CloudflareがCloudflare Accessを使用してリモートチームを保護する方法

2015年、認証に対するCloudflareのアプローチは、ほかの多くの企業と似たようなものでした。Cloudflareの社内にホストされたアプリケーションにはハードウェアベースのVPNを経由してアクセスしていました。

オンコールエンジニアの1人が通知を受けると(通常は電話)、ノートパソコンで重いクライアントを起動し、VPNに接続して、Grafanaにログインします。頭上で火災報知器が鳴っている状態でコンビネーションロックを解錠しているような感じでした。

vpnスクリーンショット

きっかけは、Cloudflareのエンジニアチームが次のような疑問を抱いたことでした。クラウドセキュリティサービスを提供する企業であるCloudflareがなぜ扱いにくいオンプレミスハードウェアに依存しているのか?もっと良い方法があると思ったのです。こうして生まれたのがCloudflare Accessです。

ドッグフーディングの文化

Cloudflareが構築する製品の多くは、当社のチームがさまざまな課題に対処しようとした直接の結果によるものです。その好例がCloudflare Accessです。Accessの開発は2015年に始まりました。当時、社内ではこのプロジェクトはEdgeAuthと呼ばれていました。

最初は、Accessの背後に置かれたアプリケーションは1つだけでした。電話で通知を受けたエンジニアはリンクをタップ/クリックし、ブラウザー経由で認証を行うと、Grafana内のアラートの詳細にただちにアクセスすることができました。古いVPNを経由するよりもはるかに優れた体験でした。

Accessは、セキュリティチームのさまざまな問題も解決しました。好きなIDプロバイダーを使用し、Accessポリシーを用いて第7層で社内アプリケーションへのアクセスを制御することができました。VPNを使用してネットワーク層でアクセス制御を管理するという厄介な作業が、Cloudflareのダッシュボードでの数クリックで済むようになったのです。

アクセスポリシー編集画面スクリーンショット

Grafana、JiraとWikiを含むAtlassianスイート、ほかの数百の内部アプリケーションの後に、Accessチームは、HTTP非対応のサービスのサポートに取り組み始めました。Gitのサポートが可能になったことにより、Cloudflareの開発者は、完全に監査された状態で世界中のどこからでも安全にコードをコミットできるようになりました。このことはCloudflareのセキュリティチームを大いに喜ばせました。以下は、コードを内部Gitリポジトリにプッシュしているときに生成された実際の認証イベントの例を若干変更したものです。

イベントスクリーンショット

さらに多くのCloudflareの内部アプリケーションがAccessの背後に置かれるまでに、そう長くはかかりませんでした。新しい認証フローを使い始めたら、あらゆるところに取り入れて欲しいという声が上がりました。セキュリティチームは最終的に社内アプリをAccessの背後に移動することを義務付けましたが、長い間、Accessは完全にオーガニック(自然流入)でした。チームは使用することを熱望していました。

ちなみに、これはAccessを利用する利点をよく表します。使用頻度の高い内部ツールの認証フローを保護して簡略化することから始めることができますが、一度にすべて廃止して置き換える必要はありません。ハードウェアベースのVPNに限界を感じている企業の場合、Cloudflareのオンボーディングエキスパートにセットアップのために1回だけ連絡するだけで、すぐにAccessを利用し始めることができるようになります(こちらから日程を決めることができます)。

段階的な導入が可能であるものの、Accessを使用してすべてを保護することにはいくつかの利点があります。

グローバルチームをサポートする

VPNがインターネット接続を遅くすることはよく知られていますが、Cloudflareで使用していたものも例外ではありませんでした。内部アプリケーションに接続するとき、すべての従業員のインターネット接続がスタンドアロン型のVPNを経由することで、重大なパフォーマンスのボトルネックと単一障害点がもたらされてしまいました。

Cloudflare Accessは、もっと分別あるアプローチです。認証は、世界90か国以上の200の都市にまたがるネットワークのエッジで行われます。すべての従業員が1つのネットワークアプライアンス経由でネットワークトラフィックを転送する代わりに、内部アプリに接続する従業員はもっと近くにあるデータセンターに接続します。

グローバルに分散した従業員をサポートするにあたって、Cloudflareのセキュリティチームは、最も安全で使いやすい認証メカニズムを用いて内部アプリケーションを保護するよう努めています。

Cloudflare Accessを使用することで、IDプロバイダーの強力な二要素認証メカニズムに依存することができます。これは、従来のVPNでは非常に困難なことでした。

自信を持って行えるオンボーディングとオフボーディング

必要なツールやデータのみに全従業員がアクセスできるようにすることは企業にとって最も難しいことの1つで、チームの規模が大きくなるにつれて、さらに困難になります。従業員や請負業者との雇用契約が終了したら、付与された権限を速やかに取り消すことが極めて重要です。

