Cloudyが複雑なセキュリティを人間の行動に翻訳する方法
CloudflareはLLMを活用した「Cloudy」という説明層をセキュリティ製品に統合し、複雑な機械学習による検知結果を人間が理解可能な行動指針に変換する機能を提供した。
キーポイント
Cloudyの概要と目的
LLM駆動の説明レイヤー「Cloudy」をCloudflare Oneに組み込み、機械学習の出力を人間が理解できる具体的なガイダンスに変換することで、意思決定を支援する。
Email Securityでの適用
メールセキュリティにおいて、送信者信頼性やリンク行動など多様なモデル分析の結果を要約し、ユーザーがメールがフラグされた理由をSOCへエスカレートする前に理解できるようにした。
CASBでの適用と効果
SaaS環境のリスク検知において、低レベルの信号を手動で評価する代わりに、管理者がリスクと修復パスを迅速に把握できるようにし、不要なノイズを削減する。
顧客フィードバックに基づく改善
従来の検知は正確だが理由が不明瞭だったという顧客の声を受け、SOCチームおよびエンドユーザー向けのLLM要約機能を提供し、その有効性を確認している。
CloudyによるSOC業務の負荷軽減
PhishnetにCloudyの解説機能を統合し、ユーザーが文脈に基づいた判断を行うことで、SOCチームへの不要なエスカレーションとバックログを削減する。
リアルタイムのコンテキスト教育
従来の断片的なセキュリティトレーニングに代わり、意思決定の瞬間に即座で文脈的なガイダンスを提供し、ユーザーのリスク評価能力を向上させる。
LLM駆動の説明の進化
機械学習モデルが検知した内容を人間 readable な説明に変換する機能(Cloudy)を、調査支援からユーザーの日常ワークフローへ拡張した。
影響分析・編集コメントを表示
影響分析
本記事は、AIセキュリティ分野における「説明可能性(Explainability)」の重要性を再認識させるものであり、単なる検知精度だけでなく、その理由を人間が理解できる形で提示することが実運用において不可欠であることを示している。Cloudflareの取り組みは、高度な機械学習モデルを現場の運用効率に直結させるための標準的なアプローチとして、他のセキュリティベンダーにも影響を与える可能性がある。
編集コメント
セキュリティ分野におけるLLM活用は、単なる生成タスクから「運用支援・説明責任」へと焦点がシフトしつつある。Cloudflareの事例は、高度な検知技術と人間中心のUI/UXを融合させる具体的な成功例として注目される。
今日のセキュリティエコシステムは、驚くほど膨大な量の複雑なテレメトリを生成します。例えば、単一のメールを処理するには、送信元の評判、認証結果、リンクの挙動、インフラストラクチャのメタデータ、そして無数の他の属性を分析する必要があります。同時に、クラウドアクセスセキュリティブローカー(CASB)エンジンは、設定ミスやリスクのあるアクセス、露出したデータを検出するシグナルを SaaS 環境で継続的にスキャンしています。
しかし、検知がより洗練される一方で、説明は必ずしもそのペースに追いついていません。
セキュリティおよび IT チームは、何かがフラグされたことを認識していることが多いですが、一目でなぜそうなのかを理解できるとは限りません。エンドユーザーには、組織全体に影響を与える可能性のあるメールについてリアルタイムの判断を下すよう求められますが、重要な瞬間に明確な文脈に基づいたガイダンスが提供されることはほとんどありません。
Cloudy はそれを変えます。
Cloudy は、Cloudflare One に直接組み込まれた、大規模言語モデル(LLM)を活用した説明レイヤーです。これは、セキュリティチームとエンドユーザーの両方に対して、複雑な機械学習の出力を正確で人間が読みやすいガイダンスに変換します。生技術シグナルを露出するのではなく、Cloudy は検知の背後にある推論を、情報に基づいた行動を促す形で提示します。
Cloudflare Email Security においては、セキュリティ運用センター(SOC)へエスカレーションする前に、ユーザーがメッセージがフラグ付けされた理由を理解できるよう支援することを意味します。また、Cloudflare CASB においては、管理者が低レベルのシグナルを手動で評価することなく、SaaS 検知結果に対するリスクと修復パスをすばやく理解できるよう支援することを意味します。
本記事では、意思決定の改善、不要なノイズの削減、複雑なセキュリティシグナルを明確で実行可能なインサイトへ変換するために、Cloudy を Phishnet および API CASB へと拡張していく取り組みについて概説します。
