerate forensic analysis, and spot potentially risky behavior, so you can tune policy with less guesswork and disruption to users.
Visibility is step one. To protect data in use, especially what moves through the clipboard, you also need enforcement on the endpoint.
Better endpoint protection: on-device DLP in the Cloudflare One Client
In a modern enterprise, sensitive information routinely moves from managed applications into unmanaged contexts – often via the clipboard. The risk isn’t only a file leaving the organization; it can be a snippet of proprietary code or a customer record pasted into an unauthorized large language model (LLM) or personal tool.
Cloudflare One already helps protect data in transit with Gateway and DLP, and provides visibility and control at rest through CASB and its API integrations. Now we’re extending coverage to data in use by bringing Endpoint DLP enforcement to the Cloudflare One Client, starting with high-signal workflows like clipboard movement, so data protection doesn’t stop the moment content leaves a browser tab.
That means sensitive data copied from a protected SaaS app doesn’t immediately become “policy-free” content the moment it hits the OS clipboard. With Endpoint DLP, teams can extend data protection to users’ fingertips without deploying a second agent or stitching together complex integrations.
For teams already using Cloudflare One for data protection, Endpoint DLP completes the model by adding a consistent enforcement layer for data in use.
This is the endpoint-to-prompt problem: if sensitive data can be copied locally, it can be pasted into an AI assistant just as easily. Once you protect data in use, the next question becomes unavoidable – what happens when that same data is transformed at the prompt?
AI visibility without blind spots: M365 Copilot scanning with API CASB
Last year, Cloudflare One and API CASB became the first to offer API integrations with OpenAI ChatGPT, Anthropic Claude, and Google Gemini offerings – and we’re not done yet.
Starting today, customers using Cloudflare One’s API Cloud Access Security Broker (CASB) – which scans SaaS apps via API for common, yet risky security issues – can now analyze Microsoft 365 Copilot activity for data security issues, including chats and uploads that match DLP detection profiles.
Copilot findings surface with rich context (file references, profile matches, and interaction metadata) so teams can triage quickly instead of starting from raw audit logs.
image
A CASB Finding showing detection of a file used in M365 Copilot that matches an enabled DLP Profile
Customers can now see when Copilot activity includes sensitive data. For example, user prompts, Copilot responses, and uploaded files that match DLP detection profiles.
Microsoft 365 Copilot findings are available by default as part of the Microsoft 365 integration. If you already use this integration, go to Integrations in the Cloudflare One dashboard, update your Microsoft 365 connection, and start receiving Copilot findings. If you’re new to the integration, connect your Microsoft 365 tenant to gain visibility into Copilot usage and associated data security findings.
As AI product sprawl continues, we’ll be massively expanding coverage across additional AI assistants and core SaaS platforms throughout 2026 – stay tuned!
What’s next: unified data security in Cloudflare One
Over the last few years, enterprise security has expanded across more surfaces: SaaS, unmanaged endpoints, remote access patterns, and now AI assistants. But the objective – protecting sensitive data – hasn’t changed. The updates in this post reflect a single direction: consistent visibility and enforcement across data in transit, at rest, in use, and at the prompt. So policy follows data, not product boundaries.
Looking forward, our vision is broader than “data security features in data security products.” Over time, every Cloudflare One product will become more data-security-aware, with more data-oriented configurability, visibility, controls, and guardrails, built directly into the workflows teams already use across Access, Gateway, endpoint enforcement, and SaaS integrations. The goal is simple: wherever your users work and wherever data moves, Cloudflare One should be able to explain what’s happening and help you control it.
As the modern perimeter spreads across applications, browsers, endpoints, and AI prompts, patching together point solutions becomes harder to operate and easier to bypass. By building data security directly into Cloudflare One – from access controls to endpoint enforcement to AI visibility – and continuing to unify these layers, we’re helping teams build a clearer, more complete picture of their data risk and their data security posture from the endpoint to the prompt.
To get started, explore Cloudflare One or contact our team to learn more about the platform and these new features.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み