Cloudflare、AI Security for AppsをGA化 AI endpoint discoveryを全プランへ開放

発表の概要

Cloudflareは2026年3月11日、AI Security for Appsがgeneral availabilityに入ったと発表した。AI-powered applicationやagent向けの保護レイヤーとして位置づけられており、今回のGAでは AI endpoint discovery をFree、Pro、Businessを含むすべての顧客へ無料で提供することも明らかにした。さらに、企業ごとのポリシーに合わせて検知条件を拡張できる custom topics detection も追加された。

Cloudflareは、自然言語を受け取り確率的に応答するAI applicationは、従来のweb applicationとは異なる攻撃面を持つと説明している。固定的な操作だけを許可・拒否する発想では不十分で、prompt injection、sensitive information disclosure、過剰利用といったリスクが継続的に発生するという見立てだ。特にagentがrefund、account modification、discount handling、customer data accessのようなtool callを持つと、悪意ある単一promptが即座に実被害へつながり得ると警告している。

製品の仕組み

Cloudflareによれば、この製品はreverse proxyの一部としてAI-powered endpointの前段に配置される。役割は3つあり、まずweb property全体からAI endpointを見つけること、次にそれらに対するmaliciousまたはoff-policyな挙動を検知すること、最後に既存のWAF rule builderでblock、log、custom responseといった対処を行うことだ。

各promptはprompt injection、PII exposure、sensitive topic、toxic topicなどの検知モジュールにかけられ、その結果はmetadataとしてWAFポリシーに渡される。CloudflareはOpenAI、Anthropic、Google Gemini、Mistral、Cohere、xAI、DeepSeekなど主要providerの標準的なrequest formatをサポートするとしている。prompt位置を特定できない場合はrequest body全体をdefault-secureに検査する方針で、将来的にはJSONPathによるcustom prompt extractionや、application構造に適応するprompt-learning機能も追加予定だという。

GAで変わった点

最も大きいのは可視化機能の裾野が一気に広がったことだ。多くの企業は、customer-facing applicationのどこにAIが実装されているかを完全には把握できていない。CloudflareはURL patternだけでなくendpointの振る舞いを見てAI endpointを検出すると説明しており、chat UIを持たないrecommendation、search、valuation系の機能でも対象にできる点を強調している。

またcustom topics detectionによって、金融、医療、小売など各業種が独自の禁止領域を定義できるようになった。発表ではIBMとの連携拡大とWiz integrationも併せて示され、application layerの保護とcloud側のAI posture管理をつなぐ方向性が打ち出された。

なぜ重要か

この発表は、AI app保護を実験的機能ではなく通常のapplication security運用の中へ組み込もうとする動きとして重要だ。まずdiscoveryを全顧客へ広げ、その上でdetectionとmitigationを段階的に導入させる設計は導入障壁を下げる。もっとも、完全な保護機能は現時点ではEnterprise中心であり、今後どこまで広い顧客層に展開されるかが実際のインパクトを左右しそうだ。

出典: Cloudflare公式ブログ