Cloudy for Email Security users
Cloudflare Email Security によってメールが分析される際、単一のシグナルやモデルによって評価されるわけではありません。代わりに、送信元の信頼性やメッセージ構造からコンテンツ、リンク、行動パターンに至るまで、メッセージの異なる部分を分析する広範な機械学習モデル群が機能します。このモデルセットは、機械学習チームが継続的に新しい検知機能をトレーニングしてデプロイし、進化する脅威に対応し続けることで、さらに拡大し続けています。
この分析に基づき、メッセージには「Malicious(悪意のあるもの)」「Suspicious(不審な物)」「Spam(スパム)」「Bulk(大量送信)」「Spoof(なりすまし)」といった結果ラベルが付けられます。これらの検知機能は効果的である一方で、顧客からは一貫して、「なぜメッセージがフラグ付けされたのかという理由が必ずしも明確ではない」というフィードバックをいただいています。決定自体は正しいと伝えられるものの、その背後にある推論プロセスは、エンドユーザーおよびセキュリティチームの双方にとって不明瞭なままであることが多々ありました。
これに対処するため、私たちは Cloudy の最初のバージョンを導入しました。これは検知結果に対する LLM 駆動の要約です。これらの要約は、機械学習モデルが捉えている内容を人間が読みやすい説明へと翻訳します。当初、これらの要約は調査中の SOC チームを支援するために Cloudflare ダッシュボードで利用可能でした。過去数ヶ月にわたり、顧客からのフィードバックにより、これらの説明が検知結果の理解度を著しく向上させることが確認されています。
顧客との対話を続ける中で、別の課題も浮上しました。私たちの Phishnet ツールでは、ユーザーがメールを不審だと判断した場合に SOC へメッセージを送信できます。これは従業員がセキュリティ活動に参加することを可能にする一方で、多くの SOC チームから、送信されたメッセージの多くが実際には安全なものであり、キューが溢れてしまっているという報告がありました。
その結果、実際に調査が必要なメールに対する不要なバックログが発生し、対応時間が遅延しました。
同時に、顧客からは従来のセキュリティ意識向上トレーニングだけでは不十分な場合があると指摘されました。ユーザーは、最も重要な瞬間にメールを評価することに依然として苦労していました。彼らは、意思決定が行われるワークフローの直中で、より文脈に即したガイダンスを求めています。
このアップグレードは、これらの 2 つの問題に対処するために設計されています。明確な説明と文脈に即した教育を Phishnet に直接組み込むことで、セキュリティを犠牲にすることなく、ユーザーがより良い意思決定を行えるよう支援し、SOC チームへのノイズを削減することを目指しています。
課題:一部のユーザーはメールを過剰に報告する一方で、他のユーザーは警戒心が不足している
組織や攻撃手法が進展するにつれて、エンドユーザーの役割も変化しています。現代のメール脅威は、ソーシャルエンジニアリング、微妙なりすまし、心理的圧力にますます依存しており、これによりユーザーが直接意思決定のプロセスに関与することになります。
これに対応するため、ユーザーには追加の防御層として行動することが求められています。しかし、従来のセキュリティ意識向上ツールは往々にして不十分です。トレーニングは通常、定期的なセッションや模擬フィッシングキャンペーンを通じて提供されますが、実際のメッセージや実際の意思決定とは切り離されています。ユーザーが見慣れないメールに遭遇した際、リスクを自信を持って評価するための十分な文脈情報が得られないことがよくあります。
このギャップは、一般的に以下の2つの結果のいずれかを招きます。一部のユーザーは疑わしいメッセージをほぼすべてセキュリティ運用センター(SOC)へ提出し、過剰なノイズを生み出して調査を遅らせています。一方、他のユーザーは、その瞬間に明確なリスクを示す何もないため、本来接触すべきではないメッセージとやり取りしてしまいます。
Cloudy を Phishnet に直接組み込むことで、このギャップを解消します。
ユーザーは、Cloudflare が何を検知しているのか、なぜメッセージが危険である可能性があるのかを理解するのに役立つ、即座に提供される文脈付きの説明を受け取ります。これにより、ユーザーはインタラクションの時点で情報に基づいた意思決定を行い、SOC への不要なエスカレーションを減らし、セキュリティチームが本当に注力すべきメッセージに集中できるようになります。