こうしたアクセス制御の管理は、世界中のIT企業にとって大きな課題です。さまざまな環境の、さまざまなツールにまたがる複数のアカウントを各従業員が持っているとなると、非常に骨の折れる作業になります。Accessを使用する前は、Cloudflareのチームは、多くの項目を確認するのに多大な時間を費やしていました。

今では、Cloudflareの内部アプリケーションはAccessを使用して保護されていて、オンボーディングもオフボーディングもずっとスムーズになりました。新任の従業員および請負業者には、すぐに必要なアプリケーションへのアクセス権限が付与され、コントローラーを介した簡単なアクセスが可能になります。誰かがチームを抜けたら、1つの設定変更がすべてのアプリケーションに適用されるので、もう当て推量で作業する必要はありません。

Accessには、ネットワークの可視性を高めるという大きなメリットもあります。VPNを使用すると、ネットワーク上のユーザーのアクティビティについて最低限の情報しか得られません。ユーザー名とIPアドレスはわかりますが、それだけです。万一、誰かが不正にアクセスできた場合、その手順をさかのぼって調べることは困難です。

Cloudflare AccessはZero Trustモデルに基づいており、全パケットの認証を行います。Access Groupsを介して、従業員や請負業者にアクセス権限をきめ細かく割り当てることができます。セキュリティチームは、分析をサポートする広範なロギングによって、当社のあらゆるアプリケーションにおける異常活動を検出できます。よりきめ細かな制御と可視性の向上によって、攻撃対象領域をより包括的に管理することができます。多くのユーザーが在宅勤務する今日では、特に重要な点です。要するに、Accessによって、内部アプリケーションのセキュリティにより大きな自信を持つことができるようになるということです。

日常業務でメリットを享受

今では、当社のVPNの背後に置かれているツールはわずか数個しかありません。Accessへの移行により、従業員の生産性は定量化できる形で向上しました。

たとえば、当社のITチームはかつて、VPN関連のサポート依頼を絶えずさばいており、もっと重要性の高いタスクができないでいました。現在では、VPN関連チケットの処理に費やす時間が最高80%減り、チケットの量も最高70%減少しています。そうして節約された時間は、10万ドル相当以上の生産性アップにつながったと推定されます。

さらに、従業員がオンボーディングの際にVPNをセットアップすることもなくなりました。これにより、新入社員と訓練するITスタッフの時間が、年間合計300時間あまり節約できます。

従業員の満足度やセキュリティチームの自信など、その他のメリットは定量化しにくいものの、同様に重要です。実際、Accessに関して何より嬉しいのは、当社が成長すると共にそのメリットが拡大している点です。

「Cloudflare Accessは、VPNの不必要な面倒さから逃れたいという単純な欲求から生まれました。Accessは、時が経つにつれて当社のリモートワーク戦略の柱となり、Zero Trustセキュリティへの移行においても中心的な役割を果たすようになりました。そのメリットをお客様と共有できて光栄です」と、最高情報責任者(CIO)のJuan Rodriguezは述べています。

「Accessの特徴で特に素晴らしいと思うのが、エッジネットワークで可能になった著しく速くスムーズなログインです。個人の在宅勤務は、古いパスワードを思い出さなければならなかったり、壊れたVPN接続を修復したりする必要がなくても、ストレスが溜まるものです。社員が高い生産性を維持するために必要な基本的ツールにアクセスする際に、フラストレーションを溜めていないかと心配する必要がないことを、CIOとして誇りに思っています。Accessなら、Cloudflareはセキュリティの向上と素晴らしいユーザーエクスペリエンスの創出とのトレードオフをする必要はありません。」

Accessのメリットをお客様にも

多くの企業でリモートワークへの大規模な移行が行われる中、Cloudflare Accessは、リモートワークする従業員の生産性を高めながら、内部アプリケーションのセキュリティを向上させることができます。Jira、Confluence、SAP、カスタムビルドアプリケーションなど、どれを使用していても、Cloudflare Accessは、数分で稼働しアプリケーションを保護しま���。

主な成果
  • ITサポートスタッフの生産性において、10万ドル以上の節約
  • VPN関連チケットの処理に費やす時間を80%削減
  • チケットの量を70%削減
  • 新入社員のオンボーディングの能率向上により、300時間あまりの節約

社員が高い生産性を維持するために必要な基本的ツールにアクセスする際に、フラストレーションを溜めていないかと心配する必要がないことを、CIOとして誇りに思っています。Accessなら、Cloudflareはセキュリティの向上と素晴らしいユーザーエクスペリエンスの創出とのトレードオフをする必要はありません。

Juan Rodriguez
Cloudflare 最高情報責任者

Cloudflare Access は、セキュリティと生産性の向上を目指す当社のチームに大成功をもたらしました。身内びいきかもしれませんが、自分たちの問題を解決するためにAccessを開発したところ、予想以上の成果を上げることができました。

Evan Johnson
Cloudflare、プロダクトセキュリティ マネージャー