このアプローチは、時間とともにユーザーをノイズの発生源から、検出および対応ワークフローにおける効果的な一部へと変化させます。その結果、セキュリティチームに摩擦や負担を追加することなく、より強力なメールセキュリティが実現されます。
Microsoft 向け Phishnet に Cloudy アップグレード
来月、Cloudy の要約機能を拡張するために、Phishnet の報告ボタンをアップグレードする予定です。
image
新しい Phishnet スクリーンでは Cloudy の要約が表示されます。
このアップグレードにより、エンドユーザーはメッセージを報告する瞬間に、Cloudy 要約の簡略化された使いやすいバージョンを受け取ります。これらの要約は、Cloudflare Workers AI を用いてリアルタイムで生成され、ユーザーが Phishnet でメッセージと対話した際に、Cloudflare のグローバルな Workers プラットフォーム上で直接実行されます。
ユーザーが Phishnet 報告ボタンをクリックすると、リクエストは、そのメッセージに関連する複数の検出モデルからの構造化された出力を集約する、Workers ベースのワークフローをトリガーします。これらのモデル出力には、送信元の評判、ドメインおよびインフラストラクチャの特徴、認証結果、リンクおよびコンテンツ分析、そしてメッセージ処理中に収集された行動指標などのシグナルが含まれています。
集約されたシグナルはその後 Workers AI に渡され、そこで目的別に設計された一連のプロンプトが自然言語による説明を生成します。各プロンプトは、低レベルの検出出力を簡潔で人間が読みやすい要約へと変換するように設計されています。このプロセスは分類ではなく説明に焦点を当てており、メッセージの元の処理方針を変更することはありません。

Cloudy が検出結果を明確な説明へと変換する様子。
今回の体験においては、Cloudflare ダッシュボードの管理者向けに表示される要約とは意図的に再設計を行いました。テストの結果、管理者向けの要約は非技術的なユーザーが解釈するのが難しい技術概念に依存していることが判明しました。「ASNs(自律システム番号)」、「IP レピュテーション」、「認証失敗」といった用語には翻訳が必要でした。
エンドユーザーが要約を理解できるようにするため、Phishnet は基盤となる検出の意味を保持しつつ、平易な言葉による説明を重視しています。
シグナル | 意味 | エンドユーザー向けの Cloudy による翻訳
---|---|---
SPF Fail(SPF 失敗) | 送信者が SPF によって明示的に許可されていない | このメールは送信者検証チェックに失敗しました。
DKIM Fail(DKIM 失敗) | メッセージの署名が検証されない | メッセージ整合性チェックに失敗しました。これは改ざんの兆候となる可能性があります。
DMARC Fail(DMARC 失敗) | DMARC ポリシーチェックに失敗 | 送信者のドメインがこのメールが正規のものであることを確認できませんでした。
返信不一致への回答
宛先が送信者とは異なる場合があります。
ドメイン年齢
ドメインは最近登録されました
送信元のドメインが新しく作成されており、フィッシング攻撃でよく見られるパターンです。
URL の評判が低い
宛先の URL に悪い評判があります
リンクの宛先にはリスクに関連する兆候が含まれています。
このワークフローは Cloudflare Workers プラットフォーム上で実行されるため、要約は低遅延かつグローバルスケールで生成され、ユーザーはインタラクションの瞬間に即座にフィードバックを受け取ります。このリアルタイムの文脈により、ユーザーはエスカレーションするかどうかを決定する前に、なぜメールがリスクがあるのか、あるいはなぜ安全に見えるのかをよりよく理解できます。
現在、要約の正確性と信頼性を確保するため、Microsoft の顧客を対象にベータテストを実施しています。Cloudy による要約は顧客データでトレーニングされたものではありません。また、生成された説明がハルシネーション(幻覚)を起こさないよう、追加の検証も適用しています。この段階では精度が極めて重要であり、誤ったガイダンスは実際のセキュリティリスクをもたらす可能性があります。
ベータ期間終了後、Microsoft ユーザー全員へのアクセス拡大を計画しています。また、2026 年後半には Google Workspace ユーザー向けにも Phishnet サイドバーに同様のアップグレードを導入する予定です。
Your CASB findings, explained with Cloudy
しかし、エンドユーザーがメールのリスク要因をよりよく理解するのを支援することは、物語の一部に過ぎません。私たちはまた、セキュリティ運用の管理側面にも Cloudy を適用しており、そこでも明確さとスピードが同じくらい重要です。Phishnet 以外にも、Cloudy は複雑な CASB(クラウドアクセスセキュリティブローカー)の検知結果を構造化された説明に変換し、セキュリティおよび IT チームがリスクをすばやく理解し、修復の優先順位をつけ、SaaS エコシステム全体で自信を持って行動できるよう支援します。
現場の API を活用した CASB
Cloudflare One(当社の SASE プラットフォーム)内では、CASB がチームがすでに使用している SaaS およびクラウドツールに接続します。プロバイダーとの間で API を通じて通信することで、CASB はセキュリティおよび IT チームに対して以下を提供します:
Microsoft 365、Google Workspace、Slack、Salesforce、Box、GitHub、Jira、Confluence などのアプリケーション全体における設定ミス、過剰なファイル共有、リスクの高いアクセスパターンを統合したビュー(CASB インテグレーション)。
ユーザーが共同作業し、ファイルを共有し、新しいツールを採用する際に発生する新たな問題に対する継続的なスキャン。
トリアージおよびレポート作成のために整理され、検索可能で、エクスポート可能な検知結果。
image
Microsoft 365 の検知結果を示す典型的な CASB 検知結果ページ。
SaaS セキュリティをシンプルに
これまで、CASB ファインディング(接続された SaaS 統合全体で行われる検出)を正確にトリガーした原因を理解することは、ブラックボックスの状態でした。なぜ特定のファイル、特定のユーザー、特定の構成が CASB ファインディングタイプを引き起こすのかという説明に必要な情報は存在しましたが、最終的に当社のシステムによって検出された理由が明確であるとは限りませんでした。
CASB における Cloudy サマリー(要約)の導入により、ユーザーは検出の根拠に関する短い記述と、具体的なマッチング詳細を列挙した情報を取得し、容易に理解できるようになりました。
単なるテキスト要約とは異なり、CASB 向けの Cloudy は即座に対応策を講じるために設計された構造化された分析を提供します。Microsoft 365 から Dropbox まで異なるプロバイダーでのベータテストで確認された通り、このモデルは一貫してファインディングを2つの明確なセクションに分解します:
リスク: ファインディングがなぜ重要なのかを具体的に特定します。例えば、「停止中のユーザー」と単に記録するのではなく、Cloudy は「これはアカウントの乗っ取りを示唆しているか、または会社データへのアクセス権限を持つべきではないユーザーである可能性があります」と明確化します。
ガイダンス: 直ちに実行可能な次のステップを提供します。一般的なアドバイスではなく、停止が意図的なものかどうかの確認や、アクセス権を剥奪する前にアプリケーションの正当性を確認するなど、具体的なアクションを提案します。
この構造により、分析担当者は特定の SaaS アプリケーションに関する深い専門知識がなくても、ファインディングの重大さを理解することが可能になります。

CASB ポスチャーファインディングにおける Cloudy サマリーの例。
発見タイプ
技術シグナル
Cloudy 翻訳(リスクとガイダンス)
ID とアクセス管理
Dropbox:
一時停止されたユーザー
リスク:一時停止されたユーザーアカウントは、乗っ取られたアカウントか、または会社データへのアクセス権限を失うべきユーザーを示している可能性があります。
ガイダンス:この一時停止が意図的なものであることを確認し、ユーザーのアクセス権限が適切に取り消されているかどうかを確認してください。
シャドウ IT
Google Workspace:
サードパーティ製アプリがインストールされた
リスク:Google Sign In へのアクセス権を持つこのインストール済みアプリケーションは、ユーザーデータへの不正アクセスのリスクとなる可能性があります。
ガイダンス:アプリケーションの正当性と必要性を見直し、不要になった場合はアクセス権限を取り消すことを検討してください。
メールセキュリティ
Microsoft 365:
ドメインに DMARC レコードが存在しない
リスク:DMARC レコードがないと、ドメインがメールのスプーフィングやフィッシング攻撃に対して脆弱になる可能性があります。
ガイダンス:ドメインに DMARC レコードを設定し、認証されていないメールをどのように処理するかを指定してください。
データ損失防止 (DLP)
Microsoft 365:
ファイルが公衆にアクセス可能 + DLP マッチ
リスク:編集権限付きで公開共有されているこのファイルは、不正な変更を許容する可能性があります... 特に DLP プロフィールの一致によって示される潜在的に機密性の高いコンテンツがある場合。
ガイダンス:ファイルの内容を見直し、必要に応じてアクセス制限を検討してください。
お客様が特定されたセキュリティ課題の根本原因を究明する際、時間は極めて重要です。不十分な状態からより安全な状態へと移行するまでの時間を余計に引き延ばすことにならないよう、何が起きているのかという点における不必要な不確実性や不明瞭さは一切排除すべきだと考えています。
この機能は、Cloudflare のすべての製品と同じくプライバシーファーストの基盤の上に構築されています。CASB における Cloudy サマリーは、Cloudflare Workers AI を用いて生成されるため、分析中もお客様のデータが当社の安全なインフラ内に留まります。モデルはお客様の SaaS データを用いて訓練されたものではなく、サマリーはトリアージを支援するために一時的に生成されます。これにより、チームは機密性の高い内部文書や設定をパブリックなモデルに露出させることなく、AI のスピードを活用することができます。
What's next
Email セキュリティにおいては、Cloudy が管理者とエンドユーザーの両方をどのように支援するかをさらに拡大していきます。重点は、より明確な説明の提供、文脈に即したガイダンスの強化、そして日常業務ワークフローへの深い統合にあります。
CASB については、クラウドおよび SaaS アプリケーション全体で何が起きているかを CASB 管理者が理解しやすくする機会を探ることに興奮しています。自然言語を用いて発見結果を照会できるように Cloudy カバレッジを拡大することで、リスクの特定と修正にかかる時間をさらに短縮できるよう、今後の展開にご注目ください。
今後に向けて、これは追加の検出タイプに対するより詳細な説明、ユーザーのアクションと検出結果との間のフィードバックループの強化、そして Phishnet を通じたユーザーと SOC チームの協力方法の継続的な改善を含みます。私たちの目標は、Cloudy が組織がメールセキュリティに関する意思決定を理解し、信頼し、行動する際の核となる一部となるようにすることです。
私たちは、すべての組織(Cloudflare の顧客であるかどうかにかかわらず)に、Retro Scan ツールへの無料アクセスを提供しています。これにより、Microsoft 365 に存在する既存の受信トレイメッセージを予測 AI モデルを使用してスキャンすることが可能になります。
Retro Scan は発見されたあらゆる脅威を検出しハイライト表示し、組織がメールアカウント内で直接それらの対策を実行できるようにします。これらの洞察に基づき、組織は Cloudflare Email Security または好みのソリューションを使用するなどしてさらなる制御措置を講じ、同様の脅威が将来受信トレイに到達しないように防止することができます。
Cloudflare があなたの受信トレイのセキュリティ強化にどのように役立つかについて興味がある場合は、ここでフィッシングリスク評価の登録を行ってください。

原文を表示
Today’s security ecosystem generates a staggering amount of complex telemetry. For instance, processing a single email requires analyzing sender reputation, authentication results, link behavior, infrastructure metadata, and countless other attributes. Simultaneously, Cloud access security broker (CASB) engines continuously scan SaaS environments for signals that detect misconfigurations, risky access, and exposed data.
But while detections have become more sophisticated, explanations have not always kept pace.
Security and IT teams are often aware when something is flagged, but they do not always know, at a glance, why. End users are asked to make real-time decisions about emails that may impact the entire organization, yet they are rarely given clear, contextual guidance in the moment that matters.
Cloudy changes that.
Cloudy is our LLM-powered explanation layer, built directly into Cloudflare One. It translates complex machine learning outputs into precise, human-readable guidance for security teams and end users alike. Instead of exposing raw technical signals, Cloudy surfaces the reasoning behind a detection in a way that drives informed action.
For Cloudflare Email Security, this means helping users understand why a message was flagged before they escalate it to the security operations center, or SOC. For Cloudflare CASB, it means helping administrators quickly understand the risk and remediation path for SaaS findings without having to manually assess low-level signals.
This post outlines how we are extending Cloudy across Phishnet and API CASB to improve decision making, reduce unnecessary noise, and turn complex security signals into clear, actionable insight.
Cloudy for Email Security users
When an email is analyzed by Cloudflare Email Security, it is not evaluated by a single signal or model. Instead, a wide range of machine learning models analyze different parts of the message, from sender reputation and message structure to content, links, and behavioral patterns. This model set continues to grow as our machine learning team regularly trains and deploys new detections to keep pace with evolving threats.
Based on this analysis, messages are labeled with outcomes such as Malicious, Suspicious, Spam, Bulk, or Spoof. While these detections have been effective, we consistently heard feedback from customers that it was not always clear why a message was flagged. The decision was correct, they told us — but the reasoning behind it was often opaque to both end users and security teams.
To address this, we introduced the first version of Cloudy: LLM-powered summaries for detections. These summaries translate what our machine learning models are seeing into human readable explanations. Initially, these summaries were available in the Cloudflare dashboard to help SOC teams during investigations. Over the past few months, customer feedback has confirmed that these explanations significantly improve understanding in our detections.
As we continued speaking with customers, another challenge surfaced. Our Phishnet tool allows users to submit messages to the SOC when they believe an email may be suspicious. While this empowers employees to participate in security, many SOC teams told us their queues were being flooded with submissions that turned out to be clean messages.
The result was unnecessary backlog and slower response times for emails that actually required investigation.
At the same time, customers told us that traditional security awareness training was not always enough. Users still struggled to evaluate emails in the moment, when it mattered most. They wanted more contextual guidance directly within the workflow where decisions are made.
This upgrade is designed to address both of these problems. By bringing clearer explanations and contextual education directly into Phishnet, we aim to help users make better decisions while reducing noise for SOC teams, without sacrificing security.
The problem: Some users flag too many emails, while some aren’t cautious enough
As organizations and attack techniques have evolved, so has the role of the end user. Modern email threats increasingly rely on social engineering, subtle impersonation, and psychological pressure which places users directly in the decision path.
In response, users are being asked to act as an additional layer of defense. However, traditional security awareness tools often fall short. Training is typically delivered through periodic sessions or simulated phishing campaigns, disconnected from real messages and real decisions. When users encounter an unfamiliar email, they are left without enough context to confidently assess risk.
This gap commonly leads to one of two outcomes. Some users submit nearly every questionable message to the SOC, creating excessive noise and slowing down investigations. Others interact with messages they should not, simply because nothing in the moment signals clear risk.
By embedding Cloudy directly into Phishnet, we close this gap.
Users receive immediate, contextual explanations that help them understand what Cloudflare is seeing and why a message may be risky. This enables users to make informed decisions at the point of interaction, reduces unnecessary escalations to the SOC, and allows security teams to focus on the messages that truly require attention.
Over time, this approach shifts users from being a source of noise to becoming an effective part of the detection and response workflow. The result: stronger email security, without adding friction or burden to security teams.
Phishnet for Microsoft gets a Cloudy upgrade
In the next month, we will be upgrading our Phishnet reporting button to extend the Cloudy summaries.
image
The new Phishnet screens will show Cloudy summaries.
With this upgrade, end users receive a simplified, user-friendly version of Cloudy summaries at the moment they report a message. These summaries are generated in real time using Cloudflare Workers AI and run directly on Cloudflare’s global Workers platform when a user interacts with a message in Phishnet.
When a user clicks the Phishnet reporting button, the request triggers a Workers-based workflow that aggregates structured outputs from multiple detection models associated with that message. These model outputs include signals such as sender reputation, domain and infrastructure characteristics, authentication results, link and content analysis, and behavioral indicators collected during message processing.
The aggregated signals are then passed to Workers AI, where a series of purpose-built prompts generate a natural language explanation. Each prompt is designed to transform low-level detection outputs into a concise and human-readable summary. This process focuses on explanation rather than classification and does not alter the original disposition of the message.
image
How Cloudy transforms detections into clear explanations.
For this experience, we intentionally redesigned the summaries compared to those shown to administrators in the Cloudflare dashboard. During testing, we found that admin-focused summaries often relied on technical concepts that were difficult for non-technical users to interpret. Terms such as ASNs, IP reputation, or authentication failures required translation.
To ensure end users can understand the summaries, Phishnet emphasizes plain-language explanations while preserving the meaning of the underlying detections.
Signal
What it means
Cloudy translation for end users
SPF Fail
Sender explicitly not authorized by SPF
This email failed a sender verification check.
DKIM Fail
Message signature does not validate
The message integrity check failed, which can be a sign of tampering.
DMARC Fail
DMARC policy check failed
The sender’s domain could not confirm this email is legitimate.
Reply to Mismatch
Reply To differs from From
Replies may go to a different address than the sender shown.
Domain Age
Domain recently registered
The sender domain is newly created, which is common in phishing.
URL Low Reputation
Destination URL has poor reputation
The link destination has signals associated with risk.
Because this workflow runs on the Cloudflare Workers platform, summaries are generated with low latency and at global scale — so users receive immediate feedback at the moment of interaction. This real-time context allows users to better understand why an email may be risky or why it appears safe before deciding whether to escalate it to the SOC.
We are currently beta testing this experience with Microsoft customers to ensure the summaries are accurate and reliable. Cloudy summaries are not trained on customer data. We are also applying additional validation to ensure the generated explanations do not hallucinate. Accuracy is critical at this stage as incorrect guidance could introduce real security risk.
Following the beta period, we plan to expand access to all Microsoft users. We will also bring similar upgrades to the Phishnet sidebar for Google Workspace users later in 2026.
Your CASB findings, explained with Cloudy
But helping end users better understand what makes an email risky is only part of the story. We are also applying Cloudy to the administrative side of security operations, where clarity and speed matter just as much. Beyond Phishnet, Cloudy now translates complex CASB findings into structured explanations that help security and IT teams quickly understand risk, prioritize remediation, and take confident action across their SaaS environments.
API CASB in the wild
Inside Cloudflare One, our SASE platform, CASB connects to the SaaS and cloud tools your teams already use. By talking to providers over API, CASB gives security and IT teams:
A consolidated view of misconfigurations, overshared files, and risky access patterns across apps like Microsoft 365, Google Workspace, Slack, Salesforce, Box, GitHub, Jira, and Confluence (CASB Integrations).
Continuous scanning for new issues as users collaborate, share, and adopt new tools.
Findings that are organized, searchable, and exportable for triage and reporting.
image
A typical CASB Findings page showing detections for a Microsoft 365 finding.
Making SaaS security straightforward
Until now, understanding what exactly triggered a CASB Finding — the detections that CASB makes across connected SaaS integrations — has been a black box. While the information was there to put together an explanation of why that file, that user, that configuration was triggering a CASB Finding Type, it wasn’t exactly obvious the reason why it was ultimately detected by our system.
With the introduction of Cloudy summaries in CASB, users receive a short description of the detection rationale with the specific details of the match listed out for easy comprehension.
Unlike a simple text summary, Cloudy for CASB provides a structured breakdown designed for immediate remediation. As seen in our beta testing across different providers, from Microsoft 365 to Dropbox, the model consistently parses findings into two distinct sections:
Risk: It identifies exactly why the finding matters. For instance, rather than just noting a 'Suspended User,' Cloudy clarifies that this 'may indicate a compromised account or a user who should no longer have access to company data'.
Guidance: It offers immediate next steps. Instead of generic advice, it suggests specific actions, such as verifying if a suspension was intentional or reviewing an application's legitimacy before revoking access.
This structure ensures that analysts can understand the gravity of a finding without needing deep expertise in the specific SaaS application involved.
image
An example Cloudy Summary in a CASB Posture Finding.
Finding Type
Technical Signal
Cloudy Translation (Risk & Guidance)
Identity & Access
Dropbox:
Suspended User
Risk: A suspended user account may indicate a compromised account or a user who should no longer have access to company data.
Guidance: Verify that the suspension is intentional and that the user's access has been properly revoked.
Shadow IT
Google Workspace:
Installed 3rd-party app
Risk: This installed application with Google Sign In access may pose a risk of unauthorized access to user data.
Guidance: Review the application's legitimacy and necessity, and consider revoking access if it is no longer needed.
Email Security
Microsoft 365:
Domain DMARC record not present
Risk: The absence of a DMARC record may leave the domain vulnerable to email spoofing and phishing attacks.
Guidance: Configure a DMARC record for the domain to specify how to handle unauthenticated emails.
Data Loss Prevention
Microsoft 365:
File publicly accessible + DLP Match
Risk: This file being shared publicly with edit access may allow unauthorized modifications... especially given the potential sensitive content indicated by the DLP Profile match.
Guidance: Review the file's content... and consider restricting access if necessary.
We know that when it comes to our customers getting to the bottom of identified security issues, time is of the essence. We believe that any amount of unnecessary uncertainty or lack of clarity around what’s going wrong just puts more time between an imperfect state and one that is more secure.
We built this feature on the same privacy-first foundations as all products at Cloudflare. Cloudy summaries in CASB are generated using Cloudflare Workers AI, ensuring that your data remains within our secure infrastructure during analysis. The models are not trained on your SaaS data, and the summaries are generated ephemerally to aid in triage. This allows your team to leverage the speed of AI without exposing sensitive internal documents or configurations to public models.
What’s next
For Email Security, we will continue to expand how Cloudy supports both administrators and end users. Our focus is on delivering clearer explanations, better in context guidance, and deeper integration into daily workflows.
For CASB, we’re excited to look for opportunities where Cloudy can make it even easier for CASB administrators to understand what’s going on across their cloud and SaaS apps. Keep an eye out as we look to expand Cloudy coverage to allow administrators to query their findings using natural language, further reducing the time it takes to identify and remediate risks.
Looking ahead, this includes richer explanations for additional detection types, tighter feedback loops between user actions and detections, and continued improvements to how users and SOC teams collaborate through Phishnet. Our goal is to make Cloudy a core part of how organizations understand, trust, and act on email security decisions.
We provide all organizations (whether a Cloudflare customer or not) with free access to our Retro Scan tool, allowing them to use our predictive AI models to scan existing inbox messages in Microsoft 365.
Retro Scan will detect and highlight any threats found, enabling organizations to remediate them directly in their email accounts. With these insights, organizations can implement further controls, either using Cloudflare Email Security or their preferred solution, to prevent similar threats from reaching their inboxes in the future.
If you are interested in how Cloudflare can help secure your inboxes, sign up for a phishing risk assessment here.
image
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み